2017年9月22日，由陜西省委網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組辦公室、陜西公安廳、陜西省密碼管理局、陜西電子政務(wù)辦公室指導(dǎo)、陜西省信息網(wǎng)絡(luò)安全協(xié)會(huì)支持，得安信息技術(shù)有限公司承辦，西安惠安云動(dòng)網(wǎng)絡(luò)科技有限公司協(xié)辦的“網(wǎng)絡(luò)安全與密碼應(yīng)用研討會(huì)”在西安唐隆國(guó)際酒店舉行。中國(guó)科學(xué)院大學(xué)教授趙戰(zhàn)生就“網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作概要”發(fā)表了演講。

 

一．標(biāo)準(zhǔn)的作用及其重要性

 

1.信息安全標(biāo)準(zhǔn)體現(xiàn)了人們對(duì)信息安全的意識(shí)、認(rèn)識(shí)和共識(shí)。

2.大規(guī)模的生產(chǎn)、部署信息安全技術(shù)產(chǎn)品、服務(wù)和管理，需要具有共識(shí)的技術(shù)規(guī)范和管理措施。

3.工欲善其事，必先利其器。

4.沒有規(guī)矩不能成方圓。

5.標(biāo)準(zhǔn)發(fā)揮著基礎(chǔ)性、規(guī)范性、引領(lǐng)性重要作用。

 

TC260第一屆主任曲維枝同志指出：

沒有信息安全的信息化是危險(xiǎn)的信息化；沒有完善的信息安全標(biāo)準(zhǔn)，信息化建設(shè)中的產(chǎn)品、系統(tǒng)、工程就不能實(shí)現(xiàn)安全的互聯(lián)、互通、互操作，就不能形成我國(guó)自主的信息安全產(chǎn)業(yè)，就不能構(gòu)造出一個(gè)自主可控的信息安全保障體系，就難以保證國(guó)家信息安全和國(guó)家利益。

 

認(rèn)識(shí)在提升：

1.信息安全伴隨信息化而生，在斗爭(zhēng)博弈中成長(zhǎng)，體現(xiàn)保障體系的對(duì)抗。

2.信息安全標(biāo)準(zhǔn)體系是信息安全保障體系的重要組成部分。

3.標(biāo)準(zhǔn)化工作是維護(hù)國(guó)家主權(quán)，體現(xiàn)我國(guó)話語(yǔ)權(quán)，保安全，捍利益的重要陣地。

4.中國(guó)需要從戰(zhàn)略博弈的角度出發(fā)，推進(jìn)網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)的制訂和完善。

 

信息安全標(biāo)準(zhǔn)化工作內(nèi)容：

WG1：信息安全管理體系

WG2：密碼學(xué)與安全機(jī)制

WG3：安全評(píng)價(jià)準(zhǔn)則

WG4：安全控制與服務(wù)

WG5：身份管理與隱私保護(hù)技術(shù)

 

二．TC260的機(jī)構(gòu)機(jī)制

 

 

完善了規(guī)章制度：

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)章程

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)工作組章程

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)標(biāo)準(zhǔn)制修訂工作程序

信息安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目管理辦法

信息安全國(guó)際標(biāo)準(zhǔn)化活動(dòng)管理辦法

 

三．標(biāo)準(zhǔn)化工作的成績(jī)

 

截止2016年底，發(fā)布標(biāo)準(zhǔn)190項(xiàng)，列入制修訂計(jì)劃134項(xiàng)。

2016年內(nèi)，新發(fā)布標(biāo)準(zhǔn)30項(xiàng)，完成報(bào)批稿29項(xiàng)，新上制修訂計(jì)劃21項(xiàng)。

 

我國(guó)信息安全保障工作的基本制度性安排： 

信息安全等級(jí)保護(hù)

涉密信息系統(tǒng)的分級(jí)保護(hù)

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

密碼技術(shù)的研究、開發(fā)、應(yīng)用、管理

信息安全保障工作中的產(chǎn)品、服務(wù)認(rèn)證認(rèn)可

 

 

四．WG7至2015年制定的標(biāo)準(zhǔn)

 

 

 

 

 

 

 

 

 

 

五．新標(biāo)準(zhǔn)在路上

 

工業(yè)控制系統(tǒng):

《信息安全技術(shù) 工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評(píng)估準(zhǔn)則》

《信息安全技術(shù) 工業(yè)控制系統(tǒng)漏洞檢測(cè)技術(shù)要求及測(cè)試評(píng)價(jià)方法》

《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全檢查指南》

《信息安全技術(shù) 工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》

《信息安全技術(shù) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》

《信息安全技術(shù) 工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》

《信息安全技術(shù) 工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》

《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全管理基本要求》

《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全分級(jí)規(guī)范》

《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》

 

關(guān)鍵信息基礎(chǔ)設(shè)施安全:

《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)指標(biāo)體系》

《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》

 

云計(jì)算安全:

《信息安全技術(shù) 桌面云安全技術(shù)要求》

《信息安全技術(shù) 云計(jì)算服務(wù)運(yùn)行監(jiān)管框架》

《信息安全技術(shù) 云計(jì)算安全參考架構(gòu)》

《信息安全技術(shù) 云計(jì)算服務(wù)安全能力評(píng)估方法》

《信息安全技術(shù) 網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)要求》

 

物聯(lián)網(wǎng):

《信息安全技術(shù) 射頻識(shí)別系統(tǒng)密碼應(yīng)用技術(shù)要求 第1部分：密碼安全保護(hù)框架及安全級(jí)別》

《信息安全技術(shù) 射頻識(shí)別系統(tǒng)密碼應(yīng)用技術(shù)要求 第2部分：電子標(biāo)簽與讀寫器及其通信密碼應(yīng)用技術(shù)要求》

《信息安全技術(shù) 物聯(lián)網(wǎng)感知層接入信息網(wǎng)絡(luò)的安全技術(shù)要求》

《信息安全技術(shù) 物聯(lián)網(wǎng)數(shù)據(jù)傳輸安全技術(shù)要求》

《信息安全技術(shù) 物聯(lián)網(wǎng)安全參考模型及通用要求》

《信息安全技術(shù) 物聯(lián)網(wǎng)感知層網(wǎng)關(guān)安全技術(shù)要求》《信息安全技術(shù) 物聯(lián)網(wǎng)感知層網(wǎng)關(guān)安全技術(shù)要求》

《信息安全技術(shù) 物聯(lián)網(wǎng)感知終端應(yīng)用安全技術(shù)要求》

《信息安全技術(shù) 射頻識(shí)別（RFID）系統(tǒng)通用安全技術(shù)要求》

 

移動(dòng)通信:

《信息安全技術(shù) 移動(dòng)簽名通用技術(shù)規(guī)范》

《信息安全技術(shù) 移動(dòng)終端安全管理平臺(tái)技術(shù)要求》

《信息安全技術(shù) 移動(dòng)互聯(lián)網(wǎng)第三方應(yīng)用服務(wù)器安全技術(shù)要求》

《信息安全技術(shù) 移動(dòng)終端安全保護(hù)技術(shù)要求》

《信息安全技術(shù) 移動(dòng)智能終端應(yīng)用軟件安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》

《信息安全技術(shù) 移動(dòng)智能終端操作系統(tǒng)安全測(cè)試評(píng)價(jià)方法》

《信息安全技術(shù) 移動(dòng)智能終端個(gè)人信息保護(hù)技術(shù)要求》

《信息安全技術(shù) 移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》

《信息安全技術(shù) 低速無(wú)線個(gè)域網(wǎng)空口安全測(cè)試規(guī)范》

《信息安全技術(shù) 電子政務(wù)移動(dòng)辦公安全技術(shù)規(guī)范》

 

大數(shù)據(jù):

《信息安全技術(shù) 大數(shù)據(jù)安全管理指南》

《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》

《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南》

《信息安全技術(shù) 智能音視頻采集設(shè)備應(yīng)用安全要求》

《信息安全技術(shù) 網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)要求》

《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》

《信息安全技術(shù) 數(shù)據(jù)交易服務(wù)安全要求》

 

六．適應(yīng)新形勢(shì)的頂層設(shè)計(jì)

 

三部門文件《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》解析:

國(guó)際和國(guó)外在信息安全保障方面加速出臺(tái)了體系化的適應(yīng)新技術(shù)新應(yīng)用的大量安全標(biāo)準(zhǔn)。

我們不能滿足已有成績(jī)，必須為適應(yīng)新形勢(shì)，配合我國(guó)信息安全戰(zhàn)略和法規(guī)的要求進(jìn)行進(jìn)一步的標(biāo)準(zhǔn)化工作的頂層設(shè)計(jì)。

文件以聚集正能量，弘揚(yáng)主旋律的方式為適應(yīng)新形勢(shì)提出了我國(guó)信息安全標(biāo)準(zhǔn)化工作的方向、任務(wù)和相關(guān)措施。

 

提出十九項(xiàng)措施:

一、工作機(jī)制

（1）建立統(tǒng)一權(quán)威的國(guó)家標(biāo)準(zhǔn)工作機(jī)制。

（2）促進(jìn)行業(yè)標(biāo)準(zhǔn)規(guī)范有序發(fā)展。

（3）促進(jìn)產(chǎn)業(yè)應(yīng)用與標(biāo)準(zhǔn)化的緊密互動(dòng)。

（4）推動(dòng)軍民標(biāo)準(zhǔn)兼容。

二、加強(qiáng)標(biāo)準(zhǔn)體系建設(shè)

（5）科學(xué)構(gòu)建標(biāo)準(zhǔn)體系。

（6）優(yōu)化完善各級(jí)標(biāo)準(zhǔn)。

（7）推進(jìn)急需重點(diǎn)標(biāo)準(zhǔn)制定。

三、提升標(biāo)準(zhǔn)質(zhì)量和基礎(chǔ)能力

（8）提高標(biāo)準(zhǔn)適用性。

（9）提高標(biāo)準(zhǔn)先進(jìn)性。

（10）提高標(biāo)準(zhǔn)制定的規(guī)范性。

（11）加強(qiáng)標(biāo)準(zhǔn)化基礎(chǔ)能力建設(shè)。

四、強(qiáng)化標(biāo)準(zhǔn)宣傳實(shí)施

（12）加強(qiáng)標(biāo)準(zhǔn)的宣傳解讀。

（13）加大標(biāo)準(zhǔn)實(shí)施力度。

五、加強(qiáng)國(guó)際標(biāo)準(zhǔn)化工作

（14）實(shí)質(zhì)性參與國(guó)際標(biāo)準(zhǔn)化活動(dòng)。

（15）推動(dòng)國(guó)際標(biāo)準(zhǔn)化工作常態(tài)化、持續(xù)化。

六、抓好標(biāo)準(zhǔn)化人才隊(duì)伍建設(shè)

（16）積極開展教育培訓(xùn)。

（17）引進(jìn)和培育高端人才。

七、做好資金保障

（18）做好財(cái)政資金保障工作。

（19）鼓勵(lì)社會(huì)資金支持。