近期,市场监管总局、国家标准委批准发布了23项国家标准。其中,有多项标准涉及信息安全技术,凸显出国家对网络安全和信息安全的高度重视。近日,笔者采访了全国信息安全标准化技术委员会副秘书长、中国电子技术标准化研究院信息安全研究中心主任刘贤刚,解读《信息安全技术ICT供应链安全风险管理指南》《信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架》《信息安全技术 网络安全威胁信息格式规范》3项标准的重要意义和适用范围。
“《信息安全技术ICT供应链安全风险管理指南》规定了ICT供应链的安全风险管理过程和控制措施,是重要信息系统和关键信息基础设施的网络产品服务提供者及网络运营者开展ICT供应链安全风险管理的依据指南,也适用于指导ICT产品和服务的供方和需方加强供应链安全管理,同时还可供第三方测评机构对ICT供应链进行安全风险评估时参考,将为ICT行业加强供应链安全保障提供有力保障和指导。”刘贤刚表示,该标准分析了ICT供应链的典型安全威胁和脆弱性;同时,基于风险管理模型,规定了ICT供应链安全风险的管理过程,和定义了6类技术措施包括3类管理措施。
《信息安全技术基于可信环境的生物特征识别身份鉴别协议框架》,规定了基于可信环境的生物特征识别身份鉴别协议框架,包括协议框架、协议流程、协议要求以及协议接口等内容;适用于生物特征识别身份鉴别服务的开发、测试和评估。“该标准主要内容是提出基于可信环境的生物特征识别身份鉴别协议框架;规范基于可信环境的生物特征识别身份鉴别协议流程和处理规则;规定生物特征识别密钥管理器的接口。”刘贤刚说,标准很注重保证算法的安全性、协议的安全性、个人信息的有效保护等。
刘贤刚表示,当前指纹识别、面部识别等生物特征识别身份技术和产品越来越多,但安全性参差不齐,有些小厂家的身份鉴别系统甚至缺乏必要的安全保障。从国家层面建立统一的标准,确保基本的安全性和更好的互联互通性能,不仅可以减少用户在防伪防欺骗等方面的消耗,提高网络可信空间的安全性。
据刘贤刚介绍,当下网络攻击的成本大大降低,检测网络攻击的难度越来越大,传统的仅仅依靠各个组织独立实施的垂直的网络安全防护方案来应对这些复杂的网络攻击时显得越来越低效,需要采取新的技术手段来提升整体的网络安全防护效率,《信息安全技术 网络安全威胁信息格式规范》国标应运而生。
刘贤刚解释了《网络安全威胁信息格式规范》的4个标准范围:给出网络安全威胁信息模型和数据格式;适用于产品和产品、产品和服务之间自动化共享最新的威胁样本、事件、检测和防护规则;适用于系统间自动化、半自动化共享威胁信息和线索;适用于组织间共享威胁分析报告和战略级威胁信息。同时,该标准包含两个主要内容,一是定义了网络安全威胁信息模型的8个主要组件;二是对威胁信息的描述及传输方式给出了规范建议,涉及网络安全威胁信息的存储使用用例,安全交换网络威胁信息的参与角色、服务的功能性组件、共享模式和信息服务的类型。