中國科學院大學教授趙戰生:網絡安全標準化工作概要
發布時間:
2018-01-10
來源:
2017年9月22日,由陜西省委網絡安全與信息化領導小組辦公室、陜西公安廳、陜西省密碼管理局、陜西電子政務辦公室指導、陜西省信息網絡安全協會支持,得安信息技術有限公司承辦,西安惠安云動網絡科技有限公司協辦的“網絡安全與密碼應用研討會”在西安唐隆國際酒店舉行。中國科學院大學教授趙戰生就“網絡安全標準化工作概要”發表了演講。
一.標準的作用及其重要性
1.信息安全標準體現了人們對信息安全的意識、認識和共識。
2.大規模的生產、部署信息安全技術產品、服務和管理,需要具有共識的技術規范和管理措施。
3.工欲善其事,必先利其器。
4.沒有規矩不能成方圓。
5.標準發揮著基礎性、規范性、引領性重要作用。
TC260第一屆主任曲維枝同志指出:
沒有信息安全的信息化是危險的信息化;沒有完善的信息安全標準,信息化建設中的產品、系統、工程就不能實現安全的互聯、互通、互操作,就不能形成我國自主的信息安全產業,就不能構造出一個自主可控的信息安全保障體系,就難以保證國家信息安全和國家利益。
認識在提升:
1.信息安全伴隨信息化而生,在斗爭博弈中成長,體現保障體系的對抗。
2.信息安全標準體系是信息安全保障體系的重要組成部分。
3.標準化工作是維護國家主權,體現我國話語權,保安全,捍利益的重要陣地。
4.中國需要從戰略博弈的角度出發,推進網絡安全技術標準的制訂和完善。
信息安全標準化工作內容:
WG1:信息安全管理體系
WG2:密碼學與安全機制
WG3:安全評價準則
WG4:安全控制與服務
WG5:身份管理與隱私保護技術
二.TC260的機構機制
完善了規章制度:
全國信息安全標準化技術委員會章程
全國信息安全標準化技術委員會工作組章程
全國信息安全標準化技術委員會標準制修訂工作程序
信息安全國家標準項目管理辦法
信息安全國際標準化活動管理辦法
三.標準化工作的成績
截止2016年底,發布標準190項,列入制修訂計劃134項。
2016年內,新發布標準30項,完成報批稿29項,新上制修訂計劃21項。
我國信息安全保障工作的基本制度性安排:
信息安全等級保護
涉密信息系統的分級保護
關鍵信息基礎設施保護
密碼技術的研究、開發、應用、管理
信息安全保障工作中的產品、服務認證認可
四.WG7至2015年制定的標準
五.新標準在路上
工業控制系統:
《信息安全技術 工業控制系統產品信息安全通用評估準則》
《信息安全技術 工業控制系統漏洞檢測技術要求及測試評價方法》
《信息安全技術 工業控制系統信息安全檢查指南》
《信息安全技術 工業控制系統專用防火墻技術要求》
《信息安全技術 工業控制系統網絡審計產品安全技術要求》
《信息安全技術 工業控制網絡安全隔離與信息交換系統安全技術要求》
《信息安全技術 工業控制系統風險評估實施指南》
《信息安全技術 工業控制系統安全管理基本要求》
《信息安全技術 工業控制系統信息安全分級規范》
《信息安全技術 工業控制系統安全控制應用指南》
關鍵信息基礎設施安全:
《信息安全技術 關鍵信息基礎設施安全保障評價指標體系》
《信息安全技術 關鍵信息基礎設施安全檢查評估指南》
云計算安全:
《信息安全技術 桌面云安全技術要求》
《信息安全技術 云計算服務運行監管框架》
《信息安全技術 云計算安全參考架構》
《信息安全技術 云計算服務安全能力評估方法》
《信息安全技術 網站安全云防護平臺技術要求》
物聯網:
《信息安全技術 射頻識別系統密碼應用技術要求 第1部分:密碼安全保護框架及安全級別》
《信息安全技術 射頻識別系統密碼應用技術要求 第2部分:電子標簽與讀寫器及其通信密碼應用技術要求》
《信息安全技術 物聯網感知層接入信息網絡的安全技術要求》
《信息安全技術 物聯網數據傳輸安全技術要求》
《信息安全技術 物聯網安全參考模型及通用要求》
《信息安全技術 物聯網感知層網關安全技術要求》《信息安全技術 物聯網感知層網關安全技術要求》
《信息安全技術 物聯網感知終端應用安全技術要求》
《信息安全技術 射頻識別(RFID)系統通用安全技術要求》
移動通信:
《信息安全技術 移動簽名通用技術規范》
《信息安全技術 移動終端安全管理平臺技術要求》
《信息安全技術 移動互聯網第三方應用服務器安全技術要求》
《信息安全技術 移動終端安全保護技術要求》
《信息安全技術 移動智能終端應用軟件安全技術要求和測試評價方法》
《信息安全技術 移動智能終端操作系統安全測試評價方法》
《信息安全技術 移動智能終端個人信息保護技術要求》
《信息安全技術 移動智能終端數據存儲安全技術要求和測試評價方法》
《信息安全技術 低速無線個域網空口安全測試規范》
《信息安全技術 電子政務移動辦公安全技術規范》
大數據:
《信息安全技術 大數據安全管理指南》
《信息安全技術 大數據服務安全能力要求》
《信息安全技術 數據出境安全評估指南》
《信息安全技術 智能音視頻采集設備應用安全要求》
《信息安全技術 網絡存儲安全技術要求》
《信息安全技術 數據安全能力成熟度模型》
《信息安全技術 數據交易服務安全要求》
六.適應新形勢的頂層設計
三部門文件《關于加強國家網絡安全標準化工作的若干意見》解析:
國際和國外在信息安全保障方面加速出臺了體系化的適應新技術新應用的大量安全標準。
我們不能滿足已有成績,必須為適應新形勢,配合我國信息安全戰略和法規的要求進行進一步的標準化工作的頂層設計。
文件以聚集正能量,弘揚主旋律的方式為適應新形勢提出了我國信息安全標準化工作的方向、任務和相關措施。
提出十九項措施:
一、工作機制
(1)建立統一權威的國家標準工作機制。
(2)促進行業標準規范有序發展。
(3)促進產業應用與標準化的緊密互動。
(4)推動軍民標準兼容。
二、加強標準體系建設
(5)科學構建標準體系。
(6)優化完善各級標準。
(7)推進急需重點標準制定。
三、提升標準質量和基礎能力
(8)提高標準適用性。
(9)提高標準先進性。
(10)提高標準制定的規范性。
(11)加強標準化基礎能力建設。
四、強化標準宣傳實施
(12)加強標準的宣傳解讀。
(13)加大標準實施力度。
五、加強國際標準化工作
(14)實質性參與國際標準化活動。
(15)推動國際標準化工作常態化、持續化。
六、抓好標準化人才隊伍建設
(16)積極開展教育培訓。
(17)引進和培育高端人才。
七、做好資金保障
(18)做好財政資金保障工作。
(19)鼓勵社會資金支持。
|
相關資訊
