徐 侃，鄭開新，林 鐘

（福建省質(zhì)量技術(shù)監(jiān)督局行政服務(wù)中心，福建 福州 350003）

信息安全標準化的研究與思考

徐 侃，鄭開新，林 鐘

（福建省質(zhì)量技術(shù)監(jiān)督局行政服務(wù)中心，福建 福州 350003）

信息安全及其標準化對于對推進國民經(jīng)濟和社會信息化建設(shè),保障國家和人民利益等方面具有重要意義。文中主要就信息安全標準化的現(xiàn)狀和存在問題進行了探討，并提出了相應(yīng)的完善建議。

信息安全；標準化；研究

1 引言

隨著信息技術(shù)的飛速發(fā)展，信息化建設(shè)快步推進，信息系統(tǒng)越來越多，越來越復雜，也越來越重要，成為國民經(jīng)濟不可或缺的重要組成部分，隨之而來的信息安全事件也越來越嚴峻。2015年，發(fā)生了多起令人震驚的重大信息安全事件，如廣泛應(yīng)用于安防和保衛(wèi)方面的海康威視監(jiān)控設(shè)備被境外控制、30多個省份超過五千萬社保信息泄露、網(wǎng)易郵箱過億用戶敏感信息被竊取、中國人壽10多萬份保單信息泄露、知名連鎖酒店開房記錄泄露等等，嚴重損害了國家、社會和人民的利益。信息安全工作關(guān)系國計民生，信息安全標準化建設(shè)是其重要的基礎(chǔ)和支撐，缺少健全完善的信息安全標準體系，就很難支撐我國的信息安全保障體系，國家和人民的信息安全就無法得到保障。[1］

2 我國信息安全標準化的現(xiàn)狀

2.1 標準化程度

信息安全相關(guān)的標準可以分為技術(shù)、產(chǎn)品、管理和服務(wù)4大類。

首先，技術(shù)類標準。信息安全技術(shù)主要是指保障信息安全基礎(chǔ)、通用的技術(shù)，主要涉及密碼和保密兩個方面。具體又可細分為權(quán)限控制、身份認證與訪問控制、防電磁泄露等等。此外還包含防火墻技術(shù)、安全審計技術(shù)、系統(tǒng)漏洞檢測技術(shù)、網(wǎng)絡(luò)攻擊與防范技術(shù)等內(nèi)容。由于這些技術(shù)通常與產(chǎn)品緊密結(jié)合，如防火墻設(shè)備、安全審計系統(tǒng)、漏洞掃描系統(tǒng)等等，文中將其歸結(jié)到產(chǎn)品類標準中描述。

密碼方面的標準包括用于可信計算的，如《信息安全技術(shù) 可信計算密碼支撐平臺功能與接口規(guī)范》（GB/T 29829-2013），用于身份認證的，如《信息安全技術(shù) 證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》（GB/T 25056-2010），此外還有用于權(quán)限控制、實體鑒別、消息鑒別的標準等等。它們共同形成了密碼應(yīng)用標準的體系，支撐我國網(wǎng)絡(luò)信任體系。保密方面，我國保密相關(guān)的標準都是由國家保密局來制定和發(fā)布的，涵蓋了信息設(shè)備電磁泄露檢測和防護、電磁干擾和電磁屏蔽、涉密網(wǎng)絡(luò)安全隔離、涉密信息系統(tǒng)漏洞掃描和入侵檢測、涉密信息系統(tǒng)數(shù)據(jù)交換和安全審計等等，累計已有幾十項標準?？傮w來看，上述標準發(fā)布的時間均已比較久遠[］。

其次，產(chǎn)品類標準。信息安全產(chǎn)品標準從某種意義上也屬于技術(shù)標準的范疇，其可分為軟、硬件產(chǎn)品兩個部分。硬件部分主要是網(wǎng)絡(luò)基礎(chǔ)設(shè)備和防護設(shè)備，軟件部分主要是信息系統(tǒng)。

硬件部分，目前我國部分主流的安全硬件產(chǎn)品，已有相關(guān)標準。如防火墻，有《信息安全技術(shù) 防火墻技術(shù)要求和測試評價方法》（GB/T 20281-2006）等標準。路由器，有《信息安全技術(shù) 路由器安全技術(shù)要求》（GB/T 18018-2007）等標準。交換機、入侵檢測等，也有數(shù)個國家和行業(yè)標準。但這些標準更新較為滯后，且有的產(chǎn)品有多個標準進行互補，有的只有單一的標準。[3］此外，上網(wǎng)行為管理、入侵防御等產(chǎn)品，尚無國家標準，僅有行業(yè)標準。防病毒網(wǎng)關(guān)、網(wǎng)頁防篡改、負載均衡、堡壘機、日志審計等重要安全產(chǎn)品，相關(guān)標準仍是空白。

軟件部分，目前我國一些重點的行業(yè)和領(lǐng)域，如銀行、環(huán)保、民航、石油等，在國家標準的基礎(chǔ)上，制定出臺了行業(yè)信息系統(tǒng)的安全標準，如《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》（JR/T 0068-2012）、《環(huán)境信息系統(tǒng)安全技術(shù)規(guī)范》（HJ 729-2014）、《民用航空運輸機場信息系統(tǒng)安全管理規(guī)范》（MH/T 0031-2009）、《煙草行業(yè)信息安全體系建設(shè)規(guī)范》（YC/T 453-2012）以及《石油工業(yè)計算機信息系統(tǒng)安全管理規(guī)范》（SY/T 5231-2010）等。但多數(shù)行業(yè)和領(lǐng)域尚未根據(jù)自身特點制定相關(guān)信息安全標準。

再次，管理類標準。做好信息安全工作，光有技術(shù)是不夠的，技術(shù)和管理并重，才能夠真正保障信息安全。建立健全信息安全管理體系對于增強信息安全管控能力、提高核心競爭力有著重要意義。

我國參照國際標準化組織ISO/IEC 27000信息安全管理體系系列標準，制定了信息安全等級保護相關(guān)標準。[4］1999年，我國提出了《計算機信息系統(tǒng)安全等級劃分準則》（GBl7859-1999），為我國信息安全工作提供了指導性依據(jù)。2008年，國家標準《信息安全管理體系要求》（GB/T 22080-2008）和《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）等相繼提出，豐富了我國信息系統(tǒng)安全等級保護系列標準的框架[5］。2010年，《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》（GB/T 25058-2010）的發(fā)布，為我國等級保護工作提供了更加具體的實施指導。海關(guān)、民航、郵電等部分國家重點行業(yè)，結(jié)合行業(yè)特點，先后發(fā)布了本行業(yè)的信息系統(tǒng)安全等級保護標準，有效加強和促進了我國信息系統(tǒng)安全等級保護工作。[6］

最后，服務(wù)類標準。信息安全服務(wù)主要是對信息技術(shù)、產(chǎn)品、系統(tǒng)等進行安全方面的評估和測評測試。信息技術(shù)日新月異，定期開展評估和測評測試能夠及時發(fā)現(xiàn)其存在的安全問題和隱患。

評估方面，國家在2008年發(fā)布了《信息安全技術(shù) 信息系統(tǒng)安全保障評估框架》（GB/T 20274-2008）和《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》（GB/T 18336-2008）系列標準，2013年又相繼發(fā)布《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估方法》（GB/T 30270-2013）、《信息安全技術(shù) 信息安全服務(wù)能力評估準則》（GB/T 30271-2013）和《信息安全技術(shù) 信息系統(tǒng)安全保障通用評估指南》（GB/T 30273-2013）等3項標準，對信息安全評估工作進行了整體的規(guī)范。[7］地方層面，僅山東省發(fā)布了《信息技術(shù)外包服務(wù) 信息安全服務(wù)規(guī)范》（DB37/T 1364-2009）等2項地方標準。行業(yè)層面，海關(guān)、金融、郵電、民航等少部分行業(yè)相應(yīng)制定了其信息系統(tǒng)評估標準。此外，交換機、路由器、防火墻等少部分安全產(chǎn)品也有相應(yīng)的評估標準。

測試測評方面，我國根據(jù)信息安全等級保護管理的要求，發(fā)布了《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南》（GB/T 28449-2012）和《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》（GB/T 28448-2012）等國家標準，遼寧省發(fā)布了《信息系統(tǒng)物理安全測評方法》（DB21/T 1937-2012）和《信息系統(tǒng)安全等級測評量化評價方法》（DB21/T 1936-2012）2項地方標準。同時，服務(wù)器、防火墻、交換機、入侵防御等少部分安全產(chǎn)品有相應(yīng)的測試或測評標準。

2.2 存在問題

（1）國家層面的法律法規(guī)和標準規(guī)范較為欠缺。信息安全關(guān)系國計民生，但我國的信息安全發(fā)展的較為滯后，信息技術(shù)高速發(fā)展了二十余年，國家和各級地方政府出臺的法律、法規(guī)寥寥無幾。直至2014年2月，在我國接入國際互聯(lián)網(wǎng)20周年之際，國家才成立了中央網(wǎng)絡(luò)安全和信息化建設(shè)領(lǐng)導小組，后于2015年8月通過刑法修正案（九），第一次包含了3項網(wǎng)絡(luò)信息安全相關(guān)的罪名，標志著信息安全正式進入國家立法的層面。此外，信息安全的國家標準的數(shù)量也比較有限，在很多信息安全的重要領(lǐng)域和重要行業(yè)，僅有行業(yè)標準或地方標準。

（2）基礎(chǔ)標準多，細化標準少，持續(xù)更新不夠。我國目前出臺的信息安全相關(guān)標準，多為框架性的基礎(chǔ)標準，如管理規(guī)范、建設(shè)規(guī)范、通用指南等，適用于具體實施的細化標準較少，不利于實際工作開展和操作執(zhí)行。信息安全體系框架初步形成，但還不夠完善，經(jīng)常是針對某項技術(shù)或某個產(chǎn)品找到一兩個標準，而各項標準之間的相互關(guān)聯(lián)和相互補充不夠，應(yīng)用起來存在較多局限。同時，信息技術(shù)的發(fā)展可以說是一天一個樣，但信息安全標準的更新卻遠遠落后于信息技術(shù)的發(fā)展，很多標準制定的年限都比較久，部分新技術(shù)已經(jīng)廣泛應(yīng)用但其標準還是空白。

（3）企業(yè)參與少，核心技術(shù)少，國際化程度低。我國的信息安全產(chǎn)業(yè)還處于發(fā)展初期，研發(fā)經(jīng)費的投入相對偏少，信息安全產(chǎn)業(yè)規(guī)模還比較小，產(chǎn)業(yè)龍頭效應(yīng)未能顯現(xiàn)，信息安全相關(guān)企業(yè)擁有自主知識產(chǎn)權(quán)的核心技術(shù)比較欠缺，因此其參與標準化工作的程度尚處于較低的水平。而由專家學者編制的信息安全相關(guān)標準，理論性強，但往往缺少實踐的檢驗，有時容易與實際情況脫節(jié)。此外，由于自主核心技術(shù)的欠缺，國際競爭力不足，國際話語權(quán)較弱，導致國內(nèi)相關(guān)標準比國際標準較為滯后，遠遠無法滿足我國信息化和信息安全發(fā)展的需要。

3 完善建議

根據(jù)以上所做的分析可見，信息安全及其標準化對于對推進國民經(jīng)濟和社會信息化建設(shè),保障國家和人民利益等方面具有重要意義。筆者從以下三個方面對我國信息安全標準化工作提出建議：

第一，推進國家層面的法律法規(guī)和標準規(guī)范的制定實施。2014年成立的中央網(wǎng)絡(luò)安全和信息化建設(shè)領(lǐng)導小組，國家主席親任組長，其規(guī)格之高、力度之大、用意之深，表明信息安全已經(jīng)進入國家戰(zhàn)略的層面。隨后2015年8月通過的刑法修正案（九），第一次將信息安全寫入國家法律，是信息安全在國家法律法規(guī)層面的重大突破。國家和各級政府主管部門，應(yīng)秉承黨中央的領(lǐng)導精神和戰(zhàn)略規(guī)劃，進一步推進信息安全相關(guān)法律法規(guī)、辦法的研究和出臺，從不同領(lǐng)域、不同行業(yè)對信息安全進行立法，明確法律主體，加大處罰力度，不斷完善國家信息安全防護制度體系。同時，加快國家標準的制定和實施，指導信息安全行業(yè)健康、規(guī)范、科學、高速地發(fā)展。

第二，堅持頂層設(shè)計原則，完善標準體系，持續(xù)規(guī)劃和更新。從宏觀規(guī)劃著眼，以頂層設(shè)計原則為指導，進一步加強信息安全標準的戰(zhàn)略研究，尤其是做好金融、海關(guān)、電信等重點領(lǐng)域和重點行業(yè)的信息安全標準研制，針對其特點制定細化標準，形成行業(yè)體系標準。依托現(xiàn)有信息安全標準體系，以基礎(chǔ)性框架性的標準為指導，抓緊出臺實施指南、技術(shù)規(guī)范等操作性強的細化標準，形成互補，不斷健全和完善我國信息安全標準體系。更加緊密地跟蹤前沿信息安全技術(shù)的發(fā)展，了解信息安全產(chǎn)業(yè)發(fā)展動態(tài)，做好信息安全標準的更新和補充，特別是新技術(shù)的應(yīng)用應(yīng)及時制定相關(guān)標準，避免其野蠻發(fā)展，有效支撐我國信息安全標準的持續(xù)發(fā)展。

第三，加快行業(yè)標準制定，鼓勵企業(yè)參與，提升國際化程度。創(chuàng)新工作機制，加大信息安全產(chǎn)業(yè)的投入，對信息安全相關(guān)企業(yè)進行扶持，鼓勵其進行自主創(chuàng)新，重點是加強我國擁有自主知識產(chǎn)權(quán)的核心技術(shù)研發(fā)，如核心處理器、操作系統(tǒng)等關(guān)鍵技術(shù)，改變目前受制于歐美國家的現(xiàn)狀。同時，推動信息安全行業(yè)組織開展標準研發(fā)，鼓勵信息安全相關(guān)企業(yè)參與到標準體系的研制中來，加快信息安全行業(yè)標準的制定與實施。更加重視國際標準化工作，保持對國際信息安全技術(shù)和相關(guān)標準發(fā)展動態(tài)的跟蹤，積極參與國際化標準工作，引導鼓勵國內(nèi)企業(yè)和個人提交國際標準提案，尤其是把我國擁有自主知識產(chǎn)權(quán)的核心技術(shù)提升為國際化標準，提高國際競爭力。

4 結(jié)語

信息化是一把雙刃劍，在給國家、社會、人民帶來巨大效益的同時，如果忽視了信息安全，將會產(chǎn)生嚴重的后果。信息安全是一項長期艱巨的工作，過去幾年來，我國信息安全工作取得了一定成績，但也還存在許多不足。相信隨著國家和各級政府、行業(yè)主管部門的重視與引導，信息安全工作的進程將持續(xù)推進，信息安全標準化工作也將飛速發(fā)展，為我國的經(jīng)濟和社會發(fā)展保駕護航。

[1］高寧,劉琦.信息安全標準化的探討[J］.信息安全與技術(shù),2013（12）：20-21.

[2］趙戰(zhàn)生.國內(nèi)外信息安全標準化建設(shè)現(xiàn)狀與發(fā)展趨勢[J］.中國信息安全, 2012（5）：78-81.

[3］朱峰.加強信息安全標準化工作的思考[J］.中國標準化, 2010（9）：447-450.

[4］劉輝.信息安全標準化介紹[J］. 中國標準導報, 2012（8）：9-11.

[5］李曉玉.國內(nèi)外信息安全標準研究現(xiàn)狀綜述[C］.第十一屆保密通信與信息安全現(xiàn)狀研討會.2009：167-171.

[6］胡欣.標準夯筑國家信息安全基石——全國信息安全標準化技術(shù)委員會2011年度全體會議報道[J］. 信息技術(shù)與標準化, 2012（3）.

[7］高磊,李晨旸,趙章界.基于等級保護的信息安全管理體系研究[J］. 信息安全與通信保密,2015（5）：95-98.

Research and Consideration on the Standardization of Information Security

XU Kan, ZHENG Kai-Xin , LIN Zhong
(Administrative Service Center of Fujian Provincial Bureau of Quality and Technical Supervision, Fuzhou 350003, Fujian, China)

Standardization of information security plays an important role in the promotion of national economic and social informatization construction, as well as the protection of national and people's interests. This paper mainly discusses the present situation of the information security standardization and the existing problems, then put forward the corresponding improvement suggestions.

Information security;Standardization; Research

2016-02-26

徐 侃，男，福建省質(zhì)量技術(shù)監(jiān)督局行政服務(wù)中心，工程師

鄭開新，男，福建省質(zhì)量技術(shù)監(jiān)督局行政服務(wù)中心，工程師

林 鐘，男，福建省質(zhì)量技術(shù)監(jiān)督局行政服務(wù)中心，技術(shù)員