美國新一代信息技術安全標準研究發展狀況

　　美國關鍵基礎設施安全標準建設與規劃情況

　　隨著網絡和信息技術向關鍵基礎設施的滲透，傳統的物理基礎設施與信息系統的融合程度不斷加深，關系國家安全、社會穩定和經濟發展的能源、通信、交通、金融等關鍵領域的信息系統面臨外部不安全環境所引發的巨大威脅，其一旦遭受攻擊，不僅將造成其自身癱瘓，還將擾亂國家秩序，影響國家經濟社會發展。美國最先提出關鍵基礎設施保護，1996年7月15日，美國總統克林頓發布第13010號行政令《關鍵基礎設施保護》，宣布成立關鍵基礎設施保護總統委員會（PCCIP）。到小布什政府時期又組建DHS，實施多項具體的技術研發計劃和項目，開發信息系統以保護關鍵基礎設施。到奧巴馬政府時期，更加注重基礎設施的網絡安全。

　　依據13636號總統令的明確要求，2014年2月12日，美國白宮發布了由國家標準技術研究院（NIST）起草的美國國家信息安全指導規范《提升美國關鍵基礎設施網絡安全的框架規范》（Framework for Improving Critical Infrastructure Cyber security，FICIC）。FICIC文件包含三部分：框架介紹、框架架構和框架實施說明，其中，框架架構是文件的核心部分。根據FICIC規范，美國的關鍵基礎設施信息安全防護體系框架分為識別、保護、偵測、響應和恢復五個層面，是一種基于生命周期和流程的風險防控體系。2017年1月，NIST發布了FICIC V1.1的草稿，預計2017年10月份會出正式版本，新版本將進一步增加對關鍵基礎設施網絡安全保障的測量，增加對網絡供應鏈風險管理（SCRM）的考慮。

　　美國云計算安全標準建設與規劃情況

　　云計算是網格計算、并行計算、虛擬化等技術進一步發展來的產物，是新一代信息技術變革的核心，它代表IT領域向集約化、規?；?、專業化方向發展。美國政府早在IT政策和戰略中也加入了云計算因素，美國國防信息系統部門（DISA）也在其數據中心內部搭建云環境，2009年9月15日，美國總統奧巴馬宣布將執行一項影響深遠的長期性云計算政策，希望借助應用虛擬化來壓縮美國政府支出。美國國家標準和技術研究所（NIST）被聯邦首席信息官（CIO）指定為通過領導制定有關標準和指導方針以加快聯邦政府在工業和政府中的云計算安全應用。

　　NIST于2010年11月成立5個云計算工作組，NIST云計算工作組2011年發布NIST云計算標準路線圖（SP500-291）、NIST云計算參考架構（SP 500-292）、NIST云計算的定義（SP 800-145）。NIST云計算標準路線圖提供了一個對云計算達成共識的定義和路線圖，并總結相關工作，說明基于這些工作的評估結果，此外還描述了政府部門關于云計算部署決策的注意事項。NIST云計算參考架構描繪了一個通用的高層概念模型，包括云計算的結構和操作，此參考框架是討論云計算特性、用途和標準的基礎。2013年7月，NIST新發布NIST云計算標準路線圖（SP500-291）v2。NIST定義的云計算是一種無處不在的、方便的模式，按需網絡訪問可配置的計算資源共享池（例如，網絡、服務器、存儲、應用和服務），可以快速配置和發布以最少的管理工作或服務供應商的互動，該云模型由五個基本特性、三個服務模型和四個部署模型組成。在NIST云計算標準路線圖中也指出在云計算標準中與之相關的一致性測試、合格評定也通過標準相關的其他過程呈現，例如合格評定程序是提供保證產品、服務、系統、人員的一種手段，合格評定包括供應商的合格聲明，取樣和測試，檢驗，認證，管理體系的評估和注冊。

　　美國大數據安全標準建設與規劃情況

　　隨著大數據時代的到來，大數據正成為與物質資產和人力資本同樣重要的基礎生產要素、國家基礎性戰略資源，正逐步對國家治理能力、經濟運行機制、社會生活方式產生深刻影響。

　　美國國家標準與技術研究院（NIST）于2012年6月啟動了大數據相關基本概念、技術和標準需求的研究，2013年5月成立了NIST大數據公開工作組（NBG-PWG），2015年9月編寫形成并發布了NIST SP 1500《NIST大數據互操作框架》系列標準（第一版），包括7 個分冊，即NIST SP1500-1《第1冊定義》、NISTSP 1500-2《第2 冊 大數據分類法》、NIST SP1500-3《第3冊用例和一般要求》、NIST SP1500-4《第4冊安全和隱私保護》、NIST SP1500-5《第5冊架構調研白皮書》、NIST SP 1500-6《第6冊參考架構》和NIST SP 1500-7《第7冊標準路線圖》。目前正在進行第二版的編制工作，并增加了2個分冊，即NIST SP 1500-8《第8冊大數據參考架構接口》和NIST SP 1500-9《第9冊大數據采用與現代化》。

　　其中，NIST SP 1500-4《NIST大數據互操作框架：第4冊安全與隱私保護》由NISTNBDPWG的安全與隱私保護小組編寫。該標準聚焦于提出、分析和解決大數據特有的安全與隱私保護問題。在理解和執行安全與隱私保護要求上，大數據觸發了需求模式的根本轉變，從而滿足大數據的體量大、種類多、速度快和易變化的特點?；A架構的安全解決方案目標也發生了變化，例如，分布式計算系統和非關系型數據存儲的安全。大數據場景下新的安全問題需要解決，其中包括平衡隱私與實用性，對加密數據開展分析和治理，以及核查認證用戶和匿名用戶。該標準分析了特定應用場景（包括醫療、政府、零售、航空等）下的大數據安全與隱私保護問題，提出了大數據安全與隱私保護的主要概念和角色，開發了一個大數據安全與隱私保護參考架構來補充NIST大數據參考架構（NBDRA），并對行業應用案例和NBDRA之間的映射進行了相關探索。

　　美國物聯網安全標準建設與規劃情況

　　物聯網是繼互聯網之后信息通信技術的又一次重大創新，物聯網為全球經濟社會發展帶來的變化和影響將遠遠超越互聯網。物聯網將成千上萬的物體通過網絡基礎設施進行連接，這些物體通過感知周圍環境的變化，積極參與信息獲取、處理和交換過程，物聯網孕育著巨大的商機。

　　為提升物聯網產業安全性，美國政府采取了多種舉措加強物聯網信息安全。2015年，美國聯邦貿易委員會發布物聯網產品安全高級指南，美國政府宣布投入1.6億美元推動“智慧城市”計劃，將物聯網應用試驗平臺建設作為首要任務。2016年2月，包括微軟、英特爾、三星、思科、通用電氣在內的多家科技巨頭聯合發起成立物聯網標準組織“Open Connectivity Foundation”，通過創建以標準制定為抓手扎實推進物聯網產業發展。2016年5月，美國國家標準與技術研究院NIST發布了《網絡物理系統框架》，對物聯網參考架構、網絡安全隱私、實時與同步等提供全面的定義和術語，為智能制造、智能電網等領域的物聯網應用提供技術參考。同時，美國交通部也發起智能交通系統標準項目，提供車聯網相關技術參考建議。2016年9月，美國白宮再次追加預算8000萬美元，集中于城市服務等領域的物聯網技術應用。2016年11月美國國土安全部發布《確保物聯網安全的戰略原則》白皮書，向物聯網設備和系統開發商、管理者及個人提出了一組網絡安全實踐準則建議。

　　美國工業控制安全標準建設與規劃情況

　　隨著工業控制系統廣泛應用于工業、能源、航空、交通、水利、國防及市政等領域，工業控制系統已成為世界各國關鍵基礎設施的重要組成部分，其安全性已涉及國家安全穩定的重要戰略問題。由于工業控制系統產品多采用通用硬件、通用協議和通用軟件，以各種方式與互聯網等公共網絡連接，而且大多又沒有嚴格的安全防范措施，很容易被攻擊者利用實施破壞。美國國家標準與技術研究（NIST）發布了系列工控安全方面的指南和規范性文件，包括《工業控制系統信息安全指南》（NIST SP 800-82）、《聯邦信息系統和組織的安全控制推薦》（NIST SP 800-53）、《系統保護輪廓——工業控制系統》（NISTIR 7176）、《中等健壯環境下的SCADA系統現場設備保護概況》等。2007年，美國ISA成立安全復合型研究院ISCI專門從事安全標準的符合性認證工作，目前ISCI已經推出嵌入式設備安全保證（EDSA）認證、系統安全保證認證（SSA）、安全開發生命周期保證認證（SDLA），分別針對控制系統產品、系統及產品和系統的開發生命周期。

　　對我國新一代信息技術安全標準化工作的啟示

　　加強我國網絡空間安全核心技術研究，提升網絡空間安全防護能力

　　為應對新一代信息技術發展帶來的安全威脅，我國需要對現有信息安全技術進行完善與升級，研究新一代的網絡空間安全技術，以解決網絡空間安全面臨的各種風險和威脅。我國應明確新時期、新任務中網絡安全的核心需求，加強新一代信息安全技術研究，突破第五代移動通信、下一代互聯網（IPv6）、三網融合等相關的核心信息安全技術，加快關鍵基礎設施安全、云計算安全、大數據安全、物聯網安全、工業控制安全相關信息安全技術研究，研發自主可控、自主先進的操作系統、核心芯片、高端軟硬件等，支撐我國建立面向新一代信息技術的立體化信息安全保障體系。

　　加快面向新一代信息技術的網絡空間安全關鍵標準制定，形成我國網絡空間安全保障體系有力的技術支撐

　　網絡空間安全標準是網絡空間安全保障體系的重要組成部分，在保障網絡空間安全、促進網絡安全產業轉型升級和發展互聯網經濟等方面起著越來越重要的作用。然而，我國面向新一代信息技術的網絡空間安全關鍵標準還相對缺乏，在推廣網絡安全技術和產品應用過程中很容易出現無序和存在安全風險。因此，應協調整合社會各方力量，引導各方加快完善面向新一代信息技術的網絡空間安全標準，尤其是關鍵基礎設施安全、云計算安全、大數據安全、物聯網安全、工業控制安全技術、產品和管理類標準，完善面向新一代信息技術的網絡空間安全審查、安全風險評估、安全能力評估類標準，完善行業應用網絡空間安全建設實施指南和基本要求。

　　保證長期和充足的資金投入，支持新一代信息技術安全標準和技術的研究

　　美國在網絡空間安全方面保證有足夠的科研經費投入，美國DARPA自2009年以來在網絡空間安全領域的研究經費一直在增加，2013財年，DARPA在網絡空間安全領域的研究經費預算為24600萬美元。2014年，NIST用于NITRD的預算經費為1.44億美元，NIST由ITL負責的網絡空間安全科研項目很多，包括取證科學計劃通過使用計算機科學、數學和統計學知識研究取證科學的測量和標準。新一代信息技術安全標準和技術的研究離不開長期和充足的資金投入，應指定有效的激勵機制，在投入的重點方向上有所側重，例如加大對云計算安全、大數據安全、物聯網安全等新一代信息技術安全的評估和認證的方法研究等。

　　注重人才培養，推動新一代信息技術安全標準化工作的創新發展

　　1999年，美國制定《國家信息安全戰略》后明確提出美國需進行信息空間安全的意識培訓工作，啟動了國家信息保障教育培訓計劃（NIETP）。2010年，美國組織制定了專門針對網絡空間安全教育的《國家網絡空間安全教育計劃（NICE）》，負責對美國的網絡空間安全教育工作進行全局指導。我國要推動新一代信息技術安全標準化工作的創新發展，需出臺配套的我國網絡空間安全教育培訓政策，全局指導我國網絡空間安全相關的教育培訓和人才培養工作，擴充專業的教師隊伍，培養具有高素質、高技術水平的復合型信息安全專業人才，滿足不同層次、不同領域的信息安全人才需求。支持更多高校、研究機構開設信息安全課程，培養專業人才。支持和規范社會化教育資源，開展信息安全知識普及和教育培訓。

　　加強國際交流與合作，提升我國網絡安全空間國際標準制定方面的國際影響力

　　互聯網已經成為國家政治、經濟和安全的戰略支點，各國均在積極參與網絡空間安全的國際治理，維護國家的利益。國際標準化組織紛紛啟動了網絡空間安全相關的研究和標準制定工作，包括ISO、ISO/IEC JTC1、ITU-T等國際標準化組織，以及美國ANSI、FIPS、IEEE，歐洲ECMA、ETSI，亞太地區ASTAP等，在5G通信安全、大數據安全、物聯網安全、云安全等方面目前都是處于起步階段。我國在新一代信息安全技術和應用上基本與國際同步，在網絡空間安全相關標準的制定上也并不落后，因此應抓住網絡空間發展的重大機遇，積極參與網絡空間安全國際標準的制定工作，借鑒國際標準化組織在制定網絡空間安全相關標準中的一些經驗知識，建立健全我國的網絡空間安全標準體系；同時，可將國內成熟的網絡空間安全標準轉化為國際標準，貢獻中國智慧，提出中國方案，提升我國在網絡安全空間國際標準制定方面的國際話語權和影響力。

　　作者：韓曉露，大唐聯誠信息系統技術有限公司綜合計劃部副部長，高工，北京交通大學博士研究生，主要研究方向為信息安全、智慧城市安全、大數據安全。

責任編輯：韓希宇