《信息安全认证》doc版.doc

信息安全认证 网络时代发展的必然趋势访中国信息安全产品测评认证中心副主任陈晓桦博士本报记者 胡英信息技术和网络空间，给社会的经济、科技、文化、教育和管理等各个方面注入了新的活力。人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全问题。信息安全产品和信息系统固有的敏感性和特殊性，直接影响着国家的安全利益和经济利益。政府部门、社会用户、生产厂商和执法机关对信息技术的“安全”、“可信”的要求十分迫切，安全性测评与认证成为信息化时代的客观需求。世界各国政府纷纷采取颁布标准，实行测评认证制度的方式，对信息安全产品的研制、生产、销售、使用和进出口实行严格有效的控制。在我国大型的采购活动中，尤其是政府采购，信息技术产品的开发厂商应首先获得中国信息安全产品测评认证中心的认证。此外，在市场准入的过程中，根据产品使用范围的不同，可能还需要不同的资质或证书，如：密码产品牵扯到通信线路安全，为了防止国家机密信息通过通信线路泄密，国家密码办公室对密码产品采取分级授权管理的形式，分别对各类不同技术类型的厂商授予研发、销售许可；想要进入党政涉密网的企业，还须获得国家保密局的证书；进入军队网络须获得军队安全认证书；还有公安部颁发的安全产品销售许可证；进入电信网还要获得电信证书。另外，社会上还存在一些商业性测评机构发放的各类商业性测评证书等等一时间，厂商似乎多拿了一个证书，就多了一个法宝。林林总总的证书不仅让厂商不堪重负，也让用户头晕目眩：考核厂商的安全技术水平究竟应该看哪一个证书？这么多的证书是否有重复？国外的情况如何？为此，在编辑本专刊之际，记者特地采访了信息安全测评认证的权威机构中国信息安全产品测评认证中心（CNITSEC）副主任陈晓桦博士。为什么需要信息安全认证？记者：目前国家有如此多的政府管理机构在发放安全产品许可证，是否存在重复现象？陈晓桦：大部分的进入许可是必须的，因为信息安全直接涉及国家安全，每个国家的密码技术都实行了严格的进出口管理，比如，在党政信息化建设方面，国家保密局有一个明确的要求，在信息安全产品的采购当中，优选具有自主产权的产品，国家的大门是请雇佣军来守还是请自己人来守？这是一个基本的可信问题，这一点非常正确，每个国家这么做。但目前存在对测评的管理出现多头管理现象，就会出现多头的测评和多头收费现象，使市场进入门槛非常高，这会对产业发展带来不利影响。好在政府已经看到这个问题，一定会采取措施解决这个问题。记者：信息安全测评认证有什么意义？陈：今天市场提供许多实现安全功能的信息技术产品，使用者一般是依赖产品说明书的内容和厂商的市场推销进行比较、研究后选择产品的，这样的挑选既不容易，又不科学，它无法保证产品的安全功能是按开发者的想法设计、实现的。即便具有同样安全功能的产品，每个产品的功能强度或实现方法也各不相同。考虑到信息安全的特殊性和专业性，要正确地理解产品的功能并进行产品之间的比较就更加困难。信息技术产品的使用需要对安全功能有个共同的定义。开发者之间以及开发者、使用者之间有了共同定义的安全功能的概念和尺度，初次使用者才能理解产品的安全功能，才能进行产品之间的比较。但是，即便共同定义了安全功能并以此为基础开发出了产品，对于使用者而言，仍有问题：产品的安全功能是否真正实现了？除了开发者的说明书和销售人员的口头承诺以外没有其他的确认方法。为解决这个问题，就需要有独立于开发者、使用者的公正的第三方来进行产品测评认证。第三方如能客观地确认其安全功能，对没有专门技术知识的使用者来说就能放心地选择产品。所谓客观就是按照预先共同定义的概念、尺度给予的标准评估，而不是人为的定性的评估。现代信息安全测评认证制度就是遵从公开的测评标准和程序，由第三方机构评估产品的制度。根据这一制度，产品的使用者就能在众多销售环境下放心地构筑、运用信息系统，开发者也能在可以信赖的指南下开发产品。因此，实行信息安全测评认证制度已成为保障信息化社会安全的必要措施。谁在认证？记者：目前，谁是权威的信息安全认证机构？中国的信息安全测评认证发展到了哪一步？陈：目前，CNITSEC是唯一获得中央批准的信息安全认证机构。经过几年的发展，我国的信息安全测评认证工作已初具雏形，主要体现在以下四个方面：一是测评认证的技术支撑体系基本建立。在充分研究信息安全产品和信息安全技术的基础上，及时跟踪国外发达国家的经验，我们提出了从性能、功能和安全性三方面进行产品测评；从管理、技术和保障三方面进行系统评估的基本思路，并根据这一思路研究开发相应的测试工具和程序规范。实践证明，我们的尝试是成功的，我们目前的测评技术体系框架不仅在国内处于前列，而且与国际水平也很接近。二是标准体系的建设取得了较好成果。标准是测评工作的依据和准绳，测评认证，标准一定要先行。在国家质量技术监督局和全国信标委的指导下，我们先后主持、参与制定的国家标准近20多项，尤其值得一提的是：2000上半年，我们与北京市质量技术监督局一道，编写了信息安全标准化指南，系统全面地总结和归纳了信息安全方面的国内外标准。该指南已经北京市信息办报北京市政府批准宣贯；2001下半年，由我中心牵头组织全国多家单位起草的“信息技术安全性评价通用准则”历经三年、终于完成，已报国家质量技术监督局并获得批准，成为国家标准，即GB/T18336：2001信息技术 安全技术 信息技术安全性评估准则，等同CC:ISO/IEC15408，使我们的安全认证标准直接与国际接轨。三是测评认证体系在我国初现端倪。为了适应信息化的发展，世界各发达国家均已建立起一套行之有效的信息安全测评认证体系：即由一个跨部门人员组成的测评认证管理委员会，一个国家级的测评认证中心和各个授权测评实验室组成的管理和服务体系。到目前为止，已经授权成立的测评机构有信息安全实验室、上海测评中心、东北测评中心、华中测评中心、计算机测评中心、系统安全工程实验室、测评技术实验室等，同时还批准了其它重点区域和行业筹建相应的测评机构，全国性的测评认证体系建设已初具规模。四是测评认证服务基本走上正轨。目前通过中心认证的产品共145个，其中防火墙类产品有44个，安全审计系统有7个，路由器有5个，扫描类产品有4个，入侵检测系统有14个，网上证券交易系统有13个，安全操作系统有4个，智能卡有5个，证书管理系统有7个，身份鉴别产品有4个，物理安全产品有11个，其它产品有27个。记者：您如何看待目前的一些商业测评机构？陈：目前的商业性测试机构只是根据商业目的或用户的特殊需求进行的产品测评，但不是认证。“测评”是检验产品是否符合所定义的评估标准。“认证”是检验评估过程是否正确，并保证评估结果的正确性和权威性，且公布于众。根据认证程序，测评认证制度就更加可信，被认证的产品依据其可靠性和市场的流通性而提高知名度。信息安全测评认证制度是由测评和认证流程构成的、对信息技术产品的安全性实行第三方客观评估的管理与服务制度，我们将其称为测评认证制度。目前大多数实行信息安全测评认证制度的国家，其认证机构是由政府机构代表国家实施的，评估则可由政府或民间机构承担。目前市场上对商业性测评还是有一些需求，如行业、部位在产品选型时的一些特殊需求，如要求对防火墙的吞吐率、延迟等几项指标进行排行，以给产品排名。但它的测评标准是自己定的，并不符合国家标准，很多情况下，国家不推荐这样做，如评省优、部优等等。我们希望这种以赢利为目的的商业测试机构一定要采取公平、公开、公正的原则，要注意自己的专业性，树立自己的特点。作为用户来说，一定要区分不同的测试目的的产品。认证些什么？记者：目前CNITSEC开展了哪些认证活动？陈：目前测评认证中心代表国家对信息安全产品、信息系统、信息安全服务资质和信息安全人员进行认证。认证中心自1999年正式对外服务以来，已经对几百种产品和系统进行了权威的测评，截止到2002年7月30日，认证中心共颁发了145家厂商的信息安全产品及系统认证证书。为适应我国信息安全产业的发展需要，满足国家信息化对安全服务的需求，认证中心在经过两年多的标准研究技术准备和基础工作，从今年春开始启动了对信息安全服务资质和信息安全专业人员的认证活动。就在下月预计将有20家信息安全服务提供商获得信息安全服务资质认证，目前已有50名技术专家获得信息安全专业人员资格，预计年内获得信息安全专业人员资格的人数将达到100人。信息安全测评认证是一个动态的过程，随着信息安全产业的发展而不断在动态发展，相信不久的将来，我们的认证项目将不断增加。记者：我注意到目前通过了信息安全测评认证的产品和企业都来自国内企业，外企几乎没有，这是为什么呢？陈：事实上，本着“科学、规范、客观、公正”的原则，我中心一直对外承诺，只要他们的信息安全产品符合国家标准，我们也给予认证。但是，许多外企还没有认识到测评认证对它进入中国市场的重要性，因为，目前很多外企的信息安全产品在中国的很多行业，如电信、金融领域销得非常不错。但是，这是暂时的，随着国家对信息安全看得越来越重，如果没有得到中国信息安全主管机构的认可，如果不按照国内的游戏规则和管理规范来做的话，他们的产品一定会受到越来越多的限制，以后也许不仅是党政系统采购不能进入，其他大的行业采购和选型也会受到影响。按照国际惯例，在国外也必须进行安全产品认证，如美国国防部下令，从2002年开始，所有政府采购必须优先采购经过了CC认证的产品。世界许多国家把认证看得非常重，如微软的操作系统在美国获得了EAL4认证，那为什么在中国就没有想到要参加认证呢？国际上，某些