亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

各位領(lǐng)導(dǎo)，各位嘉賓，我給大家介紹一下網(wǎng)絡(luò)安全測評認(rèn)證的看法。大家看這個大會的名稱覺得非常重要，我建議把網(wǎng)絡(luò)安全翻譯為Cybersecurity，網(wǎng)絡(luò)安全應(yīng)該包含了實體空間和虛擬空間，因為我們講的網(wǎng)絡(luò)安全，不僅包含物理網(wǎng)絡(luò)的安全，也包含虛擬網(wǎng)絡(luò)的安全，所以用Cybersecurity可能更為確切。

過去信息化建設(shè)選購一些產(chǎn)品，或者立項，網(wǎng)絡(luò)中技術(shù)指標(biāo)先進(jìn)性，還有經(jīng)濟(jì)指標(biāo)、價格等等，我們建議還要強(qiáng)調(diào)網(wǎng)絡(luò)安全，這個指標(biāo)是可以考量的，可以通過第三方測試平臺進(jìn)行安全指標(biāo)評估。可惜現(xiàn)在還沒有，我希望有，特別是現(xiàn)在已經(jīng)做的制度能不能參照一下，這可以探討，是不是正確，是不是可行，大家研究，我們拋磚引玉。

一、加強(qiáng)并完善等級保護(hù)工作。

等級保護(hù)，2003年國家在這方面就要做一個制度，陸續(xù)出臺了一些文件，目前處于推廣階段。所以，等級保護(hù)制度可以為我們評估相應(yīng)的產(chǎn)品、服務(wù)、項目作為參考，因為等級保護(hù)本身就是為保護(hù)安全，不是所有的信息資產(chǎn)都是保護(hù)等級最高級的，有些信息重要，有些沒那么重要，這個可以用等級保護(hù)來區(qū)分。我們希望從設(shè)計、選型開始就用等級保護(hù)來指導(dǎo)。參照國際上，比如美國2002年7月對政府和軍隊采購已經(jīng)規(guī)定必須優(yōu)先采用通過CCC認(rèn)證的產(chǎn)品。我們可以借鑒，考慮對重要的信息系統(tǒng)采購進(jìn)行等級保護(hù)認(rèn)證，或者說分級測試認(rèn)證，比較高水平的認(rèn)證，甚至有些時候可以作為強(qiáng)制認(rèn)證，這個目前還沒做到，我們能不能把等級保護(hù)制度放在這個采購的指標(biāo)考量里面，要研究。如果我們有些地方進(jìn)行強(qiáng)制認(rèn)證可能更有利于符合網(wǎng)絡(luò)安全的要求。

分級測評認(rèn)證。等級保護(hù)可以借鑒的是產(chǎn)品分級測試認(rèn)證，這是從國際上，最早的TC到CC，現(xiàn)在我們國家等同的標(biāo)準(zhǔn)是GB/T18336，七個等級，相當(dāng)于EAL1-EAL7，這是我們可以考慮的，以現(xiàn)成國際通用的，還有我們國家相應(yīng)的標(biāo)準(zhǔn)，是不是可以拿來作為我們評估信息相應(yīng)網(wǎng)絡(luò)安全的參照。

不同的產(chǎn)品，比如現(xiàn)在IC卡、SIM卡最高可達(dá)EAL5，服務(wù)器操作系統(tǒng)最高可達(dá)到EAL4，那EAL6、7是不是能夠達(dá)到，標(biāo)準(zhǔn)能不能跟上都是問題，特別是我們過去這些方面標(biāo)準(zhǔn)比較少，我查了有36個方面的等保標(biāo)準(zhǔn)，分級也相對少，可能將來我們要擴(kuò)展。標(biāo)準(zhǔn)要擴(kuò)展，范圍也要擴(kuò)展，比如分級測試標(biāo)準(zhǔn)，列入的是一小塊，現(xiàn)在看來是很小一部分。生命特征有虹膜識別系統(tǒng)，指紋、掌紋、人臉、聲紋都沒標(biāo)準(zhǔn)，現(xiàn)在大家知道身份識別標(biāo)準(zhǔn)非常重要，這些遠(yuǎn)遠(yuǎn)跟不上我們發(fā)展的需要，跟不上標(biāo)準(zhǔn)的建設(shè)，將來通過分級測試認(rèn)證選購我們所需要的產(chǎn)品，不同的產(chǎn)品要有不同的要求，新的信息技術(shù)，尤其云計算、大數(shù)據(jù)都還來不及做。相關(guān)部門要抓緊開展研究，如何為我們分級測試標(biāo)準(zhǔn)，加強(qiáng)我國網(wǎng)絡(luò)設(shè)施安全相關(guān)要求提供支撐，這是我們需要留給大家，請大家研究的問題。我們希望將來重要信息系統(tǒng)，很多都要以分級測試標(biāo)準(zhǔn)去選購。我要求1、2、3比較簡單，這需要第三方測試評估標(biāo)準(zhǔn)加以評估的。

二、自主可控的評估標(biāo)準(zhǔn)。

不管怎么樣，分級測試可以解決一部分問題，但不可能全部。就像性能指標(biāo)一樣，存儲容量、主頻、計算能力、價格等指標(biāo)，我們有自主可控的程度是不是可以呢？考慮總的標(biāo)準(zhǔn)，這里提了8個字“自主可控、安全可信”是概括我們對于一個系統(tǒng)、產(chǎn)品和提出這8個字作為我們的要求，但這8個字怎么來體現(xiàn)和評估需要大家研討。有些專門制度，比如網(wǎng)絡(luò)安全審查制度，網(wǎng)信辦制訂的，但這個制度不可能隨時拿出來用，需要的時候可用。所以，我們需要更方便，更經(jīng)常性的，在我們選購立項等等評估標(biāo)準(zhǔn)。所以，我們自己提出來，“自主可控”是我們現(xiàn)在可以定義可評估的標(biāo)準(zhǔn)，比較容易立項加以評估，“安全可信”比較難一點，需要大家探討。

自主可控也是很重要的，我們把自主可控作為安全可信的一個前提，自主可控達(dá)不到你說安全可信那是空話，因為自主可控可以首先做到?jīng)]惡意后門，自己有能力可以進(jìn)行改進(jìn)，進(jìn)行治理，不斷發(fā)展。自主可控我們首先把它定義為屬性，是可以評估的，可以獨立與場景和生命周期，一系列作為第三方機(jī)構(gòu)進(jìn)行安全評估。但安全可信復(fù)雜得多。所以我們現(xiàn)在提出自主可控五個維度：知識產(chǎn)權(quán)、能力、發(fā)展（條件）、供應(yīng)鏈、“國產(chǎn)”資質(zhì)。

可能還有一些維度，我們主要提出這五方面：

1、知識產(chǎn)權(quán)（包括標(biāo)準(zhǔn)）自主可控。

知識產(chǎn)權(quán)非常重要，知識產(chǎn)權(quán)不可靠，那就免談，這個項目我們最終不能去支持，因為當(dāng)前國際形勢，我們面向全球化的情況之下，知識產(chǎn)權(quán)必須得重視，必須很好解決，不是所有的知識產(chǎn)權(quán)都是自己的，但可以通過授權(quán)方式，商業(yè)規(guī)則，通過這些方面拿到有足夠的自主權(quán)，能夠自主可控的知識產(chǎn)權(quán)，如果不通過這些，下面不能做，做了也沒意思。

2、能力自主可控。

要有足夠能力強(qiáng)的隊伍，否則知識產(chǎn)權(quán)是空話，沒有人掌握這個知識產(chǎn)權(quán)和這項技術(shù)沒用，最后還不是一個知識產(chǎn)權(quán)。所以，人很重要，假如這個公司沒有這個團(tuán)隊是空話，你做不到自主可控，這個維度也很重要，當(dāng)然我們會要求比較高，最高這個能力不僅能掌握變成生產(chǎn)產(chǎn)品，變成很好的產(chǎn)品和服務(wù)，可能需要產(chǎn)業(yè)鏈能夠保證，需要有時候把你的生態(tài)系統(tǒng)都能構(gòu)建起來。

3、發(fā)展自主可控。

這是實際碰到的問題，有時候知識產(chǎn)權(quán)和能力都可以做，有時候不能做，因為你沒有發(fā)展的自主可控，你知道這個技術(shù)要廢棄了，這個技術(shù)要過時你要用，你知道能力很強(qiáng)，知識產(chǎn)權(quán)掌握了，但知道幾年以后要廢棄了就不要去做。有的現(xiàn)在看起來還可以，假如你不是真正掌握今后發(fā)展的主動權(quán)，比如Android操作系統(tǒng)，你能否保證Android今后的發(fā)展能按照你的要求去做，做不到，發(fā)展哪個版本你能繼續(xù)做你不能保證，就是你不能掌握未來，要看長遠(yuǎn)一些，不能看眼前。我們要盡量考慮長遠(yuǎn)發(fā)展。

4、供應(yīng)鏈自主可控。

供應(yīng)鏈中看起來某一個環(huán)節(jié)可以，但供應(yīng)鏈不能解決，但技術(shù)安全不行，比如芯片有問題，即使你知識產(chǎn)權(quán)有，能設(shè)計出來，但生產(chǎn)不出來有用嗎？最后你發(fā)現(xiàn)還得為人家生產(chǎn)，生產(chǎn)過程你不能控制，這個重大的環(huán)節(jié)不能控制，可能你這個產(chǎn)品就不能做到自主可控，實際也不能保證你的安全的。

5、“國產(chǎn)”資質(zhì)。

國產(chǎn)化不等于就是自主可控，只是自主可控的一個環(huán)節(jié)。知識產(chǎn)權(quán)法從2002年到現(xiàn)在，雖然政府采購說優(yōu)先采購國產(chǎn)產(chǎn)品和貨物、工程，但大家知道沒有一個統(tǒng)一的界定，這是很大的問題，我們希望這方面應(yīng)該出臺一個標(biāo)準(zhǔn)，不是你說了之后沒用，大家最后自己做自己的。

發(fā)達(dá)國家怎么做的？我們參照美國的說法，美國是通過“增值”原則，如果美國的增值達(dá)到50%就可以評估國產(chǎn)。高科技的對一般產(chǎn)品都適用，增值包括材料等等，我們可以從這個角度評價，但我們目前拿出的標(biāo)準(zhǔn)是不合理的。機(jī)制還有內(nèi)資、外資、VIE，我們認(rèn)為可以加上增值原則，這樣可以避免通過沒有科學(xué)的建立，有些硬件貼個牌子，進(jìn)口貼個牌子就是國產(chǎn)的。軟件怎么辦呢？集成一下提供解決方案就增值能力就變成國產(chǎn)能力了。增值稅發(fā)票大家知道，看你抵扣很容易區(qū)分你的國產(chǎn)化程度。

這是我們建議在自主可控情況下這五個維度的標(biāo)準(zhǔn)，是否可操作，是否可以成為標(biāo)準(zhǔn)需要大家在實際之中改進(jìn)。謝謝大家！