重模仿轻创新,网络安全产品不安全?对话张峰:要把标准提高
导读:如果“底座”不稳、根基不牢,出现“安全产品不安全”的问题,那该怎么办?带着这些年持续深入调研而形成的思考,全国政协委员、中国信息安全测评中心主任张峰于今年两会期间,提交了一份关于提升网络安全产品创新能力的提案。
今年全国两会,首次写入政府工作报告的新质生产力,无疑是个高频词。在全新的生产力变革中,高质量的发展离不开高水平的安全——尤其是网络安全对智能生产、业务创新、数据与个人隐私保护等,起到基石作用。
可是如果“底座”不稳、根基不牢,出现“安全产品不安全”的问题,那该怎么办?带着这些年持续深入调研而形成的思考,全国政协委员、中国信息安全测评中心主任张峰于今年两会期间,提交了一份关于提升网络安全产品创新能力的提案。
全国政协委员、中国信息安全测评中心主任张峰(受访者供图)
他认为在美国对华脱钩断链、多重施压的背景下,网络安全产品的自主性、安全性、创新性尤为关键,当前亟须从产业政策、技术创新和安全监管等方面综合施策,提升网络安全产品核心竞争力,为我国网络安全产业高质量发展护航。
网络安全产品同质化严重,行业囿于低水平重复竞争
南都:今年您有一份提案,建议提升网络安全产品创新能力。是如何关注到这一问题的?
张峰:党的十八大以后,国家网络安全受到高度重视。其中有几个标志:一是成立了中央网信委;二是随着《网络安全法》《个人信息保护法》《数据安全法》等法律法规的出台,网络领域的法治建设上取得了长足的进步;三是从2014年开始,每年举办国家网络安全宣传周。
在此背景下,我国网络安全产业迅速发展;很多高校已经建立或正在申请网络安全专业,加强了网络安全后备人才的培养;全社会的网络安全意识也进一步增强。
在取得一系列成果的同时,我们也要清楚地认识到信息化浪潮中存有的安全隐忧。如何统筹发展与安全的关系,我个人认为当前做得还不够。基于这几年的持续关注和调研发现,我今年带来一份提案,呼吁提升网络安全产品核心竞争力。
南都:据您调研发现,当前网络安全产品存在哪些突出问题?
张峰:我在提案中总结了四方面的问题:一是质量参差,短板效应明显。据我了解,国内网络安全市场体量约占全球6%,但产品质量与国外先进水平存在较大差距,主要表现出同质化严重,囿于低水平重复竞争;安全漏洞频现、“安全产品不安全”;国际品牌效应缺乏的问题。
二是对抗性弱,防护能力有限。在适应网络空间实战需求方面,我国网络安全产品还存在不少薄弱点——比如系统化动态防御理念未建立,精细化的防护系统还未普及,协同化产品还未有效统筹。
三是自主可控程度偏低,“底座”不稳,根基不牢。我国网络安全产品存在“沙滩建楼”的现象,具体表现为核心代码自主率低,未形成闭环的网络安全防御体系;基础软件大量依赖开源系统,供应链不透明问题突出。
四是原始创新能力较弱,理念引领力不够,前瞻性不足。重模仿轻创新,原始创新能力不足,是我国网络安全产业发展面临的痛点。我们在理念引领、场景创新、前瞻布局和自主创新能力上,仍需加强。
五是技术融合不够,与时俱进能力较弱。我国网络安全产业对新技术新应用的吸收运用具有一定的滞后性,导致智能化网络安全水平不高、产品迭代升级慢、“云化”配套机制滞后等问题。
南都:在您看来,出现上述问题的主要原因是什么?
张峰:一个不可忽视的原因是,目前国内网络安全产品的标准仍有极大的改进和提高空间。2017年6月1日起施行的《网络安全法》确立了等级保护制度,各行各业都在不断地制定国标,但大部分解决的是标准“从无到有”的问题,而且基本上是“拿来主义”——在国外原有标准的基础上稍作改进,并没有充分发挥标准引领的作用。
现行标准不高,意味着有很多企业能够按标准来生产,其产品质量参差不齐。若要体现差异化,企业必须投入大量的资金和时间,去研发高质量高水准的产品。
可是国内网络安全产业市场“蛋糕”就这么大,用户在未充分感知安全风险,以及难以辨别质量好坏的情况下,也更倾向于选择满足国家标准的低价产品,这就导致网络安全企业往往比拼的不是技术和产品质量,而是把更多力气花在营销和关系维护上。
由此形成了一个怪圈:国内网络安全产品基本没有质的差别,产品迭代升级慢,整个行业陷入同质化竞争。很多网络安全产品是在国外的基础上“改头换面”包装而来的,用行话讲就是“穿马甲”——原始创新能力较弱、重模仿轻创新的问题突出。但从发展角度看,一家企业不在研发上做投入,将缺乏后劲、跑不长远。
要在网络产品原创能力上做提升,把标准提上去
南都:一款网络安全产品质量如何,可以通过第三方检测机构来实测安全性。您所在的中国信息安全测评中心,正是国内专门从事信息技术安全测试和风险评估的机构。从这些年的检测结果来看,有何发现?
张峰:《网络安全法》第22条提到,网络产品、服务应当符合相关国家标准的强制性要求。该法第23条也明确,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
我们对网络安全产品进行检测时,一般会重点评估两方面:一是产品的安全等级标准;二是产品的自主创新成分——比如从源代码上判断该产品到底“贴牌代工”的结果,还是具有真正的原创性。
现在国际范围内普遍认可的是CC标准,全称为信息技术安全评估通用准则。它共分为7个评估保证等级(EAL),由低至高依次分为EAL1到EAL7。从我们单位两千余款产品检测的情况看,大部分产品实现了EAL3的标准,少部分达到了EAL4的标准,仅有个位数的产品在EAL5水平,再达到往上水准的产品几乎没有。
而很多先进国家的主流安全产品,大量达到EAL5能力,还有的发展到了EAL6甚至EAL7的水平。这种高保障级别的产品,一般黑客是很难攻破的。
南都:您曾提到,网络安全产业应当争当技术创新主体。就如何提高网络安全产品的原始创新能力,有何建议?
张峰:我建议从产业政策、技术创新和安全监管等方面综合施策。
一是,强化政策引导,升级产业政策。比如加大政府推动和投入,加快先进适用网络安全产品的部署应用,推进网络安全行业推陈出新。同时不断推动自主可控产品的产业链发展,积极优化产业生态环境,提高实现科技成果供需高效对接,探索产学研协同创新模式。
二是,激励企业创新,推进成果转化。一个重要的举措是,建议培育网络安全新技术应用平台,建立产业合作研发机制,促进网络安全产品和服务的协同创新应用,提升安全威胁检测,态势感知、应急处置和追踪溯源能力。同时加大对专精特新企业的支持力度,创新开发专用网络安全技术产品,改革专利保护制度,保护企业创新积极性。
三是,加强安全监管,提升测评力度。可以将安全和质量列为网络安全产品的刚性要求,通过强制检测强化对产品安全性、可靠性、自主性的有力把关,促进产业更加重视技术研发能力的提升和软硬件生态建设,建立高等级的安全防护能力。
南都:在提升测评力度上,可以怎么做?
张峰:我建议组建国家级重点产品检测实验室,引领国内检测技术进步;在《数据安全法》《反间谍法》等法律实施细则中明确网络安全技术产品高安全级检测的强制要求,特别是对于重要部门和关键基础设施等领域使用的重要产品,开展强制性高安全级检测,杜绝“穿马甲”“留后门”“贴牌代工”等严重技术风险,防范风险隐患。
南都:所依据的标准是什么?您刚才提到现在标准太低的问题,该怎么解决?
张峰:网络安全关系国家安全,其重要性怎么说都不为过。提高网络安全产品的标准势在必行,而且早做比晚做好,目前我们测评中心正在推进这项工作。
制定标准体系是个庞大的工程,并非一个标准就能解决所有问题。所以,今年我们目标是把这个标准体系的框架先做出来,然后广泛联系相关高校、科研机构及企业界,团结产学研方面的优秀专家,共同组成一个专业团队研发标准,再分阶段逐步地进行推广。
我们想邀请的专家,需要对网络行业理解到位、技术功底深厚,同时紧跟国际潮流、深谙国外的先进标准。这种吸纳人才的过程,也有助于让行业意识到一个未来趋势——那就是我们要在网络安全产品原创能力上做提升,把标准提上去。
作为全国政协委员,我今年的提案关注如何提升网络安全产品创新能力。接下来,我还会继续瞄准这个问题、持续深入地做调研,下一个提案很有可能就是围绕如何提高网络安全产品标准来展开。
南都全国两会报道
采写:南都记者李玲 胡耕硕 发自北京