在信息安全的重要性已经上升到国家战略层面的同时,国家对信息安全产品以及信息网络系统的安全,实施统一的、必要的认证和监管监控措施,对确保信息安全产品质量、保障国家信息安全至关重要。然而,目前,中国信息安全统一认证之路却走得非常艰辛,面对这种情况,该如何破局?近日,本报总编辑孙定与中国信息安全认证中心副主任陈晓桦博士就这一问题进行了深入探讨。
统一认证 势在必行
国家对信息安全产品以及信息网络的安全实施统一的、必要的认证和监管监控措施,这对确保信息安全产品质量以及保障国家信息安全至关重要,因此势在必行。目前,中国信息安全认证中心我国已经确定了13类安全产品需要进行强制性认证。
孙定: 随着网络的迅猛发展,信息安全的重要性已经上升到了国家战略层面,美国总统奥巴马上任之后,随即宣布成立白宫网络安全办公室,由其负责协调相关国家机构制定美国网络安全政策。而保障信息安全就需要信息安全产品和技术作为支撑。那么,目前国内的信息安全产品质量情况如何?统一安全认证对于保障信息安全产品质量具有哪些重要意义呢?
陈晓桦: 信息产业的快速发展以及用户信息化进程的逐步深入,使得信息安全问题成为了世界范围内共同关注的焦点。奥巴马成立美国信息安全“作战司令部”就是希望通过一个非常高层次的信息安全协调机构,用军事化的方式来治理网络安全,可以说这是一种比较超前的做法,它不仅仅是针对互联网的安全,还沿用提出了网际空间的概念。
在国内,网络安全、信息安全也同样被提到一个很高的战略层面,这就要求国家对信息安全产品和信息网络的安全,实施统一的、必要的监管监控措施。信息安全产品是保障信息网络系统安全的基础。我们认为,实施信息安全全国统一认证的制度,是建立我国信息安全保障体系、确保信息安全产品质量、规范并提升信息安全的各项服务工作的第一步,也是重要一步,因此势在必行。
事实上,在信息安全领域,采取统一认证机制是保障信息系统安全的重要手段,这也是世界各国的通用做法。
孙定: 现在,信息安全产品和技术的种类越来越多,从以前的防火墙、反病毒、IDS这老三样发展到今天的安全综合管理、数据加密、流量控制、网页邮件过滤、电子身份认证、员工上网管理等。信息安全也渗透到了信息化建设的方方面面,从软件的数据库、操作系统到网络通信以及数据存储等,都与安全紧密相关或者说是集成了安全功能。那么,国家该如何统一认证和管理这么多的安全产品呢?
陈晓桦: 之前,我们信息安全认证中心承担了原国信办的一个课题,就是梳理我国现在都有哪些比较流行的信息安全产品,在这些产品中有哪些适合通过认证认可制度来统一管理。到目前为止,中国信息安全认证中心 (注:是由8个部委协商出来的。不专门提我中心为好。)我国已经确定了首批13类产品需要进行强制性认证,其中包括: 防火墙类产品、网络安全隔离卡与线路选择器类产品、安全隔离与信息交换产品类产品、安全路由器类产品、COS(智能卡)类产品、数据备份与恢复类产品、安全操作系统类产品、安全数据库系统类产品、反垃圾邮件类产品、入侵检测系统(IDS)类产品、网络脆弱性扫描类产品、安全审计类产品、网站恢复类产品。
其实,对于很多产品,国家都有专控管理制度,比如说***弹药由公安和军队来管理。由于信息安全产品的特殊性,尤其是应用在国家政府涉密信息系统中的安全产品,需要有一个专控管理制度。这就好比说,一辆奔驰车卖给消费者普通老百姓使用和卖给政府部门使用,对其测试的项目肯定是有差别的,依据的标准也是不一样的。国家政府部门使用的车辆可能就还要检测其防弹性能,以及里面有没有窃听装置等,这是为了保证国家机密不被泄漏; 而如果是消费者使用,送到车检所做正常的车检就可以了,比如检测尾气排放排气量是不是达标等。
可见,同样的产品在不同的应用场合,要依据不同的检测标准来进行检测。也就是说,对于信息安全产品的认证,由于安全产品的用途不同,认证标准也是不同的。这种情况下,就更需要国家对信息安全产品有一个统一的认证体系。
认证环境 混沌不清
目前,我国在信息安全产品认证方面并没有一个统一的认证标准和体系,认证环境混沌不清、强制性认证步履艰难,很不利于国家对信息安全的统一管理。
孙定: 的确,国家对信息安全产品实施统一认证,对于确保信息安全产品质量以及保障信息系统安全至关重要。那么,目前国内对信息安全产品的认证环境怎样?有没有实现统一认证?
陈晓桦: 国内进行大型信息安全产品采购时,首先要看厂商有没有公安部颁发的安全产品销售许可证,获得了许可证的产品才允许在市场上销售。而对于某些特殊的安全产品,还要经过不同的认证和许可,如杀毒产品必须通过公安部的检测认证,技术水平达到一定的标准之后才能在市场销售; 进入关键的电子政务采购,必需要通过中国信息安全产品测评认证中心的测评认证; (该机构早已经更名,也不再发证书了)而密码技术涉及到通信、存贮以及授权管理的安全,国家密码办公室对密码技术产品采取分类授权管理的模式,分别对各种不同技术类型的厂商授予研发、生产或销售许可; 想要进入党政涉密网的企业,其产品必须获得国家保密局的证书; 进入军队网络必须获得军队信息安全认证证书; 进入电信网络还需获得电信入网证书。
这些证书本来是无可非议的,因为信息安全的行业特征决定了不同的行业对信息安全产品有着不同的需求,但这种多头管理导致在产品管理层面重复检测的现象,使得厂商进入市场的门槛非常高,这也就加重了厂商的负担,很多安全厂商一年光为了获得各种证书就要花费上百万元。同时,这也不利于国家统一管理并保障国家信息安全。
孙定: 您在前面谈到,中国信息安全认证中心国家已经确定了13类产品需要进行强制性认证,那么,目前,这一认证措施的执行情况如何?
陈晓桦: 在《关于部分信息安全产品实施强制性认证的公告》(2008年第7号)中,原定从2009年5月1日开始,凡列入强制认证目录内的信息安全产品,也就是前面提到过的13类产品,未获得强制性产品认证证书和未加施中国强制认证标志的,不得出厂、销售、进口或在其他经营活动中使用。然而,又经过了一年多与国内外各方的反复磋商,在这一方案基础上提出了一个新的调整方案: 首先,实施时间延至明年5月1日,这是在时间上的调整; 其次,在范围上也做出了重大调整,只在政府采购法的规定范围内强制实施。
在这里我还要特别强调的是,政府采购法的规定范围和政府采购的范围是有很大区别的。政府采购法的适用范围“是指各级国家机关、事业单位和团体组织,使用财政性资金采购依法制定的集中采购目录以内的或者采购限额标准以上的货物、工程和服务的行为。”而且采购目录通常是财务部和政府采购中心以目录的方式下发的,以这种形式被采购的产品才是在强制性产品认证的范围内。还有一点很有意思,政府采购法中要求“应当采购本国货物、工程和服务”,但对于国产产品却很难做出严格的定义,是否国内自有品牌就算是国产产品,还是在国内组装的就算是国产的,还是说多少比例的附加值是在国内产生的就算是国产产品?这些都很难明确。
国际势力 兵临城下
在中国建立信息安全统一认证标准的道路上一直受到美国及其他西方势力的阻碍,他们的目的很简单,希望中国加入到他们的体系内,以打压中国自主标准的创新能力。
孙定: 目前,国内信息安全统一认证的发展之路为什么会如此艰难,出现这种情况的主要原因是什么?
陈晓桦: 除了国内产业环境还不完全成熟这一不利因素外,更主要的阻力来自于国外的反对,他们的目的很明显简单,要求中国加入到他们的体系中,并以此打压中国自主标准的创新能力。
现在,在国际上有26个国家,如美国、英国、法国等一些国家签署了基于所谓共同准则的互认协议(CCRA),它们要求中国也加入到CCRA互认的阵营。如果中国加入CCRA,对他们最直接的一个好处就是国外的很多企业的上千种产品进入中国市场,就不用按照中国的标准再进行任何检测认证了;而按照该协议的条款,必须在两年之后,在中国国内认证过的产品才能直接进入相关成员国家!
但是中国并没有去申请加入CCRA,无论是强制性认证还是自愿性认证,我们目前都不能这么做。我们还需要认真研究、判别。共同准则已经成为了国际标准,也翻译成为了我国的标准,虽然有值得我们参考和借鉴之处,但也有许多不适应我国国情的地方。尤其在信息安全领域,中国不应该完全放弃自主的技术标准,而完全去追随国际标准;否则,将对我国信息安全产品和技术的自主创新极为不利。西方貌似先进和强大的东西并不都是好的,华尔街就是一个典型。
孙定: 美国的CC认证是一种什么样的模式?我们在建立中国自主的信息安全产品统一认证标准过程中,该如何应对这一来自西方的阻力?
陈晓桦: 事实上,美国的CC认证在政府采购领域也是强制性的,从2003年7月1日就开始强制执行,而且据我们了解,如果信息安全产品是用于涉级国家秘密信息系统的话,还规定必须由美国国防部下属的国家安全局来进行检测,要求是非常严格的。但是,美国却反对中国实施强制性的统一认证标准,这不是很矛盾吗?
国外提出的反对理由是,中国自主的强制性认证是为了获取他们的知识产权。日本媒体也数次歪曲报道说,中国实施信息安全产品的强制性认证制度是为了帮助中国的军方和企业获取他们的知识产权,甚至是为了获取什么情报!那如果我们反过来想,中国加入到CCRA,难道就不存在上述问题了吗?因为,按照国际标准认证,也要求提交部分源代码。因此,我们的应对方法就是不能跟着西方的指挥棒走,要坚持自主标准,建立属于自己的信息安全产品统一认证体系。
专家感悟
建立统一认证标准需多方努力
陈晓桦认为,网络信息安全关系到社会的稳定、国家的安全,由于其产品的特殊性,我国政府部门对安全产业的管理必须采取市场准入制的方式。
“事实上,各个国家都如此,对信息安全产品的监管有点类似于对药品的管制。其实,信息安全产品就是预防和治疗网络系统疾病的‘药品’,如果国家放松了管制,一旦出现假冒伪劣‘药品’,或者‘药品’本身带有副作用,其后果不堪设想。” 陈晓桦在整个采访的过程中一直在强调信息安全产品质量的重要性,“而统一认证对于保障信息安全产品质量至关重要。”
然而,要想在国内建立起信息安全产品统一认证标准却并非易事,来自各方的阻力使得这一重要使命的完成需要多方的共同努力,政府、厂商、用户在其中也扮演着各自不同的角色。陈晓桦认为,不同层面的各级政府主管部门要通力合作坚持中国自主标准之路;国内安全厂商要积极参与进来,在国家给予很多政策扶持的基础上,通过提升自身的产品质量以获得更大的市场成功;用户也应该在认清各种标准的同时,支持中国自主认证标准的出台。“只有这样我们才能不被国际认证标准牵着鼻子,走出属于自己的发展之路。” 陈晓桦说。
采访手记
信念的支撑
在去采访陈晓桦之前,记者像往常一样上网搜索被采访人的相关信息,发现关于陈晓桦本人的介绍很少,能得到的信息就只有“博士、研究员、中国信息安全产品测评认证中心副主任、总工程师、863专家”等这些关键词;而与他相关的报道就都集中在了我们这次采访的核心话题——信息安全产品统一认证上。到他的办公室,我们才见到了一张他刚获得的国家科学技术奖一等奖证书。
这3年来,陈晓桦把全部的精力都放在了中国自主信息安全产品认证工作上,虽然这一任务艰巨,困难重重,但明年5月1日起,信息安全产品强制性认证将在政府采购领域实施。其实,在当初成立中国信息安全产品认证中心的时候,业界就对其前景有些担忧,主要就是因为考虑到各方面的阻力会非常多,要处理的问题也会非常复杂,而现在来看,所面临的困难甚至比预想的还要多和复杂。但是,陈晓桦会坚定不移地走下去,因为他认为这是一件利国利民的好事,国家信息安全统一认证认可体系的建设在信息安全保障和信息安全产业发展中也将会发挥巨大作用。