十年,中国信息安全认证的历史性跨越
来源:本站 作者: 发表时间:2016-11-25 05:22 浏览次数:1
早在2001年国家认监委成立伊始,认证行业对于信息安全领域相关认证的筹谋之路就已拉开帷幕。
此前的五、六年间,中国在极短的时间内以惊人的步伐开启了互联网疯长时代,全面接入国际互联网,行业应用直追西方国家,然而,在安全保障方面却难望其项背。
位于纽约的一家网络基础建设顾问公司2002年初在分析了超过1200万个黑客攻击事件后作出的研究报告显示,继美国之后,韩国和中国的服务器已经成为黑客的主要跳板。当时的报告很明确地指出,没有安全设施的网络基础建设早晚会成为全球黑客的“盘中餐”,而如果不对网络安全设施和服务进行认证和把关,将可能引发无法估量的灾难。事实上,在国家统一认证之前的几年里,网络世界一直都不太平,仅2006年,从维金蠕虫泛滥引发企业用户网络瘫痪,到熊猫烧香导致病毒狂潮,从首例敲诈型病毒现身,到大量网络账号被黑……一件件信息领域的重大安全事件一再说明,信息安全作为“非传统安全”的核心内容,已与政治安全、军事安全、经济安全等并列成为国家安全体系中的关键组成部分。
信息安全问题引起党中央、国务院的高度重视,“十五”期间,我国有关部门对全球信息安全发展态势进行了积极的跟踪和研究,并分别实施了一些信息安全产品的评价、许可或采购管理制度,对信息安全的保障工作起到了积极作用,一定程度上抑制了网络风险的进一步扩大。但接踵而来的问题是,这些评价制度存在多部门重复管理和标准不一致等问题,多重管理导致重复检测与评估,给企业带来了很多不必要的负担,而标准不一更使用户无所适从,产业界对此反映强烈,多次呼吁建立统一的评价制度。
然而,信息安全事关国家安全和社会稳定,信息安全领域的认证具有很强的政策性、保密性、敏感性和公益性,完全走市场化道路基本行不通。按照发达国家的成熟惯例,从国家层面建立统一的信息安全产品认证制度,对信息安全产品实行检测认证不失为最优选择,但这样的评价制度落脚在哪里?由哪个部门具体牵头?这在当时仍是业界困惑。
2001年8月,国家认监委宣告成立,客观上为我国建立统一的信息安全认证认可体系奠定了组织基础。事实上,从国家认监委成立起,就已经把信息安全这项工作纳入了认证认可事业发展的“大盘子”里。时任国家认监委主任的王凤清坦言:“我并非研究信息技术的专家。但我非常清楚的是,信息安全关乎国家安全,失去这个屏障,后果不堪设想。”
建立统一的信息安全认证认可体系的协调工作复杂程度超出了最初预期。国家认监委为此逐一拜访各部委,耐心解释,消除疑虑,争取理解和支持。在国家认监委的多次协调和不懈努力下,2003年9月7日,中办、国办联合转发《国家信息化领导小组关于加强信息安全保障工作的意见》,要求“推进认证认可工作,规范和加强信息安全产品测评认证”。2004年10月18日,国家认监委、公安部、国家安全部、信息产业部、国家保密局、国家密码管理局、国家质检总局、国务院信息化工作办公室8个部委联合发布《关于建立国家信息安全产品认证认可体系的通知》(以下简称《通知》),决定建立集中统一、严格规范、科学高效的信息安全认证认可体系。
《通知》发布以后, 围绕建立国家统一的信息安全认证认可体系,由国家认监委牵头,开始了艰苦的筹备工作:成立了由国务院有关部门、生产方、用户方、研究开发方以及标准化等方面的代表共同组成的信息安全产品认证管理委员会;组建了“目录、标准、规则专项工作组”;以各相关部门已经施行的有关评价制度的信息安全产品目录为基础,借鉴主要欧美国家实施信息安全产品认证的产品目录,工作组提出了我国的信息安全产品认证目录,按照产品类别成立了规则编制项目组;完成规则草案的编写;成立了信息安全认可分技术委员会。2006年11月17日,经中编办批准,中国信息安全认证中心正式成立。
自此,我国统一的信息安全产品认证认可体系正式建立。这是我国信息安全认证踏出的重要一步,也是信息安全认证历史上一个重要的里程碑。
2
从酝酿到建立统一的信息安全产品认证认可体系历时五年,这中间既有统一认识的过程,也有管理格局调整的过程,是国家层面统筹考虑的结果。信息安全认证是保障信息安全的基础性工作,特别是在当前我国信息技术与产业核心竞争力还不强,关键技术、关键设备还受制于人的情况下,信息安全认证工作在维护整个国家信息安全的链条中处于举足轻重的地位,当时的工作可谓如履薄冰。2008年3月,时任国家质检总局副局长的支树平到中国信息安全认证中心考察工作时,不由感慨:信息安全认证,真是来之不易,万万轻视不得。
统一体系、消除重复,是认证制度应当发挥的主要作用。2008年发布的认证制度的设计目标是用CCC认证替代其他证书,从2009年5月1日开始实施。但是,由于国外强烈干扰,统一认证制度未能如期全面实施。后经国务院协调,认证制度实施日期推迟一年,并缩小了实施范围,仅对13种产品在政府采购范围内实施认证。
有一点可以坚信,那就是运用认证认可手段保障信息安全是世界各国的普遍做法。例如,美国从20世纪80年代就开始了信息安全评估标准制定工作,实施信息安全认证,经过20多年的实践,已形成一套比较完整的信息安全检测与认证体系。英国、德国、法国等国随后也建立起了各自的国家信息安全检测与认证体系。对信息安全产品的测评、认证,为用户或者企业提供更为专业的服务和建议无疑是普遍和可行的做法。尽管在我国推动认证认可制度存在一定的协调困难,同时还要取得国际社会的认同,但方向是没问题的,首要的是尽快建立起理论自信和制度自信。
然而,启动统一的信息安全产品认证既涉及与相关部委评价、许可或采购管理制度的衔接,又要与检测机构、政府采购部门合作与配合,更重要的是还要取得国际社会的认同。协调工作量大、面广、环节多,而诸多技术文件欠缺,更需从头起步。国家认监委审时度势,即时调整战略,组织专家集体攻关,深入开展科研和技术交流活动,编制了13种信息安全产品的实施规则、检测规范;与财政部等部门紧密沟通,有条不紊地推进认证申请、产品检测、证书衔接、认证采信等工作,使制度公布与认证实施无缝连接;面对国外的质疑,国家认监委联合有关部门与美、日、欧等国家和地区的政府代表进行沟通和交流,澄清其对我制度的误解、疑虑;组织召开由外商投资企业、国内企业、相关机构参加的“信息安全产品认证沟通会”,宣传产品认证制度,取得了广大企业,尤其是外资企业的认同和积极配合。在国务院领导的关心和支持下,在国家质检总局、国家认监委的不懈推动下,信息安全产品认证制度几经反复,终于发布实施,为保障我国信息安全又筑起了一道坚实的制度屏障。
3
2003年9月7日,中办、国办联合转发《国家信息化领导小组关于加强信息安全保障工作的意见》。
2004年10月18日,国家认监委、公安部等8个部委联合发布《关于建立国家信息安全产品认证认可体系的通知》。
2006年11月17日,中国信息安全认证中心成立。
2008年1月28日,国家质检总局、国家认监委发布信息安全产品认证目录和实施机构名录。
2009年5月1日,国家信息安全产品认证制度开始实施。
2009年8月28日,国家信息安全产品认证首批颁证大会召开。
2010年5月1日,统一的信息安全产品认证制度落地执行,防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复等13种产品,在政府采购法所规定的范围内实行强制性认证,未获得国家信息安全认证证书的产品,不得进入政府采购。
2014年10月17日,国家质检总局批准中国信息安全认证中心在广东、辽宁、陕西、山东、四川、福建、江苏设立7个分中心,在产业较为集中的地区设办事机构摆上日程。
……
这些时间节点,就像一个一个关口,而每一次闯关胜利,就向信息安全认证制度的成功迈进一步。
十年中,国家信息安全认证制度得到有效实施和进一步完善。国家信息安全产品认证制度在政府采购领域的强制实施,达到了“四个统一”的制度要求,实现了发挥作用、规范服务、严格把关、降低收费的制度目标,体现了国家认证制度的公益性和权威性;信息安全认证制度、政策的研究实现重大突破,为完善制度做好了理论准备和技术储备工作;对国际互认制度的跟踪、对话和深入研究,为我国互认政策制定,促进认证结果走向国际奠定了基础;信息安全认证的认证结果得到相关方认可和采信。
经过十年,信息安全领域认证的业务体系也在不断扩大,基本建立起了全面、完整的认证业务体系。目前,体系认证方面,涵盖了信息安全管理体系认证、信息技术服务管理体系认证、部分认证机构开展了业务连续性认证;服务资质认证领域涵盖应急处理、风险评估、灾难备份、安全集成、软件开发、安全运维、B2C电子商务交易等。
来自国家认监委的数据显示,“十二五”期间,信息安全领域,体系认证证书发证量达到3661张,在重要信息系统和信息网络占有率超过80%,服务资质认证证书发证量达到626张,各类IT产品安全认证证书总量达到1411张。
2015年,国家信息安全产品质量监督检验中心正式获批成立,与之前建成的基准实验室一起投入使用,填补了我国信息安全领域检测结果质量控制、溯源体系的空白,同时也首次将国家产品质量监督手段引入到了网络安全领域,更加强化了质检对国家网络安全保障的支撑作用。
可以预见的是,“十三五”期间,信息安全认证在国家网络安全保障中的地位将再提升,独立的第三方认证模式将更加受认可和重视,信息安全认证将发挥更大的作用;同时,信息安全认证对象、认证模式、检测认证手段等都将面临着变革和发展的严峻考验。
中国信息安全认证再启程。