信息安全认证艰辛路

信息安全认证艰辛路 信息安全认证标准如同中国的其他标准一样 经历了 友邦惊诧 无奈缓行 变相实施 前途未卜 这 样一个艰难曲折的发展历程 中国标准 千转百回 的艰 辛路 带给我们怎样的思考和启发 日前 澳大利亚力拓公司驻上海办事处的四名业务人员 因涉嫌窃取中国国家秘密而被拘捕 四人在中外进出口铁 矿石谈判期间 因为信息泄密 给中国钢铁行业带来高达 7000 多亿元的经济损失 这为中国的企业信息化敲响了警钟 也 使网络安全 信息安全再次被提到战略层面 信息安全产品和技术是保障信息安全的重要支撑 随 着信息产业的快速发展和信息化进程的逐步深入 信息安全 问题成为了全球共同关注的焦点 在信息安全领域 采取统 一认证机制来保障信息系统安全是各国的通用做法 我国 也不例外 今年 4 月 27 日 由国家质量监督检验检疫总局 中华人 民共和国财政部 中华人民共和国国家认证认可监督管理 委员会联合发布了 关于调整信息安全产品强制性认证实 施要求的公告 2009 年第 33 号 公告中 将国家质量监督检验检疫总局 国家认证认可 监督管理委员会 关于部分信息安全产品实施强制性认证 的公告 2008 年第 7 号 中涉及的信息安全产品强制性认证 的强制实施时间延至 2010 年 5 月 1 日 并仅在政府采购法规 定的范围内强制实施 认证产品范围包括防火墙 网络安 全隔离卡与线路选择器 安全隔离与信息交换 安全路由 器 智能卡 COS 数据备份与恢复 安全操作系统 安全 数据库系统 反垃圾邮件 入侵检测系统 网络脆弱性扫 描 安全审计 网站恢复 13 种产品 目前 信息安全产品的 认证受理工作已经开始 据记者了解 关于部分信息安全产品实施强制性认证 的公告 在 2008 年 1 月就已发布 在时隔一年多之后 又联 合财政部发布调整公告 不仅延后了原公告的执行时间 更将 信息安全产品认证的强制实施限定在政府采购法规定的范 围内 在世界范围内将信息安全的重要性上升到国家战略 层面的今天 为了确保信息安全产品质量 保障国家信息安 全 国家对信息安全产品以及信息网络系统的安全 实施了很 多行政许可和认证的监管措施 但事实上 中国的信息安全 认证之路走得十分艰辛 友邦惊诧 混淆视听 2008 年 1 月底 关于部分信息安全产品实施强制性认 证的公告 正式发布了 根据这一公告要求 从 2009 年 5 月 1 日开始 凡列入强制认证目录内的 13 类信息安全产品 未获得强制性产品认证证书和未加施中国强制认证标志的 不得出厂 销售 进口或在其他经营活动中使用 一石激起千层浪 之后 无数外国媒体的质疑报道扑面 而来 国际相关标准组织和产业协会的反对声音也蜂拥而至 令国家相关部门面临非常被动的局面 一些美国主流媒体在报道中描述 中国政府计划要求 外国信息产业公司向中国有关部门报批对中国出口的信息 安全技术产品 这个拟议中的新政策明显是出于国家安全 和扶持国内信息技术产业两方面的考量 一位美国的智库 战略与国际研究中心 CSIS 的研究员甚至认为 这个动机除 包含一部分贸易考虑外 还包含一部分商业间谍成分 也包括 中国政府希望在信息技术市场上扶持中国本土公司的计划 他还指出 中国的第二个动机不那么合理 日本 读卖新 闻 则称 这种制度可能存在把外国企业的知识产权提供 给在中国竞争对手的风险 如果中国政府不放弃 那将可 能发展成为严重的国际贸易争端 因此 2008 年 9 月 在美中商贸联委会会议上 美国官员 对这项政策提出了质疑 一位美国驻中国使馆的发言人说 美国认为中国计划实施的这项新规定 和中国的贸易承诺 不相符 对这些质疑 国内各相关部门不得不反复解释 澄清 中国的做法是为了保护国家安全和推进信息技术产业 但国外媒体借机恶意炒作 甚至不惜歪曲事实 抹黑我国 的管理制度 一位从事信息安全认证多年的老专家向记者 说 在当时相关的国外新闻中 大量充斥着不实报道 记者也发现 在一篇 日本经济新闻 仅几百字的稿件 中 就至少存在以下几处失实 将 13 种强制性认证产品的 目录 写为 13 条防范电脑病毒的强制认定标准 并且 无中生有地写出 13 条规定中包括基础软件 如果要取 得认证可能要求企业公布软件设计图的源代码 等捏造的 事实 这些报道不仅混淆视听 还严重歪曲了中国正在建立的 信息安全产品强制性认证制度 面对 友邦惊诧 和含混不清的言辞 中国相关部门不 得不不厌其烦地反复沟通交流 并作出解释 随后 国家推迟 了认证制度的实施时间 在 2008 年 7 号公告中明确的实施强制性认证的 13 种 信息安全产品 只是众多 IT 产品中极小的一部分 都是专用的 信息安全产品 根本不涉及这些国外媒体报道中提到的数码 家用电器 数码复印机 平板电视等产品 按照中国的法律 法规以及认可规范的要求 认证机构 和实验室都必须承担为客户保密的责任 在对信息安全产品 实施认证和检测时 根据不同安全等级的需要已制定了相应 的安全保密措施 申请认证的技术资料仅严格用于实施认 证和检测 不会被用于其他目的 而且在这 13 种产品中 只有智能卡 COS 产品在认证检 测时 需要厂家提供与安全功能有关的部分源代码 另外只有 6 种含有密码模块的产品需提交与密码实现和使用有关的部 分源代码 而非全部源代码 其余的产品申请在认证时没有 任何关于提供源代码的要求 值得注意的是 即便是国际上 通行的 CC 信息技术安全性通用评估准则 认证 在检测智能 卡 COS 时也同样要求提供与安全功能有关的源代码 至于 密码模块检测要求提供源代码 早在美国政府发布的标准 FIPS140 1 后为 FIPS140 2 所取代 当中 就提出了更为严格 的要求 即申请方必须提供带注释的源代码 中国有句古话 己所不欲 勿施于人 美国政府和产业协会居然反对中国 的产品认证制度关于密码模块检测需要提供源代码的同样 要求 这难道是美国人健忘或仅仅是 灯下黑 可以解释 的吗 一位信息安全认证专家反问 这位从事信息安全认证多年的老专家告诉记者 我国正 在建立的信息安全产品强制性认证制度 是为了解决中国信 息安全产品测评领域存在的重复检测 重复发证等问题 维 护国家安全 公众利益和公民权益 理顺管理体制 规范 市场 促进产业发展而实施的一项重要管理措施 既符合中 国国情 也符合 WTO TBT 协议原则 事实上 国外媒体的真实意图 是通过不准确的信息造 舆论 对中国的自主创新施加压力 另一位不愿透露姓名的 中国标准化资深专家评论说 这令人联想起当年的 WAPI WAPI 经历了从无人问津 到众人追捧 无限期延迟到现在有望重新进入国际标准投 票流程的跌宕命运 这峰回路转中 关于技术 标准和市场 层面的反思 十分值得现在的中国信息安全产品认证界思考 无奈的缓行 在国际舆论中 贸易壁垒 保护国内信息技术产业 商业间谍 等关键词 似乎已经成为了冠以中国常见的 罪 名 每当中国推出自主创新的标准和相关政策 必然重复上 演这些 国际贸易卫道士 的老旧桥段 而我国也往往只 能被动地采取 延期执行 政府采购 等应对办法 2003 年 国家认证认可监督管理委员会发布 2003 年第 113 号公告 自 2004 年 6 月 1 日起 对无线局域网产品实施强 制性认证 WAPI 但在美国的强烈抗议下被迫搁浅 中国关于自有标准的这些政策都被国外一些研究中心 解读为 中国政府最近几年为保护国内信息产业而采取的 一些类似措施 体现出中国信息技术行业发展不均衡的现状 这次 关于部分信息安全产品实施强制性认证的公 告 也不例外 事实上 在美国 CC 认证在政府采购领域也是强制性的 并从 2002 年 7 月 1 日开始强制执行 据相关专家介绍 在美 国 如果信息安全产品是用于涉及国家秘密信息系统的 规定 必须由美国国防部下属的国家安全局来进行检测 要求的严 格程度非常高 但是 美国却以此为由反对中国实施强制性 的统一认证 经过了一年多与国内外各方的反复磋商 加之考虑到全 球金融危机的大形势 国内相关部门最终决定调整实施 在原 方案基础上提出了一个新的调整方案 新方案在实施范围 上做出了重大调整 只在政府采购法的规定范围内强制实施 同时调整了实施时间 将时间推迟一年 而最令人担心的 就是明年 5 月 1 日 调整后的强制认证 能否顺利实施 2009 年 4 月 国家认监委发布了 关于信息安全产品强 制性认证指定认证机构和实验室业务范围的公告 2009 年 第 25 号 明确了实施信息安全产品强制性认证的指定认证 机构及首批 7 家指定实验室及其业务范围 目前 已经有几十款产品向相关机构申请了认证 接下 来的一年内 相关实施机构还需要完成大量的基础性工作 包 括进一步完善统一的技术规范 认证实施流程 制度宣贯 为财政部建立政府采购目录提供协助 协调 推进发布各 部委相关工作衔接流程等 这些工作都要加紧 这样才能把 这一制度落到实处 一位专家说 另一方面 我们并没有遭遇外国媒体所期望的跨国信息 技术公司对这项制度的反对 中国是世界上最大的信息技 术产品市场之一 这个庞大市场对跨国信息技术公司具有极 大的吸引力 据美联社的数据表明 在目前中国的信息安全 技术市场上 外国公司大约占据了 70 5 的份额 事实上 微软 思科 Sun 等公司并未就这件事表态 而 芯片制造商英特尔表示愿意遵守中国法律法规 IBM 公司发 言人则表示该公司出口中国的产品并不会受到新规定影响 据认证部门的相关人员介绍现在每天都有许多跨国公司向 有关机构询问认证制度的具体实施细节和要求 就 WAPI 产品强制认证而言 记者也从中国信息安全认证中心网站上 得悉 到目前为止 申请认证的国外企业比国内企业还多 方便 和 隐患 目前 国内信息安全认证的发展之所以会如此艰难 除了 国内产业环境还不完全成熟的客观条件外 主要的阻力来自 于国外的反对 国外反对势力的目的很明显 要求中国加入 到他们主导的 CCRA 协定中 并以此打压中国自主标准的创 新能力 那么 这个 CCRA 到底是一种什么样的协定 会给这些国 家带来哪些 方便 呢 目前 在国际上 有美国 英国 法国等 26 个国家共同 签署的基于所谓通用准则 CC 的互认协议 CCRA 他们一直 要求中国也加入到 CC 互认的阵营中来 CCRA 虽然有值得 我国标准参考和借鉴之处 但也有许多不适应我国国情的地 方 中国加入 CCRA 对他们最直接的一个好处就是国外 的很多企业的上千种产品进入中国市场 就不用按照中国的 标准再进行任何检测认证了 而按照该协议的条款 在中国 国内认证过的产品必须在两年的准备期之后 才有可能直接 进入相关成员国家 有关人士分析说 在给相关成员国 方 便 同时 会为中国产品埋下一系列安全隐患 一位信息安全产业内非常资深的人士告诉记者 特别是 在目前的政府采购中 笔记本电脑 手机 数码相机 路由 器 交换机等高端通信设备 基本上以国外的产品比较多 因此 在政府的采购领域 信息安全产品进行强制性认证是非 常必要的 说到安全隐患 广泛采购的多功能一体机就是一个典 型例子 这位人士告诉记者 这种多功能一体机集扫描 仪 传真机 打印机和复印机于一身 既可以扫描纸质文件 和照片 又可以复印和打印文件 还可以直接将电子文档通过 传真发给对方 有些设备还同时具备电话 电子邮件等功 能 由于多功能一体机自带 CPU 存储器 显示设备 输 入输出设备 集成了信息的采集 处理和传输等功能 其本质 已经相当于一台计算机 因此 与普通计算机一样 多功能一 体机存在着漏洞和后门等安全隐患 尤其在敏感信息处理过 程中 存在信息被无意泄露或被恶意窃取的可能 尽管部分 厂商宣称其产品使用了身份认证 加密 存储加密 传输加 密 清除残留信息等措施来提高安全性 但对于有专业知识 且有恶意企图的人来说 仍然可以利用多功能一体机窃取敏 感信息 如果我们加入了 CCRA 这些国外产品将可以规避 我国的信息安全检测评估 所带来的安全风险与隐患不可低 估 因此 基于这种考虑 相关专家谏言 对于是否加入 CCRA 是 强制性认证还是自愿性认证 中国目前都还需要认真研究 分析 尤其在信息安全领域 无论从产业发展角度还是行业 管理角度 中国都不应该完全放弃自主的技术标准 完全去追 随国际标准 这将对我国信息安全产品和技术的自主创新 极为不利 因此 中国目前并没有申请加入 CCRA 在建立中国自主的信息安全产品认证体系过程中 中国 应该如何发展 我们不能跟着西方的指挥棒走 要坚持自主 标准 建立属于自己的信息安全产品统一认证体系 有关人 士说 链 接 中国强制认证 堵漏查缺 国家规定 对于国家实行强制认证的产品 必须经过 中 国强制认证 China Compulsory Certification 即 CCC 认 证 凡列入强制性产品认证目录内的产品 必须经国家指定 的认证机构认证合格 取得相关证书并加施认证标志后 才能 出厂销售 进口和在经营性活动中使用 同时 这个 CCC 认 证也是世界上通行的强制认证惯例 因此 在 CCC 认证的基础上 信息安全产品强制性认证 时 产品检测需经过三个环节 型式试验 初始工厂检查和政 府监督 对于第一次申请认证的企业 认证机构要到工厂生 产线上现场检查 对产品拍照 在认证发证后的半年至一年 内 到市场上和用户处抽检 根据一位多年从事信息安全认证的老专家介绍 根据中 国国情 刚开始 相关的认证部门在型式试验中以抽样为主 请 企业自己从生产线上送两台样机来 因为信息安全产业比 较小 新技术和新产品还是以样机为主 但也有一些企业试 图利用这个规定钻空子 比如 一些企业为了在产品说明上列举更多的测试项和 更好的测试结果 将最高配置的产品送来检测认证 却在上市 的时候将低配置产品拿来销售 这种方式在过去的检测标 准下 屡禁不止 对此 相关的认证部门加强了现场审查和检 测 以保障产品是按照企业规范和既定说明书生产的 这样 规范了企业的一些欺诈行为 对一些安全级别较高的产品 其生产线和开发场所的开发环境也进行检测 评 论 谁为信息安全把关 相比 10 年前 尽管国内信息安全认证的环境有明显发展 但 直到目前 我国在信息安全产品认证方面还没有完全统一的 认证标准和体系 强制性认证更加步履艰难 因此 信息安全 认证肩负着不轻的使命 在北京东边的一片闹市 中国信息安全认证中心安静地 在不起眼的中认大厦中运营 自 1998 年以来 由 中国信息 安全产品测评认证中心 承担我国信息安全测评与认证工 作 2004 年 国家质检总局等八部委联合发布了 关于建立 国家信息安全认证认可体系的通知 其中要求实行信息安 全产品测评和认证职能分离 2006 年 中国信息安全认证 中心 成立后 原 中国信息安全产品测评认证中心 将信 息安全产品的认证工作移交给了新成立的 中国信息安全 认证中心 随后 中国信息安全产品测评认证中心 更名 为 中国信息安全测评中心 对信息安全产品以及信息网络的安全实施统一的 必 要的认证和监管措施势在必行 因为这对确保信息安全产品 质量以及保障国家信息安全至关重要 特别是在政府的采购领域 政府的信息安全需要通