在WAPI服务各行各业关键信息基础设施建设的过程中,联盟总结了一些市场用户的常见问题,并结合百度百科、搜狗百科、互动百科、维基百科中文版等对WAPI的解释存在一定不准确乃至错误之处,开辟WAPI问答(系列连载)栏目,帮助大家更加客观准确地了解WAPI。
欢迎您随时和我们交流探讨。
1、问:如何理解“网络安全”?
答:《网络安全法》第七十六条规定,“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”
网络安全涵盖传统意义上的信息安全、互联网安全、通信安全、计算机安全等方面,包括互联网、通信网、计算机系统、自动化控制系统安全,同时包括这些网络和系统承载的应用、数据和信息内容的安全。
2、问:如何理解关键信息基础设施?
答:依据《网络安全法》和《关键信息基础设施安全保护条例》规定,“关键信息基础设施,指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。需要在网络安全等级保护制度的基础上,实行重点保护。”
3、问:关键信息基础设施在应用无线局域网(WLAN)时,需要满足什么条件?
答:当前,能源、交通、水利、金融等重要行业均在开展规模无线局域网(WLAN)建设,服务工业互联网、物联网、车联网等应用场景。依据《网络安全法》《标准化法》《关键信息基础设施安全保护条例》等法律法规,采购使用符合WAPI标准的无线局域网产品是必然选择。
以电力行业为例,在电网数字化转型和数字电网、智能电网安全无线局域网规划建设中,均选择了WAPI,其规模建设和服务经验对其他行业也起到了示范作用。
4、问:联盟作为无线网络安全技术国家工程研究中心的产业协作中心,主要工作和作用是什么?
答:2011年至今,WAPI产业联盟持续承担了无线网络安全技术国家工程研究中心(原为无线网络安全技术国家工程实验室)的产业协作中心工作,承担的使命包括:关注无线网络和网络安全技术标准的创新和演进;组织产业链上下游协同创新,依标开发并推出安全的无线网络产品,满足市场需求;组织和开展公共技术研发,提供咨询、测试、整改等服务,保障产品间互联互通等。通过联盟“专职专业化人员”和“公共服务平台”,为市场和产业链利益相关方提供想做、做不了、但必须有人做的技术产业服务,持续推动科技创新和成果转化。
无线网络安全技术国家工程研究中心是国家创新体系和国家战略科技力量的重要组成部分,是我国在基础性网络安全技术领域布局的唯一的产业技术创新基础设施,是我国聚焦于计算机TCP/IP四层网络安全协议技术研发攻关的专业机构,包括技术集成研发中心、密码工程验证中心、协议测试技术中心、产业协作中心、电子政务应用中心、智能电网研发应用中心。由西电捷通公司、国家密码管理局商用密码检测中心、国家无线电监测中心检测中心、WAPI产业联盟、北京市政务网络管理中心、中国电力科学研究院、西安邮电大学发起共建。
5、问:能否谈谈对联盟团体标准工作的理解?
答:市场是团体标准的核心驱动力量,团体标准是市场扩大的必要条件和自然结果。作为与产业第一线企业联系最为密切的创新联合体,“关注市场发展趋势、识别市场所需的关键共性技术、快速制定满足市场需求的团体标准、结合产业和市场需求开展团体标准转化”是联盟团体标准的核心工作,也是牵引团体标准“用起来、活起来”的重要动能。
以WAPI产业联盟为例,2015年获批为国家首批团体标准试点单位, 8年间已组织并推动了40余项团体标准制修订及发布,30余项标准的转化。
2015年至今,WAPI产业联盟贴合市场需求制定和发布的40余项团体标准,让长期以来困扰产业的标龄过长、无标可依等局面得到改善。其中T/WAPIA 037.2-2019《GB/T 32420实施指南 第2部分:无线局域网设备测试》,就是对国家标准GB/T 32420-2015《无线局域网测试规范》的补充,该团体标准的技术指标,严于并高于现有国家标准GB/T 32420。该团体标准针对无线局域网的特点,为法律法规及强制性国家标准的实施提供了重要的支持,有效提升了无线局域网产品和服务的质量,降低了产品使用过程中所面临的安全风险,引领了行业健康有序发展。
再如:2020年,结合各行业对WAPI技术和产品日益增长的需求,WAPI产业联盟发起并组织市场用户和厂商共同制定了《关键信息基础设施无线局域网系列团体标准》。该系列团体标准,在整体架构设计上,既包括普遍适用于关基行业无线局域网建设的《通用要求》,也包括针对不同行业特定需求的《行业扩展要求》,兼顾了标准体系的统一性、通用性、扩展性以及行业的特殊性和定制化。具体涉及到每个垂直行业,联盟又通过“技术要求”和“测试方法”两类标准,为安全无线局域网应用部署和行业产品/机具的合规好用提供了标准化依据。上述团体标准,自发布之日,就已经服务市场建设。
6、 问:联盟在团体标准转化方面有何认识和成果?
答:在国家标准方面,2023年8月18日国家标准化管理委员会发布了《推荐性国家标准采信团体标准暂行规定》,结合我国现有推荐性国家标准和团体标准特点,在推荐性国家标准工作机制基础上,畅通渠道、简化程序、缩短时间,规范了国家标准采信团体标准的程序。目前本联盟的团体标准已被17项国家标准采信。
在行业标准和企业标准方面,联盟认为:团体标准的核心在于“用起来、活起来”。在日常工作中,联盟会协调相关市场主体共同制定满足市场和创新需要的团体标准,由本团体成员约定采用或者按照本团体的规定供行业、企业自愿采用;或基于联盟团体标准,为行业标准企业标准提供必要的支持和服务。
例如:目前《关键信息基础设施无线局域网系列团体标准》及其它多项联盟团体标准已转化成为行业标准或企业标准,包括但不限于:《南方电网WAPI无线局域网技术规范》《南方电网WAPI无线局域网综合管理系统技术规范》《南方电网WAPI无线局域网接入控制器北向接口技术规范》《南方电网WAPI无线局域网设备测试规范》《南方电网变电站WAPI无线局域网典型设计规范》《南方电网WAPI无线局域网工程测试规范》《南方电网WAPI无线局域网运行管理指导意见》等。
7、问:联盟团体标准是不是一定要转化为国际标准、国家标准才能体现出价值?
答:不是。
国家标准化管理委员会和民政部联合印发的国标委〔2019〕1号文《团体标准管理规定》第3条明确规定,“团体标准是依法成立的社会团体为满足市场和创新需要,协调相关市场主体共同制定的标准。”其核心价值在于应用。在应用过程中,可以根据实际需要,转化为国际标准、国家标准或者行业标准。这些转化从一定程度上会促进团体标准的应用实施,但不是联盟团体标准取得应用的前提条件。
从实践看,WAPI产业联盟团体标准对技术、产品和服务的要求,均高于本领域的国家标准、行业标准,是对促进国家和行业标准实施的重要补充,起到强有力的支撑作用。
对于技术内容具有先进性、引领性的标准提案,联盟会同步规划和推动国际标准、国家标准、团体标准的制定。以《无线局域网接入控制》系列标准为例,该标准提案自2020年5月立项,就同步开展了国际标准制定工作,于2021年11月发布为联盟团体标准,2023年8月获发布为国际标准。
8、问:WAPI技术标准在国外有应用吗?
答:WAPI技术标准已在全球广泛应用。
在产业化层面,WAPI已成为全球无线局域网芯片的标准配置。截止至2023年9月,支持WAPI技术标准的芯片已达500多个型号,全球出货量已超过260亿颗,移动终端和网络侧设备等超21000款。
在标准国际化层面,WAPI的核心技术架构已于2010年被发布为ISO/IEC国际标准。美国、英国、韩国、捷克、意大利、哈萨克斯坦、乌克兰、中国等8个国家确认等同采用了该标准;比利时、法国、德国、爱尔兰、日本、墨西哥、挪威、波兰等8个国家确认在本国使用了该标准,本国产品是基于该标准的;日本确认其法规中引用了该标准。
9、问:每项团体标准中都要有标准必要专利吗?
答:不是。
团体标准中可能存在标准必要专利,但不是每一项标准都包含标准必要专利。本联盟鼓励创新和技术进步,鼓励标准和专利融合,已依据《中华人民共和国标准化法》、《中华人民共和国专利法》和《国家标准涉及专利的管理规定(暂行)》等相关法律、法规、标准和规章,发布了知识产权政策,提出“参与标准制修订的组织或个人应尽早向联盟标准化部披露自身及关联者拥有的标准必要专利,宜尽早披露其所知悉的他人(方)拥有的必要专利”等相关要求,用以保护社会公众和专利权人及相关权利人的合法权益,保障WAPI产业联盟标准的有效实施。同时,在联盟团体标准的引言中,会披露该标准可能涉及的专利信息。
10、 问:如何参与国际标准化工作?
答:目前,国际上最具影响力的三大国际标准组织是国际标准化组织(International Organization for Standardization,简称ISO)、国际电工委员会(International Electrotechnical Commission,简称IEC)和国际电信联盟(International Telecommunication Union,简称ITU)。这三大国际标准组织制定的标准被称为国际标准。其成员由最有代表性的全国性的标准化机构代表其国家或地区参加,且只允许一个组织参加。
联盟会员单位、专家可通过以下方式参与ISO、IEC 国际标准化活动:
一是确定技术领域涉及的ISO、IEC技术委员会(TC)或分技术委员会(SC)。登录ISO(https://www.iso.org)、IEC(https://www.iec.ch/)官网查找、确定要参与的TC或SC。
国际标准化组织(ISO)与国际电工委员会(IEC)共同设立了规模最大、产出最丰富的技术标准委员会,即ISO/IEC信息技术联合技术委员会(ISO/IEC JTC1)。如参与信息技术领域国际标准化活动可以直接登录ISO/IEC JTC1(https://www.iso.org/committee/45020.html)官网查询。
二是关于确定国内技术对口单位。登录国家市场监督管理总局标准创新司官网(http://www.samr.gov.cn/bzcxs/)的通知公告栏目查询ISO、IEC国内对口单位联系信息。
三是联系国内技术对口单位获取国际标准编制等信息,可向其提出选派技术专家参加国内技术对口工作组、参与国际标准文件投票和评议意见的需求,也可提出承办国际会议、参加ISO和IEC技术机构成员身份、参加ISO 和IEC 国际标准化制定工作组注册专家的建议等。
目前联盟已有多位专家深度参与国际标准化组织工作,其中包括ISO/IEC JTC1/SC 6/WG 1工作组(物理层和数据链路层领域)召集人、ISO/IEC JTC 1/SC 27(信息安全、网络空间安全和隐私保护领域)与ISO/IEC JTC 1/SC 6的双向联络员、 ISO/IEC JTC1/SC 6/AG2(术语和定义咨询组)召集人;ISO/IEC JTC 1/SC 6的WG 1、WG 7、WG 10工作组专家,覆盖所有SC 6工作组;联盟秘书处多位同志成为ISO/IEC JTC 1/SC 6工作组专家并担任联合项目编辑。
11、问:为什么“WAPI简易测试”不可取?
答:“依据标准严格测试”是保障网络安全的基础和关键。采用专业的检测系统依标进行严格测试的产品,意味着更低的故障率、更低的运维成本、更好的用户体验。
所谓“WAPI简易测试”,通常包括两方面:一是检测系统和工具不专业,二是简化测试项目。上述做法,仅能测试网络是否连接成功,无法保证检测结果的准确性、一致性和可靠性,也无法从协议层面去验证产品的标准符合性、健壮性。这种低质量产品一旦流入市场,会给网络质量和用户带来巨大的安全隐患。
围绕上述问题,WAPI产业联盟已依据WAPI国家标准GB 15629.11系列、GB/T 32420—2015、WAPI团体标准T/WAPIA 007.1系列和T/WAPIA 037.2—2021,开发并持续更新《无线局域网产品鉴别与保密基础结构(WAPI)功能测试项目》,目前2022年9月版总计有300余项测试项目。同时开发了配套测试工具“安全无线局域网(WAPI)协议检测系统”,使用上述工具测试并通过了上述测试项目的产品,具有良好的符合性、互通性和兼容性。此外,联盟还面向检测机构、用户单位和有意向的企业提供WAPI检测系统能力建设服务。 |