“对网络安全的要求是‘自主可控、安全可信’，这里，我们把自主可控作为安全可信的一个前提，它可以通过第三方机构进行评估，作为衡量软硬件安全属性的一项指标。”中国工程院院士倪光南在日前召开的2015中国网络安全大会上表示。

 

　　应加强并完善计算机系统等级保护制度

 

　　自1994年起，国家陆续出台了一系列实施计算机系统等级保护制度的文件，这些制度目前处于推广阶段。实行信息安全等级保护是客观需求，也符合信息安全发展规律。当前，我们应加强并完善等级保护工作，为保障网络安全、信息安全服务。与此相应，对信息产品要实行分级测评认证。

 

　　据了解，国际上采用的“通用准则（CC）”到1999年成为国际标准（ISO/IEC 15408）。我国于2001年采用这一标准，称为国标GB/T 18336，共分七个安全等级，从低到高，分别为EAL1～EAL7。

 

　　“我们希望信息系统从设计、采购、选型等开始，就以等级保护作为指导。”倪光南表示，美国从2002年7月起，规定政府和军队采购必须优先选用通过CC认证的产品。

 

　　“我们可以借鉴他们的做法，今后要求政府和重要信息系统建设优先采购通过分级测评认证的产品。这种做法既有利于增强网络安全，又符合市场经济自由竞争原则，可以公开、公平、公正地推行。”倪光南说。

 

　　据介绍，现在我国IC卡、SIM卡保护等级最高可达EAL5，操作系统最高可达到EAL4，将来能否达到更高的安全级别还有待研究。

 

　　倪光南表示，目前在这方面我们的标准工作还跟不上需求。“例如对生物特征进行识别，现在只有虹膜识别系统有个标准，而对指纹、掌纹、人脸、声纹等的识别，现在都还没有标准。”

 

　　倪光南认为，现有的分级测评标准远远跟不上安全发展的需要。今后，分级测评认证标准要适应新一代信息技术的要求。

 

　　最近推出的航天元心的移动操作系统，通过研制单位和测评认证机构的共同努力，基本上通过了EAL4测评认证，并在此基础上相应的标准正在加紧制定。“今后这有望作为重要部门采购移动终端的一个必要条件，国产桌面操作系统也可以仿照这一先例。”倪光南表示。

 

　　“我们希望将来重要信息系统，应当采购或者优先采购通过分级测评认证、达到高安全等级的产品，例如要求达到EAL4或EAL3等级，这需要通过第三方机构测评，是可以做到公开、公平、公正的，这样做有助于增进网络安全。”倪光南坦言。