徐 侃，郑开新，林 钟

（福建省质量技术监督局行政服务中心，福建 福州 350003）

信息安全标准化的研究与思考

徐 侃，郑开新，林 钟

（福建省质量技术监督局行政服务中心，福建 福州 350003）

信息安全及其标准化对于对推进国民经济和社会信息化建设,保障国家和人民利益等方面具有重要意义。文中主要就信息安全标准化的现状和存在问题进行了探讨，并提出了相应的完善建议。

信息安全；标准化；研究

1 引言

随着信息技术的飞速发展，信息化建设快步推进，信息系统越来越多，越来越复杂，也越来越重要，成为国民经济不可或缺的重要组成部分，随之而来的信息安全事件也越来越严峻。2015年，发生了多起令人震惊的重大信息安全事件，如广泛应用于安防和保卫方面的海康威视监控设备被境外控制、30多个省份超过五千万社保信息泄露、网易邮箱过亿用户敏感信息被窃取、中国人寿10多万份保单信息泄露、知名连锁酒店开房记录泄露等等，严重损害了国家、社会和人民的利益。信息安全工作关系国计民生，信息安全标准化建设是其重要的基础和支撑，缺少健全完善的信息安全标准体系，就很难支撑我国的信息安全保障体系，国家和人民的信息安全就无法得到保障。[1］

2 我国信息安全标准化的现状

2.1 标准化程度

信息安全相关的标准可以分为技术、产品、管理和服务4大类。

首先，技术类标准。信息安全技术主要是指保障信息安全基础、通用的技术，主要涉及密码和保密两个方面。具体又可细分为权限控制、身份认证与访问控制、防电磁泄露等等。此外还包含防火墙技术、安全审计技术、系统漏洞检测技术、网络攻击与防范技术等内容。由于这些技术通常与产品紧密结合，如防火墙设备、安全审计系统、漏洞扫描系统等等，文中将其归结到产品类标准中描述。

密码方面的标准包括用于可信计算的，如《信息安全技术 可信计算密码支撑平台功能与接口规范》（GB/T 29829-2013），用于身份认证的，如《信息安全技术 证书认证系统密码及其相关安全技术规范》（GB/T 25056-2010），此外还有用于权限控制、实体鉴别、消息鉴别的标准等等。它们共同形成了密码应用标准的体系，支撑我国网络信任体系。保密方面，我国保密相关的标准都是由国家保密局来制定和发布的，涵盖了信息设备电磁泄露检测和防护、电磁干扰和电磁屏蔽、涉密网络安全隔离、涉密信息系统漏洞扫描和入侵检测、涉密信息系统数据交换和安全审计等等，累计已有几十项标准。总体来看，上述标准发布的时间均已比较久远[］。

其次，产品类标准。信息安全产品标准从某种意义上也属于技术标准的范畴，其可分为软、硬件产品两个部分。硬件部分主要是网络基础设备和防护设备，软件部分主要是信息系统。

硬件部分，目前我国部分主流的安全硬件产品，已有相关标准。如防火墙，有《信息安全技术 防火墙技术要求和测试评价方法》（GB/T 20281-2006）等标准。路由器，有《信息安全技术 路由器安全技术要求》（GB/T 18018-2007）等标准。交换机、入侵检测等，也有数个国家和行业标准。但这些标准更新较为滞后，且有的产品有多个标准进行互补，有的只有单一的标准。[3］此外，上网行为管理、入侵防御等产品，尚无国家标准，仅有行业标准。防病毒网关、网页防篡改、负载均衡、堡垒机、日志审计等重要安全产品，相关标准仍是空白。

软件部分，目前我国一些重点的行业和领域，如银行、环保、民航、石油等，在国家标准的基础上，制定出台了行业信息系统的安全标准，如《网上银行系统信息安全通用规范》（JR/T 0068-2012）、《环境信息系统安全技术规范》（HJ 729-2014）、《民用航空运输机场信息系统安全管理规范》（MH/T 0031-2009）、《烟草行业信息安全体系建设规范》（YC/T 453-2012）以及《石油工业计算机信息系统安全管理规范》（SY/T 5231-2010）等。但多数行业和领域尚未根据自身特点制定相关信息安全标准。

再次，管理类标准。做好信息安全工作，光有技术是不够的，技术和管理并重，才能够真正保障信息安全。建立健全信息安全管理体系对于增强信息安全管控能力、提高核心竞争力有着重要意义。

我国参照国际标准化组织ISO/IEC 27000信息安全管理体系系列标准，制定了信息安全等级保护相关标准。[4］1999年，我国提出了《计算机信息系统安全等级划分准则》（GBl7859-1999），为我国信息安全工作提供了指导性依据。2008年，国家标准《信息安全管理体系要求》（GB/T 22080-2008）和《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）等相继提出，丰富了我国信息系统安全等级保护系列标准的框架[5］。2010年，《信息安全技术 信息系统安全等级保护实施指南》（GB/T 25058-2010）的发布，为我国等级保护工作提供了更加具体的实施指导。海关、民航、邮电等部分国家重点行业，结合行业特点，先后发布了本行业的信息系统安全等级保护标准，有效加强和促进了我国信息系统安全等级保护工作。[6］

最后，服务类标准。信息安全服务主要是对信息技术、产品、系统等进行安全方面的评估和测评测试。信息技术日新月异，定期开展评估和测评测试能够及时发现其存在的安全问题和隐患。

评估方面，国家在2008年发布了《信息安全技术 信息系统安全保障评估框架》（GB/T 20274-2008）和《信息技术 安全技术 信息技术安全性评估准则》（GB/T 18336-2008）系列标准，2013年又相继发布《信息技术 安全技术 信息技术安全性评估方法》（GB/T 30270-2013）、《信息安全技术 信息安全服务能力评估准则》（GB/T 30271-2013）和《信息安全技术 信息系统安全保障通用评估指南》（GB/T 30273-2013）等3项标准，对信息安全评估工作进行了整体的规范。[7］地方层面，仅山东省发布了《信息技术外包服务 信息安全服务规范》（DB37/T 1364-2009）等2项地方标准。行业层面，海关、金融、邮电、民航等少部分行业相应制定了其信息系统评估标准。此外，交换机、路由器、防火墙等少部分安全产品也有相应的评估标准。

测试测评方面，我国根据信息安全等级保护管理的要求，发布了《信息安全技术 信息系统安全等级保护测评过程指南》（GB/T 28449-2012）和《信息安全技术 信息系统安全等级保护测评要求》（GB/T 28448-2012）等国家标准，辽宁省发布了《信息系统物理安全测评方法》（DB21/T 1937-2012）和《信息系统安全等级测评量化评价方法》（DB21/T 1936-2012）2项地方标准。同时，服务器、防火墙、交换机、入侵防御等少部分安全产品有相应的测试或测评标准。

2.2 存在问题

（1）国家层面的法律法规和标准规范较为欠缺。信息安全关系国计民生，但我国的信息安全发展的较为滞后，信息技术高速发展了二十余年，国家和各级地方政府出台的法律、法规寥寥无几。直至2014年2月，在我国接入国际互联网20周年之际，国家才成立了中央网络安全和信息化建设领导小组，后于2015年8月通过刑法修正案（九），第一次包含了3项网络信息安全相关的罪名，标志着信息安全正式进入国家立法的层面。此外，信息安全的国家标准的数量也比较有限，在很多信息安全的重要领域和重要行业，仅有行业标准或地方标准。

（2）基础标准多，细化标准少，持续更新不够。我国目前出台的信息安全相关标准，多为框架性的基础标准，如管理规范、建设规范、通用指南等，适用于具体实施的细化标准较少，不利于实际工作开展和操作执行。信息安全体系框架初步形成，但还不够完善，经常是针对某项技术或某个产品找到一两个标准，而各项标准之间的相互关联和相互补充不够，应用起来存在较多局限。同时，信息技术的发展可以说是一天一个样，但信息安全标准的更新却远远落后于信息技术的发展，很多标准制定的年限都比较久，部分新技术已经广泛应用但其标准还是空白。

（3）企业参与少，核心技术少，国际化程度低。我国的信息安全产业还处于发展初期，研发经费的投入相对偏少，信息安全产业规模还比较小，产业龙头效应未能显现，信息安全相关企业拥有自主知识产权的核心技术比较欠缺，因此其参与标准化工作的程度尚处于较低的水平。而由专家学者编制的信息安全相关标准，理论性强，但往往缺少实践的检验，有时容易与实际情况脱节。此外，由于自主核心技术的欠缺，国际竞争力不足，国际话语权较弱，导致国内相关标准比国际标准较为滞后，远远无法满足我国信息化和信息安全发展的需要。

3 完善建议

根据以上所做的分析可见，信息安全及其标准化对于对推进国民经济和社会信息化建设,保障国家和人民利益等方面具有重要意义。笔者从以下三个方面对我国信息安全标准化工作提出建议：

第一，推进国家层面的法律法规和标准规范的制定实施。2014年成立的中央网络安全和信息化建设领导小组，国家主席亲任组长，其规格之高、力度之大、用意之深，表明信息安全已经进入国家战略的层面。随后2015年8月通过的刑法修正案（九），第一次将信息安全写入国家法律，是信息安全在国家法律法规层面的重大突破。国家和各级政府主管部门，应秉承党中央的领导精神和战略规划，进一步推进信息安全相关法律法规、办法的研究和出台，从不同领域、不同行业对信息安全进行立法，明确法律主体，加大处罚力度，不断完善国家信息安全防护制度体系。同时，加快国家标准的制定和实施，指导信息安全行业健康、规范、科学、高速地发展。

第二，坚持顶层设计原则，完善标准体系，持续规划和更新。从宏观规划着眼，以顶层设计原则为指导，进一步加强信息安全标准的战略研究，尤其是做好金融、海关、电信等重点领域和重点行业的信息安全标准研制，针对其特点制定细化标准，形成行业体系标准。依托现有信息安全标准体系，以基础性框架性的标准为指导，抓紧出台实施指南、技术规范等操作性强的细化标准，形成互补，不断健全和完善我国信息安全标准体系。更加紧密地跟踪前沿信息安全技术的发展，了解信息安全产业发展动态，做好信息安全标准的更新和补充，特别是新技术的应用应及时制定相关标准，避免其野蛮发展，有效支撑我国信息安全标准的持续发展。

第三，加快行业标准制定，鼓励企业参与，提升国际化程度。创新工作机制，加大信息安全产业的投入，对信息安全相关企业进行扶持，鼓励其进行自主创新，重点是加强我国拥有自主知识产权的核心技术研发，如核心处理器、操作系统等关键技术，改变目前受制于欧美国家的现状。同时，推动信息安全行业组织开展标准研发，鼓励信息安全相关企业参与到标准体系的研制中来，加快信息安全行业标准的制定与实施。更加重视国际标准化工作，保持对国际信息安全技术和相关标准发展动态的跟踪，积极参与国际化标准工作，引导鼓励国内企业和个人提交国际标准提案，尤其是把我国拥有自主知识产权的核心技术提升为国际化标准，提高国际竞争力。

4 结语

信息化是一把双刃剑，在给国家、社会、人民带来巨大效益的同时，如果忽视了信息安全，将会产生严重的后果。信息安全是一项长期艰巨的工作，过去几年来，我国信息安全工作取得了一定成绩，但也还存在许多不足。相信随着国家和各级政府、行业主管部门的重视与引导，信息安全工作的进程将持续推进，信息安全标准化工作也将飞速发展，为我国的经济和社会发展保驾护航。

[1］高宁,刘琦.信息安全标准化的探讨[J］.信息安全与技术,2013（12）：20-21.

[2］赵战生.国内外信息安全标准化建设现状与发展趋势[J］.中国信息安全, 2012（5）：78-81.

[3］朱峰.加强信息安全标准化工作的思考[J］.中国标准化, 2010（9）：447-450.

[4］刘辉.信息安全标准化介绍[J］. 中国标准导报, 2012（8）：9-11.

[5］李晓玉.国内外信息安全标准研究现状综述[C］.第十一届保密通信与信息安全现状研讨会.2009：167-171.

[6］胡欣.标准夯筑国家信息安全基石——全国信息安全标准化技术委员会2011年度全体会议报道[J］. 信息技术与标准化, 2012（3）.

[7］高磊,李晨旸,赵章界.基于等级保护的信息安全管理体系研究[J］. 信息安全与通信保密,2015（5）：95-98.

Research and Consideration on the Standardization of Information Security

XU Kan, ZHENG Kai-Xin , LIN Zhong
(Administrative Service Center of Fujian Provincial Bureau of Quality and Technical Supervision, Fuzhou 350003, Fujian, China)

Standardization of information security plays an important role in the promotion of national economic and social informatization construction, as well as the protection of national and people's interests. This paper mainly discusses the present situation of the information security standardization and the existing problems, then put forward the corresponding improvement suggestions.

Information security;Standardization; Research

2016-02-26

徐 侃，男，福建省质量技术监督局行政服务中心，工程师

郑开新，男，福建省质量技术监督局行政服务中心，工程师

林 钟，男，福建省质量技术监督局行政服务中心，技术员