高林(全国信息安全标准化技术委员会秘书长):
主题:《关于加强国家网络安全标准化工作的若干意见》解读
各位来宾大家上午好,非常高兴借这个机会给大家做一下国家网络安全工作的若干意见解读。这个若干意见对我们标准化来说,在这么高的层面出台一个针对网络安全标准化的意见,我们也是非常的意外。
今年国家整个标准改革的方案在实施,专门针对网络安全标准化,国家推出这样一个文件,对最近一段时间整个网络安全标准化工作是一个很大的促进的消息。在今天的报告里我想介绍三方面的内容:一个是出台的过程和背景,编制的思路,以及具体内容的解读。
今年整个文件的出台是在去年就已经列入到中央网信工作领导小组的任务里面,作为其中一个重要的任务。在去年我们就已经启动了调研的工作。在去年的上半年我们开展了大量的调研,包括座谈、包括走访地方、企业等等。
在这个之后,主要是相关的问题,当前困扰我们网络安全八个主要的问题进行了处理,之后成立了一个联合小组,由国标委、网信办和相关部委的一些人员组成编制组。形成文件以后,经过领导小组审议通过,今年正式印发。这是这个文件出台的简要的背景。
在这个文件制订的过程中主要是坚持着几条:
第一,国家在网络强国战略的需求作为主线。今年4.19习总书记的讲话,习总书记在政治局学习有关网信工作都有一些重要的观点、判断发布出来。其中建设网络强国是一个重要的目标。在这个过程中,对于发展和安全、开放和自主、管理和服务等等这些方面怎么来推动,有非常具体的论述。我们这个文件首先就是网络强国战略作为主线。
还有一个重要的文件,11月7号刚刚发布的,这周一刚刚对外通过的人大正式发出来的《网络安全法》,在《网络安全法》里面对标准化进行了大量的说明,也是我们作为标准化的第一次看到在网络里面,在一部法律里面有七八处提到标准。后面我在解读的时候,也会结合《网络安全法》和我们这个指导意见,在实施的过程中我们的理解,以及我们全国信息安全标委会在实施过程中的举措给大家做一个介绍。
第二,落实标准化改革方案。国务院刚刚发布了标准化改革方案,今年开始实施,一是建立高效权威的标准化评估机制,在全国已经成立了国务院各个部门组成的协调机制,对于网络安全标准化我们同样协调机制非常重要,我们也有一些具体的措施。
另外,提出整合经典强制型标准。今年国标委已经完成了强制标准的整合行检查,把以前国家标准的强制、行业标准的强制、地方标准的强制统一归结为一类:就是强制国家标准,以后不再有强制性地方标准等等。优化完善推荐性标准。目前这个工作也在收尾阶段,这个标委会、这个行业部门对国家推荐性标准进行积极的处理。同时,提高标准的国际化水平。《网络安全法》里面也提到这样一个重要的任务。
第三,终级导向。我们最开始考虑名字叫指导性意见,后来按照网信办的要求,就是务实,不用靠在传统的文件里面、指导思想、总体目标这样来做,而是就叫若干意见,有什么意见提什么意见,所以这个意见出台叫若干意见,而不是指导意见。
在这个过程中,我们调研也突出了几个问题,一个就是统筹协调问题,在调研过程中很多企业,包括用户都提出这个问题,不同的部门、不同的标准会,不同的行业都在出台互不兼容的标准,对于执行带来了很大的困惑,也给厂商带来了很大的负担。另外,标准体系要进一步完善,怎么跟上时代发展的趋势。如果不能直接解决问题,或者你存在交叉工作的地方,对于实施就会出现导向的问题。
第四,提升国际话语权,要开展网络安全的技术、标准、打击犯罪,在建设网络强国的目标要求之下,重要的一点就是要提高国际网络治理方面的话语权。所以在这个意见里面,我们标准化怎么支撑这件事情,也是作为一个重要的驱动力。
下面对内容做一个重点的解读。一共分了七章,19条。
第一章,建立统筹协调、分工协作的工作机制,这作为首要的任务,从机制上先要理顺,在国家标准层面建立统一权威的国家标准工作机制,以前各个部门都制订不同的委员会,大家在这个行业里面应该很有体会,不同委员会出台跟网络安全相关的国家标准非常多,也很乱,要求各不一致。
所以这一次明确要统一谋划、统一部署,而且明确全国信息安全标准化技术委员会在国标委领导下,在中央网信办统筹协调和有关网络安全部门的指导之下,对网络安全统一组织申报、送审和报批,以前这种乱像以后应该不再出了。信安标委今年年初完成了换届工作,我们开了换届之后第二次全会,目前整个信安标委是由中央网信办领导作为主任委员,网信办、工信部、公安部、安全部、国家保密局、认监委作为副主任部门,而且在委员层面,八十多名委员来自企业、来自研究机构、大学、专业的标准化机构等组织,建立这样一个统一的平台,也对后续实施有组织的保障。以后涉及其他内部部门的标准,应该国家标准都要征求中央网信办和有关网络安全主管部门的意见。这一条跟后续整个网络安全标准体系有关。各个行业在制订自己行业特殊的要求的时候,可以制订一些特殊的政策,但是也要征求网信办和有关网络安全主管部门的意见。说这是我们行业的事,但是也要征求在国家层面建立统一的机制。
二,促进行业标准规范有序发展。后续国家标准委会牵头一起建立行业标准联络员和会商机制,跟网信办一起建立会商机制。
三,促进产业应用和标准化的形成互动。坚持继续研发产业发展、产业政策和标准化的密切衔接。这一条对于标准实施也是非常重要的。以前我们出台很多文件写的很细,具体什么要求一二三都在文件里面自己写,也带来一些问题,因为技术在不断发展,文件不可能定期的更新。去年中央网信办发了一个文,做了一个很好的案例,2014年发的14号文,2015年正式对外发布,关于加强党政部门云计算服务网络安全管理工作,在意见里面,对执行网络安全标准直接产生一种标准,党政部门要参照信息安全技术、云计算服务安全指南等国家标准规划分析他的业务范围。而且中央网信办建立云计算服务安全审查机制,对服务商参照网络安全国家标准组织第三方机构进行网络安全审查,这样就把政策和标准的联系固定下来了。我这个标准可以继续,但是我的政策是稳定的,我一直是参照这一系列的标准来进行审查,所以后续的审查工作就非常顺畅、有序的开展起来。这也提供了一个非常好的案例。后续按照国家指导意见的原则,后续会继续再按照这种方式,很多政策、标准的方式,在国外这也是很多国家通行的方式。
四,推动居民标准的建立。目前国家在大力提倡居民标准,居民标准同样存在融合的问题,尤其信息安全、技术上的一些通用的技术,标准的通用能够带来民技军用、军民转换、以及在战时甚至利用民用设施进行保障,带来的便利。
五,科学构建标准体系。这一条跟《网络安全法》密切的结合在一起。《网络安全法》在第15条说,国家建立和完善网络安全标准体系,支持企业和各方参与国家和行业标准的制订,同时兼顾我国在世贸组织的义务,持续发展、不断完善。
六,完善各级标准。这里面涉及到企业标准、地方标准,这里面明确的按照国家标准化改革的整体方针,审核相关的标准。目前网络安全通过整合精简现在只剩一项,后续陆续在国家关键信息设置保护、政府网络、个人信息等等方面还会制订一些相应的强制性的措施。优化完善推荐标准,各个行业可以制订自己的行业标准,在本行业范围内,比如说金融、支付等等行业特色的东西,制订他相关的行业标准。最后对于地方标准,网络安全原则上不指定网络安全地方标准。
七,推进急需重点标准制订。在若干意见里提出了若干意见,在《网络安全法》里面对标准已经提了非常明确的要求,哪些东西是要遵照的,比如说网络安全等级保护制度,肯定是我们现在国家标准有一系列的标准。同时提到网络产品和服务要有国家统一的要求。目前我们有T+260(音)国家规口的标准,有近百项关于产品和服务,这是最大的一部分,但是都是推荐标准。后续会按照这些要求推行一些强制要求。《网络安全法》也提到,网络的关键设备和网络安全的专用产品,除了要执行强制标准,还要按照强制要求进行监测认证后才能销售使用,相当于企业认证。所以对标准的需求非常明确,哪些领域要做强制性标准,哪些领域要做推荐性标准,《网络安全法》都把这个领域优化的非常清楚,同时《网络安全法》提出来网络可信身份,网络认证、网络安全的应急预案、漏洞等等领域都要实施,相关的标准都有一些。但是,我们计划有很多标准需要进一步修订。
第三章,提升标准质量和基础能力。
八是提高标准适用性。标准适用性通过程序来保证,制订过程中保证公开公正透明原则,保证标准管用、而且提高参与度和广泛性。目前在国家标准网络安全制订平台有八个工作组,每个工作组成员多的有一百多,我们差不多加在一块有四百多。还有一部分委员,我们要求所有的项目在工作组里面公开讨论,首先工作组工作以后,进入委员会的程序,按照一步一步的程序保证整个标准制订的参与度和广泛性。我们今年已经连续组织了两次会议指南,防止有些企业跟我们反应会议太多、太分散,今天一个,明天一个。我们统一来做,而且安排在统一的时间,提前一个月就通知,保证大家深度的来参与这件事情。
九,提高标准先进性。这主要是根据一些新的技术指南,包括标准推出的时间。我们统计了一下,今年标委会规口有30项标准发布,我们平均制订周期是380天。按照新的要求,原则上不超过两年,而且目前有的标准制订的周期超过了六年以上,按照国标委要求,今年都没法继续执行了。如果一个领域你说很重要,急需要上标准,再重要,六年都没有做出来,这六年过程中,说明没有标准六年也运行下来了。只能说明还是不够重要,没有标准,六年也都没有什么问题。所以,要进一步提高它的实现,后续我们也会实现进一步的要求,包括向国标委建立一些自动的制订周期,国际标准一般是三年周期,到了三年,就自动出示。所以国内标准需要进一步提高时效性。
十,标准规范性。还是从过程管理的方式。
十一,加强标准化基础能力建设。目前标准化的研究能力还是欠缺,很多还是停留在看文稿、写文章,从实践中我们也在不断的探索,比如说去年我们的标准在发布之前就进行了为期一年的验证,在国内选择一些企业进行验证,通过验证,对标准的执行也有了更深刻的理解,也培育了一批标准执行的第三方评价等等服务机构。这样的标准推出以后,有利于标准的进一步推动。中国电子技术研究院也在建立研究平台,来做办公系统的安全、设备的安全、包括网站的安全等等安全的验证工作,后续也会继续加强这方面的验证工作。
第四章,强化标准宣传实施。
十二,加强标准的宣传解读。国家标准是有版权的,国家强制标准是公开发布,推荐性标准并没有公开发布,对于网络安全来说,今年已经在我们的网站上已经可以看到所有已经发布标准的版本,也可以评价。我用了有什么问题,还有一些意见的反馈。我们现在要加强跟管理工作,应用部门结合,也要开展对优秀案例进行评选,目前我们这个工作已经开展了几年,每年都在进行优秀案例的征集,各个行业部门、应用部门,把用的比较好的标准应用案例,我们进行相关的评选工作。
十三,加大标准实施力度。去年我们做了有网络安全试点的单位,当时我们选北京、上海、济南、成都、无锡、襄阳六个实验城市,当时选了六家服务商,通过试点,经过了审查,今年我看到六个服务商,已经有三个通过了国家信息安全的审查。这是一个很有效的措施,今年,我们也在开展政府门户网站系统的安全技术指南,针对这个标准作为我们今年试点的标准,现在已经启动了试点工作,对于黑龙江、西部之窗、首都之窗、北京门头沟等政府网站进行标准的试点,相信通过这种试点,对于标准实施、推广有很好的促进。
第五章加强国际标准化工作。
十四,实质性参与国际标准化活动。按照我们现在统计,我们每年参加网络安全国家标准化组织的活动,人数逐年在增加,今年已经增加到了30多人,我们国际的注册专家今年有20多人参加,十月份刚刚回来,而且中国的提案,包括中国在里面担任的职务都有明显的增加。我们在目前十多个注册专家的基础上,要把队伍常态化,除了平时的注册,还要有组织,要组织起来,平时要有一些活动,去研究下一步的计划,有计划的来推动。
第六章,标准化人才队伍的建设,我们下一步会选择有条件、有意向的重点院校设立网络安全标准化相关课题,国家已经有了网络安全培训基地,下一步我们要结合起来,包括校企和培训。
十七条,引进和培育高端人才,设立标准化专家库,提高待遇和资金、技术的政策倾斜。以前我们高校领域,写论文可以,做标准,不算很成功,这也是后续我们和这些高校在这方面有一些新的措施。
第七章,做好资金保障。
十八,财政资金保障工作,每年都有相应的专门的经费来支持这方面。今年我们立了三十多个项目,这已经是很多年的支持了。
十九,鼓励社会资金创新。设立了优秀网络安全国家标准奖,今年已经发布了优秀网络安全国家标准奖的奖励办法,而且按照这个办法今年信安标委组织了评选,我们每年有300多万的支持作为奖励,今年评估了五项,云计算、办公设备、智能计算机终端等等标准。
以上就是对若干意见的解读,后续也会推出一些落实的措施。最后,也强调一点,整个的指导若干意见后续都会配合《网络安全法》的实施,后面我们会配合国家网络安全网信工作最大的事情,我们国家标准化研发的人才等等这些都会和《网络安全法》进行协调,相信有了法律的支持,对于我们标准的工作是一个很好的促进,也希望大家持续的支持。谢谢大家!
上一篇:滴滴弓峰敏:安全范式的改变