文│ 中国电子技术标准化研究院 王秉政 上官晓丽

近年来,落实网络安全法、密码法、电子签名法等法律法规对网络安全标准化工作提出了更高的要求,在各相关方的共同努力下,我国网络安全标准化工作不断取得新突破。

一、标准化工作机制协调统一

2016 年,中央网信办、原国家质检总局、国家标准委联合印发《关于加强国家网络安全标准化工作的若干意见》,提出建立统一权威的国家标准工作机制,全国信息安全标准化技术委员会(以下简称“信安标委”,SAC/TC260)在国家标准委的领导下,在中央网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。信安标委下设 6 个工作组和 1 个特别工作组,各工作组聚焦安全技术与机制、安全服务、安全管理、安全评估等领域分别开展标准研制与规划,为各领域网络安全国家标准化工作搭建了交流与合作平台。越来越多的企业、高校、科研院所和第三方机构等参与到网络安全国家标准化工作当中,为标准研制与应用实施贡献各方力量,有效促进产业应用与标准化的紧密互动,引领各行业产业规范有序发展,推动了网络安全国家标准化工作整体规划与布局。

二、标准体系建设日益完善

网络安全法第十五条明确提出“国家建立和完善网络安全标准体系”。网络安全国家标准体系建设坚持系统性规划与布局、科学性指导与引领、前瞻性应用与落地等原则,不断加强标准基础性、战略性和方向性研究。以标准研制与验证实施为着力点,规范引领互联网产业安全健康发展,为维护国家网络安全、保障公民在网络空间的合法权益发挥了积极作用。截至 2020 年 11 月,信安标委归口管理的网络安全国家标准已发布 318 项,逐步建立了以基础、技术、管理、测评为基本类型,以产品与服务、网络与通信、数据与信息、新技术应用等为规范对象和发展方向的多维度立体化网络安全国家标准体系框架。面向数据安全与个人信息保护、关键信息基础设施保护、网络安全等级保护、系统安全评估、产品安全检测与认证、网络安全管理体系等重点领域,形成了以服务国家网络安全重点工作为导向的标准族,全方位支撑国家网络安全保障体系建设。

三、标准化成果有效支撑国家网络安全工作落地

安全保障,技术为基,标准先行。网络安全国家标准化工作不断加强重点领域标准研制,推动标准宣传推广和测试验证,提升标准的影响力和应用价值,为国家网络安全工作的落地提供全方位的标准支撑。

1. 密码技术与应用

SM2、SM3、SM4、SM9 和祖冲之序列等国密算法网络安全国家标准已发布,为国密算法技术与应用提供了规范指引。落实密码法相关要求,为加强密码应用安全与管理,依标开展商用密码应用安全性评估等工作,《信息系统密码应用基本要求》《信息系统密码应用设计技术要求》《信息系统密码应用测评要求》等标准正在研制。

2. 数据安全和隐私保护

《个人信息安全规范》《移动互联网应用程序(App)收集个人信息基本规范》等标准针对广大人民群众关心的隐私安全问题给出了标准解决方案,对个人信息控制者在信息处理各环节中的行为提出了根本性要求,不仅全面支撑了中央网信办、工信部、公安部、市场监管总局等四部门联合开展的“App 专项治理”工作,也为 App 运营者开展自评估、制定问题整改方案提供标准参考。《数据安全能力成熟度模型》等标准为提升网络运营者数据安全能力提供了最佳实践,面向具有典型应用场景、行业特点鲜明的企业数据安全管理与防护工作,对照标准条款进行逐条实施,促进提升标准应用实施效果和各行业数据安全防护能力。为明确生物特征识别技术应用过程中的信息保护要求,目前正在研制人脸、基因、步态、声纹及网上购物、即时通信、网络支付、网约车、网络音视频、快递物流服务等 10 项国家标准,为网络运营者开展生物特征信息和网络服务数据处理活动提供指导和规范。

3. 关键信息基础设施保护

网络安全法第三十一条规定,关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。《信息安全技术 网络安全等级保护基本要求》等 10 项等级保护系列标准,为夯实重点保护基石、支撑网络安全等级防护能力建设与测评工作发挥了基础支撑作用。为配合《关键信息基础设施安全保护条例》的制定与实施,《关键信息基础设施安全保护基本要求》等 8 项标准正在积极研制中,标准族从边界识别、安全控制措施、安全框架、安全保障、安全防护、安全应急等方面提供了体系化的管理架构,为各部门实施行业内关键信息基础设施安全管理提供标准支撑。通过与重点行业关键信息基础设施运营单位联合开展标准试点,对标准技术内容的适用性和可操作性进行验证,探索了关键信息基础设施安全保护工作实践新模式。

4. 网络安全审查方面

《网络安全审查办法》提出关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。网络安全审查的重点是评估采购网络产品和服务面临的安全风险。为确保关键信息基础设施供应链安全,支撑网络安全审查落地实施,《信息技术产品供应链安全要求》等标准围绕供应链安全风险点提出规范要求,为保障关键信息基础设施运营者安全采购网络产品和服务提供标准支撑。另外,《网络安全审查办法》将云计算服务纳入网络产品和服务范围,且根据《云计算服务安全评估办法》已具备较为成熟的评估方案,云计算服务安全指南、安全能力要求、安全能力评估方法等 7 项云计算安全国家标准,为面向党政机关和关键信息基础设施运营者开展云计算服务安全评估、提升云计算服务采购安全可控水平提供了实施依据。

四、国际标准化交流与合作不断深入

网络空间是人类共同活动的空间,物联网、人工智能、5G 等新技术发展带来的安全问题需要全世界共同面对,这就需要统一标准来打造服务全球化网络发展与安全治理的透明环境,推动构建网络空间命运共同体。作为安全、和平、开放、合作的网络大国,我国坚持立足于开放环境推进网络安全标准化工作,着眼于全球化发展大势,承办网络安全等领域国际标准化会议,积极参与网络安全国际标准的研制工作,推动密码技术、信息安全事件管理、大数据安全与隐私保护等领域国际标准研制与发布,不断推进工业互联网安全、物联网安全、网联汽车安全等新技术应用领域国际标准立项,以标准为媒介探索建立国际标准化交流与合作机制,为全球互联网安全治理贡献中国智慧与标准方案。

五、标准化工作展望

网络安全已成为事关国家安全的重大问题和世界各国面临的共同挑战。为积极应对互联网发展新形势、新问题、新挑战,需进一步加强标准化顶层设计,不断完善网络安全国家标准体系建设,为推动网络安全法律法规的落地实施提供全面成套的标准支撑。完善协调各级网络安全标准化工作格局,面向网络安全国家标准与行业标准、军用标准和民用标准等建立完备兼容的体系与机制。面对人工智能、区块链、卫星互联网、量子计算等新技术应用的迅速崛起和颠覆性的技术突破,坚持问题导向,持续关注新型技术发展趋势与特定安全需求,提前布局新技术应用安全标准的研制与规划。坚定国际标准化工作道路,立足于开放环境推进国际标准化交流与合作,学习借鉴先进适用的国际标准成果,凝聚标准共识,共同维护全球网络安全。

(本文刊登于《中国信息安全》杂志2021年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。