张峰主任在“今朝安全众测平台”启动运行发布会上致辞
中国信息安全测评中心张峰主任在会上对今朝安全众测平台的创立初衷和目标进行了解读,他表示,测评中心开展众测工作,虽非业界首创,但作为信息安全国家队、网络空间主力军,有义务更有责任担负起筑牢国家网络安全屏障的神圣职责。
开展众测工作不仅是为国家关键信息基础设施打造强筋健骨的固本举措,同样通过集合社会力量和智慧,是解决我国当前网络安全问题的重要出路,他山之石可以攻玉,学习借鉴国外成熟成型的工作模式,是我们实现弯道超车的重要方式。
针对今朝安全众测平台接下来的工作内容和工作方向,张峰主任进行了进一步说明,他谈到,中国信息安全测评中心将依托“今朝安全众测平台”开展众测工作,探索建立联合运营的众测业务模式,充分发挥业界其他安全众测平台的既有优势,通过凝聚网络安全业界优势,打造多方合作、互利共赢的特色化网络安全众测平台,进一步提高我国国产软硬件产品和关键信息基础设施的安全防护能力,建立强大的安全屏障,为我国网络强国建设事业保驾护航。
以下为张峰主任演讲全文:
当前,网络发展方兴未艾、安全风险与日俱增。全面统筹协调好发展与安全的关系,对维护和塑造新时代国家网络安全具有至关重要的作用。安全众测作为一项创新先招,开展好、谋划好将对我们打好网络空间化险为夷、转危为机的战略主动仗大有裨益。
第一,开展众测工作,是落实党中央战略部署、顺应形势发展需要的一项重大举措。
党的十八大以来,我国互联网事业快速发展,网络安全和信息化工作扎实推进,时和势虽总体有利,但艰与险仍在不断增多。特别是随着大数据、物联网、区块链、人工智能等新技术新应用的普及,系统被攻被控、数据被窃被泄、服务被停被断的可能性在不断地增加,安全相对滞后发展的“短板”问题客观存在。网络安全形势变得愈发严峻复杂,我国的网络安全处于并将长期处于战略承压期和高危风险期的现状在相当一段时期难以完全改变。
习近平总书记高瞻远瞩、审时度势,纵观百年未有之大变局、胸怀民族复兴全局、统筹国际国内大局、谋划安全发展棋局,在全面总结我国历代政治得失、世界大国兴衰经验的基础上,提出了“没有网络安全,就没有国家安全”的重要论断,历史性地将“统筹发展和安全”写入国家“十四五”规划,为我们做好网络安全工作提供了方向指引与根本遵循。
测评中心开展众测工作虽非业界首创,但作为信息安全国家队、网络空间主力军,我们有义务、更有责任担起筑牢国家网络安全屏障的神圣职责。我们的主要目标和工作目的,就是努力把习近平总书记关于总体国家安全观、统筹发展和安全的系列治国理政方略落在实处、落在网络安全关键处,着力提升对国家关键信息基础设施重要软硬件的漏洞发现、防护、处置和应急响应能力,为增强我国网络安全整体防护能力做出应有贡献。
第二,开展众测工作,是为国家关键信息基础设施打造强健筋骨的一项固本举措。
网络安全漏洞牵一发而动全身,它不仅是引发各类安全隐患和失泄密事件的主要风险点,更是网络空间攻防较量的核心。从维基解密和国外媒体披露的相关材料看,多年来,有些国家包括国家背后支持的一些机构凭借其技术优势,利用软件和系统漏洞、开发木马病毒,制造网络武器,发动网络攻击甚至是网络战,虚拟世界硝烟四起、战火频频,其所造成的危害和损害一次又一次刷新我们的想象。
大量事例证明,网络安全事关国家安全根本,我们必须高度重视、保持高度警惕。
多年来,我国关键信息基础设施中运行使用的大量基础软硬件产品和设备主要来自于进口,其自身存在着重大的缺陷和人为的后门,隐患很大,绝大部分也未经专业机构进行系统的安全检测。2020年底,发生的“太阳风”事件,就是全球范围内利用供应链漏洞攻击关键信息基础设施的最新、最典型的案例。
因此,加强对关键信息基础设施中的基础软硬件产品的安全检测和隐患排查,可以帮助我们进一步摸清和掌握信息技术产品的安全状况,实现对症下药、强身健体的根本目的。
第三,开展众测工作,集合社会力量和智慧是当前解决我国网络安全问题的重要出路。
建立“今朝安全众测平台”的目的就是,聚焦那些影响国家安全的重要基础软硬件产品,确立众测目标、明确发力方向、凝聚人力智慧、创新体制机制、汇集社会多方力量、打造网络健康生态环境,形成互利共赢的特色化平台。为此,我们在组织形式上,成立了“今朝网络安全众测委员会”。该委员会旨在打造高质量的网络安全社区、推动安全众测标准的研究制定、推动产业安全健康发展、助力网络强国建设。委员会下设众测技术分委会、信息技术产业分委会、众测平台运营分委会三个分委会。在委员会运作过程中,测评中心将积极承担组织者、建设者和推动者的角色,竭诚为大家提供最优质的支撑保障服务。
在服务方式上,“今朝安全众测平台”将采取不同以往的特色化模式,推进开展高质量、高水平的网络安全众测。作为众测项目的组织方,我们将重点选取关系国家安全的基础软硬件产品作为目标对象,并采取“定向邀请”的方式,有针对性地邀请那些具有家国情怀的业界高水平的安全研究人员和优秀的白帽子团队加入到安全众测工作中。对于众测授权委托企业拿出来测试的软硬件产品,安全众测仅是动态防护的一个阶段性过程,后续我们还会对这些众测对象开展持续地跟踪、放眼长远,力求实现基础软硬件产品整体、动态、共同的网络安全。
在业务模式上,我们将重点参考国家信息安全漏洞库(CNNVD)的相关标准规范,为大家提供科学公正、沟通顺畅、响应及时、评定可靠的漏洞审核和评价服务。同时,我们还要探索建立联合运营的众测业务模式,与其他安全团队众测平台建立既紧密合作又保持各自特色,形成多维度、多层面、互利共赢的良好生态,创新深化众测服务。
在工作进度上,我们将采取分批次、分阶段、循序渐进的方式,有序地推进网络安全众测工作。第一阶段,我们主要选取了大家熟知的中国电子集团麒麟操作系统和华为鸿蒙操作系统及深信服的国产软件为主要测评对象;第二阶段,随着众测平台建设经验的不断丰富,我们将逐步探索向金融、能源、医疗、电力等国家重要行业领域使用的系统和产品延伸,向国内民营企业具有自主知识产权的软硬件产品扩展,力求实现“测国家之所急,排发展之所患”;第三阶段,在适当的时候,我们将积极鼓励并热忱欢迎进入中国市场的具有广泛市场占有率的境外网络技术企业参与到我们的众测平台当中,促进这些企业向中国用户展现其产品的安全性和可靠性。
七十多年前,毛泽东同志写下《沁园春·雪》不朽诗篇,“俱往矣,数风流人物,还看今朝”。实现中华民族伟大复兴中国梦,实现网络强国的宏伟目标,责无旁贷地落到我们这一代人身上,使命光荣、责任重大、任重道远。在千帆竞发、百舸争流的当下,惟团结者进,惟奋进者强,惟团结奋进者胜。我们真诚期待与网络安全业界的各位同仁一道携手并进,共同打造网络安全的盛世“今朝”。