网络安全相关的测评认证探讨

　　我给大家介绍一下网络安全测评认证的看法。这个大会的名称非常重要，我建议把网络安全翻译为Cybersecurity，网络安全应该包含了实体空间和虚拟空间，因为网络安全，不仅包含物理网络的安全，也包含虚拟网络的安全，所以用Cybersecurity可能更为确切。过去信息化建设选购一些产品，或者立项，网络中技术指标先进性，还有经济指标、价格等等，我们建议还要强调网络安全，这个指标是可以考量的，可以通过第三方测试平台进行安全指标评估。可惜现在还没有，我希望有，特别是现在已经做的制度能不能参照一下，可以探讨是不是正确，是不是可行。

　　加强并完善等级保护工作

　　等级保护，2003年国家在这方面就陆续出台了一些文件，目前处于推广阶段。所以，等级保护制度可以为评估相应的产品、服务、项目作参考，因为等级保护本身就是为了保护安全，不是所有的信息资产都是保护等级最高级的，有些信息重要，有些没那么重要，这个可以用等级保护来区分。可以从设计、选型开始就用等级保护来指导。参照国际上，比如美国2002年7月对政府和军队采购已经规定必须优先采用通过CCC认证的产品。可以考虑对重要的信息系统采购进行等级保护认证，或者说分级测试认证，比较高水平的认证，甚至有些时候可以作为强制认证，这个目前还没做到，能不能把等级保护制度放在这个采购的指标考量里面，这个需要研究。

　　分级测评认证。等级保护可以借鉴的是产品分级测试认证，这是从国际上，最早的TC到CC，现在我国等同的标准是GB/T18336，七个等级，相当于EAL1-EAL7，以现成国际通用的，还有我国相应的标准，是不是可以拿来作为评估信息相应网络安全的参照。

　　不同的产品，比如现在IC卡、SIM卡最高可达EAL5，服务器操作系统最高可达到EAL4，那么EAL6、7是不是能够达到，标准能不能跟上都是问题，特别是过去这些方面标准比较少，我查了有36个方面的等级保护标准，分级也相对少，可能将来需要扩展。标准、范围都要扩展，比如分级测试标准，列入的是一小块，现在看来是很小一部分。

　　生命特征有虹膜识别系统，指纹、掌纹、人脸、声纹都没标准，现在大家知道身份识别标准非常重要，这些远远跟不上发展的需要，跟不上标准的建设，将来通过分级测试认证选购我们所需要的产品，不同的产品要有不同的要求，新的信息技术，尤其云计算、大数据都还来不及做。相关部门要抓紧开展研究，如何分级测试标准，加强我国网络设施安全相关要求提供支撑，这是需要请大家研究的问题。希望将来很多重要信息系统都要以分级测试标准去选购。这需要第三方测试评估标准加以评估。

　　自主可控的评估标准

　　分级测试可以解决一部分问题，但不可能解决全部问题。就像性能指标一样，存储容量、主频、计算能力、价格等指标，我们的自主可控的程度是不是可以呢?考虑总的标准，这里提了8个字“自主可控、安全可信”来概括一个系统、产品并提出这8个字作为我们的要求，但这8个字怎么来体现和评估需要大家研讨。有些专门制度，比如网络安全审查制度，但这个制度不可能随时拿出来用。所以，“自主可控”是现在可以定义可评估的标准，比较容易立项加以评估，“安全可信”比较难一点，需要大家探讨。

　　自主可控也是很重要的，把它作为安全可信的一个前提，自主可控达不到，安全可信就是空话，因为自主可控可以首先做到没恶意后门，自己有能力可以进行改进，进行治理，不断发展。自主可控，我们首先把它定义为属性，是可以评估的，可以独立与场景和生命周期等等作为第三方机构进行安全评估。但安全可信复杂得多。所以现在提出了自主可控的五个维度：知识产权、能力、发展、供应链、“国产”资质。

　　五个维度的标准

　　■知识产权(包括标准)自主可控

　　知识产权非常重要，知识产权不可靠，那就免谈，这个项目我们最终不能去支持，因为当前国际形势，面向全球化的情况之下，知识产权必须得重视，必须很好解决，不是所有的知识产权都是自己的，但可以通过授权方式，商业规则，通过这些方面拿到足够的自主权，能够自主可控的知识产权，如果不通过这些，下面不能做，做了也没意思。

　　■能力自主可控

　　要有足够能力强的队伍，否则知识产权是空话，没有人掌握这个知识产权和这项技术就没有用，最后也只是一个知识产权。

　　所以，人很重要，假如这个公司没有好的团队，那就是空话，也就做不到自主可控。维度也很重要，但是要求相应的也比较高，不仅需要能掌握生产产品的能力，变成很好的产品和服务，还需要产业链也能够保证到位，需要有时候把生态系统都能构建起来。

　　■发展自主可控

　　这是实际碰到的问题，有时候知识产权和能力都可以做，有时候不能做，因为没有发展的自主可控，这个技术就要废弃了，这个技术要过时，人们要用，大家知道它能力很强，要掌握知识产权，但知道几年以后要废弃了就不要去做。有的现在看起来还可以，假如不能真正掌握今后发展的主动权，比如Android操作系统，能否保证Android今后的发展能按照你的要求去做，做不到，发展哪个版本能继续做这个不能保证，如果不能掌握未来，就要看长远一些，不能看眼前。我们要尽量考虑长远发展。

　　■供应链自主可控

　　供应链中看起来某一个环节可以，但供应链不能解决，技术安全也不行，比如芯片有问题，即使拥有知识产权，能设计出来，但生产不出来有用吗?最后发现还得为别人生产，生产过程也是不能控制的，这个重大的环节不能控制，可能这个产品就不能做到自主可控，实际也不能保证其安全性。

　　■“国产”资质

　　国产化不等于就是自主可控，它只是自主可控的一个环节。知识产权法从2002年到现在，虽然政府采购说优先采购国产产品和货物、工程，但大家知道没有一个统一的界定，这是个很大的问题，希望这方面能够出台一个标准，不是大家最后自己做自己的。

　　发达国家怎么做的?可以参照美国的说法，美国是通过“增值”原则，美国的增值达到50%就可以评估国产。高科技对于一般产品都适用，增值包括材料等等，我们可以从这个角度评价，但目前拿出的标准是不合理的。机制还有内资、外资、VIE，当然还可以加上增值原则，这样可以避免通过没有科学的建立，有些硬件贴个牌子，进口贴个牌子就是国产的。软件怎么办呢?集成一下，提供解决方案就增值，能力就变成国产能力了。增值税发票，看抵扣就很容易区分国产化程度。

　　这是我们建议在自主可控情况下这五个维度的标准，是否可操作，是否可以成为标准，需要大家在实际情况下改进。

　　(以上内容系根据倪光南院士在“2015中国网络安全大会”上的演讲整理而成)

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。