今日頭條
官方微信
官方抖音
資訊頻道2019年4月1日,《信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)》(以下簡(jiǎn)稱《標(biāo)準(zhǔn)》)系列國(guó)家標(biāo)準(zhǔn)正式實(shí)施。這是由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC 260)提出并歸口,并經(jīng)國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)發(fā)布的國(guó)家標(biāo)準(zhǔn)。標(biāo)準(zhǔn)的前五部分于2018年9月以推薦性國(guó)家標(biāo)準(zhǔn)形式發(fā)布,主要規(guī)定了信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)和評(píng)價(jià)方法。未來(lái)根據(jù)需要還將編制其他產(chǎn)品的安全可控評(píng)價(jià)指標(biāo)。
1 安全可控領(lǐng)域標(biāo)準(zhǔn)正式實(shí)施
2016年10月9日,習(xí)近平總書記在中共中央政治局第三十六次集體學(xué)習(xí)時(shí)提出,“加快推進(jìn)國(guó)產(chǎn)自主可控替代計(jì)劃,構(gòu)建安全可控的信息技術(shù)體系”“實(shí)施網(wǎng)絡(luò)信息領(lǐng)域核心技術(shù)設(shè)備攻堅(jiān)戰(zhàn)略”。這充分說(shuō)明,“構(gòu)建安全可控的信息技術(shù)體系”是我國(guó)網(wǎng)信領(lǐng)域的一項(xiàng)重大任務(wù)。
產(chǎn)業(yè)發(fā)展以及技術(shù)體系的建立離不開(kāi)標(biāo)準(zhǔn)的規(guī)范。為促進(jìn)安全可控這一領(lǐng)域的快速發(fā)展,由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC 260)提出并歸口,并經(jīng)國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)發(fā)布的《信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)》系列國(guó)家標(biāo)準(zhǔn)出臺(tái)并于近日正式實(shí)施。
根據(jù)《標(biāo)準(zhǔn)》,第一部分為總則,明確了安全可控評(píng)價(jià)指標(biāo)體系,從研發(fā)生產(chǎn)、供應(yīng)鏈和運(yùn)維服務(wù)三個(gè)角度,提出了產(chǎn)品設(shè)計(jì)實(shí)現(xiàn)透明性、產(chǎn)品實(shí)現(xiàn)驗(yàn)證、供應(yīng)鏈保障能力、服務(wù)保障能力等評(píng)價(jià)指標(biāo)項(xiàng),同時(shí)給出了評(píng)價(jià)的原則和程序等,為編制具體信息技術(shù)產(chǎn)品的安全可控評(píng)價(jià)指標(biāo)和開(kāi)展評(píng)價(jià)工作提供了指引。第二到五部分則依據(jù)總則分別針對(duì)中央處理器、操作系統(tǒng)、辦公套件和通用計(jì)算機(jī)產(chǎn)品給出具體的評(píng)價(jià)指標(biāo)。
2 安全可控標(biāo)準(zhǔn)化勢(shì)在必行
回顧過(guò)去,“棱鏡門事件”、“勒索病毒事件”、“烏克蘭停電事件”、“中興事件”充分證明了我們的核心技術(shù)不能受制于人,沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。網(wǎng)絡(luò)時(shí)代,稍有不慎,我們就將暴露于各種風(fēng)險(xiǎn)之下。
《標(biāo)準(zhǔn)》提出,信息技術(shù)產(chǎn)品在安全可控方面所面臨的風(fēng)險(xiǎn)主要包括:
a)產(chǎn)品被非法控制、干擾和中斷運(yùn)行;
b)產(chǎn)品及關(guān)鍵部件在生產(chǎn) 、測(cè)試、交付、技術(shù)支持過(guò)程中引發(fā)的供應(yīng)鏈安全問(wèn)題;
c)產(chǎn)品供應(yīng)方利用提供產(chǎn)品的便利條件非法收集、存儲(chǔ)、處理、使用、銷毀用戶相關(guān)數(shù);
d)產(chǎn)品供應(yīng)方利用應(yīng)用方對(duì)產(chǎn)品的依賴實(shí)施不正當(dāng)競(jìng)爭(zhēng)或損害應(yīng)用方利益;
e)其他可能危害國(guó)家安全和公共利益的情況。
目前,Wintel在中國(guó)一統(tǒng)天下。這些國(guó)外產(chǎn)品往往存在后門,用戶在遇到問(wèn)題的情況下只能被動(dòng)挨打,而自主可控意味著不存在后門,可以主動(dòng)增強(qiáng)安全,用戶發(fā)現(xiàn)漏洞后可以主動(dòng)打補(bǔ)丁。
當(dāng)然,“國(guó)產(chǎn)的”并非表示一定安全,更不是安全的充分條件。國(guó)外先進(jìn)技術(shù)之所以能夠得到廣泛的普及,與其相對(duì)可靠有著直接的關(guān)系。他們的產(chǎn)品被大量用戶反復(fù)驗(yàn)證其可靠性和正確性。很多“國(guó)產(chǎn)化”的產(chǎn)品并非沒(méi)有安全問(wèn)題,而是存在的安全問(wèn)題我們并未發(fā)現(xiàn)。技術(shù)發(fā)展沒(méi)有捷徑,需要長(zhǎng)期不懈的刻苦攻關(guān)才能完善。此《標(biāo)準(zhǔn)》的提出是為了扎實(shí)推進(jìn)國(guó)產(chǎn)自主可控替代計(jì)劃,使國(guó)產(chǎn)信息技術(shù)產(chǎn)品更加安全可控。
3 安全可控從此有了“標(biāo)尺”
《標(biāo)準(zhǔn)》制定的目的是為了安全可控,具體而言,安全可控保障是應(yīng)用方信任信息技術(shù)產(chǎn)品滿足其安全可控需求的基礎(chǔ),其目標(biāo)是保護(hù)應(yīng)用方的數(shù)據(jù)支配權(quán)、產(chǎn)品控制權(quán)和產(chǎn)品選擇權(quán)。其中:
a) 數(shù)據(jù)支配權(quán)是指應(yīng)用方能夠自主控制自己的數(shù)據(jù),信息技術(shù)產(chǎn)品供應(yīng)方不在未經(jīng)授權(quán)情況下以任何形式獲取應(yīng)用方的數(shù)據(jù),損害應(yīng)用方對(duì)自己數(shù)據(jù)的支配權(quán);
b) 產(chǎn)品控制權(quán)是指應(yīng)用方能夠自主控制所使用的產(chǎn)品信息技術(shù)產(chǎn)品供應(yīng)方不在未經(jīng)授權(quán)情況下通過(guò)網(wǎng)絡(luò)控制和操縱應(yīng)用方產(chǎn)品,損害應(yīng)用方對(duì)自己所擁有和使用產(chǎn)品的控制權(quán);
c) 產(chǎn)品選擇權(quán)是指信息技術(shù)產(chǎn)品供應(yīng)方不應(yīng)利用應(yīng)用方對(duì)其產(chǎn)品和服務(wù)的依賴性牟取不當(dāng)利益或損害應(yīng)用方權(quán)益,包括停止提供合理的安全技術(shù)支持、迫使應(yīng)用方更新?lián)Q代、惡意中斷產(chǎn)品供應(yīng)等。
該系列國(guó)家標(biāo)準(zhǔn)的制定,為落實(shí)《國(guó)家安全法》、《網(wǎng)絡(luò)安全法》等政策法規(guī),有效提升我國(guó)信息技術(shù)產(chǎn)品安全可控水平,保障國(guó)家網(wǎng)絡(luò)安全提供了重要支撐。其作用主要體現(xiàn)在以下兩方面:
一是為信息技術(shù)產(chǎn)品廠商提升自身安全可控能力提供依據(jù),推動(dòng)各廠商不斷強(qiáng)化核心技術(shù)掌握能力、供應(yīng)鏈保障能力等,使安全可控從此有了“標(biāo)尺”,有助于提升整個(gè)行業(yè)的安全可控能力;
二是為推動(dòng)信息技術(shù)產(chǎn)品應(yīng)用單位提升安全可控保障能力提供手段,為主管部門評(píng)估各應(yīng)用單位信息系統(tǒng)的安全可控水平提了量化依據(jù),進(jìn)而有效督促重要領(lǐng)域和關(guān)鍵行業(yè)提升安全可控水平,保障國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行。
附件:
GB_T 36630.1-2018 信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo) 第1部分:總則.pdf
GB_T 36630.2-2018 信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo) 第2部分:中央處理器.pdf
GB_T 36630.3-2018 信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo) 第3部分:操作系統(tǒng).pdf
GB_T 36630.4-2018 信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo) 第4部分:辦公套件.pdf
GB_T 36630.5-2018 信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo) 第5部分:通用計(jì)算機(jī).pdf
參考文獻(xiàn)
[1]《<信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)>系列國(guó)家標(biāo)準(zhǔn)獲批發(fā)布》[EB/OL].中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò)空間所.2018-09-30
[2]《構(gòu)建安全可控的信息技術(shù)體系》[EB/OL].倪光南.2018-05-11
[3]范科峰 工信部電子工業(yè)標(biāo)準(zhǔn)化研究院信息安全研究中心.《自主可控期待可量化標(biāo)準(zhǔn)》[J].信息安全與通信保密.2014.09:35-36
[4]《信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)》系列國(guó)家標(biāo)準(zhǔn)GB/T 36630-2018 [Z].2018-09-17
來(lái)源: 自主可控新鮮事
北京市公安局海淀分局備案號(hào):11010802023656號(hào)