采用认证机制是保障信息系统安全的重要手段

　　12月1日，我国第一个服务器安全标准——《信息安全技术·服务器安全技术要求》（GB/T21028-2007）国家标准正式开始实施。这标志着我国国家信息安全水平大幅度提高的同时，我国自主产业力量开始主导国家信息安全的未来。

　　在信息化高速发展的今天，没有哪个领域像互联网一样如此广泛地影响着人们生活的方方面面，与此同时，网络信息安全带来的一系列问题也日益凸现。

　　比如，计算机病毒种类数量不断增加，瑞星公司的安全专家最近发出警告说，约有近70万种木马病毒正在威胁着上网电脑。同方股份有限公司计算机系统本部研发中心有关负责人透露，如今全球平均每20秒就会发生一起黑客事件。

　　而且，被称为网络“牛皮癣”的垃圾邮件防不胜防，一些违法分子利用网络的隐蔽性以及管控难等特点，通过网络实施诈骗等违法犯罪活动，作案手段不断翻新，犯罪类型不断扩展。

　　专攻信息安全课题的中科院高能物理所许榕生教授还对我国灾难备份市场现状表示了忧虑。

　　“假如有一天海啸袭击中国，我们将会怎样？”这个看似杞人忧天的问题，却被业内的专家一而再、再而三地讨论。

　　专家指出，尽管我国的灾难恢复建设正逐步从探讨进入实践阶段。但是，当前我国的灾难恢复体系基础仍然比较薄弱，还存在一些亟待解决的问题。比如，我国仅有33%的企业为灾难恢复准备了预算，1/3的计划没有考虑业务功能的恢复次序等。这些问题可能导致的直接后果就是当灾难发生时，根本无法实现应用系统的快速恢复，甚至可能导致业务运转的长时间灾难性中断。

　　在全球信息化大趋势下，一些发达国家积极研究制定各自的信息安全战略。例如美国认为信息空间是国家关键基础设施的神经系统，其正常运作对于国家经济和国家安全至关重要。据报道，“9.11”事件后仅过了两天，原来身居世贸大楼的摩根士丹利就恢复正常运营，因为该公司在新泽西州设有一套完整的股票证券商业文档资料和服务器数据灾难备份。

　　事实上，对于普通用户来说，信息安全同样十分重要。艾瑞咨询最新数据显示，目前在对第三方支付的选择考虑中，63%的商户首选安全因素，而在不愿意使用网上支付的网民当中，高达62%的人是因为担心交易的安全性。

　　专家指出，随着信息产业的快速发展，信息安全已成为全世界的共同挑战。要解决信息发展进程中出现的一些问题，需要政府部门、行业组织、企业、应用者等共同参与和努力，采取切实有效的措施，有效防范和应对各种信息安全问题。比如，推行全国统一的认证制度，为信息安全产品制定国家标准，为我国信息安全保障体系的建立和有效实施提供管理与技术支撑等。

　　国务院信息化工作办公室有关负责人指出，信息安全认证工作是信息安全的基础，是国家信息安全保障的重要内容，在信息安全领域采用认证机制是保障信息系统安全的重要手段，是世界各国普遍的做法。

　　记者从中国信息安全认证中心了解到，目前，信息安全产品认证已经确定了首批强制性认证产品目录，共有边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全等8大类，其中包括防火墙、安全操作系统、防垃圾邮件、入侵检测等13种产品。按照国际惯例，向WTO的通报已于11月上旬结束，年底前将开展强制性产品认证试点，2008年将全面展开。在信息安全自愿性产品认证方面，已经确定了15种自愿性认证产品目录。而且，无线局域网产品认证工作目前也已进入最后准备阶段。