加強(qiáng)信息技術(shù)產(chǎn)品高保障級(jí)測(cè)評(píng) 提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保障水平
2022-03-18
來(lái)源:中國(guó)信息安全
信息技術(shù)產(chǎn)品作為關(guān)鍵信息基礎(chǔ)設(shè)施的基本組成單元,,其安全性高低是決定關(guān)鍵信息基礎(chǔ)設(shè)施抗攻擊能力強(qiáng)弱的重要因素,。隨著國(guó)家網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)的推進(jìn),,高安全等級(jí)產(chǎn)品及其測(cè)評(píng)越來(lái)越受到業(yè)界的重視,。高安全等級(jí)測(cè)評(píng)是什么,?怎么做?有何意義,?中國(guó)信息安全測(cè)評(píng)中心(以下簡(jiǎn)稱(chēng)“測(cè)評(píng)中心”)信息安全實(shí)驗(yàn)室主任張寶峰接受了我刊采訪(fǎng),,就以上業(yè)界關(guān)心的問(wèn)題進(jìn)行了回答。
Q
測(cè)評(píng)中心是國(guó)內(nèi)信息技術(shù)產(chǎn)品測(cè)評(píng)領(lǐng)域的重要實(shí)踐者,,近期有企業(yè)的產(chǎn)品通過(guò)了貴中心的 EAL5+ 級(jí)測(cè)評(píng),,請(qǐng)您介紹一下什么是 EAL5+ 級(jí)?
張寶峰:近期,,確有兩款產(chǎn)品通過(guò)了我中心的 EAL5+ 級(jí)測(cè)評(píng),,分別是元心信息科技集團(tuán)有限公司開(kāi)發(fā)的“元心安全微內(nèi)核操作系統(tǒng) V2.0”和合肥大唐存儲(chǔ)科技有限公司研制的“存儲(chǔ)控制器芯片 DSS510”。下面,,我介紹一下 EAL 的基本概念,。
EAL(Evaluation Assurance Level),即評(píng)估保障級(jí),,是一種度量信息技術(shù)產(chǎn)品安全保障能力的尺度,,此概念源自國(guó)際最廣泛采用的《信息技術(shù)安全評(píng)估準(zhǔn)則》(The Common Criteria forInformation Technology Security Evaluation), 簡(jiǎn)稱(chēng) CC 標(biāo)準(zhǔn) ,。
該標(biāo)準(zhǔn)將信息技術(shù)產(chǎn)品的安全保障程度分為七個(gè)級(jí)別:EAL1 至 EAL7,。級(jí)別越高,其安全保障能力或安全功能正確實(shí)現(xiàn)的可信度就越高,,產(chǎn)品就能對(duì)抗更高級(jí)別的安全威脅,,適用于更高安全風(fēng)險(xiǎn)環(huán)境。
EAL1-EAL2 可用于保護(hù)低價(jià)值的資產(chǎn),,抵御無(wú)意或低水平攻擊者的攻擊,。
EAL3-EAL4 可用于保護(hù)中等價(jià)值的資產(chǎn),抵御有組織團(tuán)體的攻擊,。
EAL5 級(jí)可用于保護(hù)高價(jià)值的資產(chǎn),,抵御有組織團(tuán)體的攻擊。
EAL6 級(jí)和 EAL7 級(jí),,可用于保護(hù)高價(jià)值的資產(chǎn),,抵御國(guó)家級(jí)組織的攻擊。
本次兩家企業(yè)所通過(guò)的 EAL5+ 級(jí),又稱(chēng)為“半形式化設(shè)計(jì)和測(cè)試級(jí)”,。產(chǎn)品通過(guò)該安全保障級(jí),,表明應(yīng)能抵御有組織團(tuán)體的攻擊,意味著開(kāi)發(fā)者在產(chǎn)品設(shè)計(jì),、研發(fā),、測(cè)試、交付和運(yùn)行等各階段,,要基于嚴(yán)格的商業(yè)開(kāi)發(fā)實(shí)踐,,獲得最大限度的安全保障,并對(duì)產(chǎn)品的關(guān)鍵設(shè)計(jì)環(huán)節(jié)開(kāi)展半形式化的分析和論證,。EAL5+ 代表 EAL5 增強(qiáng)級(jí),,是指在滿(mǎn)足 EAL5 級(jí)所有保障要求的基礎(chǔ)上,對(duì)特定的保障要求進(jìn)行了增加或增強(qiáng),。
Q
原來(lái) EAL5+ 級(jí)的概念來(lái)自于 CC 標(biāo)準(zhǔn),。這個(gè)標(biāo)準(zhǔn)經(jīng)常聽(tīng)業(yè)內(nèi)人士提起,請(qǐng)您再介紹一下,,CC 標(biāo)準(zhǔn)在國(guó)內(nèi)外的發(fā)展和應(yīng)用情況,。
張寶峰:CC 標(biāo)準(zhǔn)始于 1993 年 6 月,并在1999 年被采納為國(guó)際標(biāo)準(zhǔn) ISO/IEC 15408,, 廣泛應(yīng)用于信息技術(shù)領(lǐng)域的安全性評(píng)估,。國(guó)際上還成立了 CC 互認(rèn)組織 CCRA(Common CriteriaRecognition Arrangement),將 CC 作為產(chǎn)品測(cè)評(píng)的基礎(chǔ)標(biāo)準(zhǔn),,要求 CCRA 成員國(guó)對(duì)測(cè)評(píng)結(jié)果相互承認(rèn),。截至目前,共有 31 個(gè) CCRA 成員國(guó),,獲國(guó)際 CC 測(cè)評(píng)認(rèn)證的信息技術(shù)產(chǎn)品多達(dá) 5000 余款,。
2001 年,測(cè)評(píng)中心牽頭,,將 CC 標(biāo)準(zhǔn)轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn) GB/T 18336《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則》,,并持續(xù)跟蹤標(biāo)準(zhǔn)更新,當(dāng)前正開(kāi)展 CC v4.0 的國(guó)家標(biāo)準(zhǔn)修訂,。二十年來(lái),我國(guó)基于 GB/T 18336 標(biāo)準(zhǔn)開(kāi)發(fā)了一系列配套標(biāo)準(zhǔn),。據(jù)不完全統(tǒng)計(jì),,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織編制和審核通過(guò)的國(guó)家標(biāo)準(zhǔn)中,約 40 項(xiàng)標(biāo)準(zhǔn)將 GB/T18336 作為編制依據(jù)或參考,,直接應(yīng)用于主流信息技術(shù)產(chǎn)品的安全設(shè)計(jì),、開(kāi)發(fā)、測(cè)評(píng)認(rèn)證和采購(gòu)等環(huán)節(jié)。以測(cè)評(píng)中心為例,,依據(jù) GB/T18336 和相關(guān)配套國(guó)家標(biāo)準(zhǔn),,已完成數(shù)百家企業(yè)、2000 余款產(chǎn)品的 EAL 分級(jí)測(cè)評(píng),,發(fā)現(xiàn)了大量產(chǎn)品中隱含的漏洞和風(fēng)險(xiǎn),,協(xié)助企業(yè)完成整改,提升了產(chǎn)品的安全性,,為產(chǎn)業(yè)界的安全和高質(zhì)量發(fā)展做出貢獻(xiàn),,為網(wǎng)絡(luò)強(qiáng)國(guó)和數(shù)字中國(guó)建設(shè)發(fā)揮重要作用。
同時(shí),,測(cè)評(píng)中心基于標(biāo)準(zhǔn)研究和測(cè)評(píng)實(shí)踐,,多次提出完善 CC 標(biāo)準(zhǔn)的觀(guān)點(diǎn)和理念,得到國(guó)際同行的關(guān)注和認(rèn)可,。自 2017 年起,,測(cè)評(píng)中心石竑松博士作為國(guó)內(nèi)唯一受邀專(zhuān)家,加入到國(guó)際 CC標(biāo)準(zhǔn)編制組,,第一時(shí)間參與技術(shù)研究和標(biāo)準(zhǔn)編制,,為 CC 標(biāo)準(zhǔn)的發(fā)展和應(yīng)用做出重要貢獻(xiàn);同年,,基于 CC 理念,,測(cè)評(píng)中心在 ISO/IEC JTC1/SC27WG3 工作組,牽頭立項(xiàng)國(guó)際標(biāo)準(zhǔn)《量子密鑰分發(fā)的安全要求,、測(cè)試和評(píng)估方法》,;2019 年,測(cè)評(píng)中心陳佳哲博士受邀參與國(guó)際重要標(biāo)準(zhǔn)《密碼模塊非侵入式攻擊緩解技術(shù)測(cè)試方法》的編制工作,。
當(dāng)然,,國(guó)內(nèi)還有許多測(cè)評(píng)認(rèn)證機(jī)構(gòu)、科研院所和產(chǎn)業(yè)單位,,也在不同程度地開(kāi)展 CC 標(biāo)準(zhǔn)研究和實(shí)踐,,對(duì)標(biāo)準(zhǔn)的發(fā)展和應(yīng)用做出許多貢獻(xiàn),在此就不一一羅列,。
Q
顯然,,無(wú)論在 CC 標(biāo)準(zhǔn)研究還是實(shí)踐方面,國(guó)內(nèi)已經(jīng)開(kāi)展了大量工作,。但是,,據(jù)了解,國(guó)際上獲得 EAL5 級(jí)及以上級(jí)別測(cè)評(píng)認(rèn)證的產(chǎn)品數(shù)量遠(yuǎn)高于國(guó)內(nèi),,請(qǐng)問(wèn)原因是什么,?
張寶峰:確實(shí)存在此情況,。近 5 年國(guó)內(nèi)外的CC 測(cè)評(píng)數(shù)據(jù)顯示,國(guó)際上獲 EAL5 級(jí)測(cè)評(píng)認(rèn)證的產(chǎn)品近 400 款,,獲 EAL6 級(jí)和 EAL7 級(jí)測(cè)評(píng)認(rèn)證的產(chǎn)品 130 余款,;而國(guó)內(nèi)產(chǎn)品主要集中在 EAL3和 EAL4 級(jí)別,在國(guó)內(nèi)通過(guò) EAL5 級(jí)測(cè)評(píng)的產(chǎn)品數(shù)量?jī)H是個(gè)位數(shù),,通過(guò) EAL6 級(jí)和 EAL7 級(jí)的產(chǎn)品數(shù)量為 0,。為打入國(guó)際市場(chǎng),極少數(shù)國(guó)內(nèi)企業(yè)的產(chǎn)品通過(guò)了國(guó)外檢測(cè)機(jī)構(gòu)的測(cè)評(píng),,但也主要集中在 EAL4+ 級(jí)及以下級(jí)別,。總體來(lái)看,,國(guó)內(nèi)通過(guò)高保障級(jí)測(cè)評(píng)的產(chǎn)品數(shù)量與國(guó)外相比差距巨大,。
究其原因,我認(rèn)為主要有以下三方面的因素,。一是國(guó)外信息技術(shù)發(fā)展早,、起點(diǎn)高,產(chǎn)業(yè)界和用戶(hù)對(duì)高安全等級(jí)產(chǎn)品更加重視,。二是高保障級(jí)測(cè)評(píng)要求高,、難度大、投入多,,涉及研發(fā)環(huán)境可控,、源代碼級(jí)檢測(cè)、高強(qiáng)度滲透測(cè)試,、供應(yīng)鏈安全評(píng)估等內(nèi)容,,給研發(fā)企業(yè)帶來(lái)較大挑戰(zhàn)。三是國(guó)內(nèi)僅有少數(shù)測(cè)評(píng)機(jī)構(gòu)能夠開(kāi)展高保障級(jí)測(cè)評(píng),,對(duì)產(chǎn)業(yè)界的引導(dǎo)和促進(jìn)不足,。
可喜的是,近幾年,,國(guó)內(nèi)企業(yè)已嘗試開(kāi)展高安全等級(jí)產(chǎn)品的研發(fā),,部分軟硬件產(chǎn)品通過(guò)了 EAL5+ 級(jí)測(cè)評(píng),這說(shuō)明企業(yè)對(duì)安全的重視程度不斷增強(qiáng),,安全研發(fā)能力有所提高,。接下來(lái),需要產(chǎn)學(xué)研用各部門(mén)通力配合,,不斷提升我國(guó)信息技術(shù)產(chǎn)品的整體安全水平,,全力保障國(guó)家網(wǎng)絡(luò)安全。
Q
剛才您提到,,部分國(guó)內(nèi)產(chǎn)品因參與國(guó)際市場(chǎng)競(jìng)爭(zhēng)需要,,申請(qǐng)并通過(guò)了國(guó)際 CC 測(cè)評(píng),那么,,測(cè)評(píng)中心是否也可以對(duì)國(guó)外企業(yè)產(chǎn)品開(kāi)展測(cè)評(píng),,在測(cè)評(píng)流程上與國(guó)內(nèi)企業(yè)是否存在區(qū)別?
張寶峰:習(xí)近平總書(shū)記在第三屆中國(guó)國(guó)際進(jìn)口博覽會(huì)開(kāi)幕式上發(fā)表主旨演講時(shí)指出,,“中國(guó)將秉持開(kāi)放,、合作、團(tuán)結(jié),、共贏(yíng)的信念,,堅(jiān)定不移全面擴(kuò)大開(kāi)放,讓中國(guó)市場(chǎng)成為世界的市場(chǎng),、共享的市場(chǎng),、大家的市場(chǎng),為國(guó)際社會(huì)注入更多正能量,?!?/p>
測(cè)評(píng)中心成立以來(lái),一直致力于網(wǎng)絡(luò)信息安全測(cè)評(píng)事業(yè)的建設(shè)發(fā)展,,嚴(yán)格依據(jù)標(biāo)準(zhǔn),,為國(guó)內(nèi)外企業(yè)提供高質(zhì)量的產(chǎn)品測(cè)評(píng)服務(wù)。
多年來(lái),,測(cè)評(píng)中心已與多家國(guó)外企業(yè)開(kāi)展了良好合作,,對(duì)送測(cè)的產(chǎn)品開(kāi)展了 EAL 分級(jí)測(cè)評(píng)工作。早在十年前,,三星公司的多款產(chǎn)品就通過(guò)了我們的 EAL4+ 級(jí)測(cè)評(píng),。無(wú)論國(guó)內(nèi)外企業(yè),測(cè)評(píng)中心均基于實(shí)驗(yàn)室認(rèn)可質(zhì)量體系,,提供相同標(biāo)準(zhǔn)的測(cè)評(píng)服務(wù),,客觀(guān)公正地反映測(cè)評(píng)結(jié)果。
我們熱忱歡迎更多的國(guó)內(nèi)外企業(yè)送測(cè)其優(yōu)質(zhì)產(chǎn)品,,開(kāi)展技術(shù)交流,,共同推進(jìn)產(chǎn)品技術(shù)能力和安全性提升,為網(wǎng)絡(luò)空間安全做出相應(yīng)的貢獻(xiàn),。
Q
剛才您提到,,國(guó)外已有許多產(chǎn)品通過(guò)了EAL6 和 EAL7 級(jí)等更高級(jí)別的測(cè)評(píng)。對(duì)這種高級(jí)別的測(cè)評(píng),,企業(yè)是否需達(dá)到一定的能力要求才能申請(qǐng),?
張寶峰:前面談到,通過(guò) EAL6 或 EAL7 級(jí)測(cè)評(píng),,意味著產(chǎn)品將應(yīng)用于高風(fēng)險(xiǎn)環(huán)境,,保護(hù)高價(jià)值資產(chǎn),,用以對(duì)抗國(guó)家級(jí)攻擊,要求更高,、難度更大,、檢測(cè)更深。一個(gè)突出的要求,,就是產(chǎn)品要經(jīng)過(guò)半形式化甚至形式化驗(yàn)證設(shè)計(jì)和測(cè)試,,即通過(guò)等價(jià)性驗(yàn)證、模型檢驗(yàn)和定理證明等數(shù)學(xué)方法 ,完備地證明或驗(yàn)證產(chǎn)品功能需求是否得到滿(mǎn)足,,證明關(guān)鍵功能特征覆蓋率是否達(dá)到 100%,。此外,還必須進(jìn)行安全模型分析,、源代碼級(jí)深度檢測(cè)分析,、高強(qiáng)度滲透測(cè)試等工作,要求企業(yè)產(chǎn)品具備極高的安全防護(hù)能力和技術(shù)能力,,要求企業(yè)具備高水平的研發(fā)隊(duì)伍和先進(jìn)的研發(fā)測(cè)試裝備,,具備更加規(guī)范的研發(fā)管理流程和研發(fā)環(huán)境。
從測(cè)評(píng)要求和理念看,,結(jié)構(gòu)和功能越復(fù)雜的產(chǎn)品,,在開(kāi)展形式化和半形式化驗(yàn)證設(shè)計(jì)時(shí),往往挑戰(zhàn)更大,。對(duì)于防護(hù)能力要求高但功能架構(gòu)不太復(fù)雜的產(chǎn)品,,反而更有機(jī)會(huì)挑戰(zhàn) EAL6、EAL7級(jí)測(cè)評(píng),,例如專(zhuān)用芯片,、智能卡等。
值得一提的是,,與軟件開(kāi)發(fā)不同,,芯片的研制除了設(shè)計(jì)階段,還需經(jīng)過(guò)流片,、封裝等加工制造環(huán)節(jié),。一旦制造出來(lái)的芯片不符合要求,則需要重新流片,,往往代價(jià)不菲,,這就要求企業(yè)在芯片設(shè)計(jì)階段嚴(yán)格把關(guān)、務(wù)求全面,?;诙嗄隃y(cè)評(píng)實(shí)踐和專(zhuān)項(xiàng)支持,測(cè)評(píng)中心具備了較好的高保障級(jí)測(cè)評(píng)基礎(chǔ),,研究并形成了半形式化/形式化分析,、算法分析,、密碼模塊側(cè)信道分析、電路侵入式分析等技術(shù)體系,,自主研發(fā)了多個(gè)軟硬件檢測(cè)分析平臺(tái) , 在檢測(cè)精度,、檢測(cè)效率和檢測(cè)效果等方面具有一定的優(yōu)勢(shì)。
對(duì)于有測(cè)評(píng)意愿的芯片研發(fā)企業(yè),,我們可以提供前期咨詢(xún),幫助企業(yè)分析和選擇適合的測(cè)評(píng)級(jí)別,,減少不必要的后續(xù)損失,。
Q
測(cè)評(píng)周期一直是企業(yè)比較關(guān)注的問(wèn)題。有企業(yè)反映,,基于 CC 標(biāo)準(zhǔn)的測(cè)評(píng)周期會(huì)比較長(zhǎng),,請(qǐng)問(wèn)其原因是什么?我們有哪些舉措幫助企業(yè)更快更好地通過(guò)測(cè)評(píng),?
張寶峰:國(guó)內(nèi)外基于 CC 標(biāo)準(zhǔn)的測(cè)評(píng)周期較長(zhǎng),,確實(shí)是企業(yè)非常關(guān)注的問(wèn)題。多年實(shí)踐表明,,產(chǎn)品越復(fù)雜,、安全等級(jí)越高,所需的測(cè)評(píng)周期就越長(zhǎng),,主要原因如下:
第一,,基于 CC 標(biāo)準(zhǔn)的安全性測(cè)評(píng),覆蓋面廣,,內(nèi)在要求高,。整個(gè)測(cè)評(píng)覆蓋產(chǎn)品全生命周期,需要對(duì)產(chǎn)品的設(shè)計(jì),、實(shí)現(xiàn),、測(cè)試、交付過(guò)程,、配置管理,、研發(fā)環(huán)境、供應(yīng)鏈等開(kāi)展全面的評(píng)價(jià),。要達(dá)到標(biāo)準(zhǔn)要求,,測(cè)評(píng)機(jī)構(gòu)和企業(yè)都需較大工作量。國(guó)際上通過(guò) EAL4+ 級(jí)測(cè)評(píng)的周期通常需要半年以上,,通過(guò) EAL5+ 級(jí)測(cè)評(píng)則需要 1 年以上,。
第二,CC 重視測(cè)評(píng)證據(jù),,要求測(cè)評(píng)證據(jù)的完備性和有效性,。CC 標(biāo)準(zhǔn)適用于具有安全功能的所有信息技術(shù)產(chǎn)品,,其標(biāo)準(zhǔn)文本具有較高的技術(shù)特色和抽象概念。對(duì)于企業(yè),,特別是首次申請(qǐng)測(cè)評(píng)的企業(yè),,理解抽象概念存在一定難度,導(dǎo)致提供的測(cè)試證據(jù)不完備,、不充分,,往往消耗大量時(shí)間用于證據(jù)的補(bǔ)充和完善。
第三,,CC 標(biāo)準(zhǔn)要求,,必須完成對(duì)所有問(wèn)題的整改和回歸測(cè)試,這需要一定的周期,。從測(cè)評(píng)實(shí)踐看,,絕大部分送測(cè)產(chǎn)品均存在不同程度的問(wèn)題,尤其是首次送測(cè)的產(chǎn)品,,有些甚至存在非常嚴(yán)重的漏洞和風(fēng)險(xiǎn),。問(wèn)題的交互、確認(rèn)和修改,,也是導(dǎo)致測(cè)評(píng)周期較長(zhǎng)的原因之一,。
針對(duì)上述情況,我們開(kāi)展了問(wèn)題研究和流程優(yōu)化,,提早介入,,加強(qiáng)與企業(yè)的溝通交流,為企業(yè)提供技術(shù)咨詢(xún)和標(biāo)準(zhǔn)培訓(xùn),,減少企業(yè)反復(fù)修改的成本,。此外,中心還構(gòu)建了自動(dòng)化測(cè)試平臺(tái),、漏洞分析平臺(tái)和源代碼分析平臺(tái)等工具,,有效地提升了測(cè)試能力、提高了測(cè)試效率,、縮短了測(cè)試時(shí)間,。相信通過(guò)這些舉措,將明顯提升企業(yè)的測(cè)評(píng)體驗(yàn),。
Q
通過(guò)您的介紹,,讓我們意識(shí)到高保障級(jí)測(cè)評(píng)的重要性,對(duì)其發(fā)展您還有什么建議,?
張寶峰:黨中央和習(xí)近平總書(shū)記高度重視網(wǎng)絡(luò)安全工作,,國(guó)家“十四五”規(guī)劃綱要明確提出,統(tǒng)籌發(fā)展和安全,建設(shè)更高水平的平安中國(guó),,全面加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè),。國(guó)務(wù)院近期印發(fā)的《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》中也提出,著力強(qiáng)化數(shù)字經(jīng)濟(jì)安全體系,,增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力,,加強(qiáng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè),推廣使用安全可靠的信息產(chǎn)品,、服務(wù)和解決方案,。
基于 CC 標(biāo)準(zhǔn)的測(cè)評(píng),特別是高保障級(jí)測(cè)評(píng),,不僅能夠讓企業(yè)持續(xù)改進(jìn)其產(chǎn)品的安全性,,提升產(chǎn)品質(zhì)量,也能為產(chǎn)品使用者提供更多的安全保障和信心,。從國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)的建設(shè)運(yùn)營(yíng)部門(mén),到各行業(yè)和企業(yè)信息系統(tǒng)的管理者,,肩負(fù)著構(gòu)建更加安全可控的網(wǎng)絡(luò)設(shè)施的任務(wù),,使用高安全、高質(zhì)量的信息技術(shù)產(chǎn)品是其中重要一環(huán),。鑒于目前國(guó)內(nèi)高安全等級(jí)產(chǎn)品的現(xiàn)狀,,我個(gè)人有以下幾點(diǎn)建議。
加強(qiáng)高安全等級(jí)產(chǎn)品使用力度,,進(jìn)一步筑牢關(guān)鍵信息基礎(chǔ)設(shè)施安全防線(xiàn),。在關(guān)鍵信息基礎(chǔ)設(shè)施后續(xù)建設(shè)過(guò)程中,為保護(hù)高價(jià)值資產(chǎn),,抵御有組織團(tuán)體和國(guó)家級(jí)網(wǎng)絡(luò)攻擊,,可在高風(fēng)險(xiǎn)環(huán)境中逐步推進(jìn)高安全等級(jí)產(chǎn)品的部署和應(yīng)用,以政策需求引導(dǎo)產(chǎn)業(yè)發(fā)展,,如在核心重要領(lǐng)域采購(gòu)的關(guān)鍵產(chǎn)品,,盡可能達(dá)到 EAL5 級(jí)及以上。
加強(qiáng)產(chǎn)業(yè)政策引導(dǎo),,進(jìn)一步加大優(yōu)質(zhì)數(shù)字資源供給,。在產(chǎn)業(yè)層面,出臺(tái)鼓勵(lì)政策,,引導(dǎo)企業(yè)加大資源投入,,加強(qiáng)企業(yè)高安全等級(jí)產(chǎn)品的研發(fā)能力,加快關(guān)鍵核心技術(shù)自主創(chuàng)新,,提升產(chǎn)品的國(guó)際競(jìng)爭(zhēng)力,,進(jìn)一步提高我國(guó)網(wǎng)絡(luò)空間安全防御水平,為我國(guó)數(shù)字經(jīng)濟(jì)高速發(fā)展保駕護(hù)航。
加強(qiáng)網(wǎng)絡(luò)空間國(guó)際交流合作,,進(jìn)一步貢獻(xiàn)中國(guó)智慧,。網(wǎng)絡(luò)空間是人類(lèi)的共同家園,網(wǎng)絡(luò)安全也是各國(guó)面臨的共同挑戰(zhàn),。建議加強(qiáng)國(guó)際技術(shù)交流與合作,,積極參與國(guó)際標(biāo)準(zhǔn)和國(guó)際規(guī)則的研究制定,共同促進(jìn)新技術(shù)新應(yīng)用健康發(fā)展,,及時(shí)提出中國(guó)方案,,發(fā)出中國(guó)聲音,攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體,。