倪光南：网络安全保障对互联网 战略十分重要 -凯发app

倪光南：网络安全保障对互联网 战略十分重要

完善等级保护工作

倪光南表示，等级安全保护工作是网络安全本质的需求，也是符合信息安全发展的规律，应该加强和完善等级保护工作。

提到等级保护，就必然要提及认证产品等级问题。等级保护尤其要对重要的要求高等级的产品保护，对一般的可能相对不那么需要。实际上由于各种原因，一个系统三级保护并不是说所有的产品都是三级，因为目前有些产品还没有相应的标准。产品的认证关键的等级保护和系统保护有关系，但也不完全等同。

倪光南建议在信息化建设中对于重要的产品应该优先采购通过高级别测评认证的产品，对关键技术核心领域，比如像cpu、操作系统这些技术软件也能进行分级认证。

倪光南举例，美国从2002年7月开始规定政府和军队必须优先采用通过cc认证的产品。cc认证是目前国际上通行的一个准则，从1985年开始国际上就有一些关于cc的准则，一直到1999年成为国际标准。我家在2001年采用相同标准成为国标就是18336。

在18336里我国相应的标准有七个级别，从eal1到eal7。这主要取决于产品的情况，比如目前对ic卡、sim卡最高到eal5，服务器操作系统最高到eal4，很多产品还没有这样的标准。我们希望按照这样的方式把重要的产品，包括关键核心技术设备也能够制定标准进行分级认证。

设立自主可控评估标准

在网络安全层面，“自主可控安全可信”是目前最常见的提法。如何达到这样的要求，倪光南认为，通过等级保护分级认证是十分必要的，网信办已经发布了网络安全审查制度，所以目前我们建议出台一些新的制度保证。自主可控是非常重要的条件，而且是可以评估的。

在自主可控的评估标准中，倪光南认为要从知识产权、技术能力、发展格局、供应链和“国产”资质五个维度进行评估。

在当前的国际竞争格局下，知识产权自主可控可以说是有一票否决权的，这个产品很好、技术很好就看你能不能采用就看是不是有知识产权，别人很可能用知识产权就卡住了你的脖子。

在知识产权上面一层就是技术能力。如果没有技术能力支撑就无法掌握知识产权，买来的产品还需要外国人来设计。所以自主可控包含一定的技术能力也就是创新能力。

从长期看，自主可控还需要具备后续发展的能力。倪光南举例，比如国内很多手机厂商都在安卓系统上做本地化的改进，但是你当前看可能暂时没有问题，有能力做改变但是关键是发展是谁掌握的。如果新的版本不能兼容，你是否还有继续发展的能力?

自主可控还需要完整供应链的支持。比如芯片产业，你能设计这个芯片，好像知识产权似乎没问题，但是你发现你做不了，国内无法生产，你还得交到外国厂子生产，最后你发现还是被别人控制的，还是受制于人的。