昨日,由中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局主導(dǎo),全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處主辦,中國電子技術(shù)標(biāo)準(zhǔn)化研究院和國家信息中心共同承辦的“第三屆網(wǎng)絡(luò)安全標(biāo)準(zhǔn)技術(shù)與應(yīng)用高峰論壇暨第三屆網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)優(yōu)秀應(yīng)用案例征集活動啟動會”在京舉行。中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局卿昱副局長、中國電子技術(shù)標(biāo)準(zhǔn)化研究院黨委書記林寧和國家信息中心常務(wù)副主任杜平等領(lǐng)導(dǎo)到會致辭。
本屆論壇內(nèi)容上主要圍繞國家網(wǎng)絡(luò)安全保障重點工作,邀請國內(nèi)外知名專家學(xué)者介紹國內(nèi)外相關(guān)標(biāo)準(zhǔn)化情況和最佳應(yīng)用案例,并對重點標(biāo)準(zhǔn)進(jìn)行了宣貫解讀。
安全牛小編也奔赴現(xiàn)場,并特別關(guān)注了中科院大學(xué)趙戰(zhàn)生教授和國家信息中心網(wǎng)絡(luò)安全部劉蓓處長的分享與解讀。
中美兩國在網(wǎng)絡(luò)空間的明爭暗斗,雖然早已不是什么新鮮事,但它仍舊是兩國人民關(guān)注的熱點,相關(guān)從業(yè)人員的焦點。習(xí)大大提出的命運共同體、新型大國關(guān)系,是我們的所謀所圖,但現(xiàn)實的博弈卻也在時刻提醒我們要有所警惕、應(yīng)對不測。
近年來,中國加快了信息化的步伐,同時對信息安全及其重要性的認(rèn)識,也在日漸提升。信安標(biāo)委第一屆主任委員曲維枝也曾提到過,“沒有信息安全的信息化是危險的信息化;沒有完善的信息安全標(biāo)準(zhǔn),信息化建設(shè)中的產(chǎn)品、系統(tǒng)、工程就不能實現(xiàn)安全的互聯(lián)、互通、互操作,就不能形成我國自主的信息安全產(chǎn)業(yè),就不能構(gòu)造出一個自主可控的信息安全保障體系,就難以保證國家信息安全和國家利益。”
基于此,相關(guān)信息安全標(biāo)準(zhǔn)的制定受到政府、企事業(yè)單位和科研院所等極大的重視,“網(wǎng)絡(luò)安全標(biāo)準(zhǔn)技術(shù)與應(yīng)用論壇及相關(guān)國家標(biāo)準(zhǔn)優(yōu)秀案例征集活動”也就此應(yīng)運而生。
對于國內(nèi)外網(wǎng)絡(luò)安全形勢和標(biāo)準(zhǔn)概況,趙戰(zhàn)生教授做了相關(guān)的內(nèi)容分享。
俗話說,老大難,老大難,老大重視就不難。
中美兩國網(wǎng)絡(luò)安全重視程度對比
美國奧巴馬政府公布了《網(wǎng)絡(luò)空間安全國家行動計劃》。此計劃包括了建立“國家網(wǎng)絡(luò)空間安全促進(jìn)委員會”,31億美元的信息技術(shù)現(xiàn)代化基金,設(shè)立聯(lián)邦首席信息安全官,建立網(wǎng)絡(luò)安全預(yù)備役,建立“國家網(wǎng)絡(luò)安全恢復(fù)能力”中心,建立“聯(lián)邦隱私委員會”,加大網(wǎng)絡(luò)安全的資金投入(17年預(yù)算為190億美元,較16年增長35%)等內(nèi)容。
同時,網(wǎng)傳奧巴馬政府還發(fā)布了“網(wǎng)絡(luò)威懾戰(zhàn)略”,使用全政府方式,調(diào)用國內(nèi)所有力量以應(yīng)對特定威脅,旨在創(chuàng)造惡意網(wǎng)絡(luò)活動的不確定性,增加對手行動面臨的代價和后果。即“顯示自己的能力,阻嚇對手的行為”。
而中國,不僅在15年7月頒布的《中華人民共和國國家安全法》第25條,從法律層面提出“國家建設(shè)網(wǎng)絡(luò)與信息安全保障體系,提升網(wǎng)絡(luò)與信息安全保護(hù)能力,加強(qiáng)網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開發(fā)應(yīng)用,實現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”,并最終達(dá)到“維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益”這一目標(biāo);同時,習(xí)大大還在烏鎮(zhèn)第二屆世界互聯(lián)網(wǎng)大會上,提出了業(yè)內(nèi)耳熟能詳?shù)?ldquo;四項原則”和“五點主張”,為我國所提出的“網(wǎng)絡(luò)安全主權(quán)觀”發(fā)出了更多的聲音。
在信息安全保障的工作方面,我國還成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組領(lǐng)導(dǎo)協(xié)調(diào)相關(guān)工作,并在人才培養(yǎng)方面,教育部在普通高校“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級學(xué)科,為我國信息安全的人才培養(yǎng)工作打下了基石。
除了國家層面對信息安全保障工作的重視以外,我們也要明確“信息安全的標(biāo)準(zhǔn)化工作”也是信息安全保障工作的重要一部分。“標(biāo)準(zhǔn)化工作是維護(hù)國家主權(quán),體現(xiàn)我國話語權(quán),保安全,捍利益的重要陣地,信息安全標(biāo)準(zhǔn)體系也是我國信息安全保障體系的重要組成部分。”
誰在制定信息安全標(biāo)準(zhǔn)
國際上信息安全標(biāo)準(zhǔn)化組織編號為ISO/IEC JTC1 SC27,下設(shè)五個工作組,分別是信息安全管理體系、密碼學(xué)與安全機(jī)制、安全評價準(zhǔn)則、安全控制與服務(wù)以及身份管理與隱私保護(hù)技術(shù)。而我國在密碼方面參與的比較多。
WG2 密碼與安全機(jī)制工作組
而信息安全管理體系(ISMS)的核心標(biāo)準(zhǔn)ISO/IEC 27000系列標(biāo)準(zhǔn),則主要是信息安全管理體系和安全控制與服務(wù)兩個工作組完成。
27000ISMS標(biāo)準(zhǔn)族
我國全國信息安全標(biāo)準(zhǔn)化技術(shù)委員(簡稱“信安標(biāo)委”)會成立于02年4月,編號SAC/TC260,下分七個工作組,負(fù)責(zé)ISO/IEC JTC1/SC27等信息安全國際標(biāo)準(zhǔn)化組織的歸口工作。
TC260布局
我國信息安全標(biāo)準(zhǔn)的體系構(gòu)成
02年成立之前,全部國家信息安全標(biāo)準(zhǔn)共19項,均由國際標(biāo)準(zhǔn)直接轉(zhuǎn)化而來;信安標(biāo)委成立后至今,正式頒布的國標(biāo)165項,正在制定的210項,其中包含保密標(biāo)準(zhǔn)(BMB)57項,密碼標(biāo)準(zhǔn)(GM)20項。
相關(guān)標(biāo)準(zhǔn)在信息安全保障中的重要作用
在“標(biāo)準(zhǔn)宣貫”方面,趙教授表示其是標(biāo)準(zhǔn)化工作中的重要環(huán)節(jié):
需求牽引——提出標(biāo)準(zhǔn)化工作方向;
研為用——檢驗標(biāo)準(zhǔn)落地;
實踐是檢驗標(biāo)準(zhǔn)——總結(jié)經(jīng)驗改進(jìn)提高。
在電子政務(wù)移動辦公系統(tǒng)安全方面,國家信息中心網(wǎng)絡(luò)安全部處長劉蓓做了她的解讀。
基于移動辦公的5A特性(任何地點、任何時間、任何人、任何設(shè)備以及任何事務(wù)),由國家信息中心牽頭的《電子政務(wù)移動辦公系統(tǒng)安全技術(shù)規(guī)范》在15年完成標(biāo)準(zhǔn)草案,并形成標(biāo)準(zhǔn)征求意見稿。標(biāo)準(zhǔn)(征求意見稿)涉及“電子政務(wù)移動辦公系統(tǒng)基本結(jié)構(gòu)”、“電子政務(wù)移動辦公系統(tǒng)基本安全框架”、“移動終端安全要求”、“信道安全”、“接入安全”以及“服務(wù)端安全”這幾大方面。
移動辦公系統(tǒng)安全風(fēng)險
移動辦公系統(tǒng)安全技術(shù)框架
下圖是移動政務(wù)應(yīng)用的示范案例“安全政務(wù)本”的整體框架和安全機(jī)制。
據(jù)劉蓓處長介紹,本標(biāo)準(zhǔn)(征求意見稿)的目標(biāo)是政府和行業(yè)的真實業(yè)務(wù),并通過開展試點應(yīng)用驗證標(biāo)準(zhǔn)和框架的技術(shù)可行性和效果。已完成的試點應(yīng)用包括“國家信息中心移動辦公”、“青島市發(fā)改委移動政務(wù)應(yīng)用”、“新疆區(qū)發(fā)改委移動政務(wù)應(yīng)用”、“廣西綜合業(yè)務(wù)管理移動應(yīng)用”、“中海油移動OA應(yīng)用”以及“中交港灣移動運維監(jiān)管應(yīng)用”等,并即將開展“天津數(shù)字城管移動應(yīng)用”試點。
除了電子政務(wù)移動辦公以外,論壇現(xiàn)場還對稅務(wù)系統(tǒng)信息安全、政務(wù)云安全、云計算服務(wù)安全、信息安全管理體系、政府門戶網(wǎng)站系統(tǒng)安全以及工業(yè)控制系統(tǒng)安全等安全標(biāo)準(zhǔn)做了應(yīng)用案例介紹和標(biāo)準(zhǔn)解讀。
《稅務(wù)系統(tǒng)信息安全標(biāo)準(zhǔn)應(yīng)用案例介紹》
——國家稅務(wù)總局電子稅務(wù)管理中心處長王傳亮
《中山市政務(wù)云安全標(biāo)準(zhǔn)應(yīng)用案例介紹》
——全國信安標(biāo)委委員閔京華
《亞信在電信領(lǐng)域的信息安全標(biāo)準(zhǔn)應(yīng)用實踐》
——亞信安全咨詢部總監(jiān)吳大明
《信源豆豆——構(gòu)建互聯(lián)互通的安全即時通信平臺》
——北信源核心技術(shù)發(fā)展中心總經(jīng)理鐘力
《政府部門信息安全管理標(biāo)準(zhǔn)創(chuàng)新實踐》
——遠(yuǎn)望行業(yè)銷售技術(shù)總監(jiān)盧普明
《云計算服務(wù)安全標(biāo)準(zhǔn)解讀》
——四川大學(xué)陳興蜀教授
《電子政務(wù)移動辦公安全技術(shù)規(guī)范解讀》
——國家信息中心網(wǎng)絡(luò)安全部處長劉蓓
《信息安全管理體系核心標(biāo)準(zhǔn)解讀》
——中國電子技術(shù)標(biāo)準(zhǔn)化研究院高工許玉娜
《政府門戶網(wǎng)站系統(tǒng)安全技術(shù)指南解讀》
——中國信息安全測評中心主任劉海峰
《工業(yè)控制系統(tǒng)安全控制應(yīng)用指南解讀》
——國家信息技術(shù)安全研究中心高工方進(jìn)社
欲獲取相關(guān)ppt,請關(guān)注微信“國信終端安全”,并在“會議活動->會議ppt”查看相關(guān)資料。