开展评价工作提供了指引。第二到五部分则依据总则分别针对中央处理器、操作系统、办公套件和通用计算机产品给出具体的评价指标。

二、安全可控标准化势在必行

回顾过去,“棱镜门事件”、“勒索病毒事件”、“乌克兰停电事件”、“中兴事件”充分证明了我们的核心技术不能受制于人,没有网络安全就没有国家安全。网络时代,稍有不慎,我们就将暴露于各种风险之下。

《标准》提出,信息技术产品在安全可控方面所面临的风险主要包括:

a)产品被非法控制、干扰和中断运行;

b)产品及关键部件在生产 、测试、交付、技术支持过程中引发的供应链安全问题;

c)产品供应方利用提供产品的便利条件非法收集、存储、处理、使用、销毁用户相关数;

d)产品供应方利用应用方对产品的依赖实施不正当竞争或损害应用方利益;

e)其他可能危害国家安全和公共利益的情况。

目前,Wintel在中国一统天下。这些国外产品往往存在后门,用户在遇到问题的情况下只能被动挨打,而自主可控意味着不存在后门,可以主动增强安全,用户发现漏洞后可以主动打补丁。

当然,“国产的”并非表示一定安全,更不是安全的充分条件。国外先进技术之所以能够得到广泛的普及,与其相对可靠有着直接的关系。他们的产品被大量用户反复验证其可靠性和正确性。很多“国产化”的产品并非没有安全问题,而是存在的安全问题我们并未发现。技术发展没有捷径,需要长期不懈的刻苦攻关才能完善。此《标准》的提出是为了扎实推进国产自主可控替代计划,使国产信息技术产品更加安全可控。


三、安全可控从此有了“标尺”

《标准》制定的目的是为了安全可控,具体而言,安全可控保障是应用方信任信息技术产品满足其安全可控需求的基础,其目标是保护应用方的数据支配权、产品控制权和产品选择权。其中:

a) 数据支配权是指应用方能够自主控制自己的数据,信息技术产品供应方不在未经授权情况下以任何形式获取应用方的数据,损害应用方对自己数据的支配权;

b) 产品控制权是指应用方能够自主控制所使用的产品信息技术产品供应方不在未经授权情况下通过网络控制和操纵应用方产品,损害应用方对自己所拥有和使用产品的控制权;

c) 产品选择权是指信息技术产品供应方不应利用应用方对其产品和服务的依赖性牟取不当利益或损害应用方权益,包括停止提供合理的安全技术支持、迫使应用方更新换代、恶意中断产品供应等。

该系列国家标准的制定,为落实《国家安全法》、《网络安全法》等政策法规,有效提升我国信息技术产品安全可控水平,保障国家网络安全提供了重要支撑。其作用主要体现在以下两方面。

一是为信息技术产品厂商提升自身安全可控能力提供依据,推动各厂商不断强化核心技术掌握能力、供应链保障能力等,使安全可控从此有了“标尺”,有助于提升整个行业的安全可控能力;

二是为推动信息技术产品应用单位提升安全可控保障能力提供手段,为主管部门评估各应用单位信息系统的安全可控水平提了量化依据,进而有效督促重要领域和关键行业提升安全可控水平,保障国家关键信息基础设施安全运行。

扫一扫微信号Close
the qr code