大力推進(jìn)信息安全標(biāo)準(zhǔn)化工作,有力支撐和保障國(guó)家網(wǎng)絡(luò)安全
一���、信息安全標(biāo)準(zhǔn)化工作具有重要意義
從本質(zhì)上講�����,標(biāo)準(zhǔn)是對(duì)重復(fù)性事物和概念所做的統(tǒng)一規(guī)定�����。它以科學(xué)���、技術(shù)和實(shí)踐經(jīng)驗(yàn)的綜合成果為基礎(chǔ)��,經(jīng)有關(guān)方面協(xié)商一致����,由主管機(jī)構(gòu)批準(zhǔn)����,以特定形式發(fā)布,作為共同遵守的準(zhǔn)則和依據(jù)����。標(biāo)準(zhǔn)化工作已經(jīng)成為治理能力提升的助推器、市場(chǎng)經(jīng)濟(jì)運(yùn)行的耦合器��、政府職能轉(zhuǎn)變的容納器以及技術(shù)創(chuàng)新的重要手段,信息安全標(biāo)準(zhǔn)更是對(duì)我國(guó)國(guó)家安全和社會(huì)長(zhǎng)治久安具有重要的意義��。
在信息安全領(lǐng)域�,信息安全標(biāo)準(zhǔn)是確保信息安全產(chǎn)品和系統(tǒng)在設(shè)計(jì)、研發(fā)�����、生產(chǎn)��、建設(shè)�����、使用����、測(cè)評(píng)等過(guò)程中解決其一致性�、可靠性、可控性����、先進(jìn)性和符合性的技術(shù)規(guī)范、技術(shù)依據(jù)�����。信息安全標(biāo)準(zhǔn)通常由國(guó)家組織編制,并在此基礎(chǔ)上對(duì)信息安全行業(yè)提供指導(dǎo),從而實(shí)現(xiàn)維護(hù)國(guó)家安全和社會(huì)穩(wěn)定的重要目的���。
例如�,網(wǎng)站可信�����、安全可靠辦公信息系統(tǒng)等政府急需信息安全標(biāo)準(zhǔn)的編制�,有力的保障了我國(guó)黨政機(jī)關(guān)的信息安全、維護(hù)了國(guó)家利益;工業(yè)控制系統(tǒng)中的信息安全標(biāo)準(zhǔn)的制定���,對(duì)于保護(hù)我國(guó)電力����、石油化工以及公共交通等命脈行業(yè)的安全運(yùn)營(yíng)具有重要作用;國(guó)家網(wǎng)絡(luò)安全審查有關(guān)支撐標(biāo)準(zhǔn)的制定��,在確保我國(guó)國(guó)家網(wǎng)絡(luò)空間安全的同時(shí)����,也有效的保障了我國(guó)公民的個(gè)人隱私。
因此�,作為我國(guó)網(wǎng)絡(luò)安全保障體系的重要組成部分���,信息安全標(biāo)準(zhǔn)是政府進(jìn)行宏觀管理的重要手段,是網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的重要支撐�����,是維護(hù)國(guó)家公民個(gè)人信息安全的重要保障��。
二�、 信息安全標(biāo)準(zhǔn)制定工作的總體情況
經(jīng)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn),全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(簡(jiǎn)稱信安標(biāo)委��,SAC/TC260)于2002年4月15日在北京正式成立��,秘書(shū)處設(shè)在中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院�����。信安標(biāo)委負(fù)責(zé)組織開(kāi)展國(guó)內(nèi)信息安全有關(guān)的標(biāo)準(zhǔn)化技術(shù)工作�����,工作范圍包括:安全技術(shù)�����、安全機(jī)制����、安全服務(wù)、安全管理�、安全評(píng)估等領(lǐng)域。信安標(biāo)委下設(shè)7個(gè)工作組(WG)�,包括WG1-信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組、WG2-涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組���、WG3-密碼技術(shù)工作組�����、WG4-鑒別與授權(quán)工作組�、WG5-信息安全評(píng)估工作組����、WG6-通信安全標(biāo)準(zhǔn)工作組、WG7-信息安全管理工作組����。
信安標(biāo)委成立以來(lái),我國(guó)信息安全標(biāo)準(zhǔn)化工作經(jīng)歷了以跟蹤和采用國(guó)際標(biāo)準(zhǔn)為主到采用國(guó)際標(biāo)準(zhǔn)與自主研制并重的發(fā)展歷程,標(biāo)準(zhǔn)制定工作取得了顯著成績(jī)��。截至2014年10月���,信安標(biāo)委共組織申報(bào)信息安全國(guó)家標(biāo)準(zhǔn)290項(xiàng)�����,其中284項(xiàng)已獲批立項(xiàng)�����,正式發(fā)布國(guó)家標(biāo)準(zhǔn)142項(xiàng)����。標(biāo)準(zhǔn)范圍涵蓋了信息安全基礎(chǔ)�、安全技術(shù)與機(jī)制、安全管理����、安全評(píng)估以及保密�、密碼和通信安全等多個(gè)領(lǐng)域,有力保障了國(guó)家和社會(huì)的網(wǎng)絡(luò)安全�。
為了加強(qiáng)信息安全標(biāo)準(zhǔn)化工作的管理和為行業(yè)單位提供全方位服務(wù),信安標(biāo)委建設(shè)了國(guó)家信息安全標(biāo)準(zhǔn)管理與服務(wù)平臺(tái),實(shí)現(xiàn)對(duì)信息安全標(biāo)準(zhǔn)制定全生命周期過(guò)程的公開(kāi)��、透明化管理���,創(chuàng)建了國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)資源庫(kù)����。同時(shí)�����,信安標(biāo)委還高度重視信息安全標(biāo)準(zhǔn)化頂層設(shè)計(jì)與戰(zhàn)略規(guī)劃研究�,并配合國(guó)家網(wǎng)絡(luò)安全政策及各部門工作急需,及時(shí)研制了信息安全配套標(biāo)準(zhǔn)���。在國(guó)際標(biāo)準(zhǔn)制定活動(dòng)中���,信安標(biāo)委積極開(kāi)展國(guó)際信息安全標(biāo)準(zhǔn)化交流工作,堅(jiān)持跟蹤研究國(guó)際動(dòng)態(tài)�����,實(shí)質(zhì)性參與國(guó)際標(biāo)準(zhǔn)化活動(dòng)�,提出多項(xiàng)國(guó)際標(biāo)準(zhǔn)提案及多份國(guó)際標(biāo)準(zhǔn)貢獻(xiàn)物。我國(guó)信息安全標(biāo)準(zhǔn)體系的建立,為我國(guó)各項(xiàng)信息安全保障工作�,例如云計(jì)算[注]服務(wù)網(wǎng)絡(luò)安全管理、政府信息系統(tǒng)安全檢查�、信息系統(tǒng)安全等級(jí)保護(hù)、信息安全產(chǎn)品檢測(cè)與認(rèn)證及市場(chǎng)準(zhǔn)入��、信息安全風(fēng)險(xiǎn)評(píng)估��、涉密信息系統(tǒng)安全分級(jí)保護(hù)和保密安全檢查等���,提供了強(qiáng)有力的技術(shù)支撐和重要依據(jù)�。
三��、熱點(diǎn)行業(yè)領(lǐng)域發(fā)展需要信息安全標(biāo)準(zhǔn)的技術(shù)支撐
隨著云計(jì)算��、大數(shù)據(jù)[注]�、物聯(lián)網(wǎng)、智慧城市�����、移動(dòng)互聯(lián)網(wǎng)����、工控系統(tǒng)安全等熱點(diǎn)領(lǐng)域技術(shù)的完善與普及,社會(huì)各領(lǐng)域在感受到新技術(shù)帶來(lái)巨大便利的同時(shí)��,也深刻意識(shí)到了其帶來(lái)的安全風(fēng)險(xiǎn)與隱患�����。這些熱點(diǎn)行業(yè)領(lǐng)域的健康快速發(fā)展急需信息安全標(biāo)準(zhǔn)的技術(shù)支撐��。
(一)云計(jì)算
云計(jì)算是一種基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加����、使用和交付模式,通常涉及通過(guò)互聯(lián)網(wǎng)來(lái)提供動(dòng)態(tài)�����、易擴(kuò)展且經(jīng)常是虛擬化的資源�����。隨著云計(jì)算技術(shù)在日常生活中的廣泛普及�����,各種安全隱患也逐漸凸顯��。“棱鏡門”事件爆發(fā)后,人們發(fā)現(xiàn)由于現(xiàn)今大量用戶將數(shù)據(jù)存放于云服務(wù)商手中����,從而方便了美國(guó)國(guó)家安全局通過(guò)互聯(lián)網(wǎng)獲得個(gè)人信息。因此����,針對(duì)云服務(wù)安全問(wèn)題制定相關(guān)標(biāo)準(zhǔn),利用管理手段加強(qiáng)云計(jì)算中網(wǎng)絡(luò)安全防護(hù)�,便成為應(yīng)對(duì)數(shù)據(jù)泄露、數(shù)據(jù)所有權(quán)丟失�����、虛擬服務(wù)器組成文件的權(quán)限控制等問(wèn)題的重要手段之一��。
(二)大數(shù)據(jù)
隨著當(dāng)今社會(huì)逐漸進(jìn)入大數(shù)據(jù)時(shí)代���,各政府�����、部門和企業(yè)都已經(jīng)意識(shí)到了大數(shù)據(jù)本身以及其中蘊(yùn)含的巨大價(jià)值����。然而在大數(shù)據(jù)相關(guān)產(chǎn)業(yè)蓬勃發(fā)展的同時(shí),也帶來(lái)了諸多的安全隱患����。例如�����,大數(shù)據(jù)在數(shù)據(jù)采集、數(shù)據(jù)訪問(wèn)���、數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)內(nèi)容安全等方面均存在著極大的風(fēng)險(xiǎn);在分析大數(shù)據(jù)中蘊(yùn)含的信息之后,可以精確地預(yù)測(cè)人們的狀態(tài)和行為����,從而導(dǎo)致個(gè)人信息的泄露。面對(duì)大數(shù)據(jù)中遇到的這些問(wèn)題(+微信關(guān)注網(wǎng)絡(luò)世界)���,研制大數(shù)據(jù)分級(jí)保護(hù)�、數(shù)據(jù)脫敏以及數(shù)據(jù)安全存儲(chǔ)等相關(guān)標(biāo)準(zhǔn),確保大數(shù)據(jù)中個(gè)人信息的安全可信。
(三)物聯(lián)網(wǎng)
作為通信網(wǎng)和互聯(lián)網(wǎng)的網(wǎng)絡(luò)延伸與應(yīng)用拓展����,物聯(lián)網(wǎng)利用感知技術(shù)和智能裝置對(duì)物理世界進(jìn)行感知識(shí)別,通過(guò)網(wǎng)絡(luò)傳輸互聯(lián)����,進(jìn)行計(jì)算�、處理和知識(shí)挖掘�����,從而實(shí)現(xiàn)人與物���、物與物的信息交互和無(wú)縫鏈接����,以達(dá)到對(duì)物理世界實(shí)時(shí)控制、精確管理和科學(xué)決策的目的�。由于物聯(lián)網(wǎng)中諸多被感知終端的配置性能無(wú)法滿足傳統(tǒng)數(shù)據(jù)加密算法的要求,面對(duì)繁雜的實(shí)際環(huán)境����,各廠商均采用自有的加密策略,從而在一定程度上影響了物聯(lián)網(wǎng)應(yīng)用層中數(shù)據(jù)的處理�。當(dāng)前物聯(lián)網(wǎng)技術(shù)急需統(tǒng)一的數(shù)據(jù)加密標(biāo)準(zhǔn),從而為應(yīng)用層中數(shù)據(jù)的協(xié)同處理提供支撐��。
(四)工控系統(tǒng)安全
隨著我國(guó)兩化融合進(jìn)程的加快,我國(guó)諸多工業(yè)命脈行業(yè)均對(duì)傳統(tǒng)工業(yè)控制系統(tǒng)進(jìn)行了信息化升級(jí)�����。當(dāng)前工控系統(tǒng)在設(shè)計(jì)之初由于安全意識(shí)淡薄�,技術(shù)條件薄弱等原因���,使得信息安全問(wèn)題逐漸出現(xiàn)在了工業(yè)控制領(lǐng)域。2010年伊朗政府核電站感染的Stuxnet病毒嚴(yán)重影響了核反應(yīng)堆的安全運(yùn)行;2011年美國(guó)黑客入侵伊利諾伊州城市供水系統(tǒng)的數(shù)據(jù)采集和監(jiān)控系統(tǒng)�����,使得供水泵遭到破壞。工控系統(tǒng)中安全問(wèn)題的發(fā)生除了傳統(tǒng)的技術(shù)原因��,更重要的是網(wǎng)絡(luò)安全管理的規(guī)范化缺乏造成的��。針對(duì)此現(xiàn)狀,制定工控系統(tǒng)的安全管理�����、測(cè)評(píng)等標(biāo)準(zhǔn)���,以此確保各工業(yè)行業(yè)的網(wǎng)絡(luò)安全�����。
四�、下一步工作思路
信息安全標(biāo)準(zhǔn)化工作意義重大��,任道而重遠(yuǎn)。我們應(yīng)該采取措施有針對(duì)性的提升我國(guó)信息安全標(biāo)準(zhǔn)化工作水平�,帶動(dòng)信息技術(shù)產(chǎn)業(yè)及相關(guān)產(chǎn)業(yè)行業(yè)發(fā)展實(shí)現(xiàn)更大突破,支撐國(guó)家網(wǎng)絡(luò)安全審查制度的順利實(shí)施���。首先���,立足國(guó)情,制定信息安全標(biāo)準(zhǔn)化發(fā)展戰(zhàn)略規(guī)劃與標(biāo)準(zhǔn)體系����。制定完善云計(jì)算�����、大數(shù)據(jù)����、物聯(lián)網(wǎng)等新一代信息技術(shù)在重點(diǎn)領(lǐng)域的應(yīng)用標(biāo)準(zhǔn)����。其次,突出重點(diǎn),盡快制定確保黨政機(jī)關(guān)和重要行業(yè)網(wǎng)絡(luò)安全的急需標(biāo)準(zhǔn)��。此外�����,加大投入����,不斷研究信息安全標(biāo)準(zhǔn)的測(cè)試驗(yàn)證新方法、開(kāi)發(fā)檢測(cè)工具��,建設(shè)和完善信息安全標(biāo)準(zhǔn)研究與驗(yàn)證環(huán)境,從而保證信息安全標(biāo)準(zhǔn)化工作科學(xué)性����。最后��,積極參與網(wǎng)絡(luò)安全領(lǐng)域國(guó)際標(biāo)準(zhǔn)化活動(dòng)��,進(jìn)一步提高我國(guó)在國(guó)際標(biāo)準(zhǔn)化工作中的話語(yǔ)權(quán)��。
