导读:网络安全标准作为网络安全保障体系的重要组成部分,是做好网络安全工作的重中之重
信息技术迅猛发展,网络空间已成为国家继陆、海、空、天之后的第五疆域。保障网络空间安全,对于保障公民权益、保证国家安全和社会稳定至关重要。网络安全标准作为网络安全保障体系的重要组成部分,是做好网络安全工作的重中之重。
2016年8月,中央网信办、国家质检总局、国家标准委联合发布了《关于加强网络安全标准化工作的若干意见》,该文件从工作机制、标准体系建设、标准质量和基础能力、国际标准化、人才队伍建设、资金保障等七个方面,提出了19条具体意见措施,是今后一段时期我国网络安全标准化工作的纲领性文件。
一、常用网络安全标准
- 等级保护
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2008)
《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
《信息安全技术 网络安全等级保护安全管理中心技术要求》(GB/T 36958-2018)
《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》(GB/T 36959-2018)
- 风险评估
《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
《信息安全技术 信息安全风险评估实施指南》(GB/T 31509-2015)
《信息安全技术 信息安全风险处理实施指南》(GB/T 33132-2016)
- 应急响应
《信息安全技术 信息安全应急响应计划规范》(GB/T 24363-2009)
《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985-2007)
《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)
- 业务连续性/灾难恢复
《公共安全 业务连续性管理体系要求》(GB/T 30146-2013)
《信息安全技术 信息系统灾难恢复规范》(GB/T 20988-2007)
《信息安全技术 灾难恢复服务要求》(GB/T 36957-2018)
《信息安全技术 灾难恢复服务能力评估准则》(GB/T 37046-2018)
- 系统安全工程
《信息技术 系统安全工程能力成熟度模型》(GB/T 20261-2006)
- 风险管理
《信息安全技术 信息安全风险管理指南》(GB/Z 24364-2009)
《信息技术 安全技术 信息安全治理》(GB/T 32923-2016)
- 信息安全管理体系
《信息技术 安全技术 信息安全管理体系要求》(GB/T 22080-2016)
《信息技术 安全技术 信息安全控制实践指南》(GB/T 22081-2016)
《信息技术 安全技术 信息安全管理体系审核和认证机构要求》(GB/T 25067-2016)
《信息技术 安全技术 信息安全控制措施审核员指南》(GB/Z 32916-2016)
《信息安全技术 信息系统安全管理评估要求》(GB/T 28453-2012)
《信息技术 信息技术安全管理指南》(GB/T 19715-2005)
《信息技术 信息安全管理实用规则》(GB/T 19716-2005)
- 安全保障评估
《信息系统安全保障评估框架》(GB/T 20274-2008)
- 应用系统安全
《信息安全技术 电子邮件系统安全技术要求》(GB/T 37002-2018)
《信息安全技术 办公信息系统安全管理要求》(GB/T 37094-2018)
《信息安全技术 办公信息系统安全基本技术要求》(GB/T 37095-2018)
《信息安全技术 办公信息系统安全测试规范》(GB/T 37096-2018)
《信息安全技术 计算机终端核心配置基线结构规范》(GB/T 35283-2017)
- 机房/数据中心
《数据中心设计规范》(GB 50174-2017)
- 个人信息安全
《信息安全技术 个人信息安全规范》(GB/T 35273-2017)
《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)
- 移动安全
《信息安全技术 移动终端安全保护技术要求》(GB/T 35278-2017))
《信息安全技术 移动互联网应用服务器安全技术要求》(GB/T 35281-2017)
《信息安全技术 电子政务移动办公系统安全技术规范》(GB/T 35282-2017)
《信息安全技术 移动智能终端安全架构》(GB/T 32927-2016)
- 物联网安全
《信息安全技术 物联网安全参考模型及通用要求》(GB/T 37044-2018)
- 工业控制安全
《信息安全技术 工业控制系统安全检查指南》(GB/T 37980-2019)
《信息安全技术 工业控制系统产品信息安全通用评估准则》(GB/T 37962-2019)
《信息安全技术 工业控制系统安全管理基本要求》(GB/T 36323-2018)
《信息安全技术 工业控制系统信息安全分级规范》(GB/T 36324-2018)
《信息安全技术 工业控制系统风险评估实施指南》(GB/T 36466-2018)
《信息安全技术 工业控制系统安全控制应用指南》(GB/T 32919-2016)
- 数据安全
《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)
《信息安全技术 大数据安全管理指南》(GB/T 37973-2019)
《信息安全技术 大数据服务安全能力要求》(GB/T 35274-2017)
- 云计算安全
《信息安全技术 云计算安全参考架构》(GB/T 35279-2017)
《信息安全技术 云计算服务安全能力评估方法》(GB/T 34942-2017)
《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)
《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)
- 安全攻防
《信息安全技术 网络攻击定义及描述规范》(GB/T 37027-2018)
《信息安全技术 网络安全威胁信息格式规范》(GB/T 36643-2018)
《信息安全技术 网络安全预警指南》(GB/T 32924-2016)
- 漏洞管理
《信息安全技术 安全漏洞分类》(GB/T 33561-2017)
《信息安全技术 安全漏洞等级划分指南》(GB/T 30279-2013)
《信息安全技术 安全漏洞管理规范》(GB/T 30276-2013)
《信息安全技术 安全漏洞标示与描述规范》(GB/T 28458-2012)
- 信息技术安全评估
《信息技术 安全技术 信息技术安全性评估准则》(GB/T 18336-2015)
《信息技术 安全技术 信息技术安全性评估方法》(GB/T 30270-2013)
《信息安全技术 保护轮廓和安全目标的产生指南》(GB/Z 20283-2006)
二、2019年最新颁布的重要网络安全标准解读
近几年,在人工智能、物联网、大数据等新兴技术带动下,网络安全需要增长,在网络安全建设也得以不断推进,2019年有以下几项比较重要的标准相继发布和实施:
(一)国家首个人脸识别鉴别身份标准《信息安全技术 远程人脸识别系统技术要求》
公安部第一研究所积极地统筹推进人工智能标准化工作,2019年4月28日《信息安全技术远程人脸识别系统技术要求》正式发布。
该标准是信息安全鉴别与授权标准体系及生物特征识别信息安全标准体系架构中重要的基础标准,更是全国首个使用人脸识别技术进行身份鉴别的网络安全国家标准。从满足个人信息安全保护与信息安全总体要求出发,充分考虑当前人脸识别系统创新发展需求、用户接受度和技术成熟度现状,结合我国当前的信息安全技术发展水平,深入分析ISO、ITU、NIST、FIDO等国外标准化组织制定的生物特征识别相关技术标准内容,使得利用人脸识别系统进行身份验证有标准可循。
该标准的发布是推动我国人脸识别技术产业化发展进程的里程碑,丰富了我国以人脸识别为核心的生物特征识别技术体系和应用场景,真正发挥了标准的技术引领作用。
(二)《信息安全技术网络安全等级保护基本要求》
网络安全等级保护制度2.0标准于2019年12月1日开始实施,新标准有以下三个方面的特性:
首先,显明的时代特征。新标准要求,全面使用安全可信的产品和服务来保障关键基础设施安全,是落实国家法律和战略任务的重要举措,标志着等级保护跨入2.0新时代,具有重要的历史意义。
其次,创新的技术体系。它主要包括构建科学的安全体系框架、创立主动可信的防护架构以及筑牢关键信息基础设施防线。以构建科学的安全体系框架为例,针对图灵计算模型缺少攻防理念,在体系框架上无安全防控机制问题,新标准将基本要求、测评要求和安全设计技术要求的体系框架统一为:以安全可信计算环境为基础,以可信区域边界为安全隔离,以通信网络安全为可信连接,建立以安全管理中心为核心支持的三重安全防护体系。
第三,重大的社会经济效益。新标准推动创新发展主动免疫的可信计算3.0产业,从而摆脱核心技术受制于人的状况,作为落实新标准的基石,为可信计算产业发展创造巨大的市场空间,也为整个信息网络产业发展构成了前提和保障,将产生重大的社会经济效益。
