下载掌阅APP,畅读海量书库
立即打开
4.3.2 信息安全
信息安全领域的标准化。
信息安全相关的标准化工作由信安标委(SAC/TC 260)负责,其秘书处设在中国电子技术标准化研究院,其国际对口组织是ISO/IEC JTC 1/SC 27(信息技术安全技术分技术委员会)。
截至2019年5月31日,我国共发布信息安全国家标准268项。其中,密码领域29项,鉴别与授权领域55项,信息安全评估领域96项,通信安全领域21项,信息安全管理领域61项,大数据领域6项。
截至2019年5月31日,我国在研信息安全国家标准105项,见表4-1。
表4-1 我国在研信息安全国家标准
续表
续表
续表
① 《网络安全等级保护基本要求》等61项国家标准已发布,《保护轮廓和安全目标的生产指南》等32项国家标准已形成报批稿。
② 启动《信息系统密码应用基本要求》等10项标准的制定,以及8项现行国家标准的修订。
③ 完善国家网络安全标准体系,从标准属性、保护对象、应用领域等三个维度研究提出了《国家网络安全标准体系(2018版)》。
④ 发布了《大数据安全标准化白皮书(2018版)》《电子认证 2.0 白皮书(2018版)》《汽车电子网络安全标准化白皮书(2018版)》,为规划和开展标准化工作提供指导。
⑤ 开展对国家网络安全政策急需标准的研究。为支撑数据安全管理、个人信息和重要数据出境安全评估等工作,分析和提出急需哪些标准,推动重点标准立项。围绕关键信息基础设施安全保护,开展标准体系研究,引导后续标准的制定。为支撑网络关键设备和网络安全专用产品安全认证检测工作,梳理网络安全产品相关国家标准,研究和提出产品标准编写要求,统一标准模板。为支撑金融和重要领域商用密码应用的推进,组织开展密码应用及其安全评估相关标准的研究工作。
⑥ 针对《关键信息基础设施安全检查评估指南》《数据安全能力成熟度评估模型》等重要在研标准开展验证工作,选取典型标准应用场景,检验标准技术内容的可操作性和实用性,为标准的实施落地积累经验。
⑦ 继续开展GB/T 35273—2017《信息安全技术 个人信息安全规范》推广实施,对出行旅游类、生活服务类、影视娱乐类、工具资讯类和网络支付类等5类30款大众化应用APP的隐私条款进行评审并督促改进,提升了企业个人信息保护的水平。
⑧ 组织开展了标龄3年及以上的88项已发布国家标准的复审评估工作,广泛听取标准制定单位、标准用户、业界专家等各方面意见,提出了51项继续有效、35项修订、2项废止的复审结论建议,为下一步及时开展标准修订工作提供了依据。
⑨ 组织开展对已发布标准实施应用情况的调研,梳理和分析了标准应用整体情况及主要的应用对象和领域,并推荐了一批网络安全标准作为重点宣传推广对象。
⑩ 编制发布了《CPU熔断和幽灵漏洞防范指引》《欧盟GDPR关注点》《应对截获短信验证码实施网络身份假冒攻击的技术指引》等3份网络安全实践指南,为应对相关热点事件和技术问题提供参考指导。
⑪ 针对工业互联网安全、安全控制自动化评估、区块链安全、互联网产品隐私条款、工业控制系统安全、人工智能等领域和主题,编写了6份专题研究报告,并形成专刊上报主管部门,持续提升标准研究能力。
⑫ 全年主办大型标准宣传培训和技术研讨活动4次,累计培训3 000余人。紧密结合各地方网络安全工作需求,在河南郑州、辽宁鞍山、江苏苏州等地,围绕大数据安全、个人信息保护、工业控制系统安全、政府门户网站安全、关键信息基础设施安全保护等领域,与地方政府、网信部门、产业园区联合举办标准宣贯和技术研讨活动,宣传和解读重点标准。
⑬ 在2018年国家网络安全宣传周期间,与中国网络安全产业联盟联合举办“网络安全标准与产业分论坛”,有力增强了标准与产业界的密切互动。在2018年世界标准日主题活动的重要国家标准发布会上,对《公民网络电子身份标识格式规范》等6项网络安全国家标准进行现场解读,为重要标准的推广实施奠定了基础。
⑭ 针对当前社会关注度高、技术产业发展较快的个人信息保护、云计算服务安全等领域的相关标准,通过召开座谈会、开展在线问卷调查等形式,调研标准的实施应用情况及所存在的问题,为现有标准的修订完善明确了方向,研究提出了新的标准需求。同时,初步探索了标准应用反馈和评估机制,为常态化开展标准实施效果评价奠定了基础。
⑮ 成功承办了SC 27的国际标准会议。2018年4月,第30届SC 27工作组会议和全体会议在湖北武汉召开,来自33个国家成员体、11个国际联络组织的280余位外国专家和71位国内技术专家参加了会议。会议组织严谨,保障有序,成效突出,反映良好。SC 27评价此次会议是自1990年成立以来举办规模最大、参会国家成员体最多、参会专家最多的一次国际网络安全标准化盛会。
⑯ 目前我国参与的ISO/IEC JTC 1/SC 27 标准项目数达31项。其中,商用密码算法SM2、SM3和SM9已成为国际标准并正式发布;Zuc祖冲之算法、工业互联网平台安全等8项国际标准提案成功立项;顺利推进了我国商用密码算法SM4、量子密钥分发、大数据安全与隐私保护实现等11项具有我国贡献的国际提案进展。推动SC 27成立数据安全研究组,主导首个数据安全国际标准研究项目,为后续深入参与数据安全国际标准化工作做好了铺垫。
⑰ 圆满完成了全年两次SC 27工作会议的组团和参会工作,参会人数累计达104人,比2017年增长29人。新增26名专家成为SC 27工作组注册专家,2名专家担任国际标准编辑或联合编辑,2名专家担任ITU-T FG DPM(数据处理与管理焦点工作组)联络官和JTC 1/SC 42(人工智能分技术委员会)联络官。全年组织专家研究答复145份SC 27国际标准文件,答复率为100%。
⑱ 创新实施标准责任编辑机制。落实《若干意见》要求,成立标准化专业队伍,实施标准责任编辑机制,负责标准全流程质量把关,全年完成124项新申请标准和88项已发布标准复审的技术把关,对各领域标准实施情况进行调研,开展实施效果评价。研究制定了《标准参编单位管理暂行规定》,以规范标准编制单位的权利和义务。进一步修订完善信安标委文档管理机制和项目管理平台,规范秘书处工作文件管理,提升委员标准化参与程度。
⑲ 加强信安标委沟通协调机制建设。通过召开专题会、联席会等,增进了秘书处与标准编制单位、工作组、专家之间关于标准研制工作的沟通与协调。采取实地走访、会议交流等方式,加强与中移动、阿里、腾讯等大型企业的互动,进行需求调研,支持企业技术专家切实参与到国际国内标准化工作中,主动发挥行业引领作用。与金融、密码、认证认可等相关行业标委会建立联络关系,逐步形成常态化的互动工作机制。
⑳ 提升业界参与标准化工作的积极性和质量。2018年在武汉和青岛举办的“会议周”活动,累计有480余家来自企业、高校、科研机构、测评机构等方面的成员单位及1 100余名技术专家参加,充分体现了业界参与网络安全标准化工作的范围之广、积极性之高。评选出39名在两次“会议周”活动中表现积极、贡献突出的先进个人,以及15名2018年信安标委标准化工作先进个人,并予以表彰。
该领域正在制定的国际标准75项(含补篇/勘误),见附录H。
① 2018年4月16—24日,国际标准化组织ISO/IEC JTC 1/SC 27工作组会议和全体会议在中国武汉召开。
信息安全管理体系工作组(WG 1)主要讨论和推进ISO/IEC 27000标准族重要标准项目的修订与复审,具体包括ISO/IEC 27008: 2011《信息安全控制措施评估指南》等5项标准的修订和ISO/IEC 27006: 2015《提供信息安全管理系统审查认证的组织要求》等5项标准的复审。ISO/IEC 27008进入发布阶段,ISO/IEC 27009修改范围并进入第一版CD阶段。此次会议确定ISO/IEC 27102进入第一版CD阶段;确定启动新的标准规范(TS)制定项目《网络安全 概述与概念》,终止《网络安全 社会方面考虑及责任》项目,延长《适用性声明(SoA)》研究期6个月,并建立《27013设计规范》《ISO/IEC 27006: 2015增补开发》《IWA17未来》和《过程参考模型(TS33052/TS33072)》等新研究项目。
在会议期间,密码技术与安全机制工作组(WG 2)从标准制修订、新标准研究项目和工作组路线图三个方面,共召开了27个专题会议,主要包括实体鉴别、密码算法、密钥管理、数字签名以及广播鉴别等。此次会议决定将《将轻量级广播鉴别协议M-uTESLA新机制纳入ISO/IEC 29192-7》《将ZUC纳入ISO/IEC 18033-4》《将SM9-IBE纳入ISO/IEC 18033-5》以及《将SM9-KA纳入ISO/IEC 11770-3》等研究项目立项。会上,我国主导的ISO/IEC 9798-3《实体鉴别 第3部分:使用数字签名技术的机制》进入最终国际标准草案(FDIS)阶段,我国主导的项目研究成果ISO/IEC 18033-3/Amd2《加密算法 第3部分:分组密码 补篇2》进入第一版DAM(DRAFT Amendment)阶段。
安全评估准则工作组(WG 3)在会上就工作组路线图、更新的理由及未来的工作等内容进行了探讨。会议对ISO/IEC 15408《信息技术安全评估准则》(Part 1、2、3、4、5)等在研标准项目,以及《ICT可信赖评估框架指南》《量子密钥分发安全要求、测试及评估方法》《ISO/IEC 15408—3中的新保证要求和ISO/IEC 18045覆盖补丁管理和部署活动的评估方法介绍》《识别WG 3安全保证标准和其他SC 27标准之间潜在的重叠和/或重用》和《实验室IT安全测试和评估的能力要求》等研究项目进行了讨论,并决定以上研究项目均延长6个月研究期。会议还通过了《白盒加密(WBC)安全要求、测试和评估方法》的SP立项。
安全控制与服务工作组(WG 4)在会上新设立的研究项目包括《工业互联网平台安全参考模型(SRM-IIP)》《家庭物联网安全与隐私保护》和《信息安全属性和问责溯源模型》。决定延长《从设备到服务的可信连接安全要求》和《安全运营中心(SOC)指南需求调研》两个研究项目,结束《大数据安全的过程能力评估模型》和《网络安全概述和概念》两个研究项目。《大数据安全与隐私保护 过程》和ISO/IEC 27032《信息技术 网络安全 互联网安全指南》进入新工作项目提案(NWIP)投票阶段;ISO/IEC 27030《信息技术 安全技术 物联网(IoT)安全与隐私保护指南》进入工作组草案(WD)阶段;ISO/IEC 21878《信息技术 安全技术 虚拟化服务器设计和实现的安全指南》和ISO/IEC 27050-2《信息技术 安全技术 电子发现 第2部分:电子发现的治理和管理指南》(决定更名为“信息技术 电子发现 第2部分:电子发现的治理和管理指南”)进入国际标准最终草案(FDIS)阶段。
身份管理与隐私技术工作组(WG 5)在会上共讨论了25项国际标准,主要包括ISO/IEC 20889《隐私增强数据去标识化技术》、ISO/IEC 27552《隐私相关应用需求和指南 扩展ISO/IEC 27001和ISO/IEC 27002》、ISO/IEC 27550《隐私工程》、ISO/IEC 29184《在线隐私告知和同意指南》、ISO/IEC 29101《隐私架构框架》、ISO/IEC 29115《实体鉴别保证框架》、ISO/IEC 24745《生物信息保护》、ISO/IEC 24761《生物识别的认证上下文》等。我国提出的《移动设备生物特征识别身份认证安全框架》研究项目完成研究期,成功进入NWIP阶段,此次会议确定其标准立项名称为“移动设备生物特征识别身份认证安全要求”。我国专家被任命为《构建组织内的PII删除》和《使用ISO 31000评估身份管理风险》的项目编辑。
SC 27第30届全体会议内容主要包括:
● SC 27秘书处和主席关于第29届SC 27全会决议的报告,批准了2017年10月德国柏林团长会议决议;
● 听取各工作组召集人关于2017年10月德国柏林会议建议和决议报告,此次4月16—20日各组形成的建议和决议报告,以及各组需要提交SC 27讨论的项目情况;
● 来自各联络组织的联络报告和协调事项报告,联络关系建立的请求,联络官的任命;
● 新工作项目提案投票,标准补篇启动,标准修订启动,委员会草案投票,国际标准草案/补篇草案投票,最终国际标准草案/补篇草案投票,标准发布,项目撤销,标准废止,标准类型变更,标准复审,项目编辑的任命等;
● SC 27一系列常设文件(SD)的维护更新;
● 未来会议情况信息通报等;
● 新任主席任命;
● SC 27层面新研究项目立项;
● SC 27对中国举办此次会议表示感谢。
② 2018年9月30日—10月4日,国际标准化组织ISO/IEC JTC 1D的SC 27工作组会议在挪威约维克召开。
信息安全管理体系工作组(WG 1)主要讨论和推进ISO/IEC 27000标准族重要标准的修订与复审,具体包括ISO/IEC 27002《信息安全控制实践指南》等5项标准的修订,以及ISO/IEC 27006《信息安全管理体系审核认证机构的要求》的缺陷报告处理。会议确定 ISO/IEC 27005延长6个月研究期,以完善工作草案的制定工作;将ISO/IEC 27002、ISO/IEC 27006、ISO/IEC 27009等推进到相应的下一版本工作组草案或标准草案,并就启动ISO/IEC 27007及ISO/IEC 27013的修订建议SC 27进行投票。此次会议还推进了网络安全相关标准的制定,主要包括ISO/IEC 27101《网际安全 框架开发指南》、ISO/IEC 27100《网际安全 概述和概念》以及ISO/IEC 27102与《网际保险指南》。
密码技术与安全机制工作组(WG 2)主要围绕标准的制修订和新标准研究项目展开讨论,主要包括实体鉴别、密码算法、密钥管理、数字签名以及广播鉴别等。会议决定将ISO/IEC 18033-4/AMD 1《加密算法 第4部分:流密码 补篇1》等新研究项目立项,终止《将ZUC纳入ISO/IEC 18033-4》《将轻量级广播鉴别协议M-uTESLA新机制纳入ISO/IEC 29192-7》等研究项目,将《将SM9-IBE纳入ISO/IEC 18033-5》和《将SM9-KA纳入ISO/IEC 11770-3》等研究项目延期6个月。我国专家担任编辑的ISO/IEC 9797-2《信息技术 安全技术 消息鉴别码(MAC)第2部分:使用专用杂凑函数的机制》进入第二版工作组草案阶段。
安全评估准则工作组(WG 3)主要讨论了ISO/IEC 15408《信息技术安全评估准则》(第1、2、3、4、5部分)、ISO/IEC 18405《信息技术安全评估方法》、ISO/IEC 22216《信息安全保障评价的介绍性指导》等在研标准项目,以及《ICT可信赖评估框架指南》《量子密钥分发安全要求、测试及评估方法》《ISO/IEC 15408-3中的新保证要求和ISO/IEC 18045覆盖补丁管理和部署活动的评估方法介绍》《识别WG 3安全保证标准和其他SC 27标准之间潜在的重叠和/或重用》和《白盒密码算法(WBC)的安全属性、测试和评估指南》等研究项目。《量子密钥分发设备的安全要求和测评方法》研究项目完成研究期,成功进入NWIP投票阶段。
安全控制与服务工作组(WG 4)在会上新设立研究项目包括《网络虚拟化安全》和《IoT设备安全和/或隐私保护基线控制措施》。决定延长《大数据安全与隐私保护 实现指南》和《安全运营中心(SOC)指南需求调研》两个研究项目,终止《基于硬件安全模块的设备与服务之间的可信连接安全建议》研究项目。《信息技术 网际安全 设备和与服务之间可信连接建立的安全建议》进入新工作项目提案(NWIP)投票阶段。ISO/IEC 27032《信息技术 网际安全 互联网安全指南》、ISO/IEC 27045《大数据安全与隐私保护 过程》和《信息技术 安全技术 公钥基础设施 实践与策略框架》进入工作组草案(WD)阶段。ISO/IEC 20547-4《信息技术 大数据参考架构 第4部分:安全与隐私保护》、ISO/IEC 27035-3《信息技术 信息安全事件管理 第3部分:事件响应操作指南》进入委员会草案(CD)阶段。
身份管理与隐私技术工作组(WG 5)讨论了20项国际标准项目,主要包括ISO/IEC 27552《隐私相关应用需求和指南 扩展ISO/IEC 27001和ISO/IEC 27002》、ISO/IEC 27550《隐私工程》、ISO/IEC 29184《在线隐私告知和同意指南》、ISO/IEC 29115《实体鉴别保证框架》、ISO/IEC 24745《生物信息保护》和ISO/IEC 27553《移动设备生物特征识别身份认证安全要求》等。
现行国家标准268项,见附录C。现行ISO/IEC标准182项(含补篇/勘误),见附录G。