我給大家介紹一下網(wǎng)絡(luò)安全測評認(rèn)證的看法。這個(gè)大會(huì)的名稱非常重要，我建議把網(wǎng)絡(luò)安全翻譯為Cybersecurity，網(wǎng)絡(luò)安全應(yīng)該包含了實(shí)體空間和虛擬空間，因?yàn)榫W(wǎng)絡(luò)安全，不僅包含物理網(wǎng)絡(luò)的安全，也包含虛擬網(wǎng)絡(luò)的安全，所以用Cybersecurity可能更為確切。過去信息化建設(shè)選購一些產(chǎn)品，或者立項(xiàng)，網(wǎng)絡(luò)中技術(shù)指標(biāo)先進(jìn)性，還有經(jīng)濟(jì)指標(biāo)、價(jià)格等等，我們建議還要強(qiáng)調(diào)網(wǎng)絡(luò)安全，這個(gè)指標(biāo)是可以考量的，可以通過第三方測試平臺(tái)進(jìn)行安全指標(biāo)評估?？上КF(xiàn)在還沒有，我希望有，特別是現(xiàn)在已經(jīng)做的制度能不能參照一下，可以探討是不是正確，是不是可行。

　　加強(qiáng)并完善等級保護(hù)工作

　　等級保護(hù)，2003年國家在這方面就陸續(xù)出臺(tái)了一些文件，目前處于推廣階段。所以，等級保護(hù)制度可以為評估相應(yīng)的產(chǎn)品、服務(wù)、項(xiàng)目作參考，因?yàn)榈燃壉Ｗo(hù)本身就是為了保護(hù)安全，不是所有的信息資產(chǎn)都是保護(hù)等級最高級的，有些信息重要，有些沒那么重要，這個(gè)可以用等級保護(hù)來區(qū)分?？梢詮脑O(shè)計(jì)、選型開始就用等級保護(hù)來指導(dǎo)。參照國際上，比如美國2002年7月對政府和軍隊(duì)采購已經(jīng)規(guī)定必須優(yōu)先采用通過CCC認(rèn)證的產(chǎn)品。可以考慮對重要的信息系統(tǒng)采購進(jìn)行等級保護(hù)認(rèn)證，或者說分級測試認(rèn)證，比較高水平的認(rèn)證，甚至有些時(shí)候可以作為強(qiáng)制認(rèn)證，這個(gè)目前還沒做到，能不能把等級保護(hù)制度放在這個(gè)采購的指標(biāo)考量里面，這個(gè)需要研究。

　　分級測評認(rèn)證。等級保護(hù)可以借鑒的是產(chǎn)品分級測試認(rèn)證，這是從國際上，最早的TC到CC，現(xiàn)在我國等同的標(biāo)準(zhǔn)是GB/T18336，七個(gè)等級，相當(dāng)于EAL1-EAL7，以現(xiàn)成國際通用的，還有我國相應(yīng)的標(biāo)準(zhǔn)，是不是可以拿來作為評估信息相應(yīng)網(wǎng)絡(luò)安全的參照。

　　不同的產(chǎn)品，比如現(xiàn)在IC卡、SIM卡最高可達(dá)EAL5，服務(wù)器操作系統(tǒng)最高可達(dá)到EAL4，那么EAL6、7是不是能夠達(dá)到，標(biāo)準(zhǔn)能不能跟上都是問題，特別是過去這些方面標(biāo)準(zhǔn)比較少，我查了有36個(gè)方面的等級保護(hù)標(biāo)準(zhǔn)，分級也相對少，可能將來需要擴(kuò)展。標(biāo)準(zhǔn)、范圍都要擴(kuò)展，比如分級測試標(biāo)準(zhǔn)，列入的是一小塊，現(xiàn)在看來是很小一部分。

　　生命特征有虹膜識(shí)別系統(tǒng)，指紋、掌紋、人臉、聲紋都沒標(biāo)準(zhǔn)，現(xiàn)在大家知道身份識(shí)別標(biāo)準(zhǔn)非常重要，這些遠(yuǎn)遠(yuǎn)跟不上發(fā)展的需要，跟不上標(biāo)準(zhǔn)的建設(shè)，將來通過分級測試認(rèn)證選購我們所需要的產(chǎn)品，不同的產(chǎn)品要有不同的要求，新的信息技術(shù)，尤其云計(jì)算、大數(shù)據(jù)都還來不及做。相關(guān)部門要抓緊開展研究，如何分級測試標(biāo)準(zhǔn)，加強(qiáng)我國網(wǎng)絡(luò)設(shè)施安全相關(guān)要求提供支撐，這是需要請大家研究的問題。希望將來很多重要信息系統(tǒng)都要以分級測試標(biāo)準(zhǔn)去選購。這需要第三方測試評估標(biāo)準(zhǔn)加以評估。

　　自主可控的評估標(biāo)準(zhǔn)

　　分級測試可以解決一部分問題，但不可能解決全部問題。就像性能指標(biāo)一樣，存儲(chǔ)容量、主頻、計(jì)算能力、價(jià)格等指標(biāo)，我們的自主可控的程度是不是可以呢？考慮總的標(biāo)準(zhǔn)，這里提了8個(gè)字“自主可控、安全可信”來概括一個(gè)系統(tǒng)、產(chǎn)品并提出這8個(gè)字作為我們的要求，但這8個(gè)字怎么來體現(xiàn)和評估需要大家研討。有些專門制度，比如網(wǎng)絡(luò)安全審查制度，但這個(gè)制度不可能隨時(shí)拿出來用。所以，“自主可控”是現(xiàn)在可以定義可評估的標(biāo)準(zhǔn)，比較容易立項(xiàng)加以評估，“安全可信”比較難一點(diǎn)，需要大家探討。

　　自主可控也是很重要的，把它作為安全可信的一個(gè)前提，自主可控達(dá)不到，安全可信就是空話，因?yàn)樽灾骺煽乜梢允紫茸龅經(jīng)]惡意后門，自己有能力可以進(jìn)行改進(jìn)，進(jìn)行治理，不斷發(fā)展。自主可控，我們首先把它定義為屬性，是可以評估的，可以獨(dú)立與場景和生命周期等等作為第三方機(jī)構(gòu)進(jìn)行安全評估。但安全可信復(fù)雜得多。所以現(xiàn)在提出了自主可控的五個(gè)維度：知識(shí)產(chǎn)權(quán)、能力、發(fā)展、供應(yīng)鏈、“國產(chǎn)”資質(zhì)。

　　五個(gè)維度的標(biāo)準(zhǔn)

　　■知識(shí)產(chǎn)權(quán)（包括標(biāo)準(zhǔn)）自主可控

　　知識(shí)產(chǎn)權(quán)非常重要，知識(shí)產(chǎn)權(quán)不可靠，那就免談，這個(gè)項(xiàng)目我們最終不能去支持，因?yàn)楫?dāng)前國際形勢，面向全球化的情況之下，知識(shí)產(chǎn)權(quán)必須得重視，必須很好解決，不是所有的知識(shí)產(chǎn)權(quán)都是自己的，但可以通過授權(quán)方式，商業(yè)規(guī)則，通過這些方面拿到足夠的自主權(quán)，能夠自主可控的知識(shí)產(chǎn)權(quán)，如果不通過這些，下面不能做，做了也沒意思。

　　■能力自主可控

　　要有足夠能力強(qiáng)的隊(duì)伍，否則知識(shí)產(chǎn)權(quán)是空話，沒有人掌握這個(gè)知識(shí)產(chǎn)權(quán)和這項(xiàng)技術(shù)就沒有用，最后也只是一個(gè)知識(shí)產(chǎn)權(quán)。

　　所以，人很重要，假如這個(gè)公司沒有好的團(tuán)隊(duì)，那就是空話，也就做不到自主可控。維度也很重要，但是要求相應(yīng)的也比較高，不僅需要能掌握生產(chǎn)產(chǎn)品的能力，變成很好的產(chǎn)品和服務(wù)，還需要產(chǎn)業(yè)鏈也能夠保證到位，需要有時(shí)候把生態(tài)系統(tǒng)都能構(gòu)建起來。

　　■發(fā)展自主可控

　　這是實(shí)際碰到的問題，有時(shí)候知識(shí)產(chǎn)權(quán)和能力都可以做，有時(shí)候不能做，因?yàn)闆]有發(fā)展的自主可控，這個(gè)技術(shù)就要廢棄了，這個(gè)技術(shù)要過時(shí)，人們要用，大家知道它能力很強(qiáng)，要掌握知識(shí)產(chǎn)權(quán)，但知道幾年以后要廢棄了就不要去做。有的現(xiàn)在看起來還可以，假如不能真正掌握今后發(fā)展的主動(dòng)權(quán)，比如Android操作系統(tǒng)，能否保證Android今后的發(fā)展能按照你的要求去做，做不到，發(fā)展哪個(gè)版本能繼續(xù)做這個(gè)不能保證，如果不能掌握未來，就要看長遠(yuǎn)一些，不能看眼前。我們要盡量考慮長遠(yuǎn)發(fā)展。

　　■供應(yīng)鏈自主可控

　　供應(yīng)鏈中看起來某一個(gè)環(huán)節(jié)可以，但供應(yīng)鏈不能解決，技術(shù)安全也不行，比如芯片有問題，即使擁有知識(shí)產(chǎn)權(quán)，能設(shè)計(jì)出來，但生產(chǎn)不出來有用嗎？最后發(fā)現(xiàn)還得為別人生產(chǎn)，生產(chǎn)過程也是不能控制的，這個(gè)重大的環(huán)節(jié)不能控制，可能這個(gè)產(chǎn)品就不能做到自主可控，實(shí)際也不能保證其安全性。

　　■“國產(chǎn)”資質(zhì)

　　國產(chǎn)化不等于就是自主可控，它只是自主可控的一個(gè)環(huán)節(jié)。知識(shí)產(chǎn)權(quán)法從2002年到現(xiàn)在，雖然政府采購說優(yōu)先采購國產(chǎn)產(chǎn)品和貨物、工程，但大家知道沒有一個(gè)統(tǒng)一的界定，這是個(gè)很大的問題，希望這方面能夠出臺(tái)一個(gè)標(biāo)準(zhǔn)，不是大家最后自己做自己的。

　　發(fā)達(dá)國家怎么做的？可以參照美國的說法，美國是通過“增值”原則，美國的增值達(dá)到50%就可以評估國產(chǎn)。高科技對于一般產(chǎn)品都適用，增值包括材料等等，我們可以從這個(gè)角度評價(jià)，但目前拿出的標(biāo)準(zhǔn)是不合理的。機(jī)制還有內(nèi)資、外資、VIE，當(dāng)然還可以加上增值原則，這樣可以避免通過沒有科學(xué)的建立，有些硬件貼個(gè)牌子，進(jìn)口貼個(gè)牌子就是國產(chǎn)的。軟件怎么辦呢？集成一下，提供解決方案就增值，能力就變成國產(chǎn)能力了。增值稅發(fā)票，看抵扣就很容易區(qū)分國產(chǎn)化程度。

　　這是我們建議在自主可控情況下這五個(gè)維度的標(biāo)準(zhǔn)，是否可操作，是否可以成為標(biāo)準(zhǔn)，需要大家在實(shí)際情況下改進(jìn)。

　　（以上內(nèi)容系根據(jù)倪光南院士在“2015中國網(wǎng)絡(luò)安全大會(huì)”上的演講整理而成）

　　中國工程院院士 倪光南

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……