當好政府信息安全的把關人

圖為中國信息安全認證中心副主任陳曉樺（前排中間）正與中心業務骨干進行研討。

中國信息安全認證中心始終以保障國家信息安全為己任，以打造國際一流專業信息安全認證機構為目標。   

截止到2010年9月底，中國信息安全認證中心已頒發139張“國家信息安全認證”證書。在已獲得認證的產品中，防火墻、入侵檢測系統、安全隔離與信息交換、安全審計系統占絕大多數。

擔負這項信息安全保障工作的中國信息安全認證中心就是在國家經濟建設持續健康發展中順勢而生的。自2006年成立至今，中心承擔了信息安全產品認證的相關工作，自從信息安全產品強制性認證成為我國政府采購活動的重要資質后，認證工作愈加凸顯其重要性。

日前，中國信息安全認證中心副主任陳曉樺和產品認證處處長布寧共同為記者解開了信息安全產品認證的面紗。

制度為認證工作保駕護航

中國信息安全認證中心副主任陳曉樺告訴記者，自上個世紀90年代以來，國家有關部門和一些地方政府已對部分信息安全產品實施了評價、許可或采購管理制度，積極推動了國家信息安全產品測評與認證工作。在實際工作中，這些管理制度在保障信息安全、推動信息化發展等方面發揮了積極作用。

2003年，中共中央辦公廳、國務院辦公廳出臺的《關于轉發〈國家信息化領導小組關于加強信息安全保障工作的意見〉的通知》（中辦發[2003]27號文件）明確提出，要推進認證認可工作，規范和加強信息安全產品測評認證；建立健全信息安全市場服務體系，為我國信息安全產業發展創造良好的市場環境。

2004年，國家認監委、公安部等8部委聯合出臺了《關于建立國家信息安全產品認證認可體系的通知》（國認證聯〔2004〕57號），首次提出建立我國信息安全產品認證認可體系的指導思想、目標、基本原則、工作機制、建設方案和建設計劃。

根據57號文確定的目標要求和指導思想，相關部委于2008年發布了《第一批信息安全產品強制性認證目錄》，將防火墻等13類信息安全產品納入強制性認證范圍，并規定自2009年5月1日起，凡列入該強制性認證目錄的信息安全產品，未獲得強制性產品認證證書和未加施中國強制性認證標志的，不得出廠、銷售、進口或在其他經營活動中使用。其后為保證信息安全認證工作的連續性和穩定性，在綜合考慮國際國內政治與經濟形勢的基礎上，相關部門又發文將信息安全產品強制性認證的強制性實施時間延至2010年5月1日。

專業的第三方機構應運而生

采取認證認可制度保障信息安全是各國的通用做法。中國信息安全認證中心從醞釀到成立歷時近5年。“制度最終落實到執行層面才能充分發揮其作用。”陳曉樺認為，除了國家對信息安全的重視外，我國信息安全產品認證現狀也是中心誕生的助推器。

據記者了解，在信息安全產品認證認可體系建立之前，各部門分別實施的評價及許可制度造成了對同一產品檢測標準不一致和重復檢測、重復收費，實驗室重復建設造成了國家資源浪費且檢測水平不高，評價活動與行政執法檢查職責混淆，現行的多種評價體制對安全性能覆蓋不全。

當時，很多企業對“政出多門”及“證出多門”的現象多有腹誹，一種產品為獲得市場準入，需要獲得評價內容基本相同的多張證書。這種現象既加重了企業負擔，又降低了工作效率。這些問題不僅影響了我國信息安全產業的健康發展，而且對國家信息安全保障工作也難以提供有效支撐。

國家有關部門意識到，只有建立一個統一管理、共同實施的工作機制，才能解決重復管理、重復認證的問題，同時能滿足各有關部門的管理和使用需求。于是，經中央機構編制委員會辦公室批準，中國信息安全認證中心在2006年11月正式掛牌成立。根據國家認監委2008年3號公告，中國信息安全認證中心是我國信息安全產品強制性認證的指定認證機構。中心始終致力于提供全面的專業化認證及培訓服務，并得到了信息安全界專家及知名企業的廣泛認同。

同時，國家認監委還公布了信息安全產品強制性認證的第一批指定實驗室，包括信息產業部計算機安全技術檢測中心、國家保密局涉密信息系統安全保密測評中心、公安部計算機信息系統安全產品質量監督檢驗中心、國家密碼管理局商用密碼檢測中心、中國信息安全測評中心信息安全實驗室、北京信息安全測評中心和上海市信息安全測評認證中心7家機構。

2009年9月，北京啟明星辰信息安全技術有限公司等14家企業的34款產品獲得了我國信息安全產品認證制度建立以來首次頒發的產品認證證書。當時，國家認證認可監督管理委員會主任孫大偉表示，獲得國家信息安全產品認證證書既表明產品的質量和安全性符合相關標準和技術規范的要求，又意味著產品具備進入政府采購領域的必要條件。首批產品證書的頒發表明信息安全產品認證認可體系進入了實質性運行階段。

產品選擇和認證科學嚴謹

根據規定，目前進入政府采購的信息安全產品需要通過強制性認證的有防火墻、網絡安全隔離卡與線路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數據備份與恢復、安全操作系統、安全數據庫系統、反垃圾郵件、入侵檢測系統、網絡脆弱性掃描、安全審計、網站恢復等13種。

陳曉樺告訴記者，之所以從市場上常見的六、七十種產品中選擇這13種，是因為這些產品的標準比較成熟。在目錄選擇制定的過程中，大家認識到我國當前在信息安全標準化建設方面還需要加大工作力度、加快工作步伐。因此，今后積極參與相關產品的標準制定是中心的主要工作內容之一。

據中國信息安全認證中心產品認證處處長布寧介紹，目前國家信息安全產品的認證模式采用的是“型式試驗+初始工廠檢查+獲證后監督”。對于初次申請認證的企業，認證機構要對產品的生產廠（或開發場所）進行現場檢查，并對獲證后的產品進行定期的監督，必要情況下，認證機構可采取事先不通知的方式對生產廠實施監督。型式試驗的樣品一般是以送樣為主，由企業自己選送測試樣品，因此有個別企業試圖利用這個規定鉆空子。

比如，一些企業為了在產品說明上列舉更多的測試和更好的測試結果，將最高配置的產品送來檢測認證，卻在上市的時候將低配置產品拿來銷售。這種方式在過去的管理方式下屢禁不止。對此，認證中心加強了現場檢查和產品一致性的核查，這樣可避免一些企業的欺詐行為。而且，對一些安全級別較高的產品，按照國家標準針對其生產線和開發場所的開發環境進行的現場核查，可以進一步了解生產商的質量管理水平和安全保障能力，提高我們對產品質量和生產過程安全保障的信任度。

對于采購人關心的產品與證書是否一一對應的問題，布寧告訴記者，每個產品型號不一定都對應一張認證證書，同一產品單元認證即核心指標相同、邊緣指標或外形不同的產品也可作為同一認證。一般情況下，認證周期為30—90個工作日，證書有效期為5年。在有效期內，產品每年都會進行年度監審，以保持監督的連續性。如有采購人反映產品有功能性問題，將暫停其認證資格，后經復核查實的將撤銷其認證資格。

政采是信息安全認證的南泥灣

對信息安全產品以及信息網絡的安全實施統一而有必要的認證和監管措施勢在必行。因為這對確保信息安全產品質量以及保障國家信息安全至關重要。在陳曉樺看來，特別是在政府采購領域，政府的信息安全需要通過認證來把關。

2010年4月底，為保證信息安全產品政府采購活動的正確落實，財政部等4部委聯合發布了《關于信息安全產品實施政府采購的通知》（財庫〔2010〕48號），明確規定各級采購人使用財政性資金采購信息安全產品的，應當采購經國家認證的信息安全產品。

在政府采購活動中，采購人或其委托的采購代理機構要按照《政府采購法》的規定，在政府采購招標文件中載明對產品獲得信息安全認證的要求，并要求產品供應商提供由中國信息安全認證中心按國家標準認證頒發的有效認證證書。對采購人或其委托的采購代理機構未按上述要求采購的，有關部門要按照有關法律、法規和規章予以處理，財政部門視情況可以拒付采購資金。

陳曉樺表示，信息安全認證既是我國信息安全保障體系建設的基礎性工作，又是加強新形勢下信息安全保障工作的制度性安排。從技術角度來看，信息安全主要包括2個方面的安全：一是信息系統的安全，為的是保證信息系統提供持續和安全可靠的服務。二是信息內容的安全。產品是構建信息系統的基本要素，而信息安全產品的主要角色就是要在信息系統當中發揮其安全保障的作用，中心的主要任務就是對政府采購的信息安全產品把關。

 “接下來，中心將在財政部的領導下，與相關部門充分溝通，繼續為信息安全產品實施政府采購提供更好的技術支持。”陳曉樺如是說。

相關鏈接

中國信息安全認證中心（ISCCC）是經中央機構編制委員會辦公室批準成立，由公安部、國家安全部、信息產業部、國家保密局、國家密碼管理局、國務院信息化工作辦公室、國家質檢總局、國家認監委等8部委授權，依據國家有關強制性產品認證、信息安全管理法律法規，負責實施信息安全認證的專門機構，系第三方公證機構和法人實體。

其職能是在批準的工作范圍內按照認證基本規范和認證規則開展認證工作；受理認證委托、實施評價、作出認證決定、頒發認證證書；負責認證后的跟蹤檢查和相應認證標志的使用監督；受理有關的認證投訴、申訴工作；已發暫停、注銷和撤銷認證證書；對認證及與認證有關的檢測、檢查、評價人員進行認證標準、程序及相關要求的培訓；對提供信息安全服務的機構、人員進行資質注冊和培訓；根據國家法律、法規及授權從事相關認證工作。在業務上接受國家網絡與信息安全協調小組辦公室指導。