中國科學院大(dà)學教授趙戰生(shēng)：網絡安全标準化工作(zuò)概要

 

2017年9月22日，由陝西省委網絡安全與信息化領導小(xiǎo)組辦公室、陝西公安廳、陝西省密碼管理(lǐ)局、陝西電(diàn)子政務辦公室指導、陝西省信息網絡安全協會(huì)支持，得(de)安信息技(jì)術(shù)有(yǒu)限公司承辦，西安惠安雲動網絡科技(jì)有(yǒu)限公司協辦的“網絡安全與密碼應用研討(tǎo)會(huì)”在西安唐隆國際酒店(diàn)舉行(xíng)。中國科學院大(dà)學教授趙戰生(shēng)就“網絡安全标準化工作(zuò)概要”發表了演講。

 

一．标準的作(zuò)用及其重要性

 

1.信息安全标準體(tǐ)現了人(rén)們對信息安全的意識、認識和(hé)共識。

2.大(dà)規模的生(shēng)産、部署信息安全技(jì)術(shù)産品、服務和(hé)管理(lǐ)，需要具有(yǒu)共識的技(jì)術(shù)規範和(hé)管理(lǐ)措施。

3.工欲善其事，必先利其器(qì)。

4.沒有(yǒu)規矩不能成方圓。

5.标準發揮着基礎性、規範性、引領性重要作(zuò)用。

 

TC260第一屆主任曲維枝同志(zhì)指出：

沒有(yǒu)信息安全的信息化是危險的信息化；沒有(yǒu)完善的信息安全标準，信息化建設中的産品、系統、工程就不能實現安全的互聯、互通(tōng)、互操作(zuò)，就不能形成我國自主的信息安全産業，就不能構造出一個(gè)自主可(kě)控的信息安全保障體(tǐ)系，就難以保證國家(jiā)信息安全和(hé)國家(jiā)利益。

 

認識在提升：

1.信息安全伴随信息化而生(shēng)，在鬥争博弈中成長，體(tǐ)現保障體(tǐ)系的對抗。

2.信息安全标準體(tǐ)系是信息安全保障體(tǐ)系的重要組成部分。

3.标準化工作(zuò)是維護國家(jiā)主權，體(tǐ)現我國話(huà)語權，保安全，捍利益的重要陣地。

4.中國需要從戰略博弈的角度出發，推進網絡安全技(jì)術(shù)标準的制(zhì)訂和(hé)完善。

 

信息安全标準化工作(zuò)內(nèi)容：

WG1：信息安全管理(lǐ)體(tǐ)系

WG2：密碼學與安全機制(zhì)

WG3：安全評價準則

WG4：安全控制(zhì)與服務

WG5：身份管理(lǐ)與隐私保護技(jì)術(shù)

 

二．TC260的機構機制(zhì)

 

 

完善了規章制(zhì)度：

全國信息安全标準化技(jì)術(shù)委員會(huì)章程

全國信息安全标準化技(jì)術(shù)委員會(huì)工作(zuò)組章程

全國信息安全标準化技(jì)術(shù)委員會(huì)标準制(zhì)修訂工作(zuò)程序

信息安全國家(jiā)标準項目管理(lǐ)辦法

信息安全國際标準化活動管理(lǐ)辦法

 

三．标準化工作(zuò)的成績

 

截止2016年底，發布标準190項，列入制(zhì)修訂計(jì)劃134項。

2016年內(nèi)，新發布标準30項，完成報批稿29項，新上(shàng)制(zhì)修訂計(jì)劃21項。

 

我國信息安全保障工作(zuò)的基本制(zhì)度性安排： 

信息安全等級保護

涉密信息系統的分級保護

關鍵信息基礎設施保護

密碼技(jì)術(shù)的研究、開(kāi)發、應用、管理(lǐ)

信息安全保障工作(zuò)中的産品、服務認證認可(kě)

 

 

四．WG7至2015年制(zhì)定的标準

 

 

 

 

 

 

 

 

 

 

五．新标準在路上(shàng)

 

工業控制(zhì)系統:

《信息安全技(jì)術(shù) 工業控制(zhì)系統産品信息安全通(tōng)用評估準則》

《信息安全技(jì)術(shù) 工業控制(zhì)系統漏洞檢測技(jì)術(shù)要求及測試評價方法》

《信息安全技(jì)術(shù) 工業控制(zhì)系統信息安全檢查指南》

《信息安全技(jì)術(shù) 工業控制(zhì)系統專用防火(huǒ)牆技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 工業控制(zhì)系統網絡審計(jì)産品安全技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 工業控制(zhì)網絡安全隔離與信息交換系統安全技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 工業控制(zhì)系統風險評估實施指南》

《信息安全技(jì)術(shù) 工業控制(zhì)系統安全管理(lǐ)基本要求》

《信息安全技(jì)術(shù) 工業控制(zhì)系統信息安全分級規範》

《信息安全技(jì)術(shù) 工業控制(zhì)系統安全控制(zhì)應用指南》

 

關鍵信息基礎設施安全:

《信息安全技(jì)術(shù) 關鍵信息基礎設施安全保障評價指标體(tǐ)系》

《信息安全技(jì)術(shù) 關鍵信息基礎設施安全檢查評估指南》

 

雲計(jì)算(suàn)安全:

《信息安全技(jì)術(shù) 桌面雲安全技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 雲計(jì)算(suàn)服務運行(xíng)監管框架》

《信息安全技(jì)術(shù) 雲計(jì)算(suàn)安全參考架構》

《信息安全技(jì)術(shù) 雲計(jì)算(suàn)服務安全能力評估方法》

《信息安全技(jì)術(shù) 網站(zhàn)安全雲防護平台技(jì)術(shù)要求》

 

物聯網:

《信息安全技(jì)術(shù) 射頻識别系統密碼應用技(jì)術(shù)要求 第1部分：密碼安全保護框架及安全級别》

《信息安全技(jì)術(shù) 射頻識别系統密碼應用技(jì)術(shù)要求 第2部分：電(diàn)子标簽與讀寫器(qì)及其通(tōng)信密碼應用技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 物聯網感知層接入信息網絡的安全技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 物聯網數(shù)據傳輸安全技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 物聯網安全參考模型及通(tōng)用要求》

《信息安全技(jì)術(shù) 物聯網感知層網關安全技(jì)術(shù)要求》《信息安全技(jì)術(shù) 物聯網感知層網關安全技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 物聯網感知終端應用安全技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 射頻識别（RFID）系統通(tōng)用安全技(jì)術(shù)要求》

 

移動通(tōng)信:

《信息安全技(jì)術(shù) 移動簽名通(tōng)用技(jì)術(shù)規範》

《信息安全技(jì)術(shù) 移動終端安全管理(lǐ)平台技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 移動互聯網第三方應用服務器(qì)安全技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 移動終端安全保護技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 移動智能終端應用軟件安全技(jì)術(shù)要求和(hé)測試評價方法》

《信息安全技(jì)術(shù) 移動智能終端操作(zuò)系統安全測試評價方法》

《信息安全技(jì)術(shù) 移動智能終端個(gè)人(rén)信息保護技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 移動智能終端數(shù)據存儲安全技(jì)術(shù)要求和(hé)測試評價方法》

《信息安全技(jì)術(shù) 低(dī)速無線個(gè)域網空(kōng)口安全測試規範》

《信息安全技(jì)術(shù) 電(diàn)子政務移動辦公安全技(jì)術(shù)規範》

 

大(dà)數(shù)據:

《信息安全技(jì)術(shù) 大(dà)數(shù)據安全管理(lǐ)指南》

《信息安全技(jì)術(shù) 大(dà)數(shù)據服務安全能力要求》

《信息安全技(jì)術(shù) 數(shù)據出境安全評估指南》

《信息安全技(jì)術(shù) 智能音(yīn)視(shì)頻采集設備應用安全要求》

《信息安全技(jì)術(shù) 網絡存儲安全技(jì)術(shù)要求》

《信息安全技(jì)術(shù) 數(shù)據安全能力成熟度模型》

《信息安全技(jì)術(shù) 數(shù)據交易服務安全要求》

 

六．适應新形勢的頂層設計(jì)

 

三部門(mén)文件《關于加強國家(jiā)網絡安全标準化工作(zuò)的若幹意見》解析:

國際和(hé)國外在信息安全保障方面加速出台了體(tǐ)系化的适應新技(jì)術(shù)新應用的大(dà)量安全标準。

我們不能滿足已有(yǒu)成績，必須為(wèi)适應新形勢，配合我國信息安全戰略和(hé)法規的要求進行(xíng)進一步的标準化工作(zuò)的頂層設計(jì)。

文件以聚集正能量，弘揚主旋律的方式為(wèi)适應新形勢提出了我國信息安全标準化工作(zuò)的方向、任務和(hé)相關措施。

 

提出十九項措施:

一、工作(zuò)機制(zhì)

（1）建立統一權威的國家(jiā)标準工作(zuò)機制(zhì)。

（2）促進行(xíng)業标準規範有(yǒu)序發展。

（3）促進産業應用與标準化的緊密互動。

（4）推動軍民标準兼容。

二、加強标準體(tǐ)系建設

（5）科學構建标準體(tǐ)系。

（6）優化完善各級标準。

（7）推進急需重點标準制(zhì)定。

三、提升标準質量和(hé)基礎能力

（8）提高(gāo)标準适用性。

（9）提高(gāo)标準先進性。

（10）提高(gāo)标準制(zhì)定的規範性。

（11）加強标準化基礎能力建設。

四、強化标準宣傳實施

（12）加強标準的宣傳解讀。

（13）加大(dà)标準實施力度。

五、加強國際标準化工作(zuò)

（14）實質性參與國際标準化活動。

（15）推動國際标準化工作(zuò)常态化、持續化。

六、抓好标準化人(rén)才隊伍建設

（16）積極開(kāi)展教育培訓。

（17）引進和(hé)培育高(gāo)端人(rén)才。

七、做(zuò)好資金保障

（18）做(zuò)好财政資金保障工作(zuò)。

（19）鼓勵社會(huì)資金支持。