今日頭條
官方微信
官方抖音
資訊頻道
楊建軍工業控制系統信息安全產業聯盟副理事長、中國電子技術標準化研究院副院長、全國信息安全標準化技術委員會秘書長
編者按:習近平總書記多次強調,“沒有網絡安全,就沒有國家安全。”我國要從互聯網大國向互聯網強國邁進,網絡安全是重要保障。而信息安全標準化則是維護網絡安全、推動網絡空間治理體系變革的基礎性、規范化和引領性的工作。本刊特邀工業控制系統信息安全產業聯盟副理事長、中國電子技術標準化研究院副院長、全國信息安全標準化技術委員會秘書長楊建軍,深度解讀我國信息安全標準化發展現狀,信息安全標準化工作進展,以及下一步信息安全標準化工作的重點任務。
自動化博覽:您如何看待標準化工作對于我國信息安全事業發展的重要意義?
楊建軍:標準是促進全球貿易、技術、環境、社會等可持續發展的重要支撐,是各國參與國際規則制定的重要途徑,是一種層次更深、水平更高、影響更大的競爭。網絡安全標準的競爭更是明顯,誰占據了網絡安全標準的制高點,誰就可以在網絡安全博弈中贏得先機、掌握主動。作為國家網絡安全保障體系建設的重要組成部分,網絡安全標準在保障國家網絡空間安全、推動社會治理體系變革方面發揮著基礎性、規范性、引領性作用。在技術層面,網絡安全標準是固化技術創新成果、推動新技術產業化的重要手段;在產業層面,網絡安全標準是促進網絡安全產業規模化發展的重要工具;在社會治理層面,網絡安全標準是規范市場、保證質量的標桿。因此,做好網絡安全標準化工作,對于維護國家安全,促進網絡安全產業和技術發展都具有非常重要的意義。
自動化博覽:請您為我們介紹一下我國信息安全標準工作的進展,取得了哪些成績,還需要在哪些方面完善?
楊建軍:我國信息安全標準化工作由全國信息安全標準化技術委員會(以下簡稱“信安標委”,編號SAC/TC260)負責。信安標委成立于2002年4月,是國家標準化管理委員會直屬標委會,其工作范圍包括信息安全技術、機制、服務、管理、評估等領域的標準化工作。國際對口ISO/IEC JTC1 SC27(國際標準化組織國際電工委員會第一聯合技術委員會信息安全分委員會)。
信安標委現有委員81名,來自網絡安全主管或監管部門以及從事信息安全科研、生產、應用、測評等單位。標委會秘書處設在中國電子技術標準化研究院。信安標委下設6個工作組和1個特別工作組:WG1:信息安全標準體系與協調工作組;WG3:密碼技術工作組;WG4:鑒別與授權工作組;WG5:信息安全評估工作組;WG6:通信安全標準工作組;WG7:信息安全管理工作組;SWG-BDS:大數據安全標準特別工作組。
標委會自成立以來,重點圍繞標準體系研究、標準制修訂、試點驗證、宣傳推廣、國際標準化等方面開展了一系列工作:
標準體系研究方面。信安標委長期以來高度重視網絡安全標準頂層設計和體系研究工作。2016年,支撐中央網信辦、國家標準委等部門制定并發布了《關于加強國家網絡安全標準化工作的若干意見》,作為當前及今后一段時期國家網絡安全標準化工作的綱領性文件,從工作機制、標準體系、標準質量、標準宣貫、國際標準化、人才建設、資金保障等方面詳細提出了當前及今后一段時期我國網絡安全標準化工作的重點任務。同時,落實《網絡安全法》等法律法規要求,結合國家發展戰略、產業政策、當前技術發展現狀和實際應用需求,組織開展新技術新應用領域標準規劃和體系研究工作,發布了《大數據安全標準化白皮書(2018版)》、《電子認證2.0白皮書(2018版)》和《汽車電子網絡安全標準化白皮書(2018)》,為相關領域標準化工作的開展提供了規劃和參考。
標準制修訂方面。截止目前,信安標委已經組織制定并發布了268項網絡安全國家標準,主要涉及密碼、鑒別與授權、安全評估、通信安全、安全管理、大數據安全等領域,初步構建了國家網絡安全標準體系框架,為國家網絡安全審查、信息安全等級保護、信息安全產品檢測與認證、信息安全風險評估、信息系統災難恢復等國家網絡安全保障工作,以及《電子簽名法》、《網絡安全法》的實施等提供了有力的標準化支撐。
標準試點驗證方面。信安標委非常重視重要標準試點示范和驗證工作。近年來,圍繞《信息安全技術云計算服務安全指南》和《信息安全技術云計算服務安全能力要求》國家標準組織開展了云計算服務網絡安全管理國家標準應用試點工作;以國家標準《信息安全技術個人信息安全規范》為主要技術依據,組織開展個人信息保護提升行動之隱私條款專項工作,有效提升了互聯網企業個人信息保護意識和水平,形成社會引導和示范效應;針對《信息安全技術關鍵信息基礎設施安全檢查評估指南》《信息安全技術數據安全能力成熟度評估模型》等重要在研標準開展了驗證工作,選取典型標準應用場景,檢驗標準技術內容的可操作性和實用性,為標準實施落地積累經驗。
標準宣傳推廣方面。2016年以來,在全國舉辦了15次網絡安全標準宣傳培訓活動,累計培訓人數近5000人。連續組織了三屆網絡安全國家標準優秀應用案例征集活動,推動了網絡安全國家標準在政務部門、關鍵信息基礎設施和重點行業中的應用實施。多次與黑龍江、河南、鞍山等地方網信辦和人民政府聯合舉辦網絡安全國家標準宣貫培訓活動,搭建了中央與地方網絡安全工作交流平臺。通過參與國家網絡安全宣傳周、世界標準日等國家大型網絡安全活動,多形式多渠道加強標準的宣傳推廣。
國際標準化方面。自2004年起連續16年組團參加SC27會議,從最初的跟蹤研究轉變為實質參與。持續擴大國際標準專家隊伍,國際標準注冊專家人數達125人。近幾年,包含我國密碼算法SM3、SM2和SM9,信息安全事件分類分級等提案的8項國際標準獲批發布,數據安全、可信網絡連接、生物特征識別等國際標準制定項目在順利推進中。我國還積極承辦國際網絡安全標準化會議,分別于2009年在北京、2018年在武漢成功承辦了SC27工作組會議和全體會議,尤其是去年武漢舉辦的國際會議,組織嚴謹、保障有序、效果良好,得到了國內外與會專家的一致贊譽和高度評價。此外,不斷加強中德、中法雙邊網絡安全交流與合作,今年與德國標準化協會信息技術與應用標準化委員會(DIN/NIA)簽署了合作諒解備忘錄(MOU),為雙方進一步開展務實合作奠定了基礎。
自動化博覽:我國信息安全標準體系主要包含哪幾部分內容?目前每一部分的重點和發展情況如何?目前全國信安標委正在牽頭編制《網絡安全國家標準體系建設指南(2019)》,可否介紹一下相關的工作進展?《指南》的推出,將對我國網絡安全事業有哪些積極作用?
楊建軍:信安標委自2002年成立以來,一直高度重視網絡安全標準體系的建設和完善,每年會根據國家網絡安全相關法律法規、政策、技術和產業發展、標準需求等變化,對標準體系框架進行適當調整,增補已發布標準和新立項項目,曾于2005年公開發布過一版體系。近年來,隨著新技術新應用迅速發展,以及《網絡安全法》和《關于加強國家網絡安全標準化工作的若干意見》等法律政策文件的出臺,綜合考慮網絡安全發展現狀和標準化需求,從標準屬性、保護對象和應用領域角度出發,初步構建了三維標準體系結構圖,目前該體系還在不斷完善過程中。
標準屬性維主要從標準的基本特性出發,包括基礎、技術與機制、管理、測評等標準。保護對象維主要從標準所面向的對象出發,包括產品與服務、網絡與系統、數據、組織等標準。應用領域維主要從標準的應用角度出發,包括云計算、大數據、智慧城市、物聯網、移動互聯網、區塊鏈、人工智能、關鍵信息基礎設施等標準。
目前,《網絡安全國家標準體系建設指南(2019)》正在編制過程中,預計將于今年年底發布。該《指南》的推出,會讓我國信息安全標準體系更加科學合理,對下一階段標準化工作具有重要的指導作用,可為信息安全標準制修訂計劃的提出提供重要依據,將為我國網絡安全保障體系的建設提供有力支撐。
自動化博覽:下一步我國信息安全標準工作的重點任務是什么?將在哪些方面重點開展工作?
楊建軍:下一步,我國網絡安全標準化工作將緊緊圍繞以下幾個方面開展工作。
一是從管理的維度,網絡安全標準的制定和實施要以國家有關的政策法規為依據,標準要有利于政策法規的落地實施。今年國家互聯網信息辦公室陸續發布《網絡安全審查辦法(征求意見稿)》《數據安全管理辦法(征求意見稿)》《個人信息出境安全評估辦法(征求意見稿)》《云計算服務安全評估辦法》等文件,標準的研制工作要緊緊圍繞這些政策文件開展,以支撐政策文件的落地實施。
二是從技術的維度,網絡安全標準的制定要在保障安全的基礎上發揮更多作用,要通過標準規范和引導行業技術的發展。針對5G、人工智能、大數據等新技術新應用快速發展所帶來的安全問題,要提前開展標準研究,研究其中潛在的安全風險和挑戰,提前布局,以網絡安全標準引領發展。
三是從應用的維度,網絡安全標準的制定和實施要圍繞網絡安全的重點問題來開展。網絡安全標準化工作要立足于現實、堅持問題導向,圍繞人民群眾的關切做老百姓有獲得感的標準,例如智能門鎖安全、個人信息保護等,都關乎著人民群眾的切身利益及安全,要重點做好這些標準的研制和應用推廣,發揮標準的規范性作用。
自動化博覽:對于工業信息安全標準來說,目前我國的發展重點是什么?
楊建軍:當前,隨著智能制造、工業互聯網等新型生產模式的發展,工業云計算、工業大數據等新興技術的不斷應用,傳統信息安全防護技術存在手段單一、功能分散、自動化程度較低等問題,不能適應工業信息安全防護的新需求。為提升我國工業企業工業信息安全防護水平,指導我國工業信息安全防護工作開展,全國信安標委持續開展工業信息安全標準化工作,截至目前,共立項研制工業控制系統信息安全國家標準26項,范圍涵蓋工業控制系統安全分級、安全管理、安全實施、安全測評,以及典型工業控制系統、設備安全等領域,《信息安全技術工業控制系統安全控制應用指南》(GB/T 32919-2016)等關鍵核心標準正式發布實施,已初步建立了工業控制系統信息安全標準體系,可為工信部等相關部門開展行業管理,以及工業企業提升安全防護水平提供標準支撐。然而,我國工業信息安全相關標準依然存在著可編程邏輯控制器(PLC)、分布式控制器(DCS)、數據采集與監視控制系統(SCADA)等核心工控產品安全要求、測評方法等相關標準缺失,難以有效支撐產品級安全測評工作。下一步,全國信安標委將持續完善工業信息安全標準體系,以提升工業領域關鍵信息基礎設施安全防護水平為根本,圍繞工信部工控安全防護能力評估、工業互聯網安全等重點工作,加快推進急需標準研制。積極響應產業需求,緊跟技術發展,根據輕重緩急,研制工控系統關鍵產品安全技術要求、安全測試規范等標準,形成測試驗證能力,提升相關產品的安全防護水平。
自動化博覽:目前,國家標準《信息安全技術工業互聯網平臺安全要求及評估規范》征求意見稿已經發布,可否簡單介紹一下這個標準?此標準將在哪些方面促進我國工業互聯網平臺建設?此標準預計什么時候正式發布?對于該標準后續的執行、落地您有何考慮?
楊建軍:面向工業互聯網等新興領域,信安標委統籌布局,開展工業互聯網安全標準體系研究,梳理工業互聯網安全標準化需求,厘清標準關系,為工業互聯網安全標準體系建設工作提供指導。同時根據急用先行原則,開展《信息安全技術工業互聯網平臺安全要求及評估規范》標準立項研制,用于指導工業互聯網平臺安全建設、運維及測評等工作。
《信息安全技術工業互聯網平臺安全要求及評估規范》面向工業互聯網平臺相關組織機構,規定了工業互聯網平臺邊緣層、工業IaaS層、工業PaaS層、工業SaaS層和安全管理等方面安全要求及配套評估規范,可規范相關組織開展工業互聯網平臺安全防護設計、規劃、建設、運維等工作,同時也可為相關第三方評估組織開展工業互聯網平臺安全評估工作提供標準化指導。
自標準立項后,中國電子技術標準化研究院會同樹根互聯技術有限公司等單位成立標準工作組,開展標準研制工作。依據全國信安標委標準制修訂工作流程有關要求,截至目前,標準工作組已在全國信安標委2019年第一次全國會議周上,推進該標準形成標準公開征求意見稿,并已在網上公開征求意見。下一步,標準編制組將根據公開征求意見的專家建議,修改標準文檔,加快推進標準進程,擬于全國信安標委2019年第二次會議周上形成標準送審稿,推動標準盡快發布。
在標準正式發布后,標準工作組將依托全國信安標委,開展《信息安全技術工業互聯網平臺安全要求及評估規范》標準宣貫培訓、試點示范工作,服務工業互聯網平臺相關企業,幫助企業提升對標準內容的理解和使用。
自動化博覽:2019年,我國主要有哪些工業信息安全相關標準推出?可否簡單介紹一下這些標準?
楊建軍:2019年8月30日,《信息安全技術工業控制網絡安全隔離與信息交換系統安全技術要求》《信息安全技術工業控制系統漏洞檢測產品技術要求及測試評價方法》《信息安全技術工業控制系統產品信息安全通用評估準則》《信息安全技術工業控制網絡監測安全技術要求及測試評價方法》《信息安全技術工業控制系統網絡審計產品安全技術要求》《信息安全技術工業控制系統專用防火墻技術要求》《信息安全技術工業控制系統安全檢查指南》等7項工業信息安全相關國家標準正式發布。中華人民共和國國家標準公告(2019年第10號)
《信息安全技術工業控制網絡安全隔離與信息交換系統安全技術要求》規定了工業控制網絡安全隔離與信息交換系統的安全功能要求、安全保障要求和安全等級劃分要求,適用于工業控制網絡安全隔離與信息交換系統的設計、開發及測試。
《信息安全技術工業控制系統漏洞檢測產品技術要求及測試評價方法》規定了針對工業控制系統的漏洞檢測產品的技術要求和測試評價方法,包括安全功能要求、自身安全要求和安全保障要求,以及相應的測試評價方法,適用于工業控制系統漏洞檢測產品的設計、開發和測評。
《信息安全技術工業控制系統產品信息安全通用評估準則》定義了工業控制系統產品安全評估的通用安全功能組件和安全保障組件集合,規定了工業控制系統產品的安全要求和評估準則,適用于工業控制系統產品安全保障能力的評估,產品安全功能的設計、開發和測試也可參照使用。
《信息安全技術工業控制網絡監測安全技術要求及測試評價方法》規定了工業控制網絡監測產品的安全技術要求和測試評價方法,適用于工業控制網絡監測產品的設計生產方對其設計、開發及測評等提供指導,同時也可為工業控制系統設計、建設和運維方開展工業控制系統安全防護工作提供指導。
《信息安全技術工業控制系統網絡審計產品安全技術要求》規定了工業控制系統網絡審計產品的安全功能要求、安全保障要求和安全等級劃分要求,適用于工業控制系統網絡審計產品的設計、生產和測試。
《信息安全技術工業控制系統專用防火墻技術要求》規定了工業控制系統專用防火墻的安全功能要求、安全保障要求、性能要求和安全等級劃分要求,適用于工控防火墻的設計、開發和測試。
《信息安全技術工業控制系統安全檢查指南》規定了工業控制系統信息安全檢查的目的、范圍、方式、流程、方法和內容,適用于開展工業控制系統的信息安全監督檢查、委托檢查工作,同時也適用于各企業在本集團(系統)范圍內開展相關系統的信息安全自檢查。
摘自《工業控制系統信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號