[计世网消息]  虽然我国在法规建设方面取得了很大成绩，但是在国家安全方面的技术法规建设方面，我们认为还远远落后或者不满足我国信息化时代国家安全和信息化发展的要求。这些问题不解决，将会严重影响我国的国家安全和国家信息化事业的发展。

    技术法规与技术标准的贯彻执行相关。例如信息化建设，必须实行互操作性的安全性标准与规范，不解决互操作性就不可能实现整个信息系统一体化运行，就不可能实现行业或领域内的综合管理，也就不可能实现行业或企业领导的信息化管理。信息化实现了互联、互通和互操作之后，信息系统安全性便成为十分重要的问题。技术标准的贯彻与执行是通过测评认证来实现的，不能靠下发标准化文件贯彻。通过上述的讨论，我们便可以理解，这些技术标准必须强制性地执行。为了能够在整个领域范围内贯彻实施，就必须制定相应的技术法规，确保技术标准的执行。

技术法规有些是在国家范围制定的，例如：在涉及到国家安全方面有信息产品保证法、信息化标准法、信息安全法、网络执法法、网络监管法、网络认证法、信息化应急法、数字标签法、信息资产风险监管组织法和信息产品认证认可法规等。有些技术法规是在行业或者某领域范围内制定的。例如，电子票据法、票据安全法、网络代理服务的法等。总之，其任务非常艰巨。

    我国在国家安全方面的技术标准和技术法规发展滞后的原因主要如下：

    对建立国家安全的技术标准和技术法规体系认识不高。

    我国虽然有信息与电子方面标准化研究机构，许多IT企业也组织起来成立各种目标的标准化的联盟机构，国家与行业也有信息化的标准化委员会或者协会机构，也做出了许多努力，取得了一定工作成绩。但是，总体来看我国信息化标准工作，尤其是涉及到国家安全的标准化，缺少总体研究与规划，没有国家和行业层面的标准化工作顶层设计与框架。虽然也制定了中长期计划，多数属于各种已有技术和产品的标准的集合，同样严重存在着低水平的重复。标准化工作，尤其国家安全的标准化，一些行业、产业和企业之间的定位混乱。有些行业的甲方的用户标准工作长期无人过问，甚至也无活动，严重存在着迷失工作方向和工作内容问题。有些产业把企业的技术与产品标准作为产业联盟标准，以在市场划分份额为目的，引起产业内部分裂，而产业的发展和规模扩大等前瞻性和产业全局的标准无人过问。所有这些问题都需要花大力去解决。其中，尤其要求改变行业与产业标准化和管理部门长期“难作为”或“无所作为”的现状。

    对如何建立我国技术标准和技术法规体系缺少认识。

    有些标准化机构希望推动信息安全的标准化工作，但是存在着如何实施标准化工作的问题。例如某些政府部门，混淆国家、行业、产业联盟与企业技术标准区别，忽视产业发展的技术标准制定，热衷与将一些产品的竞争性技术标准作为国家或者行业强制性标准。在制定标准的工作方法上也存在问题，采取非公开的不合理的工作程序，无视产业的组织和其他相关组织存在，单独或私下选择某些公司和某些专家制定技术标准，有特别关照个别企业利益的嫌疑。其结果，由于制定标准的定位失误，往往造成所制定的技术标准不能实施和产生撕裂产业恶劣后果，挑起产业内部分裂，破坏产业和谐和有序竞争关系等严重的副作用。要从根本上克服某些部门在技术标准和技术法规方面“乱作为”现象。

    做好国家安全的技术标准和技术法规的工作的建议如下：

    1、把握好信息化的标准化工作的原则。

    中国信息安全产业经过长期认真研究，认识到制定信息化与安全标准要注意国际、国家、政府主管部门、运营部门、监管部门、用户和产业多方面的关注，要发挥国家、行业、产业联盟、企业不同方面的积极性，在信息化的标准化方面如下方面的原则：

    要把握好定位原则。1）国际运营标准原则：考虑到全球化的发展要求，在运营范畴存在着广泛的国际合作，虽然各国在全球化的发展过程中，都会利用技术标准建立技术壁垒，实行国家利益的保护。其中有对抗、竞争、博弈、合作的复杂的情况。中国信息安全产业以积极参与的态度，在运营技术标准争取占有一席之地。2）国家和行业运营标准原则：所谓国家运营原则是指运营体系必须实现国家主体概念下的控制运营，其运营是国家主权，显然这样的运营体系的技术标准必须由国家制定，是国家主权或者国家范围内的事务需要制定的标准。例如涉及到主权、社会、文化、环境、安全的技术标准。在信息化中，包括专门服务、安全标准、监管标准、管理标准、认证标准、密钥标准、评估标准、测评标准等，统称为政府内部服务和政府监管职能的技术标准

    把握好合作与竞争的原则。1）产业联盟的标准化工作要以体系结构、服务性、互操作性和安全性为重点，其标准是产业发展，调整产业结构，扩展市场规模和长期发展为目标，通常是产业合作产生的标准，中国信息安全产业的标准化工作实践证明了这样做是正确的和可行的。2）企业标准化工作要以技术、产品和服务等方面为重点，其标准应是以企业市场占有比例为目标，具有竞争性。但是要求企业的技术与产品标准要遵循产业联盟的标准化工作的要求，实现体系结构、服务性、互操作性和安全性的总要求。

    此外，在制定标准时注意把握好标准的科学性、促进产业发展和可以测评认证的原则。

    需要说明的是：在把握好各项原则中，首先是做好自己应该做的工作，中国信息安全产业将主要围绕国家、行业和产业运营的技术标准，少找麻烦，加强与各有关方面的合作，做好自己的事情。

    2、制定国家产品保证计划是推动我国技术标准与法规建设根本方法。

    产品保证是信息安全事业和产业发展的根本保证。但是我国信息安全产品保证工作起步较晚，严重缺少相应的技术标准和与之配套的技术法规，国家信息安全事业依赖于整个信息产业对其产品的质量和安全性保证措施的落实，更加依赖于整个信息安全产业（以信息安全专业公司为骨干），在体系结构、服务性、互操作性、安全性、产品供应、服务支持等方面的质量与安全性保证。国家必须制定信息安全产品的保证计划，减少其脆弱性和结构性安全威胁。严格限制未经国家信息安全测评认证产品的在国家政治、经济、社会、文化、军事部门和国家基础设施网络上应用，建立产品保证体系。

    3、制定我国信息化体系结构、服务性、互操作性和安全性技术标准体系是关系到全局的突破口。

    产品保证计划是一项大型的系统工程，需要前瞻性的基础与科研方面的研究。标准化工作要在国家、中国信息安全产业联盟和信息安全企业多个层次上实施。当前，应当非常关注信息化体系结构、服务性、互操作性和安全性产业联盟和国家标准制定。

    我国的信息化体系结构、服务性、互操作性和安全性技术标准化和必须通过相应的技术法规来保证，要全面提高加强服务性、互操作性和安全性技术法规意识，改变我国技术法规建立、执行的落后状态 ，尽快改变我国在网络世界中管理、监管、认证、测评、评估和执法等的方面的标准与法规严重缺失的状态。

    中国信息安全产业通过几年的总结和研究，正在制定我国首例信息化体系结构标准和信息化的服务性、互操作性和安全性技术标准体系，称之为可信网络世界体系结构框架（TCAF）。希望得到国家和有关部门的大力支持。