摘要：本文介紹了信息安全所涵蓋的主要內(nèi)容，列舉分析了國內(nèi)信息安全標準化體系的構(gòu)成，同時結(jié)合航空企業(yè)信息安全標準體系建設(shè)現(xiàn)狀，探討了航空企業(yè)信息安全標準化工作存在的問題，并提出了后續(xù)的工作建議。

關(guān)鍵詞：信息安全；標準化；體系建設(shè)

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9599 （2012） 21-0000-02

1 引言

在信息社會中，信息不僅是社會財富的主要形態(tài)，而且也是維持社會活動和經(jīng)濟活動以及生產(chǎn)活動的重要資源，隨著信息技術(shù)的不斷發(fā)展，各行各業(yè)都在逐步深化信息技術(shù)的應(yīng)用，以提高工作效率。為保障各類信息系統(tǒng)的正常運行，信息安全就成了一個非常重要且不容忽視的問題。為滿足信息系統(tǒng)的安全需求，出現(xiàn)了多種多樣的安全技術(shù)、產(chǎn)品、系統(tǒng)，包括各種安全管理手段在內(nèi)構(gòu)成了信息安全保障體系。信息安全保障體系的建設(shè)和應(yīng)用，是一個龐大的系統(tǒng)工程，需要有一整套完整、科學(xué)、覆蓋面廣的信息安全標準與之相適應(yīng)。

2 信息安全管理

信息系統(tǒng)是企業(yè)的重要的資產(chǎn)，為保證企業(yè)具有長期的競爭力，保持業(yè)務(wù)的正常運行，信息的保密性、完整性和可用性是至關(guān)重要的。目前，信息系統(tǒng)所面臨的安全威脅與日俱增，來源也日益廣泛，如計算機病毒、黑客行為、惡意攻擊等，企業(yè)對于信息系統(tǒng)的依賴意味著其自身更容易受到安全威脅的攻擊。因此，單純通過技術(shù)手段獲得的安全保障十分有限，必須有相應(yīng)的管理手段和操作規(guī)范才能得到真正的安全保障。

信息安全管理是一個系統(tǒng)工程，它要求對信息系統(tǒng)的各個環(huán)節(jié)進行統(tǒng)一的綜合考慮、規(guī)劃和架構(gòu)，并要時時兼顧組織內(nèi)不斷發(fā)生的變化，任何環(huán)節(jié)上的安全缺陷都會對系統(tǒng)構(gòu)成威脅，使得信息安全這只“木桶”出現(xiàn)若干“短板”從而無法提高安全水平，正確的做法是遵循國內(nèi)外相關(guān)信息安全標準與最佳實踐過程，充分考慮實際需求，在風(fēng)險分析的基礎(chǔ)上引入恰當(dāng)控制，建立合理安全管理體系，從而保證企業(yè)信息資產(chǎn)的保密性、完整性和可用性。

3 信息安全標準體系

為了規(guī)范信息安全各個方面的建設(shè)，使信息安全的各個方面都有據(jù)可依，信息安全標準的制定就成了一項十分重要的工作，我國已經(jīng)形成了具有一定規(guī)模的信息安全標準體系。

3.1 國家信息安全標準體系

（1）基礎(chǔ)標準

·GB/T 17964-2008《信息安全技術(shù)分組密碼算法的工作模式》

（2）技術(shù)與機制標準

·GB/T 15852.1-2008《信息技術(shù)安全技術(shù) 消息鑒別碼》；·GB/T 15843.1/2/3/4-2008《信息技術(shù)安全技術(shù) 實體鑒別》；·GB/T 17710-2008《信息技術(shù)安全技術(shù)校驗字符系統(tǒng)》；·GB/T 17903.1/2/3-2008《信息技術(shù)安全技術(shù) 抗抵賴》

（3）管理標準

·GB/T 22080-2008《信息技術(shù)安全技術(shù) 信息安全管理體系要求》；·GB/T 22081-2008《信息技術(shù)安全技術(shù) 信息安全管理實用規(guī)則》

（4）測評標準

·GB/T 20274.1/2/3/4-2008《信息安全技術(shù)信息系統(tǒng)安全保障評估框架》；·GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》；·GB/T 22240-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》；·GB/T 18336.1/2/3-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則》

3.2 國家保密標準體系

BMB1-1994《電話機電磁泄漏發(fā)射限值和測試方法》；BMB2-1998《使用現(xiàn)場的信息設(shè)備電磁泄漏發(fā)射檢查測試方法和安全判據(jù)》；BMB3-1999《處理涉密信息的電磁屏蔽室的技術(shù)要求和測試方法》；BMB4-2000《電磁干擾器技術(shù)要求和測試方法》；BMB5-2000《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防護要求》；BMB6-2001《密碼設(shè)備電磁泄漏發(fā)射限值》；BMB7-2001《密碼設(shè)備電磁泄漏發(fā)射測試方法（總則）》；BMB7.1-2001《電話密碼機電磁泄漏發(fā)射測試方法》；BMB8-2004《國家保密局電磁泄漏發(fā)射防護產(chǎn)品檢測實驗室認可要求》；BMB9.1-2007《保密會議移動通信干擾器技術(shù)要求和測試方法》；BMB9.2-2007《保密會議移動通信干擾器安裝使用指南》；BMB20-2004《涉及國家秘密的計算機網(wǎng)絡(luò)安全隔離設(shè)備的技術(shù)要求和測試方法》；BMB11-2004《涉及國家秘密的計算機信息系統(tǒng)防火墻安全技術(shù)要求》；BMB12-2004《涉及國家秘密的計算機信息系統(tǒng)漏洞掃描產(chǎn)品技術(shù)要求》；BMB13-2004《涉及國家秘密的計算機信息系統(tǒng)入侵檢測產(chǎn)品技術(shù)要求》；BMB14-2004《涉及國家秘密的信息系統(tǒng)安全保密測評實驗室要求》；BMB15-2010《涉及國家秘密的信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求》；BMB16-2004《涉及國家秘密的信息系統(tǒng)安全隔離與信息交換產(chǎn)品技術(shù)要求》；BMB17-2006《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》；BMB18-2006《涉及國家秘密的信息系統(tǒng)工程監(jiān)理規(guī)范》；BMB19-2006《電磁泄漏發(fā)射屏蔽機柜技術(shù)要求和測試方法》；BMB20-2007《涉及國家秘密的信息系統(tǒng)分級保護管理規(guī)范》；BMB21-2007《涉及國家秘密的載體銷毀與信息消除安全保密要求》；BMB22-2007《涉及國家秘密的信息系統(tǒng)分級保護測評指南》；BMB23-2008《涉及國家密密的信息系統(tǒng)分級保護方案設(shè)計指南》；GGBB1-1999《信息設(shè)備電磁泄漏發(fā)射限值》；GGBB2-1999《信息設(shè)備電磁泄漏發(fā)射測試方法》

4 軍工企業(yè)信息安全標準體系建設(shè)的分析和建議

目前，我國的信息安全標準化工作已經(jīng)取得了較大的進展，為信息安全建設(shè)的進行起到了規(guī)范、指導(dǎo)的作用，但從企業(yè)信息安全標準體系建設(shè)角度出發(fā)，筆者認為現(xiàn)階段航空企業(yè)信息安全標準化工作主要存在以下幾個方面的問題：

4.1 缺乏清晰的體系概念，忽視了行業(yè)、企業(yè)的特殊性。我國已制定完成了幾十項信息安全類標準，但在這些標準當(dāng)中并沒有形成清晰的安全標準體系，分類不夠明確，尤其在標準的使用中一般是根據(jù)使用者自身的情況，用到時再去找相關(guān)的具體標準，這樣容易造成對標準使用環(huán)境的忽視，甚至造成標準使用的錯誤，另外，也容易針對一項工作僅找到一個標準，而忽視各個標準體系之間的互補性。對此，針對行業(yè)、企業(yè)的特殊性，從行業(yè)企業(yè)自身特點出發(fā)，制定符合行業(yè)、企業(yè)特色的標準，使之成為在國家標準指導(dǎo)下，具體實施的有利依據(jù)。4.2 在信息安全建設(shè)中未能完全應(yīng)用，缺乏監(jiān)管手段。在我國已發(fā)布信息安全標準中，有大量的標準是起規(guī)范作用的技術(shù)指標。但在實際的應(yīng)用過程中，往往因為從業(yè)人員對于標準的不熟悉甚至根本沒有意識，造成建成的系統(tǒng)、產(chǎn)品存在不符合標準的地方，甚至最終的驗收條件也沒有完全符合標準的要求。為此，應(yīng)加強信息安全標準的宣傳、普及工作，繼而出臺相關(guān)政策、法規(guī)推動實際應(yīng)用。4.3 規(guī)范標準制定工作，提高標準編制水平。隨著對標準重視程度的提高，已經(jīng)有越來越多的人參與到信息安全標準化工作中來，標準化工作是一項技術(shù)性工作，需要一支專業(yè)過硬、技術(shù)精良的技術(shù)隊伍。同時，標準制定的流程也應(yīng)規(guī)范，積極創(chuàng)造條件開展工作，利用社會的各種資源，廣開渠道支持標準化事業(yè)，如吸引企業(yè)參加標準的制定，甚至可以考慮實行招投標制度，積極利用標準化研究機構(gòu)、標準化協(xié)會的資源和力量，做到優(yōu)勢互補，制定高水平的信息安全標準。

5 結(jié)束語

信息安全標準體系是解決信息安全問題的理論依據(jù)和技術(shù)支撐，不僅關(guān)系到國家信息安全建設(shè)，同時也是促進企業(yè)發(fā)展的一種重要手段。信息安全標準體系的建設(shè)不僅需要主管部門的推動，更需要在國家相關(guān)部門的統(tǒng)一部署組織下，群策群力，共同參與，制定出符合國情、適合行業(yè)發(fā)展的信息安全標準。

作者簡介：蘇賓（1981.10-），女，滿族，工程師，現(xiàn)任中航工業(yè)黎明數(shù)據(jù)中心技術(shù)專家，2004年畢業(yè)于沈陽大學(xué)計算機科學(xué)與技術(shù)專業(yè)，主要從事信息系統(tǒng)網(wǎng)絡(luò)與安全防護方面研究；成立權(quán)（1974.10-），男，漢族，高級工程師，高級企業(yè)信息管理師，現(xiàn)任中航工業(yè)黎明數(shù)據(jù)中心技術(shù)專家，1999年畢業(yè)于西北工業(yè)大學(xué)航空動力與熱力工程系飛行器動力工程專業(yè)。主要從事航空發(fā)動機裝配（修理）的網(wǎng)絡(luò)信息化和網(wǎng)絡(luò)信息安全方面研究。