企業(yè)信息安全標(biāo)準(zhǔn)體系建設(shè)的初步探討

摘要：本文介紹了信息安全所涵蓋的主要內(nèi)容，列舉分析了國內(nèi)信息安全標(biāo)準(zhǔn)化體系的構(gòu)成，同時結(jié)合航空企業(yè)信息安全標(biāo)準(zhǔn)體系建設(shè)現(xiàn)狀，探討了航空企業(yè)信息安全標(biāo)準(zhǔn)化工作存在的問題，并提出了后續(xù)的工作建議。

關(guān)鍵詞：信息安全；標(biāo)準(zhǔn)化；體系建設(shè)

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 21-0000-02

1 引言

在信息社會中，信息不僅是社會財富的主要形態(tài)，而且也是維持社會活動和經(jīng)濟(jì)活動以及生產(chǎn)活動的重要資源，隨著信息技術(shù)的不斷發(fā)展，各行各業(yè)都在逐步深化信息技術(shù)的應(yīng)用，以提高工作效率。為保障各類信息系統(tǒng)的正常運(yùn)行，信息安全就成了一個非常重要且不容忽視的問題。為滿足信息系統(tǒng)的安全需求，出現(xiàn)了多種多樣的安全技術(shù)、產(chǎn)品、系統(tǒng)，包括各種安全管理手段在內(nèi)構(gòu)成了信息安全保障體系。信息安全保障體系的建設(shè)和應(yīng)用，是一個龐大的系統(tǒng)工程，需要有一整套完整、科學(xué)、覆蓋面廣的信息安全標(biāo)準(zhǔn)與之相適應(yīng)。

2 信息安全管理

信息系統(tǒng)是企業(yè)的重要的資產(chǎn)，為保證企業(yè)具有長期的競爭力，保持業(yè)務(wù)的正常運(yùn)行，信息的保密性、完整性和可用性是至關(guān)重要的。目前，信息系統(tǒng)所面臨的安全威脅與日俱增，來源也日益廣泛，如計算機(jī)病毒、黑客行為、惡意攻擊等，企業(yè)對于信息系統(tǒng)的依賴意味著其自身更容易受到安全威脅的攻擊。因此，單純通過技術(shù)手段獲得的安全保障十分有限，必須有相應(yīng)的管理手段和操作規(guī)范才能得到真正的安全保障。

信息安全管理是一個系統(tǒng)工程，它要求對信息系統(tǒng)的各個環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和架構(gòu)，并要時時兼顧組織內(nèi)不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構(gòu)成威脅，使得信息安全這只“木桶”出現(xiàn)若干“短板”從而無法提高安全水平，正確的做法是遵循國內(nèi)外相關(guān)信息安全標(biāo)準(zhǔn)與最佳實踐過程，充分考慮實際需求，在風(fēng)險分析的基礎(chǔ)上引入恰當(dāng)控制，建立合理安全管理體系，從而保證企業(yè)信息資產(chǎn)的保密性、完整性和可用性。

3 信息安全標(biāo)準(zhǔn)體系

為了規(guī)范信息安全各個方面的建設(shè)，使信息安全的各個方面都有據(jù)可依，信息安全標(biāo)準(zhǔn)的制定就成了一項十分重要的工作，我國已經(jīng)形成了具有一定規(guī)模的信息安全標(biāo)準(zhǔn)體系。

3.1 國家信息安全標(biāo)準(zhǔn)體系

（1）基礎(chǔ)標(biāo)準(zhǔn)

·GB/T 17964-2008《信息安全技術(shù)分組密碼算法的工作模式》

（2）技術(shù)與機(jī)制標(biāo)準(zhǔn)

·GB/T 15852.1-2008《信息技術(shù)安全技術(shù) 消息鑒別碼》；·GB/T 15843.1/2/3/4-2008《信息技術(shù)安全技術(shù) 實體鑒別》；·GB/T 17710-2008《信息技術(shù)安全技術(shù)校驗字符系統(tǒng)》；·GB/T 17903.1/2/3-2008《信息技術(shù)安全技術(shù) 抗抵賴》

（3）管理標(biāo)準(zhǔn)

·GB/T 22080-2008《信息技術(shù)安全技術(shù) 信息安全管理體系要求》；·GB/T 22081-2008《信息技術(shù)安全技術(shù) 信息安全管理實用規(guī)則》

（4）測評標(biāo)準(zhǔn)

·GB/T 20274.1/2/3/4-2008《信息安全技術(shù)信息系統(tǒng)安全保障評估框架》；·GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》；·GB/T 22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》；·GB/T 18336.1/2/3-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》

3.2 國家保密標(biāo)準(zhǔn)體系

BMB1-1994《電話機(jī)電磁泄漏發(fā)射限值和測試方法》；BMB2-1998《使用現(xiàn)場的信息設(shè)備電磁泄漏發(fā)射檢查測試方法和安全判據(jù)》；BMB3-1999《處理涉密信息的電磁屏蔽室的技術(shù)要求和測試方法》；BMB4-2000《電磁干擾器技術(shù)要求和測試方法》；BMB5-2000《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防護(hù)要求》；BMB6-2001《密碼設(shè)備電磁泄漏發(fā)射限值》；BMB7-2001《密碼設(shè)備電磁泄漏發(fā)射測試方法（總則）》；BMB7.1-2001《電話密碼機(jī)電磁泄漏發(fā)射測試方法》；BMB8-2004《國家保密局電磁泄漏發(fā)射防護(hù)產(chǎn)品檢測實驗室認(rèn)可要求》；BMB9.1-2007《保密會議移動通信干擾器技術(shù)要求和測試方法》；BMB9.2-2007《保密會議移動通信干擾器安裝使用指南》；BMB20-2004《涉及國家秘密的計算機(jī)網(wǎng)絡(luò)安全隔離設(shè)備的技術(shù)要求和測試方法》；BMB11-2004《涉及國家秘密的計算機(jī)信息系統(tǒng)防火墻安全技術(shù)要求》；BMB12-2004《涉及國家秘密的計算機(jī)信息系統(tǒng)漏洞掃描產(chǎn)品技術(shù)要求》；BMB13-2004《涉及國家秘密的計算機(jī)信息系統(tǒng)入侵檢測產(chǎn)品技術(shù)要求》；BMB14-2004《涉及國家秘密的信息系統(tǒng)安全保密測評實驗室要求》；BMB15-2010《涉及國家秘密的信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求》；BMB16-2004《涉及國家秘密的信息系統(tǒng)安全隔離與信息交換產(chǎn)品技術(shù)要求》；BMB17-2006《涉及國家秘密的信息系統(tǒng)分級保護(hù)技術(shù)要求》；BMB18-2006《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》；BMB19-2006《電磁泄漏發(fā)射屏蔽機(jī)柜技術(shù)要求和測試方法》；BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)管理規(guī)范》；BMB21-2007《涉及國家秘密的載體銷毀與信息消除安全保密要求》；BMB22-2007《涉及國家秘密的信息系統(tǒng)分級保護(hù)測評指南》；BMB23-2008《涉及國家密密的信息系統(tǒng)分級保護(hù)方案設(shè)計指南》；GGBB1-1999《信息設(shè)備電磁泄漏發(fā)射限值》；GGBB2-1999《信息設(shè)備電磁泄漏發(fā)射測試方法》

4 軍工企業(yè)信息安全標(biāo)準(zhǔn)體系建設(shè)的分析和建議

目前，我國的信息安全標(biāo)準(zhǔn)化工作已經(jīng)取得了較大的進(jìn)展，為信息安全建設(shè)的進(jìn)行起到了規(guī)范、指導(dǎo)的作用，但從企業(yè)信息安全標(biāo)準(zhǔn)體系建設(shè)角度出發(fā)，筆者認(rèn)為現(xiàn)階段航空企業(yè)信息安全標(biāo)準(zhǔn)化工作主要存在以下幾個方面的問題：

4.1 缺乏清晰的體系概念，忽視了行業(yè)、企業(yè)的特殊性。我國已制定完成了幾十項信息安全類標(biāo)準(zhǔn)，但在這些標(biāo)準(zhǔn)當(dāng)中并沒有形成清晰的安全標(biāo)準(zhǔn)體系，分類不夠明確，尤其在標(biāo)準(zhǔn)的使用中一般是根據(jù)使用者自身的情況，用到時再去找相關(guān)的具體標(biāo)準(zhǔn)，這樣容易造成對標(biāo)準(zhǔn)使用環(huán)境的忽視，甚至造成標(biāo)準(zhǔn)使用的錯誤，另外，也容易針對一項工作僅找到一個標(biāo)準(zhǔn)，而忽視各個標(biāo)準(zhǔn)體系之間的互補(bǔ)性。對此，針對行業(yè)、企業(yè)的特殊性，從行業(yè)企業(yè)自身特點出發(fā)，制定符合行業(yè)、企業(yè)特色的標(biāo)準(zhǔn)，使之成為在國家標(biāo)準(zhǔn)指導(dǎo)下，具體實施的有利依據(jù)。4.2 在信息安全建設(shè)中未能完全應(yīng)用，缺乏監(jiān)管手段。在我國已發(fā)布信息安全標(biāo)準(zhǔn)中，有大量的標(biāo)準(zhǔn)是起規(guī)范作用的技術(shù)指標(biāo)。但在實際的應(yīng)用過程中，往往因為從業(yè)人員對于標(biāo)準(zhǔn)的不熟悉甚至根本沒有意識，造成建成的系統(tǒng)、產(chǎn)品存在不符合標(biāo)準(zhǔn)的地方，甚至最終的驗收條件也沒有完全符合標(biāo)準(zhǔn)的要求。為此，應(yīng)加強(qiáng)信息安全標(biāo)準(zhǔn)的宣傳、普及工作，繼而出臺相關(guān)政策、法規(guī)推動實際應(yīng)用。4.3 規(guī)范標(biāo)準(zhǔn)制定工作，提高標(biāo)準(zhǔn)編制水平。隨著對標(biāo)準(zhǔn)重視程度的提高，已經(jīng)有越來越多的人參與到信息安全標(biāo)準(zhǔn)化工作中來，標(biāo)準(zhǔn)化工作是一項技術(shù)性工作，需要一支專業(yè)過硬、技術(shù)精良的技術(shù)隊伍。同時，標(biāo)準(zhǔn)制定的流程也應(yīng)規(guī)范，積極創(chuàng)造條件開展工作，利用社會的各種資源，廣開渠道支持標(biāo)準(zhǔn)化事業(yè)，如吸引企業(yè)參加標(biāo)準(zhǔn)的制定，甚至可以考慮實行招投標(biāo)制度，積極利用標(biāo)準(zhǔn)化研究機(jī)構(gòu)、標(biāo)準(zhǔn)化協(xié)會的資源和力量，做到優(yōu)勢互補(bǔ)，制定高水平的信息安全標(biāo)準(zhǔn)。

5 結(jié)束語

信息安全標(biāo)準(zhǔn)體系是解決信息安全問題的理論依據(jù)和技術(shù)支撐，不僅關(guān)系到國家信息安全建設(shè)，同時也是促進(jìn)企業(yè)發(fā)展的一種重要手段。信息安全標(biāo)準(zhǔn)體系的建設(shè)不僅需要主管部門的推動，更需要在國家相關(guān)部門的統(tǒng)一部署組織下，群策群力，共同參與，制定出符合國情、適合行業(yè)發(fā)展的信息安全標(biāo)準(zhǔn)。

作者簡介：蘇賓（1981.10-），女，滿族，工程師，現(xiàn)任中航工業(yè)黎明數(shù)據(jù)中心技術(shù)專家，2004年畢業(yè)于沈陽大學(xué)計算機(jī)科學(xué)與技術(shù)專業(yè)，主要從事信息系統(tǒng)網(wǎng)絡(luò)與安全防護(hù)方面研究；成立權(quán)（1974.10-），男，漢族，高級工程師，高級企業(yè)信息管理師，現(xiàn)任中航工業(yè)黎明數(shù)據(jù)中心技術(shù)專家，1999年畢業(yè)于西北工業(yè)大學(xué)航空動力與熱力工程系飛行器動力工程專業(yè)。主要從事航空發(fā)動機(jī)裝配（修理）的網(wǎng)絡(luò)信息化和網(wǎng)絡(luò)信息安全方面研究。