“在信息安全方面,目前我国惟一能做到的就是将国内的密码运用到TPM上,其他方面基本拿不出标准提案来,形势非常严峻。
”国务院信息化工作室网络与信息安全小组副组长吕诚昭日前在第七届中国信息安全大会上表示,目前我国急需加快制定信息安全标准的步伐,以免在国际相关标准出台后,国外公司向我国企业收取大量专利费,重蹈DVD覆辙,影响产业发展。
标准制定面临空中楼阁
随着政务信息化的飞速发展,安全问题日益凸显,每年由各类安全事件造成的损失数以亿计。其中既包括来自外部的威胁,如蠕虫、黑客、间谍软件等,也包含内部人员违规操作或者恶意破坏造成的安全隐患。“目前,信息安全已经形成一个巨大的产业,但是,由于信息安全行业发展的时间较短,需要分析和探讨的问题也较多。”吕诚昭表示,信息安全标准的制定就是其中之一。
但是,目前我国制定信息安全标准首先缺少基本的支撑。一方面,我国缺乏国家信息安全状况的基本数据,关于我国网络目前受攻击状况数据使用的是来自美国FBI的统计;另一方面,我国也没有网络受到攻击后的损失数据,目前的统计均来自美国FBI。此外,现在整个网络的脆弱性分析也没有准确数字。“这些是制定信息安全标准首先要迈过的一关。”吕诚昭表示。
话语权缺失
“思科曾经问,中国为什么要制定自己的标准?”对这一问题,吕诚昭表示,中国不是要脱离国际社会,闭门制定自己的标准,而是“在国际标准中,中国应该有发言权。”
一方面,信息安全产业保密性非常高,企业加入相关领域标准组织,不但被严格分级,而且要就相关标准的知识产权和专利签署保密协议,不向未加入标准组织的企业公开。“如果在制定国际标准时,中国没有争取‘发言’,那么在国际标准出台后,中国就被挡在国际信息安全标准的大门之外。”吕诚昭表示。
另一方面,没有相关标准就意味着要向国际标准组织缴纳高额专利费。“一旦相关国际标准组织要向中国企业收取专利费时,中国的IT业尤其是PC产业将面临严峻挑战。”吕诚昭表示,目前我国高新技术产业利润只有1.9%,如果IT企业被收取大量专利费,企业利润将会更低,并且很多小企业将重现DVD每年减少数百家的局面。“中国只有在国际标准中占有一席之地,同标准组织谈判时,才会降低中国企业缴纳专利费用的额度”。
但是目前我国在制定信息安全标准方面,形势并不乐观。“目前我国惟一能做到的就是将国内的密码运用到TPM上,其他方面基本拿不出标准提案来,形势非常严峻。”吕诚昭表示,现在我国信息安全标准的制定主要依靠科研单位,与国际上主要依靠企业的通行做法相去甚远。
为改变这一现状,全国信息安全标准化技术委员会正在积极努力,吸纳更多企业参与我国信息安全标准制定的工作。但吕诚昭表示:“参与其中的企业非常有限。”