中国电子技术标准化研究院副院长 高林
一、信息安全标准化工作具有重要意义
从本质上讲,标准是对重复性事物和概念所做的统一规定。它以科学、技术和实践经验的综合成果为基础,经有关方面协商一致,由主管机构批准,以特定形式发布,作为共同遵守的准则和依据。标准化工作已经成为治理能力提升的助推器、市场经济运行的耦合器、政府职能转变的容纳器以及技术创新的重要手段,信息安全标准更是对我国国家安全和社会长治久安具有重要的意义。
在信息安全领域,信息安全标准是确保信息安全产品和系统在设计、研发、生产、建设、使用、测评等过程中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。信息安全标准通常由国家组织编制,并在此基础上对信息安全行业提供指导,从而实现维护国家安全和社会稳定的重要目的。
例如,网站可信、安全可靠办公信息系统等政府急需信息安全标准的编制,有力的保障了我国党政机关的信息安全、维护了国家利益;工业控制系统中的信息安全标准的制定,对于保护我国电力、石油化工以及公共交通等命脉行业的安全运营具有重要作用;国家网络安全审查有关支撑标准的制定,在确保我国国家网络空间安全的同时,也有效的保障了我国公民的个人隐私。
因此,作为我国网络安全保障体系的重要组成部分,信息安全标准是政府进行宏观管理的重要手段,是网络安全产业发展的重要支撑,是维护国家公民个人信息安全的重要保障。
二、信息安全标准制定工作的总体情况
经国家标准化管理委员会批准,全国信息安全标准化技术委员会(简称信安标委,SAC/TC260)于2002年4月15日在北京正式成立,秘书处设在中国电子技术标准化研究院。信安标委负责组织开展国内信息安全有关的标准化技术工作,工作范围包括:安全技术、安全机制、安全服务、安全管理、安全评估等领域。信安标委下设7个工作组(WG),包括WG1-信息安全标准体系与协调工作组、WG2-涉密信息系统安全保密标准工作组、WG3-密码技术工作组、WG4-鉴别与授权工作组、WG5-信息安全评估工作组、WG6-通信安全标准工作组、WG7-信息安全管理工作组。
信安标委成立以来,我国信息安全标准化工作经历了以跟踪和采用国际标准为主到采用国际标准与自主研制并重的发展历程,标准制定工作取得了显著成绩。截至2014年10月,信安标委共组织申报信息安全国家标准290项,其中284项已获批立项,正式发布国家标准142项。标准范围涵盖了信息安全基础、安全技术与机制、安全管理、安全评估以及保密、密码和通信安全等多个领域,有力保障了国家和社会的网络安全。
为了加强信息安全标准化工作的管理和为行业单位提供全方位服务,信安标委建设了国家信息安全标准管理与服务平台,实现对信息安全标准制定全生命周期过程的公开、透明化管理,创建了国内外信息安全标准资源库。同时,信安标委还高度重视信息安全标准化顶层设计与战略规划研究,并配合国家网络安全政策及各部门工作急需,及时研制了信息安全配套标准。在国际标准制定活动中,信安标委积极开展国际信息安全标准化交流工作,坚持跟踪研究国际动态,实质性参与国际标准化活动,提出多项国际标准提案及多份国际标准贡献物。我国信息安全标准体系的建立,为我国各项信息安全保障工作,例如云计算服务网络安全管理、政府信息系统安全检查、信息系统安全等级保护、信息安全产品检测与认证及市场准入、信息安全风险评估、涉密信息系统安全分级保护和保密安全检查等,提供了强有力的技术支撑和重要依据。
三、热点行业领域发展需要信息安全标准的技术支撑
随着云计算、大数据、物联网、智慧城市、移动互联网、工控系统安全等热点领域技术的完善与普及,社会各领域在感受到新技术带来巨大便利的同时,也深刻意识到了其带来的安全风险与隐患。这些热点行业领域的健康快速发展急需信息安全标准的技术支撑。
(一)云计算
云计算是一种基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态、易扩展且经常是虚拟化的资源。随着云计算技术在日常生活中的广泛普及,各种安全隐患也逐渐凸显。“棱镜门”事件爆发后,人们发现由于现今大量用户将数据存放于云服务商手中,从而方便了美国国家安全局通过互联网获得个人信息。因此,针对云服务安全问题制定相关标准,利用管理手段加强云计算中网络安全防护,便成为应对数据泄露、数据所有权丢失、虚拟服务器组成文件的权限控制等问题的重要手段之一。
(二)大数据
随着当今社会逐渐进入大数据时代,各政府、部门和企业都已经意识到了大数据本身以及其中蕴含的巨大价值。然而在大数据相关产业蓬勃发展的同时,也带来了诸多的安全隐患。例如,大数据在数据采集、数据访问、数据存储和数据内容安全等方面均存在着极大的风险;在分析大数据中蕴含的信息之后,可以精确地预测人们的状态和行为,从而导致个人信息的泄露。面对大数据中遇到的这些问题,研制大数据分级保护、数据脱敏以及数据安全存储等相关标准,确保大数据中个人信息的安全可信。
(三)物联网
作为通信网和互联网的网络延伸与应用拓展,物联网利用感知技术和智能装置对物理世界进行感知识别,通过网络传输互联,进行计算、处理和知识挖掘,从而实现人与物、物与物的信息交互和无缝链接,以达到对物理世界实时控制、精确管理和科学决策的目的。由于物联网中诸多被感知终端的配置性能无法满足传统数据加密算法的要求,面对繁杂的实际环境,各厂商均采用自有的加密策略,从而在一定程度上影响了物联网应用层中数据的处理。当前物联网技术急需统一的数据加密标准,从而为应用层中数据的协同处理提供支撑。
(四)工控系统安全
随着我国两化融合进程的加快,我国诸多工业命脉行业均对传统工业控制系统进行了信息化升级。当前工控系统在设计之初由于安全意识淡薄,技术条件薄弱等原因,使得信息安全问题逐渐出现在了工业控制领域。2010年伊朗政府核电站感染的Stuxnet病毒严重影响了核反应堆的安全运行;2011年美国黑客入侵伊利诺伊州城市供水系统的数据采集和监控系统,使得供水泵遭到破坏。工控系统中安全问题的发生除了传统的技术原因,更重要的是网络安全管理的规范化缺乏造成的。针对此现状,制定工控系统的安全管理、测评等标准,以此确保各工业行业的网络安全。
四、下一步工作思路
信息安全标准化工作意义重大,任道而重远。我们应该采取措施有针对性的提升我国信息安全标准化工作水平,带动信息技术产业及相关产业行业发展实现更大突破,支撑国家网络安全审查制度的顺利实施。首先,立足国情,制定信息安全标准化发展战略规划与标准体系。制定完善云计算、大数据、物联网等新一代信息技术在重点领域的应用标准。其次,突出重点,尽快制定确保党政机关和重要行业网络安全的急需标准。此外,加大投入,不断研究信息安全标准的测试验证新方法、开发检测工具,建设和完善信息安全标准研究与验证环境,从而保证信息安全标准化工作科学性。最后,积极参与网络安全领域国际标准化活动,进一步提高我国在国际标准化工作中的话语权。