在信息安全的重要性已經上升到國家戰略層面的同時,國家對信息安全產品以及信息網絡系統的安全,實施統一的、必要的認證和監管措施,對確保信息安全產品質量、保障國家信息安全至關重要。然而,目前,中國信息安全統一認證之路卻走得非常艱辛,面對這種情況,該如何破局?
統一認證 勢在必行
國家對信息安全產品以及信息網絡的安全實施統一的、必要的認證和監管措施,這對確保信息安全產品質量以及保障國家信息安全至關重要,因此勢在必行。目前,我國已經確定了13類安全產品需要進行強制性認證。
孫定: 隨著網絡的迅猛發展,信息安全的重要性已經上升到了國家戰略層面,美國總統奧巴馬上任之后,隨即宣布成立白宮網絡安全辦公室,由其負責協調相關國家機構制定美國網絡安全政策。而保障信息安全就需要信息安全產品和技術作為支撐。那么,目前國內的信息安全產品質量情況如何?統一安全認證對于保障信息安全產品質量具有哪些重要意義呢?
陳曉樺: 信息產業的快速發展以及用戶信息化進程的逐步深入,使得信息安全問題成為了世界范圍內共同關注的焦點。奧巴馬成立美國信息安全“作戰司令部”就是希望通過一個非常高層次的信息安全協調機構,用軍事化的方式來治理網絡安全,可以說這是一種比較超前的做法,它不僅僅是針對互聯網的安全,還沿用了網際空間的概念。
在國內,網絡安全、信息安全也同樣被提到一個很高的戰略層面,這就要求國家對信息安全產品和信息網絡的安全,實施統一的、必要的監管措施。信息安全產品是保障信息網絡系統安全的基礎。我們認為,實施信息安全全國統一認證的制度,是建立我國信息安全保障體系、確保信息安全產品質量、規范并提升信息安全的各項服務工作的第一步,也是重要一步,因此勢在必行。
事實上,在信息安全領域,采取統一認證機制是保障信息系統安全的重要手段,這也是世界各國的通用做法。
孫定: 現在,信息安全產品和技術的種類越來越多,從以前的防火墻、反病毒、IDS這老三樣發展到今天的安全綜合管理、數據加密、流量控制、網頁郵件過濾、電子身份認證、員工上網管理等。信息安全也滲透到了信息化建設的方方面面,從軟件的數據庫、操作系統到網絡通信以及數據存儲等,都與安全緊密相關或者說是集成了安全功能。那么,國家該如何統一認證和管理這么多的安全產品呢?
陳曉樺: 之前,我們信息安全認證中心承擔了原國信辦的一個課題,就是梳理我國現在都有哪些比較流行的信息安全產品,在這些產品中有哪些適合通過認證認可制度來統一管理。到目前為止,我國已經確定了首批13類產品需要進行強制性認證,其中包括: 防火墻類產品、網絡安全隔離卡與線路選擇器類產品、安全隔離與信息交換產品類產品、安全路由器類產品、COS(智能卡)類產品、數據備份與恢復類產品、安全操作系統類產品、安全數據庫系統類產品、反垃圾郵件類產品、入侵檢測系統(IDS)類產品、網絡脆弱性掃描類產品、安全審計類產品、網站恢復類產品。
其實,對于很多產品,國家都有專控管理制度,比如說槍支彈藥由公安和軍隊來管理。由于信息安全產品的特殊性,尤其是應用在國家政府信息系統中的安全產品,需要有一個專控管理制度。這就好比說,一輛奔馳車賣給消費者使用和賣給政府部門使用,對其測試的項目肯定是有差別的,依據的標準也是不一樣的。國家政府部門使用的車輛可能要檢測其防彈性能,以及里面有沒有竊聽裝置等,這是為了保證國家機密不被泄漏; 而如果是消費者使用,送到車檢所做正常的車檢就可以了,比如檢測尾氣排放是不是達標等。
可見,同樣的產品在不同的應用場合,要依據不同的檢測標準來進行檢測。也就是說,對于信息安全產品的認證,由于安全產品的用途不同,認證標準也是不同的。這種情況下,就更需要國家對信息安全產品有一個統一的認證體系。
認證環境 混沌不清
目前,我國在信息安全產品認證方面并沒有一個統一的認證標準和體系,認證環境混沌不清、強制性認證步履艱難,很不利于國家對信息安全的統一管理。
孫定: 的確,國家對信息安全產品實施統一認證,對于確保信息安全產品質量以及保障信息系統安全至關重要。那么,目前國內對信息安全產品的認證環境怎樣?有沒有實現統一認證?
陳曉樺: 國內進行大型信息安全產品采購時,首先要看廠商有沒有公安部頒發的安全產品銷售許可證,獲得了許可證的產品才允許在市場上銷售。而對于某些特殊的安全產品,還要經過不同的認證和許可,如殺毒產品必須通過公安部的檢測認證,技術水平達到一定的標準之后才能在市場銷售; 而密碼技術涉及到通信、存貯以及授權管理的安全,國家密碼辦公室對密碼技術產品采取分類授權管理的模式,分別對各種不同技術類型的廠商授予研發、生產或銷售許可; 想要進入黨政涉密網的企業,其產品必須獲得國家保密局的證書; 進入軍隊網絡必須獲得軍隊信息安全認證證書; 進入電信網絡還需獲得電信入網證書。
這些證書本來是無可非議的,因為信息安全的行業特征決定了不同的行業對信息安全產品有著不同的需求,但這種多頭管理導致在產品管理層面重復檢測的現象,使得廠商進入市場的門檻非常高,這也就加重了廠商的負擔,很多安全廠商一年光為了獲得各種證書就要花費上百萬元。同時,這也不利于國家統一管理并保障國家信息安全。
孫定: 您在前面談到, 國家已經確定了13類產品需要進行強制性認證,那么,目前,這一認證措施的執行情況如何?
陳曉樺: 在《關于部分信息安全產品實施強制性認證的公告》(2008年第7號)中,原定從2009年5月1日開始,凡列入強制認證目錄內的信息安全產品,也就是前面提到過的13類產品,未獲得強制性產品認證證書和未加施中國強制認證標志的,不得出廠、銷售、進口或在其他經營活動中使用。然而,又經過了一年多與國內外各方的反復磋商,在這一方案基礎上提出了一個新的調整方案: 首先,實施時間延至明年5月1日,這是在時間上的調整; 其次,在范圍上也做出了重大調整,只在政府采購法的規定范圍內強制實施。
在這里我還要特別強調的是,政府采購法的規定范圍和政府采購的范圍是有很大區別的。政府采購法的適用范圍“是指各級國家機關、事業單位和團體組織,使用財政性資金采購依法制定的集中采購目錄以內的或者采購限額標準以上的貨物、工程和服務的行為。”而且采購目錄通常是財務部和政府采購中心以目錄的方式下發的,以這種形式被采購的產品才是在強制性產品認證的范圍內。還有一點很有意思,政府采購法中要求“應當采購本國貨物、工程和服務”,但對于國產產品卻很難做出嚴格的定義,是否國內自有品牌就算是國產產品,還是在國內組裝的就算是國產的,還是說多少比例的附加值是在國內產生的就算是國產產品?這些都很難明確。
國際勢力 兵臨城下
在中國建立信息安全統一認證標準的道路上一直受到美國及其他西方勢力的阻礙,他們的目的很簡單,希望中國加入到他們的體系內,以打壓中國自主標準的創新能力。
孫定: 目前,國內信息安全統一認證的發展之路為什么會如此艱難,出現這種情況的主要原因是什么?
陳曉樺: 除了國內產業環境還不完全成熟這一不利因素外,更主要的阻力來自于國外的反對,他們的目的很明顯簡單,要求中國加入到他們的體系中,并以此打壓中國自主標準的創新能力。
現在,在國際上有26個國家,如美國、英國、法國等一些國家簽署了基于所謂共同準則的互認協議(CCRA),它們要求中國也加入到CCRA互認的陣營。如果中國加入CCRA,對他們最直接的一個好處就是國外的很多企業的上千種產品進入中國市場,就不用按照中國的標準再進行任何檢測認證了;而按照該協議的條款,必須在兩年之后,在中國國內認證過的產品才能直接進入相關成員國家!
但是中國并沒有去申請加入CCRA,無論是強制性認證還是自愿性認證,我們目前都不能這么做。我們還需要認真研究、判別。共同準則已經成為了國際標準,也翻譯成為了我國的標準,雖然有值得我們參考和借鑒之處,但也有許多不適應我國國情的地方。尤其在信息安全領域,中國不應該完全放棄自主的技術標準,而完全去追隨國際標準;否則,將對我國信息安全產品和技術的自主創新極為不利。西方貌似先進和強大的東西并不都是好的,華爾街就是一個典型。
孫定: 美國的CC認證是一種什么樣的模式?我們在建立中國自主的信息安全產品統一認證標準過程中,該如何應對這一來自西方的阻力?
陳曉樺: 事實上,美國的CC認證在政府采購領域也是強制性的,從2003年7月1日就開始強制執行,而且據我們了解,如果信息安全產品是用于涉級國家秘密信息系統的話,還規定必須由美國國防部下屬的國家安全局來進行檢測,要求是非常嚴格的。但是,美國卻反對中國實施強制性的統一認證標準,這不是很矛盾嗎?
國外提出的反對理由是,中國自主的強制性認證是為了獲取他們的知識產權。日本媒體也數次歪曲報道說,中國實施信息安全產品的強制性認證制度是為了幫助中國的軍方和企業獲取他們的知識產權,甚至是為了獲取什么情報!那如果我們反過來想,中國加入到CCRA,難道就不存在上述問題了嗎?因為,按照國際標準認證,也要求提交部分源代碼。因此,我們的應對方法就是不能跟著西方的指揮棒走,要堅持自主標準,建立屬于自己的信息安全產品統一認證體系。
建立統一認證標準需多方努力
陳曉樺認為,網絡信息安全關系到社會的穩定、國家的安全,由于其產品的特殊性,我國政府部門對安全產業的管理必須采取市場準入制的方式。
“事實上,各個國家都如此,對信息安全產品的監管有點類似于對藥品的管制。其實,信息安全產品就是預防和治療網絡系統疾病的‘藥品’,如果國家放松了管制,一旦出現假冒偽劣‘藥品’,或者‘藥品’本身帶有副作用,其后果不堪設想。” 陳曉樺在整個采訪的過程中一直在強調信息安全產品質量的重要性,“而統一認證對于保障信息安全產品質量至關重要。”
然而,要想在國內建立起信息安全產品統一認證標準卻并非易事,來自各方的阻力使得這一重要使命的完成需要多方的共同努力,政府、廠商、用戶在其中也扮演著各自不同的角色。陳曉樺認為,不同層面的各級政府主管部門要通力合作堅持中國自主標準之路;國內安全廠商要積極參與進來,在國家給予很多政策扶持的基礎上,通過提升自身的產品質量以獲得更大的市場成功;用戶也應該在認清各種標準的同時,支持中國自主認證標準的出臺。“只有這樣我們才能不被國際認證標準牽著鼻子,走出屬于自己的發展之路。” 陳曉樺說。
信念的支撐
在去采訪陳曉樺之前,記者像往常一樣上網搜索被采訪人的相關信息,發現關于陳曉樺本人的介紹很少,能得到的信息就只有“博士、研究員、中國信息安全產品測評認證中心副主任、總工程師、863專家”等這些關鍵詞;而與他相關的報道就都集中在了我們這次采訪的核心話題——信息安全產品統一認證上。到他的辦公室,我們才見到了一張他剛獲得的國家科學技術獎一等獎證書。
這3年來,陳曉樺把全部的精力都放在了中國自主信息安全產品認證工作上,雖然這一任務艱巨,困難重重,但明年5月1日起,信息安全產品強制性認證將在政府采購領域實施。其實,在當初成立中國信息安全產品認證中心的時候,業界就對其前景有些擔憂,主要就是因為考慮到各方面的阻力會非常多,要處理的問題也會非常復雜,而現在來看,所面臨的困難甚至比預想的還要多和復雜。但是,陳曉樺會堅定不移地走下去,因為他認為這是一件利國利民的好事,國家信息安全統一認證認可體系的建設在信息安全保障和信息安全產業發展中也將會發揮巨大作用。
京公網安備 11010802036102號北京金支點技術服務有限公司保留所有權利 | Copyright ? 2005-2025 Beijing Golden Point Outsourcing Service Co., Ltd. All Rights Reserved.