信息安全认证中心副主任陈晓桦 挖掘信息安全认证含金量
http://msn.finance.sina.com.cn 2011-08-30 18:01 来源: 中国财经报信息安全认证专题报道
□ 本报记者 陈昂
截至目前,防火墙等13种信息安全产品在政府采购法所规定的范围内实行强制性认证已经一年有余。自2010年5月1日《关于调整信息安全产品强制性认证实施要求的公告》(以下简称《公告》)下发至2011年7月31日,中国信息安全认证中心已按照《公告》要求颁发了200张信息安全产品认证证书。
在这期间,产品认证证书对政府采购市场产生了怎样的实际效应?对普通消费市场有何影响?获证产品品质及企业管理水平是否有所提高?日前,记者带着这些问题采访了中国信息安全认证中心副主任陈晓桦,他向记者详述了一年多来执行信息安全产品强制认证情况,解析了其中存在的问题及应对方案。
统一认证势在必行
记者:在您看来,我国现阶段,实施信息安全产品认证意义何在?
陈晓桦:信息安全实际上是高技术的对抗,目前已由原来单一的通讯保密扩展到保障网络与信息系统安全。理论与实践证明,建立完善的信息安全保障体系既是信息化时代主权国家捍卫自身安全的重要屏障,又是维护自身利益的主要手段。作为信息安全保障体系的重要组成部分,信息安全产品认证是确保信息安全良性发展的基础环节,也是保障信息安全的第一道防线。
信息安全产品认证是依据相关技术标准和实施规则,对信息安全产品是否达到标准或规范要求进行的权威证明。对信息安全产品实施认证,可降低系统和网络的安全风险,为系统运营单位的信息资产安全提供基础保证,促使产品研制和生产过程逐步走向规范化、标准化。
记者:业界所知,信息安全产品及技术已从防火墙、反病毒、IDS老三样发展到安全综合管理、数据加密、流量控制、网页邮件过滤、电子身份认证、员工上网管理等,并融入到政务信息化建设的方方面面。如何认证管理如此多的安全产品呢?
陈晓桦:自上个世纪90年代以来,我国有关部门对全球信息安全发展态势进行了积极跟踪和研究,实施了一些信息安全评价与许可等管理制度,对信息安全保障工作起到了积极的作用。由于存在多部门管理和重复检测以及标准不统一等问题,迫切需要建立国家统一的信息安全认证认可体系。
2006年11月,中国信息安全认证中心正式成立,首要工作就是梳理我国信息安全产品,哪些适合通过认证认可制度统一管理,最终确定了13类安全产品需进行强制性认证,启动初期也困难重重,既涉及与相关部委原评价与许可管理的衔接,又涉及与检测机构、政府采购的合作与配合,协调工作量大、面广、环节多,而诸多技术文件欠缺,更需从头起步。
截至2011年7月31日,中国信息安全认证中心已依据有关标准等技术规范颁发了200张信息安全产品认证证书。同时,根据市场需求,中心还启动了自愿性产品认证业务,对国家信息安全产品认证目录外的产品开展信息安全的认证工作,逐步满足我国政府采购、商业领域对信息安全认证工作的需求。
政采市场先行“吃螃蟹”
记者:保障信息安全自然需要信息安全产品和技术作为支撑,据您所知,现阶段国内市场上信息安全产品质量过硬吗?
陈晓桦:从目前来看,国内市场上的信息安全产品良莠不齐,一些产品技术水平不高。通过对信息安全产品实施严格的认证,率先在政采领域实行准入管理,可将不合格的信息安全产品摒弃在采购产品之外,防止不合格的产品对网络与信息系统造成潜在的安全隐患,有效提升政府机关信息安全保障水平。
记者:制度执行一年多来,政府采购对信息安全产品认证起到了怎样的作用?
陈晓桦:前不久,我中心对所有获证企业开展了一次简要调查,结果显示,57%的获证企业认为,在参加政府采购项目招标时,持有国家信息安全产品认证证书十分有助于项目成功;36%的获证企业认为,在其他销售活动中,持有产品认证证书十分有助于产品的销售;48%的获证企业表示,获得产品认证,对提高产品在市场中的认可度的作用十分明显;50%的获证企业表示,经过认证检测,对提高产品品质的作用十分明显;39%的获证企业认为,认证过程中的工厂检查环节对企业提高自身的管理水平的作用十分明显。
记者:一年多来,制度执行的实施成效有哪些?
陈晓桦:国家信息安全产品认证制度的实施成效主要六方面内容:一是实现四统一,确保国家认证的权威性。即统一了标准、技术规范与合格评定程序、统一了认证目录、统一了认证标志、统一了收费标准。二是开展科研攻关,确保认证制度的科学性。三是严格把关,促进信息安全产品质量提高。四是服务企业,降低认证收费标准、合理划分申请单元,减轻企业负担。五是规范管理,确保认证制度的规范性和公正性。六是执行国家标准,推动我国信息安全产品自主标准体系建设。
记者:那制度执行一年多来,有没有发现存在什么问题?
陈晓桦:目前,在政府采购在实行强制性认证过程中,主要存在两点问题:一是所涉及的防火墙等13种信息安全产品的招标文件中,有些并未要求获得信息安全产品证书是强制性准入资格。二是有些认证型号与销售型号不能一一对应,我们要求的是厂商认证所列规格型号必须是其产品铭牌中标明的规格型号,而且产品的名称、型号和版本号在认证申请资料、送检产品和实际生产产品须一致,凡是参加政府采购的产品,其规格型号必须与认证所列规格型号一致。此项要求主要是规范供应商参与政府采购的行为,避免因型号混乱而影响政府采购效率,从而让信息安全产品认证制度落到实处。
国际势力百般阻挠
记者:从国际上看,发达国家的信息安全产品认证水平如何?
陈晓桦:由于信息安全产品和技术是保障信息安全的重要支撑,所以在信息安全领域,采取认证制度来保障产品和系统的安全性是世界各国的通用做法。当今,世界许多国家都对信息安全认证给予了高度重视,依据有关技术和管理标准,对信息安全产品实行检测与认证,已成为发达国家加强信息安全管理、强化安全监控的重要手段。
在认证所依据的标准方面,美国等国家制定了信息技术安全性通用评估准则(CC),据此开展测评认证工作,并在一些国家(共26个)之间形成了认证的互认机制(CCRA,信息安全通用准则互认协定)。经过20多年的实践,已形成了比较完整的信息安全检测与认证体系。
记者:我国在建立统一的信息安全产品认证道路上一帆风顺吗?
陈晓桦:除了国内产业环境尚未成熟外,我国建立信息安全统一认证标准一直受到美日欧的质疑,他们的目的就是希望中国加入到CCRA体系中。CCRA是基于《信息技术安全性评估准则(CC)》建立的IT产品安全性认证的互认体系,目前已有26个国家参加,美国在该体系以及CC的制定过程中起主导作用,并希望中国加入CCRA。如果我国加入CCRA协议,国外的信息安全产品将不需要经过我国的检测认证直接进入我国内市场,同时经过我国认证的信息安全产品也不需要输入国再重新认证而直接进入该国市场。但是,我国信息安全产品进入国际市场的份额很小,而且与西方发达国家相比,我国信息安全产业还很弱小。处于一种极不对称的局面。此外,按照CCRA条款,我国认证的产品至少在2年内无法得到其他成员国家的承认。
但我国无论是在强制性认证还是在自愿性认证上都没有申请加入CCRA。通用准则虽然是国际标准,也有值得我国参考和借鉴之处,但很多地方并不适应我国国情。尤其是在信息安全领域,我国不应放弃自主技术标准,而完全追随国际标准。否则,这将对我国信息安全产品及自主技术发展极为不利。事实上,监管信息安全产品类似于药品监管。信息安全产品就是预防和治疗网络系统疾病的“药品”,如果国家放松管制,一旦出现假冒伪劣“药品”,或者“药品”本身有副作用,其后果不堪设想。
记者:看来,要想在国内建立实施信息安全产品统一认证标准并非易事,来自各方的阻力使完成这一重要使命需多方共同努力,政府、厂商、用户将扮演不同角色。各级政府主管部门要通力合作坚持走中国自主标准之路,国内安全厂商要积极参与,不断提升自身产品质量;用户应支持中国的自主认证标准,提高信息安全产品采购意识。只有这样,我们才能让属于自己的信息安全产品认证体系发挥更大的作用。