NSC2015倪光南:網(wǎng)絡(luò)安全相關(guān)的測評(píng)認(rèn)證探討
責(zé)編:penggao |2015-07-01 10:42:47各位領(lǐng)導(dǎo),各位嘉賓,我給大家介紹一下網(wǎng)絡(luò)安全測評(píng)認(rèn)證的看法。大家看這個(gè)大會(huì)的名稱覺得非常重要,我建議把網(wǎng)絡(luò)安全翻譯為Cybersecurity,網(wǎng)絡(luò)安全應(yīng)該包含了實(shí)體空間和虛擬空間,因?yàn)槲覀冎v的網(wǎng)絡(luò)安全,不僅包含物理網(wǎng)絡(luò)的安全,也包含虛擬網(wǎng)絡(luò)的安全,所以用Cybersecurity可能更為確切。
過去信息化建設(shè)選購一些產(chǎn)品,或者立項(xiàng),網(wǎng)絡(luò)中技術(shù)指標(biāo)先進(jìn)性,還有經(jīng)濟(jì)指標(biāo)、價(jià)格等等,我們建議還要強(qiáng)調(diào)網(wǎng)絡(luò)安全,這個(gè)指標(biāo)是可以考量的,可以通過第三方測試平臺(tái)進(jìn)行安全指標(biāo)評(píng)估。可惜現(xiàn)在還沒有,我希望有,特別是現(xiàn)在已經(jīng)做的制度能不能參照一下,這可以探討,是不是正確,是不是可行,大家研究,我們拋磚引玉。
一、加強(qiáng)并完善等級(jí)保護(hù)工作。
等級(jí)保護(hù),2003年國家在這方面就要做一個(gè)制度,陸續(xù)出臺(tái)了一些文件,目前處于推廣階段。所以,等級(jí)保護(hù)制度可以為我們評(píng)估相應(yīng)的產(chǎn)品、服務(wù)、項(xiàng)目作為參考,因?yàn)榈燃?jí)保護(hù)本身就是為保護(hù)安全,不是所有的信息資產(chǎn)都是保護(hù)等級(jí)最高級(jí)的,有些信息重要,有些沒那么重要,這個(gè)可以用等級(jí)保護(hù)來區(qū)分。我們希望從設(shè)計(jì)、選型開始就用等級(jí)保護(hù)來指導(dǎo)。參照國際上,比如美國2002年7月對(duì)政府和軍隊(duì)采購已經(jīng)規(guī)定必須優(yōu)先采用通過CCC認(rèn)證的產(chǎn)品。我們可以借鑒,考慮對(duì)重要的信息系統(tǒng)采購進(jìn)行等級(jí)保護(hù)認(rèn)證,或者說分級(jí)測試認(rèn)證,比較高水平的認(rèn)證,甚至有些時(shí)候可以作為強(qiáng)制認(rèn)證,這個(gè)目前還沒做到,我們能不能把等級(jí)保護(hù)制度放在這個(gè)采購的指標(biāo)考量里面,要研究。如果我們有些地方進(jìn)行強(qiáng)制認(rèn)證可能更有利于符合網(wǎng)絡(luò)安全的要求。
分級(jí)測評(píng)認(rèn)證。等級(jí)保護(hù)可以借鑒的是產(chǎn)品分級(jí)測試認(rèn)證,這是從國際上,最早的TC到CC,現(xiàn)在我們國家等同的標(biāo)準(zhǔn)是GB/T18336,七個(gè)等級(jí),相當(dāng)于EAL1-EAL7,這是我們可以考慮的,以現(xiàn)成國際通用的,還有我們國家相應(yīng)的標(biāo)準(zhǔn),是不是可以拿來作為我們評(píng)估信息相應(yīng)網(wǎng)絡(luò)安全的參照。
不同的產(chǎn)品,比如現(xiàn)在IC卡、SIM卡最高可達(dá)EAL5,服務(wù)器操作系統(tǒng)最高可達(dá)到EAL4,那EAL6、7是不是能夠達(dá)到,標(biāo)準(zhǔn)能不能跟上都是問題,特別是我們過去這些方面標(biāo)準(zhǔn)比較少,我查了有36個(gè)方面的等保標(biāo)準(zhǔn),分級(jí)也相對(duì)少,可能將來我們要擴(kuò)展。標(biāo)準(zhǔn)要擴(kuò)展,范圍也要擴(kuò)展,比如分級(jí)測試標(biāo)準(zhǔn),列入的是一小塊,現(xiàn)在看來是很小一部分。生命特征有虹膜識(shí)別系統(tǒng),指紋、掌紋、人臉、聲紋都沒標(biāo)準(zhǔn),現(xiàn)在大家知道身份識(shí)別標(biāo)準(zhǔn)非常重要,這些遠(yuǎn)遠(yuǎn)跟不上我們發(fā)展的需要,跟不上標(biāo)準(zhǔn)的建設(shè),將來通過分級(jí)測試認(rèn)證選購我們所需要的產(chǎn)品,不同的產(chǎn)品要有不同的要求,新的信息技術(shù),尤其云計(jì)算、大數(shù)據(jù)都還來不及做。相關(guān)部門要抓緊開展研究,如何為我們分級(jí)測試標(biāo)準(zhǔn),加強(qiáng)我國網(wǎng)絡(luò)設(shè)施安全相關(guān)要求提供支撐,這是我們需要留給大家,請(qǐng)大家研究的問題。我們希望將來重要信息系統(tǒng),很多都要以分級(jí)測試標(biāo)準(zhǔn)去選購。我要求1、2、3比較簡單,這需要第三方測試評(píng)估標(biāo)準(zhǔn)加以評(píng)估的。
二、自主可控的評(píng)估標(biāo)準(zhǔn)。
不管怎么樣,分級(jí)測試可以解決一部分問題,但不可能全部。就像性能指標(biāo)一樣,存儲(chǔ)容量、主頻、計(jì)算能力、價(jià)格等指標(biāo),我們有自主可控的程度是不是可以呢?考慮總的標(biāo)準(zhǔn),這里提了8個(gè)字“自主可控、安全可信”是概括我們對(duì)于一個(gè)系統(tǒng)、產(chǎn)品和提出這8個(gè)字作為我們的要求,但這8個(gè)字怎么來體現(xiàn)和評(píng)估需要大家研討。有些專門制度,比如網(wǎng)絡(luò)安全審查制度,網(wǎng)信辦制訂的,但這個(gè)制度不可能隨時(shí)拿出來用,需要的時(shí)候可用。所以,我們需要更方便,更經(jīng)常性的,在我們選購立項(xiàng)等等評(píng)估標(biāo)準(zhǔn)。所以,我們自己提出來,“自主可控”是我們現(xiàn)在可以定義可評(píng)估的標(biāo)準(zhǔn),比較容易立項(xiàng)加以評(píng)估,“安全可信”比較難一點(diǎn),需要大家探討。
自主可控也是很重要的,我們把自主可控作為安全可信的一個(gè)前提,自主可控達(dá)不到你說安全可信那是空話,因?yàn)樽灾骺煽乜梢允紫茸龅經(jīng)]惡意后門,自己有能力可以進(jìn)行改進(jìn),進(jìn)行治理,不斷發(fā)展。自主可控我們首先把它定義為屬性,是可以評(píng)估的,可以獨(dú)立與場景和生命周期,一系列作為第三方機(jī)構(gòu)進(jìn)行安全評(píng)估。但安全可信復(fù)雜得多。所以我們現(xiàn)在提出自主可控五個(gè)維度:知識(shí)產(chǎn)權(quán)、能力、發(fā)展(條件)、供應(yīng)鏈、“國產(chǎn)”資質(zhì)。
可能還有一些維度,我們主要提出這五方面:
1、知識(shí)產(chǎn)權(quán)(包括標(biāo)準(zhǔn))自主可控。
知識(shí)產(chǎn)權(quán)非常重要,知識(shí)產(chǎn)權(quán)不可靠,那就免談,這個(gè)項(xiàng)目我們最終不能去支持,因?yàn)楫?dāng)前國際形勢,我們面向全球化的情況之下,知識(shí)產(chǎn)權(quán)必須得重視,必須很好解決,不是所有的知識(shí)產(chǎn)權(quán)都是自己的,但可以通過授權(quán)方式,商業(yè)規(guī)則,通過這些方面拿到有足夠的自主權(quán),能夠自主可控的知識(shí)產(chǎn)權(quán),如果不通過這些,下面不能做,做了也沒意思。
2、能力自主可控。
要有足夠能力強(qiáng)的隊(duì)伍,否則知識(shí)產(chǎn)權(quán)是空話,沒有人掌握這個(gè)知識(shí)產(chǎn)權(quán)和這項(xiàng)技術(shù)沒用,最后還不是一個(gè)知識(shí)產(chǎn)權(quán)。所以,人很重要,假如這個(gè)公司沒有這個(gè)團(tuán)隊(duì)是空話,你做不到自主可控,這個(gè)維度也很重要,當(dāng)然我們會(huì)要求比較高,最高這個(gè)能力不僅能掌握變成生產(chǎn)產(chǎn)品,變成很好的產(chǎn)品和服務(wù),可能需要產(chǎn)業(yè)鏈能夠保證,需要有時(shí)候把你的生態(tài)系統(tǒng)都能構(gòu)建起來。
3、發(fā)展自主可控。
這是實(shí)際碰到的問題,有時(shí)候知識(shí)產(chǎn)權(quán)和能力都可以做,有時(shí)候不能做,因?yàn)槟銢]有發(fā)展的自主可控,你知道這個(gè)技術(shù)要廢棄了,這個(gè)技術(shù)要過時(shí)你要用,你知道能力很強(qiáng),知識(shí)產(chǎn)權(quán)掌握了,但知道幾年以后要廢棄了就不要去做。有的現(xiàn)在看起來還可以,假如你不是真正掌握今后發(fā)展的主動(dòng)權(quán),比如Android操作系統(tǒng),你能否保證Android今后的發(fā)展能按照你的要求去做,做不到,發(fā)展哪個(gè)版本你能繼續(xù)做你不能保證,就是你不能掌握未來,要看長遠(yuǎn)一些,不能看眼前。我們要盡量考慮長遠(yuǎn)發(fā)展。
4、供應(yīng)鏈自主可控。
供應(yīng)鏈中看起來某一個(gè)環(huán)節(jié)可以,但供應(yīng)鏈不能解決,但技術(shù)安全不行,比如芯片有問題,即使你知識(shí)產(chǎn)權(quán)有,能設(shè)計(jì)出來,但生產(chǎn)不出來有用嗎?最后你發(fā)現(xiàn)還得為人家生產(chǎn),生產(chǎn)過程你不能控制,這個(gè)重大的環(huán)節(jié)不能控制,可能你這個(gè)產(chǎn)品就不能做到自主可控,實(shí)際也不能保證你的安全的。
5、“國產(chǎn)”資質(zhì)。
國產(chǎn)化不等于就是自主可控,只是自主可控的一個(gè)環(huán)節(jié)。知識(shí)產(chǎn)權(quán)法從2002年到現(xiàn)在,雖然政府采購說優(yōu)先采購國產(chǎn)產(chǎn)品和貨物、工程,但大家知道沒有一個(gè)統(tǒng)一的界定,這是很大的問題,我們希望這方面應(yīng)該出臺(tái)一個(gè)標(biāo)準(zhǔn),不是你說了之后沒用,大家最后自己做自己的。
發(fā)達(dá)國家怎么做的?我們參照美國的說法,美國是通過“增值”原則,如果美國的增值達(dá)到50%就可以評(píng)估國產(chǎn)。高科技的對(duì)一般產(chǎn)品都適用,增值包括材料等等,我們可以從這個(gè)角度評(píng)價(jià),但我們目前拿出的標(biāo)準(zhǔn)是不合理的。機(jī)制還有內(nèi)資、外資、VIE,我們認(rèn)為可以加上增值原則,這樣可以避免通過沒有科學(xué)的建立,有些硬件貼個(gè)牌子,進(jìn)口貼個(gè)牌子就是國產(chǎn)的。軟件怎么辦呢?集成一下提供解決方案就增值能力就變成國產(chǎn)能力了。增值稅發(fā)票大家知道,看你抵扣很容易區(qū)分你的國產(chǎn)化程度。
這是我們建議在自主可控情況下這五個(gè)維度的標(biāo)準(zhǔn),是否可操作,是否可以成為標(biāo)準(zhǔn)需要大家在實(shí)際之中改進(jìn)。謝謝大家!
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧