當(dāng)好政府信息安全的把關(guān)人

圖為中國(guó)信息安全認(rèn)證中心副主任陳曉樺（前排中間）正與中心業(yè)務(wù)骨干進(jìn)行研討。

中國(guó)信息安全認(rèn)證中心始終以保障國(guó)家信息安全為己任，以打造國(guó)際一流專(zhuān)業(yè)信息安全認(rèn)證機(jī)構(gòu)為目標(biāo)。   

截止到2010年9月底，中國(guó)信息安全認(rèn)證中心已頒發(fā)139張“國(guó)家信息安全認(rèn)證”證書(shū)。在已獲得認(rèn)證的產(chǎn)品中，防火墻、入侵檢測(cè)系統(tǒng)、安全隔離與信息交換、安全審計(jì)系統(tǒng)占絕大多數(shù)。

擔(dān)負(fù)這項(xiàng)信息安全保障工作的中國(guó)信息安全認(rèn)證中心就是在國(guó)家經(jīng)濟(jì)建設(shè)持續(xù)健康發(fā)展中順勢(shì)而生的。自2006年成立至今，中心承擔(dān)了信息安全產(chǎn)品認(rèn)證的相關(guān)工作，自從信息安全產(chǎn)品強(qiáng)制性認(rèn)證成為我國(guó)政府采購(gòu)活動(dòng)的重要資質(zhì)后，認(rèn)證工作愈加凸顯其重要性。

日前，中國(guó)信息安全認(rèn)證中心副主任陳曉樺和產(chǎn)品認(rèn)證處處長(zhǎng)布寧共同為記者解開(kāi)了信息安全產(chǎn)品認(rèn)證的面紗。

制度為認(rèn)證工作保駕護(hù)航

中國(guó)信息安全認(rèn)證中心副主任陳曉樺告訴記者，自上個(gè)世紀(jì)90年代以來(lái)，國(guó)家有關(guān)部門(mén)和一些地方政府已對(duì)部分信息安全產(chǎn)品實(shí)施了評(píng)價(jià)、許可或采購(gòu)管理制度，積極推動(dòng)了國(guó)家信息安全產(chǎn)品測(cè)評(píng)與認(rèn)證工作。在實(shí)際工作中，這些管理制度在保障信息安全、推動(dòng)信息化發(fā)展等方面發(fā)揮了積極作用。

2003年，中共中央辦公廳、國(guó)務(wù)院辦公廳出臺(tái)的《關(guān)于轉(zhuǎn)發(fā)〈國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)〉的通知》（中辦發(fā)[2003]27號(hào)文件）明確提出，要推進(jìn)認(rèn)證認(rèn)可工作，規(guī)范和加強(qiáng)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證；建立健全信息安全市場(chǎng)服務(wù)體系，為我國(guó)信息安全產(chǎn)業(yè)發(fā)展創(chuàng)造良好的市場(chǎng)環(huán)境。

2004年，國(guó)家認(rèn)監(jiān)委、公安部等8部委聯(lián)合出臺(tái)了《關(guān)于建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》（國(guó)認(rèn)證聯(lián)〔2004〕57號(hào)），首次提出建立我國(guó)信息安全產(chǎn)品認(rèn)證認(rèn)可體系的指導(dǎo)思想、目標(biāo)、基本原則、工作機(jī)制、建設(shè)方案和建設(shè)計(jì)劃。

根據(jù)57號(hào)文確定的目標(biāo)要求和指導(dǎo)思想，相關(guān)部委于2008年發(fā)布了《第一批信息安全產(chǎn)品強(qiáng)制性認(rèn)證目錄》，將防火墻等13類(lèi)信息安全產(chǎn)品納入強(qiáng)制性認(rèn)證范圍，并規(guī)定自2009年5月1日起，凡列入該強(qiáng)制性認(rèn)證目錄的信息安全產(chǎn)品，未獲得強(qiáng)制性產(chǎn)品認(rèn)證證書(shū)和未加施中國(guó)強(qiáng)制性認(rèn)證標(biāo)志的，不得出廠(chǎng)、銷(xiāo)售、進(jìn)口或在其他經(jīng)營(yíng)活動(dòng)中使用。其后為保證信息安全認(rèn)證工作的連續(xù)性和穩(wěn)定性，在綜合考慮國(guó)際國(guó)內(nèi)政治與經(jīng)濟(jì)形勢(shì)的基礎(chǔ)上，相關(guān)部門(mén)又發(fā)文將信息安全產(chǎn)品強(qiáng)制性認(rèn)證的強(qiáng)制性實(shí)施時(shí)間延至2010年5月1日。

專(zhuān)業(yè)的第三方機(jī)構(gòu)應(yīng)運(yùn)而生

采取認(rèn)證認(rèn)可制度保障信息安全是各國(guó)的通用做法。中國(guó)信息安全認(rèn)證中心從醞釀到成立歷時(shí)近5年。“制度最終落實(shí)到執(zhí)行層面才能充分發(fā)揮其作用。”陳曉樺認(rèn)為，除了國(guó)家對(duì)信息安全的重視外，我國(guó)信息安全產(chǎn)品認(rèn)證現(xiàn)狀也是中心誕生的助推器。

據(jù)記者了解，在信息安全產(chǎn)品認(rèn)證認(rèn)可體系建立之前，各部門(mén)分別實(shí)施的評(píng)價(jià)及許可制度造成了對(duì)同一產(chǎn)品檢測(cè)標(biāo)準(zhǔn)不一致和重復(fù)檢測(cè)、重復(fù)收費(fèi)，實(shí)驗(yàn)室重復(fù)建設(shè)造成了國(guó)家資源浪費(fèi)且檢測(cè)水平不高，評(píng)價(jià)活動(dòng)與行政執(zhí)法檢查職責(zé)混淆，現(xiàn)行的多種評(píng)價(jià)體制對(duì)安全性能覆蓋不全。

當(dāng)時(shí)，很多企業(yè)對(duì)“政出多門(mén)”及“證出多門(mén)”的現(xiàn)象多有腹誹，一種產(chǎn)品為獲得市場(chǎng)準(zhǔn)入，需要獲得評(píng)價(jià)內(nèi)容基本相同的多張證書(shū)。這種現(xiàn)象既加重了企業(yè)負(fù)擔(dān)，又降低了工作效率。這些問(wèn)題不僅影響了我國(guó)信息安全產(chǎn)業(yè)的健康發(fā)展，而且對(duì)國(guó)家信息安全保障工作也難以提供有效支撐。

國(guó)家有關(guān)部門(mén)意識(shí)到，只有建立一個(gè)統(tǒng)一管理、共同實(shí)施的工作機(jī)制，才能解決重復(fù)管理、重復(fù)認(rèn)證的問(wèn)題，同時(shí)能滿(mǎn)足各有關(guān)部門(mén)的管理和使用需求。于是，經(jīng)中央機(jī)構(gòu)編制委員會(huì)辦公室批準(zhǔn)，中國(guó)信息安全認(rèn)證中心在2006年11月正式掛牌成立。根據(jù)國(guó)家認(rèn)監(jiān)委2008年3號(hào)公告，中國(guó)信息安全認(rèn)證中心是我國(guó)信息安全產(chǎn)品強(qiáng)制性認(rèn)證的指定認(rèn)證機(jī)構(gòu)。中心始終致力于提供全面的專(zhuān)業(yè)化認(rèn)證及培訓(xùn)服務(wù)，并得到了信息安全界專(zhuān)家及知名企業(yè)的廣泛認(rèn)同。

同時(shí)，國(guó)家認(rèn)監(jiān)委還公布了信息安全產(chǎn)品強(qiáng)制性認(rèn)證的第一批指定實(shí)驗(yàn)室，包括信息產(chǎn)業(yè)部計(jì)算機(jī)安全技術(shù)檢測(cè)中心、國(guó)家保密局涉密信息系統(tǒng)安全保密測(cè)評(píng)中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、國(guó)家密碼管理局商用密碼檢測(cè)中心、中國(guó)信息安全測(cè)評(píng)中心信息安全實(shí)驗(yàn)室、北京信息安全測(cè)評(píng)中心和上海市信息安全測(cè)評(píng)認(rèn)證中心7家機(jī)構(gòu)。

2009年9月，北京啟明星辰信息安全技術(shù)有限公司等14家企業(yè)的34款產(chǎn)品獲得了我國(guó)信息安全產(chǎn)品認(rèn)證制度建立以來(lái)首次頒發(fā)的產(chǎn)品認(rèn)證證書(shū)。當(dāng)時(shí)，國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)主任孫大偉表示，獲得國(guó)家信息安全產(chǎn)品認(rèn)證證書(shū)既表明產(chǎn)品的質(zhì)量和安全性符合相關(guān)標(biāo)準(zhǔn)和技術(shù)規(guī)范的要求，又意味著產(chǎn)品具備進(jìn)入政府采購(gòu)領(lǐng)域的必要條件。首批產(chǎn)品證書(shū)的頒發(fā)表明信息安全產(chǎn)品認(rèn)證認(rèn)可體系進(jìn)入了實(shí)質(zhì)性運(yùn)行階段。

產(chǎn)品選擇和認(rèn)證科學(xué)嚴(yán)謹(jǐn)

根據(jù)規(guī)定，目前進(jìn)入政府采購(gòu)的信息安全產(chǎn)品需要通過(guò)強(qiáng)制性認(rèn)證的有防火墻、網(wǎng)絡(luò)安全隔離卡與線(xiàn)路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數(shù)據(jù)備份與恢復(fù)、安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)系統(tǒng)、反垃圾郵件、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)脆弱性?huà)呙琛踩珜徲?jì)、網(wǎng)站恢復(fù)等13種。

陳曉樺告訴記者，之所以從市場(chǎng)上常見(jiàn)的六、七十種產(chǎn)品中選擇這13種，是因?yàn)檫@些產(chǎn)品的標(biāo)準(zhǔn)比較成熟。在目錄選擇制定的過(guò)程中，大家認(rèn)識(shí)到我國(guó)當(dāng)前在信息安全標(biāo)準(zhǔn)化建設(shè)方面還需要加大工作力度、加快工作步伐。因此，今后積極參與相關(guān)產(chǎn)品的標(biāo)準(zhǔn)制定是中心的主要工作內(nèi)容之一。

據(jù)中國(guó)信息安全認(rèn)證中心產(chǎn)品認(rèn)證處處長(zhǎng)布寧介紹，目前國(guó)家信息安全產(chǎn)品的認(rèn)證模式采用的是“型式試驗(yàn)+初始工廠(chǎng)檢查+獲證后監(jiān)督”。對(duì)于初次申請(qǐng)認(rèn)證的企業(yè)，認(rèn)證機(jī)構(gòu)要對(duì)產(chǎn)品的生產(chǎn)廠(chǎng)（或開(kāi)發(fā)場(chǎng)所）進(jìn)行現(xiàn)場(chǎng)檢查，并對(duì)獲證后的產(chǎn)品進(jìn)行定期的監(jiān)督，必要情況下，認(rèn)證機(jī)構(gòu)可采取事先不通知的方式對(duì)生產(chǎn)廠(chǎng)實(shí)施監(jiān)督。型式試驗(yàn)的樣品一般是以送樣為主，由企業(yè)自己選送測(cè)試樣品，因此有個(gè)別企業(yè)試圖利用這個(gè)規(guī)定鉆空子。

比如，一些企業(yè)為了在產(chǎn)品說(shuō)明上列舉更多的測(cè)試和更好的測(cè)試結(jié)果，將最高配置的產(chǎn)品送來(lái)檢測(cè)認(rèn)證，卻在上市的時(shí)候?qū)⒌团渲卯a(chǎn)品拿來(lái)銷(xiāo)售。這種方式在過(guò)去的管理方式下屢禁不止。對(duì)此，認(rèn)證中心加強(qiáng)了現(xiàn)場(chǎng)檢查和產(chǎn)品一致性的核查，這樣可避免一些企業(yè)的欺詐行為。而且，對(duì)一些安全級(jí)別較高的產(chǎn)品，按照國(guó)家標(biāo)準(zhǔn)針對(duì)其生產(chǎn)線(xiàn)和開(kāi)發(fā)場(chǎng)所的開(kāi)發(fā)環(huán)境進(jìn)行的現(xiàn)場(chǎng)核查，可以進(jìn)一步了解生產(chǎn)商的質(zhì)量管理水平和安全保障能力，提高我們對(duì)產(chǎn)品質(zhì)量和生產(chǎn)過(guò)程安全保障的信任度。

對(duì)于采購(gòu)人關(guān)心的產(chǎn)品與證書(shū)是否一一對(duì)應(yīng)的問(wèn)題，布寧告訴記者，每個(gè)產(chǎn)品型號(hào)不一定都對(duì)應(yīng)一張認(rèn)證證書(shū)，同一產(chǎn)品單元認(rèn)證即核心指標(biāo)相同、邊緣指標(biāo)或外形不同的產(chǎn)品也可作為同一認(rèn)證。一般情況下，認(rèn)證周期為30—90個(gè)工作日，證書(shū)有效期為5年。在有效期內(nèi)，產(chǎn)品每年都會(huì)進(jìn)行年度監(jiān)審，以保持監(jiān)督的連續(xù)性。如有采購(gòu)人反映產(chǎn)品有功能性問(wèn)題，將暫停其認(rèn)證資格，后經(jīng)復(fù)核查實(shí)的將撤銷(xiāo)其認(rèn)證資格。

政采是信息安全認(rèn)證的南泥灣

對(duì)信息安全產(chǎn)品以及信息網(wǎng)絡(luò)的安全實(shí)施統(tǒng)一而有必要的認(rèn)證和監(jiān)管措施勢(shì)在必行。因?yàn)檫@對(duì)確保信息安全產(chǎn)品質(zhì)量以及保障國(guó)家信息安全至關(guān)重要。在陳曉樺看來(lái)，特別是在政府采購(gòu)領(lǐng)域，政府的信息安全需要通過(guò)認(rèn)證來(lái)把關(guān)。

2010年4月底，為保證信息安全產(chǎn)品政府采購(gòu)活動(dòng)的正確落實(shí)，財(cái)政部等4部委聯(lián)合發(fā)布了《關(guān)于信息安全產(chǎn)品實(shí)施政府采購(gòu)的通知》（財(cái)庫(kù)〔2010〕48號(hào)），明確規(guī)定各級(jí)采購(gòu)人使用財(cái)政性資金采購(gòu)信息安全產(chǎn)品的，應(yīng)當(dāng)采購(gòu)經(jīng)國(guó)家認(rèn)證的信息安全產(chǎn)品。

在政府采購(gòu)活動(dòng)中，采購(gòu)人或其委托的采購(gòu)代理機(jī)構(gòu)要按照《政府采購(gòu)法》的規(guī)定，在政府采購(gòu)招標(biāo)文件中載明對(duì)產(chǎn)品獲得信息安全認(rèn)證的要求，并要求產(chǎn)品供應(yīng)商提供由中國(guó)信息安全認(rèn)證中心按國(guó)家標(biāo)準(zhǔn)認(rèn)證頒發(fā)的有效認(rèn)證證書(shū)。對(duì)采購(gòu)人或其委托的采購(gòu)代理機(jī)構(gòu)未按上述要求采購(gòu)的，有關(guān)部門(mén)要按照有關(guān)法律、法規(guī)和規(guī)章予以處理，財(cái)政部門(mén)視情況可以拒付采購(gòu)資金。

陳曉樺表示，信息安全認(rèn)證既是我國(guó)信息安全保障體系建設(shè)的基礎(chǔ)性工作，又是加強(qiáng)新形勢(shì)下信息安全保障工作的制度性安排。從技術(shù)角度來(lái)看，信息安全主要包括2個(gè)方面的安全：一是信息系統(tǒng)的安全，為的是保證信息系統(tǒng)提供持續(xù)和安全可靠的服務(wù)。二是信息內(nèi)容的安全。產(chǎn)品是構(gòu)建信息系統(tǒng)的基本要素，而信息安全產(chǎn)品的主要角色就是要在信息系統(tǒng)當(dāng)中發(fā)揮其安全保障的作用，中心的主要任務(wù)就是對(duì)政府采購(gòu)的信息安全產(chǎn)品把關(guān)。

 “接下來(lái)，中心將在財(cái)政部的領(lǐng)導(dǎo)下，與相關(guān)部門(mén)充分溝通，繼續(xù)為信息安全產(chǎn)品實(shí)施政府采購(gòu)提供更好的技術(shù)支持。”陳曉樺如是說(shuō)。

相關(guān)鏈接

中國(guó)信息安全認(rèn)證中心（ISCCC）是經(jīng)中央機(jī)構(gòu)編制委員會(huì)辦公室批準(zhǔn)成立，由公安部、國(guó)家安全部、信息產(chǎn)業(yè)部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室、國(guó)家質(zhì)檢總局、國(guó)家認(rèn)監(jiān)委等8部委授權(quán)，依據(jù)國(guó)家有關(guān)強(qiáng)制性產(chǎn)品認(rèn)證、信息安全管理法律法規(guī)，負(fù)責(zé)實(shí)施信息安全認(rèn)證的專(zhuān)門(mén)機(jī)構(gòu)，系第三方公證機(jī)構(gòu)和法人實(shí)體。

其職能是在批準(zhǔn)的工作范圍內(nèi)按照認(rèn)證基本規(guī)范和認(rèn)證規(guī)則開(kāi)展認(rèn)證工作；受理認(rèn)證委托、實(shí)施評(píng)價(jià)、作出認(rèn)證決定、頒發(fā)認(rèn)證證書(shū)；負(fù)責(zé)認(rèn)證后的跟蹤檢查和相應(yīng)認(rèn)證標(biāo)志的使用監(jiān)督；受理有關(guān)的認(rèn)證投訴、申訴工作；已發(fā)暫停、注銷(xiāo)和撤銷(xiāo)認(rèn)證證書(shū)；對(duì)認(rèn)證及與認(rèn)證有關(guān)的檢測(cè)、檢查、評(píng)價(jià)人員進(jìn)行認(rèn)證標(biāo)準(zhǔn)、程序及相關(guān)要求的培訓(xùn)；對(duì)提供信息安全服務(wù)的機(jī)構(gòu)、人員進(jìn)行資質(zhì)注冊(cè)和培訓(xùn)；根據(jù)國(guó)家法律、法規(guī)及授權(quán)從事相關(guān)認(rèn)證工作。在業(yè)務(wù)上接受?chē)?guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室指導(dǎo)。