信息安全国家标准,助力国家网络安全审查制度建立

2014-11-30 16:17:40

进入新世纪以来,信息技术迅猛发展,国民经济和社会信息化不断深化,经济社会发展对基础网络和重要信息系统的依赖程度越来越高,一旦发生重大安全问题,不仅会造成严重经济损失,而且会影响国家利益和公众利益,甚至危害国家安全。在全球信息化的背景下,网络安全已成为世界各国共同关注的热点问题。当前,网络空间已被视为继陆、海、空、天之后的“第五空间”,网络空间安全已成为各国高度关注的重要领域。

2014年2月27日,在中央网络安全和信息化领导小组第一次会议上,习近平总书记提出了“网络安全和信息化是一体之两翼,驱动之双轮”、“没有网络安全就没有国家安全,没有信息化就没有现代化”等重要论断,标志着网络安全已上升至国家战略高度。随后在5月22日,国家互联网信息办公室发布消息称,为维护国家网络安全、保障中国用户合法利益,我国即将推出网络安全审查制度。该制度规定,关系国家安全和公共利益的重要技术产品和服务,应通过网络安全审查。这是我国首次正式提出建立国家网络安全审查制度。

纵观一些西方国家实施国家安全审查制度的经验,可以给我们一些启示。美国作为设立国家安全审查制度的最具代表性国家之一,其最初目的是对可能导致控制从事美国州际贸易的人的外资并购进行国家安全审查。在1992年,国会又通过《埃克森-弗罗里奥修正法》,增加了对外国政府控制的企业在美并购进行国家安全审查的条文。2007年7月26日,布什总统签署了《2007年外国投资与国家安全法》,该法维持了“埃克森-弗罗里奥”条款所确立的国家安全审查的程序和权力分配方案,对于那些可能导致“控制美国关键性基础设施”的外资并购,应当进行国家安全审查。可以看出,美国国家安全审查的功能定位和范围相对最初定位呈现出了扩张趋势,除了在维护经济安全方面发挥更加积极主动的作用,还包括了对关键基础设施产业的保护,拓展到了联邦政府云计算服务、重要信息系统供应链等。其安全审查对象不仅包括产品和服务的安全性能指标,还包括产品研发过程、程序、步骤、方法、产品的供应链等,同时产品和服务供应方的员工与企业背景也在审查之列。众所周知,2011年11月,美国众议院情报委员会就华为、中兴涉嫌“威胁美国国家安全”事件,正式展开调查;2012年3月,三一重工收购美国俄勒冈州海军军事基地附近的4座风力发电厂项目被叫停等等,这些都是中国企业“走出去”时所遭遇的政治壁垒。

为配合国家网络安全审查制度的建立,全国信息安全标准化技术委员会已经组织制定了云服务安全和信息技术产品供应行为安全方面的国家标准,下面将这些标准进行简要介绍。

云服务安全审查标准概述

为有效落实国发〔2012〕23号文,加强政府信息系统安全管理,加快云计算服务安全标准制定工作,全国信息安全标准化技术委员会制定了两项云计算服务安全关键标准:GB/T 31167-2014《信息安全技术 云计算服务安全指南》和GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》。

GB/T 31167-2014描述了云计算服务可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求。该标准为政府部门采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导,适用于政府部门采购和使用云计算服务,也可供重点行业或企事业单位参考。

GB/T 31168-2014对政府部门和重要行业使用的云计算服务提出了基本的安全能力要求,反映了云服务商在保障云计算平台上的信息和业务安全时应具有的基本能力。标准对云服务商提出了一般要求和增强要求。根据拟迁移到社会化云计算平台上的政府和行业信息、业务的敏感度及安全需求的不同,云服务商应具备的安全能力也各不相同。该标准概述了云计算措施的实施责任、作用范围、安全要求的分类等,描述了针对每类安全要求的具体要求。标准在附录中给出了安全计划的模版,以便于开展对云服务商的安全评估。

信息技术产品安全审查标准概述

为贯彻全国人大常委会《关于加强网络信息保护的决定》相关要求,充分发挥国家信息安全标准在保障个人、企业和国家安全中的技术支撑作用,全国信息安全标准化技术委员会组织制定了信息技术产品供应安全标准:《信息安全技术 信息技术产品供应方行为安全准则》,目前已形成报批稿,从信息技术产品(包括软件、硬件、系统等)安全使用和管理的角度,规范信息技术产品供应方在提供信息技术产品时应遵守一定的信息安全行为规范。适用于信息技术产品供应过程中的信息保护及其管理,也可为信息技术产品的研发、运维等提供参考。

在坚持开放创新的政策下,我们不应忽视潜在的安全问题,相关法律法规亟须建立,相应的国家标准也需尽快研制与实施,而制定出台配套的国家标准,助力网络安全审查制度建立,是全国信息安全标准化技术委员会责无旁贷的重任。(全国信息安全标准化技术委员会 罗锋盈)