“對網(wǎng)絡(luò)安全的要求是‘自主可控、安全可信’,這里,我們把自主可控作為安全可信的一個前提,它可以通過第三方機構(gòu)進行評估,作為衡量軟硬件安全屬性的一項指標(biāo)。”中國工程院院士倪光南在日前召開的2015中國網(wǎng)絡(luò)安全大會上表示。
應(yīng)加強并完善計算機系統(tǒng)等級保護制度
自1994年起,國家陸續(xù)出臺了一系列實施計算機系統(tǒng)等級保護制度的文件,這些制度目前處于推廣階段。實行信息安全等級保護是客觀需求,也符合信息安全發(fā)展規(guī)律。當(dāng)前,我們應(yīng)加強并完善等級保護工作,為保障網(wǎng)絡(luò)安全、信息安全服務(wù)。與此相應(yīng),對信息產(chǎn)品要實行分級測評認證。
據(jù)了解,國際上采用的“通用準(zhǔn)則(CC)”到1999年成為國際標(biāo)準(zhǔn)(ISO/IEC 15408)。我國于2001年采用這一標(biāo)準(zhǔn),稱為國標(biāo)GB/T 18336,共分七個安全等級,從低到高,分別為EAL1~EAL7。
“我們希望信息系統(tǒng)從設(shè)計、采購、選型等開始,就以等級保護作為指導(dǎo)。”倪光南表示,美國從2002年7月起,規(guī)定政府和軍隊采購必須優(yōu)先選用通過CC認證的產(chǎn)品。
“我們可以借鑒他們的做法,今后要求政府和重要信息系統(tǒng)建設(shè)優(yōu)先采購?fù)ㄟ^分級測評認證的產(chǎn)品。這種做法既有利于增強網(wǎng)絡(luò)安全,又符合市場經(jīng)濟自由競爭原則,可以公開、公平、公正地推行。”倪光南說。
據(jù)介紹,現(xiàn)在我國IC卡、SIM卡保護等級最高可達EAL5,操作系統(tǒng)最高可達到EAL4,將來能否達到更高的安全級別還有待研究。
倪光南表示,目前在這方面我們的標(biāo)準(zhǔn)工作還跟不上需求。“例如對生物特征進行識別,現(xiàn)在只有虹膜識別系統(tǒng)有個標(biāo)準(zhǔn),而對指紋、掌紋、人臉、聲紋等的識別,現(xiàn)在都還沒有標(biāo)準(zhǔn)。”
倪光南認為,現(xiàn)有的分級測評標(biāo)準(zhǔn)遠遠跟不上安全發(fā)展的需要。今后,分級測評認證標(biāo)準(zhǔn)要適應(yīng)新一代信息技術(shù)的要求。
最近推出的航天元心的移動操作系統(tǒng),通過研制單位和測評認證機構(gòu)的共同努力,基本上通過了EAL4測評認證,并在此基礎(chǔ)上相應(yīng)的標(biāo)準(zhǔn)正在加緊制定。“今后這有望作為重要部門采購移動終端的一個必要條件,國產(chǎn)桌面操作系統(tǒng)也可以仿照這一先例。”倪光南表示。
“我們希望將來重要信息系統(tǒng),應(yīng)當(dāng)采購或者優(yōu)先采購?fù)ㄟ^分級測評認證、達到高安全等級的產(chǎn)品,例如要求達到EAL4或EAL3等級,這需要通過第三方機構(gòu)測評,是可以做到公開、公平、公正的,這樣做有助于增進網(wǎng)絡(luò)安全。”倪光南坦言。
自主可控的評估標(biāo)準(zhǔn)
“分級測試認證不能解決全部產(chǎn)品的安全性評估問題。我們需要建立一個對軟硬件的自主可控進行評估的體系。”倪光南建議。
“對于一個信息系統(tǒng)的安全要求可以概括為‘自主可控、安全可信’。”倪光南說,“其中,‘自主可控’比較容易評估,容易操作,而‘安全可信’較難評估,這里,只討論自主可控的評估問題。”
“自主可控是非常重要的。我們把自主可控作為達到安全可信的一個前提。自主可控基本上可以保證沒有后門,如發(fā)現(xiàn)漏洞,也能進行改進、治理,不斷地提高安全性。”倪光南說,“這里我們把自主可控作為一種屬性,像性能指標(biāo)、經(jīng)濟指標(biāo)一樣,都是可以評估的,但安全可信的評估要復(fù)雜得多,暫時還沒有容易操作的方法。對于自主可控,我們提出從五個維度進行考量:即知識產(chǎn)權(quán)、技術(shù)能力、發(fā)展主動權(quán)、供應(yīng)鏈安全和‘國產(chǎn)’資質(zhì)。”
自主可控評估的五個維度
首先是知識產(chǎn)權(quán)(包括標(biāo)準(zhǔn))自主可控。
倪光南認為,在當(dāng)前我們面向全球化的情況之下,對知識產(chǎn)權(quán)問題必須十分重視。“當(dāng)然也不是要求所有的知識產(chǎn)權(quán)都是自己的,可以通過合法授權(quán),通過商業(yè)運作,取得有足夠自主權(quán)的知識產(chǎn)權(quán),否則的話,這項工作就不能去做。”
“其次是技術(shù)能力自主可控。”倪光南表示,技術(shù)能力指的是團隊,沒有團隊,就沒有人掌握知識產(chǎn)權(quán)和技術(shù)。“例如,即使有了知識產(chǎn)權(quán),幾千萬行代碼沒有人讀得懂,這個知識產(chǎn)權(quán)能有多大用處呢?有時我們會對技術(shù)能力有更高的要求,包括產(chǎn)業(yè)化的能力,構(gòu)建產(chǎn)業(yè)鏈、構(gòu)建生態(tài)系統(tǒng)的能力等。”倪光南說。
“發(fā)展主動權(quán)與供應(yīng)鏈安全也需要自主可控。如果沒有發(fā)展主動權(quán),即使技術(shù)能力很強,掌握了知識產(chǎn)權(quán)也沒用,結(jié)果還會受制于人。”倪光南坦言,在這種情況下,就要及早下決心進行糾正,決心下得越早越好。
同時,對產(chǎn)業(yè)鏈、供應(yīng)鏈的安全也要重視。“一個產(chǎn)品即使有知識產(chǎn)權(quán),團隊有設(shè)計能力,但生產(chǎn)不出來也沒有用;如果產(chǎn)業(yè)鏈的某個重要環(huán)節(jié)不能控制,生產(chǎn)環(huán)節(jié)受制于人,還是做不到自主可控。”倪光南說。
倪光南表示,“國產(chǎn)是自主可控的重要條件,但國產(chǎn)不等于自主可控。”關(guān)于“國產(chǎn)”目前還沒有統(tǒng)一的標(biāo)準(zhǔn),我國政府采購法從2003年生效到現(xiàn)在,雖然要求政府采購應(yīng)當(dāng)首選本國產(chǎn)品、工程和服務(wù),但是因為缺乏對“國產(chǎn)”的正確界定標(biāo)準(zhǔn),這項要求實際上難以實施。
目前,國產(chǎn)往往只用“資質(zhì)”進行衡量,即用國有、民營、混合所有制、內(nèi)資、VIE、外資等等進行衡量。“我們建議對‘國產(chǎn)’除了衡量資質(zhì)外,還需要加上增值準(zhǔn)則。”倪光南說,這方面美國經(jīng)驗值得借鑒,“即產(chǎn)品必須是在美國當(dāng)?shù)厣a(chǎn)的、增值達到50%以上的產(chǎn)品,進口件組裝的不算本國產(chǎn)品。這個準(zhǔn)則對高技術(shù)產(chǎn)品和一般產(chǎn)品都適用。我們可以學(xué)習(xí)他們的經(jīng)驗,采用這個準(zhǔn)則。”倪光南認為,增值準(zhǔn)則的弊端在于容易發(fā)生把進口硬件貼個牌子冒充國產(chǎn),或者把進口軟件通過整合變成國產(chǎn)解決方案的問題。況且,增值大小還可以作為國產(chǎn)化程度的一種考量。“這是需要注意和防范的問題。”倪光南說。