您现在的位置是:首页 > 头条新闻 >

网络安全相关的测评认证探讨

2015-09-14 15:18:06作者:来源:

摘要我建议把网络安全翻译为Cybersecurity,网络安全应该包含了实体空间和虚拟空间,因为网络安全,不仅包含物理网络的安全,也包含虚拟网络的安全,所以用Cybersecurity可能更为确切。过去信息化建设选购一些产品,或者立项,网络中技术指标先进性,还有经济指标、价格等等,我们建议还要强调网络安全,这个指标是可以考量的,可以通过第三方测试平台进行安全指标评估。...

  我给大家介绍一下网络安全测评认证的看法。这个大会的名称非常重要,我建议把网络安全翻译为Cybersecurity,网络安全应该包含了实体空间和虚拟空间,因为网络安全,不仅包含物理网络的安全,也包含虚拟网络的安全,所以用Cybersecurity可能更为确切。过去信息化建设选购一些产品,或者立项,网络中技术指标先进性,还有经济指标、价格等等,我们建议还要强调网络安全,这个指标是可以考量的,可以通过第三方测试平台进行安全指标评估。可惜现在还没有,我希望有,特别是现在已经做的制度能不能参照一下,可以探讨是不是正确,是不是可行。

  加强并完善等级保护工作

  等级保护,2003年国家在这方面就陆续出台了一些文件,目前处于推广阶段。所以,等级保护制度可以为评估相应的产品、服务、项目作参考,因为等级保护本身就是为了保护安全,不是所有的信息资产都是保护等级最高级的,有些信息重要,有些没那么重要,这个可以用等级保护来区分。可以从设计、选型开始就用等级保护来指导。参照国际上,比如美国2002年7月对政府和军队采购已经规定必须优先采用通过CCC认证的产品。可以考虑对重要的信息系统采购进行等级保护认证,或者说分级测试认证,比较高水平的认证,甚至有些时候可以作为强制认证,这个目前还没做到,能不能把等级保护制度放在这个采购的指标考量里面,这个需要研究。

  分级测评认证。等级保护可以借鉴的是产品分级测试认证,这是从国际上,最早的TC到CC,现在我国等同的标准是GB/T18336,七个等级,相当于EAL1-EAL7,以现成国际通用的,还有我国相应的标准,是不是可以拿来作为评估信息相应网络安全的参照。

  不同的产品,比如现在IC卡、SIM卡最高可达EAL5,服务器操作系统最高可达到EAL4,那么EAL6、7是不是能够达到,标准能不能跟上都是问题,特别是过去这些方面标准比较少,我查了有36个方面的等级保护标准,分级也相对少,可能将来需要扩展。标准、范围都要扩展,比如分级测试标准,列入的是一小块,现在看来是很小一部分。

  生命特征有虹膜识别系统,指纹、掌纹、人脸、声纹都没标准,现在大家知道身份识别标准非常重要,这些远远跟不上发展的需要,跟不上标准的建设,将来通过分级测试认证选购我们所需要的产品,不同的产品要有不同的要求,新的信息技术,尤其云计算、大数据都还来不及做。相关部门要抓紧开展研究,如何分级测试标准,加强我国网络设施安全相关要求提供支撑,这是需要请大家研究的问题。希望将来很多重要信息系统都要以分级测试标准去选购。这需要第三方测试评估标准加以评估。

  自主可控的评估标准

  分级测试可以解决一部分问题,但不可能解决全部问题。就像性能指标一样,存储容量、主频、计算能力、价格等指标,我们的自主可控的程度是不是可以呢?考虑总的标准,这里提了8个字“自主可控、安全可信”来概括一个系统、产品并提出这8个字作为我们的要求,但这8个字怎么来体现和评估需要大家研讨。有些专门制度,比如网络安全审查制度,但这个制度不可能随时拿出来用。所以,“自主可控”是现在可以定义可评估的标准,比较容易立项加以评估,“安全可信”比较难一点,需要大家探讨。

  自主可控也是很重要的,把它作为安全可信的一个前提,自主可控达不到,安全可信就是空话,因为自主可控可以首先做到没恶意后门,自己有能力可以进行改进,进行治理,不断发展。自主可控,我们首先把它定义为属性,是可以评估的,可以独立与场景和生命周期等等作为第三方机构进行安全评估。但安全可信复杂得多。所以现在提出了自主可控的五个维度:知识产权、能力、发展、供应链、“国产”资质。

  五个维度的标准

  ■知识产权(包括标准)自主可控

  知识产权非常重要,知识产权不可靠,那就免谈,这个项目我们最终不能去支持,因为当前国际形势,面向全球化的情况之下,知识产权必须得重视,必须很好解决,不是所有的知识产权都是自己的,但可以通过授权方式,商业规则,通过这些方面拿到足够的自主权,能够自主可控的知识产权,如果不通过这些,下面不能做,做了也没意思。

  ■能力自主可控

  要有足够能力强的队伍,否则知识产权是空话,没有人掌握这个知识产权和这项技术就没有用,最后也只是一个知识产权。

  所以,人很重要,假如这个公司没有好的团队,那就是空话,也就做不到自主可控。维度也很重要,但是要求相应的也比较高,不仅需要能掌握生产产品的能力,变成很好的产品和服务,还需要产业链也能够保证到位,需要有时候把生态系统都能构建起来。

  ■发展自主可控

  这是实际碰到的问题,有时候知识产权和能力都可以做,有时候不能做,因为没有发展的自主可控,这个技术就要废弃了,这个技术要过时,人们要用,大家知道它能力很强,要掌握知识产权,但知道几年以后要废弃了就不要去做。有的现在看起来还可以,假如不能真正掌握今后发展的主动权,比如Android操作系统,能否保证Android今后的发展能按照你的要求去做,做不到,发展哪个版本能继续做这个不能保证,如果不能掌握未来,就要看长远一些,不能看眼前。我们要尽量考虑长远发展。

  ■供应链自主可控

  供应链中看起来某一个环节可以,但供应链不能解决,技术安全也不行,比如芯片有问题,即使拥有知识产权,能设计出来,但生产不出来有用吗?最后发现还得为别人生产,生产过程也是不能控制的,这个重大的环节不能控制,可能这个产品就不能做到自主可控,实际也不能保证其安全性。

  ■“国产”资质

  国产化不等于就是自主可控,它只是自主可控的一个环节。知识产权法从2002年到现在,虽然政府采购说优先采购国产产品和货物、工程,但大家知道没有一个统一的界定,这是个很大的问题,希望这方面能够出台一个标准,不是大家最后自己做自己的。

  发达国家怎么做的?可以参照美国的说法,美国是通过“增值”原则,美国的增值达到50%就可以评估国产。高科技对于一般产品都适用,增值包括材料等等,我们可以从这个角度评价,但目前拿出的标准是不合理的。机制还有内资、外资、VIE,当然还可以加上增值原则,这样可以避免通过没有科学的建立,有些硬件贴个牌子,进口贴个牌子就是国产的。软件怎么办呢?集成一下,提供解决方案就增值,能力就变成国产能力了。增值税发票,看抵扣就很容易区分国产化程度。

  这是我们建议在自主可控情况下这五个维度的标准,是否可操作,是否可以成为标准,需要大家在实际情况下改进。

  (以上内容系根据倪光南院士在“2015中国网络安全大会”上的演讲整理而成)


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们