C114讯 9月11日消息(赵婷婷)近日,以“澎湃创新力,战新共未来”为主题的中国移动第四届科技周拉开帷幕。在同期进行的“安全分论坛”上,全国信息安全标准化技术委员会副秘书长表示,深入学习贯彻党的二十大精神,必须坚持人民至上、坚持自信自立、坚持守正创新、坚持问题导向、坚持系统观念、坚持胸怀天下,要将六个坚持深入贯穿到网络安全标准化工作的全过程。
上官晓丽结合近两年国家正式立项的,以及正在准备立项的一些主题,介绍下一步网络安全国家标准的重点工作方向。
在数据安全方面,按照《数据安全法》,包括信息安全技术 数据安全风险评估方法、评估机构能力要求、重要数据处理和政务数据处理安全要求。此外,还有今年正准备立项的配合国家数据分类分级制度建设,对不同类别、不同级别的数据如何进行提出相应的保护要求,就数据分类分级保护要求;以及我们现在层出不穷的数据安全事件,就数据接口安全风险监测方法,为数据安全事件的发现提供更好的支撑。
在个人信息保护方面,按照《个人信息保护法》的相关规定,开展了大型互联网企业内设个人信息保护监督机构,个人信息跨境传输认证要求,敏感个人信息的处理,以及基于个人信息进行自动化决策的主题的标准。今年我们准备立项的还有,个人信息保护合规审计的指南,指导开展个人信息保护合规审计工作;以及基于个人请求的个人信息的转移要求,拟解决个人信息在转移、携带过程中遭到篡改、破坏、泄露等问题。
在生成式人工智能的方面,也制定了相关的管理办法。《生成式人工智能服务管理暂行办法》里对生成式人工智能服务提出了相应的原则和要求。在标准化的层面,设立了三个主题。希望能够在标准的层面有一个更细化的更够更具指导性,更具操作性的标准的主题。包括信息安全技术 生成式人工智能总体要求、预训练和优化训练数据安全防范、以及人工标注安全规范。
在网络安全专用产品方面,根据《关于<调整网络关键设备和网络安全专用产品目录>的公告》,今年7月24日,正式发布2023年第二批网络安全国家标准需求的通知,重点针对目前没有国家标准的专用产品提出需求,配套国家强制性的国家标准,GB42250-2022《信息安全技术 网络安全专用产品安全技术要求》强标,支撑网络安全专用产品检测与认证工作。
在网络安全产品互联互通方面,也是现在产业关心的一个焦点问题。从2022年初到现在,设立了三项的标准。首先是网络安全产品互联互通框架,拟解决网络安全产品在互联互通方面由于接口和数据格式差异导致的难以有效协同问题。今年还准备立项两个,包括告警信息格式、资产信息格式,具体对这两类信息的格式字段和内容进行约定,能够更好的指导我们不同的网络安全产品在互联互通方面的具体的需求。
在通信安全方面,IPv6地址分配和编码规则的接口标识符,拟解决IPv6大规模应用部署过程中面临的地址编码不恰当设置、海量地址安全检测难度高等安全风险。还有今年准备针对各个行业,很多技术领域也都在建立网络安全实验平台,这个实验平台也是希望能够提供一个技术架构,从参考体系架构、分系统基本功能、安全性保障方面进行技术方面的指导。主要是解决国内网络安全实验平台建设技术标准不统一、不规范的问题。 
