浅析我国在政府采购中对信息安全产品实施准入管理的必要性和有效性

　　提　要

　　随着信息化的不断推进和互联网在全球范围内的广泛应用，信息安全已经成为涉及国民经济和社会各个领域安全的重大战略问题，不仅影响公民个人权益，更关乎国家安全、经济发展、公众利益，有效实现信息安全保障成为当务之急。而信息安全产品认证是确保信息安全良性发展的关键所在，对信息安全产品实施认证，可以降低系统和网络的安全风险，为系统运营单位的信息资产安全提供基础保证，并促使产品的研制和生产过程逐步走向规范化、标准化。

　　4月27日，国家质检总局、财政部、认监委联合发布公告，决定从2010年5月1日起，对防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复13种产品，在政府采购法规定范围内实行强制性认证，未获得强制性认证证书和未加贴中国强制性认证标志的，不得进入政府采购领域。

　　有关专家称，对部分信息安全产品实施强制性认证，并在政府采购领域实施准入管理，对保障国家信息安全有着重要作用。

　　日益突出的信息安全问题是重大的现实威胁

　　随着信息化的不断推进和互联网在全球范围内的广泛应用，信息安全在信息技术的提高中不断得到发展和充实，信息安全的内容也由原来单一的通讯保密扩展为网络与信息系统的安全。但同时，黑客攻击、病毒泛滥等成为普遍的威胁。有调查表明，目前我国与互联网相连的网络节点95%都遭到过攻击或侵入，其中银行、金融机构和政府网站是攻击重点，信息安全问题引起了人们高度关注。

　　当前，我国国民经济和社会发展对信息化已经高度依赖，信息安全已经成为涉及国民经济和社会发展各个领域的重大战略问题，不仅影响公民个人权益，更关乎国家安全、经济发展。对于如何加强信息安全保障工作，党中央、国务院高度重视，强调坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。

　　面对日益严重的信息安全问题，有效实现信息安全保障成为当务之急。

　　信息安全产品强制性认证是保障信息安全的有效手段

　　信息安全是高技术的对抗，没有先进的信息安全技术和合格的信息安全产品，信息安全便成为无本之木。国内外信息安全的理论和实践说明，建立完善的信息安全保障体系是进入信息化时代后主权国家捍卫自身安全的重要屏障，也是维护自身利益的主要手段。作为信息安全保障体系的重要组成部分，信息安全产品认证是确保信息安全良性发展的关键所在，是保障信息安全的第一道防线，也是我国目前加强信息安全保障的重点工作之一。

　　当前世界许多国家对信息安全认证给予高度重视，并不遗余力地推动信息安全产品认证制度的广泛应用。信息安全产品认证是依据相关技术标准和实施规则，对信息安全产品是否达到标准或规范要求进行权威证明。对信息安全产品实施认证，可以降低系统和网络的安全风险，为系统运营单位的信息资产安全提供基础保证，并促使产品的研制和生产过程逐步走向规范化和标准化。

　　目前，国内市场上的信息安全产品良莠不齐，一些产品粗制滥造、技术水平低下，甚至留有很大的安全隐患。对信息安全产品实施认证，并在政府采购领域进行准入管理，可将不合格的信息安全产品摒弃在采购目录之外，防止不合格的产品对网络与信息系统带来潜在安全隐患。

　　我国全面推行集中统一的信息安全产品认证工作体系

　　当前，信息安全产品认证的社会需求日益高涨，无论是政府还是企业对信息安全产品的管理需求将日渐突出，用户了解信息安全产品和系统的实际安全状况以及采信第三方认证结果的意愿越来越强烈。

　　2003年以来，根据党中央、国务院的部署，各相关部门密切合作，大力实施了信息安全产品认证认可体系建设工作。经过6年的努力，我国制定颁布了76项信息安全国家标准，逐步建立起与国际相衔接的中国信息安全标准体系；2005年成立了由主管部门、生产方、用户方、研究开发等方面代表组成的信息安全产品认证管理委员会；2006年6月20日，中编办批准设立了专门从事信息安全认证的机构———中国信息安全认证中心；今年4月27日，国家质检总局、财政部、国家认监委共同发布了8类13种产品的认证基本规范和实施规则；4月30日，国家认监委发布公告，指定了信息安全强制性认证机构和检测机构，并明确了其业务范围。至此，我国集中统一的信息安全认证认可体系建设构架已经形成，“一家认证机构实施认证，多家检测机构实施检测”的工作机制已经确定，我国开展信息安全产品认证的条件已经成熟。

　　推行信息安全产品认证，表明我国在信息安全保障方面又铸起了一道新的重要屏障，必将为我国信息化建设的安全、健康发展提供有力保障。

　　（作者为中国信息安全认证中心主任）