宋继忠:谢谢各位大佬给我们分享你们的智慧,收获很大,所以我说我们这次大会是效率高,信息量大,性价比高,所以我就进入下一个论坛。
我们知道标准会影响一个产品的定位、发展。也会影响一个产业的发展,所以我们信息安全界或者信息安全专业人士对这个标准的发展非常关心,另外呢,我们安全厂商的产品都要送交公安部有关机构检测,认证,所以也是大家比较关心的一个问题,今天很有幸请到三位主管机构的领导专家来和大家交流,第一位是工信部电子工业标准化信息安全研究中心罗主任,第二位是公安部计算机安全产品质量检测中心顾健主任,第三位是公安部病毒防护防治产品检验中心陈建民主任,首先有请罗锋盈主任。
罗锋盈:各位领导,各位参会代表,大家上午好。首先感谢主办方的邀请,让我在这里跟大家分享一些我这边的工作情况的信息。我今天演讲的题目叫信息安全国家标准情况的介绍。我的信息分享主要分为两部分。第一部分是国家信息安全标准体系的介绍,第二部分是近两年我们新发布的一些信息安全国标的情况。
首先,给大家分享一下国家信息安全标准体系的介绍,我先给各位大概的讲述一下我们几个发展的历程,过程的信息安全标准化工作最早的时候可以追溯到八十年代,这个到现在为止,一共分为简单的两个阶段,第一阶段从八十年代开始到2002年,这时候信息安全没有引起大家的高度重视,是各行业根据行业的需求分别制订,并没有统筹的规划和统一的管理,各部门相互之间缺少交流和共同。第二个阶段是2002年之后,我们国家成立了全国信息安全标准化技术委员会。
首先1984年的7月份,我们是在信息技术标准化也就是信标委,下面组建的是数据加密标准化技术委员会,1985年发布了第一个有关信息安全方面的标准。到1997年8月份改组成全国信息技术标准化技术委员会信息安全分技术委员会。将国际上一批信息安全基础技术标准,转化为我国的国家标准。在上述分委员会的推动下,公安部、安全部、国家保密局、国家密码管理委员会和军队有关部门参与下,制订了一批信息安全的国家或行业标准,为推动过程信息安全技术在各行业的应用和普及发挥了积极作用。其编号主要有GB、GB/T等。
全国信息安全标准化信息委员会成立是在2002年4月15号,也就是我们进入的第二阶段。这个委员会是国家标准化管理委员隶属,管理的,负责我国的国家安全技术,安全机制、安全管理以及评估等等领域的一些标准化工作。负责统一、协调、申报,国家标准项目,组织我们标准的送审,报批等等一些国家,值得一提的国标人员2004年1月文章中有一个重要的规定。从2004年1月份起,各有关部门在申报信息安全国家标准的时候,需要由我们的信息安全标委会提出具体的工作意见。协调一致以后,再申报并完成标准的,送审和报批等等工作,就是要协调一致以后才能上报。秘书处是委员会的常设办事机构,负责委员会的日常工作。
下面我再给大家简要介绍一下,我们目前委员会已经起用的工作组。目前已经启动了7个工作组,WG1是信息安标准体系协调调工作组,由13位专家组成。WG2,涉密信息系统保密工作组,WG3是密码工作组,WG4是鉴别与授权工作组,WG5是信息安全评估工作组,WG6是通信安全工作组,WG7是信息安全管理工作组。这些在网上都有公布。
在国标委和相关部门的大力支持下,我们根据信息安全十一五规划,我们的标准化工作目前是采用国际标准和自主研制并重的一个工作思路,取得了一些成绩,制订了一大批信息安全标准,目前也初步建立了我们的标准体系,到目前为止正式发布的国家标准有113项,在研的有115项。我们的体系是在2005年形成的,2012年发布了2.0版。这个体系结合了我们标委会的组织架构体系,对我们整个的国家标准进行了归类和整理。我们力图要体现保持与国际接轨,但是同时又能体现我们国家委员会的一些工作特点,要反映标准体系的共性,还要能体现我们信息安全标准化的特征。该体系是由安全领域具有内在联系的标准组成的一个科学有机整体,也是我们每年度制修订计划的重要依据,是由体系的框架和标准的一些明细表两部分组成,为现阶段我们的标准制修订提供提供了很好的依据,也为我们提供了技术的支撑。
体系分为七块,有基础标准,技术与机制标准,管理标准,测评标准等。
基础标准包括我们术语,体系结构,模型和框架标准四个组成部分,它是一些为其他标准制订要提供支撑的公用的基础,是非常基础性的标准。
第二块是技术与机制标准,它主要涉及的类型有表示类,鉴别类,授权类,电子签名,尸体管理和物理安全,目前分为六个小分支。
信息管理安全标准目前有五个小分支,管理基础,ISMS,管理支撑技术,信息安全服务管理标准,以及个人信息保护的标准。
信息安全测评标准主要包括四大块,一个是测评基础标准,还有产品测评标准,系统测评标准和能力评估标准四个分支,跟我们这个大会密切相关的我想是产品测评标准是紧密相关的。
我们到2012年底,已经正式发展的测评标准有21项,不包括今年发布的。
密码标准一个是基础标准,还有技术标准,还有管理标准。
保密标准简要说一下,通用技术要求,产品测评,系统测评,涉密信息系统管理和保密技术检查。
通信安全标准也就是我刚才提到的,它是偏应用的一类,目前它的体系分为,基础,通信安全技术标准,通信设备安全的测评标准,以及我们通信管理和服务标准。
近两年新发布信息安全国家标准情况,一共发布了25项,到今年的12月底,还会发布21项国家标准。主要有等保测评类,测评要求,测评指南等等要求,还有信息安全审核指南,我图片中标红的是跟大会有关系的是一些产品标准,比如2002年发布的网络型入侵防御产品技术要求和测试评价方法。还有我们的终端计算机通用安全技术要求和测评方法,这个也是公安部第三研究所牵头制订的。今年上半年发布了两个产品标准,一个是网站数据恢复产品技术要求和测试评价方法,还有一个是数据备份。这里头也有跟产品密切相关的,比如说网络入侵检测系统测评方法,网络扫描技术要求,去年重新修订了,马上重新发布。
因为时间有限,我不详细地讲解,如果大家有想了解更详细的信息,可以跟我联系,也可以跟宋主任联系,谢谢大家。