国标是怎么炼成的:信息安全产品类别与代码标准修订项目

全国信息安全标准化技术委员会2017年第二次工作组“会议周”于10月15日—19日在厦门召开,网络安全标准研究和制修订工作在此次会议之后得到了进一步的推进和完善。
 
在“会议周”开幕之前,由公安部计算机信息系统安全产品质量监督检验中心、中国信息安全测评中心信息安全实验室承担; 公安部第三研究所协同东软集团共同发起的《信息安全技术 信息安全产品类别与代码》标准修订项目,在上海进行了修订会议,对草案修订内容达成一致意见,为标准周的草案评审做好了充分的准备。
 
作为发起单位之一,东软集团网络安全事业部资深项目经理赵志宏全程参与了此次标准修订会议与信息安全标准会议周,他针对信息安全产品类别与代码安全标准,为我们进行了深度的讲解。

信息安全产品类别与代码标准编写的原则是什么?

信息安全产品类别与代码标准的编写原则主要体现在三个方面:一致性、完整性和前瞻性原则。
 
一致性:一致性是标准的重要原则之一。简单来说,标准的目的是为特定的产品领域确定统一规范。实际上,很多标准并不是与生俱来具有排他性的,标准和标准之间往往具有紧密的关联和交织,比如,存在替代关系、引用关系,组合关系等。为了保证产品的监管部门、生产厂商、用户和测评机构对标准的认知连贯,宜尽量保持新标准与其他标准的一致性。举例来说,小到细节,一个技术术语在标准A里出现,在标准B中也可能出现。这就涉及到术语名称、定义的一致性。标准制定者尤其需要重视这个问题,对关联标准广泛涉猎,熟悉行业内的术语定义和出处,避免为相同对象重复创造新的名词和定义而造成混淆,帮助标准的使用者建立一致的对象概念。同时,标准具有很强的严谨性,在描述用词上格外需要注意,比如,“评价”和“评估”、“监测”和“监控”、“应用”和“使用”的含义在标准领域就有很大的区别,在不同场合需要区别对待。
 
完整性:作为一个分类标准,应当尽可能涵盖目前市场上已有的产品类型,标准修订工作组应当充分调研,广泛征求意见,尽可能保证分类的完整性。此外,同一类别的产品可能会应用在不同环境,比如,云、工控、移动互联网等,产品形态也会出现较大差异。标准也需要找到它们之间的共性,抽取产品主要功能定义作为标准化的描述。在描述定义时,需要注意完整全面,能够覆盖业界各式各样的产品形态,以便保障标准的普遍适用。
 
前瞻性:由于信息技术飞速发展,一些产品形态的生存周期越来越短,未来也会有更多的安全产品进入市场,而标准往往需要经过较长时间精雕细琢,才能成为业界普遍接受的规范,这也使得标准的时效性受到较大挑战。为此,在标准编写阶段需要尽量把握产品领域的中短期变化趋势,为技术发展留下可扩展的空间。

此次标准修订项目中,哪些热门话题被重点讨论?

之前的标准GB/T25066-2010已经实施了6年的时间,由于技术、市场和环境的发展变化,部分产品的内涵已经出现较大改变;一些新领域(如工控、云计算等)的产品类型不断涌现;此外,《网络安全法》的出台,也提出了标准与法规和监管部门的监管需求进行配合的需求。

为此,新形态和新领域的产品分类原则成为本次标准修订项的核心议题。项目编制组对国内外大量标准和厂商产品分类进行了调研,同时,对公安部计算机信息系统安全产品质量监督检验中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析,对信息安全产品的发展动向进行了研究。在此基础上,依据修订提纲,在不断的讨论和研究后,编制组对原标准的内容进行了第一次修订,形成了第一版草案。

经过讨论,编制组一致同意修订后的分类原则与原国标保持一致,按照防护目的和防护对象的不同进行分类,并参考目前正在同步修订的网络安全等级保护相关标准的技术要求,统一术语命名。

目前,工控系统、云计算、移动互联等新领域的产品类型不断涌现。为了适应产品应用领域的不断变化,编制组采用了灵活的三/四级分类形式。相对原标准新增的四级分类用于区分三级分类产品的适用领域属性。新标准提供了四级分类原则说明和示例,对各类三级分类不做具体的四级划分限制,有利于产品分类的扩展,使标准具备了一定的前瞻性。

对此类标准的完善有什么建议?

分类的灵活性意味着在标准中保留了一定的发挥空间,标准的使用者必须理解、掌握分类原则,才能在不违背规则的前提下,自行获得四级分类的命名。如果描述不够严谨,分类过于灵活,会给标准的使用带来一些混淆和冲突。为此,新标准应当在容易出现歧义的分类表述位置增加说明和示例。此外,一些在不同应用领域出现,但属于通用产品的,可归纳为一个类别,避免分类粒度过细和分类数量的过于膨胀。三级分类+领域属性这种分类方式可以很好解决这一问题。
 
据悉,目前《信息安全技术 信息安全产品类别与代码》标准修订草案在标准周经WG5工作组评审,表决通过该修订草案进入征求意见稿阶段。