倪光南:網(wǎng)絡(luò)安全保障對互聯(lián)網(wǎng)+戰(zhàn)略十分重要
發(fā)布時間:2015-06-15 【通信產(chǎn)業(yè)網(wǎng)訊】(記者 王彥彬)在6月13日召開的2015中國互聯(lián)網(wǎng)+創(chuàng)新大會?河北峰會的開幕大會上,中國工程院院士倪光南表示網(wǎng)絡(luò)安全保障對于推進(jìn)互聯(lián)網(wǎng)+戰(zhàn)略,實(shí)行“大眾創(chuàng)業(yè)、萬眾創(chuàng)新”是非常必要的。在我國網(wǎng)絡(luò)安全領(lǐng)域,等級安全保護(hù)工作標(biāo)準(zhǔn)有待完善,自主可控是安全可信的必要條件,需適當(dāng)建立自主可控的評估標(biāo)準(zhǔn)。完善等級保護(hù)工作
倪光南表示,等級安全保護(hù)工作是網(wǎng)絡(luò)安全本質(zhì)的需求,也是符合信息安全發(fā)展的規(guī)律,應(yīng)該加強(qiáng)和完善等級保護(hù)工作。
提到等級保護(hù),就必然要提及認(rèn)證產(chǎn)品等級問題。等級保護(hù)尤其要對重要的要求高等級的產(chǎn)品保護(hù),對一般的可能相對不那么需要。實(shí)際上由于各種原因,一個系統(tǒng)三級保護(hù)并不是說所有的產(chǎn)品都是三級,因?yàn)槟壳坝行┊a(chǎn)品還沒有相應(yīng)的標(biāo)準(zhǔn)。產(chǎn)品的認(rèn)證關(guān)鍵的等級保護(hù)和系統(tǒng)保護(hù)有關(guān)系,但也不完全等同。
倪光南建議在信息化建設(shè)中對于重要的產(chǎn)品應(yīng)該優(yōu)先采購?fù)ㄟ^高級別測評認(rèn)證的產(chǎn)品,對關(guān)鍵技術(shù)核心領(lǐng)域,比如像CPU、操作系統(tǒng)這些技術(shù)軟件也能進(jìn)行分級認(rèn)證。
倪光南舉例,美國從2002年7月開始規(guī)定政府和軍隊必須優(yōu)先采用通過CC認(rèn)證的產(chǎn)品。CC認(rèn)證是目前國際上通行的一個準(zhǔn)則,從1985年開始國際上就有一些關(guān)于CC的準(zhǔn)則,一直到1999年成為國際標(biāo)準(zhǔn)。我家在2001年采用相同標(biāo)準(zhǔn)成為國標(biāo)就是18336。
在18336里我國相應(yīng)的標(biāo)準(zhǔn)有七個級別,從EAL1到EAL7。這主要取決于產(chǎn)品的情況,比如目前對IC卡、SIM卡最高到EAL5,服務(wù)器操作系統(tǒng)最高到EAL4,很多產(chǎn)品還沒有這樣的標(biāo)準(zhǔn)。我們希望按照這樣的方式把重要的產(chǎn)品,包括關(guān)鍵核心技術(shù)設(shè)備也能夠制定標(biāo)準(zhǔn)進(jìn)行分級認(rèn)證。
設(shè)立自主可控評估標(biāo)準(zhǔn)
在網(wǎng)絡(luò)安全層面,“自主可控安全可信”是目前最常見的提法。如何達(dá)到這樣的要求,倪光南認(rèn)為,通過等級保護(hù)分級認(rèn)證是十分必要的,網(wǎng)信辦已經(jīng)發(fā)布了網(wǎng)絡(luò)安全審查制度,所以目前我們建議出臺一些新的制度保證。自主可控是非常重要的條件,而且是可以評估的。
在自主可控的評估標(biāo)準(zhǔn)中,倪光南認(rèn)為要從知識產(chǎn)權(quán)、技術(shù)能力、發(fā)展格局、供應(yīng)鏈和“國產(chǎn)”資質(zhì)五個維度進(jìn)行評估。
在當(dāng)前的國際競爭格局下,知識產(chǎn)權(quán)自主可控可以說是有一票否決權(quán)的,這個產(chǎn)品很好、技術(shù)很好就看你能不能采用就看是不是有知識產(chǎn)權(quán),別人很可能用知識產(chǎn)權(quán)就卡住了你的脖子。
在知識產(chǎn)權(quán)上面一層就是技術(shù)能力。如果沒有技術(shù)能力支撐就無法掌握知識產(chǎn)權(quán),買來的產(chǎn)品還需要外國人來設(shè)計。所以自主可控包含一定的技術(shù)能力也就是創(chuàng)新能力。
從長期看,自主可控還需要具備后續(xù)發(fā)展的能力。倪光南舉例,比如國內(nèi)很多手機(jī)廠商都在安卓系統(tǒng)上做本地化的改進(jìn),但是你當(dāng)前看可能暫時沒有問題,有能力做改變但是關(guān)鍵是發(fā)展是誰掌握的。如果新的版本不能兼容,你是否還有繼續(xù)發(fā)展的能力?
自主可控還需要完整供應(yīng)鏈的支持。比如芯片產(chǎn)業(yè),你能設(shè)計這個芯片,好像知識產(chǎn)權(quán)似乎沒問題,但是你發(fā)現(xiàn)你做不了,國內(nèi)無法生產(chǎn),你還得交到外國廠子生產(chǎn),最后你發(fā)現(xiàn)還是被別人控制的,還是受制于人的。
最后一個維度就是國產(chǎn)資質(zhì)。倪光南建議可以借鑒美國1933年將在美國的產(chǎn)品在本國增值超過50%的就是美國產(chǎn)的這樣的標(biāo)準(zhǔn)。而且我國的增值發(fā)票是很嚴(yán)格的,很難取巧。