摘要：本文介绍了信息安全所涵盖的主要内容，列举分析了国内信息安全标准化体系的构成，同时结合航空企业信息安全标准体系建设现状，探讨了航空企业信息安全标准化工作存在的问题，并提出了后续的工作建议。

关键词：信息安全；标准化；体系建设

中图分类号：TP309 文献标识码：A 文章编号：1007-9599 （2012） 21-0000-02

1 引言

在信息社会中，信息不仅是社会财富的主要形态，而且也是维持社会活动和经济活动以及生产活动的重要资源，随着信息技术的不断发展，各行各业都在逐步深化信息技术的应用，以提高工作效率。为保障各类信息系统的正常运行，信息安全就成了一个非常重要且不容忽视的问题。为满足信息系统的安全需求，出现了多种多样的安全技术、产品、系统，包括各种安全管理手段在内构成了信息安全保障体系。信息安全保障体系的建设和应用，是一个庞大的系统工程，需要有一整套完整、科学、覆盖面广的信息安全标准与之相适应。

2 信息安全管理

信息系统是企业的重要的资产，为保证企业具有长期的竞争力，保持业务的正常运行，信息的保密性、完整性和可用性是至关重要的。目前，信息系统所面临的安全威胁与日俱增，来源也日益广泛，如计算机病毒、黑客行为、恶意攻击等，企业对于信息系统的依赖意味着其自身更容易受到安全威胁的攻击。因此，单纯通过技术手段获得的安全保障十分有限，必须有相应的管理手段和操作规范才能得到真正的安全保障。

信息安全管理是一个系统工程，它要求对信息系统的各个环节进行统一的综合考虑、规划和架构，并要时时兼顾组织内不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁，使得信息安全这只“木桶”出现若干“短板”从而无法提高安全水平，正确的做法是遵循国内外相关信息安全标准与最佳实践过程，充分考虑实际需求，在风险分析的基础上引入恰当控制，建立合理安全管理体系，从而保证企业信息资产的保密性、完整性和可用性。

3 信息安全标准体系

为了规范信息安全各个方面的建设，使信息安全的各个方面都有据可依，信息安全标准的制定就成了一项十分重要的工作，我国已经形成了具有一定规模的信息安全标准体系。

3.1 国家信息安全标准体系

（1）基础标准

·GB/T 17964-2008《信息安全技术分组密码算法的工作模式》

（2）技术与机制标准

·GB/T 15852.1-2008《信息技术安全技术 消息鉴别码》；·GB/T 15843.1/2/3/4-2008《信息技术安全技术 实体鉴别》；·GB/T 17710-2008《信息技术安全技术校验字符系统》；·GB/T 17903.1/2/3-2008《信息技术安全技术 抗抵赖》

（3）管理标准

·GB/T 22080-2008《信息技术安全技术 信息安全管理体系要求》；·GB/T 22081-2008《信息技术安全技术 信息安全管理实用规则》

（4）测评标准

·GB/T 20274.1/2/3/4-2008《信息安全技术信息系统安全保障评估框架》；·GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》；·GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》；·GB/T 18336.1/2/3-2008《信息技术安全技术信息技术安全性评估准则》

3.2 国家保密标准体系

BMB1-1994《电话机电磁泄漏发射限值和测试方法》；BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》；BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》；BMB4-2000《电磁干扰器技术要求和测试方法》；BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》；BMB6-2001《密码设备电磁泄漏发射限值》；BMB7-2001《密码设备电磁泄漏发射测试方法（总则）》；BMB7.1-2001《电话密码机电磁泄漏发射测试方法》；BMB8-2004《国家保密局电磁泄漏发射防护产品检测实验室认可要求》；BMB9.1-2007《保密会议移动通信干扰器技术要求和测试方法》；BMB9.2-2007《保密会议移动通信干扰器安装使用指南》；BMB20-2004《涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法》；BMB11-2004《涉及国家秘密的计算机信息系统防火墙安全技术要求》；BMB12-2004《涉及国家秘密的计算机信息系统漏洞扫描产品技术要求》；BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》；BMB14-2004《涉及国家秘密的信息系统安全保密测评实验室要求》；BMB15-2010《涉及国家秘密的信息系统安全审计产品技术要求》；BMB16-2004《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》；BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》；BMB18-2006《涉及国家秘密的信息系统工程监理规范》；BMB19-2006《电磁泄漏发射屏蔽机柜技术要求和测试方法》；BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》；BMB21-2007《涉及国家秘密的载体销毁与信息消除安全保密要求》；BMB22-2007《涉及国家秘密的信息系统分级保护测评指南》；BMB23-2008《涉及国家密密的信息系统分级保护方案设计指南》；GGBB1-1999《信息设备电磁泄漏发射限值》；GGBB2-1999《信息设备电磁泄漏发射测试方法》

4 军工企业信息安全标准体系建设的分析和建议

目前，我国的信息安全标准化工作已经取得了较大的进展，为信息安全建设的进行起到了规范、指导的作用，但从企业信息安全标准体系建设角度出发，笔者认为现阶段航空企业信息安全标准化工作主要存在以下几个方面的问题：

4.1 缺乏清晰的体系概念，忽视了行业、企业的特殊性。我国已制定完成了几十项信息安全类标准，但在这些标准当中并没有形成清晰的安全标准体系，分类不够明确，尤其在标准的使用中一般是根据使用者自身的情况，用到时再去找相关的具体标准，这样容易造成对标准使用环境的忽视，甚至造成标准使用的错误，另外，也容易针对一项工作仅找到一个标准，而忽视各个标准体系之间的互补性。对此，针对行业、企业的特殊性，从行业企业自身特点出发，制定符合行业、企业特色的标准，使之成为在国家标准指导下，具体实施的有利依据。4.2 在信息安全建设中未能完全应用，缺乏监管手段。在我国已发布信息安全标准中，有大量的标准是起规范作用的技术指标。但在实际的应用过程中，往往因为从业人员对于标准的不熟悉甚至根本没有意识，造成建成的系统、产品存在不符合标准的地方，甚至最终的验收条件也没有完全符合标准的要求。为此，应加强信息安全标准的宣传、普及工作，继而出台相关政策、法规推动实际应用。4.3 规范标准制定工作，提高标准编制水平。随着对标准重视程度的提高，已经有越来越多的人参与到信息安全标准化工作中来，标准化工作是一项技术性工作，需要一支专业过硬、技术精良的技术队伍。同时，标准制定的流程也应规范，积极创造条件开展工作，利用社会的各种资源，广开渠道支持标准化事业，如吸引企业参加标准的制定，甚至可以考虑实行招投标制度，积极利用标准化研究机构、标准化协会的资源和力量，做到优势互补，制定高水平的信息安全标准。

5 结束语

信息安全标准体系是解决信息安全问题的理论依据和技术支撑，不仅关系到国家信息安全建设，同时也是促进企业发展的一种重要手段。信息安全标准体系的建设不仅需要主管部门的推动，更需要在国家相关部门的统一部署组织下，群策群力，共同参与，制定出符合国情、适合行业发展的信息安全标准。

作者简介：苏宾（1981.10-），女，满族，工程师，现任中航工业黎明数据中心技术专家，2004年毕业于沈阳大学计算机科学与技术专业，主要从事信息系统网络与安全防护方面研究；成立权（1974.10-），男，汉族，高级工程师，高级企业信息管理师，现任中航工业黎明数据中心技术专家，1999年毕业于西北工业大学航空动力与热力工程系飞行器动力工程专业。主要从事航空发动机装配（修理）的网络信息化和网络信息安全方面研究。