應用

技術

物聯(lián)網世界 >> 物聯(lián)網新聞 >> 物聯(lián)網熱點新聞
企業(yè)注冊個人注冊登錄

網絡安全建設刻不容緩 標準體系建設成果顯著

2020-06-04 08:42 中國安防行業(yè)網

導讀:網絡安全標準作為網絡安全保障體系的重要組成部分,是做好網絡安全工作的重中之重

信息技術迅猛發(fā)展,網絡空間已成為國家繼陸、海、空、天之后的第五疆域。保障網絡空間安全,對于保障公民權益、保證國家安全和社會穩(wěn)定至關重要。網絡安全標準作為網絡安全保障體系的重要組成部分,是做好網絡安全工作的重中之重。   

2016年8月,中央網信辦、國家質檢總局、國家標準委聯(lián)合發(fā)布了《關于加強網絡安全標準化工作的若干意見》,該文件從工作機制、標準體系建設、標準質量和基礎能力、國際標準化、人才隊伍建設、資金保障等七個方面,提出了19條具體意見措施,是今后一段時期我國網絡安全標準化工作的綱領性文件。   

一、常用網絡安全標準   

- 等級保護   

《計算機信息系統(tǒng)安全保護等級劃分準則》(GB 17859-1999)  

《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)  

《信息安全技術 網絡安全等級保護安全設計技術要求》(GB/T 25070-2019)  

《信息安全技術 網絡安全等級保護測評要求》(GB/T 28448-2019)  

《信息安全技術 網絡安全等級保護測評過程指南》(GB/T 28449-2018)  

《信息安全技術 網絡安全等級保護定級指南》(GB/T 22240-2008)  

《信息安全技術 網絡安全等級保護測試評估技術指南》(GB/T 36627-2018)  

《信息安全技術 網絡安全等級保護安全管理中心技術要求》(GB/T 36958-2018)  

《信息安全技術 網絡安全等級保護測評機構能力要求和評估規(guī)范》(GB/T 36959-2018)   

- 風險評估   

《信息安全技術 信息安全風險評估規(guī)范》(GB/T 20984-2007)  

《信息安全技術 信息安全風險評估實施指南》(GB/T 31509-2015)  

《信息安全技術 信息安全風險處理實施指南》(GB/T 33132-2016)   

- 應急響應   

《信息安全技術 信息安全應急響應計劃規(guī)范》(GB/T 24363-2009)  

《信息技術 安全技術 信息安全事件管理指南》(GB/Z 20985-2007)  

《信息安全技術 信息安全事件分類分級指南》(GB/Z 20986-2007)   

- 業(yè)務連續(xù)性/災難恢復   

《公共安全 業(yè)務連續(xù)性管理體系要求》(GB/T 30146-2013)  

《信息安全技術 信息系統(tǒng)災難恢復規(guī)范》(GB/T 20988-2007)  

《信息安全技術 災難恢復服務要求》(GB/T 36957-2018)  

《信息安全技術 災難恢復服務能力評估準則》(GB/T 37046-2018)   

- 系統(tǒng)安全工程   

《信息技術 系統(tǒng)安全工程能力成熟度模型》(GB/T 20261-2006)   

- 風險管理   

《信息安全技術 信息安全風險管理指南》(GB/Z 24364-2009)  

《信息技術 安全技術 信息安全治理》(GB/T 32923-2016)   

- 信息安全管理體系   

《信息技術 安全技術 信息安全管理體系要求》(GB/T 22080-2016)  

《信息技術 安全技術 信息安全控制實踐指南》(GB/T 22081-2016)  

《信息技術 安全技術 信息安全管理體系審核和認證機構要求》(GB/T 25067-2016)  

《信息技術 安全技術 信息安全控制措施審核員指南》(GB/Z 32916-2016)  

《信息安全技術 信息系統(tǒng)安全管理評估要求》(GB/T 28453-2012)  

《信息技術 信息技術安全管理指南》(GB/T 19715-2005)  

《信息技術 信息安全管理實用規(guī)則》(GB/T 19716-2005)   

- 安全保障評估   

《信息系統(tǒng)安全保障評估框架》(GB/T 20274-2008)   

- 應用系統(tǒng)安全   

《信息安全技術 電子郵件系統(tǒng)安全技術要求》(GB/T 37002-2018)  

《信息安全技術 辦公信息系統(tǒng)安全管理要求》(GB/T 37094-2018)  

《信息安全技術 辦公信息系統(tǒng)安全基本技術要求》(GB/T 37095-2018)  

《信息安全技術 辦公信息系統(tǒng)安全測試規(guī)范》(GB/T 37096-2018)  

《信息安全技術 計算機終端核心配置基線結構規(guī)范》(GB/T 35283-2017)   

- 機房/數(shù)據(jù)中心   

《數(shù)據(jù)中心設計規(guī)范》(GB 50174-2017)   

- 個人信息安全   

《信息安全技術 個人信息安全規(guī)范》(GB/T 35273-2017)  

《信息安全技術 個人信息去標識化指南》(GB/T 37964-2019)   

- 移動安全   

《信息安全技術 移動終端安全保護技術要求》(GB/T 35278-2017))  

《信息安全技術 移動互聯(lián)網應用服務器安全技術要求》(GB/T 35281-2017)  

《信息安全技術 電子政務移動辦公系統(tǒng)安全技術規(guī)范》(GB/T 35282-2017)  

《信息安全技術 移動智能終端安全架構》(GB/T 32927-2016)   

- 物聯(lián)網安全   

《信息安全技術 物聯(lián)網安全參考模型及通用要求》(GB/T 37044-2018)   

- 工業(yè)控制安全   

《信息安全技術 工業(yè)控制系統(tǒng)安全檢查指南》(GB/T 37980-2019)  

《信息安全技術 工業(yè)控制系統(tǒng)產品信息安全通用評估準則》(GB/T 37962-2019)  

《信息安全技術 工業(yè)控制系統(tǒng)安全管理基本要求》(GB/T 36323-2018)  

《信息安全技術 工業(yè)控制系統(tǒng)信息安全分級規(guī)范》(GB/T 36324-2018)  

《信息安全技術 工業(yè)控制系統(tǒng)風險評估實施指南》(GB/T 36466-2018)  

《信息安全技術 工業(yè)控制系統(tǒng)安全控制應用指南》(GB/T 32919-2016)   

- 數(shù)據(jù)安全   

《信息安全技術 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)  

《信息安全技術 大數(shù)據(jù)安全管理指南》(GB/T 37973-2019)  

《信息安全技術 大數(shù)據(jù)服務安全能力要求》(GB/T 35274-2017)   

- 云計算安全   

《信息安全技術 云計算安全參考架構》(GB/T 35279-2017)  

信息安全技術 云計算服務安全能力評估方法》(GB/T 34942-2017)  

《信息安全技術 云計算服務安全指南》(GB/T 31167-2014)  

《信息安全技術 云計算服務安全能力要求》(GB/T 31168-2014)   

- 安全攻防   

《信息安全技術 網絡攻擊定義及描述規(guī)范》(GB/T 37027-2018)  

《信息安全技術 網絡安全威脅信息格式規(guī)范》(GB/T 36643-2018)  

《信息安全技術 網絡安全預警指南》(GB/T 32924-2016)   

- 漏洞管理   

《信息安全技術 安全漏洞分類》(GB/T 33561-2017)  

《信息安全技術 安全漏洞等級劃分指南》(GB/T 30279-2013)  

《信息安全技術 安全漏洞管理規(guī)范》(GB/T 30276-2013)  

《信息安全技術 安全漏洞標示與描述規(guī)范》(GB/T 28458-2012)   

- 信息技術安全評估   

《信息技術 安全技術 信息技術安全性評估準則》(GB/T 18336-2015)  

《信息技術 安全技術 信息技術安全性評估方法》(GB/T 30270-2013)  

《信息安全技術 保護輪廓和安全目標的產生指南》(GB/Z 20283-2006)   

二、2019年最新頒布的重要網絡安全標準解讀   

近幾年,在人工智能、物聯(lián)網、大數(shù)據(jù)等新興技術帶動下,網絡安全需要增長,在網絡安全建設也得以不斷推進,2019年有以下幾項比較重要的標準相繼發(fā)布和實施:   

(一)國家首個人臉識別鑒別身份標準《信息安全技術 遠程人臉識別系統(tǒng)技術要求》   

公安部第一研究所積極地統(tǒng)籌推進人工智能標準化工作,2019年4月28日《信息安全技術遠程人臉識別系統(tǒng)技術要求》正式發(fā)布。   

該標準是信息安全鑒別與授權標準體系及生物特征識別信息安全標準體系架構中重要的基礎標準,更是全國首個使用人臉識別技術進行身份鑒別的網絡安全國家標準。從滿足個人信息安全保護與信息安全總體要求出發(fā),充分考慮當前人臉識別系統(tǒng)創(chuàng)新發(fā)展需求、用戶接受度和技術成熟度現(xiàn)狀,結合我國當前的信息安全技術發(fā)展水平,深入分析ISO、ITU、NIST、FIDO等國外標準化組織制定的生物特征識別相關技術標準內容,使得利用人臉識別系統(tǒng)進行身份驗證有標準可循。   

該標準的發(fā)布是推動我國人臉識別技術產業(yè)化發(fā)展進程的里程碑,豐富了我國以人臉識別為核心的生物特征識別技術體系和應用場景,真正發(fā)揮了標準的技術引領作用。   

(二)《信息安全技術網絡安全等級保護基本要求》   

網絡安全等級保護制度2.0標準于2019年12月1日開始實施,新標準有以下三個方面的特性:   

首先,顯明的時代特征。新標準要求,全面使用安全可信的產品和服務來保障關鍵基礎設施安全,是落實國家法律和戰(zhàn)略任務的重要舉措,標志著等級保護跨入2.0新時代,具有重要的歷史意義。   

其次,創(chuàng)新的技術體系。它主要包括構建科學的安全體系框架、創(chuàng)立主動可信的防護架構以及筑牢關鍵信息基礎設施防線。以構建科學的安全體系框架為例,針對圖靈計算模型缺少攻防理念,在體系框架上無安全防控機制問題,新標準將基本要求、測評要求和安全設計技術要求的體系框架統(tǒng)一為:以安全可信計算環(huán)境為基礎,以可信區(qū)域邊界為安全隔離,以通信網絡安全為可信連接,建立以安全管理中心為核心支持的三重安全防護體系。   

第三,重大的社會經濟效益。新標準推動創(chuàng)新發(fā)展主動免疫的可信計算3.0產業(yè),從而擺脫核心技術受制于人的狀況,作為落實新標準的基石,為可信計算產業(yè)發(fā)展創(chuàng)造巨大的市場空間,也為整個信息網絡產業(yè)發(fā)展構成了前提和保障,將產生重大的社會經濟效益。