2019年4月1日，《信息技術(shù)產(chǎn)品安全可控評價(jià)指標》（以下簡(jiǎn)稱(chēng)《標準》）系列國家標準正式實(shí)施。這是由全國信息安全標準化技術(shù)委員會(huì )（SAC/TC 260）提出并歸口，并經(jīng)國家市場(chǎng)監督管理總局、國家標準化管理委員會(huì )批準發(fā)布的國家標準。標準的前五部分于2018年9月以推薦性國家標準形式發(fā)布，主要規定了信息技術(shù)產(chǎn)品安全可控評價(jià)指標和評價(jià)方法。未來(lái)根據需要還將編制其他產(chǎn)品的安全可控評價(jià)指標。

2016年10月9日，習近平總書(shū)記在中共中央政治局第三十六次集體學(xué)習時(shí)提出，“加快推進(jìn)國產(chǎn)自主可控替代計劃，構建安全可控的信息技術(shù)體系”“實(shí)施網(wǎng)絡(luò )信息領(lǐng)域核心技術(shù)設備攻堅戰略”。這充分說(shuō)明，“構建安全可控的信息技術(shù)體系”是我國網(wǎng)信領(lǐng)域的一項重大任務(wù)。

產(chǎn)業(yè)發(fā)展以及技術(shù)體系的建立離不開(kāi)標準的規范。為促進(jìn)安全可控這一領(lǐng)域的快速發(fā)展，由全國信息安全標準化技術(shù)委員會(huì )（SAC/TC 260）提出并歸口，并經(jīng)國家市場(chǎng)監督管理總局、國家標準化管理委員會(huì )批準發(fā)布的《信息技術(shù)產(chǎn)品安全可控評價(jià)指標》系列國家標準出臺并于近日正式實(shí)施。

根據《標準》，第一部分為總則，明確了安全可控評價(jià)指標體系，從研發(fā)生產(chǎn)、供應鏈和運維服務(wù)三個(gè)角度，提出了產(chǎn)品設計實(shí)現透明性、產(chǎn)品實(shí)現驗證、供應鏈保障能力、服務(wù)保障能力等評價(jià)指標項，同時(shí)給出了評價(jià)的原則和程序等，為編制具體信息技術(shù)產(chǎn)品的安全可控評價(jià)指標和開(kāi)展評價(jià)工作提供了指引。第二到五部分則依據總則分別針對中央處理器、操作系統、辦公套件和通用計算機產(chǎn)品給出具體的評價(jià)指標。

回顧過(guò)去，“棱鏡門(mén)事件”、“勒索病毒事件”、“烏克蘭停電事件”、“中興事件”充分證明了我們的核心技術(shù)不能受制于人，沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全。網(wǎng)絡(luò )時(shí)代，稍有不慎，我們就將暴露于各種風(fēng)險之下。

《標準》提出，信息技術(shù)產(chǎn)品在安全可控方面所面臨的風(fēng)險主要包括：

目前，Wintel在中國一統天下。這些國外產(chǎn)品往往存在后門(mén)，用戶(hù)在遇到問(wèn)題的情況下只能被動(dòng)挨打，而自主可控意味著(zhù)不存在后門(mén)，可以主動(dòng)增強安全，用戶(hù)發(fā)現漏洞后可以主動(dòng)打補丁。

當然，“國產(chǎn)的”并非表示一定安全，更不是安全的充分條件。國外先進(jìn)技術(shù)之所以能夠得到廣泛的普及，與其相對可靠有著(zhù)直接的關(guān)系。他們的產(chǎn)品被大量用戶(hù)反復驗證其可靠性和正確性。很多“國產(chǎn)化”的產(chǎn)品并非沒(méi)有安全問(wèn)題，而是存在的安全問(wèn)題我們并未發(fā)現。技術(shù)發(fā)展沒(méi)有捷徑，需要長(cháng)期不懈的刻苦攻關(guān)才能完善。此《標準》的提出是為了扎實(shí)推進(jìn)國產(chǎn)自主可控替代計劃，使國產(chǎn)信息技術(shù)產(chǎn)品更加安全可控。

《標準》制定的目的是為了安全可控，具體而言，安全可控保障是應用方信任信息技術(shù)產(chǎn)品滿(mǎn)足其安全可控需求的基礎，其目標是保護應用方的數據支配權、產(chǎn)品控制權和產(chǎn)品選擇權。其中：

該系列國家標準的制定，為落實(shí)《國家安全法》、《網(wǎng)絡(luò )安全法》等政策法規，有效提升我國信息技術(shù)產(chǎn)品安全可控水平，保障國家網(wǎng)絡(luò )安全提供了重要支撐。其作用主要體現在以下兩方面：

一是為信息技術(shù)產(chǎn)品廠(chǎng)商提升自身安全可控能力提供依據，推動(dòng)各廠(chǎng)商不斷強化核心技術(shù)掌握能力、供應鏈保障能力等，使安全可控從此有了“標尺”，有助于提升整個(gè)行業(yè)的安全可控能力；

二是為推動(dòng)信息技術(shù)產(chǎn)品應用單位提升安全可控保障能力提供手段，為主管部門(mén)評估各應用單位信息系統的安全可控水平提了量化依據，進(jìn)而有效督促重要領(lǐng)域和關(guān)鍵行業(yè)提升安全可控水平，保障國家關(guān)鍵信息基礎設施安全運行。

附件：

GB_T 36630.1-2018 信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價(jià)指標 第1部分：總則.pdf

GB_T 36630.2-2018 信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價(jià)指標 第2部分：中央處理器.pdf

GB_T 36630.3-2018 信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價(jià)指標 第3部分：操作系統.pdf

GB_T 36630.4-2018 信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價(jià)指標 第4部分：辦公套件.pdf

GB_T 36630.5-2018 信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價(jià)指標 第5部分：通用計算機.pdf

參考文獻

[1]《<信息技術(shù)產(chǎn)品安全可控評價(jià)指標>系列國家標準獲批發(fā)布》[EB/OL].中國電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò )空間所.2018-09-30

[2]《構建安全可控的信息技術(shù)體系》[EB/OL].倪光南.2018-05-11

[3]范科峰 工信部電子工業(yè)標準化研究院信息安全研究中心.《自主可控期待可量化標準》[J].信息安全與通信保密.2014.09:35-36

[4]《信息技術(shù)產(chǎn)品安全可控評價(jià)指標》系列國家標準GB/T 36630-2018 [Z].2018-09-17

來(lái)源： 自主可控新鮮事