信息安全认证擦亮照妖镜
——质量技术手段提升信息安全水平系列报道之一
编者按
最近曝光的携程网“漏洞门”事件,尤其是斯诺登揭发的“棱镜计划”,让世界各国的人们绷紧了网络信息安全的神经。今年2月,中央网络安全和信息化领导小组成立,显示信息安全已经在我国上升为国家战略。在国家信息安全保障体系中,有一支特殊的队伍,他们通过一系列质量技术手段,比如,实施信息安全认证、建立和完善信息安全标准、加强和推进信息安全质量管理等,创新提高了我国的信息安全保障能力。认证如何提升信息安全水平?标准又如何扎紧信息安全“篱笆”?信息企业如何加强信息安全管理?本报今日起推出“质量技术手段提升信息安全水平系列报道”,对这些话题进行深入探讨。
一阵键盘声响,一串重要信息便出现在他们的屏幕上。无论是公众的电邮、图片、视频、即时消息,还是他国的关键数据,只要他们想猎取,就能获得。这就是“棱镜计划”。斯诺登曝光了“棱镜”,花样百出的其他“棱镜”们依然潜伏着。他们借助后门,瞄准漏洞,控制信息设备,窃取核心数据,瘫痪业务系统,用鼠标和键盘悄悄地向他国和公众的信息安全发起挑战。
“棱镜”们来势汹汹,网络信息安全形势严峻,这让防范“棱镜”的照妖镜——信息安全认证需求日益迫切。中国信息安全认证中心主任魏昊说:“没有合格的信息安全产品和服务,就没有信息系统的安全性。信息安全认证为信息系统提供了信心保证。”
提升国家对信息安全的信心
“棱镜门”事件之所以令全球舆论惶恐和哗然,在于网络空间风险给一个国家的利益和安全带来实质性挑战。“斯诺登事件”之后,世界各国也纷纷陷入由此引发的思考之中,一些国家竞相掀起新一轮网络安全保卫战,切实加强本国网络空间安全。
信息安全认证专家甘杰夫博士认为,“棱镜门”事件暴露出的关键问题是,当一个国家的关键信息技术为国外所垄断,国家关键基础设施的核心控制系统大量从国外采购时,境外势力极易通过刻意布置的隐蔽通道,或者利用提供信息技术服务的便利,神不知鬼不觉地窃取重要情报信息,也极易放置由其主动触发的破坏指令。
由于在核心电子器件、高端通用芯片及基础软件产品方面与发达国家有较大差距,我国信息化建设所需关键技术设备国产化程度低,包括电信、金融、电力、铁路等在内的国家关键基础设施,其核心控制系统中约50%以上设备均从国外采购。国家基础网络和重要信息系统的这种先天不足,已成为我国信息安全的重大隐患。
为了降低系统或网络安全风险,提高综合防范水平,世界各国都把信息安全认证作为国家信息安全保障体系的一项基础性工作,由政府机构代表国家实施。我国于2006年11月专门成立信息安全认证机构——中国信息安全认证中心,隶属质检总局。
作为有效防止信息安全威胁的重要手段,信息安全认证在我国得到了党中央和国务院的高度重视,“完善信息安全认证认可体系”已陆续写入《国民经济和社会发展第十二个五年规划纲要》、《质量发展纲要(2011~2020年)》和国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》。十八届三中全会提出要“健全公共安全体系”、“确保国家网络和信息安全”。今年2月,中央网络安全信息化领导小组成立,在顶层设计中为信息安全认证的加速发展创造了环境条件。
据统计,截至今年2月底,中国信息安全认证中心共颁发信息安全产品认证证书418张,被政府采购活动采信。中国工程院院士何德全评价说:“中国信息安全认证中心作为一个认证机构,按照相关标准和技术规范对产品、服务、管理体系开展合格评定活动,是一个非常重要的工作,是信息安全保障体系当中不可缺少的而且非常重要的一个组成部分。”
但由于多重原因,我国信息安全产品认证的实施范围目前还仅限于13种信息安全产品,这成为制约其充分发挥基础保障作用的重要因素。
中国信息安全中心质量管理者代表亓明和提出,未来应该排除国外干扰,加强内部协调,进一步发挥信息安全认证在国家关键基础设施、重要信息系统中的作用,填补关键、基础性信息技术产品和服务信息安全管理空白。
提升社会大众对信息安全的信心
根据中国互联网信息中心(CNNIC)的调查数据,仅2013年上半年,就有74.1%的网民遭遇信息安全问题,总人数达4.38亿,其中8.8%的人遭受经济损失,因信息安全问题造成的经济损失总数达196.3亿元,加强信息安全认证、促进公众消费刻不容缓。
谈到认证对社会公众信息消费的重要意义时,中国工程院院士沈昌祥说,国内外信息安全的理论和实践表明,信息安全标准和认证既是保护信息安全、规范市场秩序的需要,也是广大用户采购信息安全产品和服务,维护信息安全系统的需要。
除信息安全产品认证外,中国信息安全认证中心还开展了信息安全管理体系认证、信息安全服务资质认证、信息安全保障从业人员认证等。几类认证互为补充,并与其他管理制度有效结合,构筑起了保卫信息安全的重要屏障。
中国信达资产管理股份有限公司获得了中国信息安全认证中心颁发的第一张信息安全管理体系认证证书。该公司信息技术部总经理缴远说:“通过认证审核后,信息管理的安全性和可靠性显著提升,赢得了客户和监管机构的信任。”
截至今年3月底,中国信息安全认证中心颁发的信息安全管理体系有效证书已达232张,客户覆盖金融、证券、电力、通信、民航、能源、质检等基础和重要信息系统。
如今,在电力、金融、民航领域,中国信息安全认证中心信息安全管理体系认证颁证量占80%以上,基本确立了中国信息安全认证中心开展的信息安全管理体系认证在我国基础网络和重要信息系统中的主导地位,成功打破外资机构的垄断地位,有效降低了境外机构在对国内重要企业实施信息安全管理体系认证过程中带来的信息安全风险,树立起了体系认证的中国权威品牌。