昨日，由中央网信办网络安全协调局主导，全国信息安全标准化技术委员会秘书处主办，中国电子技术标准化研究院和国家信息中心共同承办的“第三届网络安全标准技术与应用高峰论坛暨第三届网络安全国家标准优秀应用案例征集活动启动会”在京举行。中央网信办网络安全协调局卿昱副局长、中国电子技术标准化研究院党委书记林宁和国家信息中心常务副主任杜平等领导到会致辞。

本届论坛内容上主要围绕国家网络安全保障重点工作，邀请国内外知名专家学者介绍国内外相关标准化情况和最佳应用案例，并对重点标准进行了宣贯解读。

安全牛小编也奔赴现场，并特别关注了中科院大学赵战生教授和国家信息中心网络安全部刘蓓处长的分享与解读。

中美两国在网络空间的明争暗斗，虽然早已不是什么新鲜事，但它仍旧是两国人民关注的热点，相关从业人员的焦点。习大大提出的命运共同体、新型大国关系，是我们的所谋所图，但现实的博弈却也在时刻提醒我们要有所警惕、应对不测。

近年来，中国加快了信息化的步伐，同时对信息安全及其重要性的认识，也在日渐提升。信安标委第一届主任委员曲维枝也曾提到过，“没有信息安全的信息化是危险的信息化；没有完善的信息安全标准，信息化建设中的产品、系统、工程就不能实现安全的互联、互通、互操作，就不能形成我国自主的信息安全产业，就不能构造出一个自主可控的信息安全保障体系，就难以保证国家信息安全和国家利益。”

基于此，相关信息安全标准的制定受到政府、企事业单位和科研院所等极大的重视，“网络安全标准技术与应用论坛及相关国家标准优秀案例征集活动”也就此应运而生。

对于国内外网络安全形势和标准概况，赵战生教授做了相关的内容分享。

俗话说，老大难，老大难，老大重视就不难。

中美两国网络安全重视程度对比

美国奥巴马政府公布了《网络空间安全国家行动计划》。此计划包括了建立“国家网络空间安全促进委员会”，31亿美元的信息技术现代化基金，设立联邦首席信息安全官，建立网络安全预备役，建立“国家网络安全恢复能力”中心，建立“联邦隐私委员会”，加大网络安全的资金投入（17年预算为190亿美元，较16年增长35%）等内容。

同时，网传奥巴马政府还发布了“网络威慑战略”，使用全政府方式，调用国内所有力量以应对特定威胁，旨在创造恶意网络活动的不确定性，增加对手行动面临的代价和后果。即“显示自己的能力，阻吓对手的行为”。

而中国，不仅在15年7月颁布的《中华人民共和国国家安全法》第25条，从法律层面提出“国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”，并最终达到“维护国家网络空间主权、安全和发展利益”这一目标；同时，习大大还在乌镇第二届世界互联网大会上，提出了业内耳熟能详的“四项原则”和“五点主张”，为我国所提出的“网络安全主权观”发出了更多的声音。

在信息安全保障的工作方面，我国还成立了中央网络安全和信息化领导小组领导协调相关工作，并在人才培养方面，教育部在普通高校“工学”门类下增设“网络空间安全”一级学科，为我国信息安全的人才培养工作打下了基石。

除了国家层面对信息安全保障工作的重视以外，我们也要明确“信息安全的标准化工作”也是信息安全保障工作的重要一部分。“标准化工作是维护国家主权，体现我国话语权，保安全，捍利益的重要阵地，信息安全标准体系也是我国信息安全保障体系的重要组成部分。”

谁在制定信息安全标准

国际上信息安全标准化组织编号为ISO/IEC JTC1 SC27，下设五个工作组，分别是信息安全管理体系、密码学与安全机制、安全评价准则、安全控制与服务以及身份管理与隐私保护技术。而我国在密码方面参与的比较多。

WG2 密码与安全机制工作组

而信息安全管理体系（ISMS）的核心标准ISO/IEC 27000系列标准，则主要是信息安全管理体系和安全控制与服务两个工作组完成。

27000ISMS标准族

我国全国信息安全标准化技术委员（简称“信安标委”）会成立于02年4月，编号SAC/TC260，下分七个工作组，负责ISO/IEC JTC1/SC27等信息安全国际标准化组织的归口工作。

TC260布局

我国信息安全标准的体系构成

02年成立之前，全部国家信息安全标准共19项，均由国际标准直接转化而来；信安标委成立后至今，正式颁布的国标165项，正在制定的210项，其中包含保密标准（BMB）57项，密码标准（GM）20项。

相关标准在信息安全保障中的重要作用

在“标准宣贯”方面，赵教授表示其是标准化工作中的重要环节：

需求牵引——提出标准化工作方向；
研为用——检验标准落地；
实践是检验标准——总结经验改进提高。

在电子政务移动办公系统安全方面，国家信息中心网络安全部处长刘蓓做了她的解读。

基于移动办公的5A特性（任何地点、任何时间、任何人、任何设备以及任何事务），由国家信息中心牵头的《电子政务移动办公系统安全技术规范》在15年完成标准草案，并形成标准征求意见稿。标准（征求意见稿）涉及“电子政务移动办公系统基本结构”、“电子政务移动办公系统基本安全框架”、“移动终端安全要求”、“信道安全”、“接入安全”以及“服务端安全”这几大方面。

移动办公系统安全风险

移动办公系统安全技术框架

下图是移动政务应用的示范案例“安全政务本”的整体框架和安全机制。

据刘蓓处长介绍，本标准（征求意见稿）的目标是政府和行业的真实业务，并通过开展试点应用验证标准和框架的技术可行性和效果。已完成的试点应用包括“国家信息中心移动办公”、“青岛市发改委移动政务应用”、“新疆区发改委移动政务应用”、“广西综合业务管理移动应用”、“中海油移动OA应用”以及“中交港湾移动运维监管应用”等，并即将开展“天津数字城管移动应用”试点。

除了电子政务移动办公以外，论坛现场还对税务系统信息安全、政务云安全、云计算服务安全、信息安全管理体系、政府门户网站系统安全以及工业控制系统安全等安全标准做了应用案例介绍和标准解读。

《税务系统信息安全标准应用案例介绍》
——国家税务总局电子税务管理中心处长王传亮

《中山市政务云安全标准应用案例介绍》
——全国信安标委委员闵京华

《亚信在电信领域的信息安全标准应用实践》
——亚信安全咨询部总监吴大明

《信源豆豆——构建互联互通的安全即时通信平台》
——北信源核心技术发展中心总经理钟力

《政府部门信息安全管理标准创新实践》
——远望行业销售技术总监卢普明

《云计算服务安全标准解读》
——四川大学陈兴蜀教授

《电子政务移动办公安全技术规范解读》
——国家信息中心网络安全部处长刘蓓

《信息安全管理体系核心标准解读》
——中国电子技术标准化研究院高工许玉娜

《政府门户网站系统安全技术指南解读》
——北京信息安全测评中心主任刘海峰

《工业控制系统安全控制应用指南解读》
——国家信息技术安全研究中心高工方进社

欲获取相关ppt，请关注微信“国信终端安全”，并在“会议活动->会议ppt”查看相关资料。