“在信息安全方面，目前我國惟一能做到的就是將國內的密碼運用到TPM上，其他方面基本拿不出標準提案來，形勢非常嚴峻。”國務院信息化工作室網絡與信息安全小組副組長呂誠昭日前在第七屆中國信息安全大會上表示，目前我國急需加快制定信息安全標準的步伐，以免在國際相關標準出臺后，國外公司向我國企業收取大量專利費，重蹈DVD覆轍，影響產業發展。

標準制定面臨空中樓閣

隨著政務信息化的飛速發展，安全問題日益凸顯，每年由各類安全事件造成的損失數以億計。其中既包括來自外部的威脅，如蠕蟲、黑客、間諜軟件等，也包含內部人員違規操作或者惡意破壞造成的安全隱患。“目前，信息安全已經形成一個巨大的產業，但是，由于信息安全行業發展的時間較短，需要分析和探討的問題也較多。”呂誠昭表示，信息安全標準的制定就是其中之一。

但是，目前我國制定信息安全標準首先缺少基本的支撐。一方面，我國缺乏國家信息安全狀況的基本數據，關于我國網絡目前受攻擊狀況數據使用的是來自美國FBI的統計；另一方面，我國也沒有網絡受到攻擊后的損失數據，目前的統計均來自美國FBI。此外，現在整個網絡的脆弱性分析也沒有準確數字。“這些是制定信息安全標準首先要邁過的一關。”呂誠昭表示。

話語權缺失

“思科曾經問，中國為什么要制定自己的標準？”對這一問題，呂誠昭表示，中國不是要脫離國際社會，閉門制定自己的標準，而是“在國際標準中，中國應該有發言權。”

一方面，信息安全產業保密性非常高，企業加入相關領域標準組織，不但被嚴格分級，而且要就相關標準的知識產權和專利簽署保密協議，不向未加入標準組織的企業公開。“如果在制定國際標準時，中國沒有爭取‘發言’，那么在國際標準出臺后，中國就被擋在國際信息安全標準的大門之外。”呂誠昭表示。

另一方面，沒有相關標準就意味著要向國際標準組織繳納高額專利費。“一旦相關國際標準組織要向中國企業收取專利費時，中國的IT業尤其是PC產業將面臨嚴峻挑戰。”呂誠昭表示，目前我國高新技術產業利潤只有1.9%，如果IT企業被收取大量專利費，企業利潤將會更低，并且很多小企業將重現DVD每年減少數百家的局面。“中國只有在國際標準中占有一席之地，同標準組織談判時，才會降低中國企業繳納專利費用的額度”。

但是目前我國在制定信息安全標準方面，形勢并不樂觀。“目前我國惟一能做到的就是將國內的密碼運用到TPM上，其他方面基本拿不出標準提案來，形勢非常嚴峻。”呂誠昭表示，現在我國信息安全標準的制定主要依靠科研單位，與國際上主要依靠企業的通行做法相去甚遠。

為改變這一現狀，全國信息安全標準化技術委員會正在積極努力，吸納更多企業參與我國信息安全標準制定的工作。但呂誠昭表示：“參與其中的企業非常有限。”