楊建軍工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟副理事長(cháng)、中國電子技術(shù)標準化研究院副院長(cháng)、全國信息安全標準化技術(shù)委員會(huì )秘書(shū)長(cháng)

編者按：習近平總書(shū)記多次強調，“沒(méi)有網(wǎng)絡(luò )安全，就沒(méi)有國家安全?！蔽覈獜幕ヂ?lián)網(wǎng)大國向互聯(lián)網(wǎng)強國邁進(jìn)，網(wǎng)絡(luò )安全是重要保障。而信息安全標準化則是維護網(wǎng)絡(luò )安全、推動(dòng)網(wǎng)絡(luò )空間治理體系變革的基礎性、規范化和引領(lǐng)性的工作。本刊特邀工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟副理事長(cháng)、中國電子技術(shù)標準化研究院副院長(cháng)、全國信息安全標準化技術(shù)委員會(huì )秘書(shū)長(cháng)楊建軍，深度解讀我國信息安全標準化發(fā)展現狀，信息安全標準化工作進(jìn)展，以及下一步信息安全標準化工作的重點(diǎn)任務(wù)。

自動(dòng)化博覽：您如何看待標準化工作對于我國信息安全事業(yè)發(fā)展的重要意義？

楊建軍：標準是促進(jìn)全球貿易、技術(shù)、環(huán)境、社會(huì )等可持續發(fā)展的重要支撐，是各國參與國際規則制定的重要途徑，是一種層次更深、水平更高、影響更大的競爭。網(wǎng)絡(luò )安全標準的競爭更是明顯，誰(shuí)占據了網(wǎng)絡(luò )安全標準的制高點(diǎn)，誰(shuí)就可以在網(wǎng)絡(luò )安全博弈中贏(yíng)得先機、掌握主動(dòng)。作為國家網(wǎng)絡(luò )安全保障體系建設的重要組成部分，網(wǎng)絡(luò )安全標準在保障國家網(wǎng)絡(luò )空間安全、推動(dòng)社會(huì )治理體系變革方面發(fā)揮著(zhù)基礎性、規范性、引領(lǐng)性作用。在技術(shù)層面，網(wǎng)絡(luò )安全標準是固化技術(shù)創(chuàng )新成果、推動(dòng)新技術(shù)產(chǎn)業(yè)化的重要手段；在產(chǎn)業(yè)層面，網(wǎng)絡(luò )安全標準是促進(jìn)網(wǎng)絡(luò )安全產(chǎn)業(yè)規?；l(fā)展的重要工具；在社會(huì )治理層面，網(wǎng)絡(luò )安全標準是規范市場(chǎng)、保證質(zhì)量的標桿。因此，做好網(wǎng)絡(luò )安全標準化工作，對于維護國家安全，促進(jìn)網(wǎng)絡(luò )安全產(chǎn)業(yè)和技術(shù)發(fā)展都具有非常重要的意義。

自動(dòng)化博覽：請您為我們介紹一下我國信息安全標準工作的進(jìn)展，取得了哪些成績(jì)，還需要在哪些方面完善？

楊建軍：我國信息安全標準化工作由全國信息安全標準化技術(shù)委員會(huì )（以下簡(jiǎn)稱(chēng)“信安標委”，編號SAC/TC260）負責。信安標委成立于2002年4月，是國家標準化管理委員會(huì )直屬標委會(huì )，其工作范圍包括信息安全技術(shù)、機制、服務(wù)、管理、評估等領(lǐng)域的標準化工作。國際對口ISO/IEC JTC1 SC27（國際標準化組織國際電工委員會(huì )第一聯(lián)合技術(shù)委員會(huì )信息安全分委員會(huì )）。

信安標委現有委員81名，來(lái)自網(wǎng)絡(luò )安全主管或監管部門(mén)以及從事信息安全科研、生產(chǎn)、應用、測評等單位。標委會(huì )秘書(shū)處設在中國電子技術(shù)標準化研究院。信安標委下設6個(gè)工作組和1個(gè)特別工作組：WG1：信息安全標準體系與協(xié)調工作組；WG3：密碼技術(shù)工作組；WG4：鑒別與授權工作組；WG5：信息安全評估工作組；WG6：通信安全標準工作組；WG7：信息安全管理工作組；SWG-BDS：大數據安全標準特別工作組。

標委會(huì )自成立以來(lái)，重點(diǎn)圍繞標準體系研究、標準制修訂、試點(diǎn)驗證、宣傳推廣、國際標準化等方面開(kāi)展了一系列工作：

標準體系研究方面。信安標委長(cháng)期以來(lái)高度重視網(wǎng)絡(luò )安全標準頂層設計和體系研究工作。2016年，支撐中央網(wǎng)信辦、國家標準委等部門(mén)制定并發(fā)布了《關(guān)于加強國家網(wǎng)絡(luò )安全標準化工作的若干意見(jiàn)》，作為當前及今后一段時(shí)期國家網(wǎng)絡(luò )安全標準化工作的綱領(lǐng)性文件，從工作機制、標準體系、標準質(zhì)量、標準宣貫、國際標準化、人才建設、資金保障等方面詳細提出了當前及今后一段時(shí)期我國網(wǎng)絡(luò )安全標準化工作的重點(diǎn)任務(wù)。同時(shí)，落實(shí)《網(wǎng)絡(luò )安全法》等法律法規要求，結合國家發(fā)展戰略、產(chǎn)業(yè)政策、當前技術(shù)發(fā)展現狀和實(shí)際應用需求，組織開(kāi)展新技術(shù)新應用領(lǐng)域標準規劃和體系研究工作，發(fā)布了《大數據安全標準化白皮書(shū)（2018版）》、《電子認證2.0白皮書(shū)（2018版）》和《汽車(chē)電子網(wǎng)絡(luò )安全標準化白皮書(shū)（2018）》，為相關(guān)領(lǐng)域標準化工作的開(kāi)展提供了規劃和參考。

標準制修訂方面。截止目前，信安標委已經(jīng)組織制定并發(fā)布了268項網(wǎng)絡(luò )安全國家標準，主要涉及密碼、鑒別與授權、安全評估、通信安全、安全管理、大數據安全等領(lǐng)域，初步構建了國家網(wǎng)絡(luò )安全標準體系框架，為國家網(wǎng)絡(luò )安全審查、信息安全等級保護、信息安全產(chǎn)品檢測與認證、信息安全風(fēng)險評估、信息系統災難恢復等國家網(wǎng)絡(luò )安全保障工作，以及《電子簽名法》、《網(wǎng)絡(luò )安全法》的實(shí)施等提供了有力的標準化支撐。

標準試點(diǎn)驗證方面。信安標委非常重視重要標準試點(diǎn)示范和驗證工作。近年來(lái)，圍繞《信息安全技術(shù)云計算服務(wù)安全指南》和《信息安全技術(shù)云計算服務(wù)安全能力要求》國家標準組織開(kāi)展了云計算服務(wù)網(wǎng)絡(luò )安全管理國家標準應用試點(diǎn)工作；以國家標準《信息安全技術(shù)個(gè)人信息安全規范》為主要技術(shù)依據，組織開(kāi)展個(gè)人信息保護提升行動(dòng)之隱私條款專(zhuān)項工作，有效提升了互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護意識和水平，形成社會(huì )引導和示范效應；針對《信息安全技術(shù)關(guān)鍵信息基礎設施安全檢查評估指南》《信息安全技術(shù)數據安全能力成熟度評估模型》等重要在研標準開(kāi)展了驗證工作，選取典型標準應用場(chǎng)景，檢驗標準技術(shù)內容的可操作性和實(shí)用性，為標準實(shí)施落地積累經(jīng)驗。

標準宣傳推廣方面。2016年以來(lái)，在全國舉辦了15次網(wǎng)絡(luò )安全標準宣傳培訓活動(dòng)，累計培訓人數近5000人。連續組織了三屆網(wǎng)絡(luò )安全國家標準優(yōu)秀應用案例征集活動(dòng)，推動(dòng)了網(wǎng)絡(luò )安全國家標準在政務(wù)部門(mén)、關(guān)鍵信息基礎設施和重點(diǎn)行業(yè)中的應用實(shí)施。多次與黑龍江、河南、鞍山等地方網(wǎng)信辦和人民政府聯(lián)合舉辦網(wǎng)絡(luò )安全國家標準宣貫培訓活動(dòng)，搭建了中央與地方網(wǎng)絡(luò )安全工作交流平臺。通過(guò)參與國家網(wǎng)絡(luò )安全宣傳周、世界標準日等國家大型網(wǎng)絡(luò )安全活動(dòng)，多形式多渠道加強標準的宣傳推廣。

國際標準化方面。自2004年起連續16年組團參加SC27會(huì )議，從最初的跟蹤研究轉變?yōu)閷?shí)質(zhì)參與。持續擴大國際標準專(zhuān)家隊伍，國際標準注冊專(zhuān)家人數達125人。近幾年，包含我國密碼算法SM3、SM2和SM9，信息安全事件分類(lèi)分級等提案的8項國際標準獲批發(fā)布，數據安全、可信網(wǎng)絡(luò )連接、生物特征識別等國際標準制定項目在順利推進(jìn)中。我國還積極承辦國際網(wǎng)絡(luò )安全標準化會(huì )議，分別于2009年在北京、2018年在武漢成功承辦了SC27工作組會(huì )議和全體會(huì )議，尤其是去年武漢舉辦的國際會(huì )議，組織嚴謹、保障有序、效果良好，得到了國內外與會(huì )專(zhuān)家的一致贊譽(yù)和高度評價(jià)。此外，不斷加強中德、中法雙邊網(wǎng)絡(luò )安全交流與合作，今年與德國標準化協(xié)會(huì )信息技術(shù)與應用標準化委員會(huì )（DIN/NIA）簽署了合作諒解備忘錄（MOU），為雙方進(jìn)一步開(kāi)展務(wù)實(shí)合作奠定了基礎。

自動(dòng)化博覽：我國信息安全標準體系主要包含哪幾部分內容？目前每一部分的重點(diǎn)和發(fā)展情況如何？目前全國信安標委正在牽頭編制《網(wǎng)絡(luò )安全國家標準體系建設指南（2019）》，可否介紹一下相關(guān)的工作進(jìn)展？《指南》的推出，將對我國網(wǎng)絡(luò )安全事業(yè)有哪些積極作用？

楊建軍：信安標委自2002年成立以來(lái)，一直高度重視網(wǎng)絡(luò )安全標準體系的建設和完善，每年會(huì )根據國家網(wǎng)絡(luò )安全相關(guān)法律法規、政策、技術(shù)和產(chǎn)業(yè)發(fā)展、標準需求等變化，對標準體系框架進(jìn)行適當調整，增補已發(fā)布標準和新立項項目，曾于2005年公開(kāi)發(fā)布過(guò)一版體系。近年來(lái)，隨著(zhù)新技術(shù)新應用迅速發(fā)展，以及《網(wǎng)絡(luò )安全法》和《關(guān)于加強國家網(wǎng)絡(luò )安全標準化工作的若干意見(jiàn)》等法律政策文件的出臺，綜合考慮網(wǎng)絡(luò )安全發(fā)展現狀和標準化需求，從標準屬性、保護對象和應用領(lǐng)域角度出發(fā)，初步構建了三維標準體系結構圖，目前該體系還在不斷完善過(guò)程中。

標準屬性維主要從標準的基本特性出發(fā)，包括基礎、技術(shù)與機制、管理、測評等標準。保護對象維主要從標準所面向的對象出發(fā)，包括產(chǎn)品與服務(wù)、網(wǎng)絡(luò )與系統、數據、組織等標準。應用領(lǐng)域維主要從標準的應用角度出發(fā)，包括云計算、大數據、智慧城市、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、區塊鏈、人工智能、關(guān)鍵信息基礎設施等標準。

目前，《網(wǎng)絡(luò )安全國家標準體系建設指南（2019）》正在編制過(guò)程中，預計將于今年年底發(fā)布。該《指南》的推出，會(huì )讓我國信息安全標準體系更加科學(xué)合理，對下一階段標準化工作具有重要的指導作用，可為信息安全標準制修訂計劃的提出提供重要依據，將為我國網(wǎng)絡(luò )安全保障體系的建設提供有力支撐。

自動(dòng)化博覽：下一步我國信息安全標準工作的重點(diǎn)任務(wù)是什么？將在哪些方面重點(diǎn)開(kāi)展工作？

楊建軍：下一步，我國網(wǎng)絡(luò )安全標準化工作將緊緊圍繞以下幾個(gè)方面開(kāi)展工作。

一是從管理的維度，網(wǎng)絡(luò )安全標準的制定和實(shí)施要以國家有關(guān)的政策法規為依據，標準要有利于政策法規的落地實(shí)施。今年國家互聯(lián)網(wǎng)信息辦公室陸續發(fā)布《網(wǎng)絡(luò )安全審查辦法（征求意見(jiàn)稿）》《數據安全管理辦法（征求意見(jiàn)稿）》《個(gè)人信息出境安全評估辦法（征求意見(jiàn)稿）》《云計算服務(wù)安全評估辦法》等文件，標準的研制工作要緊緊圍繞這些政策文件開(kāi)展，以支撐政策文件的落地實(shí)施。

二是從技術(shù)的維度，網(wǎng)絡(luò )安全標準的制定要在保障安全的基礎上發(fā)揮更多作用，要通過(guò)標準規范和引導行業(yè)技術(shù)的發(fā)展。針對5G、人工智能、大數據等新技術(shù)新應用快速發(fā)展所帶來(lái)的安全問(wèn)題，要提前開(kāi)展標準研究，研究其中潛在的安全風(fēng)險和挑戰，提前布局，以網(wǎng)絡(luò )安全標準引領(lǐng)發(fā)展。

三是從應用的維度，網(wǎng)絡(luò )安全標準的制定和實(shí)施要圍繞網(wǎng)絡(luò )安全的重點(diǎn)問(wèn)題來(lái)開(kāi)展。網(wǎng)絡(luò )安全標準化工作要立足于現實(shí)、堅持問(wèn)題導向，圍繞人民群眾的關(guān)切做老百姓有獲得感的標準，例如智能門(mén)鎖安全、個(gè)人信息保護等，都關(guān)乎著(zhù)人民群眾的切身利益及安全，要重點(diǎn)做好這些標準的研制和應用推廣，發(fā)揮標準的規范性作用。

自動(dòng)化博覽：對于工業(yè)信息安全標準來(lái)說(shuō)，目前我國的發(fā)展重點(diǎn)是什么？

楊建軍：當前，隨著(zhù)智能制造、工業(yè)互聯(lián)網(wǎng)等新型生產(chǎn)模式的發(fā)展，工業(yè)云計算、工業(yè)大數據等新興技術(shù)的不斷應用，傳統信息安全防護技術(shù)存在手段單一、功能分散、自動(dòng)化程度較低等問(wèn)題，不能適應工業(yè)信息安全防護的新需求。為提升我國工業(yè)企業(yè)工業(yè)信息安全防護水平，指導我國工業(yè)信息安全防護工作開(kāi)展，全國信安標委持續開(kāi)展工業(yè)信息安全標準化工作，截至目前，共立項研制工業(yè)控制系統信息安全國家標準26項，范圍涵蓋工業(yè)控制系統安全分級、安全管理、安全實(shí)施、安全測評，以及典型工業(yè)控制系統、設備安全等領(lǐng)域，《信息安全技術(shù)工業(yè)控制系統安全控制應用指南》（GB/T 32919-2016）等關(guān)鍵核心標準正式發(fā)布實(shí)施，已初步建立了工業(yè)控制系統信息安全標準體系，可為工信部等相關(guān)部門(mén)開(kāi)展行業(yè)管理，以及工業(yè)企業(yè)提升安全防護水平提供標準支撐。然而，我國工業(yè)信息安全相關(guān)標準依然存在著(zhù)可編程邏輯控制器（PLC）、分布式控制器（DCS）、數據采集與監視控制系統（SCADA）等核心工控產(chǎn)品安全要求、測評方法等相關(guān)標準缺失，難以有效支撐產(chǎn)品級安全測評工作。下一步，全國信安標委將持續完善工業(yè)信息安全標準體系，以提升工業(yè)領(lǐng)域關(guān)鍵信息基礎設施安全防護水平為根本，圍繞工信部工控安全防護能力評估、工業(yè)互聯(lián)網(wǎng)安全等重點(diǎn)工作，加快推進(jìn)急需標準研制。積極響應產(chǎn)業(yè)需求，緊跟技術(shù)發(fā)展，根據輕重緩急，研制工控系統關(guān)鍵產(chǎn)品安全技術(shù)要求、安全測試規范等標準，形成測試驗證能力，提升相關(guān)產(chǎn)品的安全防護水平。

自動(dòng)化博覽：目前，國家標準《信息安全技術(shù)工業(yè)互聯(lián)網(wǎng)平臺安全要求及評估規范》征求意見(jiàn)稿已經(jīng)發(fā)布，可否簡(jiǎn)單介紹一下這個(gè)標準？此標準將在哪些方面促進(jìn)我國工業(yè)互聯(lián)網(wǎng)平臺建設？此標準預計什么時(shí)候正式發(fā)布？對于該標準后續的執行、落地您有何考慮？

楊建軍：面向工業(yè)互聯(lián)網(wǎng)等新興領(lǐng)域，信安標委統籌布局，開(kāi)展工業(yè)互聯(lián)網(wǎng)安全標準體系研究，梳理工業(yè)互聯(lián)網(wǎng)安全標準化需求，厘清標準關(guān)系，為工業(yè)互聯(lián)網(wǎng)安全標準體系建設工作提供指導。同時(shí)根據急用先行原則，開(kāi)展《信息安全技術(shù)工業(yè)互聯(lián)網(wǎng)平臺安全要求及評估規范》標準立項研制，用于指導工業(yè)互聯(lián)網(wǎng)平臺安全建設、運維及測評等工作。

《信息安全技術(shù)工業(yè)互聯(lián)網(wǎng)平臺安全要求及評估規范》面向工業(yè)互聯(lián)網(wǎng)平臺相關(guān)組織機構，規定了工業(yè)互聯(lián)網(wǎng)平臺邊緣層、工業(yè)IaaS層、工業(yè)PaaS層、工業(yè)SaaS層和安全管理等方面安全要求及配套評估規范，可規范相關(guān)組織開(kāi)展工業(yè)互聯(lián)網(wǎng)平臺安全防護設計、規劃、建設、運維等工作，同時(shí)也可為相關(guān)第三方評估組織開(kāi)展工業(yè)互聯(lián)網(wǎng)平臺安全評估工作提供標準化指導。

自標準立項后，中國電子技術(shù)標準化研究院會(huì )同樹(shù)根互聯(lián)技術(shù)有限公司等單位成立標準工作組，開(kāi)展標準研制工作。依據全國信安標委標準制修訂工作流程有關(guān)要求，截至目前，標準工作組已在全國信安標委2019年第一次全國會(huì )議周上，推進(jìn)該標準形成標準公開(kāi)征求意見(jiàn)稿，并已在網(wǎng)上公開(kāi)征求意見(jiàn)。下一步，標準編制組將根據公開(kāi)征求意見(jiàn)的專(zhuān)家建議，修改標準文檔，加快推進(jìn)標準進(jìn)程，擬于全國信安標委2019年第二次會(huì )議周上形成標準送審稿，推動(dòng)標準盡快發(fā)布。

在標準正式發(fā)布后，標準工作組將依托全國信安標委，開(kāi)展《信息安全技術(shù)工業(yè)互聯(lián)網(wǎng)平臺安全要求及評估規范》標準宣貫培訓、試點(diǎn)示范工作，服務(wù)工業(yè)互聯(lián)網(wǎng)平臺相關(guān)企業(yè)，幫助企業(yè)提升對標準內容的理解和使用。

自動(dòng)化博覽：2019年，我國主要有哪些工業(yè)信息安全相關(guān)標準推出？可否簡(jiǎn)單介紹一下這些標準？

楊建軍：2019年8月30日，《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò )安全隔離與信息交換系統安全技術(shù)要求》《信息安全技術(shù)工業(yè)控制系統漏洞檢測產(chǎn)品技術(shù)要求及測試評價(jià)方法》《信息安全技術(shù)工業(yè)控制系統產(chǎn)品信息安全通用評估準則》《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò )監測安全技術(shù)要求及測試評價(jià)方法》《信息安全技術(shù)工業(yè)控制系統網(wǎng)絡(luò )審計產(chǎn)品安全技術(shù)要求》《信息安全技術(shù)工業(yè)控制系統專(zhuān)用防火墻技術(shù)要求》《信息安全技術(shù)工業(yè)控制系統安全檢查指南》等7項工業(yè)信息安全相關(guān)國家標準正式發(fā)布。中華人民共和國國家標準公告（2019年第10號）

《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò )安全隔離與信息交換系統安全技術(shù)要求》規定了工業(yè)控制網(wǎng)絡(luò )安全隔離與信息交換系統的安全功能要求、安全保障要求和安全等級劃分要求，適用于工業(yè)控制網(wǎng)絡(luò )安全隔離與信息交換系統的設計、開(kāi)發(fā)及測試。

《信息安全技術(shù)工業(yè)控制系統漏洞檢測產(chǎn)品技術(shù)要求及測試評價(jià)方法》規定了針對工業(yè)控制系統的漏洞檢測產(chǎn)品的技術(shù)要求和測試評價(jià)方法，包括安全功能要求、自身安全要求和安全保障要求，以及相應的測試評價(jià)方法，適用于工業(yè)控制系統漏洞檢測產(chǎn)品的設計、開(kāi)發(fā)和測評。

《信息安全技術(shù)工業(yè)控制系統產(chǎn)品信息安全通用評估準則》定義了工業(yè)控制系統產(chǎn)品安全評估的通用安全功能組件和安全保障組件集合，規定了工業(yè)控制系統產(chǎn)品的安全要求和評估準則，適用于工業(yè)控制系統產(chǎn)品安全保障能力的評估，產(chǎn)品安全功能的設計、開(kāi)發(fā)和測試也可參照使用。

《信息安全技術(shù)工業(yè)控制網(wǎng)絡(luò )監測安全技術(shù)要求及測試評價(jià)方法》規定了工業(yè)控制網(wǎng)絡(luò )監測產(chǎn)品的安全技術(shù)要求和測試評價(jià)方法，適用于工業(yè)控制網(wǎng)絡(luò )監測產(chǎn)品的設計生產(chǎn)方對其設計、開(kāi)發(fā)及測評等提供指導，同時(shí)也可為工業(yè)控制系統設計、建設和運維方開(kāi)展工業(yè)控制系統安全防護工作提供指導。

《信息安全技術(shù)工業(yè)控制系統網(wǎng)絡(luò )審計產(chǎn)品安全技術(shù)要求》規定了工業(yè)控制系統網(wǎng)絡(luò )審計產(chǎn)品的安全功能要求、安全保障要求和安全等級劃分要求，適用于工業(yè)控制系統網(wǎng)絡(luò )審計產(chǎn)品的設計、生產(chǎn)和測試。

《信息安全技術(shù)工業(yè)控制系統專(zhuān)用防火墻技術(shù)要求》規定了工業(yè)控制系統專(zhuān)用防火墻的安全功能要求、安全保障要求、性能要求和安全等級劃分要求，適用于工控防火墻的設計、開(kāi)發(fā)和測試。

《信息安全技術(shù)工業(yè)控制系統安全檢查指南》規定了工業(yè)控制系統信息安全檢查的目的、范圍、方式、流程、方法和內容，適用于開(kāi)展工業(yè)控制系統的信息安全監督檢查、委托檢查工作，同時(shí)也適用于各企業(yè)在本集團（系統）范圍內開(kāi)展相關(guān)系統的信息安全自檢查。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》