標(biāo)準(zhǔn)是對重復(fù)性事物和概念所做的統(tǒng)一規(guī)定。它以科學(xué)��、技術(shù)和實(shí)踐經(jīng)驗(yàn)的綜合成果為基礎(chǔ)��,經(jīng)有關(guān)方面協(xié)商一致�����,由主管機(jī)構(gòu)批準(zhǔn)����,以特定形式發(fā)布,作為共同遵守的準(zhǔn)則和依據(jù)��。
高林
中國電子技術(shù)標(biāo)準(zhǔn)化研究院副院長
一���、信息安全標(biāo)準(zhǔn)化工作具有重要意義
標(biāo)準(zhǔn)化工作已經(jīng)成為治理能力提升的助推器、市場經(jīng)濟(jì)運(yùn)行的耦合器��、政府職能轉(zhuǎn)變的容納器以及技術(shù)創(chuàng)新的重要手段�,信息安全標(biāo)準(zhǔn)更是對我國國家安全和社會(huì)長治久安具有重要的意義。信息安全標(biāo)準(zhǔn)通常由國家組織編制����,并在此基礎(chǔ)上對信息安全行業(yè)提供指導(dǎo),從而實(shí)現(xiàn)維護(hù)國家安全和社會(huì)穩(wěn)定的重要目的。
例如��,網(wǎng)站可信���、安全可靠辦公信息系統(tǒng)等政府急需信息安全標(biāo)準(zhǔn)的編制,有力的保障了我國黨政機(jī)關(guān)的信息安全����、維護(hù)了國家利益;工業(yè)控制系統(tǒng)中的信息安全標(biāo)準(zhǔn)的制定,對于保護(hù)我國電力�、石油化工以及公共交通等命脈行業(yè)的安全運(yùn)營具有重要作用;國家網(wǎng)絡(luò)安全審查有關(guān)支撐標(biāo)準(zhǔn)的制定,在確保我國國家網(wǎng)絡(luò)空間安全的同時(shí)�,也有效的保障了我國公民的個(gè)人隱私。
二�、信息安全標(biāo)準(zhǔn)制定工作的總體情況
經(jīng)國家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)��,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(簡稱信安標(biāo)委�����,SAC/TC260)于2002年4月15日在北京正式成立����,秘書處設(shè)在中國電子技術(shù)標(biāo)準(zhǔn)化研究院�����。信安標(biāo)委負(fù)責(zé)組織開展國內(nèi)信息安全有關(guān)的標(biāo)準(zhǔn)化技術(shù)工作����,工作范圍包括:安全技術(shù)、安全機(jī)制�����、安全服務(wù)��、安全管理�、安全評估等領(lǐng)域。信安標(biāo)委下設(shè)7個(gè)工作組(WG),包括WG1-信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組����、WG2-涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組、WG3-密碼技術(shù)工作組���、WG4-鑒別與授權(quán)工作組����、WG5-信息安全評估工作組����、WG6-通信安全標(biāo)準(zhǔn)工作組、WG7-信息安全管理工作組�����。
信安標(biāo)委成立以來工作取得了顯著成績����。截至2014年10月���,信安標(biāo)委共組織申報(bào)信息安全國家標(biāo)準(zhǔn)290項(xiàng)����,其中284項(xiàng)已獲批立項(xiàng),正式發(fā)布國家標(biāo)準(zhǔn)142項(xiàng)�。標(biāo)準(zhǔn)范圍涵蓋了信息安全基礎(chǔ)、安全技術(shù)與機(jī)制���、安全管理����、安全評估以及保密�����、密碼和通信安全等多個(gè)領(lǐng)域����,有力保障了國家和社會(huì)的網(wǎng)絡(luò)安全。
為了加強(qiáng)信息安全標(biāo)準(zhǔn)化工作的管理和為行業(yè)單位提供全方位服務(wù)��,信安標(biāo)委建設(shè)了國家信息安全標(biāo)準(zhǔn)管理與服務(wù)平臺����,實(shí)現(xiàn)對信息安全標(biāo)準(zhǔn)制定全生命周期過程的公開、透明化管理���,創(chuàng)建了國內(nèi)外信息安全標(biāo)準(zhǔn)資源庫�����。同時(shí)���,信安標(biāo)委還高度重視信息安全標(biāo)準(zhǔn)化頂層設(shè)計(jì)與戰(zhàn)略規(guī)劃研究��,并配合國家網(wǎng)絡(luò)安全政策及各部門工作急需���,及時(shí)研制了信息安全配套標(biāo)準(zhǔn)。在國際標(biāo)準(zhǔn)制定活動(dòng)中���,信安標(biāo)委積極開展國際信息安全標(biāo)準(zhǔn)化交流工作���,堅(jiān)持跟蹤研究國際動(dòng)態(tài),實(shí)質(zhì)性參與國際標(biāo)準(zhǔn)化活動(dòng)��,提出多項(xiàng)國際標(biāo)準(zhǔn)提案及多份國際標(biāo)準(zhǔn)貢獻(xiàn)物�。
我國信息安全標(biāo)準(zhǔn)體系的建立�����,為我國各項(xiàng)信息安全保障工作,例如云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理���、政府信息系統(tǒng)安全檢查�����、信息系統(tǒng)安全等級保護(hù)����、信息安全產(chǎn)品檢測與認(rèn)證及市場準(zhǔn)入�����、信息安全風(fēng)險(xiǎn)評估���、涉密信息系統(tǒng)安全分級保護(hù)和保密安全檢查等�,提供了強(qiáng)有力的技術(shù)支撐和重要依據(jù)���。
三����、熱點(diǎn)行業(yè)領(lǐng)域發(fā)展需要信息安全標(biāo)準(zhǔn)的技術(shù)支撐
隨著熱點(diǎn)行業(yè)領(lǐng)域的健康快速發(fā)展���,如云計(jì)算�、大數(shù)據(jù)、物聯(lián)網(wǎng)����、智慧城市、移動(dòng)互聯(lián)網(wǎng)��、工控系統(tǒng)安全等熱點(diǎn)領(lǐng)域技術(shù)的完善與普及��,社會(huì)各領(lǐng)域在感受到新技術(shù)帶來巨大便利的同時(shí)���,也深刻意識到了其帶來的安全風(fēng)險(xiǎn)與隱患��。
(一)云計(jì)算
隨著云計(jì)算技術(shù)在日常生活中的廣泛普及�����,各種安全隱患也逐漸凸顯���。云計(jì)算是一種基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付模式�,通常涉及通過互聯(lián)網(wǎng)來提供動(dòng)態(tài)、易擴(kuò)展且經(jīng)常是虛擬化的資源���。針對云服務(wù)安全問題制定相關(guān)標(biāo)準(zhǔn)��,利用管理手段加強(qiáng)云計(jì)算中網(wǎng)絡(luò)安全防護(hù)�,便成為應(yīng)對數(shù)據(jù)泄露��、數(shù)據(jù)所有權(quán)丟失�����、虛擬服務(wù)器組成文件的權(quán)限控制等問題的重要手段之一�。
(二)物聯(lián)網(wǎng)
由于物聯(lián)網(wǎng)中諸多被感知終端的配置性能無法滿足傳統(tǒng)數(shù)據(jù)加密算法的要求,面對繁雜的實(shí)際環(huán)境�,各廠商均采用自有的加密策略,從而在一定程度上影響了物聯(lián)網(wǎng)應(yīng)用層中數(shù)據(jù)的處理����。當(dāng)前物聯(lián)網(wǎng)技術(shù)急需統(tǒng)一的數(shù)據(jù)加密標(biāo)準(zhǔn),從而為應(yīng)用層中數(shù)據(jù)的協(xié)同處理提供支撐�����。作為通信網(wǎng)和互聯(lián)網(wǎng)的網(wǎng)絡(luò)延伸與應(yīng)用拓展��,物聯(lián)網(wǎng)利用感知技術(shù)和智能裝置對物理世界進(jìn)行感知識別�,通過網(wǎng)絡(luò)傳輸互聯(lián)����,進(jìn)行計(jì)算����、處理和知識挖掘,從而實(shí)現(xiàn)人與物���、物與物的信息交互和無縫鏈接����,以達(dá)到對物理世界實(shí)時(shí)控制���、精確管理和科學(xué)決策的目的����。
(三)大數(shù)據(jù)
隨著當(dāng)今社會(huì)逐漸進(jìn)入大數(shù)據(jù)時(shí)代�,各政府、部門和企業(yè)都已經(jīng)意識到了大數(shù)據(jù)本身以及其中蘊(yùn)含的巨大價(jià)值�����,同時(shí)也帶來了諸多的安全隱患��。例如,大數(shù)據(jù)在數(shù)據(jù)采集�����、數(shù)據(jù)訪問�、數(shù)據(jù)存儲和數(shù)據(jù)內(nèi)容安全等方面均存在著極大的風(fēng)險(xiǎn);在分析大數(shù)據(jù)中蘊(yùn)含的信息之后�,可以精確地預(yù)測人們的狀態(tài)和行為,從而導(dǎo)致個(gè)人信息的泄露��。面對大數(shù)據(jù)中遇到的這些問題����,研制大數(shù)據(jù)分級保護(hù)、數(shù)據(jù)脫敏以及數(shù)據(jù)安全存儲等相關(guān)標(biāo)準(zhǔn)�,確保大數(shù)據(jù)中個(gè)人信息的安全可信。
(四)工控系統(tǒng)安全
當(dāng)前工控系統(tǒng)在設(shè)計(jì)之初由于安全意識淡薄���,技術(shù)條件薄弱等原因�����,使得信息安全問題逐漸出現(xiàn)在了工業(yè)控制領(lǐng)域���。2010年伊朗政府核電站感染的Stuxnet病毒嚴(yán)重影響了核反應(yīng)堆的安全運(yùn)行;2011年美國黑客入侵伊利諾伊州城市供水系統(tǒng)的數(shù)據(jù)采集和監(jiān)控系統(tǒng)����,使得供水泵遭到破壞���。工控系統(tǒng)中安全問題的發(fā)生除了傳統(tǒng)的技術(shù)原因�,更重要的是網(wǎng)絡(luò)安全管理的規(guī)范化缺乏造成的�。針對此現(xiàn)狀,制定工控系統(tǒng)的安全管理����、測評等標(biāo)準(zhǔn),以此確保各工業(yè)行業(yè)的網(wǎng)絡(luò)安全��。
四��、下一步信息安全標(biāo)準(zhǔn)化工作思路
信息安全標(biāo)準(zhǔn)化工作意義重大����,任道而重遠(yuǎn)。我們應(yīng)該采取措施有針對性的提升我國信息安全標(biāo)準(zhǔn)化工作水平���,帶動(dòng)信息技術(shù)產(chǎn)業(yè)及相關(guān)產(chǎn)業(yè)行業(yè)發(fā)展實(shí)現(xiàn)更大突破��,支撐國家網(wǎng)絡(luò)安全審查制度的順利實(shí)施����。
首先,立足國情�,制定信息安全標(biāo)準(zhǔn)化發(fā)展戰(zhàn)略規(guī)劃與標(biāo)準(zhǔn)體系。制定完善云計(jì)算�����、大數(shù)據(jù)���、物聯(lián)網(wǎng)等新一代信息技術(shù)在重點(diǎn)領(lǐng)域的應(yīng)用標(biāo)準(zhǔn)。
其次�����,突出重點(diǎn)��,盡快制定確保黨政機(jī)關(guān)和重要行業(yè)網(wǎng)絡(luò)安全的急需標(biāo)準(zhǔn)����。此外,加大投入��,不斷研究信息安全標(biāo)準(zhǔn)的測試驗(yàn)證新方法、開發(fā)檢測工具����,建設(shè)和完善信息安全標(biāo)準(zhǔn)研究與驗(yàn)證環(huán)境,從而保證信息安全標(biāo)準(zhǔn)化工作科學(xué)性�����。
最后����,積極參與網(wǎng)絡(luò)安全領(lǐng)域國際標(biāo)準(zhǔn)化活動(dòng),進(jìn)一步提高我國在國際標(biāo)準(zhǔn)化工作中的話語權(quán)�����。
為更好的為公眾說明安全知識的重要性��,本站引用了部分來源于網(wǎng)絡(luò)的圖片插圖��,無任何商業(yè)性目的����。適用于《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》第六條“為介紹、評論某一作品或者說明某一問題��,在向公眾提供的作品中適當(dāng)引用已經(jīng)發(fā)表的作品”之規(guī)定。如果權(quán)利人認(rèn)為受到影響�����,請與我方聯(lián)系����,我方核實(shí)后立即刪除。
