1.引言 90年代中期以来,随着信息技术突飞猛进的发展,特别是Internet的迅猛发展和美国政府率先推动的建设全球信息高速公路,使各国的信息化进程急剧加快。我国的信息化热潮也随之日益高涨,有关电子政务、电子商务乃至电子军务的讨论日益热烈。信息技术和网络空间,给社会的经济、科技、文化、教育和管理的各个方面都注入了新的活力。人们在享受信息化带来的众多好处的同时,也面临着日益突出的信息安全与保密的问题。比如:在网络环境中,国家秘密和商业秘密的保护,特别是政府上网后对涉密信息和敏感信息的保护,网上各种行为者的身份确认与权责利的确认,高度网络化的各种业务(商务、政务等)信息系统运行的正常和不被破坏,网络银行、电子商务中的支付与结算的准确真实和金融机构数据保护与管理系统的不被欺诈,都将成为国家主权、政治、经济、安全和社会稳定的焦点。为了有效地解决这些问题,信息安全产业就应运而生了。由于信息技术固有的敏感性和特殊性,信息产品是否安全,专用的信息安全产品以及由这些产品构成的网络系统是否可靠,都成为国家、企业、社会各方面需要科学证实的问题。为此各国政府纷纷采取颁布标准,以测评和认证等方式,对信息安全产品的研制、生产、销售、使用和进出口实行严格管理。美国将信息安全列为其国家安全的重要内容之一,由美国国家安全局NSA在美国国家标准技术局的支持下,负责信息安全产品的测评认证工作。西方国家正纷纷效法,使信息安全的测评认证成为信息化进程中的一个重要领域,受到各界的广泛关注。 2.什么是测评认证 1)测评认证的概念
测评认证是现代质量认证制度的重要内容,其实质是由一个中立的权威机构,通过科学、规范、公正的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进的标准。
具体言之,测评认证的对象是产品或过程、服务;它的依据是国家标准、行业标准或认证机构确认的技术规范;它的方法是对产品进行抽样测试检验和对供方的质量保证能力即质量体系进行检查评审,以及事后定期监督;它的性质是由具有检验技术能力和政府授权认证资格的权威机构,按照严格程序进行的科学公正的评价活动;它的表示方式是颁发认证证书和认证标志。
测评认证制度在国际上已有近100年的历史,目前全球已有80多个国家建立了测评认证制度。我国是从80年代初开始推行质量认证制度的。从80年代初的"标准化法"到90年代的"中华人民共和国产品质量认证管理条例"和"质量法",已形成了较为完备的法律、法规框架和与之配套的管理规范。越来越多的企业积极主动地参加认证活动,社会各界也开始重视产品和服务的品牌,逐步通过认证来指导自己的消费行为,并将质量与权益紧密结合起来。认证活动,作为国家和社会对产品进行质量监督与技术控制的有效方式,已越来越被社会各方面所认识、所接受。
2)安全性认证的概念
随着信息产品、信息安全产品和信息系统的增多,面对越来越多的向社会提供专门的信息安全服务,包括安全技术开发、产品经营和系统集成的公司、企业,如何让消费者、管理者乃至国家确信它们是"安全的",这就需要一个高度专业化、具有专门技术手段和能力的权威机构,通过科学公正和有效手段对它们作安全性测评认证。于是,信息安全认证成为信息化时代国家测评认证工作的新领域。
由于信息安全直接涉及国家利益、安全和主权,各国政府对信息产品、信息系统安全性的测评认证要比对其他产品更为严格。首先,在市场准入上,发达国家为严格进出口控制,通过颁布有关法律、法规和技术标准,推行安全认证制度,以控制国外进口产品和国内出口产品的安全性能。其次,对国内使用的产品,实行强制性认证,凡未通过强制性认证的安全产品一律不得出厂、销售和使用。第三,对信息技术和信息安全技术中的核心技术,由政府直接控制,如密码技术和密码产品,多数发达国家都严加控制,即使政府允许出口的密码产品,其关键技术仍然控制在政府手中。第四,在国家信息安全各主管部门的支持和指导下,由标准化和质量技术监督主管部门授权,并且依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。 3)信息安全测评认证的重要性
就我国而言,如何吸取国外测评认证的先进经验,采用国外信息安全管理的通行办法,建立起我国的信息安全测评认证制度和实施体系,就成为我国信息化发展的当务之急。信息安全测评认证体系的建立和运行,对我国国家信息化的各个方面都具有十分现实的意义。首先,对我国按国际惯例建立和实施有关信息产品、信息安全产品的市场准入制度、技术管理和信息系统运行控制制度等方面的决策,提供科学公正的技术依据。其次,对各方用户采购信息安全产品,设计、建设、使用和管理安全的信息系统提供权威公正的专业指导;第三,对信息安全产品的研究、开发、生产企业和提供其他信息安全服务的企业,进行严格规范与科学引导,提高其市场竞争能力和技术进步水平。
3.测评认证的标准与规范 1)标准的作用
标准是技术性法规,作为一种依据和尺度,没有标准就没有测评认证。在信息安全这一特殊高技术领域,没有标准,国家有关的立法、执法就会因缺乏相应的技术尺度而失之偏颇,最终会给国家信息安全的管理带来严重后果。比如,对信息安全产品的生产、销售管理,对产品的市场准入管理,对信息安全产品采购政策的制订,对社会各类信息系统(网络)的安全管理,对电子网络违法犯罪行为的司法管理等等,无一不依据相应标准。 2)国外测评认证标准
有一个有关信息技术安全性评价的标准于八十年代诞生在美国,这就是著名的"可信计算机系统评价准?quot;,即TCSEC又称桔皮书,由美国国防部制订。该准则对计算机操作系统的安全性规定了不同的等级。随着网络与数据库的出现和应用,人们对安全性的要求不再局限于保密性,有时甚至主要要求完整性和可用性,从九十年代初开始,一些国家和国际组织相继提出了新的安全评价准则。1991年,经法国、德国、挪威和英国联合努力,由欧洲共同体发布了"信息技术安全评价准则"(ITSEC);1993年,加拿大发布"加拿大可信计算机产品评价准则"(CTCPEC),该准则综合了前两个准则。同年,美国对TCSEC作了补充和修改,也吸纳了ITSEC的优点,发表了"信息技术安全性评价联邦准?quot;(FC)。1993年6月,上述有关国家经协商同意起草单一的通用准则(CC)并将其推进到国际标准。1996年发表了CC的第一版本。1998年5月发表第二版,CC的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全性评价准则,国家与国家之间可以通过签订互认协议,决定相互接受的认可级别,这样就能使大部分的基础性安全机制,在任何一个地方通过了CC准则评价并得到许可进入国际市场时,不需要再作评价,使用国只需要测试与国家主权和安全相关的安全功能,从而大幅度节省评价支出并迅速推向市场。但是,由于信息安全产品和系统的安全性评价,事关国家主权和安全利益,通常,任何国家不会轻易相信由别的国家所作的评价结果,为保险起见,总要通过自己的测试才认为可靠。因此没有一个国家会把事关国家安全利益的信息安全产品和系统的安全可信性建立在别人的评价基础上。而是在充分借鉴国际标准的前提下,制订自己的测评认证标准。
此外,国际标准化组织和国际电工委员会自90年代初以来已制订上百项安全标准,其中还专门制订了银行操作和规程方面的信息安全标准。国际电信联盟和欧洲计算机制造商协会也推出了部分安全标准。
在信息安全标准的体系性、详尽性和先进性各方面都走在前面的是美国。美国国家安全局、美国国家标准技术局、美国联邦政府、美国国防俊⒚拦?涛癫康龋?疾欢贤瞥鲎约旱氖视帽曜肌U庑┍曜迹??旧献笥伊巳?蛐畔?踩?际醯淖呦颉?/p> 3)国内测评认证标准
我国信息安全标准化工作,虽然起步较晚,但是近10年来发展较快,在国家质量技术监督局领导下,全国信息化标准委员会及其下属的信息安全分技术委员会在制订我国信息安全标准方面做了大量的工作,国标、国军标、行业标准对信息安全领域均有涉及。为适应我国信息化的迅猛发展,1997年国务院又拔出专款设立标准攻关项目,应急制订了分组过滤防火墙标准;防火墙系统安全技术要求;应用网关防火墙标准;网关安全技术要求;网络代理服务器和信息选择平台安全标准;鉴别机制标准;数字签名机制标准;安全电子交易标准第1部分;抗抵赖机制;网络安全服务标准;信息系统安全评价准则及测试规范;安全电子数据交换标准;安全电子商务标准第1部分;密钥管理框架;路由器安全技术要求;信息技术-n位块密码算法的操作方式;信息技术-开放系统互连-上层安全模型;信息技术-开放系统互连-网络层安全协议;信息技术-安全技术-实体鉴别第4部分:使用加密校验函数的机制等标准,它们成为我国信息安全测评认证的基础。
随着我国信息安全测评认证制度的建立与推进,以及我国信息安全有关主管部门管理力度的加大,我国信息安全标准化工作将迎来更大的发展机遇。目前,信息系统安全性评价准则及测试规范;商用密码产品安全技术要求;信息安全服务评估准则;信息安全工程质量管理要求等标准即将出台。在国家质量技术监督局的领导和支持下,国家信息安全标准体系的框架已初步形成,将在该框架内以政府主管部门推动,产业界参与的模式,按急用先上的原则逐步推出我国信息安全技术发展和管理应用急需的相关标准。如:交换机安全技术要求、PBX安全技术要求、电子商务产品安全测评规范、电子商务认证中心(CA)安全评估要求等。 4.测评认证工作体系 1)体系
信息安全测评认证体系,由三个层次的组织和功能构成,第一层次是国家信息安全测评认证管理委员会。这个管理委员会是一个跨部门的机构。代表国家有关信息产业和信息安全主管部门以及信息安全产品的供方、需方,对中国国家信息安全测评认证中心运作的独立性、测评认证活动的公正性、科学性和规范性进行监督管理。其主要职责是:制订、修订有关认证实施的方针、政策性文件;审批中国国家信息安全测评认证中心工作规划;审查拟开展认证产品目录并报经国务院产品质量监督行政主管部门批准实施;审批因现行标准不能满足认证需要时由认证中心设定的有关技术规范和补充技术要求;审批测评认证中心的外部检验机构和审核机构以及批准认证证书的撤消,受理有关投诉、申诉等。第二层次是国家信息安全测评认证中心。中心是由国家授权,依据有关标准和认证规范,根据特定的产品和信息系统的测试审核及评估结果,对相应产品,信息系统的安全性作出认证,并颁发证书的实体。第三层是若干个产品或信息系统的测评分支机构(实验室、分中心等),测评分支机构是经中心授权,国家认可,依据标准和测评规范,对有关产品和信息系统的安全性进行测试评估,向中心出具测评报告的技术组织。测评分支机构按不同区域、行业和技术专业设立。一个认证管理委员会,一个认证中心,若干个不同类型的测评分支机构共同构成国家信息安全测评认证的工作体系。 2)中国国家信息安全测评认证中心
1997年初,经国务院信息化工作领导小组批准,国务院信息化工作领导小组办公室立项筹建"中国互联网络安全产品测评认证中心"。1998年7月,中心建成并通过国家验收。邹家华副总经理专门发来贺信。1998年10月,经国家质量技术监督局授权,成立"中国国家信息安全测评认证中心"。再经过4个月的评审、整改和复查,通过"中国产品质量认证机构国家认可委员会"和"中国实验室国家认可委员会"的认可。1999年2月,国家质量技术监督局批准了中国国家信息安全测评认证管理委员会的组成及其章程,批准了信息产品安全测评认证管理办法、首批认证目录和国家信息安全认证标志。自此,中国国家信息安全测评认证中心可正式对外开展信息安全测评认证工作。
中国国家信息安全测评认证中心(CNISTEC)是依据《中华人民共和国产品质量法》、《中华人民共和国产品质量认证管理条例》和国家有关信息安全管理的政策、法律、法规,按照国际通用准则建立的代表国家对信息安全产品、信息技术和信息系统安全性以及信息安全服务实施公正性评价的技术职能机构。
CNISTEC按照国家质量技术监督局发布的认证产品目录,依据有关标准和规范开展国家信息安全测评认证。中国国家信息安全测评认证中心对外开展四种认证业务:
产品型式认证:对认证申请者送达的样品进行型式试验(测试评估),若符合标准要求,即予认证。获取证书后,认证中心再从市场和或工厂(车间)抽样,对其进行瞬槭匝榧醇喽郊煅椋?艏煅楹细窦次?秩现ぃ?裨蛉∠?现ぁ?br> 产品认证:对认证申请者送达的样品进行型式试验(测试评估),同时对申请者的质量体系(即质量保证能力)进行检验、评审。这两方面都符合有关标准要求,则予以认证。获取证书后,认证中心再从市场和/或工厂(车间)抽样进行核查试验,即监督检验,同时对其质量体系进行监督性复查,若两方面都合格,即维持认证,否则取消认证。
信息系统安全认证:对认证申请者的信息系统设计方案和安全设计方案进行静态评估,对构成信息系统的物理网络及其有关产品进行认证(由产品生产商另行申请)、对信息系统的运行和服务进行实际测试评估,对信息系统的管理和保障体系进行评估验证。上述四方面若均符合有关标准和规范要求,则予以认证。获得认证后,对上述四方面进行监督检验、监督检查,若监督检验、检查合格,则维持认证,否则取消认证。
信息安全服务认证:对认证申请者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,对其质量体系进行评审,若符合有关标准、规范,则予以认证,否则取消认证。
中国国家信息安全测评认证中心具有两方面的服务功能。一方面面向社会,面向产业和市场,对有关厂商和用户提供技术服务;另一方面,则是面向国家,为信息安全各主管部门进行有关行政管理、执法时提供技术支持。经过半年多的运行,中国国家信息安全测评认证中心已在测试环境、测试设备、重要标准和基本测试方法、评估方法和专业人才培养等方面,基本形成了测评认证的能力,并有成效地开展了对外服务,下一步的工作重点,则是稳妥地推进相关测试分支机构的建设,更加主动地为业界服务,为信息安全各主管部门服务,全力推进我国的信息安全标准体系的建立和健全,深入地研究总结信息安全测试技术,为国家进一步完善对信息安全的行政管理和技术管理作出应有的努力。
信息安全是一个涉及各方面利害关系甚深的敏感问题,大家都越来越强烈地关注这一问题,我们相信,按照国际惯例,我国的信息安全测评认证,经一段时间的运作,相应产品进入流通领域时将逐步实施强制性监督管理:即,不通过认证不得销售和使用。从而把国家信息安全综合管理中的质量监督、技术控制和产品市场准入、用户采购使用等方面,更科学的规范起来。 |