11月22日,由中国通信标准化协会主办、深圳市腾讯计算机系统有限公司承办的网络与信息安全技术工作委员会(CCSA TC8)第二十六次全会在广州市顺利落幕。本次会议围绕“网络与信息安全标准化”的议题进行了广泛深刻的探讨。
会议期间,有线网络安全、无线网络安全、安全管理和安全基础四个工作组分别展开研讨会议,研究和讨论互联网行业的标准新立项和已有标准修订、推进工作。其中腾讯公司结合大量实践经验和科研成果,分别就云服务和区块链两大领域,提出的《云客户信息安全管理体系评估指南》和《区块链智能合约安全技术要求》两项标准在会上成功立项,助力互联网信息安全标准化体系的建立健全,为产业互联网的安全发展提供新的保障。
聚焦云服务领域,推动客户信息安全管理体系标准化
随着新一代信息技术的发展和应用,信息安全管理体系的实施方法和评审实际上发生了很大的变化。云计算技术和云服务平台的出现,有效地帮助上云企业高效地部署应用,同时也改变了相当数量的信息安全措施的实施方法,对认证评估带来了新的挑战。而采用传统方式实施和认证其基于ISO27001建立的信息安全管理体系,在新的技术环境下,存在效率低、成本高的短板。
基于为大量客户提供云服务的实践和腾讯自身积累的海量业务安全运营经验,腾讯云联合第三方认证机构,于2019年7月发布了《云上信息安全管理体系标准白皮书》,为云上客户提供了丰富的信息安全管理体系和安全措施的实施指导。而本次会议上,《云客户信息安全管理体系评估指南》标准的成功立项,极大的提高了云上企业信息安全管理体系建设质量和认证效率,促进更多的实体经济实现数字化升级,同时为云上企业开展ISO27001信息安全管理体系认证审核带来了科学性、创新性、有效性的实践指导。
智能合约安全技术要求成功立项,助力保障区块链技术应用安全
随着区块链技术的高速发展和落地应用,安全风险也随之而来。区块链技术场景中,除传统安全问题以外,区块链中产生的大部分安全问题都跟智能合约代码相关。智能合约开发和使用过程中可能存在溢出、提权、逻辑缺陷、后门、短地址攻击、时间依赖等众多安全风险和隐患。智能合约的安全性,将直接影响与之相关的区块链业务的安全性,可能造成巨大的经济损失。
为减少智能合约的安全问题,帮助缓解区块链技术和应用面临的安全风险。此次成功立项的《区块链智能合约安全技术要求》,针对智能合约存在的安全风险,全面梳理其可能存在的安全问题,明确智能合约开发设计中的安全原则,在安全设计、安全编码和安全测试的三个阶段提出要求,增强行业的智能合约的安全保障能力。
通过标准化输出技术研究成果,助力行业共同进步
在5G、区块链、云计算等新兴技术快速落地应用的背景下,许多曾经设立的标准已经不再适用如今的互联网发展形势,网络安全问题也成为行业关注的热点。腾讯作为中国最大的互联网科技企业之一,一直以来都非常重视基础科学和前沿技术的研究,通过将研究成果输出成标准的方式,来加速科研成果的快速落地,建立科技与产业之间的链接。
在网络安全领域,由腾讯主导的《区块链电子票据应用架构和安全技术要求》、《零信任安全技术参考框架》、《通讯信息诈骗风险感知技术要求》3个之前在协会立项的标准在本次会议上也均有汇报和进展。此外,腾讯科恩实验室和腾讯标准团队参与的中兴牵头申报的《面向嵌入式系统的编译期主动防御技术要求 》标准也在本次全会立项成功。
腾讯一直以来都注重互联网标准化的研究,打造了腾讯标准化工作体系,并不断将研究成果与全行业进行分享。腾讯标准团队以“通过标准化助力互联网服务提质增效”为使命,努力构建“标准化+”新业态,通过标准化工作,改善技术协同、确保网络安全并提高运营效率,助力互联网行业的共同进步。