信息安全的重要性,不僅僅體現在國家安全層麵,還與公共利益以及公民個人權益息息相關。
在後金融危機時代,信息化與工業化融合也將是引領全球經濟發展的一個製高點。信息安全保障能力作為我國兩化融合戰略的關鍵,是今後經濟持續發展的重要保證。
我國核心技術和互聯網基礎資源匱乏,重要的核心信息技術和產品、服務嚴重依賴國外,使信息安全不掌握在自己手上。
信息安全認證認可為信息係統安全提供基礎保障,規範和促進產業發展,是滿足我國信息安全需求的有效途徑,通過推動自主標準的實施,促進了自主可控的信息安全保障體係建設。
文/ 魏昊
信息化是加快實現工業化和現代化的必然選擇,黨的“十七大”報告提出,要大力推進信息化與工業化融合。隨著信息化的發展,信息安全的重要性日益突出,大力加強信息安全保障體係建設已經成為國家信息化戰略乃至經濟和社會發展的重大任務。這其中,信息安全認證發揮著重要作用。
一、信息安全是國家經濟與社會發展的重大主題
20世紀90年代以來,信息技術不斷創新,信息產業持續發展,信息網絡廣泛普及,信息化成為全球經濟社會發展的顯著特征,並逐步向一場全方位的社會變革演進。進入21世紀,信息化對經濟社會發展的影響更加深刻。廣泛應用、高度滲透的信息技術正孕育著新的重大突破。信息資源日益成為重要生產要素、無形資產和社會財富。信息網絡更加普及並日趨融合。信息化與經濟全球化相互交織,推動著全球產業分工深化和經濟結構調整,重塑著全球經濟競爭格局。互聯網加劇了各種思想文化的相互激蕩,成為信息傳播和知識擴散的新載體。電子政務在提高行政效率、改善政府效能、擴大民主參與等方麵的作用日益顯著。信息化使現代戰爭形態發生重大變化,是世界新軍事變革的核心內容。
信息技術在國民經濟和社會發展各個領域的廣泛滲透,使網絡與信息係統安全問題不僅關係到信息化的健康發展,還全方位影響到國家的政治安全、經濟安全和文化安全。當前,網絡竊密活動呈多發態勢,信息網絡已經成為竊密和反竊密的主戰場;西方一些國家和敵對勢力將互聯網作為對我國進行意識形態滲透的重要渠道,試圖利用互聯網實施對我西化、分化的戰略圖謀;通信、金融、交通、能源等關係到國計民生的關鍵基礎設施的運行已經全麵依賴網絡與信息係統,一旦出現信息安全問題,這些基礎設施的故障或癱瘓將嚴重影響經濟發展,甚至引發社會混亂;隨著工業化和信息化融合戰略的實施,信息安全已經成為工業生產安全的關鍵要素;信息化發展大大促進了文化產業發展,網絡文化產業已成為中國文化產業的重要組成部分,外來文化通過互聯網和數字內容產品的普及在我國占據了很大市場,在豐富人們文化生活的同時,也帶來了嚴重的文化入侵風險。黨的十六屆四中全會上,明確將信息安全作為國家安全的重要組成部分,要求“增強國家安全意識,完善國家安全戰略”,並確保“國家的政治安全、經濟安全、文化安全和信息安全”。
信息安全的重要性,不僅僅體現在國家安全層麵,還與公共利益以及公民個人權益息息相關。信息時代,傳統犯罪活動借助網絡得到了更大的活動空間,網絡詐騙、網絡賭博、網絡傳銷、網上銷售違禁物品、網絡傳播淫穢色情等網絡違法犯罪活動紛紛出現,相比傳統犯罪而言,其危害麵更廣,犯罪行為更加難以追蹤。網絡攻擊與病毒傳播日益增多,危害性不斷增高,特別是近年來發生的網絡攻擊普遍表現出了趨利性和定向性的明顯趨勢,極大打擊了用戶對在線電子商務等互聯網應用的信心,企業的商業秘密、知識產權和用戶的敏感信息麵臨嚴重威脅。垃圾郵件成為信息社會的一大頑疾,在全球範圍內泛濫成災,屢禁不止。以推銷商品、金融詐騙以及造謠生事、地下串聯等為內容的各類短信繼垃圾郵件之後迅速上升,對公民日常生活、經濟利益乃至公共秩序、社會穩定帶來極大影響。公民隱私權在信息社會受到巨大衝擊,網絡造謠誹謗、攻擊謾罵等名譽權糾紛日益增多,多媒體和軟件下載、網絡瀏覽等互聯網應用使知識產權遭到嚴重侵害。
二、當前的信息安全形勢
當前,我國國民經濟和社會發展進入新的曆史時期,新的信息技術不斷湧現,信息技術應用進一步深化,信息化對經濟和社會發展的推動作用更加明顯。與此同時,信息安全形勢也體現出新的特點:
一是網絡空間中滲透與反滲透、控製與反控製、竊密與反竊密的鬥爭日趨激烈,爭奪網絡空間主導權和絕對優勢的競爭白熱化。西方發達國家紛紛調整國家信息安全戰略,有的國家甚至將信息安全能力與核能力相提並論。一些國家大力發展網絡戰部隊,信息戰陰霾密布。信息安全成為國際競爭的製高點,為國與國之間的關係帶來新的製約。經過艱苦努力,包括中國、美國、俄羅斯等國在內的共計15個國家於今年7月達成協議,對國際信息安全問題作出一致聲明,並提請聯合國出台規範網絡行為的準則。
二是經濟和社會發展對信息網絡的依賴性越來越強,信息安全的極端重要性進一步突出。中國互聯網絡信息中心(CNNIC)今年6月份的最新統計報告表明,目前我國上網人數已經達到4.2億人,手機網民規模達2.77億。2009年,中國電子商務交易額超過3.6萬億元人民幣,預計今年將超過4萬億元,網絡購物金額則將超過4000億元。在應對國際金融危機中,cq9电子平台國家充分利用現代信息技術對傳統產業進行升級改造,兩化融合成為十大振興規劃的重要動力。在後金融危機時代,“兩化”融合也將是引領全球經濟發展的一個製高點。信息安全保障能力作為我國兩化融合戰略的關鍵,是今後經濟持續發展的重要保證。
三是我國因缺少核心和關鍵技術、自主可控能力不強而導致的風險進一步增大。我國核心技術和互聯網基礎資源匱乏,重要的核心信息技術和產品、服務嚴重依賴國外,使信息安全不掌握在自己手上。在今年的兩院院士大會上,胡錦濤總書記指出,要改變我國信息資源行業分隔、核心技術受製於人的局麵,促進信息共享,保障信息安全。
四是新技術、新應用的發展,為信息安全不斷提出新的課題。雲計算、物聯網是當前的技術熱點和技術趨勢,但由此產生的安全問題不容忽視。雲計算使產生和獲取計算能力的方式發生了變革,但同時也帶來了數據的安全控製問題;物聯網的前景用途十分廣闊,但這項技術將傳統封閉的工業控製係統同公共網絡連接起來後,互聯網出現的安全問題就有可能延伸到工業控製領域,帶來的安全問題將更加直接,更加突出。國務院已經在今年1月印發了推進三網融合總體方案,試點工作目前已經開始。三網融合對信息安全帶來的挑戰更大。傳統的安全問題依然存在,還有可能因為三網融合而放大;新的安全問題將不斷浮現,有的還遠沒有暴露出現,需要在技術對策和管理對策兩方麵做出創新。
三、我國信息安全保障工作進展
2003年9月,中共中央辦公廳、國務院辦公廳轉發了《國家信息化領導小組關於加強信息安全保障工作的意見》(中辦發〔2003〕27號),提出了我國信息安全保障工作的總體要求、主要原則和主要任務,要求充分發揮各方麵的積極性,共同構築國家信息安全保障體係。
27號文件確定的我國信息安全保障工作的總體要求是,堅持積極防禦、綜合防範的方針,全麵提高信息安全防護能力,重點保障基礎信息網絡和重要信息係統安全,創建安全健康的網絡環境,保障和促進信息化發展,保護公眾利益,維護國家安全。
近年來,根據27號文件的要求,各有關部門抓緊建設國家信息安全保障體係,各項工作取得明顯進展。
一是實行信息安全等級保護。將信息係統安全共分為五個保護級別,根據係統的重要程度,信息係統遭到破壞後的危害程度等因素確定安全等級。不同等級的信息係統,按照國家標準對相應等級係統提出的安全要求進行保護。目前,全國信息係統的定級、備案工作已經完成,正在進行測評和整改。
二是開展信息安全風險評估。這項工作的目的是,要求各個單位,係統地分析網絡與信息係統所麵臨的威脅及其存在的脆弱性,評估潛在安全事件的危害程度,提出有針對性的防護對策和整改措施。我國從抓試點開始,逐步探索組織實施和管理的經驗,目前國家基礎信息網絡和重要信息係統已經普遍推行信息安全風險評估工作。
三是加強密碼技術應用,建設網絡信任體係。密碼是保障信息安全的核心技術,已廣泛應用於經濟、科技、文化和社會生活的各個領域。這項工作要求按照“滿足需求、方便使用、加強管理”的原則,修改完善密碼管理法規,建立健全適應信息化發展需要的密碼管理體製。以身份認證、授權管理、責任認定等為主要內容的網絡信任體係是密碼技術的重要應用,我國近年來大力加強“布局合理、安全可控、經濟適用、運行有序”網絡信任體係建設,其中一項進展是已經批準30家電子認證機構。
四是高度重視應急處理工作。在信息安全事件不可能完全杜絕的情況下,信息安全應急處理發揮著重要的作用,是信息安全防護體係中的重要一環。有關部門先後發布了《關於做好重要信息係統災難備份工作的通知》、《重要信息係統災難恢複指南》等政策規範。國家網絡與信息安全信息通報中心已經建立,近年來不斷完善通報機製、會商研判機製和技術支持體係。2008年,國務院辦公廳印發了《國家網絡與信息安全事件應急預案》,各地區、各部門已經認真落實。
五是加強技術研發,推進產業發展。信息安全產業構成了國家信息安全保障體係的物質基礎和技術支撐。近年來,我國通過實施信息安全專題863計劃和973計劃等科研項目,加強了對信息安全關鍵技術的研究,攻克了一批信息安全重大技術難題。為進一步規範信息安全產品測評認證,為產業創造良好的市場環境,2004年10月,國家認監委、公安部、國家安全部、原信息產業部、國家保密局、原國家密碼管理委員會辦公室、國家質檢總局和原國務院信息化工作辦公室聯合發布了《關於建立國家信息安全產品認證認可體係的通知》,要求建立國家信息安全產品認證認可體係。
六是加強法製建設和標準化建設。麵對信息化迅速推進過程中出現的一些新問題、新情況,各地區、各部門正在清理、調整和修訂現有信息安全法律、行政法規和部門規章。2009年2月,《刑法》修正案(七)對打擊網絡犯罪的條款進行了更新,最高人民法院、最高人民檢察院出台了相關的司法解釋。《保守國家秘密法》已修訂完成發布,今年10月1日起執行。為建立綜合性的信息安全法律框架,《信息安全法》的起草工作正在抓緊進行。為加強信息安全標準化建設,我國在2002年成立了全國信息安全標準化技術委員會,抓緊製定了一批急需的信息安全管理和技術標準,逐步建立與國際標準相銜接的中國信息安全標準體係。今年我國又新發布18項信息安全國家標準,名為虎符的TePA技術在國際標準化組織獲得全票通過後正式成為國際標準。
七是加快人才培養,增強全民意識。教育部印發了《關於進一步加強信息安全學科、專業建設和人才培養工作的意見》,從加強信息安全學科體係研究、信息安全碩士點和博士點建設、穩定信息安全本科專業設置、促進交叉學科專業探索多樣化培養模式新機製、建立信息安全繼續教育製度等十個方麵提出了指導性的意見。2007年2月,教育部組建了教育部高等學校信息安全類專業教學指導委員會。
八是加強政府信息安全工作。工業和信息化部每年開展政府信息係統安全檢查活動。為提高政府部門互聯網接入安全性,工業和信息化部實施了政府部門互聯網安全接入試點工程,逐步整合政府部門互聯網接入,減少政府部門互聯網接入口數量。
四、信息安全認證認可是國家信息安全保障基礎性工作
2003年9月,國務院發布了《認證認可條例》。這一條例對認證做出了定義:認證是指由認證機構證明產品、服務、管理體係符合相關技術規範、相關技術規範的強製性要求或者標準的合格評定活動;認可則是指由認可機構對認證機構、檢查機構、實驗室以及從事評審、審核等認證活動人員的能力和執業資格,予以承認的合格評定活動。
認證認可起源於質量控製,最初是質量管理的基礎手段,現在已經成為我國市場經條件下一項基礎性製度安排,已有18部法律、15部行政法規及多部部門規章明確規定利用認證認可手段,為經濟活動提供技術評價。建立認證認可製度,將政府的很多社會管理手段由行政許可方式改為認證認可方式,發揮第三方認證機構的作用,體現了進一步轉變政府職能、改進管理方式、提高行政效率的行政管理體製改革的精神。經過國家認監委和各有關部門的共同努力,我國已建立了包含法律約束、行政監管、認可約束、行業自律、社會監督等五位一體的認證認可監管體製。
目前,信息安全領域有越來越多的技術評價活動都采用認證認可製度,這已經成為一種國際趨勢。在國家信息安全戰略框架中,也納入了信息安全認證認可製度。
信息安全認證認可的主要作用體現在以下四個方麵:
(1)信息安全認證認可為信息係統安全提供了基礎保障。安全可靠的產品和服務是信息係統安全性的基礎,是信息係統的第一道安全防線。信息安全管理體係認證和信息係統安全認證則提供了信息係統安全狀況的客觀證據,認證結果是信息係統安全運行的重要保障。此外,“人”是信息係統安全的最重要因素,信息安全人員認證認可提高了信息係統中各類相關人員的專業技能和道德水準。
(2)信息安全認證認可是規範和促進產業發展的重要手段。信息安全認證認可有助於淘汰劣質產品和服務,促進企業技術進步,也有助於為政府監管提供技術依據。
(3)統一的信息安全認證認可體係是滿足我國信息安全需求的有效途徑。由於曆史的原因,我國一直以來有多種信息安全產品評價或許可製度共存,重複檢測和認證的問題較為突出。為此,我國確立了建立統一的國家信息安全產品認證認可體係的原則和目標。
(4)認證認可通過推動自主標準的實施,促進了自主可控的信息安全保障體係建設。
五、信息安全認證認可工作的成績和今後的發展戰略
根據《認證認可條例》定義,認證的對象分為三類:產品、服務和管理體係。在信息安全領域,目前針對這三類對象的認證活動在我國都已開展,即信息安全產品認證、信息安全服務認證和信息安全管理體係認證。此外,對人員和係統的信息安全人員認證、信息係統安全認證也在國內外有著很多實踐。
2009年4月,國家質檢總局、財政部和國家認監委發布了《關於調整信息安全產品強製性認證實施要求的公告》,宣布將信息安全產品認證的實施時間延至2010年5月1日,在政府采購法規定的範圍內強製實施。目前,中國信息安全認證中心已經發布國家信息安全產品認證證書100餘張。
為了探索信息安全服務認證工作規律,國家認監委明確中國信息安全認證中心是作為開展信息安全服務資質認證業務的試點單位。2008年,中國信息安全認證中心在國家計算機網絡應急技術處理協調中心(CNCERT) 已經實施的應急服務支撐單位授權工作的基礎上,依據YD/T 1799-2008《網絡與信息安全應急處理服務資質評估方法》,開展了信息安全應急處理服務資質的認證工作,目前頒發證書36張。2010年初,中國信息安全認證中心啟動了信息安全風險評估服務資質認證工作,目前已頒發20張認證證書。
2009年9月,國家認監委發布了第47號公告《關於正式開展信息安全管理體係認證工作的公告》,宣布信息安全管理體係認證工作由試點轉入正式開展階段,並開始受理信息安全管理體係認證機構的申請。信息安全管理體係認證過程會涉及到被認證單位的大量敏感信息,為控製信息安全管理體係認證中的安全風險,2010年8月,工業和信息化部、質檢總局、人民銀行、國資委、國家保密局、認監委聯合印發了《關於加強信息安全管理體係認證安全管理的通知》,提出了五項明確意見。
2009年12月28日,“信息安全認證認可發展戰略報告會”在北京舉行。會議專題討論了《信息安全認證認可發展戰略研究報告》。報告提出今後我國信息安全認證認可戰略發展的重點任務包括:一是繼續完善信息安全認證認可製度設計,著力解決信息安全認證認可製度與我國信息安全管理的其他製度之間的銜接問題,通過政策引導,加強認證結果的采信。二是推進政策法規環境建設,針對信息安全認證中出現的新情況適時修訂有關政策法規,不斷擴展認證認可的業務範圍,積極推進信息安全管理體係(ISMS)認證的國際互認工作。三是強化信息安全認證市場監管,嚴格限製信息安全認證機構的準入,並大力加強對信息安全認證活動中安全風險的監管。四是加強信息安全認證認可的基礎建設,繼續加強我國信息安全標準規範的製訂工作,加大對信息安全認證認可的科研投入,加強檢測技術的研究與開發,加強認證機構和實驗室建設。
(作者係中國信息安全認證中心主任)
