©Copyright 2017北京得安信息技术有限公司    陕ICP备2021014866号-1    网站建设:中企动力 北京

中国科学院大学教授赵战生:网络安全标准化工作概要

中国科学院大学教授赵战生:网络安全标准化工作概要

 

2017年9月22日,由陕西省委网络安全与信息化领导小组办公室、陕西公安厅、陕西省密码管理局、陕西电子政务办公室指导、陕西省信息网络安全协会支持,得安信息技术有限公司承办,西安惠安云动网络科技有限公司协办的“网络安全与密码应用研讨会”在西安唐隆国际酒店举行。中国科学院大学教授赵战生就“网络安全标准化工作概要”发表了演讲。

 

一.标准的作用及其重要性

 

1.信息安全标准体现了人们对信息安全的意识、认识和共识。

2.大规模的生产、部署信息安全技术产品、服务和管理,需要具有共识的技术规范和管理措施。

3.工欲善其事,必先利其器。

4.没有规矩不能成方圆。

5.标准发挥着基础性、规范性、引领性重要作用。

 

TC260第一届主任曲维枝同志指出:

没有信息安全的信息化是危险的信息化;没有完善的信息安全标准,信息化建设中的产品、系统、工程就不能实现安全的互联、互通、互操作,就不能形成我国自主的信息安全产业,就不能构造出一个自主可控的信息安全保障体系,就难以保证国家信息安全和国家利益。

 

认识在提升:

1.信息安全伴随信息化而生,在斗争博弈中成长,体现保障体系的对抗。

2.信息安全标准体系是信息安全保障体系的重要组成部分。

3.标准化工作是维护国家主权,体现我国话语权,保安全,捍利益的重要阵地。

4.中国需要从战略博弈的角度出发,推进网络安全技术标准的制订和完善。

 

信息安全标准化工作内容:

WG1:信息安全管理体系

WG2:密码学与安全机制

WG3:安全评价准则

WG4:安全控制与服务

WG5:身份管理与隐私保护技术

 

二.TC260的机构机制

 

 

完善了规章制度:

全国信息安全标准化技术委员会章程

全国信息安全标准化技术委员会工作组章程

全国信息安全标准化技术委员会标准制修订工作程序

信息安全国家标准项目管理办法

信息安全国际标准化活动管理办法

 

三.标准化工作的成绩

 

截止2016年底,发布标准190项,列入制修订计划134项。

2016年内,新发布标准30项,完成报批稿29项,新上制修订计划21项。

 

我国信息安全保障工作的基本制度性安排: 

信息安全等级保护

涉密信息系统的分级保护

关键信息基础设施保护

密码技术的研究、开发、应用、管理

信息安全保障工作中的产品、服务认证认可

 

 

四.WG7至2015年制定的标准

 

 

 

 

 

 

 

 

 

 

五.新标准在路上

 

工业控制系统:

《信息安全技术 工业控制系统产品信息安全通用评估准则》

《信息安全技术 工业控制系统漏洞检测技术要求及测试评价方法》

《信息安全技术 工业控制系统信息安全检查指南》

《信息安全技术 工业控制系统专用防火墙技术要求》

《信息安全技术 工业控制系统网络审计产品安全技术要求》

《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》

《信息安全技术 工业控制系统风险评估实施指南》

《信息安全技术 工业控制系统安全管理基本要求》

《信息安全技术 工业控制系统信息安全分级规范》

《信息安全技术 工业控制系统安全控制应用指南》

 

关键信息基础设施安全:

《信息安全技术 关键信息基础设施安全保障评价指标体系》

《信息安全技术 关键信息基础设施安全检查评估指南》

 

云计算安全:

《信息安全技术 桌面云安全技术要求》

《信息安全技术 云计算服务运行监管框架》

《信息安全技术 云计算安全参考架构》

《信息安全技术 云计算服务安全能力评估方法》

《信息安全技术 网站安全云防护平台技术要求》

 

物联网:

《信息安全技术 射频识别系统密码应用技术要求 第1部分:密码安全保护框架及安全级别》

《信息安全技术 射频识别系统密码应用技术要求 第2部分:电子标签与读写器及其通信密码应用技术要求》

《信息安全技术 物联网感知层接入信息网络的安全技术要求》

《信息安全技术 物联网数据传输安全技术要求》

《信息安全技术 物联网安全参考模型及通用要求》

《信息安全技术 物联网感知层网关安全技术要求》《信息安全技术 物联网感知层网关安全技术要求》

《信息安全技术 物联网感知终端应用安全技术要求》

《信息安全技术 射频识别(RFID)系统通用安全技术要求》

 

移动通信:

《信息安全技术 移动签名通用技术规范》

《信息安全技术 移动终端安全管理平台技术要求》

《信息安全技术 移动互联网第三方应用服务器安全技术要求》

《信息安全技术 移动终端安全保护技术要求》

《信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》

《信息安全技术 移动智能终端操作系统安全测试评价方法》

《信息安全技术 移动智能终端个人信息保护技术要求》

《信息安全技术 移动智能终端数据存储安全技术要求和测试评价方法》

《信息安全技术 低速无线个域网空口安全测试规范》

《信息安全技术 电子政务移动办公安全技术规范》

 

大数据:

《信息安全技术 大数据安全管理指南》

《信息安全技术 大数据服务安全能力要求》

《信息安全技术 数据出境安全评估指南》

《信息安全技术 智能音视频采集设备应用安全要求》

《信息安全技术 网络存储安全技术要求》

《信息安全技术 数据安全能力成熟度模型》

《信息安全技术 数据交易服务安全要求》

 

六.适应新形势的顶层设计

 

三部门文件《关于加强国家网络安全标准化工作的若干意见》解析:

国际和国外在信息安全保障方面加速出台了体系化的适应新技术新应用的大量安全标准。

我们不能满足已有成绩,必须为适应新形势,配合我国信息安全战略和法规的要求进行进一步的标准化工作的顶层设计。

文件以聚集正能量,弘扬主旋律的方式为适应新形势提出了我国信息安全标准化工作的方向、任务和相关措施。

 

提出十九项措施:

一、工作机制

(1)建立统一权威的国家标准工作机制。

(2)促进行业标准规范有序发展。

(3)促进产业应用与标准化的紧密互动。

(4)推动军民标准兼容。

二、加强标准体系建设

(5)科学构建标准体系。

(6)优化完善各级标准。

(7)推进急需重点标准制定。

三、提升标准质量和基础能力

(8)提高标准适用性。

(9)提高标准先进性。

(10)提高标准制定的规范性。

(11)加强标准化基础能力建设。

四、强化标准宣传实施

(12)加强标准的宣传解读。

(13)加大标准实施力度。

五、加强国际标准化工作

(14)实质性参与国际标准化活动。

(15)推动国际标准化工作常态化、持续化。

六、抓好标准化人才队伍建设

(16)积极开展教育培训。

(17)引进和培育高端人才。

七、做好资金保障

(18)做好财政资金保障工作。

(19)鼓励社会资金支持。