主页 / 资讯 > 热点 > 正文

网络安全国家标准修订 对云计算物联网提出新要求

2019-05-14 02:53:09   来源:科技生活在线   评论:0   [收藏]   [评论]
导读:小编按:《基本要求》对每个级别的基本要求均由安全通用要求和安全扩展要求构成。除了“不管等级保护对象形态如何必须满足”的安全通用要求外,还有针对云计算、移动互联、物联网和工业控制系统提出的特殊要求,称为安全扩展要求。

  为进一步营造更加公开透明的标准制修订环境,5月13日,国家市场监管总局、国家标准化管理委员会召开新闻发布会通报国家标准制定流程改革有关情况,同时发布一批重要国家标准。据悉,此次流程改革将进一步赋予标准化技术委员会委员联名进行国家标准项目提案的权力,并同时建设公开征求意见平台,进一步畅通公众参与国家标准制修订的渠道。

  此次新发布的重要国家标准包括修订后的《信息系统安全等级保护基本要求》、《绿色包装评价方法与准则》国家标准等。

  国家标准制定将请社会公众提意见

  去年3月党和国家机构改革后,统一管理全国标准化工作的国家标准化管理委员会职责划入国家市场监督管理总局。

  据国家市场监管总局标准技术管理司副司长陈洪俊介绍,为营造更加公开透明的标准制修订环境,市场监管总局标准技术管理司进一步修改完善了国家标准制修订程序。针对此前社会反映的国家标准申报难问题,赋予标准化技术委员会委员从制修订系统提报国家标准项目的权力,对于获得五名及以上委员支持的项目,就必须进行处理并由全体委员会审议投票,以进一步畅通社会各界参与国家标准制修订渠道。

  据了解,标准化技术委员会的主要任务是起草标准、审定标准,此前申报国家标准的流程一般是单位或个人根据国家标准制修订计划项目的立项条件提出项目提案,由行业部门、全国专业标准化技术委员会和市场监管部门审核协调后,上报国家标准化管理委员会审定。

  此次赋予标准化技术委员会委员从制修订系统提报国家标准项目的权力,即委员可采用联名的方式进行国家标准项目提案,规定对于获得五名及以上委员支持的项目,就必须进行处理并由全体委员会审议投票,这将有助于进一步畅通渠道,保证标准计划来源更广泛,立项更公开。

  此外,市场监管总局标准技术管理司也针对标准制修订过程公开问题,建立公开征求意见平台。规定在国家标准征求意见阶段,起草单位除原有的征求意见渠道外,还应通过制修订系统对外征求意见,使公众方便地参与到每一项标准制修订过程中。

  陈洪俊说,下一步市场监管总局、国家标准委将进一步完善国家标准修制订各个环节,为各相关方,特别是民营企业、中小微企业和消费者参与国家标准制修订工作,营造更加公平公开的标准制修订环境。

  针对云计算、物联网提出安全新要求

  南都记者关注到,此次发布的一批重要国家标准中,包括新修订的《信息安全技术 网络安全等级保护基本要求》(下称《基本要求》)、《信息安全技术 网络安全等级保护测评要求》(下称《测评要求》)和《信息安全技术 网络安全等级保护安全设计技术要求》(下称《技术要求》)等三个网络安全领域的国家标准。

  据悉,《信息系统安全等级保护基本要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护基本要求》已被广泛应用于各个行业或领域指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。但随着云计算、互联网、移动互联网、工业控制系统等新技术、新应用的大量涌现,这三项标准亟需修订完善。

  2017年6月1日,《中华人民共和国网络安全法》正式实施。其中第二十一条明确规定,国家实行网络安全等级保护制度,进一步明确网络安全等级保护制度的法律地位。为顺应当前的网络安全要求,等级保护从原来的“信息安全等级保护”变更为“网络安全等级保护”,标志着实施了十余年之久的信息安全等级保护制度从1.0跨入了2.0的新阶段。

  会上,公安部信息安全等级保护评估中心相关负责人陈广勇介绍,相比“等保1.0”,此次新标准的保护对象从信息系统变为网络和信息系统,包括网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。

  与此对应,《基本要求》对每个级别的基本要求均由安全通用要求和安全扩展要求构成。除了“不管等级保护对象形态如何必须满足”的安全通用要求外,还有针对云计算、移动互联、物联网和工业控制系统提出的特殊要求,称为安全扩展要求。

  “新标准GB/T22239-2019体现了综合防御、纵深防御、主动防御思想,规定了第一级到第四级等级保护对象的安全保护的基本要求”,陈广勇说。

  确定“绿色包装”国家标准推动包装行业走向环保

  我国于2017年5月曾发布并实施了国家绿色产品标准GB/T33761-2017《绿色产品评价通则》,明确定义绿色产品,引导绿色生产绿色消费。

  此次市场监管总局发布《绿色包装评价方法与准则》结合《绿色产品评价通则》中“绿色产品”的定义,进一步提出“绿色包装”的内涵,即“在包装产品全生命周期中,在满足包装功能要求的前提下,对人体健康和生态环境危害小、资源能源消耗少的包装”,并制定了绿色包装评价准则,以促进企业产品包装更新换代,化解包装行业产能过剩问题,推动我国包装产业由传统模式向绿色模式转变。

  据悉,此次评价准则将从资源属性、能源属性、环境属性和产品属性四个方面规定绿色包装等级评定的关键技术要求,并对重复使用、实际回收利用率、降解性能等重点指标赋予较高分值。

  陈洪俊称,这将对推动绿色包装评价研究和应用示范、转变包装产业结构、实现包装行业可持续发展具有举足轻重的意义。(南方都市报)
 

  链接+

  欧美网络安全领域标准情况概述

  随着互联网、移动互联网、物联网等技术的发展,信息技术已日渐成为支撑,甚至引导金融业务发展的重要推动要素之一。金融基础业务、核心流程、客户关系、行业间往来等事物和活动均已运行在信息化支撑载体之上,各类业务关键信息、金融消费者个人金融信息等重要数据也均已不同形式转化为数字资产传输、存储在金融基础设施之中。如何以传统的网络安全标准保障新型信息化技术在金融行业的应用,成为金融标准化工作面临的新课题。

  网络安全标准是确保有关信息安全的产品和系统在设计、研发、生产、建设、使用,测评中保证其一致性、可靠性、可控性、先进性和符合性的技术规范与技术依据,是网络安全保障体系建设的重要内容。纵观欧美金融领域网络安全标准化工作情况,除国际标准化组织金融服务技术委员会安全分委会(ISO/TC68/SC2)承担包括金融服务的公钥基础设施、零售银行安全等金融细分技术领域信息安全标准化工作外,总体呈现标准分散、行政管理制度与技术标准边界不甚清晰的情况。如,支付领域的网络安全标准由支付卡产业信息安全标准委员会(PCISSC)、EMVCo等国际产业论坛与行业组织,推动该领域包括信息安全在内的技术标准制定与应用落地工作。又如,国际清算银行(BIS)、金融稳定理事会(FSB)等国际组织也均在自身工作领域中,以规范或报告的方式发布有关金融业务细分领域的网络安全技术要求或工作指南。甚至在某些细分技术应用场景中,各国行政部门也会以技术规范的方式发布有关信息技术与网络安全的规定或细则。

  欲借他山之石,琢玉为己用,则需立足于网络安全标准的框架下,研究欧美在内的全球网络安全标准体系结构与工作进展,制定符合我国金融行业技术特点的网络安全标准体系,以实现技术标准指导并保障金融信息科技产品与服务全生命周期的网络安全可控、在控的目标。本文选择国际标准化组织(ISO)、美国国家标准和技术研究院(NIST)、欧盟网络和信息安全局(ENISA)为对象,就三者在网络安全标准化工作的情况进行概要性描述,以供金融行业网络安全标准的研制工作参考。

  国际标准化组织网络安全标准化概述

  1.ISO/IEC/JTC1/SC27技术委员会。国际标准化组织(ISO)和国际电工委员会(IEC)于1987年联合成立信息技术委员会JTC1,尤其负责在国际标准化组织中承担信息技术领域的标准化工作。JTC1技术委员会下设SC27工作组负责信息技术领域安全技术(IT Security Techniques)的标准化工作,该工作组也是国际信息安全领域比较活跃的国际标准化组织。JTC1目前已发布ISO国际标准182件,在研标准项目72项。

  JTC1/SC27内含5个常设工作组,各工作组在JTC1中负责领域关系详见下图。在管理咨询、数据安全等领域SC27内设有专门的研究工作组。同时,JTC1与ISO/TC 307在区块链和分布式账本技术的信息安全领域成立了联合工作组ISO/TC 307/JWG 4。JTC1/SC27也与ISO/TC 68/SC 2等31个ISO与IEC技术委员会、48个包括IEEE、ITU、ETSI、ISACA在内的国际技术组织与联盟建立有联络员机制。

  2.各工作组标准化工作情况概述。WG1信息安全管理体系工作组主要负责ISO/ISC 27000系列标准的研制与维护工作,其中ISO/IEC 27003-2017《信息安全管理体系指南》(第二版)、ISO/IEC 27005-2018《信息安全风险管理》(第三版)为该组近期在信息安全管理核心标准族中的重要工作成果。同时,WG1在27000系列标准的部分细分领域与应用指南方面,承担最佳实践与技术指南的研制工作,如ISO/IEC 27017-2015即为在云服务中实施基于ISO/IEC 27002信息安全控制的最佳实践,该标准被包括CSA等国际云计算标准化组织广泛参考使用。

  WG2密码学与安全机制工作组主要围绕密码算法、实体鉴别、密钥管理、随机数生成与测试、秘密共享等领域开展工作,该组也是我国实质性参与较活跃的工作组。我国推动了SM系列算法纳入ISO/IEC 11889、ISO/IEC 14888-3、ISO/IEC 10118-3、ISO/IEC 18033-3等标准的进程。

  WG3安全评估、测试与规范工作组主要负责开发与维护信息安全工程有关的安全评估、测试、认证相关标准,其标准覆盖范围包括但不限于信息系统、组件、产品。WG3工作组的核心标准为ISO/IEC 15408《信息技术安全评估通用准则》(Common Criteria,缩写为CC),该标准及其应用衍生准则为欧盟区域对于信息技术产品的通用安全评估与认证准则。

  WG4工作组主要负责与安全控制和服务有关的技术标准研制,该工作组更强调信息安全标准在信息系统与产品中的安全应用,以及上述系统与产品的全生命周期的安全控制:业务联系性、安全事件管理等ICT操作安全;信息系统生命周安全控制;安全设计、安全集成、供应链安全等组织控制过程安全;可信服务安全等。

  值得注意的是,云计算、物联网、网络安全、虚拟化、存储安全等信息技术的安全控制类标准也是WG4工作组的工作范畴。

  WG5身份管理与隐私保护技术工作组主要负责对身份管理、隐私保护、生物特征鉴别技术进行标准要研究。ISO/IEC 29100隐私框架,以及围绕该标准制定的一系列隐私信息与个人身份信息(personally identifiable infor-mation,缩写为PII)相关信息安全标准归属于该工作组。同时,WG5与WG1就信息安全管理体系中的隐私保护;与WG4就大数据安全中的隐私保护进行跨组合作。

  美国国家标准和技术研究院网络安全标准化概述

  1.美国国家标准和技术研究院概述。美国的标准化牵头机构为美国国家标准协会(ANSI),该协会的主要重要工作是协调美国联邦范围内自愿性共识标准的制定,并在国际上代表美国参与标准化工作。ANSI并不直接牵头撰写技术标准,其依据“共识、程序正当、开放”的原则,对标准的开发者进行认证。在网络安全领域,美国国家标准和技术研究院(National Institute of Standards and Technology,以下简称NIST)作为奥巴马时期《网络空间安全国家行动计划》(CNAP计划),以及特朗普于2018年9月签署的《美国国家网络战略》中有关网络安全标准的主要起草单位,在美国的网络安全技术标准研制工作中扮演者关键性角色。

  NIST于1901年由美国国会发起成立,目前隶属于美国联邦政府商务部技术司。该组织为非监管性质的联邦部门,是美国测量技术和标准的国家级研究机构。NIST内设5个实验室2个研究中心,其中信息技术实验室(ITL)下设的计算机安全部门(CSD)为NIST网络安全有关标准的主要制定部门。

  2.NIST网络安全出版物。NIST通过发布标准和指南等出版物的方式,为美国联邦政府的网络安全管理提供技术标准支撑。NIST出版的技术标准大多数不具备强制效力,仅为美国政府部门与企业等组织机构提供框架性或指导类参考。该机构网络安全领域有关的出版物主要包括:联邦信息处理标准(FIPS)系列、特别出版物800(SP 800)计算机安全系列、特别出版物1800(SP 1800)网络安全实践指南系列、NIST内部或机构间研究报告(NISTIR)系列和NIST信息技术实验室公告。

  (1)联邦信息处理标准(FIPS)系列。FIPS为美国联邦信息处理标准(Federal Information Processing Standard)的缩写,是在美国政府计算机标准化计划范围内开发的标准族,主要描述文件处理、加密算法和其他信息技术(在非军用政府机构及与这些机构合作的政府承包商和供应商中应用)的标准。NIST在制定完成FIPS系列标准后,需依据美国1996年《信息技术管理改革法案》第5131条款、2002年《联邦信息安全管理法案》(FISMA法案)、2014年《联邦信息安全现代化法案》(FISMA法案)等联邦法律,经美国商务部部长签署后发布。因此FIPS大部分为事实性的强制标准,要求多数的(国家安全部门除外)联邦政府部门按照标准中的规定执行。若相关产品需在美国政府部门或相关机构使用,需提交其产品(或软件)符合FIPS技术标准的证明。

  与密码算法、密码模块相关信息安全标准多数在FIPS系列标准族中。同时该标准族还包含FISMA法案中要求的部分联邦信息和信息系统风险管理相关标准,如标号为FIPS 200的联邦信息和信息系统的最低安全要求。FISMA法案中大部分风险管理相关控制措施与实施指南归属于特殊出版物800系列标准。

  (2)特别出版物(SP 800)系列。特殊出版物800系列为NIST依据FISMA法案开发的网络安全指导性指南、技术规范、技术建议与年度报告的集合,其旨在支撑美国联邦政府信息系统与数据的信息安全和隐私保护需求。SP 800系列标准本身并不具备强制效力,联邦政府法律、法规和政策性文件可规定相关组织是否必须(或鼓励)遵从SP 800的有关要求。

  目前,SP 800系列已经出版了200余本信息安全相关的正式文件,形成了覆盖信息安全体系设计、信息技术风险管理、安全控制措施、安全意识培训与教育等一系列信息安全技术措施与安全管理的技术标准体系。虽然其并非正式法定的技术标准,但在信息安全实际工作中,该系列标准配套SP 1800,已成为美国与国际信息安全领域广泛认可的技术标准。

  欧盟网络和信息安全局网络安全标准合作情况介绍

  欧盟网络和信息安全局(ENISA)为欧盟的网络安全专业化中心,其作用是推动和落实欧盟《网络与信息系统安全指令》,协调欧盟机构、成员国和企业界的网络安全合作,分析网络安全威胁并向各方提供分析结果,提供相关咨询和帮助,协助欧盟开展国际合作等,以此提升欧盟整体的网路安全水平。ENISA的具体工作包括:为欧盟与成员国提供包括国家网络安全战略、关键基础设施和服务安全、网络危机管理、数据安全与隐私保护等方面的咨询与协调工作;实施欧盟范围内计算机安全事件应急响应组织(CSIRT)、信息共享和分析中心(ISAC)、网络安全演习等工作的组织协调与能力建设;为欧盟范围内网络威胁识别与风险管理提供服务;为欧盟成员国与有关企业提供网络安全专家培训教育等。

  ENISA累计发行网络安全有关出版物338件,其最新出版物为《云和物联网的安全融合》。

  以上为本文对欧美三家网络安全标准研究机构标准化工作情况的概要说明,望能对金融行业网络安全标准化工作提供一定的参考。(人工智能大数据时代)

分享到:
责任编辑:admin

网友评论

全站最新