杨建军
工业控制系统信息安全产业联盟副理事长、
中国电子技术标准化研究院副院长、
全国信息安全标准化技术委员会秘书长
您如何看待标准化工作对于我国信息安全事业发展的重要意义?
杨建军:标准是促进全球贸易、技术、环境、社会等可持续发展的重要支撑,是各国参与国际规则制定的重要途径,是一种层次更深、水平更高、影响更大的竞争。网络安全标准的竞争更是明显,谁占据了网络安全标准的制高点,谁就可以在网络安全博弈中赢得先机、掌握主动。作为国家网络安全保障体系建设的重要组成部分,网络安全标准在保障国家网络空间安全、推动社会治理体系变革方面发挥着基础性、规范性、引领性作用。在技术层面,网络安全标准是固化技术创新成果、推动新技术产业化的重要手段;在产业层面,网络安全标准是促进网络安全产业规模化发展的重要工具;在社会治理层面,网络安全标准是规范市场、保证质量的标杆。因此,做好网络安全标准化工作,对于维护国家安全,促进网络安全产业和技术发展都具有非常重要的意义。
请您为我们介绍一下我国信息安全标准工作的进展,取得了哪些成绩,还需要在哪些方面完善?
杨建军:我国信息安全标准化工作由全国信息安全标准化技术委员会(以下简称“信安标委”,编号SAC/TC260)负责。信安标委成立于2002年4月,是国家标准化管理委员会直属标委会,其工作范围包括信息安全技术、机制、服务、管理、评估等领域的标准化工作。国际对口ISO/IEC JTC1 SC27(国际标准化组织国际电工委员会第一联合技术委员会信息安全分委员会)。
信安标委现有委员81名,来自网络安全主管或监管部门以及从事信息安全科研、生产、应用、测评等单位。标委会秘书处设在中国电子技术标准化研究院。信安标委下设6个工作组和1个特别工作组:WG1:信息安全标准体系与协调工作组;WG3:密码技术工作组;WG4:鉴别与授权工作组;WG5:信息安全评估工作组;WG6:通信安全标准工作组;WG7:信息安全管理工作组;SWG-BDS:大数据安全标准特别工作组。
标委会自成立以来,重点围绕标准体系研究、标准制修订、试点验证、宣传推广、国际标准化等方面开展了一系列工作:
标准体系研究方面。信安标委长期以来高度重视网络安全标准顶层设计和体系研究工作。2016年,支撑中央网信办、国家标准委等部门制定并发布了《关于加强国家网络安全标准化工作的若干意见》,作为当前及今后一段时期国家网络安全标准化工作的纲领性文件,从工作机制、标准体系、标准质量、标准宣贯、国际标准化、人才建设、资金保障等方面详细提出了当前及今后一段时期我国网络安全标准化工作的重点任务。同时,落实《网络安全法》等法律法规要求,结合国家发展战略、产业政策、当前技术发展现状和实际应用需求,组织开展新技术新应用领域标准规划和体系研究工作,发布了《大数据安全标准化白皮书(2018版)》、《电子认证2.0白皮书(2018版)》和《汽车电子网络安全标准化白皮书(2018)》,为相关领域标准化工作的开展提供了规划和参考。
标准制修订方面。截止目前,信安标委已经组织制定并发布了268项网络安全国家标准,主要涉及密码、鉴别与授权、安全评估、通信安全、安全管理、大数据安全等领域,初步构建了国家网络安全标准体系框架,为国家网络安全审查、信息安全等级保护、信息安全产品检测与认证、信息安全风险评估、信息系统灾难恢复等国家网络安全保障工作,以及《电子签名法》、《网络安全法》的实施等提供了有力的标准化支撑。
标准试点验证方面。信安标委非常重视重要标准试点示范和验证工作。近年来,围绕《信息安全技术 云计算服务安全指南》和《信息安全技术 云计算服务安全能力要求》国家标准组织开展了云计算服务网络安全管理国家标准应用试点工作;以国家标准《信息安全技术 个人信息安全规范》为主要技术依据,组织开展个人信息保护提升行动之隐私条款专项工作,有效提升了互联网企业个人信息保护意识和水平,形成社会引导和示范效应;针对《信息安全技术 关键信息基础设施安全检查评估指南》《信息安全技术 数据安全能力成熟度评估模型》等重要在研标准开展了验证工作,选取典型标准应用场景,检验标准技术内容的可操作性和实用性,为标准实施落地积累经验。
标准宣传推广方面。2016年以来,在全国举办了15次网络安全标准宣传培训活动,累计培训人数近5000人。连续组织了三届网络安全国家标准优秀应用案例征集活动,推动了网络安全国家标准在政务部门、关键信息基础设施和重点行业中的应用实施。多次与黑龙江、河南、鞍山等地方网信办和人民政府联合举办网络安全国家标准宣贯培训活动,搭建了中央与地方网络安全工作交流平台。通过参与国家网络安全宣传周、世界标准日等国家大型网络安全活动,多形式多渠道加强标准的宣传推广。
国际标准化方面。自2004年起连续16年组团参加SC27会议,从最初的跟踪研究转变为实质参与。持续扩大国际标准专家队伍,国际标准注册专家人数达125人。近几年,包含我国密码算法SM3、SM2和SM9,信息安全事件分类分级等提案的8项国际标准获批发布,数据安全、可信网络连接、生物特征识别等国际标准制定项目在顺利推进中。我国还积极承办国际网络安全标准化会议,分别于2009年在北京、2018年在武汉成功承办了SC27工作组会议和全体会议,尤其是去年武汉举办的国际会议,组织严谨、保障有序、效果良好,得到了国内外与会专家的一致赞誉和高度评价。此外,不断加强中德、中法双边网络安全交流与合作,今年与德国标准化协会信息技术与应用标准化委员会(DIN/NIA)签署了合作谅解备忘录(MOU),为双方进一步开展务实合作奠定了基础。
我国信息安全标准体系主要包含哪几部分内容?目前每一部分的重点和发展情况如何?目前全国信安标委正在牵头编制《网络安全国家标准体系建设指南(2019)》,可否介绍一下相关的工作进展?《指南》的推出,将对我国网络安全事业有哪些积极作用?
杨建军:信安标委自成立以来,一直高度重视网络安全标准体系的建设和完善,每年会根据国家网络安全相关法律法规、政策、技术和产业发展、标准需求等变化,对标准体系框架进行适当调整,增补已发布标准和新立项项目,曾于2005年公开发布过一版体系。近年来,随着新技术新应用迅速发展,以及《网络安全法》和《关于加强国家网络安全标准化工作的若干意见》等法律政策文件的出台,综合考虑网络安全发展现状和标准化需求,从标准属性、保护对象和应用领域角度出发,初步构建了三维标准体系结构图,目前该体系还在不断完善过程中。
标准属性维主要从标准的基本特性出发,包括基础、技术与机制、管理、测评等标准。保护对象维主要从标准所面向的对象出发,包括产品与服务、网络与系统、数据、组织等标准。应用领域维主要从标准的应用角度出发,包括云计算、大数据、智慧城市、物联网、移动互联网、区块链、人工智能、关键信息基础设施等标准。
目前,《网络安全国家标准体系建设指南(2019)》正在编制过程中,预计将于今年年底发布。该《指南》的推出,会使我国信息安全标准体系更加科学合理,对下一阶段标准化工作具有重要的指导作用,可为信息安全标准制修订计划的提出提供重要依据,将为我国网络安全保障体系的建设提供有力支撑。
下一步我国信息安全标准工作的重点任务是什么?将在哪些方面重点开展工作?
杨建军:下一步,我国网络安全标准化工作将紧紧围绕以下几个方面开展工作:
一是从管理的维度,网络安全标准的制定和实施要以国家有关的政策法规为依据,标准要有利于政策法规的落地实施。今年国家互联网信息办公室陆续发布《网络安全审查办法(征求意见稿)》《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《云计算服务安全评估办法》等文件,标准的研制工作要紧紧围绕这些政策文件开展,以支撑政策文件的落地实施。
二是从技术的维度,网络安全标准的制定要在保障安全的基础上发挥更多作用,要通过标准规范和引导行业技术的发展。针对5G、人工智能、大数据等新技术新应用快速发展所带来的安全问题,要提前开展标准研究,研究其中潜在的安全风险和挑战,提前布局,以网络安全标准引领发展。
三是从应用的维度,网络安全标准的制定和实施要围绕网络安全的重点问题来开展。网络安全标准化工作要立足于现实、坚持问题导向,围绕人民群众的关切做老百姓有获得感的标准,例如智能门锁安全、个人信息保护等,都关乎着人民群众的切身利益及安全,要重点做好这些标准的研制和应用推广,发挥标准的规范性作用。
对于工业信息安全标准来说,目前我国的发展重点是什么?
杨建军:当前,随着智能制造、工业互联网等新型生产模式的发展,工业云计算、工业大数据等新兴技术的不断应用,传统信息安全防护技术存在手段单一、功能分散、自动化程度较低等问题,不能适应工业信息安全防护的新需求。为提升我国工业企业工业信息安全防护水平,指导我国工业信息安全防护工作开展,全国信安标委持续开展工业信息安全标准化工作,截至目前,共立项研制工业控制系统信息安全国家标准26项,范围涵盖工业控制系统安全分级、安全管理、安全实施、安全测评,以及典型工业控制系统、设备安全等领域,《信息安全技术 工业控制系统安全控制应用指南》(GB/T 32919-2016)等关键核心标准正式发布实施,已初步建立了工业控制系统信息安全标准体系,可为工信部等相关部门开展行业管理,以及工业企业提升安全防护水平提供标准支撑。然而,我国工业信息安全相关标准依然存在着可编程逻辑控制器(PLC)、分布式控制器(DCS)、数据采集与监视控制系统(SCADA)等核心工控产品安全要求、测评方法等相关标准缺失,难以有效支撑产品级安全测评工作。下一步,全国信安标委将持续完善工业信息安全标准体系,以提升工业领域关键信息基础设施安全防护水平为根本,围绕工信部工控安全防护能力评估、工业互联网安全等重点工作,加快推进急需标准研制。积极响应产业需求,紧跟技术发展,根据轻重缓急,研制工控系统关键产品安全技术要求、安全测试规范等标准,形成测试验证能力,提升相关产品的安全防护水平。
目前,国家标准《信息安全技术 工业互联网平台安全要求及评估规范》征求意见稿已经发布,可否简单介绍一下这个标准?此标准将在哪些方面促进我国工业互联网平台建设?此标准预计什么时候正式发布?对于该标准后续的执行、落地您有何考虑?
杨建军:面向工业互联网等新兴领域,信安标委统筹布局,开展工业互联网安全标准体系研究,梳理工业互联网安全标准化需求,厘清标准关系,为工业互联网安全标准体系建设工作提供指导。同时根据急用先行原则,开展《信息安全技术 工业互联网平台安全要求及评估规范》标准立项研制,用于指导工业互联网平台安全建设、运维及测评等工作。
《信息安全技术 工业互联网平台安全要求及评估规范》面向工业互联网平台相关组织机构,规定了工业互联网平台边缘层、工业IaaS层、工业PaaS层、工业SaaS层和安全管理等方面安全要求及配套评估规范,可规范相关组织开展工业互联网平台安全防护设计、规划、建设、运维等工作,同时也可为相关第三方评估组织开展工业互联网平台安全评估工作提供标准化指导。
自标准立项后,中国电子技术标准化研究院会同树根互联技术有限公司等单位成立标准工作组,开展标准研制工作。依据全国信安标委标准制修订工作流程有关要求,截至目前,标准工作组已在全国信安标委2019年第一次全国会议周上,推进该标准形成标准公开征求意见稿,并已在网上公开征求意见。下一步,标准编制组将根据公开征求意见的专家建议,修改标准文档,加快推进标准进程,拟于全国信安标委2019年第二次会议周上形成标准送审稿,推动标准尽快发布。
在标准正式发布后,标准工作组将依托全国信安标委,开展《信息安全技术 工业互联网平台安全要求及评估规范》标准宣贯培训、试点示范工作,服务工业互联网平台相关企业,帮助企业提升对标准内容的理解和使用。
2019年,我国主要有哪些工业信息安全相关标准推出?可否简单介绍一下这些标准?
杨建军:2019年8月30日,《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》《信息安全技术 工业控制系统漏洞检测产品技术要求及测试评价方法》《信息安全技术 工业控制系统产品信息安全通用评估准则》《信息安全技术 工业控制网络监测安全技术要求及测试评价方法》《信息安全技术 工业控制系统网络审计产品安全技术要求》《信息安全技术 工业控制系统专用防火墙技术要求》《信息安全技术 工业控制系统安全检查指南》等7项工业信息安全相关国家标准正式发布。中华人民共和国国家标准公告(2019年第10号)
《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》规定了工业控制网络安全隔离与信息交换系统的安全功能要求、安全保障要求和安全等级划分要求,适用于工业控制网络安全隔离与信息交换系统的设计、开发及测试。
《信息安全技术 工业控制系统漏洞检测产品技术要求及测试评价方法》规定了针对工业控制系统的漏洞检测产品的技术要求和测试评价方法,包括安全功能要求、自身安全要求和安全保障要求,以及相应的测试评价方法,适用于工业控制系统漏洞检测产品的设计、开发和测评。
《信息安全技术 工业控制系统产品信息安全通用评估准则》定义了工业控制系统产品安全评估的通用安全功能组件和安全保障组件集合,规定了工业控制系统产品的安全要求和评估准则,适用于工业控制系统产品安全保障能力的评估,产品安全功能的设计、开发和测试也可参照使用。
《信息安全技术 工业控制网络监测安全技术要求及测试评价方法》规定了工业控制网络监测产品的安全技术要求和测试评价方法,适用于工业控制网络监测产品的设计生产方对其设计、开发及测评等提供指导,同时也可为工业控制系统设计、建设和运维方开展工业控制系统安全防护工作提供指导。
《信息安全技术 工业控制系统网络审计产品安全技术要求》规定了工业控制系统网络审计产品的安全功能要求、安全保障要求和安全等级划分要求,适用于工业控制系统网络审计产品的设计、生产和测试。
《信息安全技术 工业控制系统专用防火墙技术要求》规定了工业控制系统专用防火墙的安全功能要求、安全保障要求、性能要求和安全等级划分要求,适用于工控防火墙的设计、开发和测试。
《信息安全技术 工业控制系统安全检查指南》规定了工业控制系统信息安全检查的目的、范围、方式、流程、方法和内容,适用于开展工业控制系统的信息安全监督检查、委托检查工作,同时也适用于各企业在本集团(系统)范围内开展相关系统的信息安全自检查。
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:baiyl
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。