NSC2015倪光南:網絡安全相關的測評認證探討
責編:penggao |2015-07-01 10:42:47各位領導,各位嘉賓,我給大家介紹一下網絡安全測評認證的看法。大家看這個大會的名稱覺得非常重要,我建議把網絡安全翻譯為Cybersecurity,網絡安全應該包含了實體空間和虛擬空間,因為我們講的網絡安全,不僅包含物理網絡的安全,也包含虛擬網絡的安全,所以用Cybersecurity可能更為確切。
過去信息化建設選購一些產品,或者立項,網絡中技術指標先進性,還有經濟指標、價格等等,我們建議還要強調網絡安全,這個指標是可以考量的,可以通過第三方測試平臺進行安全指標評估。可惜現在還沒有,我希望有,特別是現在已經做的制度能不能參照一下,這可以探討,是不是正確,是不是可行,大家研究,我們拋磚引玉。
一、加強并完善等級保護工作。
等級保護,2003年國家在這方面就要做一個制度,陸續出臺了一些文件,目前處于推廣階段。所以,等級保護制度可以為我們評估相應的產品、服務、項目作為參考,因為等級保護本身就是為保護安全,不是所有的信息資產都是保護等級最高級的,有些信息重要,有些沒那么重要,這個可以用等級保護來區分。我們希望從設計、選型開始就用等級保護來指導。參照國際上,比如美國2002年7月對政府和軍隊采購已經規定必須優先采用通過CCC認證的產品。我們可以借鑒,考慮對重要的信息系統采購進行等級保護認證,或者說分級測試認證,比較高水平的認證,甚至有些時候可以作為強制認證,這個目前還沒做到,我們能不能把等級保護制度放在這個采購的指標考量里面,要研究。如果我們有些地方進行強制認證可能更有利于符合網絡安全的要求。
分級測評認證。等級保護可以借鑒的是產品分級測試認證,這是從國際上,最早的TC到CC,現在我們國家等同的標準是GB/T18336,七個等級,相當于EAL1-EAL7,這是我們可以考慮的,以現成國際通用的,還有我們國家相應的標準,是不是可以拿來作為我們評估信息相應網絡安全的參照。
不同的產品,比如現在IC卡、SIM卡最高可達EAL5,服務器操作系統最高可達到EAL4,那EAL6、7是不是能夠達到,標準能不能跟上都是問題,特別是我們過去這些方面標準比較少,我查了有36個方面的等保標準,分級也相對少,可能將來我們要擴展。標準要擴展,范圍也要擴展,比如分級測試標準,列入的是一小塊,現在看來是很小一部分。生命特征有虹膜識別系統,指紋、掌紋、人臉、聲紋都沒標準,現在大家知道身份識別標準非常重要,這些遠遠跟不上我們發展的需要,跟不上標準的建設,將來通過分級測試認證選購我們所需要的產品,不同的產品要有不同的要求,新的信息技術,尤其云計算、大數據都還來不及做。相關部門要抓緊開展研究,如何為我們分級測試標準,加強我國網絡設施安全相關要求提供支撐,這是我們需要留給大家,請大家研究的問題。我們希望將來重要信息系統,很多都要以分級測試標準去選購。我要求1、2、3比較簡單,這需要第三方測試評估標準加以評估的。
二、自主可控的評估標準。
不管怎么樣,分級測試可以解決一部分問題,但不可能全部。就像性能指標一樣,存儲容量、主頻、計算能力、價格等指標,我們有自主可控的程度是不是可以呢?考慮總的標準,這里提了8個字“自主可控、安全可信”是概括我們對于一個系統、產品和提出這8個字作為我們的要求,但這8個字怎么來體現和評估需要大家研討。有些專門制度,比如網絡安全審查制度,網信辦制訂的,但這個制度不可能隨時拿出來用,需要的時候可用。所以,我們需要更方便,更經常性的,在我們選購立項等等評估標準。所以,我們自己提出來,“自主可控”是我們現在可以定義可評估的標準,比較容易立項加以評估,“安全可信”比較難一點,需要大家探討。
自主可控也是很重要的,我們把自主可控作為安全可信的一個前提,自主可控達不到你說安全可信那是空話,因為自主可控可以首先做到沒惡意后門,自己有能力可以進行改進,進行治理,不斷發展。自主可控我們首先把它定義為屬性,是可以評估的,可以獨立與場景和生命周期,一系列作為第三方機構進行安全評估。但安全可信復雜得多。所以我們現在提出自主可控五個維度:知識產權、能力、發展(條件)、供應鏈、“國產”資質。
可能還有一些維度,我們主要提出這五方面:
1、知識產權(包括標準)自主可控。
知識產權非常重要,知識產權不可靠,那就免談,這個項目我們最終不能去支持,因為當前國際形勢,我們面向全球化的情況之下,知識產權必須得重視,必須很好解決,不是所有的知識產權都是自己的,但可以通過授權方式,商業規則,通過這些方面拿到有足夠的自主權,能夠自主可控的知識產權,如果不通過這些,下面不能做,做了也沒意思。
2、能力自主可控。
要有足夠能力強的隊伍,否則知識產權是空話,沒有人掌握這個知識產權和這項技術沒用,最后還不是一個知識產權。所以,人很重要,假如這個公司沒有這個團隊是空話,你做不到自主可控,這個維度也很重要,當然我們會要求比較高,最高這個能力不僅能掌握變成生產產品,變成很好的產品和服務,可能需要產業鏈能夠保證,需要有時候把你的生態系統都能構建起來。
3、發展自主可控。
這是實際碰到的問題,有時候知識產權和能力都可以做,有時候不能做,因為你沒有發展的自主可控,你知道這個技術要廢棄了,這個技術要過時你要用,你知道能力很強,知識產權掌握了,但知道幾年以后要廢棄了就不要去做。有的現在看起來還可以,假如你不是真正掌握今后發展的主動權,比如Android操作系統,你能否保證Android今后的發展能按照你的要求去做,做不到,發展哪個版本你能繼續做你不能保證,就是你不能掌握未來,要看長遠一些,不能看眼前。我們要盡量考慮長遠發展。
4、供應鏈自主可控。
供應鏈中看起來某一個環節可以,但供應鏈不能解決,但技術安全不行,比如芯片有問題,即使你知識產權有,能設計出來,但生產不出來有用嗎?最后你發現還得為人家生產,生產過程你不能控制,這個重大的環節不能控制,可能你這個產品就不能做到自主可控,實際也不能保證你的安全的。
5、“國產”資質。
國產化不等于就是自主可控,只是自主可控的一個環節。知識產權法從2002年到現在,雖然政府采購說優先采購國產產品和貨物、工程,但大家知道沒有一個統一的界定,這是很大的問題,我們希望這方面應該出臺一個標準,不是你說了之后沒用,大家最后自己做自己的。
發達國家怎么做的?我們參照美國的說法,美國是通過“增值”原則,如果美國的增值達到50%就可以評估國產。高科技的對一般產品都適用,增值包括材料等等,我們可以從這個角度評價,但我們目前拿出的標準是不合理的。機制還有內資、外資、VIE,我們認為可以加上增值原則,這樣可以避免通過沒有科學的建立,有些硬件貼個牌子,進口貼個牌子就是國產的。軟件怎么辦呢?集成一下提供解決方案就增值能力就變成國產能力了。增值稅發票大家知道,看你抵扣很容易區分你的國產化程度。
這是我們建議在自主可控情況下這五個維度的標準,是否可操作,是否可以成為標準需要大家在實際之中改進。謝謝大家!