加强认证安全管理 保障国家信息安全

　　信息安全认证是一个新兴的认证领域，面临着很多新的课题。特别是信息安全对国家安全、社会稳定、公众利益和公民权益的重要影响，为做好信息安全认证工作提出了很多新的要求。当前，随着信息安全认证机构的增多以及信息安全认证市场需求的不断扩大，认证活动中安全风险的监管问题正在引起越来越多的关注。

　　左晓栋　博士，近年来先后担任中国政府信息安全白皮书、《中华人民共和国信息安全条例》等国家重大信息安全政策法规起草组成员，发表论文20余篇，执笔起草信息安全标准5部，出版专著和译著7部，现任中国信息安全认证中心综合业务处副处长，西安交通大学法学院兼职研究生导师。

　　信息安全认证中的安全风险 与国家安全息息相关

　　信息安全认证中的安全风险，特指信息安全认证机构借助认证活动的便利条件，知悉被认证组织的敏感信息，或者直接接触被认证组织的信息系统，从而为被认证组织的信息资产带来的安全风险。我们在这里将信息安全认证中的安全风险简称认证安全风险。

　　认证安全风险主要是由认证机构的恶意行为引发的。我国信息安全产品认证和信息安全服务认证由国家成立的事业单位实施，认证安全风险已经降至最低，目前的认证安全风险主要集中于信息安全管理体系认证领域。因此，这里主要讨论该领域的认证安全风险管理问题。

　　在信息安全管理体系认证的审核阶段，认证机构会接触到受审核组织大量的敏感信息。这类信息分为两类：一类是受审核组织的信息系统中存储的信息，另一类是与受审核组织的信息安全防护相关的信息。例如，受审核组织的信息安全风险评估报告全面记录了系统的信息资产、对信息安全威胁的判断、信息安全漏洞、信息安全控制措施配置等信息。这些信息如果被认证机构恶意使用，或者泄露给恶意第三方，都会导致受审核组织的信息失窃，或使其信息系统被外部控制。 此外，由于认证机构会直接接触受审核组织的信息系统，存在篡改其信息系统的可能性，例如在系统中植入恶意程序，或改变信息系统的功能，这便是美国国家安全局曾提出的五类信息安全威胁之一——临近攻击。

　　当前，信息安全已经成为国家安全的重要组成部分，国际上围绕信息的控制与反控制的斗争正日趋激烈。但是，很多这样的斗争常常隐藏在了看似正常的国际商贸活动之中，使公众忽视了信息安全斗争的复杂性和长期性。当前，对认证安全风险的认识往往存在三个误区：

　　一是认为认证机构在审核活动中获得的信息无关紧要。事实上，如今信息安全攻击与防范的技术的专业化程度已经超出了很多人的想象。对一个熟练的攻击者而言，任何有关攻击目标的些许信息，都可能为其大开方便之门。

　　二是认为受审核组织的信息仅关系到组织自身的安全，与国家安全相去甚远。当前，信息技术的广泛渗透性以及国民经济和社会发展对信息技术应用的依赖，使网络与信息系统的战略地位凸显。特别是关系国计民生的重要行业的网络与信息系统，已经成为国与国军事对抗的战场，成为非常时期敌方打击的首要目标。

　　三是认为认证机构都是守法企业，不可能去实施恶意行为。在这里，我们并不对认证机构的行为妄加猜测，但必须强调，这是影响国家信息安全的一种途径，必须牢固树立风险防范意识。任何商业实体都是具有国籍属性，都可能在国家紧急动员时被以国家意志而“征用”，为各国的政治服务。

　　认证安全风险管理问题的实质 是信息安全服务管理制度

　　认证安全风险的出现是认证认可领域中的一个新问题。但是，在信息安全领域，类似问题由来已久，这便是信息安全服务的管理问题。从服务提供者与服务对象的关系以及服务的技术特征角度而言，信息安全管理体系认证是一种特殊的信息安全服务。在服务过程可能引发安全风险这一问题上，信息安全认证与其它信息安全服务毫无二致。由此，安全风险的管理对策也必然具有共通性。

　　为了加强信息安全服务管理，近年来我国有关部门和一些地方政府先后实施了信息安全相关服务管理制度。但是，这些制度的适用范围有限，且多关注服务能力，没有考虑如何防范安全风险。近年来，我国网络与信息安全主管部门多次展开广泛调研，但目前尚未发布信息安全服务管理政策意见。在这种情况下，要解决信息安全认证中的安全风险，目前还缺少更加明晰的政策环境和直接的政策支持。

　　加强认证安全风险管理的 思路分析及有关对策建议

　　我国对涉密信息系统有着严格管理，没有涉密系统集成资质的企业不能向其提供安全服务，包括认证服务。至于政府信息系统，在相当长时间内申请信息安全管理体系认证者极少。因此，加强认证安全风险管理的主要目标，是确保基础信息网络和重要信息系统在接受认证时的安全。建议国家围绕这一目标设立管理制度。

　　建议认证认可监督管理部门在认证程序方面设定严格要求，例如禁止认证机构携带电子设备进入审核现场，不得将客户的任何纸质或电子资料带离现场，任何资料不得离境等。在制定这些管理要求时，一是要注意可行性，避免影响正常的认证活动，二是要不能与将来发布的ISO/IEC 27007《信息安全管理体系审核指南》相悖。

　　但是，以上措施还不能从根源上杜绝风险。从各国对供应链安全管理的实际经验及发展趋势看，在重要领域屏蔽国外机构的服务，这应该是最终的方向。

　　建议以采购管理为主，准入管理为辅。但准入环节依然可以发挥前置门槛的作用，对认证市场进行总量控制，以减轻采购环节的压力。在采购环节，如当前出台强制性采购政策的操作阻力较大，则可先行出台指导性意见，引导基础网络和重要信息系统选择国内认证机构提供的信息安全管理体系认证服务。

　　认证安全风险管理政策是一种特殊的信息安全服务管理政策，应受到我国信息安全服务管理制度所确立的总体原则的指导和支持。但在我国信息安全服务管理政策依然缺位的情况下，不妨先制定认证安全风险管理政策，这也可以为将来出台信息安全服务管理政策积累经验。当然，这会在一定程度上增加认证安全风险管理政策的起草难度，特别是在采购政策方面。

　　建议在以下方面加强辅助措施：

　　一是加大宣传和引导力度。目前国内很多用户对信息安全管理体系认证还存在不当认识，例如很多人不知道成立认证机构以及开展认证活动需要得到认监委的审批，还有一些人认为国外认证机构颁发的是国际证书，而国内认证机构颁发的证书则没有权威性等。这将导致用户在选择认证机构时带有错误的倾向性，以及证书采信者对证书价值产生误判。

　　二是严格市场准入条件，实行总量控制，并对违反《认证认可条例》的行为进行严厉查处。

　　三是积极推动信息安全管理体系认证的国际互认工作。 四是大力鼓励国内认证机构的发展，提高国内认证机构的品牌影响力。

　　责任制问题的实质是立法问题。认证安全风险是信息化发展带来的新问题，目前我国还没有立法对收集客户信息（包括修改客户的信息系统）以及信息出境问题进行规范，对公民个人信息以及企业秘密的保护也缺少完善的法律规定。这种情况下客观上导致了认证安全风险管理责任不明确的局面。

　　我们建议在实践中对认证安全风险管理的部门职责作如下区分： 国务院网络与信息安全主管部门一要尽快制定基础信息网络和重要信息系统使用认证服务的有关采购规定，二要加快《信息安全条例》的制定，在条例中明确哪些信息安全服务中的行为应予禁止。

　　国务院认证认可监督管理部门充分利用现有的监管手段，一要在可能的情况下继续严格信息安全管理体系认证程序，维护国家秘密和商业秘密的安全，二要加强本文前面提到的四项辅助性措施。