网络安全技术标准”分论坛 加强安全创新 标准体系先行

　　【导语】网络安全标准作为国家网络安全保障体系重要组成部分，是做好网络安全工作的重中之重，发挥着基础性、全局性、根本性、引领性作用。

　　近年来，随着网络信息技术快速发展应用，网络安全形势日益复杂严峻，对标准化工作提出更高的要求。9月20日，“网络安全技术标准”分论坛在上海召开，论坛由上海市委网信办和第三研究所主办，上海市信息网络安全管理协会、上海交通大学网络空间安全学院承办。论坛围绕信息安全技术标准的产业发展、融合发展、生态发展等展开深入研讨，旨在提高网络安全技术标准影响力，促进网络安全技术标准的交流与合作。

　　网络空间安全保障任重道远，以网络空间安全标准为抓手，不断提升标准质量，带动我国信息技术产业核心技术突破必将对网络强国建设带来和平、安全、的网络空间，为亿万保驾护航。

　　什么是网络安全技术标准？中国电子技术标准化研究院信息安全研究中心主任刘贤刚回答道，标准的核心内容包括两方面，即提供一个最小的安全要求、提供一个基础的框架，概括起来就是“期限+框架”。同样，标准也包括两个定位，第一个是解决网络安全法的产品和服务的强制性要求标准化落地，即恶意程序的防范、缺陷漏洞的响应、持续安全的、用户信息的等四方面。第二个是解决网络安全设备和网络专用产品应该按关国家标准的要求，建立统一的安全框架，用于指导具体产品的制定要求，为其提供一个共性层和基础层。

　　针对安全评估标准体系的层次，国家信息技术安全研究中心总工李京春提出了“融合发展，实施重点”这一概念，也就是针对网络标准办理采用二元体系架构。二元体系架构分两方面，一方面是等级体系继续发展完善，保障系统要求，就像修长城，用同样的砖，以同样的高度和厚度，按照等级不断地修下去，信息化关键基础设施延伸到哪里它就延伸到哪里，这是一个根；另一方面就是对一些重要设施和系统要加强专业化的安全要求。

　　就网络安全而言，国家网络与信息系统安全产品质量监督检验中心副主任顾健认为，网络运营者应该按照网络安全制度的要求履行安全的义务，比如说保障网络免受干扰、或是未经授权的访问、防止数据泄露或者被窃取，这是对系统的要求。

　　第三研究所副所长京指出，以网络为依托的信息发展拓展了信息的广度和深度，对人类社会产生了很大的影响。潜在的网络影响到我们的使用，也影响到国家信息化建设的进一步深化，到经济发展，网络安全标准作为国家网络安全保障体系重要组成部分，是做好网络安全工作的重中之重，发挥着基础性、全局性、根本性、引领性作用。

　　网络安全技术标准种类多样，层次复杂，包括密码标准、云安全标准、物联网安全技术标准等，在网络使用过程中，密码安全是信息安全的基础、核心与支撑，因此，密码标准也是实施密码过程中非常重要的一个方面。

　　国家密码行业标准化技术委员会第二组组长刘平给出了他的看法。密码要正确使用才能发挥它的作用，如果使用不正确比不用更。另外，密码要规范性使用才能用得好，也即按照标准使用，需要推进密码标准化、确立密码话语权。“密码标准等于是盐，盐到处都能用，都离不开它，但是它不能当菜。”刘平说。

　　近年来，云计算逐渐进入大众视野。云上安全是网民非常关注的问题。对此，云安全联盟大中华区研究院院长叶思海给出了相应的云安全标准研究与实践说法。做好安全是一个系统的工程，不是某个单项的技术。基于云安全技术的标准，相应会有配套产品的认证和测评，通常的做法是要有认证。如果有国家的权威部门认证是最好的，如果国家权威部门还没有，行业内的权威组织也可以很好地解决这个问题。

　　实际上物联网正在引领整个行业的创新和变革，据统计，60%的企业已经在部署物联网，而且很多企业已经从物联网的创新里发现机遇。但机遇与挑战并存，物联网平台会带来种种安全性问题，影响非常之大。对此，华为公司战略部副总裁郑志彬分享了华为关于物联网时代的安全标准的思考。他做一个物联网网关，把各项联网项目的流量、报文、日志进行隔离。同时针对整个互联网平台大数据，包括传感器的传输、数据的采集、数据的计算、数据的分析以及到未来数据如何等，进行整个生命周期的数据采集，确保物联网数据安全。

　　中国网络空间安全协会副秘书长则从网络安全风险评估标准化方面进行阐述，他认为网络空间的形势非常好，但网络安全也令人捏了一把汗。应树立正确的安全观，依照安全观建立正确的风险观，从而进行正确的网络风险评估。