核心提示为探索新一代信息技术的安全应用，防范新一代信息技术可能的安全威胁，美国政府针对性地实施了多项研发战略和计划，抓紧研究新一代信息技术安全，包括关键基础设施安全、云计算安全、大数据安全、物联网安全、工业控制安全等，发布相关白皮书、技术指南、制定相关标准，支撑美国建立面向新一代信息技术的立体化信息安全保障体系。

　　美国新一代信息技术安全标准研究发展状况

　　美国关键基础设施安全标准建设与规划情况

　　随着网络和信息技术向关键基础设施的渗透，传统的物理基础设施与信息系统的融合程度不断加深，关系国家安全、社会稳定和经济发展的能源、通信、交通、金融等关键领域的信息系统面临外部不安全环境所引发的巨大威胁，其一旦遭受攻击，不仅将造成其自身瘫痪，还将扰乱国家秩序，影响国家经济社会发展。美国最先提出关键基础设施保护，1996年7月15日，美国总统克林顿发布第13010号行政令《关键基础设施保护》，宣布成立关键基础设施保护总统委员会（PCCIP）。到小布什政府时期又组建DHS，实施多项具体的技术研发计划和项目，开发信息系统以保护关键基础设施。到奥巴马政府时期，更加注重基础设施的网络安全。

　　依据13636号总统令的明确要求，2014年2月12日，美国白宫发布了由国家标准技术研究院（NIST）起草的美国国家信息安全指导规范《提升美国关键基础设施网络安全的框架规范》（Framework for Improving Critical Infrastructure Cyber security，FICIC）。FICIC文件包含三部分：框架介绍、框架架构和框架实施说明，其中，框架架构是文件的核心部分。根据FICIC规范，美国的关键基础设施信息安全防护体系框架分为识别、保护、侦测、响应和恢复五个层面，是一种基于生命周期和流程的风险防控体系。2017年1月，NIST发布了FICIC V1.1的草稿，预计2017年10月份会出正式版本，新版本将进一步增加对关键基础设施网络安全保障的测量，增加对网络供应链风险管理（SCRM）的考虑。

　　美国云计算安全标准建设与规划情况

　　云计算是网格计算、并行计算、虚拟化等技术进一步发展来的产物，是新一代信息技术变革的核心，它代表IT领域向集约化、规模化、专业化方向发展。美国政府早在IT政策和战略中也加入了云计算因素，美国国防信息系统部门（DISA）也在其数据中心内部搭建云环境，2009年9月15日，美国总统奥巴马宣布将执行一项影响深远的长期性云计算政策，希望借助应用虚拟化来压缩美国政府支出。美国国家标准和技术研究所（NIST）被联邦首席信息官（CIO）指定为通过领导制定有关标准和指导方针以加快联邦政府在工业和政府中的云计算安全应用。
　　NIST于2010年11月成立5个云计算工作组，NIST云计算工作组2011年发布NIST云计算标准路线图（SP500-291）、NIST云计算参考架构（SP 500-292）、NIST云计算的定义（SP 800-145）。NIST云计算标准路线图提供了一个对云计算达成共识的定义和路线图，并总结相关工作，说明基于这些工作的评估结果，此外还描述了政府部门关于云计算部署决策的注意事项。NIST云计算参考架构描绘了一个通用的高层概念模型，包括云计算的结构和操作，此参考框架是讨论云计算特性、用途和标准的基础。2013年7月，NIST新发布NIST云计算标准路线图（SP500-291）v2。NIST定义的云计算是一种无处不在的、方便的模式，按需网络访问可配置的计算资源共享池（例如，网络、服务器、存储、应用和服务），可以快速配置和发布以最少的管理工作或服务供应商的互动，该云模型由五个基本特性、三个服务模型和四个部署模型组成。在NIST云计算标准路线图中也指出在云计算标准中与之相关的一致性测试、合格评定也通过标准相关的其他过程呈现，例如合格评定程序是提供保证产品、服务、系统、人员的一种手段，合格评定包括供应商的合格声明，取样和测试，检验，认证，管理体系的评估和注册。

　　美国大数据安全标准建设与规划情况

　　随着大数据时代的到来，大数据正成为与物质资产和人力资本同样重要的基础生产要素、国家基础性战略资源，正逐步对国家治理能力、经济运行机制、社会生活方式产生深刻影响。

　　美国国家标准与技术研究院（NIST）于2012年6月启动了大数据相关基本概念、技术和标准需求的研究，2013年5月成立了NIST大数据公开工作组（NBG-PWG），2015年9月编写形成并发布了NIST SP 1500《NIST大数据互操作框架》系列标准（第一版），包括7 个分册，即NIST SP1500-1《第1册定义》、NISTSP 1500-2《第2 册 大数据分类法》、NIST SP1500-3《第3册用例和一般要求》、NIST SP1500-4《第4册安全和隐私保护》、NIST SP1500-5《第5册架构调研白皮书》、NIST SP 1500-6《第6册参考架构》和NIST SP 1500-7《第7册标准路线图》。目前正在进行第二版的编制工作，并增加了2个分册，即NIST SP 1500-8《第8册大数据参考架构接口》和NIST SP 1500-9《第9册大数据采用与现代化》。

　　其中，NIST SP 1500-4《NIST大数据互操作框架：第4册安全与隐私保护》由NISTNBDPWG的安全与隐私保护小组编写。该标准聚焦于提出、分析和解决大数据特有的安全与隐私保护问题。在理解和执行安全与隐私保护要求上，大数据触发了需求模式的根本转变，从而满足大数据的体量大、种类多、速度快和易变化的特点。基础架构的安全解决方案目标也发生了变化，例如，分布式计算系统和非关系型数据存储的安全。大数据场景下新的安全问题需要解决，其中包括平衡隐私与实用性，对加密数据开展分析和治理，以及核查认证用户和匿名用户。该标准分析了特定应用场景（包括医疗、政府、零售、航空等）下的大数据安全与隐私保护问题，提出了大数据安全与隐私保护的主要概念和角色，开发了一个大数据安全与隐私保护参考架构来补充NIST大数据参考架构（NBDRA），并对行业应用案例和NBDRA之间的映射进行了相关探索。
　　美国物联网安全标准建设与规划情况

　　物联网是继互联网之后信息通信技术的又一次重大创新，物联网为全球经济社会发展带来的变化和影响将远远超越互联网。物联网将成千上万的物体通过网络基础设施进行连接，这些物体通过感知周围环境的变化，积极参与信息获取、处理和交换过程，物联网孕育着巨大的商机。

　　为提升物联网产业安全性，美国政府采取了多种举措加强物联网信息安全。2015年，美国联邦贸易委员会发布物联网产品安全高级指南，美国政府宣布投入1.6亿美元推动“智慧城市”计划，将物联网应用试验平台建设作为首要任务。2016年2月，包括微软、英特尔、三星、思科、通用电气在内的多家科技巨头联合发起成立物联网标准组织“Open Connectivity Foundation”，通过创建以标准制定为抓手扎实推进物联网产业发展。2016年5月，美国国家标准与技术研究院NIST发布了《网络物理系统框架》，对物联网参考架构、网络安全隐私、实时与同步等提供全面的定义和术语，为智能制造、智能电网等领域的物联网应用提供技术参考。同时，美国交通部也发起智能交通系统标准项目，提供车联网相关技术参考建议。2016年9月，美国白宫再次追加预算8000万美元，集中于城市服务等领域的物联网技术应用。2016年11月美国国土安全部发布《确保物联网安全的战略原则》白皮书，向物联网设备和系统开发商、管理者及个人提出了一组网络安全实践准则建议。

　　美国工业控制安全标准建设与规划情况

　　随着工业控制系统广泛应用于工业、能源、航空、交通、水利、国防及市政等领域，工业控制系统已成为世界各国关键基础设施的重要组成部分，其安全性已涉及国家安全稳定的重要战略问题。由于工业控制系统产品多采用通用硬件、通用协议和通用软件，以各种方式与互联网等公共网络连接，而且大多又没有严格的安全防范措施，很容易被攻击者利用实施破坏。美国国家标准与技术研究（NIST）发布了系列工控安全方面的指南和规范性文件，包括《工业控制系统信息安全指南》（NIST SP 800-82）、《联邦信息系统和组织的安全控制推荐》（NIST SP 800-53）、《系统保护轮廓——工业控制系统》（NISTIR 7176）、《中等健壮环境下的SCADA系统现场设备保护概况》等。2007年，美国ISA成立安全复合型研究院ISCI专门从事安全标准的符合性认证工作，目前ISCI已经推出嵌入式设备安全保证（EDSA）认证、系统安全保证认证（SSA）、安全开发生命周期保证认证（SDLA），分别针对控制系统产品、系统及产品和系统的开发生命周期。

　　对我国新一代信息技术安全标准化工作的启示

　　加强我国网络空间安全核心技术研究，提升网络空间安全防护能力

　　为应对新一代信息技术发展带来的安全威胁，我国需要对现有信息安全技术进行完善与升级，研究新一代的网络空间安全技术，以解决网络空间安全面临的各种风险和威胁。我国应明确新时期、新任务中网络安全的核心需求，加强新一代信息安全技术研究，突破第五代移动通信、下一代互联网（IPv6）、三网融合等相关的核心信息安全技术，加快关键基础设施安全、云计算安全、大数据安全、物联网安全、工业控制安全相关信息安全技术研究，研发自主可控、自主先进的操作系统、核心芯片、高端软硬件等，支撑我国建立面向新一代信息技术的立体化信息安全保障体系。

　　加快面向新一代信息技术的网络空间安全关键标准制定，形成我国网络空间安全保障体系有力的技术支撑
　　网络空间安全标准是网络空间安全保障体系的重要组成部分，在保障网络空间安全、促进网络安全产业转型升级和发展互联网经济等方面起着越来越重要的作用。然而，我国面向新一代信息技术的网络空间安全关键标准还相对缺乏，在推广网络安全技术和产品应用过程中很容易出现无序和存在安全风险。因此，应协调整合社会各方力量，引导各方加快完善面向新一代信息技术的网络空间安全标准，尤其是关键基础设施安全、云计算安全、大数据安全、物联网安全、工业控制安全技术、产品和管理类标准，完善面向新一代信息技术的网络空间安全审查、安全风险评估、安全能力评估类标准，完善行业应用网络空间安全建设实施指南和基本要求。

　　保证长期和充足的资金投入，支持新一代信息技术安全标准和技术的研究

　　美国在网络空间安全方面保证有足够的科研经费投入，美国DARPA自2009年以来在网络空间安全领域的研究经费一直在增加，2013财年，DARPA在网络空间安全领域的研究经费预算为24600万美元。2014年，NIST用于NITRD的预算经费为1.44亿美元，NIST由ITL负责的网络空间安全科研项目很多，包括取证科学计划通过使用计算机科学、数学和统计学知识研究取证科学的测量和标准。新一代信息技术安全标准和技术的研究离不开长期和充足的资金投入，应指定有效的激励机制，在投入的重点方向上有所侧重，例如加大对云计算安全、大数据安全、物联网安全等新一代信息技术安全的评估和认证的方法研究等。

　　注重人才培养，推动新一代信息技术安全标准化工作的创新发展

　　1999年，美国制定《国家信息安全战略》后明确提出美国需进行信息空间安全的意识培训工作，启动了国家信息保障教育培训计划（NIETP）。2010年，美国组织制定了专门针对网络空间安全教育的《国家网络空间安全教育计划（NICE）》，负责对美国的网络空间安全教育工作进行全局指导。我国要推动新一代信息技术安全标准化工作的创新发展，需出台配套的我国网络空间安全教育培训政策，全局指导我国网络空间安全相关的教育培训和人才培养工作，扩充专业的教师队伍，培养具有高素质、高技术水平的复合型信息安全专业人才，满足不同层次、不同领域的信息安全人才需求。支持更多高校、研究机构开设信息安全课程，培养专业人才。支持和规范社会化教育资源，开展信息安全知识普及和教育培训。

　　加强国际交流与合作，提升我国网络安全空间国际标准制定方面的国际影响力

　　互联网已经成为国家政治、经济和安全的战略支点，各国均在积极参与网络空间安全的国际治理，维护国家的利益。国际标准化组织纷纷启动了网络空间安全相关的研究和标准制定工作，包括ISO、ISO/IEC JTC1、ITU-T等国际标准化组织，以及美国ANSI、FIPS、IEEE，欧洲ECMA、ETSI，亚太地区ASTAP等，在5G通信安全、大数据安全、物联网安全、云安全等方面目前都是处于起步阶段。我国在新一代信息安全技术和应用上基本与国际同步，在网络空间安全相关标准的制定上也并不落后，因此应抓住网络空间发展的重大机遇，积极参与网络空间安全国际标准的制定工作，借鉴国际标准化组织在制定网络空间安全相关标准中的一些经验知识，建立健全我国的网络空间安全标准体系；同时，可将国内成熟的网络空间安全标准转化为国际标准，贡献中国智慧，提出中国方案，提升我国在网络安全空间国际标准制定方面的国际话语权和影响力。

　　作者：韩晓露，大唐联诚信息系统技术有限公司综合计划部副部长，高工，北京交通大学博士研究生，主要研究方向为信息安全、智慧城市安全、大数据安全。