第二届世界互联网大会网络安全论坛于12月16日下午在浙江乌镇举行。论坛旨在搭建一个交流网络安全技术的重要平台、促进全球网络安全合作的重要桥梁、让世界了解中国的重要窗口。来自联合国、中国、美国、以色列、韩国、南非等多个国家和组织的近20位嘉宾发表演讲。

中国信息安全认证中心主任魏昊在演讲中表示,标准认证是网络安全治理体系的重要支撑。世界网络互联互通,网络安全标准国际合作必不可少。中国应该秉持“开放、共享、合作”的原则,积极推动国际合作,努力构建共享、共治的网络安全国际体系。以下为演讲全文:

非常高兴今天下午在这儿能够和大家分享网络安全标准和认证认可的工作。今天我讲的题目可能有点多,有三个题目,所以我争取在标准时间之内完成,要不然就不可能叫标准和认证了。

第一个题目是网络安全保障需要标准和认证的支撑。大家都知道,我们现在进入了第五空间,大家的社会生活享受了网络的福利,同时我们也受到了网络空间危险给我们带来的危害。纵观各国应对网络空间危险或者风险的策略,我们找到了一些共通的、普适性的措施,包括了它的组织体系、技术体系,也包括它的资源体系。应对和预防网络安全风险离不开这样的战略性安排。在这个战略性的安排当中我们看到标准和认证的认可所处的位置,大概是技术支撑当中。

再从技术层面看一下标准和认证,在目前的实践状态当中是如何来支撑或者来保障网络安全的。就现在目前存在的形式来看,在实物层面,就是ICT产品安全。另外一种形式的认证就是管理体系的认证,最著名的标准是27000,正好SC27的主席在这儿,在管理体系、管理制度和业务流程方面为网络安全提供保障。

第三,服务安全的认证,对服务提供方的能力、过程和行为按标准提供保障。最后还有人员认证,就是从事网络安全人员的能力、知识、资历等方面的保障。这是资源层面的认证。

这就是网络安全保障需要认证、认可支撑的含义,也是我们在实践当中正在做的工作。

二,介绍一下中国标准和认证体系建设目前取得的进展和情况。中国现在建立了一个完整的标准化工作体系,政府的管理层面,国家标准化管理委员会组织进行全面的管理。在这个标准化管理委员会之下一共有537个标准委员会,负责各个方面的标准。在信息安全方面,2002年我们成立了全国信息安全标准化技术委员会(TC260),TC260也有一个完整的组织体系,有一个相对比较完整的标准体系框架,就是整个大家族的体系结构,到目前为止发布了160项标准,还有更多的标准正在计划当中。

总而言之,中国的标准体系完整的覆盖了国民经济和社会发展的各个领域。第二,在网络安全方面我们也形成了我们自己的组织体系和标准体系框架。当然这个框架还需要进一步的改进。在认证认可方面,首先有一个小解释,大家知道认证是针对于产品、服务或者人员符合标准,或者规范规定要求的一种评价和证明的活动。认可是什么?认可是对认证行为、认证机构的一种规制和一种能力的评价和证明。所以认可在认证的层次之上,代表国家权威的认证实施管理,叫做认证认可实施制度。中国目前拥有的认证认可体系也有两个特点,一个是全世界最大,这个体系所产生的认证证书有140多万张,是全世界第一的。第二,认可的实验室,认证机构的数量、检验机构的数量加起来也是全世界第一的。中国这样大的国家需要有体系支撑。在信息安全领域我们也建立了自己的认证体系,我们的中心承担了信息安全认证工作,在相关部门、相关方面,在专家的参与之下建立了统一信息安全产品的认证体系。这就是我们中心所做的工作。

最后一个方面是关于网络安全治理在国际视野之下的认证认可,国际合作如何来发挥作用。这张图表示的是在治理的理念和管理的理念下,治理主要的精神在于各方参与,通过协调,甚至妥协来达到各方利益的平衡。在这样的治理体系之下至少会有立法和战略在顶层位置。立法和战略需要标准和规范的支撑,标准和规范的实施在全球范围之内需要透明、需要证明,需要证明按照统一的标准来实施,按照统一标准实施的效果大家是能够互认的。这就是认证、认可,以及认证、认可国际合作的价值所在。这样的体系逻辑,就是从国际治理共识到国际规则,到国际标准,到国际认证认可体系,我们相信能够支撑我们对网络安全、网络空间治理的理想——互联互通、共享共治。

实际上目前认证认可领域各种国际组织和国际合作已经搭建了非常好的平台,我知道国际标准化组织、国际认可合作组织以及其他的相关国际组织都在国际标准制定、国际认证结果的互认方面做了很多的努力。这张片子就表示了这样的成果,我就不多说了。

从中国方面来讲,我们国家高度重视标准认证认可工作,也是积极的参与标准和认证认可领域的国际合作,并且取得了重要的进展。这两个条件加起来,我们中国在认证认可的方面,在网络安全治理领域加强和国际间的合作,推动国际治理体系的建设,坚持开放互信、互利共赢的态度,这是有可能的,而且是应该和努力实现的。

最后,标准认证是网络安全治理体系的重要支撑。世界网络互联互通,网络安全标准国际合作必不可少。中国应该秉持“开放、共享、合作”的原则,积极推动国际合作,努力构建共享、共治的网络安全国际体系。