1. 客服熱線:400-615-8698
        多特蒙德中文

        信息安全國家標準 助力網絡安全審查制度建立

        2014年12月31日 TAG: 本站

        信息安全國家標準 助力網絡安全審查制度建立


        來源:中國電子銀行網


        進入新世紀以來,信息技術迅猛發展,國民經濟和社會信息化不斷深化,經濟社會發展對基礎網絡和重要信息系統的依賴程度越來越高,一旦發生重大安全問題,不僅會造成嚴重經濟損失,而且會影響國家利益和公衆利益,甚至危害國家安全。在全球信息化的背景下,網絡安全已成爲世界各國共同關注的熱點問題。當前,網絡空間已被視爲繼陸、海、空、天之後的“第五空間”,網絡空間安全已成爲各國高度關注的重要領域。

        2014年227日,在中央網絡安全和信息化領導小組第一次會議上,習近平總書記提出了網絡安全和信息化是一體之兩翼,驅動之雙輪沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化等重要論斷,標誌着網絡安全已上升至國家戰略高度。隨後在522日,國家互聯網信息辦公室發佈消息稱,爲維護國家網絡安全、保障中國用戶合法利益,我國即將推出網絡安全審查制度。該制度規定,關係國家安全和公共利益的重要技術產品和服務,應通過網絡安全審查。這是我國首次正式提出建立國家網絡安全審查制度。

        縱觀一些西方國家實施國家安全審查制度的經驗,可以給我們一些啓示。美國作爲設立國家安全審查制度的最具代表性國家之一,其最初目的是對可能導致控制從事美國州際貿易的人的外資併購進行國家安全審查。在1992年,國會又通過《埃克森-弗羅裏奧修正法》,增加了對外國政府控制的企業在美併購進行國家安全審查的條文。2007726日,布什總統簽署了《2007年外國投資與國家安全法》,該法維持了埃克森-弗羅裏奧條款所確立的國家安全審查的程序和權力分配方案,對於那些可能導致控制美國關鍵性基礎設施的外資併購,應當進行國家安全審查。可以看出,美國國家安全審查的功能定位和範圍相對最初定位呈現出了擴張趨勢,除了在維護經濟安全方面發揮更加積極主動的作用,還包括了對關鍵基礎設施產業的保護,拓展到了聯邦政府雲計算服務、重要信息系統供應鏈等。其安全審查對象不僅包括產品和服務的安全性能指標,還包括產品研發過程、程序、步驟、方法、產品的供應鏈等,同時產品和服務供應方的員工與企業背景也在審查之列。衆所周知,201111月,美國衆議院情報委員會就華爲、中興涉嫌威脅美國國家安全事件,正式展開調查;20123月,三一重工收購美國俄勒岡州海軍軍事基地附近的4座風力發電廠項目被叫停等等,這些都是中國企業走出去時所遭遇的政治壁壘。

        爲配合國家網絡安全審查制度的建立,全國信息安全標準化技術委員會已經組織制定了雲服務安全和信息技術產品供應行爲安全方面的國家標準,下面將這些標準進行簡要介紹。

        雲服務安全審查標準概述

        爲有效落實國發〔201223號文,加強政府信息系統安全管理,加快雲計算服務安全標準制定工作,全國信息安全標準化技術委員會制定了兩項雲計算服務安全關鍵標準:GB/T 31167-2014《信息安全技術 雲計算服務安全指南》和GB/T 31168-2014《信息安全技術 雲計算服務安全能力要求》。

        GB/T 31167-2014描述了雲計算服務可能面臨的主要安全風險,提出了政府部門採用雲計算服務的安全管理基本要求,及雲計算服務的生命週期各階段的安全管理和技術要求。該標準爲政府部門採用雲計算服務,特別是採用社會化的雲計算服務提供全生命週期的安全指導,適用於政府部門採購和使用雲計算服務,也可供重點行業或企事業單位參考。

        GB/T 31168-2014對政府部門和重要行業使用的雲計算服務提出了基本的安全能力要求,反映了雲服務商在保障雲計算平臺上的信息和業務安全時應具有的基本能力。標準對雲服務商提出了一般要求和增強要求。根據擬遷移到社會化雲計算平臺上的政府和行業信息、業務的敏感度及安全需求的不同,雲服務商應具備的安全能力也各不相同。該標準概述了雲計算措施的實施責任、作用範圍、安全要求的分類等,描述了針對每類安全要求的具體要求。標準在附錄中給出了安全計劃的模版,以便於開展對雲服務商的安全評估。

        信息技術產品安全審查標準概述

        爲貫徹全國人大常委會《關於加強網絡信息保護的決定》相關要求,充分發揮國家信息安全標準在保障個人、企業和國家安全中的技術支撐作用,全國信息安全標準化技術委員會組織制定了信息技術產品供應安全標準:《信息安全技術 信息技術產品供應方行爲安全準則》,目前已形成報批稿,從信息技術產品(包括軟件、硬件、系統等)安全使用和管理的角度,規範信息技術產品供應方在提供信息技術產品時應遵守一定的信息安全行爲規範。適用於信息技術產品供應過程中的信息保護及其管理,也可爲信息技術產品的研發、運維等提供參考。

        在堅持開放創新的政策下,我們不應忽視潛在的安全問題,相關法律法規亟須建立,相應的國家標準也需儘快研製與實施,而制定出臺配套的國家標準,助力網絡安全審查制度建立,是全國信息安全標準化技術委員會責無旁貸的重任。(全國信息安全標準化技術委員會 羅鋒盈)


        本文鏈接:http://www.sicklycat.com/product/html/26.html轉載請註明!
        掃描加入
        Copyright © 2015 - 2024 上海多特蒙德中文實業股份有限公司    滬ICP備11027956號