高林:《關于加強國家網絡安全標準化工作的若干意見》解讀
責編:rhliu |2016-11-10 13:20:29高林(全國信息安全標準化技術委員會秘書長):
主題:《關于加強國家網絡安全標準化工作的若干意見》解讀
各位來賓大家上午好,非常高興借這個機會給大家做一下國家網絡安全工作的若干意見解讀。這個若干意見對我們標準化來說,在這么高的層面出臺一個針對網絡安全標準化的意見,我們也是非常的意外。
今年國家整個標準改革的方案在實施,專門針對網絡安全標準化,國家推出這樣一個文件,對最近一段時間整個網絡安全標準化工作是一個很大的促進的消息。在今天的報告里我想介紹三方面的內容:一個是出臺的過程和背景,編制的思路,以及具體內容的解讀。
今年整個文件的出臺是在去年就已經列入到中央網信工作領導小組的任務里面,作為其中一個重要的任務。在去年我們就已經啟動了調研的工作。在去年的上半年我們開展了大量的調研,包括座談、包括走訪地方、企業等等。
在這個之后,主要是相關的問題,當前困擾我們網絡安全八個主要的問題進行了處理,之后成立了一個聯合小組,由國標委、網信辦和相關部委的一些人員組成編制組。形成文件以后,經過領導小組審議通過,今年正式印發。這是這個文件出臺的簡要的背景。
在這個文件制訂的過程中主要是堅持著幾條:
第一,國家在網絡強國戰略的需求作為主線。今年4.19習總書記的講話,習總書記在政治局學習有關網信工作都有一些重要的觀點、判斷發布出來。其中建設網絡強國是一個重要的目標。在這個過程中,對于發展和安全、開放和自主、管理和服務等等這些方面怎么來推動,有非常具體的論述。我們這個文件首先就是網絡強國戰略作為主線。
還有一個重要的文件,11月7號剛剛發布的,這周一剛剛對外通過的人大正式發出來的《網絡安全法》,在《網絡安全法》里面對標準化進行了大量的說明,也是我們作為標準化的第一次看到在網絡里面,在一部法律里面有七八處提到標準。后面我在解讀的時候,也會結合《網絡安全法》和我們這個指導意見,在實施的過程中我們的理解,以及我們全國信息安全標委會在實施過程中的舉措給大家做一個介紹。
第二,落實標準化改革方案。國務院剛剛發布了標準化改革方案,今年開始實施,一是建立高效權威的標準化評估機制,在全國已經成立了國務院各個部門組成的協調機制,對于網絡安全標準化我們同樣協調機制非常重要,我們也有一些具體的措施。
另外,提出整合經典強制型標準。今年國標委已經完成了強制標準的整合行檢查,把以前國家標準的強制、行業標準的強制、地方標準的強制統一歸結為一類:就是強制國家標準,以后不再有強制性地方標準等等。優化完善推薦性標準。目前這個工作也在收尾階段,這個標委會、這個行業部門對國家推薦性標準進行積極的處理。同時,提高標準的國際化水平。《網絡安全法》里面也提到這樣一個重要的任務。
第三,終級導向。我們最開始考慮名字叫指導性意見,后來按照網信辦的要求,就是務實,不用靠在傳統的文件里面、指導思想、總體目標這樣來做,而是就叫若干意見,有什么意見提什么意見,所以這個意見出臺叫若干意見,而不是指導意見。
在這個過程中,我們調研也突出了幾個問題,一個就是統籌協調問題,在調研過程中很多企業,包括用戶都提出這個問題,不同的部門、不同的標準會,不同的行業都在出臺互不兼容的標準,對于執行帶來了很大的困惑,也給廠商帶來了很大的負擔。另外,標準體系要進一步完善,怎么跟上時代發展的趨勢。如果不能直接解決問題,或者你存在交叉工作的地方,對于實施就會出現導向的問題。
第四,提升國際話語權,要開展網絡安全的技術、標準、打擊犯罪,在建設網絡強國的目標要求之下,重要的一點就是要提高國際網絡治理方面的話語權。所以在這個意見里面,我們標準化怎么支撐這件事情,也是作為一個重要的驅動力。
下面對內容做一個重點的解讀。一共分了七章,19條。
第一章,建立統籌協調、分工協作的工作機制,這作為首要的任務,從機制上先要理順,在國家標準層面建立統一權威的國家標準工作機制,以前各個部門都制訂不同的委員會,大家在這個行業里面應該很有體會,不同委員會出臺跟網絡安全相關的國家標準非常多,也很亂,要求各不一致。
所以這一次明確要統一謀劃、統一部署,而且明確全國信息安全標準化技術委員會在國標委領導下,在中央網信辦統籌協調和有關網絡安全部門的指導之下,對網絡安全統一組織申報、送審和報批,以前這種亂像以后應該不再出了。信安標委今年年初完成了換屆工作,我們開了換屆之后第二次全會,目前整個信安標委是由中央網信辦領導作為主任委員,網信辦、工信部、公安部、安全部、國家保密局、認監委作為副主任部門,而且在委員層面,八十多名委員來自企業、來自研究機構、大學、專業的標準化機構等組織,建立這樣一個統一的平臺,也對后續實施有組織的保障。以后涉及其他內部部門的標準,應該國家標準都要征求中央網信辦和有關網絡安全主管部門的意見。這一條跟后續整個網絡安全標準體系有關。各個行業在制訂自己行業特殊的要求的時候,可以制訂一些特殊的政策,但是也要征求網信辦和有關網絡安全主管部門的意見。說這是我們行業的事,但是也要征求在國家層面建立統一的機制。
二,促進行業標準規范有序發展。后續國家標準委會牽頭一起建立行業標準聯絡員和會商機制,跟網信辦一起建立會商機制。
三,促進產業應用和標準化的形成互動。堅持繼續研發產業發展、產業政策和標準化的密切銜接。這一條對于標準實施也是非常重要的。以前我們出臺很多文件寫的很細,具體什么要求一二三都在文件里面自己寫,也帶來一些問題,因為技術在不斷發展,文件不可能定期的更新。去年中央網信辦發了一個文,做了一個很好的案例,2014年發的14號文,2015年正式對外發布,關于加強黨政部門云計算服務網絡安全管理工作,在意見里面,對執行網絡安全標準直接產生一種標準,黨政部門要參照信息安全技術、云計算服務安全指南等國家標準規劃分析他的業務范圍。而且中央網信辦建立云計算服務安全審查機制,對服務商參照網絡安全國家標準組織第三方機構進行網絡安全審查,這樣就把政策和標準的聯系固定下來了。我這個標準可以繼續,但是我的政策是穩定的,我一直是參照這一系列的標準來進行審查,所以后續的審查工作就非常順暢、有序的開展起來。這也提供了一個非常好的案例。后續按照國家指導意見的原則,后續會繼續再按照這種方式,很多政策、標準的方式,在國外這也是很多國家通行的方式。
四,推動居民標準的建立。目前國家在大力提倡居民標準,居民標準同樣存在融合的問題,尤其信息安全、技術上的一些通用的技術,標準的通用能夠帶來民技軍用、軍民轉換、以及在戰時甚至利用民用設施進行保障,帶來的便利。
五,科學構建標準體系。這一條跟《網絡安全法》密切的結合在一起。《網絡安全法》在第15條說,國家建立和完善網絡安全標準體系,支持企業和各方參與國家和行業標準的制訂,同時兼顧我國在世貿組織的義務,持續發展、不斷完善。
六,完善各級標準。這里面涉及到企業標準、地方標準,這里面明確的按照國家標準化改革的整體方針,審核相關的標準。目前網絡安全通過整合精簡現在只剩一項,后續陸續在國家關鍵信息設置保護、政府網絡、個人信息等等方面還會制訂一些相應的強制性的措施。優化完善推薦標準,各個行業可以制訂自己的行業標準,在本行業范圍內,比如說金融、支付等等行業特色的東西,制訂他相關的行業標準。最后對于地方標準,網絡安全原則上不指定網絡安全地方標準。
七,推進急需重點標準制訂。在若干意見里提出了若干意見,在《網絡安全法》里面對標準已經提了非常明確的要求,哪些東西是要遵照的,比如說網絡安全等級保護制度,肯定是我們現在國家標準有一系列的標準。同時提到網絡產品和服務要有國家統一的要求。目前我們有T+260(音)國家規口的標準,有近百項關于產品和服務,這是最大的一部分,但是都是推薦標準。后續會按照這些要求推行一些強制要求。《網絡安全法》也提到,網絡的關鍵設備和網絡安全的專用產品,除了要執行強制標準,還要按照強制要求進行監測認證后才能銷售使用,相當于企業認證。所以對標準的需求非常明確,哪些領域要做強制性標準,哪些領域要做推薦性標準,《網絡安全法》都把這個領域優化的非常清楚,同時《網絡安全法》提出來網絡可信身份,網絡認證、網絡安全的應急預案、漏洞等等領域都要實施,相關的標準都有一些。但是,我們計劃有很多標準需要進一步修訂。
第三章,提升標準質量和基礎能力。
八是提高標準適用性。標準適用性通過程序來保證,制訂過程中保證公開公正透明原則,保證標準管用、而且提高參與度和廣泛性。目前在國家標準網絡安全制訂平臺有八個工作組,每個工作組成員多的有一百多,我們差不多加在一塊有四百多。還有一部分委員,我們要求所有的項目在工作組里面公開討論,首先工作組工作以后,進入委員會的程序,按照一步一步的程序保證整個標準制訂的參與度和廣泛性。我們今年已經連續組織了兩次會議指南,防止有些企業跟我們反應會議太多、太分散,今天一個,明天一個。我們統一來做,而且安排在統一的時間,提前一個月就通知,保證大家深度的來參與這件事情。
九,提高標準先進性。這主要是根據一些新的技術指南,包括標準推出的時間。我們統計了一下,今年標委會規口有30項標準發布,我們平均制訂周期是380天。按照新的要求,原則上不超過兩年,而且目前有的標準制訂的周期超過了六年以上,按照國標委要求,今年都沒法繼續執行了。如果一個領域你說很重要,急需要上標準,再重要,六年都沒有做出來,這六年過程中,說明沒有標準六年也運行下來了。只能說明還是不夠重要,沒有標準,六年也都沒有什么問題。所以,要進一步提高它的實現,后續我們也會實現進一步的要求,包括向國標委建立一些自動的制訂周期,國際標準一般是三年周期,到了三年,就自動出示。所以國內標準需要進一步提高時效性。
十,標準規范性。還是從過程管理的方式。
十一,加強標準化基礎能力建設。目前標準化的研究能力還是欠缺,很多還是停留在看文稿、寫文章,從實踐中我們也在不斷的探索,比如說去年我們的標準在發布之前就進行了為期一年的驗證,在國內選擇一些企業進行驗證,通過驗證,對標準的執行也有了更深刻的理解,也培育了一批標準執行的第三方評價等等服務機構。這樣的標準推出以后,有利于標準的進一步推動。中國電子技術研究院也在建立研究平臺,來做辦公系統的安全、設備的安全、包括網站的安全等等安全的驗證工作,后續也會繼續加強這方面的驗證工作。
第四章,強化標準宣傳實施。
十二,加強標準的宣傳解讀。國家標準是有版權的,國家強制標準是公開發布,推薦性標準并沒有公開發布,對于網絡安全來說,今年已經在我們的網站上已經可以看到所有已經發布標準的版本,也可以評價。我用了有什么問題,還有一些意見的反饋。我們現在要加強跟管理工作,應用部門結合,也要開展對優秀案例進行評選,目前我們這個工作已經開展了幾年,每年都在進行優秀案例的征集,各個行業部門、應用部門,把用的比較好的標準應用案例,我們進行相關的評選工作。
十三,加大標準實施力度。去年我們做了有網絡安全試點的單位,當時我們選北京、上海、濟南、成都、無錫、襄陽六個實驗城市,當時選了六家服務商,通過試點,經過了審查,今年我看到六個服務商,已經有三個通過了國家信息安全的審查。這是一個很有效的措施,今年,我們也在開展政府門戶網站系統的安全技術指南,針對這個標準作為我們今年試點的標準,現在已經啟動了試點工作,對于黑龍江、西部之窗、首都之窗、北京門頭溝等政府網站進行標準的試點,相信通過這種試點,對于標準實施、推廣有很好的促進。
第五章加強國際標準化工作。
十四,實質性參與國際標準化活動。按照我們現在統計,我們每年參加網絡安全國家標準化組織的活動,人數逐年在增加,今年已經增加到了30多人,我們國際的注冊專家今年有20多人參加,十月份剛剛回來,而且中國的提案,包括中國在里面擔任的職務都有明顯的增加。我們在目前十多個注冊專家的基礎上,要把隊伍常態化,除了平時的注冊,還要有組織,要組織起來,平時要有一些活動,去研究下一步的計劃,有計劃的來推動。
第六章,標準化人才隊伍的建設,我們下一步會選擇有條件、有意向的重點院校設立網絡安全標準化相關課題,國家已經有了網絡安全培訓基地,下一步我們要結合起來,包括校企和培訓。
十七條,引進和培育高端人才,設立標準化專家庫,提高待遇和資金、技術的政策傾斜。以前我們高校領域,寫論文可以,做標準,不算很成功,這也是后續我們和這些高校在這方面有一些新的措施。
第七章,做好資金保障。
十八,財政資金保障工作,每年都有相應的專門的經費來支持這方面。今年我們立了三十多個項目,這已經是很多年的支持了。
十九,鼓勵社會資金創新。設立了優秀網絡安全國家標準獎,今年已經發布了優秀網絡安全國家標準獎的獎勵辦法,而且按照這個辦法今年信安標委組織了評選,我們每年有300多萬的支持作為獎勵,今年評估了五項,云計算、辦公設備、智能計算機終端等等標準。
以上就是對若干意見的解讀,后續也會推出一些落實的措施。最后,也強調一點,整個的指導若干意見后續都會配合《網絡安全法》的實施,后面我們會配合國家網絡安全網信工作最大的事情,我們國家標準化研發的人才等等這些都會和《網絡安全法》進行協調,相信有了法律的支持,對于我們標準的工作是一個很好的促進,也希望大家持續的支持。謝謝大家!
上一篇:滴滴弓峰敏:安全范式的改變