今日頭條
官方微信
官方抖音
資訊頻道
楊建軍工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟副理事長(zhǎng)、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院副院長(zhǎng)、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)長(zhǎng)
編者按:習(xí)近平總書(shū)記多次強(qiáng)調(diào),“沒(méi)有網(wǎng)絡(luò)安全,就沒(méi)有國(guó)家安全。”我國(guó)要從互聯(lián)網(wǎng)大國(guó)向互聯(lián)網(wǎng)強(qiáng)國(guó)邁進(jìn),網(wǎng)絡(luò)安全是重要保障。而信息安全標(biāo)準(zhǔn)化則是維護(hù)網(wǎng)絡(luò)安全、推動(dòng)網(wǎng)絡(luò)空間治理體系變革的基礎(chǔ)性、規(guī)范化和引領(lǐng)性的工作。本刊特邀工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟副理事長(zhǎng)、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院副院長(zhǎng)、全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)長(zhǎng)楊建軍,深度解讀我國(guó)信息安全標(biāo)準(zhǔn)化發(fā)展現(xiàn)狀,信息安全標(biāo)準(zhǔn)化工作進(jìn)展,以及下一步信息安全標(biāo)準(zhǔn)化工作的重點(diǎn)任務(wù)。
自動(dòng)化博覽:您如何看待標(biāo)準(zhǔn)化工作對(duì)于我國(guó)信息安全事業(yè)發(fā)展的重要意義?
楊建軍:標(biāo)準(zhǔn)是促進(jìn)全球貿(mào)易、技術(shù)、環(huán)境、社會(huì)等可持續(xù)發(fā)展的重要支撐,是各國(guó)參與國(guó)際規(guī)則制定的重要途徑,是一種層次更深、水平更高、影響更大的競(jìng)爭(zhēng)。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的競(jìng)爭(zhēng)更是明顯,誰(shuí)占據(jù)了網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制高點(diǎn),誰(shuí)就可以在網(wǎng)絡(luò)安全博弈中贏得先機(jī)、掌握主動(dòng)。作為國(guó)家網(wǎng)絡(luò)安全保障體系建設(shè)的重要組成部分,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)在保障國(guó)家網(wǎng)絡(luò)空間安全、推動(dòng)社會(huì)治理體系變革方面發(fā)揮著基礎(chǔ)性、規(guī)范性、引領(lǐng)性作用。在技術(shù)層面,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是固化技術(shù)創(chuàng)新成果、推動(dòng)新技術(shù)產(chǎn)業(yè)化的重要手段;在產(chǎn)業(yè)層面,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模化發(fā)展的重要工具;在社會(huì)治理層面,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是規(guī)范市場(chǎng)、保證質(zhì)量的標(biāo)桿。因此,做好網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作,對(duì)于維護(hù)國(guó)家安全,促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)和技術(shù)發(fā)展都具有非常重要的意義。
自動(dòng)化博覽:請(qǐng)您為我們介紹一下我國(guó)信息安全標(biāo)準(zhǔn)工作的進(jìn)展,取得了哪些成績(jī),還需要在哪些方面完善?
楊建軍:我國(guó)信息安全標(biāo)準(zhǔn)化工作由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(以下簡(jiǎn)稱(chēng)“信安標(biāo)委”,編號(hào)SAC/TC260)負(fù)責(zé)。信安標(biāo)委成立于2002年4月,是國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)直屬標(biāo)委會(huì),其工作范圍包括信息安全技術(shù)、機(jī)制、服務(wù)、管理、評(píng)估等領(lǐng)域的標(biāo)準(zhǔn)化工作。國(guó)際對(duì)口ISO/IEC JTC1 SC27(國(guó)際標(biāo)準(zhǔn)化組織國(guó)際電工委員會(huì)第一聯(lián)合技術(shù)委員會(huì)信息安全分委員會(huì))。
信安標(biāo)委現(xiàn)有委員81名,來(lái)自網(wǎng)絡(luò)安全主管或監(jiān)管部門(mén)以及從事信息安全科研、生產(chǎn)、應(yīng)用、測(cè)評(píng)等單位。標(biāo)委會(huì)秘書(shū)處設(shè)在中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院。信安標(biāo)委下設(shè)6個(gè)工作組和1個(gè)特別工作組:WG1:信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組;WG3:密碼技術(shù)工作組;WG4:鑒別與授權(quán)工作組;WG5:信息安全評(píng)估工作組;WG6:通信安全標(biāo)準(zhǔn)工作組;WG7:信息安全管理工作組;SWG-BDS:大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組。
標(biāo)委會(huì)自成立以來(lái),重點(diǎn)圍繞標(biāo)準(zhǔn)體系研究、標(biāo)準(zhǔn)制修訂、試點(diǎn)驗(yàn)證、宣傳推廣、國(guó)際標(biāo)準(zhǔn)化等方面開(kāi)展了一系列工作:
標(biāo)準(zhǔn)體系研究方面。信安標(biāo)委長(zhǎng)期以來(lái)高度重視網(wǎng)絡(luò)安全標(biāo)準(zhǔn)頂層設(shè)計(jì)和體系研究工作。2016年,支撐中央網(wǎng)信辦、國(guó)家標(biāo)準(zhǔn)委等部門(mén)制定并發(fā)布了《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見(jiàn)》,作為當(dāng)前及今后一段時(shí)期國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的綱領(lǐng)性文件,從工作機(jī)制、標(biāo)準(zhǔn)體系、標(biāo)準(zhǔn)質(zhì)量、標(biāo)準(zhǔn)宣貫、國(guó)際標(biāo)準(zhǔn)化、人才建設(shè)、資金保障等方面詳細(xì)提出了當(dāng)前及今后一段時(shí)期我國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的重點(diǎn)任務(wù)。同時(shí),落實(shí)《網(wǎng)絡(luò)安全法》等法律法規(guī)要求,結(jié)合國(guó)家發(fā)展戰(zhàn)略、產(chǎn)業(yè)政策、當(dāng)前技術(shù)發(fā)展現(xiàn)狀和實(shí)際應(yīng)用需求,組織開(kāi)展新技術(shù)新應(yīng)用領(lǐng)域標(biāo)準(zhǔn)規(guī)劃和體系研究工作,發(fā)布了《大數(shù)據(jù)安全標(biāo)準(zhǔn)化白皮書(shū)(2018版)》、《電子認(rèn)證2.0白皮書(shū)(2018版)》和《汽車(chē)電子網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化白皮書(shū)(2018)》,為相關(guān)領(lǐng)域標(biāo)準(zhǔn)化工作的開(kāi)展提供了規(guī)劃和參考。
標(biāo)準(zhǔn)制修訂方面。截止目前,信安標(biāo)委已經(jīng)組織制定并發(fā)布了268項(xiàng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn),主要涉及密碼、鑒別與授權(quán)、安全評(píng)估、通信安全、安全管理、大數(shù)據(jù)安全等領(lǐng)域,初步構(gòu)建了國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系框架,為國(guó)家網(wǎng)絡(luò)安全審查、信息安全等級(jí)保護(hù)、信息安全產(chǎn)品檢測(cè)與認(rèn)證、信息安全風(fēng)險(xiǎn)評(píng)估、信息系統(tǒng)災(zāi)難恢復(fù)等國(guó)家網(wǎng)絡(luò)安全保障工作,以及《電子簽名法》、《網(wǎng)絡(luò)安全法》的實(shí)施等提供了有力的標(biāo)準(zhǔn)化支撐。
標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證方面。信安標(biāo)委非常重視重要標(biāo)準(zhǔn)試點(diǎn)示范和驗(yàn)證工作。近年來(lái),圍繞《信息安全技術(shù)云計(jì)算服務(wù)安全指南》和《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》國(guó)家標(biāo)準(zhǔn)組織開(kāi)展了云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理國(guó)家標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作;以國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》為主要技術(shù)依據(jù),組織開(kāi)展個(gè)人信息保護(hù)提升行動(dòng)之隱私條款專(zhuān)項(xiàng)工作,有效提升了互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)意識(shí)和水平,形成社會(huì)引導(dǎo)和示范效應(yīng);針對(duì)《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》《信息安全技術(shù)數(shù)據(jù)安全能力成熟度評(píng)估模型》等重要在研標(biāo)準(zhǔn)開(kāi)展了驗(yàn)證工作,選取典型標(biāo)準(zhǔn)應(yīng)用場(chǎng)景,檢驗(yàn)標(biāo)準(zhǔn)技術(shù)內(nèi)容的可操作性和實(shí)用性,為標(biāo)準(zhǔn)實(shí)施落地積累經(jīng)驗(yàn)。
標(biāo)準(zhǔn)宣傳推廣方面。2016年以來(lái),在全國(guó)舉辦了15次網(wǎng)絡(luò)安全標(biāo)準(zhǔn)宣傳培訓(xùn)活動(dòng),累計(jì)培訓(xùn)人數(shù)近5000人。連續(xù)組織了三屆網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)優(yōu)秀應(yīng)用案例征集活動(dòng),推動(dòng)了網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)在政務(wù)部門(mén)、關(guān)鍵信息基礎(chǔ)設(shè)施和重點(diǎn)行業(yè)中的應(yīng)用實(shí)施。多次與黑龍江、河南、鞍山等地方網(wǎng)信辦和人民政府聯(lián)合舉辦網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)宣貫培訓(xùn)活動(dòng),搭建了中央與地方網(wǎng)絡(luò)安全工作交流平臺(tái)。通過(guò)參與國(guó)家網(wǎng)絡(luò)安全宣傳周、世界標(biāo)準(zhǔn)日等國(guó)家大型網(wǎng)絡(luò)安全活動(dòng),多形式多渠道加強(qiáng)標(biāo)準(zhǔn)的宣傳推廣。
國(guó)際標(biāo)準(zhǔn)化方面。自2004年起連續(xù)16年組團(tuán)參加SC27會(huì)議,從最初的跟蹤研究轉(zhuǎn)變?yōu)閷?shí)質(zhì)參與。持續(xù)擴(kuò)大國(guó)際標(biāo)準(zhǔn)專(zhuān)家隊(duì)伍,國(guó)際標(biāo)準(zhǔn)注冊(cè)專(zhuān)家人數(shù)達(dá)125人。近幾年,包含我國(guó)密碼算法SM3、SM2和SM9,信息安全事件分類(lèi)分級(jí)等提案的8項(xiàng)國(guó)際標(biāo)準(zhǔn)獲批發(fā)布,數(shù)據(jù)安全、可信網(wǎng)絡(luò)連接、生物特征識(shí)別等國(guó)際標(biāo)準(zhǔn)制定項(xiàng)目在順利推進(jìn)中。我國(guó)還積極承辦國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化會(huì)議,分別于2009年在北京、2018年在武漢成功承辦了SC27工作組會(huì)議和全體會(huì)議,尤其是去年武漢舉辦的國(guó)際會(huì)議,組織嚴(yán)謹(jǐn)、保障有序、效果良好,得到了國(guó)內(nèi)外與會(huì)專(zhuān)家的一致贊譽(yù)和高度評(píng)價(jià)。此外,不斷加強(qiáng)中德、中法雙邊網(wǎng)絡(luò)安全交流與合作,今年與德國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)信息技術(shù)與應(yīng)用標(biāo)準(zhǔn)化委員會(huì)(DIN/NIA)簽署了合作諒解備忘錄(MOU),為雙方進(jìn)一步開(kāi)展務(wù)實(shí)合作奠定了基礎(chǔ)。
自動(dòng)化博覽:我國(guó)信息安全標(biāo)準(zhǔn)體系主要包含哪幾部分內(nèi)容?目前每一部分的重點(diǎn)和發(fā)展情況如何?目前全國(guó)信安標(biāo)委正在牽頭編制《網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)體系建設(shè)指南(2019)》,可否介紹一下相關(guān)的工作進(jìn)展?《指南》的推出,將對(duì)我國(guó)網(wǎng)絡(luò)安全事業(yè)有哪些積極作用?
楊建軍:信安標(biāo)委自2002年成立以來(lái),一直高度重視網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系的建設(shè)和完善,每年會(huì)根據(jù)國(guó)家網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策、技術(shù)和產(chǎn)業(yè)發(fā)展、標(biāo)準(zhǔn)需求等變化,對(duì)標(biāo)準(zhǔn)體系框架進(jìn)行適當(dāng)調(diào)整,增補(bǔ)已發(fā)布標(biāo)準(zhǔn)和新立項(xiàng)項(xiàng)目,曾于2005年公開(kāi)發(fā)布過(guò)一版體系。近年來(lái),隨著新技術(shù)新應(yīng)用迅速發(fā)展,以及《網(wǎng)絡(luò)安全法》和《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見(jiàn)》等法律政策文件的出臺(tái),綜合考慮網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀和標(biāo)準(zhǔn)化需求,從標(biāo)準(zhǔn)屬性、保護(hù)對(duì)象和應(yīng)用領(lǐng)域角度出發(fā),初步構(gòu)建了三維標(biāo)準(zhǔn)體系結(jié)構(gòu)圖,目前該體系還在不斷完善過(guò)程中。
標(biāo)準(zhǔn)屬性維主要從標(biāo)準(zhǔn)的基本特性出發(fā),包括基礎(chǔ)、技術(shù)與機(jī)制、管理、測(cè)評(píng)等標(biāo)準(zhǔn)。保護(hù)對(duì)象維主要從標(biāo)準(zhǔn)所面向的對(duì)象出發(fā),包括產(chǎn)品與服務(wù)、網(wǎng)絡(luò)與系統(tǒng)、數(shù)據(jù)、組織等標(biāo)準(zhǔn)。應(yīng)用領(lǐng)域維主要從標(biāo)準(zhǔn)的應(yīng)用角度出發(fā),包括云計(jì)算、大數(shù)據(jù)、智慧城市、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、區(qū)塊鏈、人工智能、關(guān)鍵信息基礎(chǔ)設(shè)施等標(biāo)準(zhǔn)。
目前,《網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)體系建設(shè)指南(2019)》正在編制過(guò)程中,預(yù)計(jì)將于今年年底發(fā)布。該《指南》的推出,會(huì)讓我國(guó)信息安全標(biāo)準(zhǔn)體系更加科學(xué)合理,對(duì)下一階段標(biāo)準(zhǔn)化工作具有重要的指導(dǎo)作用,可為信息安全標(biāo)準(zhǔn)制修訂計(jì)劃的提出提供重要依據(jù),將為我國(guó)網(wǎng)絡(luò)安全保障體系的建設(shè)提供有力支撐。
自動(dòng)化博覽:下一步我國(guó)信息安全標(biāo)準(zhǔn)工作的重點(diǎn)任務(wù)是什么?將在哪些方面重點(diǎn)開(kāi)展工作?
楊建軍:下一步,我國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作將緊緊圍繞以下幾個(gè)方面開(kāi)展工作。
一是從管理的維度,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定和實(shí)施要以國(guó)家有關(guān)的政策法規(guī)為依據(jù),標(biāo)準(zhǔn)要有利于政策法規(guī)的落地實(shí)施。今年國(guó)家互聯(lián)網(wǎng)信息辦公室陸續(xù)發(fā)布《網(wǎng)絡(luò)安全審查辦法(征求意見(jiàn)稿)》《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》《云計(jì)算服務(wù)安全評(píng)估辦法》等文件,標(biāo)準(zhǔn)的研制工作要緊緊圍繞這些政策文件開(kāi)展,以支撐政策文件的落地實(shí)施。
二是從技術(shù)的維度,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定要在保障安全的基礎(chǔ)上發(fā)揮更多作用,要通過(guò)標(biāo)準(zhǔn)規(guī)范和引導(dǎo)行業(yè)技術(shù)的發(fā)展。針對(duì)5G、人工智能、大數(shù)據(jù)等新技術(shù)新應(yīng)用快速發(fā)展所帶來(lái)的安全問(wèn)題,要提前開(kāi)展標(biāo)準(zhǔn)研究,研究其中潛在的安全風(fēng)險(xiǎn)和挑戰(zhàn),提前布局,以網(wǎng)絡(luò)安全標(biāo)準(zhǔn)引領(lǐng)發(fā)展。
三是從應(yīng)用的維度,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定和實(shí)施要圍繞網(wǎng)絡(luò)安全的重點(diǎn)問(wèn)題來(lái)開(kāi)展。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作要立足于現(xiàn)實(shí)、堅(jiān)持問(wèn)題導(dǎo)向,圍繞人民群眾的關(guān)切做老百姓有獲得感的標(biāo)準(zhǔn),例如智能門(mén)鎖安全、個(gè)人信息保護(hù)等,都關(guān)乎著人民群眾的切身利益及安全,要重點(diǎn)做好這些標(biāo)準(zhǔn)的研制和應(yīng)用推廣,發(fā)揮標(biāo)準(zhǔn)的規(guī)范性作用。
自動(dòng)化博覽:對(duì)于工業(yè)信息安全標(biāo)準(zhǔn)來(lái)說(shuō),目前我國(guó)的發(fā)展重點(diǎn)是什么?
楊建軍:當(dāng)前,隨著智能制造、工業(yè)互聯(lián)網(wǎng)等新型生產(chǎn)模式的發(fā)展,工業(yè)云計(jì)算、工業(yè)大數(shù)據(jù)等新興技術(shù)的不斷應(yīng)用,傳統(tǒng)信息安全防護(hù)技術(shù)存在手段單一、功能分散、自動(dòng)化程度較低等問(wèn)題,不能適應(yīng)工業(yè)信息安全防護(hù)的新需求。為提升我國(guó)工業(yè)企業(yè)工業(yè)信息安全防護(hù)水平,指導(dǎo)我國(guó)工業(yè)信息安全防護(hù)工作開(kāi)展,全國(guó)信安標(biāo)委持續(xù)開(kāi)展工業(yè)信息安全標(biāo)準(zhǔn)化工作,截至目前,共立項(xiàng)研制工業(yè)控制系統(tǒng)信息安全國(guó)家標(biāo)準(zhǔn)26項(xiàng),范圍涵蓋工業(yè)控制系統(tǒng)安全分級(jí)、安全管理、安全實(shí)施、安全測(cè)評(píng),以及典型工業(yè)控制系統(tǒng)、設(shè)備安全等領(lǐng)域,《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》(GB/T 32919-2016)等關(guān)鍵核心標(biāo)準(zhǔn)正式發(fā)布實(shí)施,已初步建立了工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)體系,可為工信部等相關(guān)部門(mén)開(kāi)展行業(yè)管理,以及工業(yè)企業(yè)提升安全防護(hù)水平提供標(biāo)準(zhǔn)支撐。然而,我國(guó)工業(yè)信息安全相關(guān)標(biāo)準(zhǔn)依然存在著可編程邏輯控制器(PLC)、分布式控制器(DCS)、數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)等核心工控產(chǎn)品安全要求、測(cè)評(píng)方法等相關(guān)標(biāo)準(zhǔn)缺失,難以有效支撐產(chǎn)品級(jí)安全測(cè)評(píng)工作。下一步,全國(guó)信安標(biāo)委將持續(xù)完善工業(yè)信息安全標(biāo)準(zhǔn)體系,以提升工業(yè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)水平為根本,圍繞工信部工控安全防護(hù)能力評(píng)估、工業(yè)互聯(lián)網(wǎng)安全等重點(diǎn)工作,加快推進(jìn)急需標(biāo)準(zhǔn)研制。積極響應(yīng)產(chǎn)業(yè)需求,緊跟技術(shù)發(fā)展,根據(jù)輕重緩急,研制工控系統(tǒng)關(guān)鍵產(chǎn)品安全技術(shù)要求、安全測(cè)試規(guī)范等標(biāo)準(zhǔn),形成測(cè)試驗(yàn)證能力,提升相關(guān)產(chǎn)品的安全防護(hù)水平。
自動(dòng)化博覽:目前,國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全要求及評(píng)估規(guī)范》征求意見(jiàn)稿已經(jīng)發(fā)布,可否簡(jiǎn)單介紹一下這個(gè)標(biāo)準(zhǔn)?此標(biāo)準(zhǔn)將在哪些方面促進(jìn)我國(guó)工業(yè)互聯(lián)網(wǎng)平臺(tái)建設(shè)?此標(biāo)準(zhǔn)預(yù)計(jì)什么時(shí)候正式發(fā)布?對(duì)于該標(biāo)準(zhǔn)后續(xù)的執(zhí)行、落地您有何考慮?
楊建軍:面向工業(yè)互聯(lián)網(wǎng)等新興領(lǐng)域,信安標(biāo)委統(tǒng)籌布局,開(kāi)展工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系研究,梳理工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化需求,厘清標(biāo)準(zhǔn)關(guān)系,為工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系建設(shè)工作提供指導(dǎo)。同時(shí)根據(jù)急用先行原則,開(kāi)展《信息安全技術(shù)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全要求及評(píng)估規(guī)范》標(biāo)準(zhǔn)立項(xiàng)研制,用于指導(dǎo)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全建設(shè)、運(yùn)維及測(cè)評(píng)等工作。
《信息安全技術(shù)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全要求及評(píng)估規(guī)范》面向工業(yè)互聯(lián)網(wǎng)平臺(tái)相關(guān)組織機(jī)構(gòu),規(guī)定了工業(yè)互聯(lián)網(wǎng)平臺(tái)邊緣層、工業(yè)IaaS層、工業(yè)PaaS層、工業(yè)SaaS層和安全管理等方面安全要求及配套評(píng)估規(guī)范,可規(guī)范相關(guān)組織開(kāi)展工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)設(shè)計(jì)、規(guī)劃、建設(shè)、運(yùn)維等工作,同時(shí)也可為相關(guān)第三方評(píng)估組織開(kāi)展工業(yè)互聯(lián)網(wǎng)平臺(tái)安全評(píng)估工作提供標(biāo)準(zhǔn)化指導(dǎo)。
自標(biāo)準(zhǔn)立項(xiàng)后,中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院會(huì)同樹(shù)根互聯(lián)技術(shù)有限公司等單位成立標(biāo)準(zhǔn)工作組,開(kāi)展標(biāo)準(zhǔn)研制工作。依據(jù)全國(guó)信安標(biāo)委標(biāo)準(zhǔn)制修訂工作流程有關(guān)要求,截至目前,標(biāo)準(zhǔn)工作組已在全國(guó)信安標(biāo)委2019年第一次全國(guó)會(huì)議周上,推進(jìn)該標(biāo)準(zhǔn)形成標(biāo)準(zhǔn)公開(kāi)征求意見(jiàn)稿,并已在網(wǎng)上公開(kāi)征求意見(jiàn)。下一步,標(biāo)準(zhǔn)編制組將根據(jù)公開(kāi)征求意見(jiàn)的專(zhuān)家建議,修改標(biāo)準(zhǔn)文檔,加快推進(jìn)標(biāo)準(zhǔn)進(jìn)程,擬于全國(guó)信安標(biāo)委2019年第二次會(huì)議周上形成標(biāo)準(zhǔn)送審稿,推動(dòng)標(biāo)準(zhǔn)盡快發(fā)布。
在標(biāo)準(zhǔn)正式發(fā)布后,標(biāo)準(zhǔn)工作組將依托全國(guó)信安標(biāo)委,開(kāi)展《信息安全技術(shù)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全要求及評(píng)估規(guī)范》標(biāo)準(zhǔn)宣貫培訓(xùn)、試點(diǎn)示范工作,服務(wù)工業(yè)互聯(lián)網(wǎng)平臺(tái)相關(guān)企業(yè),幫助企業(yè)提升對(duì)標(biāo)準(zhǔn)內(nèi)容的理解和使用。
自動(dòng)化博覽:2019年,我國(guó)主要有哪些工業(yè)信息安全相關(guān)標(biāo)準(zhǔn)推出?可否簡(jiǎn)單介紹一下這些標(biāo)準(zhǔn)?
楊建軍:2019年8月30日,《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》《信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品技術(shù)要求及測(cè)試評(píng)價(jià)方法》《信息安全技術(shù)工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評(píng)估準(zhǔn)則》《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)安全技術(shù)要求及測(cè)試評(píng)價(jià)方法》《信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》《信息安全技術(shù)工業(yè)控制系統(tǒng)專(zhuān)用防火墻技術(shù)要求》《信息安全技術(shù)工業(yè)控制系統(tǒng)安全檢查指南》等7項(xiàng)工業(yè)信息安全相關(guān)國(guó)家標(biāo)準(zhǔn)正式發(fā)布。中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)公告(2019年第10號(hào))
《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》規(guī)定了工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的安全功能要求、安全保障要求和安全等級(jí)劃分要求,適用于工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)及測(cè)試。
《信息安全技術(shù)工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品技術(shù)要求及測(cè)試評(píng)價(jià)方法》規(guī)定了針對(duì)工業(yè)控制系統(tǒng)的漏洞檢測(cè)產(chǎn)品的技術(shù)要求和測(cè)試評(píng)價(jià)方法,包括安全功能要求、自身安全要求和安全保障要求,以及相應(yīng)的測(cè)試評(píng)價(jià)方法,適用于工業(yè)控制系統(tǒng)漏洞檢測(cè)產(chǎn)品的設(shè)計(jì)、開(kāi)發(fā)和測(cè)評(píng)。
《信息安全技術(shù)工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評(píng)估準(zhǔn)則》定義了工業(yè)控制系統(tǒng)產(chǎn)品安全評(píng)估的通用安全功能組件和安全保障組件集合,規(guī)定了工業(yè)控制系統(tǒng)產(chǎn)品的安全要求和評(píng)估準(zhǔn)則,適用于工業(yè)控制系統(tǒng)產(chǎn)品安全保障能力的評(píng)估,產(chǎn)品安全功能的設(shè)計(jì)、開(kāi)發(fā)和測(cè)試也可參照使用。
《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)安全技術(shù)要求及測(cè)試評(píng)價(jià)方法》規(guī)定了工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)產(chǎn)品的安全技術(shù)要求和測(cè)試評(píng)價(jià)方法,適用于工業(yè)控制網(wǎng)絡(luò)監(jiān)測(cè)產(chǎn)品的設(shè)計(jì)生產(chǎn)方對(duì)其設(shè)計(jì)、開(kāi)發(fā)及測(cè)評(píng)等提供指導(dǎo),同時(shí)也可為工業(yè)控制系統(tǒng)設(shè)計(jì)、建設(shè)和運(yùn)維方開(kāi)展工業(yè)控制系統(tǒng)安全防護(hù)工作提供指導(dǎo)。
《信息安全技術(shù)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》規(guī)定了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品的安全功能要求、安全保障要求和安全等級(jí)劃分要求,適用于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品的設(shè)計(jì)、生產(chǎn)和測(cè)試。
《信息安全技術(shù)工業(yè)控制系統(tǒng)專(zhuān)用防火墻技術(shù)要求》規(guī)定了工業(yè)控制系統(tǒng)專(zhuān)用防火墻的安全功能要求、安全保障要求、性能要求和安全等級(jí)劃分要求,適用于工控防火墻的設(shè)計(jì)、開(kāi)發(fā)和測(cè)試。
《信息安全技術(shù)工業(yè)控制系統(tǒng)安全檢查指南》規(guī)定了工業(yè)控制系統(tǒng)信息安全檢查的目的、范圍、方式、流程、方法和內(nèi)容,適用于開(kāi)展工業(yè)控制系統(tǒng)的信息安全監(jiān)督檢查、委托檢查工作,同時(shí)也適用于各企業(yè)在本集團(tuán)(系統(tǒng))范圍內(nèi)開(kāi)展相關(guān)系統(tǒng)的信息安全自檢查。
摘自《工業(yè)控制系統(tǒng)信息安全專(zhuān)刊(第六輯)》
北京市公安局海淀分局備案號(hào):11010802023656號(hào)