作者孫中嬋

編輯杜思遠

2019年4月1日,《信息技術產品安全可控評價指標》(以下簡稱《標準》)系列國家標準正式實施。這是由全國信息安全標準化技術委員會(SAC/TC 260)提出并歸口,并經國家市場監督管理總局、國家標準化管理委員會批準發布的國家標準。標準的前五部分于2018年9月以推薦性國家標準形式發布,主要規定了信息技術產品安全可控評價指標和評價方法。未來根據需要還將編制其他產品的安全可控評價指標。

安全可控領域標準正式實施

2016年10月9日,習近平總書記在中共中央政治局第三十六次集體學習時提出,“加快推進國產自主可控替代計劃,構建安全可控的信息技術體系”“實施網絡信息領域核心技術設備攻堅戰略”。這充分說明,“構建安全可控的信息技術體系”是我國網信領域的一項重大任務。

產業發展以及技術體系的建立離不開標準的規范。為促進安全可控這一領域的快速發展,由全國信息安全標準化技術委員會(SAC/TC 260)提出并歸口,并經國家市場監督管理總局、國家標準化管理委員會批準發布的《信息技術產品安全可控評價指標》系列國家標準出臺并于近日正式實施。

根據《標準》,第一部分為總則,明確了安全可控評價指標體系,從研發生產、供應鏈和運維服務三個角度,提出了產品設計實現透明性、產品實現驗證、供應鏈保障能力、服務保障能力等評價指標項,同時給出了評價的原則和程序等,為編制具體信息技術產品的安全可控評價指標和開展評價工作提供了指引。第二到五部分則依據總則分別針對中央處理器、操作系統、辦公套件和通用計算機產品給出具體的評價指標。

安全可控標準化勢在必行

回顧過去,“棱鏡門事件”、“勒索病毒事件”、“烏克蘭停電事件”、“中興事件”充分證明了我們的核心技術不能受制于人,沒有網絡安全就沒有國家安全。網絡時代,稍有不慎,我們就將暴露于各種風險之下。

《標準》提出,信息技術產品在安全可控方面所面臨的風險主要包括:

a)產品被非法控制、干擾和中斷運行;

b)產品及關鍵部件在生產 、測試、交付、技術支持過程中引發的供應鏈安全問題;

c)產品供應方利用提供產品的便利條件非法收集、存儲、處理、使用、銷毀用戶相關數;

d)產品供應方利用應用方對產品的依賴實施不正當競爭或損害應用方利益;

e)其他可能危害國家安全和公共利益的情況。

目前,Wintel在中國一統天下。這些國外產品往往存在后門,用戶在遇到問題的情況下只能被動挨打,而自主可控意味著不存在后門,可以主動增強安全,用戶發現漏洞后可以主動打補丁。

當然,“國產的”并非表示一定安全,更不是安全的充分條件。國外先進技術之所以能夠得到廣泛的普及,與其相對可靠有著直接的關系。他們的產品被大量用戶反復驗證其可靠性和正確性。很多“國產化”的產品并非沒有安全問題,而是存在的安全問題我們并未發現。技術發展沒有捷徑,需要長期不懈的刻苦攻關才能完善。此《標準》的提出是為了扎實推進國產自主可控替代計劃,使國產信息技術產品更加安全可控。

安全可控從此有了“標尺”

《標準》制定的目的是為了安全可控,具體而言,安全可控保障是應用方信任信息技術產品滿足其安全可控需求的基礎,其目標是保護應用方的數據支配權、產品控制權和產品選擇權。其中:

a) 數據支配權是指應用方能夠自主控制自己的數據,信息技術產品供應方不在未經授權情況下以任何形式獲取應用方的數據,損害應用方對自己數據的支配權;

b) 產品控制權是指應用方能夠自主控制所使用的產品信息技術產品供應方不在未經授權情況下通過網絡控制和操縱應用方產品,損害應用方對自己所擁有和使用產品的控制權;

c) 產品選擇權是指信息技術產品供應方不應利用應用方對其產品和服務的依賴性牟取不當利益或損害應用方權益,包括停止提供合理的安全技術支持、迫使應用方更新換代、惡意中斷產品供應等。

該系列國家標準的制定,為落實《國家安全法》、《網絡安全法》等政策法規,有效提升我國信息技術產品安全可控水平,保障國家網絡安全提供了重要支撐。其作用主要體現在以下兩方面:

一是為信息技術產品廠商提升自身安全可控能力提供依據,推動各廠商不斷強化核心技術掌握能力、供應鏈保障能力等,使安全可控從此有了“標尺”,有助于提升整個行業的安全可控能力;

二是為推動信息技術產品應用單位提升安全可控保障能力提供手段,為主管部門評估各應用單位信息系統的安全可控水平提了量化依據,進而有效督促重要領域和關鍵行業提升安全可控水平,保障國家關鍵信息基礎設施安全運行。

附件:

GB/T 36630.1-2018《信息技術產品 信息技術產品安全可控評價指標 第1部分:總則》

GB/T 36630.2-2018《信息技術產品 信息技術產品安全可控評價指標 第2部分:中央處理器》

GB/T 36630.3-2018《信息技術產品 信息技術產品安全可控評價指標 第3部分:操作系統》

GB/T 36630.4-2018《信息技術產品 信息技術產品安全可控評價指標 第4部分:辦公套件》

GB/T 36630.5-2018《信息技術產品 信息技術產品安全可控評價指標 第5部分:通用計算機》

參考文獻

[1]《<信息技術產品安全可控評價指標>系列國家標準獲批發布》[EB/OL].中國電子信息產業發展研究院網絡空間所.2018-09-30

[2]《構建安全可控的信息技術體系》[EB/OL].倪光南.2018-05-11

[3]范科峰 工信部電子工業標準化研究院信息安全研究中心.《自主可控期待可量化標準》[J].信息安全與通信保密.2014.09:35-36

[4]《信息技術產品安全可控評價指標》系列國家標準GB/T 36630-2018 [Z].2018-09-17

聲明:本文來自自主可控新鮮事,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在于傳遞更多信息。