各位领导，各位嘉宾，我给大家介绍一下网络安全测评认证的看法。大家看这个大会的名称觉得非常重要，我建议把网络安全翻译为Cybersecurity，网络安全应该包含了实体空间和虚拟空间，因为我们讲的网络安全，不仅包含物理网络的安全，也包含虚拟网络的安全，所以用Cybersecurity可能更为确切。

过去信息化建设选购一些产品，或者立项，网络中技术指标先进性，还有经济指标、价格等等，我们建议还要强调网络安全，这个指标是可以考量的，可以通过第三方测试平台进行安全指标评估。可惜现在还没有，我希望有，特别是现在已经做的制度能不能参照一下，这可以探讨，是不是正确，是不是可行，大家研究，我们抛砖引玉。

一、加强并完善等级保护工作。

等级保护，2003年国家在这方面就要做一个制度，陆续出台了一些文件，目前处于推广阶段。所以，等级保护制度可以为我们评估相应的产品、服务、项目作为参考，因为等级保护本身就是为保护安全，不是所有的信息资产都是保护等级最高级的，有些信息重要，有些没那么重要，这个可以用等级保护来区分。我们希望从设计、选型开始就用等级保护来指导。参照国际上，比如美国2002年7月对政府和军队采购已经规定必须优先采用通过CCC认证的产品。我们可以借鉴，考虑对重要的信息系统采购进行等级保护认证，或者说分级测试认证，比较高水平的认证，甚至有些时候可以作为强制认证，这个目前还没做到，我们能不能把等级保护制度放在这个采购的指标考量里面，要研究。如果我们有些地方进行强制认证可能更有利于符合网络安全的要求。

分级测评认证。等级保护可以借鉴的是产品分级测试认证，这是从国际上，最早的TC到CC，现在我们国家等同的标准是GB/T18336，七个等级，相当于EAL1-EAL7，这是我们可以考虑的，以现成国际通用的，还有我们国家相应的标准，是不是可以拿来作为我们评估信息相应网络安全的参照。

不同的产品，比如现在IC卡、SIM卡最高可达EAL5，服务器操作系统最高可达到EAL4，那EAL6、7是不是能够达到，标准能不能跟上都是问题，特别是我们过去这些方面标准比较少，我查了有36个方面的等保标准，分级也相对少，可能将来我们要扩展。标准要扩展，范围也要扩展，比如分级测试标准，列入的是一小块，现在看来是很小一部分。生命特征有虹膜识别系统，指纹、掌纹、人脸、声纹都没标准，现在大家知道身份识别标准非常重要，这些远远跟不上我们发展的需要，跟不上标准的建设，将来通过分级测试认证选购我们所需要的产品，不同的产品要有不同的要求，新的信息技术，尤其云计算、大数据都还来不及做。相关部门要抓紧开展研究，如何为我们分级测试标准，加强我国网络设施安全相关要求提供支撑，这是我们需要留给大家，请大家研究的问题。我们希望将来重要信息系统，很多都要以分级测试标准去选购。我要求1、2、3比较简单，这需要第三方测试评估标准加以评估的。

二、自主可控的评估标准。

不管怎么样，分级测试可以解决一部分问题，但不可能全部。就像性能指标一样，存储容量、主频、计算能力、价格等指标，我们有自主可控的程度是不是可以呢？考虑总的标准，这里提了8个字“自主可控、安全可信”是概括我们对于一个系统、产品和提出这8个字作为我们的要求，但这8个字怎么来体现和评估需要大家研讨。有些专门制度，比如网络安全审查制度，网信办制订的，但这个制度不可能随时拿出来用，需要的时候可用。所以，我们需要更方便，更经常性的，在我们选购立项等等评估标准。所以，我们自己提出来，“自主可控”是我们现在可以定义可评估的标准，比较容易立项加以评估，“安全可信”比较难一点，需要大家探讨。

自主可控也是很重要的，我们把自主可控作为安全可信的一个前提，自主可控达不到你说安全可信那是空话，因为自主可控可以首先做到没恶意后门，自己有能力可以进行改进，进行治理，不断发展。自主可控我们首先把它定义为属性，是可以评估的，可以独立与场景和生命周期，一系列作为第三方机构进行安全评估。但安全可信复杂得多。所以我们现在提出自主可控五个维度：知识产权、能力、发展（条件）、供应链、“国产”资质。

可能还有一些维度，我们主要提出这五方面：

1、知识产权（包括标准）自主可控。

知识产权非常重要，知识产权不可靠，那就免谈，这个项目我们最终不能去支持，因为当前国际形势，我们面向全球化的情况之下，知识产权必须得重视，必须很好解决，不是所有的知识产权都是自己的，但可以通过授权方式，商业规则，通过这些方面拿到有足够的自主权，能够自主可控的知识产权，如果不通过这些，下面不能做，做了也没意思。

2、能力自主可控。

要有足够能力强的队伍，否则知识产权是空话，没有人掌握这个知识产权和这项技术没用，最后还不是一个知识产权。所以，人很重要，假如这个公司没有这个团队是空话，你做不到自主可控，这个维度也很重要，当然我们会要求比较高，最高这个能力不仅能掌握变成生产产品，变成很好的产品和服务，可能需要产业链能够保证，需要有时候把你的生态系统都能构建起来。

3、发展自主可控。

这是实际碰到的问题，有时候知识产权和能力都可以做，有时候不能做，因为你没有发展的自主可控，你知道这个技术要废弃了，这个技术要过时你要用，你知道能力很强，知识产权掌握了，但知道几年以后要废弃了就不要去做。有的现在看起来还可以，假如你不是真正掌握今后发展的主动权，比如Android操作系统，你能否保证Android今后的发展能按照你的要求去做，做不到，发展哪个版本你能继续做你不能保证，就是你不能掌握未来，要看长远一些，不能看眼前。我们要尽量考虑长远发展。

4、供应链自主可控。

供应链中看起来某一个环节可以，但供应链不能解决，但技术安全不行，比如芯片有问题，即使你知识产权有，能设计出来，但生产不出来有用吗？最后你发现还得为人家生产，生产过程你不能控制，这个重大的环节不能控制，可能你这个产品就不能做到自主可控，实际也不能保证你的安全的。

5、“国产”资质。

国产化不等于就是自主可控，只是自主可控的一个环节。知识产权法从2002年到现在，虽然政府采购说优先采购国产产品和货物、工程，但大家知道没有一个统一的界定，这是很大的问题，我们希望这方面应该出台一个标准，不是你说了之后没用，大家最后自己做自己的。

发达国家怎么做的？我们参照美国的说法，美国是通过“增值”原则，如果美国的增值达到50%就可以评估国产。高科技的对一般产品都适用，增值包括材料等等，我们可以从这个角度评价，但我们目前拿出的标准是不合理的。机制还有内资、外资、VIE，我们认为可以加上增值原则，这样可以避免通过没有科学的建立，有些硬件贴个牌子，进口贴个牌子就是国产的。软件怎么办呢？集成一下提供解决方案就增值能力就变成国产能力了。增值税发票大家知道，看你抵扣很容易区分你的国产化程度。

这是我们建议在自主可控情况下这五个维度的标准，是否可操作，是否可以成为标准需要大家在实际之中改进。谢谢大家！