NSC2015倪光南:网络安全相关的测评认证探讨

各位领导,各位嘉宾,我给大家介绍一下网络安全测评认证的看法。大家看这个大会的名称觉得非常重要,我建议把网络安全翻译为Cybersecurity,网络安全应该包含了实体空间和虚拟空间,因为我们讲的网络安全,不仅包含物理网络的安全,也包含虚拟网络的安全,所以用Cybersecurity可能更为确切。

过去信息化建设选购一些产品,或者立项,网络中技术指标先进性,还有经济指标、价格等等,我们建议还要强调网络安全,这个指标是可以考量的,可以通过第三方测试平台进行安全指标评估。可惜现在还没有,我希望有,特别是现在已经做的制度能不能参照一下,这可以探讨,是不是正确,是不是可行,大家研究,我们抛砖引玉。

一、加强并完善等级保护工作。

等级保护,2003年国家在这方面就要做一个制度,陆续出台了一些文件,目前处于推广阶段。所以,等级保护制度可以为我们评估相应的产品、服务、项目作为参考,因为等级保护本身就是为保护安全,不是所有的信息资产都是保护等级最高级的,有些信息重要,有些没那么重要,这个可以用等级保护来区分。我们希望从设计、选型开始就用等级保护来指导。参照国际上,比如美国2002年7月对政府和军队采购已经规定必须优先采用通过CCC认证的产品。我们可以借鉴,考虑对重要的信息系统采购进行等级保护认证,或者说分级测试认证,比较高水平的认证,甚至有些时候可以作为强制认证,这个目前还没做到,我们能不能把等级保护制度放在这个采购的指标考量里面,要研究。如果我们有些地方进行强制认证可能更有利于符合网络安全的要求。

分级测评认证。等级保护可以借鉴的是产品分级测试认证,这是从国际上,最早的TC到CC,现在我们国家等同的标准是GB/T18336,七个等级,相当于EAL1-EAL7,这是我们可以考虑的,以现成国际通用的,还有我们国家相应的标准,是不是可以拿来作为我们评估信息相应网络安全的参照。

不同的产品,比如现在IC卡、SIM卡最高可达EAL5,服务器操作系统最高可达到EAL4,那EAL6、7是不是能够达到,标准能不能跟上都是问题,特别是我们过去这些方面标准比较少,我查了有36个方面的等保标准,分级也相对少,可能将来我们要扩展。标准要扩展,范围也要扩展,比如分级测试标准,列入的是一小块,现在看来是很小一部分。生命特征有虹膜识别系统,指纹、掌纹、人脸、声纹都没标准,现在大家知道身份识别标准非常重要,这些远远跟不上我们发展的需要,跟不上标准的建设,将来通过分级测试认证选购我们所需要的产品,不同的产品要有不同的要求,新的信息技术,尤其云计算、大数据都还来不及做。相关部门要抓紧开展研究,如何为我们分级测试标准,加强我国网络设施安全相关要求提供支撑,这是我们需要留给大家,请大家研究的问题。我们希望将来重要信息系统,很多都要以分级测试标准去选购。我要求1、2、3比较简单,这需要第三方测试评估标准加以评估的。

二、自主可控的评估标准。

不管怎么样,分级测试可以解决一部分问题,但不可能全部。就像性能指标一样,存储容量、主频、计算能力、价格等指标,我们有自主可控的程度是不是可以呢?考虑总的标准,这里提了8个字“自主可控、安全可信”是概括我们对于一个系统、产品和提出这8个字作为我们的要求,但这8个字怎么来体现和评估需要大家研讨。有些专门制度,比如网络安全审查制度,网信办制订的,但这个制度不可能随时拿出来用,需要的时候可用。所以,我们需要更方便,更经常性的,在我们选购立项等等评估标准。所以,我们自己提出来,“自主可控”是我们现在可以定义可评估的标准,比较容易立项加以评估,“安全可信”比较难一点,需要大家探讨。

自主可控也是很重要的,我们把自主可控作为安全可信的一个前提,自主可控达不到你说安全可信那是空话,因为自主可控可以首先做到没恶意后门,自己有能力可以进行改进,进行治理,不断发展。自主可控我们首先把它定义为属性,是可以评估的,可以独立与场景和生命周期,一系列作为第三方机构进行安全评估。但安全可信复杂得多。所以我们现在提出自主可控五个维度:知识产权、能力、发展(条件)、供应链、“国产”资质。

可能还有一些维度,我们主要提出这五方面:

1、知识产权(包括标准)自主可控。

知识产权非常重要,知识产权不可靠,那就免谈,这个项目我们最终不能去支持,因为当前国际形势,我们面向全球化的情况之下,知识产权必须得重视,必须很好解决,不是所有的知识产权都是自己的,但可以通过授权方式,商业规则,通过这些方面拿到有足够的自主权,能够自主可控的知识产权,如果不通过这些,下面不能做,做了也没意思。

2、能力自主可控。

要有足够能力强的队伍,否则知识产权是空话,没有人掌握这个知识产权和这项技术没用,最后还不是一个知识产权。所以,人很重要,假如这个公司没有这个团队是空话,你做不到自主可控,这个维度也很重要,当然我们会要求比较高,最高这个能力不仅能掌握变成生产产品,变成很好的产品和服务,可能需要产业链能够保证,需要有时候把你的生态系统都能构建起来。

3、发展自主可控。

这是实际碰到的问题,有时候知识产权和能力都可以做,有时候不能做,因为你没有发展的自主可控,你知道这个技术要废弃了,这个技术要过时你要用,你知道能力很强,知识产权掌握了,但知道几年以后要废弃了就不要去做。有的现在看起来还可以,假如你不是真正掌握今后发展的主动权,比如Android操作系统,你能否保证Android今后的发展能按照你的要求去做,做不到,发展哪个版本你能继续做你不能保证,就是你不能掌握未来,要看长远一些,不能看眼前。我们要尽量考虑长远发展。

4、供应链自主可控。

供应链中看起来某一个环节可以,但供应链不能解决,但技术安全不行,比如芯片有问题,即使你知识产权有,能设计出来,但生产不出来有用吗?最后你发现还得为人家生产,生产过程你不能控制,这个重大的环节不能控制,可能你这个产品就不能做到自主可控,实际也不能保证你的安全的。

5、“国产”资质。

国产化不等于就是自主可控,只是自主可控的一个环节。知识产权法从2002年到现在,虽然政府采购说优先采购国产产品和货物、工程,但大家知道没有一个统一的界定,这是很大的问题,我们希望这方面应该出台一个标准,不是你说了之后没用,大家最后自己做自己的。

发达国家怎么做的?我们参照美国的说法,美国是通过“增值”原则,如果美国的增值达到50%就可以评估国产。高科技的对一般产品都适用,增值包括材料等等,我们可以从这个角度评价,但我们目前拿出的标准是不合理的。机制还有内资、外资、VIE,我们认为可以加上增值原则,这样可以避免通过没有科学的建立,有些硬件贴个牌子,进口贴个牌子就是国产的。软件怎么办呢?集成一下提供解决方案就增值能力就变成国产能力了。增值税发票大家知道,看你抵扣很容易区分你的国产化程度。

这是我们建议在自主可控情况下这五个维度的标准,是否可操作,是否可以成为标准需要大家在实际之中改进。谢谢大家!

上一篇:NSC2015国家信息中心信息安全研究与服务中心主任吴亚非致辞

下一篇:NSC2015腾讯副总裁马斌:互联网+安全=产业链免疫系统