2017网络安全标准论坛暨公安部信息安全标准宣贯培训会于12月15日在上海新锦江大酒店举行。
本届论坛主题为“网络安全标准与关键信息基础设施保护”,由公安部网络安全保卫局指导,公安部第三研究所(国家网络与信息系统安全产品质量监督检验中心)、上海市信息安全行业协会主办,上海嘉韦思信息技术有限公司承办。会议邀请了信息安全主管部门的领导,行业信息化建设的负责人,大型央企、信息安全领域的权威专家和学者,以及知名信息安全产品厂商、安全服务商等相关人士参加,共同对关键信息基础设施信息安全的政策、标准及技术进行交流,促进信息安全技术的发展,推进应用单位更好地保障关键信息基础设施安全。
公安部第三研究所副所长李建瓴在致辞中表示,此次论坛诚邀大家共同研讨与探索信息安全技术标准与体系,就产业发展、融合发展、生态发展等方面展开深入讨论。对此,李建瓴提出三点看法:第一,强化信息安全地位,夯实服务基础;第二,加强安全创新,标准体系先行;第三,标准适应国情,形成协作机制。
国家网络与信息系统安全产品质量监督检验中心副主任顾健就信息安全评估标准体系及实施现状发表演讲,主要从WG5信息安全评估标准体系、信息安全标准实施应用简介、信息安全标准实施具体情况及信息安全标准实施后续工作四个方面进行介绍。说明安全评估标准体系以国家法律为根,以基础标准为干,以安全要求为枝叶,以测评认证规范为最终果实。
中国电子技术标准化研究院信息安全研究中心技术部主任叶润国就网络产品和服务安全通用要求国家标准研制进展发表演说,对网络产品和服务安全标准定位、必要性、适用范围,我国网络产品安全检测现状、现有网络服务安全相关标准、国标制定思路、标准征求意见稿等内容进行了细致的介绍。
《网站安全认证标准规范》发布仪式
仪式后顾健副主任在问答中表示,配套该标准规范的发布,国家网络与信息系统安全产品质量监督中心还在信安在线平台上为网站用户开展了安全认证服务。在他看来,网站安全认证标准规范的发布,为用户提供了一个权威、专业的网站安全能力评估体系。
工业控制系统安全标准与检测工信部重点实验室总监李琳就工业控制系统信息安全标准体系进行了介绍,随着中国制造2025、中国互联网等国家战略的发布,工业控制系统安全问题和挑战也受到越来越多的关注和讨论。虽然国内外有很多现成的工控安全标准如IEC/TC 65(国外),TC28/TC296/TC124(国内)等,但是这些标准大部分是偏重于某一个方面,比如TC28/TC296 都是偏重于电力管理和信息交换。
此外,物联网技术和互联网技术已深度融合,这就迫切需要基于顶层设计的工控安全体系,具体应包括安全等级、安全要求、安全实施、安全测评四大块。2016年8月29日,全国信息安全标准化技术委员会归口的《信息安全技术 – 工业控制系统安全控制应用指南》、《信息安全技术 – 信息技术产品供应方行为安全准则》、《信息技术 – 安全技术信息安全控制实践指南》等24项国家标准正式发布,其中,《信息安全技术 – 工业控制系统安全控制应用指南》(GB/T 32919-2016)于2017年3月1日正式实施,可指导工业控制系统建设,运行,使用,管理等相关方开展工业控制系统安全的规划和落地,也可供工业控制系统安全测评与安全检查工作作为参考依据。
公安部网络安全保卫局副处长陆磊在网络安全产品监督政策和工作介绍中主要从产品管理、法律政策及下一步工作三部分内容进行介绍。讲到2017年产品销售许可发证数量与2016年同期基本持平,但比2015、2014年有较大增幅。在对下一步工作计划中总结介绍了以下五点:
一、 修订公安部32号令,包括计算机信息系统安全专用产品改为网络安全专用产品、调整申办流程、“销售许可”标记由涂层式防伪标记改为二维码防伪标记、对责罚进行修改。
二、 销售许可证书适时进行变更,目前已设计了新款防伪销售许可证,正在报批阶段。
三、 全功能检测,网络安全专用产品的所有安全功能都要进行技术检测。
四、 行标、规范升国标,现有产品检测的行业标准、检验规范逐步升为国家标准,并在国家标准中标注出强制性条款
五、 完善销售许可证服务平台,改善网上查询、业务办理、咨询指导等服务,简化企业申办流程,减少纸质材料的提交,预计新版服务平台2018年初上线运行。
公安部信息安全等级保护评估中心袁静主要从等级保护标准体系框架演进、定级指南解读、基本要求解读三方面进行了介绍。等级保护制度将进入2.0年代,目前,部分标准已成为报批稿。在标准覆盖领域的变化方面,将在计算机信息系统的基础上增加云计算系统、移动互联系统、物联网系统、工业控制系统、大数据几个领域;在等级保护对象变化方面将增加工业控制系统、云计算平台、大数据、物联网和使用移动互联技术信息系统。而网络安全等级保护定级指南的修订要点主要集中在第三级定义的变化、细化定级工作流程、完善定级方法三个方面。
此外,本次会议还包括了数据安全能力成熟度模型简介、海事系统网络安全管理实践等等更多会议议程,本次会议为行业内主管部门,政府信息化负责人、专家学者以及企业厂商搭建了一个相互沟通平台。在会议中,参会人员针对热点话题“网络安全标准与关键信息基础设施保护”进行了交流分享,共同探讨行业未来发展方向,助力企业在行业中更好的发展自身,主管部门更好的发挥管理规范协调的作用。
