国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
《中华人民共和国网络安全法》第十五条明确规定:
国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
第十五条、第十六条、第十七条、第十八条和第二十条分别倡导企业、高校和科研单位、网络相关行业组织等参与网络安全国家标准、行业标准制定,研究开发网络安全技术,为社会提供网络安全认证、检测和风险评估等安全服务,开发网络数据安全保护和利用技术,以及培养网络安全人才等。
这些法条集中表达了一个主旨:鼓励网络安全领域的技术发展和进步,以更好地促进网络安全、健康运行。
(1)工信部起草网络安全标准体系建设扩展阅读:
“没有网络安全就没有国家安全。”当网络进入千家万户,当网络和信息业务蓬勃发展,当我国的互联网用户数量和电子商务总量位居世界第一时,网络安全显然已经成为一件非常重要的事情。
2016年4月,习近平总书记在网络安全和信息化研讨会上指出,“网络空间是亿万人民共同的精神家园。”网络空间是清晰的、生态的,是符合人民利益的。”
精神的指导下,始终高度重视网络安全建设在我国,十八大会以来,先后制定分销网络安全国家标准289项,继续实施“净净”“剑网”“基础”“护理苗”系列等特殊项目的成果显着,连续第六年组织实施的“网络安全宣传周”深入人心,这些务实有力的举措,不断净化网络空间,维护网民的合法权益。
② 网络安全标准
法律分析:根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
法律依据:《网络安全等级保护条例》 第十五条 根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
③ 等级保护2.0国家标准
网络安全等级保护制度》2.0国家标准发布,其中关于企业数据保护有以下要求:应提供重要数据的本地数据备份与恢复能力;应提供异地数据备份功能,利用通信网络能将重要数据定时批量传送至备用场地,应识别需要定期备份的重要业务信息、系统数据及软件系统等;应规定备份信息的备份方式、备份频度、存储介质、保质期等;应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份程序和恢复程序等。该标准的发布标志着我国网络安全等级保护工作正式进入“2.0时代”。等级保护工作的落实有效提升了我国的网络安全防护能力。等保2.0的发布,是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。
【拓展资料】
国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。
发布会由市场监督管理总局新闻宣传司领导主持。市场监督管理总局标准技术司副司长通报国家标准制定流程改革情况并发布重要国家标准。公安部信息安全等级保护评估中心规划咨询部副主任陈广勇对《信息安全技术网络安全等级保护基本要求》国家标准进行了解读。
信息安全等级保护制度是国家信息安全保障工作的基础,也是一项事关国家安全、社会稳定的政治任务。通过开展等级保护工作,发现企业网络和信息系统与国家安全标准之间存在的差距,找到目前系统存在的安全隐患和不足,通过安全整改,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
相较于2007年实施的《信息安全等级保护管理办法》所确立的等级保护1.0体系,为了适应现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求,2018年公安部正式发布《网络安全等级保护条例(征求意见稿)》,国家对信息安全技术与网络安全保护迈入2.0时代。
据了解,原来的保护对象主要包括各类重要信息系统和政府网站,保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等,在此基础上,等保2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准。等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。
有国内专业机构表示,等保2.0国家标准对比等保1.0,在保护范围、法律效力、技术标准、安全体系、定级流程、定级指导等方面均发生变化,信息安全系统改造在即。等保2.0做出对关键信息基础设施“定级原则上不低于三级”的指导,测评分数的要求由60分提升至75分以上,且第三级及以上信息系统每年或每半年就要进行一次测评。国家重点行业将带头加大信息安全产品和咨询服务的持续投入。回顾我国信息安全产业曾在等保1.0影响下进入加速发展期,专家预计,等保2.0将继续带动行业大发展,至少打开百亿级以上增量市场空间。
④ 如何构建工业互联网安全体系
2018年中国工业互联网行业分析:万亿级市场规模,五大建议构建安全保障体系
工业互联网安全问题日益凸现
工业互联网无疑是这个寒冬中最热的产业经济话题。“BAT们”视之为“互联网的下半场”,正在竞相“+工业”“+制造业”而工业企业、制造业企业们也在积极“+互联网”,希望借助互联网的科技力量,为工业、制造业的发展配备上全新引擎,从而打造“新工业”。
不难看出,工业互联网正面临着一个重要的高速发展期,预计至2020年将达万亿元规模。但与此同时,工业互联网所面临的安全问题日益凸现。在设备、控制、网络、平台、数据等工业互联网主要环节,仍然存在传统的安全防护技术不能适应当前的网络安全新形势、安全人才不足等诸多问题。
工业互联网万亿级市场模引发安全隐患
据前瞻产业研究院发布的《中国工业互联网产业发展前景预测与投资战略规划分析报告》统计数据显示,2017年中国工业互联网直接产业规模约为5700亿元,预计2017年到2019年,产业规模将以18%的年均增速高速增长,到2020年将达到万亿元规模。随着国家出台相关工业互联网利好政策,中国工业互联网行业发展增速加快,截止到2018年3月,中国工业互联网平台数量超250家。世界各国正加速布局工业互联网,围绕工业互联网发展的国际竞争日趋激烈。
预计2020年我国工业互联网产业规模将达到万亿元
数据来源:公开资料、前瞻产业研究院整理
一方面,加快工业互联网发展是制造业转型升级的必然要求;另一方面,工业互联网是构筑现代化经济体系的必然趋势。
工业互联网是深化“互联网+先进制造业”的重要基石,也是发展数字经济的新动力。发展工业互联网,实现互联网与制造业深度融合,将催生更多新业态、新产业、新模式,创造更多新兴经济增长点。
伴随着工业互联网的发展,越来越多的工业控制系统及设备与互联网连接,网络空间边界和功能极大扩展,以及开放、互联、跨域的制造环境,使得工业互联网安全问题日益凸显:
1、网络攻击威胁向工业互联网领域渗透。近年来,工业控制系统漏洞呈快速增长趋势,相关数据显示,2017年新增信息安全漏洞4798个,其中工控系统新增漏洞数351个,相比2016年同期,新增数量几乎翻番,漏洞数量之大,使整个工业系统的生产网络面临巨大安全威胁。
2、新技术的运用带来新的安全威胁。大数据、云计算、人工智能、移动互联网等新一代信息技术本身存在一定的安全问题,导致工业互联网安全风险多样化。
3、工业互联网安全保障能力薄弱。目前,传统的安全保障技术不足以解决工业互联网的安全问题,同时,针对工业互联网的安全防护资金投入较少,相应安全管理制度缺乏,责任体系不明确等,难以为工业互联网安全提供有力支撑。
如何构建工业互联网安全体系?
那么,如何铸造工业互联网的安全基石,加快构建可信的工业互联网安全保障体系呢?
1、突破关键核心技术。要紧跟工业互联网最新发展趋势,努力引领前沿技术和颠覆性技术发展。
2、推动工业互联网安全技术标准落地实施。全面推广技术合规性检测,促进工业互联网产业良性发展。
3、完善监管和评测体系。
4、切实推进工业互联网安全技术发展。加强全生命周期安全管理,构建覆盖系统建设各环节的安全防护体系。
5、联合行业力量打造工业互联网安全生态。
在工业互联网的安全防护能力建议:
1、顶层设计:出台系列文件,形成顶层设计;
2、标准引导:构建工业互联网安全标准体系框架,推进重点领域安全标准的研制;
3、技术保障:夯实基础,强化技术实力;
4、系统布局:依托联盟,打造产业促进平台;
5、产业应用:加强产业推进,推广安全最佳实践。
近年来,中国也陆续出台了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》、《工业互联网发展行动计划(2018-2020年)》等文件,明确提出工业互联网安全工作内容,从制度建立、标准研制、安全防护、数据保护、手段建设、安全产业发展、人员培养等方面,要求建立涵盖设备安全、控制安全、网络安全、平台安全、数据安全的工业互联网多层次安全保障体系。
在国家政策以及业界的一致努力下,相信我国工业互联网在取得快速发展的同时在安全层面的保障也会更上一层楼。
⑤ 简要概述网络安全保障体系的总体框架
网络安全保障体系的总体框架
1.网络安全整体保障体系
计算机网络安全的整体保障作用,主要体现在整个系统生命周期对风险进行整体的管理、应对和控制。网络安全整体保障体系如图1所示。
图4 网络安全保障体系框架结构
【拓展阅读】:风险管理是指在对风险的可能性和不确定性等因素进行收集、分析、评估、预测的基础上,制定的识别、衡量、积极应对、有效处置风险及妥善处理风险等一整套系统而科学的管理方法,以避免和减少风险损失。网络安全管理的本质是对信息安全风险的动态有效管理和控制。风险管理是企业运营管理的核心,风险分为信用风险、市场风险和操作风险,其中包括信息安全风险。
实际上,在网络信息安全保障体系框架中,充分体现了风险管理的理念。网络安全保障体系架构包括五个部分:
(1)网络安全策略。以风险管理为核心理念,从长远发展规划和战略角度通盘考虑网络建设安全。此项处于整个体系架构的上层,起到总体的战略性和方向性指导的作用。
(2)网络安全政策和标准。网络安全政策和标准是对网络安全策略的逐层细化和落实,包括管理、运作和技术三个不同层面,在每一层面都有相应的安全政策和标准,通过落实标准政策规范管理、运作和技术,以保证其统一性和规范性。当三者发生变化时,相应的安全政策和标准也需要调整相互适应,反之,安全政策和标准也会影响管理、运作和技术。
(3)网络安全运作。网络安全运作基于风险管理理念的日常运作模式及其概念性流程(风险评估、安全控制规划和实施、安全监控及响应恢复)。是网络安全保障体系的核心,贯穿网络安全始终;也是网络安全管理机制和技术机制在日常运作中的实现,涉及运作流程和运作管理。
(4)网络安全管理。网络安全管理是体系框架的上层基础,对网络安全运作至关重要,从人员、意识、职责等方面保证网络安全运作的顺利进行。网络安全通过运作体系实现,而网络安全管理体系是从人员组织的角度保证正常运作,网络安全技术体系是从技术角度保证运作。
(5)网络安全技术。网络安全运作需要的网络安全基础服务和基础设施的及时支持。先进完善的网络安全技术可以极大提高网络安全运作的有效性,从而达到网络安全保障体系的目标,实现整个生命周期(预防、保护、检测、响应与恢复)的风险防范和控制。
引自高等教育出版社网络安全技术与实践贾铁军主编2014.9
⑥ 《车联网网络安全标准体系建设指南》 明确标准体系建设
易车讯近日,为落实《中华人民共和国网络安全法》等法律法规要求,加强车联网(智能网联汽车)网络安全标准化工作顶层设计,工信部组织编制了《车联网(智能网联汽车)网络安全标准体系建设指南》(征求意见稿)。
指导思想是,贯彻落实党中央、国务院关于促进车联网产业发展的部署要求,推动制造强国和网络强国建设,着力构建车联网(智联网联汽车)网络安全标准体系,指导标准统筹规划,系统推进网络安全标准研制,注重与智能网联汽车、信息通信、电子产品和服务等相关标准体系的协调和衔接,促进强化标准落地实施,为保障车联网产业安全可持续发展提供标准支撑。
建设目标是,计划到2023年底,初步构建起车联网(智能网联汽车)网络安全标准体系,重点研究基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等重点行业标准和国家标准,完成50项以上重点急需安全标准的制修订工作。
到2025年,形成较为完备的车联网(智能网联汽车)网络安全标准体系,完成100项以上重点标准,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全发展。
建设思路是,在《国家车联网产业标准体系建设指南》整体框架基础上,结合车联网(智能网联汽车)网络安全工作实际需求,统筹规划、突出重点、急用先行、循序渐进,进一步明确安全标准建设的对象和重点内容,建立统一协调的标准体系框架,指导车联网(智能网联汽车)网络安全标准化建设。
建设内容是,车联网(智能网联汽车)网络安全标准体系框架包括总体与基础共性、终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等六个部分。
总体与基础共性标准包括术语和定义、总体架构、密码应用等三类;终端与设施安全标准包括车载设备安全、车端安全、路侧通信设备安全和测试场设施安全等四类;网联通信安全包括通信安全、身份认证等两类;数据安全包括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等五类;应用服务安全包括平台安全、应用程序安全、服务安全等三类;安全保障与支撑类标准包括风险评估、安全监测与应急管理、安全能力评估等三类。
⑦ 工信部:车联网网络安全和数据安全标准体系建设指南发布
易车讯 近日,工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》,目标到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全健康发展。
标准体系框架包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。在重点领域及方向,提出以下内容:
1、总体与基础共性标准
总体与基础共性标准是车联网网络安全和数据安全的总体性、通用性和指导性标准,包括术语和定义、总体架构、密码应用等3类标准。
术语和定义标准主要规范车联网网络安全和数据安全主要概念,为相关标准中的术语和定义提供依据支撑。
总体架构标准主要规范车联网网络安全总体架构要求,明确和界定防护对象、防护方法、防护机制,指导企业体系化开展网络安全防护工作。
密码应用标准主要规范车联网密码应用通用要求,明确数字证书格式、数字证书应用、设备密码应用等要求。
2、终端与设施网络安全标准终端与设施网络安全标准
主要规范车联网终端和基础设施等相关网络安全要求,包括车载设备网络安全、车端网络安全、路侧通信设备网络安全、网络设施与系统安全等4类标准。
车载设备网络安全标准主要规范智能网联汽车关键智能设备和组件的安全防护与检测要求,包括汽车网关、电子控制单元、车用安全芯片、车载计算平台等安全标准。
车端网络安全标准主要规范整车电子电气架构、总线架构、系统架构等安全防护与检测要求。
路侧通信设备网络安全标准主要规范联网路侧设备的安全防护与检测要求。网络设施与系统安全标准主要规范车联网网络设施与系统的安全防护与检测要求。
3、网联通信安全标准
网联通信安全标准主要规范车联网通信网络安全、身份认证等相关安全要求,包括通信安全、身份认证等2类标准。信安全标准主要规范蜂窝车联网(C-V2X),以及应用于车联网的蜂窝移动通信(4G/5G)、卫星通信、无线射频识别、车内无线局域网、蓝牙低能耗(BLE)紫蜂(Zigbee)、超宽带(UWB)等安全防护与检测要求。身份认证标准主要规范车联网数字身份认证相关的证书应用接口、证书管理系统、安全认证技术及测试方法、关键部件轻量级认证等技术要求。
4、数据安全标准
数据安全标准主要规范智能网联汽车、车联网平台、车载应用服务等数据安全和个人信息保护要求,句括通用要求、分类分级、出境安全、个人信息保护、应用数据安全等5类标准。通用要求标准主要规范车联网可采集和处理的数据类型、范围、质量、颗粒度等,包括数据最小化采集、数据安全存储、数据加密传输、数据安全共享等标准。分类分级标准主要规范车联网数据分类分级保护要求,制定数据分类分级的维度、方法、示例等标准,明确重要数据类型和安全保护要求。数据出境安全标准主要规范车联网行业依法依规落实数据出境安全要求,句括数据出境安全评估要点、评估方法等标准。个人信息保护标准主要规范车联网用户个人信息保护机制及相关技术要求,明确用户敏感数据和个人信息保护的场景、规则、技术方法,包括匿名化、去标识化、数据脱敏、异常行为识别等标准。应用数据安全标准主要规范车联网相关应用所开展的数据采集和处理使用等活动,包括车联网平台、网约车、车载应用程序等数据安全标准。
5、应用服务安全标准
应用服务安全标准主要规范车联网服务平台和应用程序的安全要求,以及典型业务应用服务场景下的安全要求,包括平台安全、应用程序安全和服务安全等3类标准。平台安全标准主要规范车联网信息服务平台、远程升级(OTA)服务平台、边缘计算平台、电动汽车远程信息服务与管理等安全防护与检测要求。应用程序安全标准主要规范车联网应用程序等安全防护与检测要求。服务安全标准主要规范车联网典型业务服务场景下的安全要求,包括汽车远程诊断、高级辅助驾驶、车路协同等服务安全要求。
6、安全保障与支撑标准
安全保障与支撑标准主要规范车联网网络安全管理与支撑相关的安全要求,包括风险评估、安全监测与应急管理和安全能力评估等3类标准。风险评估标准主要规范车联网网络安全风险分类与安全等级划分要求,明确安全风险评估流程和方法,提出车联网服务平台、整车网络安全风险评估规范等相关要求。安全监测与应急管理标准主要规范车联网网络安全监测、数据安全监测、应急管理、网络安全漏洞分类分级、安全事件追踪溯源等相关要求,以及安全管理接口、车联网卡实名登记、车联网业务递交网关(HI)接口等相关规范。安全能力评估标准主要规范车联网服务平台运营企业、智能网联汽车生产企业、基础电信企业等安全防护措施部署安全服务实施,提出网络安全成熟度模型、数据安全成熟度模型、安全能力成熟度评价准则、评估实施方法、机构能力认定、道路车辆信息安全工程等相关要求。