国家标准化管理委员会和国家质量监督检验检疫总局联合发布的国标GB/T21028-2007《信息安全技术服务器安全技术要求》于12月1日开始正式实施。由浪潮主导起草、联想、曙光等国内服务器厂商参与制定的信息安全国家标准体系,是我国第一个服务器安全标准。据了解,根据服务器采购方的安全等级来实施不同的服务器安全标准,三级是强制与非强制的分水岭,受欧美出口政策的限制,现在中国市场上国际厂商的部分产品不符合这一等级的要求,例如IBM、惠普等采用UNIX操作系统的服务器和微软的Windows服务器操作系统等。
中国的信息安全等级保护分为五级,五级为最高安全标准,包括中国主要省级和重要城市的金融、税务等核心部门,均为三级以上。刘刚表示,包括服务器的操作系统、数据库、应用软件和硬件系统等层面,在三级安全等级以上的服务器,都要在公安部进行强制检测备案,实施安全检测,如果不符合则必须削除国外产品的安全隐患,或者购买相关安全标准的产品,如果仍然不符合中国国家安全标准,可能对相关服务器进行整改和停机。大部分企业为一、二级安全标准,公安部会对其安全标准提出指导性意见。
据了解,由于美国对华出口存在技术限制,三级安全标准以上服务器出口即进行了出口限制,所以部分美国产品需要进行升级以满足中国安全标准,否则则需要购买中国的相应产品已达到相应的安全标准。
IBM中国方面表示,如果客户有需求,IBM会积极配合客户的需求来进行相关国家安全标准的升级,IBM方面表示,IBM销售的产品通过了EAL国际通用安全标准认证,IBM在华销售的主机系统也获得了最高安全级别的五级认证。
中国惠普方面则表示,由于该标准刚刚实施,中国惠普还没有接到任何这方面的消息,所以无法对此事做出答复。
按照计划,所有国家政府部门和公司的安全定级将于2007年定级完毕,2008年中国进行的扩建、改建、新建的信息系统将实施该标准。
刘钢表示,此举主要是为了防止网络攻击或网络病毒等恶意网络行为。国家计算机网络安全应急技术处理协调中心发布的报告显示,仅2007 年上半年,就发现 8361个境外控制服务器对我国大陆地区的主机进行控制,频繁的网络攻击与入侵以及间谍活动使我国的信息安全建设面临极大的考验。此前,美国政府也曾指责受到过中国军方的网络间谍曾经对其发起过攻击。