质量技术手段提升信息安全水平系列报道之二：标准夯实安全防火墙

标准夯实安全防火墙

——质量技术手段提升信息安全水平系列报道之二

    □ 本报记者 朱祝何

    从携程用户银行卡信息漏洞暴露，到中国人寿80万保单信息外泄，再到二维码等互联网支付安全漏洞的质疑。近一段时间，信息泄密事件频频上演，刺激着组织以及个人的安全神经。

    安全门多发，一个不可忽视的原因是标准重视不够。作为重要的质量技术手段，标准化工作在信息安全保障中起着基础性、规范性作用。记者近日采访获悉，目前我国正在将新版信息安全管理体系国际标准转换成国家标准，而反垃圾邮件等产品与服务标准逐步完善出台，加之个人信息保护国标正式实施，多层面的标准化工作，正在夯实信息安全防火墙。

    管理体系紧跟国际标准

    3月22日晚间，乌云漏洞平台发布消息称，在线旅游服务企业携程网存在安全漏洞，可能导致包括用户姓名、身份证号码、银行卡卡号以及银行卡6位Bin（用于支付的6位数字）等核心信息泄露。有网友因此调侃这一安全漏洞：“携程在手，说走就走……但走得最快的是密码。”

    “电商这次出现的问题不在技术上，还是在管理上。”中国信息安全认证中心体系认证处处长魏军分析称，携程网没有遵循银联相关要求，私自把一些客户的密码保存下来，放到自身数据库中，而不采取加密存储方式，导致信息安全漏洞，主要原因在于未做好信息安全管理。

    据了解，我国信息安全管理体系标准建设，基本与国际保持步伐一致。

    ISO/IEC27001:2005《信息技术 安全技术 信息安全管理体系 要求》是国际标准化组织和国际电工协会在2005年提出的一个标准，2008年我国国家信息技术标准协会引入该标准并转换为国标GB/T22080-2008，共有133条控制措施。该标准在国内各个行业获得认可和采纳，尤其是金融行业。

    “首先强调安全管理体系，不认为说靠一个产品、技术，就能解决一个组织风险的问题。”魏军认为，管理体系标准像是一种方法论，更侧重于一个组织如何保护自身信息资产，降低风险，提高全员安全意识，并非直接针对个人隐私保护。

    据魏军透露，ISO27001在2013年10月发布了一个新版本，目前国内也启动了新版对应标准的转换工作，力争信息安全管理体系紧跟国际标准最新要求。“开了第一次标准起草组会议，力争今年年底报批，抢时间。”

    产品服务标准逐步完善

    信息安全标准中，除框架性的管理体系外，相应的产品及服务标准同样不可或缺，尤其是针对常见安全漏洞的产品标准，正逐步完善发布。

    “产品主要服务于信息系统。”一位不愿透露姓名的信息安全产品标准专家告诉记者，较有代表性的反垃圾邮件产品标准刚刚发布，达标的产品应具备反垃圾邮件功能，以及合乎自身安全防护要求。

    查询国家标准委网站获悉，《信息安全技术 反垃圾邮件产品技术要求和测试评价方法》已经报批。据其规定，反垃圾邮件产品，应能依据邮件发送方邮件地址来判断邮件是否为垃圾邮件，可采用黑名单、实时黑名单、虚假路由识别等技术方式实现。

    平时上网时，易受到病毒或黑客攻击，而防火墙产品标准就是为保护此方面信息安全而制定。“防火墙相当于网络边界上的一款设备或产品，要保证企业或组织的访问控制策略的制定，有不同的安全域，对非法入侵做一些拦截。”上述专家表示，GB/T20281-2006《信息安全技术 防火墙技术要求和测试评价方法》，将防火墙通用技术要求分为功能、性能、安全和保证4个大类，其中，安全要求是对防火墙自身安全和防护能力提出具体的要求，例如抵御各种网络攻击。

    据了解，《数据备份》、《网站恢复》等实用性较强的产品也已发布。为应对专门“捣乱”的信息安全非法产品，相关产品与服务的标准正在制修订，不断完善产品安全保障体系。

    个人信息保护有标可依

    骚扰电话、短信、邮件不断，令人烦不胜烦，折射出个人信息泄露严重，合理利用和有效保护个人信息，已成为企业、个人和社会各界广泛关注的热点问题。

    据全国信息安全标准化技术委员会秘书处罗锋盈介绍，2013年2月，我国首个个人信息保护国标《信息安全技术 公共及商用服务信息系统个人信息保护指南》正式实施，最显著的特点是规定个人敏感信息在收集和利用之前，必须首先获得个人信息主体明确授权。

    中国软件评测中心副主任朱璇公开表示，标准出台意味着我国个人信息保护工作正式进入有标可依阶段。中国软件评测中心还将牵头组建个人信息保护推进联盟，建立企业自律模式，弥补我国个人信息保护相关组织机构的缺失。

    除个人信息保护国标外，全国信息安全标准化技术委员会也在组织制定维护用户信息安全类国家标准。比如处于草案阶段的《信息安全技术 信息技术产品供应行为安全准则》。

    “下一步工作，将以配合国家信息安全保障重点工作为核心，围绕信息技术产品审查（服务器等产品）和服务安全审查（云服务安全等）、国家关键基础设施防护等工作，及时开展相应安全标准的研究与制定工作，通过标准来提升对信息技术产品的安全可控能力。”罗锋盈表示，将重点对已有信息安全产品标准及信息技术安全产品标准进行修订，配合审查工作需要，将原来主要关注产品功能与性能安全的标准内容进行扩充，增加有关维护用户信息安全方面的重要内容。  《中国质量报》