中國電子技術標準化研究院副院長 高林
一、信息安全標準化工作具有重要意義
從本質上講,標準是對重復性事物和概念所做的統一規定。它以科學、技術和實踐經驗的綜合成果為基礎,經有關方面協商一致,由主管機構批準,以特定形式發布,作為共同遵守的準則和依據。標準化工作已經成為治理能力提升的助推器、市場經濟運行的耦合器、政府職能轉變的容納器以及技術創新的重要手段,信息安全標準更是對我國國家安全和社會長治久安具有重要的意義。
在信息安全領域,信息安全標準是確保信息安全產品和系統在設計、研發、生產、建設、使用、測評等過程中解決其一致性、可靠性、可控性、先進性和符合性的技術規范、技術依據。信息安全標準通常由國家組織編制,并在此基礎上對信息安全行業提供指導,從而實現維護國家安全和社會穩定的重要目的。
例如,網站可信、安全可靠辦公信息系統等政府急需信息安全標準的編制,有力的保障了我國黨政機關的信息安全、維護了國家利益;工業控制系統中的信息安全標準的制定,對于保護我國電力、石油化工以及公共交通等命脈行業的安全運營具有重要作用;國家網絡安全審查有關支撐標準的制定,在確保我國國家網絡空間安全的同時,也有效的保障了我國公民的個人隱私。
因此,作為我國網絡安全保障體系的重要組成部分,信息安全標準是政府進行宏觀管理的重要手段,是網絡安全產業發展的重要支撐,是維護國家公民個人信息安全的重要保障。
二、信息安全標準制定工作的總體情況
經國家標準化管理委員會批準,全國信息安全標準化技術委員會(簡稱信安標委,SAC/TC260)于2002年4月15日在北京正式成立,秘書處設在中國電子技術標準化研究院。信安標委負責組織開展國內信息安全有關的標準化技術工作,工作范圍包括:安全技術、安全機制、安全服務、安全管理、安全評估等領域。信安標委下設7個工作組(WG),包括WG1-信息安全標準體系與協調工作組、WG2-涉密信息系統安全保密標準工作組、WG3-密碼技術工作組、WG4-鑒別與授權工作組、WG5-信息安全評估工作組、WG6-通信安全標準工作組、WG7-信息安全管理工作組。
信安標委成立以來,我國信息安全標準化工作經歷了以跟蹤和采用國際標準為主到采用國際標準與自主研制并重的發展歷程,標準制定工作取得了顯著成績。截至2014年10月,信安標委共組織申報信息安全國家標準290項,其中284項已獲批立項,正式發布國家標準142項。標準范圍涵蓋了信息安全基礎、安全技術與機制、安全管理、安全評估以及保密、密碼和通信安全等多個領域,有力保障了國家和社會的網絡安全。
為了加強信息安全標準化工作的管理和為行業單位提供全方位服務,信安標委建設了國家信息安全標準管理與服務平臺,實現對信息安全標準制定全生命周期過程的公開、透明化管理,創建了國內外信息安全標準資源庫。同時,信安標委還高度重視信息安全標準化頂層設計與戰略規劃研究,并配合國家網絡安全政策及各部門工作急需,及時研制了信息安全配套標準。在國際標準制定活動中,信安標委積極開展國際信息安全標準化交流工作,堅持跟蹤研究國際動態,實質性參與國際標準化活動,提出多項國際標準提案及多份國際標準貢獻物。我國信息安全標準體系的建立,為我國各項信息安全保障工作,例如云計算服務網絡安全管理、政府信息系統安全檢查、信息系統安全等級保護、信息安全產品檢測與認證及市場準入、信息安全風險評估、涉密信息系統安全分級保護和保密安全檢查等,提供了強有力的技術支撐和重要依據。
三、熱點行業領域發展需要信息安全標準的技術支撐
隨著云計算、大數據、物聯網、智慧城市、移動互聯網、工控系統安全等熱點領域技術的完善與普及,社會各領域在感受到新技術帶來巨大便利的同時,也深刻意識到了其帶來的安全風險與隱患。這些熱點行業領域的健康快速發展急需信息安全標準的技術支撐。
(一)云計算
云計算是一種基于互聯網的相關服務的增加、使用和交付模式,通常涉及通過互聯網來提供動態、易擴展且經常是虛擬化的資源。隨著云計算技術在日常生活中的廣泛普及,各種安全隱患也逐漸凸顯。“棱鏡門”事件爆發后,人們發現由于現今大量用戶將數據存放于云服務商手中,從而方便了美國國家安全局通過互聯網獲得個人信息。因此,針對云服務安全問題制定相關標準,利用管理手段加強云計算中網絡安全防護,便成為應對數據泄露、數據所有權丟失、虛擬服務器組成文件的權限控制等問題的重要手段之一。
(二)大數據
隨著當今社會逐漸進入大數據時代,各政府、部門和企業都已經意識到了大數據本身以及其中蘊含的巨大價值。然而在大數據相關產業蓬勃發展的同時,也帶來了諸多的安全隱患。例如,大數據在數據采集、數據訪問、數據存儲和數據內容安全等方面均存在著極大的風險;在分析大數據中蘊含的信息之后,可以精確地預測人們的狀態和行為,從而導致個人信息的泄露。面對大數據中遇到的這些問題,研制大數據分級保護、數據脫敏以及數據安全存儲等相關標準,確保大數據中個人信息的安全可信。
(三)物聯網
作為通信網和互聯網的網絡延伸與應用拓展,物聯網利用感知技術和智能裝置對物理世界進行感知識別,通過網絡傳輸互聯,進行計算、處理和知識挖掘,從而實現人與物、物與物的信息交互和無縫鏈接,以達到對物理世界實時控制、精確管理和科學決策的目的。由于物聯網中諸多被感知終端的配置性能無法滿足傳統數據加密算法的要求,面對繁雜的實際環境,各廠商均采用自有的加密策略,從而在一定程度上影響了物聯網應用層中數據的處理。當前物聯網技術急需統一的數據加密標準,從而為應用層中數據的協同處理提供支撐。
(四)工控系統安全
隨著我國兩化融合進程的加快,我國諸多工業命脈行業均對傳統工業控制系統進行了信息化升級。當前工控系統在設計之初由于安全意識淡薄,技術條件薄弱等原因,使得信息安全問題逐漸出現在了工業控制領域。2010年伊朗政府核電站感染的Stuxnet病毒嚴重影響了核反應堆的安全運行;2011年美國黑客入侵伊利諾伊州城市供水系統的數據采集和監控系統,使得供水泵遭到破壞。工控系統中安全問題的發生除了傳統的技術原因,更重要的是網絡安全管理的規范化缺乏造成的。針對此現狀,制定工控系統的安全管理、測評等標準,以此確保各工業行業的網絡安全。
四、下一步工作思路
信息安全標準化工作意義重大,任道而重遠。我們應該采取措施有針對性的提升我國信息安全標準化工作水平,帶動信息技術產業及相關產業行業發展實現更大突破,支撐國家網絡安全審查制度的順利實施。首先,立足國情,制定信息安全標準化發展戰略規劃與標準體系。制定完善云計算、大數據、物聯網等新一代信息技術在重點領域的應用標準。其次,突出重點,盡快制定確保黨政機關和重要行業網絡安全的急需標準。此外,加大投入,不斷研究信息安全標準的測試驗證新方法、開發檢測工具,建設和完善信息安全標準研究與驗證環境,從而保證信息安全標準化工作科學性。最后,積極參與網絡安全領域國際標準化活動,進一步提高我國在國際標準化工作中的話語權。
京公網安備 11010502049343號