當(dāng)好政府信息安全的把關(guān)人

圖為中國信息安全認(rèn)證中心副主任陳曉樺（前排中間）正與中心業(yè)務(wù)骨干進(jìn)行研討。

中國信息安全認(rèn)證中心始終以保障國家信息安全為己任，以打造國際一流專業(yè)信息安全認(rèn)證機(jī)構(gòu)為目標(biāo)。   

截止到2010年9月底，中國信息安全認(rèn)證中心已頒發(fā)139張“國家信息安全認(rèn)證”證書。在已獲得認(rèn)證的產(chǎn)品中，防火墻、入侵檢測系統(tǒng)、安全隔離與信息交換、安全審計(jì)系統(tǒng)占絕大多數(shù)。

擔(dān)負(fù)這項(xiàng)信息安全保障工作的中國信息安全認(rèn)證中心就是在國家經(jīng)濟(jì)建設(shè)持續(xù)健康發(fā)展中順勢而生的。自2006年成立至今，中心承擔(dān)了信息安全產(chǎn)品認(rèn)證的相關(guān)工作，自從信息安全產(chǎn)品強(qiáng)制性認(rèn)證成為我國政府采購活動的重要資質(zhì)后，認(rèn)證工作愈加凸顯其重要性。

日前，中國信息安全認(rèn)證中心副主任陳曉樺和產(chǎn)品認(rèn)證處處長布寧共同為記者解開了信息安全產(chǎn)品認(rèn)證的面紗。

制度為認(rèn)證工作保駕護(hù)航

中國信息安全認(rèn)證中心副主任陳曉樺告訴記者，自上個世紀(jì)90年代以來，國家有關(guān)部門和一些地方政府已對部分信息安全產(chǎn)品實(shí)施了評價、許可或采購管理制度，積極推動了國家信息安全產(chǎn)品測評與認(rèn)證工作。在實(shí)際工作中，這些管理制度在保障信息安全、推動信息化發(fā)展等方面發(fā)揮了積極作用。

2003年，中共中央辦公廳、國務(wù)院辦公廳出臺的《關(guān)于轉(zhuǎn)發(fā)〈國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見〉的通知》（中辦發(fā)[2003]27號文件）明確提出，要推進(jìn)認(rèn)證認(rèn)可工作，規(guī)范和加強(qiáng)信息安全產(chǎn)品測評認(rèn)證；建立健全信息安全市場服務(wù)體系，為我國信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造良好的市場環(huán)境。

2004年，國家認(rèn)監(jiān)委、公安部等8部委聯(lián)合出臺了《關(guān)于建立國家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》（國認(rèn)證聯(lián)〔2004〕57號），首次提出建立我國信息安全產(chǎn)品認(rèn)證認(rèn)可體系的指導(dǎo)思想、目標(biāo)、基本原則、工作機(jī)制、建設(shè)方案和建設(shè)計(jì)劃。

根據(jù)57號文確定的目標(biāo)要求和指導(dǎo)思想，相關(guān)部委于2008年發(fā)布了《第一批信息安全產(chǎn)品強(qiáng)制性認(rèn)證目錄》，將防火墻等13類信息安全產(chǎn)品納入強(qiáng)制性認(rèn)證范圍，并規(guī)定自2009年5月1日起，凡列入該強(qiáng)制性認(rèn)證目錄的信息安全產(chǎn)品，未獲得強(qiáng)制性產(chǎn)品認(rèn)證證書和未加施中國強(qiáng)制性認(rèn)證標(biāo)志的，不得出廠、銷售、進(jìn)口或在其他經(jīng)營活動中使用。其后為保證信息安全認(rèn)證工作的連續(xù)性和穩(wěn)定性，在綜合考慮國際國內(nèi)政治與經(jīng)濟(jì)形勢的基礎(chǔ)上，相關(guān)部門又發(fā)文將信息安全產(chǎn)品強(qiáng)制性認(rèn)證的強(qiáng)制性實(shí)施時間延至2010年5月1日。

專業(yè)的第三方機(jī)構(gòu)應(yīng)運(yùn)而生

采取認(rèn)證認(rèn)可制度保障信息安全是各國的通用做法。中國信息安全認(rèn)證中心從醞釀到成立歷時近5年。“制度最終落實(shí)到執(zhí)行層面才能充分發(fā)揮其作用。”陳曉樺認(rèn)為，除了國家對信息安全的重視外，我國信息安全產(chǎn)品認(rèn)證現(xiàn)狀也是中心誕生的助推器。

據(jù)記者了解，在信息安全產(chǎn)品認(rèn)證認(rèn)可體系建立之前，各部門分別實(shí)施的評價及許可制度造成了對同一產(chǎn)品檢測標(biāo)準(zhǔn)不一致和重復(fù)檢測、重復(fù)收費(fèi)，實(shí)驗(yàn)室重復(fù)建設(shè)造成了國家資源浪費(fèi)且檢測水平不高，評價活動與行政執(zhí)法檢查職責(zé)混淆，現(xiàn)行的多種評價體制對安全性能覆蓋不全。

當(dāng)時，很多企業(yè)對“政出多門”及“證出多門”的現(xiàn)象多有腹誹，一種產(chǎn)品為獲得市場準(zhǔn)入，需要獲得評價內(nèi)容基本相同的多張證書。這種現(xiàn)象既加重了企業(yè)負(fù)擔(dān)，又降低了工作效率。這些問題不僅影響了我國信息安全產(chǎn)業(yè)的健康發(fā)展，而且對國家信息安全保障工作也難以提供有效支撐。

國家有關(guān)部門意識到，只有建立一個統(tǒng)一管理、共同實(shí)施的工作機(jī)制，才能解決重復(fù)管理、重復(fù)認(rèn)證的問題，同時能滿足各有關(guān)部門的管理和使用需求。于是，經(jīng)中央機(jī)構(gòu)編制委員會辦公室批準(zhǔn)，中國信息安全認(rèn)證中心在2006年11月正式掛牌成立。根據(jù)國家認(rèn)監(jiān)委2008年3號公告，中國信息安全認(rèn)證中心是我國信息安全產(chǎn)品強(qiáng)制性認(rèn)證的指定認(rèn)證機(jī)構(gòu)。中心始終致力于提供全面的專業(yè)化認(rèn)證及培訓(xùn)服務(wù)，并得到了信息安全界專家及知名企業(yè)的廣泛認(rèn)同。

同時，國家認(rèn)監(jiān)委還公布了信息安全產(chǎn)品強(qiáng)制性認(rèn)證的第一批指定實(shí)驗(yàn)室，包括信息產(chǎn)業(yè)部計(jì)算機(jī)安全技術(shù)檢測中心、國家保密局涉密信息系統(tǒng)安全保密測評中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、國家密碼管理局商用密碼檢測中心、中國信息安全測評中心信息安全實(shí)驗(yàn)室、北京信息安全測評中心和上海市信息安全測評認(rèn)證中心7家機(jī)構(gòu)。

2009年9月，北京啟明星辰信息安全技術(shù)有限公司等14家企業(yè)的34款產(chǎn)品獲得了我國信息安全產(chǎn)品認(rèn)證制度建立以來首次頒發(fā)的產(chǎn)品認(rèn)證證書。當(dāng)時，國家認(rèn)證認(rèn)可監(jiān)督管理委員會主任孫大偉表示，獲得國家信息安全產(chǎn)品認(rèn)證證書既表明產(chǎn)品的質(zhì)量和安全性符合相關(guān)標(biāo)準(zhǔn)和技術(shù)規(guī)范的要求，又意味著產(chǎn)品具備進(jìn)入政府采購領(lǐng)域的必要條件。首批產(chǎn)品證書的頒發(fā)表明信息安全產(chǎn)品認(rèn)證認(rèn)可體系進(jìn)入了實(shí)質(zhì)性運(yùn)行階段。

產(chǎn)品選擇和認(rèn)證科學(xué)嚴(yán)謹(jǐn)

根據(jù)規(guī)定，目前進(jìn)入政府采購的信息安全產(chǎn)品需要通過強(qiáng)制性認(rèn)證的有防火墻、網(wǎng)絡(luò)安全隔離卡與線路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數(shù)據(jù)備份與恢復(fù)、安全操作系統(tǒng)、安全數(shù)據(jù)庫系統(tǒng)、反垃圾郵件、入侵檢測系統(tǒng)、網(wǎng)絡(luò)脆弱性掃描、安全審計(jì)、網(wǎng)站恢復(fù)等13種。

陳曉樺告訴記者，之所以從市場上常見的六、七十種產(chǎn)品中選擇這13種，是因?yàn)檫@些產(chǎn)品的標(biāo)準(zhǔn)比較成熟。在目錄選擇制定的過程中，大家認(rèn)識到我國當(dāng)前在信息安全標(biāo)準(zhǔn)化建設(shè)方面還需要加大工作力度、加快工作步伐。因此，今后積極參與相關(guān)產(chǎn)品的標(biāo)準(zhǔn)制定是中心的主要工作內(nèi)容之一。

據(jù)中國信息安全認(rèn)證中心產(chǎn)品認(rèn)證處處長布寧介紹，目前國家信息安全產(chǎn)品的認(rèn)證模式采用的是“型式試驗(yàn)+初始工廠檢查+獲證后監(jiān)督”。對于初次申請認(rèn)證的企業(yè)，認(rèn)證機(jī)構(gòu)要對產(chǎn)品的生產(chǎn)廠（或開發(fā)場所）進(jìn)行現(xiàn)場檢查，并對獲證后的產(chǎn)品進(jìn)行定期的監(jiān)督，必要情況下，認(rèn)證機(jī)構(gòu)可采取事先不通知的方式對生產(chǎn)廠實(shí)施監(jiān)督。型式試驗(yàn)的樣品一般是以送樣為主，由企業(yè)自己選送測試樣品，因此有個別企業(yè)試圖利用這個規(guī)定鉆空子。

比如，一些企業(yè)為了在產(chǎn)品說明上列舉更多的測試和更好的測試結(jié)果，將最高配置的產(chǎn)品送來檢測認(rèn)證，卻在上市的時候?qū)⒌团渲卯a(chǎn)品拿來銷售。這種方式在過去的管理方式下屢禁不止。對此，認(rèn)證中心加強(qiáng)了現(xiàn)場檢查和產(chǎn)品一致性的核查，這樣可避免一些企業(yè)的欺詐行為。而且，對一些安全級別較高的產(chǎn)品，按照國家標(biāo)準(zhǔn)針對其生產(chǎn)線和開發(fā)場所的開發(fā)環(huán)境進(jìn)行的現(xiàn)場核查，可以進(jìn)一步了解生產(chǎn)商的質(zhì)量管理水平和安全保障能力，提高我們對產(chǎn)品質(zhì)量和生產(chǎn)過程安全保障的信任度。

對于采購人關(guān)心的產(chǎn)品與證書是否一一對應(yīng)的問題，布寧告訴記者，每個產(chǎn)品型號不一定都對應(yīng)一張認(rèn)證證書，同一產(chǎn)品單元認(rèn)證即核心指標(biāo)相同、邊緣指標(biāo)或外形不同的產(chǎn)品也可作為同一認(rèn)證。一般情況下，認(rèn)證周期為30—90個工作日，證書有效期為5年。在有效期內(nèi)，產(chǎn)品每年都會進(jìn)行年度監(jiān)審，以保持監(jiān)督的連續(xù)性。如有采購人反映產(chǎn)品有功能性問題，將暫停其認(rèn)證資格，后經(jīng)復(fù)核查實(shí)的將撤銷其認(rèn)證資格。

政采是信息安全認(rèn)證的南泥灣

對信息安全產(chǎn)品以及信息網(wǎng)絡(luò)的安全實(shí)施統(tǒng)一而有必要的認(rèn)證和監(jiān)管措施勢在必行。因?yàn)檫@對確保信息安全產(chǎn)品質(zhì)量以及保障國家信息安全至關(guān)重要。在陳曉樺看來，特別是在政府采購領(lǐng)域，政府的信息安全需要通過認(rèn)證來把關(guān)。

2010年4月底，為保證信息安全產(chǎn)品政府采購活動的正確落實(shí)，財(cái)政部等4部委聯(lián)合發(fā)布了《關(guān)于信息安全產(chǎn)品實(shí)施政府采購的通知》（財(cái)庫〔2010〕48號），明確規(guī)定各級采購人使用財(cái)政性資金采購信息安全產(chǎn)品的，應(yīng)當(dāng)采購經(jīng)國家認(rèn)證的信息安全產(chǎn)品。

在政府采購活動中，采購人或其委托的采購代理機(jī)構(gòu)要按照《政府采購法》的規(guī)定，在政府采購招標(biāo)文件中載明對產(chǎn)品獲得信息安全認(rèn)證的要求，并要求產(chǎn)品供應(yīng)商提供由中國信息安全認(rèn)證中心按國家標(biāo)準(zhǔn)認(rèn)證頒發(fā)的有效認(rèn)證證書。對采購人或其委托的采購代理機(jī)構(gòu)未按上述要求采購的，有關(guān)部門要按照有關(guān)法律、法規(guī)和規(guī)章予以處理，財(cái)政部門視情況可以拒付采購資金。

陳曉樺表示，信息安全認(rèn)證既是我國信息安全保障體系建設(shè)的基礎(chǔ)性工作，又是加強(qiáng)新形勢下信息安全保障工作的制度性安排。從技術(shù)角度來看，信息安全主要包括2個方面的安全：一是信息系統(tǒng)的安全，為的是保證信息系統(tǒng)提供持續(xù)和安全可靠的服務(wù)。二是信息內(nèi)容的安全。產(chǎn)品是構(gòu)建信息系統(tǒng)的基本要素，而信息安全產(chǎn)品的主要角色就是要在信息系統(tǒng)當(dāng)中發(fā)揮其安全保障的作用，中心的主要任務(wù)就是對政府采購的信息安全產(chǎn)品把關(guān)。

 “接下來，中心將在財(cái)政部的領(lǐng)導(dǎo)下，與相關(guān)部門充分溝通，繼續(xù)為信息安全產(chǎn)品實(shí)施政府采購提供更好的技術(shù)支持。”陳曉樺如是說。

相關(guān)鏈接

中國信息安全認(rèn)證中心（ISCCC）是經(jīng)中央機(jī)構(gòu)編制委員會辦公室批準(zhǔn)成立，由公安部、國家安全部、信息產(chǎn)業(yè)部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室、國家質(zhì)檢總局、國家認(rèn)監(jiān)委等8部委授權(quán)，依據(jù)國家有關(guān)強(qiáng)制性產(chǎn)品認(rèn)證、信息安全管理法律法規(guī)，負(fù)責(zé)實(shí)施信息安全認(rèn)證的專門機(jī)構(gòu)，系第三方公證機(jī)構(gòu)和法人實(shí)體。

其職能是在批準(zhǔn)的工作范圍內(nèi)按照認(rèn)證基本規(guī)范和認(rèn)證規(guī)則開展認(rèn)證工作；受理認(rèn)證委托、實(shí)施評價、作出認(rèn)證決定、頒發(fā)認(rèn)證證書；負(fù)責(zé)認(rèn)證后的跟蹤檢查和相應(yīng)認(rèn)證標(biāo)志的使用監(jiān)督；受理有關(guān)的認(rèn)證投訴、申訴工作；已發(fā)暫停、注銷和撤銷認(rèn)證證書；對認(rèn)證及與認(rèn)證有關(guān)的檢測、檢查、評價人員進(jìn)行認(rèn)證標(biāo)準(zhǔn)、程序及相關(guān)要求的培訓(xùn)；對提供信息安全服務(wù)的機(jī)構(gòu)、人員進(jìn)行資質(zhì)注冊和培訓(xùn)；根據(jù)國家法律、法規(guī)及授權(quán)從事相關(guān)認(rèn)證工作。在業(yè)務(wù)上接受國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室指導(dǎo)。