作者孙中婵

编辑杜思远

2019年4月1日,《信息技术产品安全可控评价指标》(以下简称《标准》)系列国家标准正式实施。这是由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口,并经国家市场监督管理总局、国家标准化管理委员会批准发布的国家标准。标准的前五部分于2018年9月以推荐性国家标准形式发布,主要规定了信息技术产品安全可控评价指标和评价方法。未来根据需要还将编制其他产品的安全可控评价指标。

安全可控领域标准正式实施

2016年10月9日,习近平总书记在中共中央政治局第三十六次集体学习时提出,“加快推进国产自主可控替代计划,构建安全可控的信息技术体系”“实施网络信息领域核心技术设备攻坚战略”。这充分说明,“构建安全可控的信息技术体系”是我国网信领域的一项重大任务。

产业发展以及技术体系的建立离不开标准的规范。为促进安全可控这一领域的快速发展,由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口,并经国家市场监督管理总局、国家标准化管理委员会批准发布的《信息技术产品安全可控评价指标》系列国家标准出台并于近日正式实施。

根据《标准》,第一部分为总则,明确了安全可控评价指标体系,从研发生产、供应链和运维服务三个角度,提出了产品设计实现透明性、产品实现验证、供应链保障能力、服务保障能力等评价指标项,同时给出了评价的原则和程序等,为编制具体信息技术产品的安全可控评价指标和开展评价工作提供了指引。第二到五部分则依据总则分别针对中央处理器、操作系统、办公套件和通用计算机产品给出具体的评价指标。

安全可控标准化势在必行

回顾过去,“棱镜门事件”、“勒索病毒事件”、“乌克兰停电事件”、“中兴事件”充分证明了我们的核心技术不能受制于人,没有网络安全就没有国家安全。网络时代,稍有不慎,我们就将暴露于各种风险之下。

《标准》提出,信息技术产品在安全可控方面所面临的风险主要包括:

a)产品被非法控制、干扰和中断运行;

b)产品及关键部件在生产 、测试、交付、技术支持过程中引发的供应链安全问题;

c)产品供应方利用提供产品的便利条件非法收集、存储、处理、使用、销毁用户相关数;

d)产品供应方利用应用方对产品的依赖实施不正当竞争或损害应用方利益;

e)其他可能危害国家安全和公共利益的情况。

目前,Wintel在中国一统天下。这些国外产品往往存在后门,用户在遇到问题的情况下只能被动挨打,而自主可控意味着不存在后门,可以主动增强安全,用户发现漏洞后可以主动打补丁。

当然,“国产的”并非表示一定安全,更不是安全的充分条件。国外先进技术之所以能够得到广泛的普及,与其相对可靠有着直接的关系。他们的产品被大量用户反复验证其可靠性和正确性。很多“国产化”的产品并非没有安全问题,而是存在的安全问题我们并未发现。技术发展没有捷径,需要长期不懈的刻苦攻关才能完善。此《标准》的提出是为了扎实推进国产自主可控替代计划,使国产信息技术产品更加安全可控。

安全可控从此有了“标尺”

《标准》制定的目的是为了安全可控,具体而言,安全可控保障是应用方信任信息技术产品满足其安全可控需求的基础,其目标是保护应用方的数据支配权、产品控制权和产品选择权。其中:

a) 数据支配权是指应用方能够自主控制自己的数据,信息技术产品供应方不在未经授权情况下以任何形式获取应用方的数据,损害应用方对自己数据的支配权;

b) 产品控制权是指应用方能够自主控制所使用的产品信息技术产品供应方不在未经授权情况下通过网络控制和操纵应用方产品,损害应用方对自己所拥有和使用产品的控制权;

c) 产品选择权是指信息技术产品供应方不应利用应用方对其产品和服务的依赖性牟取不当利益或损害应用方权益,包括停止提供合理的安全技术支持、迫使应用方更新换代、恶意中断产品供应等。

该系列国家标准的制定,为落实《国家安全法》、《网络安全法》等政策法规,有效提升我国信息技术产品安全可控水平,保障国家网络安全提供了重要支撑。其作用主要体现在以下两方面:

一是为信息技术产品厂商提升自身安全可控能力提供依据,推动各厂商不断强化核心技术掌握能力、供应链保障能力等,使安全可控从此有了“标尺”,有助于提升整个行业的安全可控能力;

二是为推动信息技术产品应用单位提升安全可控保障能力提供手段,为主管部门评估各应用单位信息系统的安全可控水平提了量化依据,进而有效督促重要领域和关键行业提升安全可控水平,保障国家关键信息基础设施安全运行。

附件:

GB/T 36630.1-2018《信息技术产品 信息技术产品安全可控评价指标 第1部分:总则》

GB/T 36630.2-2018《信息技术产品 信息技术产品安全可控评价指标 第2部分:中央处理器》

GB/T 36630.3-2018《信息技术产品 信息技术产品安全可控评价指标 第3部分:操作系统》

GB/T 36630.4-2018《信息技术产品 信息技术产品安全可控评价指标 第4部分:办公套件》

GB/T 36630.5-2018《信息技术产品 信息技术产品安全可控评价指标 第5部分:通用计算机》

参考文献

[1]《<信息技术产品安全可控评价指标>系列国家标准获批发布》[EB/OL].中国电子信息产业发展研究院网络空间所.2018-09-30

[2]《构建安全可控的信息技术体系》[EB/OL].倪光南.2018-05-11

[3]范科峰 工信部电子工业标准化研究院信息安全研究中心.《自主可控期待可量化标准》[J].信息安全与通信保密.2014.09:35-36

[4]《信息技术产品安全可控评价指标》系列国家标准GB/T 36630-2018 [Z].2018-09-17

声明:本文来自自主可控新鲜事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。