徐 侃，鄭開(kāi)新，林 鐘

（福建省質(zhì)量技術(shù)監(jiān)督局行政服務(wù)中心，福建 福州 350003）

信息安全標(biāo)準(zhǔn)化的研究與思考

徐 侃，鄭開(kāi)新，林 鐘

（福建省質(zhì)量技術(shù)監(jiān)督局行政服務(wù)中心，福建 福州 350003）

信息安全及其標(biāo)準(zhǔn)化對(duì)于對(duì)推進(jìn)國(guó)民經(jīng)濟(jì)和社會(huì)信息化建設(shè),保障國(guó)家和人民利益等方面具有重要意義。文中主要就信息安全標(biāo)準(zhǔn)化的現(xiàn)狀和存在問(wèn)題進(jìn)行了探討，并提出了相應(yīng)的完善建議。

信息安全；標(biāo)準(zhǔn)化；研究

1 引言

隨著信息技術(shù)的飛速發(fā)展，信息化建設(shè)快步推進(jìn)，信息系統(tǒng)越來(lái)越多，越來(lái)越復(fù)雜，也越來(lái)越重要，成為國(guó)民經(jīng)濟(jì)不可或缺的重要組成部分，隨之而來(lái)的信息安全事件也越來(lái)越嚴(yán)峻。2015年，發(fā)生了多起令人震驚的重大信息安全事件，如廣泛應(yīng)用于安防和保衛(wèi)方面的?？低暠O(jiān)控設(shè)備被境外控制、30多個(gè)省份超過(guò)五千萬(wàn)社保信息泄露、網(wǎng)易郵箱過(guò)億用戶敏感信息被竊取、中國(guó)人壽10多萬(wàn)份保單信息泄露、知名連鎖酒店開(kāi)房記錄泄露等等，嚴(yán)重?fù)p害了國(guó)家、社會(huì)和人民的利益。信息安全工作關(guān)系國(guó)計(jì)民生，信息安全標(biāo)準(zhǔn)化建設(shè)是其重要的基礎(chǔ)和支撐，缺少健全完善的信息安全標(biāo)準(zhǔn)體系，就很難支撐我國(guó)的信息安全保障體系，國(guó)家和人民的信息安全就無(wú)法得到保障。[1］

2 我國(guó)信息安全標(biāo)準(zhǔn)化的現(xiàn)狀

2.1 標(biāo)準(zhǔn)化程度

信息安全相關(guān)的標(biāo)準(zhǔn)可以分為技術(shù)、產(chǎn)品、管理和服務(wù)4大類。

首先，技術(shù)類標(biāo)準(zhǔn)。信息安全技術(shù)主要是指保障信息安全基礎(chǔ)、通用的技術(shù)，主要涉及密碼和保密兩個(gè)方面。具體又可細(xì)分為權(quán)限控制、身份認(rèn)證與訪問(wèn)控制、防電磁泄露等等。此外還包含防火墻技術(shù)、安全審計(jì)技術(shù)、系統(tǒng)漏洞檢測(cè)技術(shù)、網(wǎng)絡(luò)攻擊與防范技術(shù)等內(nèi)容。由于這些技術(shù)通常與產(chǎn)品緊密結(jié)合，如防火墻設(shè)備、安全審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)等等，文中將其歸結(jié)到產(chǎn)品類標(biāo)準(zhǔn)中描述。

密碼方面的標(biāo)準(zhǔn)包括用于可信計(jì)算的，如《信息安全技術(shù) 可信計(jì)算密碼支撐平臺(tái)功能與接口規(guī)范》（GB/T 29829-2013），用于身份認(rèn)證的，如《信息安全技術(shù) 證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》（GB/T 25056-2010），此外還有用于權(quán)限控制、實(shí)體鑒別、消息鑒別的標(biāo)準(zhǔn)等等。它們共同形成了密碼應(yīng)用標(biāo)準(zhǔn)的體系，支撐我國(guó)網(wǎng)絡(luò)信任體系。保密方面，我國(guó)保密相關(guān)的標(biāo)準(zhǔn)都是由國(guó)家保密局來(lái)制定和發(fā)布的，涵蓋了信息設(shè)備電磁泄露檢測(cè)和防護(hù)、電磁干擾和電磁屏蔽、涉密網(wǎng)絡(luò)安全隔離、涉密信息系統(tǒng)漏洞掃描和入侵檢測(cè)、涉密信息系統(tǒng)數(shù)據(jù)交換和安全審計(jì)等等，累計(jì)已有幾十項(xiàng)標(biāo)準(zhǔn)?？傮w來(lái)看，上述標(biāo)準(zhǔn)發(fā)布的時(shí)間均已比較久遠(yuǎn)[］。

其次，產(chǎn)品類標(biāo)準(zhǔn)。信息安全產(chǎn)品標(biāo)準(zhǔn)從某種意義上也屬于技術(shù)標(biāo)準(zhǔn)的范疇，其可分為軟、硬件產(chǎn)品兩個(gè)部分。硬件部分主要是網(wǎng)絡(luò)基礎(chǔ)設(shè)備和防護(hù)設(shè)備，軟件部分主要是信息系統(tǒng)。

硬件部分，目前我國(guó)部分主流的安全硬件產(chǎn)品，已有相關(guān)標(biāo)準(zhǔn)。如防火墻，有《信息安全技術(shù) 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法》（GB/T 20281-2006）等標(biāo)準(zhǔn)。路由器，有《信息安全技術(shù) 路由器安全技術(shù)要求》（GB/T 18018-2007）等標(biāo)準(zhǔn)。交換機(jī)、入侵檢測(cè)等，也有數(shù)個(gè)國(guó)家和行業(yè)標(biāo)準(zhǔn)。但這些標(biāo)準(zhǔn)更新較為滯后，且有的產(chǎn)品有多個(gè)標(biāo)準(zhǔn)進(jìn)行互補(bǔ)，有的只有單一的標(biāo)準(zhǔn)。[3］此外，上網(wǎng)行為管理、入侵防御等產(chǎn)品，尚無(wú)國(guó)家標(biāo)準(zhǔn)，僅有行業(yè)標(biāo)準(zhǔn)。防病毒網(wǎng)關(guān)、網(wǎng)頁(yè)防篡改、負(fù)載均衡、堡壘機(jī)、日志審計(jì)等重要安全產(chǎn)品，相關(guān)標(biāo)準(zhǔn)仍是空白。

軟件部分，目前我國(guó)一些重點(diǎn)的行業(yè)和領(lǐng)域，如銀行、環(huán)保、民航、石油等，在國(guó)家標(biāo)準(zhǔn)的基礎(chǔ)上，制定出臺(tái)了行業(yè)信息系統(tǒng)的安全標(biāo)準(zhǔn)，如《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》（JR/T 0068-2012）、《環(huán)境信息系統(tǒng)安全技術(shù)規(guī)范》（HJ 729-2014）、《民用航空運(yùn)輸機(jī)場(chǎng)信息系統(tǒng)安全管理規(guī)范》（MH/T 0031-2009）、《煙草行業(yè)信息安全體系建設(shè)規(guī)范》（YC/T 453-2012）以及《石油工業(yè)計(jì)算機(jī)信息系統(tǒng)安全管理規(guī)范》（SY/T 5231-2010）等。但多數(shù)行業(yè)和領(lǐng)域尚未根據(jù)自身特點(diǎn)制定相關(guān)信息安全標(biāo)準(zhǔn)。

再次，管理類標(biāo)準(zhǔn)。做好信息安全工作，光有技術(shù)是不夠的，技術(shù)和管理并重，才能夠真正保障信息安全。建立健全信息安全管理體系對(duì)于增強(qiáng)信息安全管控能力、提高核心競(jìng)爭(zhēng)力有著重要意義。

我國(guó)參照國(guó)際標(biāo)準(zhǔn)化組織ISO/IEC 27000信息安全管理體系系列標(biāo)準(zhǔn)，制定了信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)。[4］1999年，我國(guó)提出了《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)劃分準(zhǔn)則》（GBl7859-1999），為我國(guó)信息安全工作提供了指導(dǎo)性依據(jù)。2008年，國(guó)家標(biāo)準(zhǔn)《信息安全管理體系要求》（GB/T 22080-2008）和《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）等相繼提出，豐富了我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)的框架[5］。2010年，《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T 25058-2010）的發(fā)布，為我國(guó)等級(jí)保護(hù)工作提供了更加具體的實(shí)施指導(dǎo)。海關(guān)、民航、郵電等部分國(guó)家重點(diǎn)行業(yè)，結(jié)合行業(yè)特點(diǎn)，先后發(fā)布了本行業(yè)的信息系統(tǒng)安全等級(jí)保護(hù)標(biāo)準(zhǔn)，有效加強(qiáng)和促進(jìn)了我國(guó)信息系統(tǒng)安全等級(jí)保護(hù)工作。[6］

最后，服務(wù)類標(biāo)準(zhǔn)。信息安全服務(wù)主要是對(duì)信息技術(shù)、產(chǎn)品、系統(tǒng)等進(jìn)行安全方面的評(píng)估和測(cè)評(píng)測(cè)試。信息技術(shù)日新月異，定期開(kāi)展評(píng)估和測(cè)評(píng)測(cè)試能夠及時(shí)發(fā)現(xiàn)其存在的安全問(wèn)題和隱患。

評(píng)估方面，國(guó)家在2008年發(fā)布了《信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架》（GB/T 20274-2008）和《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》（GB/T 18336-2008）系列標(biāo)準(zhǔn)，2013年又相繼發(fā)布《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估方法》（GB/T 30270-2013）、《信息安全技術(shù) 信息安全服務(wù)能力評(píng)估準(zhǔn)則》（GB/T 30271-2013）和《信息安全技術(shù) 信息系統(tǒng)安全保障通用評(píng)估指南》（GB/T 30273-2013）等3項(xiàng)標(biāo)準(zhǔn)，對(duì)信息安全評(píng)估工作進(jìn)行了整體的規(guī)范。[7］地方層面，僅山東省發(fā)布了《信息技術(shù)外包服務(wù) 信息安全服務(wù)規(guī)范》（DB37/T 1364-2009）等2項(xiàng)地方標(biāo)準(zhǔn)。行業(yè)層面，海關(guān)、金融、郵電、民航等少部分行業(yè)相應(yīng)制定了其信息系統(tǒng)評(píng)估標(biāo)準(zhǔn)。此外，交換機(jī)、路由器、防火墻等少部分安全產(chǎn)品也有相應(yīng)的評(píng)估標(biāo)準(zhǔn)。

測(cè)試測(cè)評(píng)方面，我國(guó)根據(jù)信息安全等級(jí)保護(hù)管理的要求，發(fā)布了《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》（GB/T 28449-2012）和《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T 28448-2012）等國(guó)家標(biāo)準(zhǔn)，遼寧省發(fā)布了《信息系統(tǒng)物理安全測(cè)評(píng)方法》（DB21/T 1937-2012）和《信息系統(tǒng)安全等級(jí)測(cè)評(píng)量化評(píng)價(jià)方法》（DB21/T 1936-2012）2項(xiàng)地方標(biāo)準(zhǔn)。同時(shí)，服務(wù)器、防火墻、交換機(jī)、入侵防御等少部分安全產(chǎn)品有相應(yīng)的測(cè)試或測(cè)評(píng)標(biāo)準(zhǔn)。

2.2 存在問(wèn)題

（1）國(guó)家層面的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范較為欠缺。信息安全關(guān)系國(guó)計(jì)民生，但我國(guó)的信息安全發(fā)展的較為滯后，信息技術(shù)高速發(fā)展了二十余年，國(guó)家和各級(jí)地方政府出臺(tái)的法律、法規(guī)寥寥無(wú)幾。直至2014年2月，在我國(guó)接入國(guó)際互聯(lián)網(wǎng)20周年之際，國(guó)家才成立了中央網(wǎng)絡(luò)安全和信息化建設(shè)領(lǐng)導(dǎo)小組，后于2015年8月通過(guò)刑法修正案（九），第一次包含了3項(xiàng)網(wǎng)絡(luò)信息安全相關(guān)的罪名，標(biāo)志著信息安全正式進(jìn)入國(guó)家立法的層面。此外，信息安全的國(guó)家標(biāo)準(zhǔn)的數(shù)量也比較有限，在很多信息安全的重要領(lǐng)域和重要行業(yè)，僅有行業(yè)標(biāo)準(zhǔn)或地方標(biāo)準(zhǔn)。

（2）基礎(chǔ)標(biāo)準(zhǔn)多，細(xì)化標(biāo)準(zhǔn)少，持續(xù)更新不夠。我國(guó)目前出臺(tái)的信息安全相關(guān)標(biāo)準(zhǔn)，多為框架性的基礎(chǔ)標(biāo)準(zhǔn)，如管理規(guī)范、建設(shè)規(guī)范、通用指南等，適用于具體實(shí)施的細(xì)化標(biāo)準(zhǔn)較少，不利于實(shí)際工作開(kāi)展和操作執(zhí)行。信息安全體系框架初步形成，但還不夠完善，經(jīng)常是針對(duì)某項(xiàng)技術(shù)或某個(gè)產(chǎn)品找到一兩個(gè)標(biāo)準(zhǔn)，而各項(xiàng)標(biāo)準(zhǔn)之間的相互關(guān)聯(lián)和相互補(bǔ)充不夠，應(yīng)用起來(lái)存在較多局限。同時(shí)，信息技術(shù)的發(fā)展可以說(shuō)是一天一個(gè)樣，但信息安全標(biāo)準(zhǔn)的更新卻遠(yuǎn)遠(yuǎn)落后于信息技術(shù)的發(fā)展，很多標(biāo)準(zhǔn)制定的年限都比較久，部分新技術(shù)已經(jīng)廣泛應(yīng)用但其標(biāo)準(zhǔn)還是空白。

（3）企業(yè)參與少，核心技術(shù)少，國(guó)際化程度低。我國(guó)的信息安全產(chǎn)業(yè)還處于發(fā)展初期，研發(fā)經(jīng)費(fèi)的投入相對(duì)偏少，信息安全產(chǎn)業(yè)規(guī)模還比較小，產(chǎn)業(yè)龍頭效應(yīng)未能顯現(xiàn)，信息安全相關(guān)企業(yè)擁有自主知識(shí)產(chǎn)權(quán)的核心技術(shù)比較欠缺，因此其參與標(biāo)準(zhǔn)化工作的程度尚處于較低的水平。而由專家學(xué)者編制的信息安全相關(guān)標(biāo)準(zhǔn)，理論性強(qiáng)，但往往缺少實(shí)踐的檢驗(yàn)，有時(shí)容易與實(shí)際情況脫節(jié)。此外，由于自主核心技術(shù)的欠缺，國(guó)際競(jìng)爭(zhēng)力不足，國(guó)際話語(yǔ)權(quán)較弱，導(dǎo)致國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)比國(guó)際標(biāo)準(zhǔn)較為滯后，遠(yuǎn)遠(yuǎn)無(wú)法滿足我國(guó)信息化和信息安全發(fā)展的需要。

3 完善建議

根據(jù)以上所做的分析可見(jiàn)，信息安全及其標(biāo)準(zhǔn)化對(duì)于對(duì)推進(jìn)國(guó)民經(jīng)濟(jì)和社會(huì)信息化建設(shè),保障國(guó)家和人民利益等方面具有重要意義。筆者從以下三個(gè)方面對(duì)我國(guó)信息安全標(biāo)準(zhǔn)化工作提出建議：

第一，推進(jìn)國(guó)家層面的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的制定實(shí)施。2014年成立的中央網(wǎng)絡(luò)安全和信息化建設(shè)領(lǐng)導(dǎo)小組，國(guó)家主席親任組長(zhǎng)，其規(guī)格之高、力度之大、用意之深，表明信息安全已經(jīng)進(jìn)入國(guó)家戰(zhàn)略的層面。隨后2015年8月通過(guò)的刑法修正案（九），第一次將信息安全寫入國(guó)家法律，是信息安全在國(guó)家法律法規(guī)層面的重大突破。國(guó)家和各級(jí)政府主管部門，應(yīng)秉承黨中央的領(lǐng)導(dǎo)精神和戰(zhàn)略規(guī)劃，進(jìn)一步推進(jìn)信息安全相關(guān)法律法規(guī)、辦法的研究和出臺(tái)，從不同領(lǐng)域、不同行業(yè)對(duì)信息安全進(jìn)行立法，明確法律主體，加大處罰力度，不斷完善國(guó)家信息安全防護(hù)制度體系。同時(shí)，加快國(guó)家標(biāo)準(zhǔn)的制定和實(shí)施，指導(dǎo)信息安全行業(yè)健康、規(guī)范、科學(xué)、高速地發(fā)展。

第二，堅(jiān)持頂層設(shè)計(jì)原則，完善標(biāo)準(zhǔn)體系，持續(xù)規(guī)劃和更新。從宏觀規(guī)劃著眼，以頂層設(shè)計(jì)原則為指導(dǎo)，進(jìn)一步加強(qiáng)信息安全標(biāo)準(zhǔn)的戰(zhàn)略研究，尤其是做好金融、海關(guān)、電信等重點(diǎn)領(lǐng)域和重點(diǎn)行業(yè)的信息安全標(biāo)準(zhǔn)研制，針對(duì)其特點(diǎn)制定細(xì)化標(biāo)準(zhǔn)，形成行業(yè)體系標(biāo)準(zhǔn)。依托現(xiàn)有信息安全標(biāo)準(zhǔn)體系，以基礎(chǔ)性框架性的標(biāo)準(zhǔn)為指導(dǎo)，抓緊出臺(tái)實(shí)施指南、技術(shù)規(guī)范等操作性強(qiáng)的細(xì)化標(biāo)準(zhǔn)，形成互補(bǔ)，不斷健全和完善我國(guó)信息安全標(biāo)準(zhǔn)體系。更加緊密地跟蹤前沿信息安全技術(shù)的發(fā)展，了解信息安全產(chǎn)業(yè)發(fā)展動(dòng)態(tài)，做好信息安全標(biāo)準(zhǔn)的更新和補(bǔ)充，特別是新技術(shù)的應(yīng)用應(yīng)及時(shí)制定相關(guān)標(biāo)準(zhǔn)，避免其野蠻發(fā)展，有效支撐我國(guó)信息安全標(biāo)準(zhǔn)的持續(xù)發(fā)展。

第三，加快行業(yè)標(biāo)準(zhǔn)制定，鼓勵(lì)企業(yè)參與，提升國(guó)際化程度。創(chuàng)新工作機(jī)制，加大信息安全產(chǎn)業(yè)的投入，對(duì)信息安全相關(guān)企業(yè)進(jìn)行扶持，鼓勵(lì)其進(jìn)行自主創(chuàng)新，重點(diǎn)是加強(qiáng)我國(guó)擁有自主知識(shí)產(chǎn)權(quán)的核心技術(shù)研發(fā)，如核心處理器、操作系統(tǒng)等關(guān)鍵技術(shù)，改變目前受制于歐美國(guó)家的現(xiàn)狀。同時(shí)，推動(dòng)信息安全行業(yè)組織開(kāi)展標(biāo)準(zhǔn)研發(fā)，鼓勵(lì)信息安全相關(guān)企業(yè)參與到標(biāo)準(zhǔn)體系的研制中來(lái)，加快信息安全行業(yè)標(biāo)準(zhǔn)的制定與實(shí)施。更加重視國(guó)際標(biāo)準(zhǔn)化工作，保持對(duì)國(guó)際信息安全技術(shù)和相關(guān)標(biāo)準(zhǔn)發(fā)展動(dòng)態(tài)的跟蹤，積極參與國(guó)際化標(biāo)準(zhǔn)工作，引導(dǎo)鼓勵(lì)國(guó)內(nèi)企業(yè)和個(gè)人提交國(guó)際標(biāo)準(zhǔn)提案，尤其是把我國(guó)擁有自主知識(shí)產(chǎn)權(quán)的核心技術(shù)提升為國(guó)際化標(biāo)準(zhǔn)，提高國(guó)際競(jìng)爭(zhēng)力。

4 結(jié)語(yǔ)

信息化是一把雙刃劍，在給國(guó)家、社會(huì)、人民帶來(lái)巨大效益的同時(shí)，如果忽視了信息安全，將會(huì)產(chǎn)生嚴(yán)重的后果。信息安全是一項(xiàng)長(zhǎng)期艱巨的工作，過(guò)去幾年來(lái)，我國(guó)信息安全工作取得了一定成績(jī)，但也還存在許多不足。相信隨著國(guó)家和各級(jí)政府、行業(yè)主管部門的重視與引導(dǎo)，信息安全工作的進(jìn)程將持續(xù)推進(jìn)，信息安全標(biāo)準(zhǔn)化工作也將飛速發(fā)展，為我國(guó)的經(jīng)濟(jì)和社會(huì)發(fā)展保駕護(hù)航。

[1］高寧,劉琦.信息安全標(biāo)準(zhǔn)化的探討[J］.信息安全與技術(shù),2013（12）：20-21.

[2］趙戰(zhàn)生.國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)化建設(shè)現(xiàn)狀與發(fā)展趨勢(shì)[J］.中國(guó)信息安全, 2012（5）：78-81.

[3］朱峰.加強(qiáng)信息安全標(biāo)準(zhǔn)化工作的思考[J］.中國(guó)標(biāo)準(zhǔn)化, 2010（9）：447-450.

[4］劉輝.信息安全標(biāo)準(zhǔn)化介紹[J］. 中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào), 2012（8）：9-11.

[5］李曉玉.國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)研究現(xiàn)狀綜述[C］.第十一屆保密通信與信息安全現(xiàn)狀研討會(huì).2009：167-171.

[6］胡欣.標(biāo)準(zhǔn)夯筑國(guó)家信息安全基石——全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2011年度全體會(huì)議報(bào)道[J］. 信息技術(shù)與標(biāo)準(zhǔn)化, 2012（3）.

[7］高磊,李晨旸,趙章界.基于等級(jí)保護(hù)的信息安全管理體系研究[J］. 信息安全與通信保密,2015（5）：95-98.

Research and Consideration on the Standardization of Information Security

XU Kan, ZHENG Kai-Xin , LIN Zhong
(Administrative Service Center of Fujian Provincial Bureau of Quality and Technical Supervision, Fuzhou 350003, Fujian, China)

Standardization of information security plays an important role in the promotion of national economic and social informatization construction, as well as the protection of national and people's interests. This paper mainly discusses the present situation of the information security standardization and the existing problems, then put forward the corresponding improvement suggestions.

Information security;Standardization; Research

2016-02-26

徐 侃，男，福建省質(zhì)量技術(shù)監(jiān)督局行政服務(wù)中心，工程師

鄭開(kāi)新，男，福建省質(zhì)量技術(shù)監(jiān)督局行政服務(wù)中心，工程師

林 鐘，男，福建省質(zhì)量技術(shù)監(jiān)督局行政服務(wù)中心，技術(shù)員