信息安全的重要性,不僅僅體現(xiàn)在國(guó)家安全層面,還與公共利益以及公民個(gè)人權(quán)益息息相關(guān)。
在后金融危機(jī)時(shí)代,信息化與工業(yè)化融合也將是引領(lǐng)全球經(jīng)濟(jì)發(fā)展的一個(gè)制高點(diǎn)。信息安全保障能力作為我國(guó)兩化融合戰(zhàn)略的關(guān)鍵,是今后經(jīng)濟(jì)持續(xù)發(fā)展的重要保證。
我國(guó)核心技術(shù)和互聯(lián)網(wǎng)基礎(chǔ)資源匱乏,重要的核心信息技術(shù)和產(chǎn)品、服務(wù)嚴(yán)重依賴(lài)國(guó)外,使信息安全不掌握在自己手上。
信息安全認(rèn)證認(rèn)可為信息系統(tǒng)安全提供基礎(chǔ)保障,規(guī)范和促進(jìn)產(chǎn)業(yè)發(fā)展,是滿(mǎn)足我國(guó)信息安全需求的有效途徑,通過(guò)推動(dòng)自主標(biāo)準(zhǔn)的實(shí)施,促進(jìn)了自主可控的信息安全保障體系建設(shè)。
文/ 魏昊
信息化是加快實(shí)現(xiàn)工業(yè)化和現(xiàn)代化的必然選擇,黨的“十七大”報(bào)告提出,要大力推進(jìn)信息化與工業(yè)化融合。隨著信息化的發(fā)展,信息安全的重要性日益突出,大力加強(qiáng)信息安全保障體系建設(shè)已經(jīng)成為國(guó)家信息化戰(zhàn)略乃至經(jīng)濟(jì)和社會(huì)發(fā)展的重大任務(wù)。這其中,信息安全認(rèn)證發(fā)揮著重要作用。
一、信息安全是國(guó)家經(jīng)濟(jì)與社會(huì)發(fā)展的重大主題
20世紀(jì)90年代以來(lái),信息技術(shù)不斷創(chuàng)新,信息產(chǎn)業(yè)持續(xù)發(fā)展,信息網(wǎng)絡(luò)廣泛普及,信息化成為全球經(jīng)濟(jì)社會(huì)發(fā)展的顯著特征,并逐步向一場(chǎng)全方位的社會(huì)變革演進(jìn)。進(jìn)入21世紀(jì),信息化對(duì)經(jīng)濟(jì)社會(huì)發(fā)展的影響更加深刻。廣泛應(yīng)用、高度滲透的信息技術(shù)正孕育著新的重大突破。信息資源日益成為重要生產(chǎn)要素、無(wú)形資產(chǎn)和社會(huì)財(cái)富。信息網(wǎng)絡(luò)更加普及并日趨融合。信息化與經(jīng)濟(jì)全球化相互交織,推動(dòng)著全球產(chǎn)業(yè)分工深化和經(jīng)濟(jì)結(jié)構(gòu)調(diào)整,重塑著全球經(jīng)濟(jì)競(jìng)爭(zhēng)格局。互聯(lián)網(wǎng)加劇了各種思想文化的相互激蕩,成為信息傳播和知識(shí)擴(kuò)散的新載體。電子政務(wù)在提高行政效率、改善政府效能、擴(kuò)大民主參與等方面的作用日益顯著。信息化使現(xiàn)代戰(zhàn)爭(zhēng)形態(tài)發(fā)生重大變化,是世界新軍事變革的核心內(nèi)容。
信息技術(shù)在國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展各個(gè)領(lǐng)域的廣泛滲透,使網(wǎng)絡(luò)與信息系統(tǒng)安全問(wèn)題不僅關(guān)系到信息化的健康發(fā)展,還全方位影響到國(guó)家的政治安全、經(jīng)濟(jì)安全和文化安全。當(dāng)前,網(wǎng)絡(luò)竊密活動(dòng)呈多發(fā)態(tài)勢(shì),信息網(wǎng)絡(luò)已經(jīng)成為竊密和反竊密的主戰(zhàn)場(chǎng);西方一些國(guó)家和敵對(duì)勢(shì)力將互聯(lián)網(wǎng)作為對(duì)我國(guó)進(jìn)行意識(shí)形態(tài)滲透的重要渠道,試圖利用互聯(lián)網(wǎng)實(shí)施對(duì)我西化、分化的戰(zhàn)略圖謀;通信、金融、交通、能源等關(guān)系到國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)行已經(jīng)全面依賴(lài)網(wǎng)絡(luò)與信息系統(tǒng),一旦出現(xiàn)信息安全問(wèn)題,這些基礎(chǔ)設(shè)施的故障或癱瘓將嚴(yán)重影響經(jīng)濟(jì)發(fā)展,甚至引發(fā)社會(huì)混亂;隨著工業(yè)化和信息化融合戰(zhàn)略的實(shí)施,信息安全已經(jīng)成為工業(yè)生產(chǎn)安全的關(guān)鍵要素;信息化發(fā)展大大促進(jìn)了文化產(chǎn)業(yè)發(fā)展,網(wǎng)絡(luò)文化產(chǎn)業(yè)已成為中國(guó)文化產(chǎn)業(yè)的重要組成部分,外來(lái)文化通過(guò)互聯(lián)網(wǎng)和數(shù)字內(nèi)容產(chǎn)品的普及在我國(guó)占據(jù)了很大市場(chǎng),在豐富人們文化生活的同時(shí),也帶來(lái)了嚴(yán)重的文化入侵風(fēng)險(xiǎn)。黨的十六屆四中全會(huì)上,明確將信息安全作為國(guó)家安全的重要組成部分,要求“增強(qiáng)國(guó)家安全意識(shí),完善國(guó)家安全戰(zhàn)略”,并確保“國(guó)家的政治安全、經(jīng)濟(jì)安全、文化安全和信息安全”。
信息安全的重要性,不僅僅體現(xiàn)在國(guó)家安全層面,還與公共利益以及公民個(gè)人權(quán)益息息相關(guān)。信息時(shí)代,傳統(tǒng)犯罪活動(dòng)借助網(wǎng)絡(luò)得到了更大的活動(dòng)空間,網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)傳銷(xiāo)、網(wǎng)上銷(xiāo)售違禁物品、網(wǎng)絡(luò)傳播淫穢色情等網(wǎng)絡(luò)違法犯罪活動(dòng)紛紛出現(xiàn),相比傳統(tǒng)犯罪而言,其危害面更廣,犯罪行為更加難以追蹤。網(wǎng)絡(luò)攻擊與病毒傳播日益增多,危害性不斷增高,特別是近年來(lái)發(fā)生的網(wǎng)絡(luò)攻擊普遍表現(xiàn)出了趨利性和定向性的明顯趨勢(shì),極大打擊了用戶(hù)對(duì)在線(xiàn)電子商務(wù)等互聯(lián)網(wǎng)應(yīng)用的信心,企業(yè)的商業(yè)秘密、知識(shí)產(chǎn)權(quán)和用戶(hù)的敏感信息面臨嚴(yán)重威脅。垃圾郵件成為信息社會(huì)的一大頑疾,在全球范圍內(nèi)泛濫成災(zāi),屢禁不止。以推銷(xiāo)商品、金融詐騙以及造謠生事、地下串聯(lián)等為內(nèi)容的各類(lèi)短信繼垃圾郵件之后迅速上升,對(duì)公民日常生活、經(jīng)濟(jì)利益乃至公共秩序、社會(huì)穩(wěn)定帶來(lái)極大影響。公民隱私權(quán)在信息社會(huì)受到巨大沖擊,網(wǎng)絡(luò)造謠誹謗、攻擊謾罵等名譽(yù)權(quán)糾紛日益增多,多媒體和軟件下載、網(wǎng)絡(luò)瀏覽等互聯(lián)網(wǎng)應(yīng)用使知識(shí)產(chǎn)權(quán)遭到嚴(yán)重侵害。
二、當(dāng)前的信息安全形勢(shì)
當(dāng)前,我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展進(jìn)入新的歷史時(shí)期,新的信息技術(shù)不斷涌現(xiàn),信息技術(shù)應(yīng)用進(jìn)一步深化,信息化對(duì)經(jīng)濟(jì)和社會(huì)發(fā)展的推動(dòng)作用更加明顯。與此同時(shí),信息安全形勢(shì)也體現(xiàn)出新的特點(diǎn):
一是網(wǎng)絡(luò)空間中滲透與反滲透、控制與反控制、竊密與反竊密的斗爭(zhēng)日趨激烈,爭(zhēng)奪網(wǎng)絡(luò)空間主導(dǎo)權(quán)和絕對(duì)優(yōu)勢(shì)的競(jìng)爭(zhēng)白熱化。西方發(fā)達(dá)國(guó)家紛紛調(diào)整國(guó)家信息安全戰(zhàn)略,有的國(guó)家甚至將信息安全能力與核能力相提并論。一些國(guó)家大力發(fā)展網(wǎng)絡(luò)戰(zhàn)部隊(duì),信息戰(zhàn)陰霾密布。信息安全成為國(guó)際競(jìng)爭(zhēng)的制高點(diǎn),為國(guó)與國(guó)之間的關(guān)系帶來(lái)新的制約。經(jīng)過(guò)艱苦努力,包括中國(guó)、美國(guó)、俄羅斯等國(guó)在內(nèi)的共計(jì)15個(gè)國(guó)家于今年7月達(dá)成協(xié)議,對(duì)國(guó)際信息安全問(wèn)題作出一致聲明,并提請(qǐng)聯(lián)合國(guó)出臺(tái)規(guī)范網(wǎng)絡(luò)行為的準(zhǔn)則。
二是經(jīng)濟(jì)和社會(huì)發(fā)展對(duì)信息網(wǎng)絡(luò)的依賴(lài)性越來(lái)越強(qiáng),信息安全的極端重要性進(jìn)一步突出。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)今年6月份的最新統(tǒng)計(jì)報(bào)告表明,目前我國(guó)上網(wǎng)人數(shù)已經(jīng)達(dá)到4.2億人,手機(jī)網(wǎng)民規(guī)模達(dá)2.77億。2009年,中國(guó)電子商務(wù)交易額超過(guò)3.6萬(wàn)億元人民幣,預(yù)計(jì)今年將超過(guò)4萬(wàn)億元,網(wǎng)絡(luò)購(gòu)物金額則將超過(guò)4000億元。在應(yīng)對(duì)國(guó)際金融危機(jī)中,我們國(guó)家充分利用現(xiàn)代信息技術(shù)對(duì)傳統(tǒng)產(chǎn)業(yè)進(jìn)行升級(jí)改造,兩化融合成為十大振興規(guī)劃的重要?jiǎng)恿ΑT诤蠼鹑谖C(jī)時(shí)代,“兩化”融合也將是引領(lǐng)全球經(jīng)濟(jì)發(fā)展的一個(gè)制高點(diǎn)。信息安全保障能力作為我國(guó)兩化融合戰(zhàn)略的關(guān)鍵,是今后經(jīng)濟(jì)持續(xù)發(fā)展的重要保證。
三是我國(guó)因缺少核心和關(guān)鍵技術(shù)、自主可控能力不強(qiáng)而導(dǎo)致的風(fēng)險(xiǎn)進(jìn)一步增大。我國(guó)核心技術(shù)和互聯(lián)網(wǎng)基礎(chǔ)資源匱乏,重要的核心信息技術(shù)和產(chǎn)品、服務(wù)嚴(yán)重依賴(lài)國(guó)外,使信息安全不掌握在自己手上。在今年的兩院院士大會(huì)上,胡錦濤總書(shū)記指出,要改變我國(guó)信息資源行業(yè)分隔、核心技術(shù)受制于人的局面,促進(jìn)信息共享,保障信息安全。
四是新技術(shù)、新應(yīng)用的發(fā)展,為信息安全不斷提出新的課題。云計(jì)算、物聯(lián)網(wǎng)是當(dāng)前的技術(shù)熱點(diǎn)和技術(shù)趨勢(shì),但由此產(chǎn)生的安全問(wèn)題不容忽視。云計(jì)算使產(chǎn)生和獲取計(jì)算能力的方式發(fā)生了變革,但同時(shí)也帶來(lái)了數(shù)據(jù)的安全控制問(wèn)題;物聯(lián)網(wǎng)的前景用途十分廣闊,但這項(xiàng)技術(shù)將傳統(tǒng)封閉的工業(yè)控制系統(tǒng)同公共網(wǎng)絡(luò)連接起來(lái)后,互聯(lián)網(wǎng)出現(xiàn)的安全問(wèn)題就有可能延伸到工業(yè)控制領(lǐng)域,帶來(lái)的安全問(wèn)題將更加直接,更加突出。國(guó)務(wù)院已經(jīng)在今年1月印發(fā)了推進(jìn)三網(wǎng)融合總體方案,試點(diǎn)工作目前已經(jīng)開(kāi)始。三網(wǎng)融合對(duì)信息安全帶來(lái)的挑戰(zhàn)更大。傳統(tǒng)的安全問(wèn)題依然存在,還有可能因?yàn)槿W(wǎng)融合而放大;新的安全問(wèn)題將不斷浮現(xiàn),有的還遠(yuǎn)沒(méi)有暴露出現(xiàn),需要在技術(shù)對(duì)策和管理對(duì)策兩方面做出創(chuàng)新。
三、我國(guó)信息安全保障工作進(jìn)展
2003年9月,中共中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)〔2003〕27號(hào)),提出了我國(guó)信息安全保障工作的總體要求、主要原則和主要任務(wù),要求充分發(fā)揮各方面的積極性,共同構(gòu)筑國(guó)家信息安全保障體系。
27號(hào)文件確定的我國(guó)信息安全保障工作的總體要求是,堅(jiān)持積極防御、綜合防范的方針,全面提高信息安全防護(hù)能力,重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全,創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境,保障和促進(jìn)信息化發(fā)展,保護(hù)公眾利益,維護(hù)國(guó)家安全。
近年來(lái),根據(jù)27號(hào)文件的要求,各有關(guān)部門(mén)抓緊建設(shè)國(guó)家信息安全保障體系,各項(xiàng)工作取得明顯進(jìn)展。
一是實(shí)行信息安全等級(jí)保護(hù)。將信息系統(tǒng)安全共分為五個(gè)保護(hù)級(jí)別,根據(jù)系統(tǒng)的重要程度,信息系統(tǒng)遭到破壞后的危害程度等因素確定安全等級(jí)。不同等級(jí)的信息系統(tǒng),按照國(guó)家標(biāo)準(zhǔn)對(duì)相應(yīng)等級(jí)系統(tǒng)提出的安全要求進(jìn)行保護(hù)。目前,全國(guó)信息系統(tǒng)的定級(jí)、備案工作已經(jīng)完成,正在進(jìn)行測(cè)評(píng)和整改。
二是開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估。這項(xiàng)工作的目的是,要求各個(gè)單位,系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評(píng)估潛在安全事件的危害程度,提出有針對(duì)性的防護(hù)對(duì)策和整改措施。我國(guó)從抓試點(diǎn)開(kāi)始,逐步探索組織實(shí)施和管理的經(jīng)驗(yàn),目前國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)已經(jīng)普遍推行信息安全風(fēng)險(xiǎn)評(píng)估工作。
三是加強(qiáng)密碼技術(shù)應(yīng)用,建設(shè)網(wǎng)絡(luò)信任體系。密碼是保障信息安全的核心技術(shù),已廣泛應(yīng)用于經(jīng)濟(jì)、科技、文化和社會(huì)生活的各個(gè)領(lǐng)域。這項(xiàng)工作要求按照“滿(mǎn)足需求、方便使用、加強(qiáng)管理”的原則,修改完善密碼管理法規(guī),建立健全適應(yīng)信息化發(fā)展需要的密碼管理體制。以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等為主要內(nèi)容的網(wǎng)絡(luò)信任體系是密碼技術(shù)的重要應(yīng)用,我國(guó)近年來(lái)大力加強(qiáng)“布局合理、安全可控、經(jīng)濟(jì)適用、運(yùn)行有序”網(wǎng)絡(luò)信任體系建設(shè),其中一項(xiàng)進(jìn)展是已經(jīng)批準(zhǔn)30家電子認(rèn)證機(jī)構(gòu)。
四是高度重視應(yīng)急處理工作。在信息安全事件不可能完全杜絕的情況下,信息安全應(yīng)急處理發(fā)揮著重要的作用,是信息安全防護(hù)體系中的重要一環(huán)。有關(guān)部門(mén)先后發(fā)布了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》、《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》等政策規(guī)范。國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心已經(jīng)建立,近年來(lái)不斷完善通報(bào)機(jī)制、會(huì)商研判機(jī)制和技術(shù)支持體系。2008年,國(guó)務(wù)院辦公廳印發(fā)了《國(guó)家網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》,各地區(qū)、各部門(mén)已經(jīng)認(rèn)真落實(shí)。
五是加強(qiáng)技術(shù)研發(fā),推進(jìn)產(chǎn)業(yè)發(fā)展。信息安全產(chǎn)業(yè)構(gòu)成了國(guó)家信息安全保障體系的物質(zhì)基礎(chǔ)和技術(shù)支撐。近年來(lái),我國(guó)通過(guò)實(shí)施信息安全專(zhuān)題863計(jì)劃和973計(jì)劃等科研項(xiàng)目,加強(qiáng)了對(duì)信息安全關(guān)鍵技術(shù)的研究,攻克了一批信息安全重大技術(shù)難題。為進(jìn)一步規(guī)范信息安全產(chǎn)品測(cè)評(píng)認(rèn)證,為產(chǎn)業(yè)創(chuàng)造良好的市場(chǎng)環(huán)境,2004年10月,國(guó)家認(rèn)監(jiān)委、公安部、國(guó)家安全部、原信息產(chǎn)業(yè)部、國(guó)家保密局、原國(guó)家密碼管理委員會(huì)辦公室、國(guó)家質(zhì)檢總局和原國(guó)務(wù)院信息化工作辦公室聯(lián)合發(fā)布了《關(guān)于建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》,要求建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系。
六是加強(qiáng)法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)。面對(duì)信息化迅速推進(jìn)過(guò)程中出現(xiàn)的一些新問(wèn)題、新情況,各地區(qū)、各部門(mén)正在清理、調(diào)整和修訂現(xiàn)有信息安全法律、行政法規(guī)和部門(mén)規(guī)章。2009年2月,《刑法》修正案(七)對(duì)打擊網(wǎng)絡(luò)犯罪的條款進(jìn)行了更新,最高人民法院、最高人民檢察院出臺(tái)了相關(guān)的司法解釋。《保守國(guó)家秘密法》已修訂完成發(fā)布,今年10月1日起執(zhí)行。為建立綜合性的信息安全法律框架,《信息安全法》的起草工作正在抓緊進(jìn)行。為加強(qiáng)信息安全標(biāo)準(zhǔn)化建設(shè),我國(guó)在2002年成立了全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì),抓緊制定了一批急需的信息安全管理和技術(shù)標(biāo)準(zhǔn),逐步建立與國(guó)際標(biāo)準(zhǔn)相銜接的中國(guó)信息安全標(biāo)準(zhǔn)體系。今年我國(guó)又新發(fā)布18項(xiàng)信息安全國(guó)家標(biāo)準(zhǔn),名為虎符的TePA技術(shù)在國(guó)際標(biāo)準(zhǔn)化組織獲得全票通過(guò)后正式成為國(guó)際標(biāo)準(zhǔn)。
七是加快人才培養(yǎng),增強(qiáng)全民意識(shí)。教育部印發(fā)了《關(guān)于進(jìn)一步加強(qiáng)信息安全學(xué)科、專(zhuān)業(yè)建設(shè)和人才培養(yǎng)工作的意見(jiàn)》,從加強(qiáng)信息安全學(xué)科體系研究、信息安全碩士點(diǎn)和博士點(diǎn)建設(shè)、穩(wěn)定信息安全本科專(zhuān)業(yè)設(shè)置、促進(jìn)交叉學(xué)科專(zhuān)業(yè)探索多樣化培養(yǎng)模式新機(jī)制、建立信息安全繼續(xù)教育制度等十個(gè)方面提出了指導(dǎo)性的意見(jiàn)。2007年2月,教育部組建了教育部高等學(xué)校信息安全類(lèi)專(zhuān)業(yè)教學(xué)指導(dǎo)委員會(huì)。
八是加強(qiáng)政府信息安全工作。工業(yè)和信息化部每年開(kāi)展政府信息系統(tǒng)安全檢查活動(dòng)。為提高政府部門(mén)互聯(lián)網(wǎng)接入安全性,工業(yè)和信息化部實(shí)施了政府部門(mén)互聯(lián)網(wǎng)安全接入試點(diǎn)工程,逐步整合政府部門(mén)互聯(lián)網(wǎng)接入,減少政府部門(mén)互聯(lián)網(wǎng)接入口數(shù)量。
四、信息安全認(rèn)證認(rèn)可是國(guó)家信息安全保障基礎(chǔ)性工作
2003年9月,國(guó)務(wù)院發(fā)布了《認(rèn)證認(rèn)可條例》。這一條例對(duì)認(rèn)證做出了定義:認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng);認(rèn)可則是指由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢查機(jī)構(gòu)、實(shí)驗(yàn)室以及從事評(píng)審、審核等認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格,予以承認(rèn)的合格評(píng)定活動(dòng)。
認(rèn)證認(rèn)可起源于質(zhì)量控制,最初是質(zhì)量管理的基礎(chǔ)手段,現(xiàn)在已經(jīng)成為我國(guó)市場(chǎng)經(jīng)條件下一項(xiàng)基礎(chǔ)性制度安排,已有18部法律、15部行政法規(guī)及多部部門(mén)規(guī)章明確規(guī)定利用認(rèn)證認(rèn)可手段,為經(jīng)濟(jì)活動(dòng)提供技術(shù)評(píng)價(jià)。建立認(rèn)證認(rèn)可制度,將政府的很多社會(huì)管理手段由行政許可方式改為認(rèn)證認(rèn)可方式,發(fā)揮第三方認(rèn)證機(jī)構(gòu)的作用,體現(xiàn)了進(jìn)一步轉(zhuǎn)變政府職能、改進(jìn)管理方式、提高行政效率的行政管理體制改革的精神。經(jīng)過(guò)國(guó)家認(rèn)監(jiān)委和各有關(guān)部門(mén)的共同努力,我國(guó)已建立了包含法律約束、行政監(jiān)管、認(rèn)可約束、行業(yè)自律、社會(huì)監(jiān)督等五位一體的認(rèn)證認(rèn)可監(jiān)管體制。
目前,信息安全領(lǐng)域有越來(lái)越多的技術(shù)評(píng)價(jià)活動(dòng)都采用認(rèn)證認(rèn)可制度,這已經(jīng)成為一種國(guó)際趨勢(shì)。在國(guó)家信息安全戰(zhàn)略框架中,也納入了信息安全認(rèn)證認(rèn)可制度。
信息安全認(rèn)證認(rèn)可的主要作用體現(xiàn)在以下四個(gè)方面:
(1)信息安全認(rèn)證認(rèn)可為信息系統(tǒng)安全提供了基礎(chǔ)保障。安全可靠的產(chǎn)品和服務(wù)是信息系統(tǒng)安全性的基礎(chǔ),是信息系統(tǒng)的第一道安全防線(xiàn)。信息安全管理體系認(rèn)證和信息系統(tǒng)安全認(rèn)證則提供了信息系統(tǒng)安全狀況的客觀證據(jù),認(rèn)證結(jié)果是信息系統(tǒng)安全運(yùn)行的重要保障。此外,“人”是信息系統(tǒng)安全的最重要因素,信息安全人員認(rèn)證認(rèn)可提高了信息系統(tǒng)中各類(lèi)相關(guān)人員的專(zhuān)業(yè)技能和道德水準(zhǔn)。
(2)信息安全認(rèn)證認(rèn)可是規(guī)范和促進(jìn)產(chǎn)業(yè)發(fā)展的重要手段。信息安全認(rèn)證認(rèn)可有助于淘汰劣質(zhì)產(chǎn)品和服務(wù),促進(jìn)企業(yè)技術(shù)進(jìn)步,也有助于為政府監(jiān)管提供技術(shù)依據(jù)。
(3)統(tǒng)一的信息安全認(rèn)證認(rèn)可體系是滿(mǎn)足我國(guó)信息安全需求的有效途徑。由于歷史的原因,我國(guó)一直以來(lái)有多種信息安全產(chǎn)品評(píng)價(jià)或許可制度共存,重復(fù)檢測(cè)和認(rèn)證的問(wèn)題較為突出。為此,我國(guó)確立了建立統(tǒng)一的國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的原則和目標(biāo)。
(4)認(rèn)證認(rèn)可通過(guò)推動(dòng)自主標(biāo)準(zhǔn)的實(shí)施,促進(jìn)了自主可控的信息安全保障體系建設(shè)。
五、信息安全認(rèn)證認(rèn)可工作的成績(jī)和今后的發(fā)展戰(zhàn)略
根據(jù)《認(rèn)證認(rèn)可條例》定義,認(rèn)證的對(duì)象分為三類(lèi):產(chǎn)品、服務(wù)和管理體系。在信息安全領(lǐng)域,目前針對(duì)這三類(lèi)對(duì)象的認(rèn)證活動(dòng)在我國(guó)都已開(kāi)展,即信息安全產(chǎn)品認(rèn)證、信息安全服務(wù)認(rèn)證和信息安全管理體系認(rèn)證。此外,對(duì)人員和系統(tǒng)的信息安全人員認(rèn)證、信息系統(tǒng)安全認(rèn)證也在國(guó)內(nèi)外有著很多實(shí)踐。
2009年4月,國(guó)家質(zhì)檢總局、財(cái)政部和國(guó)家認(rèn)監(jiān)委發(fā)布了《關(guān)于調(diào)整信息安全產(chǎn)品強(qiáng)制性認(rèn)證實(shí)施要求的公告》,宣布將信息安全產(chǎn)品認(rèn)證的實(shí)施時(shí)間延至2010年5月1日,在政府采購(gòu)法規(guī)定的范圍內(nèi)強(qiáng)制實(shí)施。目前,中國(guó)信息安全認(rèn)證中心已經(jīng)發(fā)布國(guó)家信息安全產(chǎn)品認(rèn)證證書(shū)100余張。
為了探索信息安全服務(wù)認(rèn)證工作規(guī)律,國(guó)家認(rèn)監(jiān)委明確中國(guó)信息安全認(rèn)證中心是作為開(kāi)展信息安全服務(wù)資質(zhì)認(rèn)證業(yè)務(wù)的試點(diǎn)單位。2008年,中國(guó)信息安全認(rèn)證中心在國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT) 已經(jīng)實(shí)施的應(yīng)急服務(wù)支撐單位授權(quán)工作的基礎(chǔ)上,依據(jù)YD/T 1799-2008《網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)估方法》,開(kāi)展了信息安全應(yīng)急處理服務(wù)資質(zhì)的認(rèn)證工作,目前頒發(fā)證書(shū)36張。2010年初,中國(guó)信息安全認(rèn)證中心啟動(dòng)了信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)認(rèn)證工作,目前已頒發(fā)20張認(rèn)證證書(shū)。
2009年9月,國(guó)家認(rèn)監(jiān)委發(fā)布了第47號(hào)公告《關(guān)于正式開(kāi)展信息安全管理體系認(rèn)證工作的公告》,宣布信息安全管理體系認(rèn)證工作由試點(diǎn)轉(zhuǎn)入正式開(kāi)展階段,并開(kāi)始受理信息安全管理體系認(rèn)證機(jī)構(gòu)的申請(qǐng)。信息安全管理體系認(rèn)證過(guò)程會(huì)涉及到被認(rèn)證單位的大量敏感信息,為控制信息安全管理體系認(rèn)證中的安全風(fēng)險(xiǎn),2010年8月,工業(yè)和信息化部、質(zhì)檢總局、人民銀行、國(guó)資委、國(guó)家保密局、認(rèn)監(jiān)委聯(lián)合印發(fā)了《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》,提出了五項(xiàng)明確意見(jiàn)。
2009年12月28日,“信息安全認(rèn)證認(rèn)可發(fā)展戰(zhàn)略報(bào)告會(huì)”在北京舉行。會(huì)議專(zhuān)題討論了《信息安全認(rèn)證認(rèn)可發(fā)展戰(zhàn)略研究報(bào)告》。報(bào)告提出今后我國(guó)信息安全認(rèn)證認(rèn)可戰(zhàn)略發(fā)展的重點(diǎn)任務(wù)包括:一是繼續(xù)完善信息安全認(rèn)證認(rèn)可制度設(shè)計(jì),著力解決信息安全認(rèn)證認(rèn)可制度與我國(guó)信息安全管理的其他制度之間的銜接問(wèn)題,通過(guò)政策引導(dǎo),加強(qiáng)認(rèn)證結(jié)果的采信。二是推進(jìn)政策法規(guī)環(huán)境建設(shè),針對(duì)信息安全認(rèn)證中出現(xiàn)的新情況適時(shí)修訂有關(guān)政策法規(guī),不斷擴(kuò)展認(rèn)證認(rèn)可的業(yè)務(wù)范圍,積極推進(jìn)信息安全管理體系(ISMS)認(rèn)證的國(guó)際互認(rèn)工作。三是強(qiáng)化信息安全認(rèn)證市場(chǎng)監(jiān)管,嚴(yán)格限制信息安全認(rèn)證機(jī)構(gòu)的準(zhǔn)入,并大力加強(qiáng)對(duì)信息安全認(rèn)證活動(dòng)中安全風(fēng)險(xiǎn)的監(jiān)管。四是加強(qiáng)信息安全認(rèn)證認(rèn)可的基礎(chǔ)建設(shè),繼續(xù)加強(qiáng)我國(guó)信息安全標(biāo)準(zhǔn)規(guī)范的制訂工作,加大對(duì)信息安全認(rèn)證認(rèn)可的科研投入,加強(qiáng)檢測(cè)技術(shù)的研究與開(kāi)發(fā),加強(qiáng)認(rèn)證機(jī)構(gòu)和實(shí)驗(yàn)室建設(shè)。
(作者系中國(guó)信息安全認(rèn)證中心主任)
