李京春谈网络安全技术标准：坚持二元体系，解决“多根”问题

9月20日上午，国家网络安全宣传周“网络安全技术标准”分论坛在国家会展中心（上海）召开。国家信息技术安全研究中心总工程师李京春在论坛中表示，当下网络安全评估体系建设发展思路，应当融合发展，实施重点保护，同时坚持“二元体系”，统筹规划，解决“多根”问题。

李京春表示，信息安全评估标准的体系结构分为四层，最上面为法律层，接下来分别为基础层、安全要求层及测评认证层。“从现在到未来是要遵循这个架构的。产品也有子体系性，比如有信息技术产品，物联网产品等等，它的信息安全评估标准体系架构就是这个样子。”

针对信息安全评估标准体系，李京春依次就系统等级保护标准子体系、18336产品标准子体系、工控标准子体系、物联网标准子体系、汽车电子标准子体系、智能制造标准子体系进行细致阐述。

其中，李京春表示，作为重要子体系之一，在工业控制标准领域，安全评估标准存在“多根”的现象。“有的是遵循美国的标准，有的是按照工信部的标准体系，还有按照等级保护体系操作的，还有按相关行业标准执行的。”李京春说，由于工控体系编制的标准数量多，导致现有标准混乱，缺乏统筹。

面对以上问题，李京春从五方面阐述当下网络安全评估体系建设的发展思路。

首先要融合发展，实施重点保护，针对网络安全标准采用二元体系架构，“一方面是等级保护体系继续发展完善，保障系统要求，就像我们修长城，同样的砖同样的高度和厚度，按照等级保护来修下去，我们信息化关键基础设施延伸到哪里它就延伸到哪里。同时，对一些重要设施、系统要加强专业化的保护安全要求，重点保护。”

其次就是针对工控子体系，解决“多根”问题。李京春说，工控的子体系也要采用二元化的体系：一方面发展等级保护系列以做好基本保障，同时对重要系统如SP－800、18336（工控产品）等体系，向统一框架引导发展。

坚持而二元体系是关键。李京春表示，要打好基础，统筹规划，防止多头。“像汽车电子领域，我们就统筹在一起，最后也希望它形成一个体系，它的模型、体系架构都在一个体系下，根据不同的安全要求，提出相应的测试指南。”