致力信息安全认证强国梦
随着信息技术在我国经济社会发展中的广泛应用,信息安全已经成为涉及国家安全、经济安全和社会稳定的重大战略问题。2006年11月17日,中国信息安全认证中心(ISCCC)在北京隆重成立。
“来之不易,轻视不得”——国家质检总局局长支树平曾用8个字概括这一“信息安全保障新锐”的组建历程及信息安全认证工作的重要性。
“来之不易”——组建信息安全认证机构涉及众多相关部门,这中间既有统一认识的过程,也有管理格局调整的过程,从酝酿到成立历时5年。
“轻视不得”——信息安全认证是保障信息安全的基础性工作,特别是在我国信息技术与产业核心竞争力还不强,关键技术、关键设备还受制于人的情况下,信息安全认证工作在维护整个国家信息安全的链条中处于举足轻重的地位。
肩负使命以诞生,怀抱志向而成长。十年来,中国信息安全认证中心顺应我国信息安全保障科学化、规范化、制度化之迫切需要,以保障国家信息安全为己任,以打造一流的信息安全认证机构为目标,从零起步,砥砺前行,奏响了一曲勇担信息安全卫士的激扬乐章,展示了奋力追逐信息认证强国梦的精彩历程。
十年筑梦,这是我国统一的信息安全认证体系从起步到成熟的关键十年。
让制度“立起来”
随着信息时代的到来,网络信息技术成为全球研发投入最集中、创新最活跃、应用最广泛、辐射带动作用最大的技术创新领域和竞争高地,代表着新的生产力和新的发展方向。
但是,从维金蠕虫泛滥引发企业用户网络瘫痪,到熊猫烧香导致病毒狂潮,从大规模信息泄露,到棱镜门计划曝光……近年来,层出不穷的安全事件以及云计算、大数据、移动互联网等新技术新应用带来的安全问题,给国家网络安全带来威胁,成为困扰和限制行业、产业发展的屏障,同时也成为信息安全认证发展的直接现实需求。
建立完善的信息安全认证认可体系,是进入信息化时代后主权国家捍卫自身安全的重要屏障,也是维护自身利益的主要手段。美国从上世纪80年代就开始了信息安全评估标准制定工作,经过30多年的实践,已形成一套比较完整的信息安全检测与认证体系。英国、德国、法国等国随后也建立起了各自的国家信息安全检测与认证体系。从国际实践看,推行信息安全产品认证及管理服务认证无疑是保障信息安全普遍和可行的做法。
反观我国,“十五”期间有关部门虽然分别实施了一些与信息安全有关的评价制度,取得了一些积极的成效。但由于这些评价制度存在多重管理和标准不一致等问题,影响了我国信息安全产业的健康与快速发展,产业界对此反映强烈,呼吁建立统一的评价制度。
2006年11月17日,中国信息安全认证中心在北京组建,这标志着我国统一的信息安全认证认可体系迈出了实质步伐。但启动建立统一的信息安全产品认证制度谈何容易。从国内环境看,既需要整合评价制度又需要调整管理方式,而且社会上普遍对信息安全认证的认识不足。从国际环境看,一些国家为保持他们在IT领域的领先地位不受任何威胁,从产业、贸易等层面表达了对我方的强烈关注和质疑。制度建立和推行一开始就遭遇了很大的阻力。
挑战更检验强者的成色。为了推动这项制度的建立,信安中心从成立伊始便开始了艰苦的攻坚。“白加黑,5+2”成了信安人对那段时间最深刻的记忆——笔者在中心采访时不止一个人提到了这个场景。信安中心坚定道路自信、理论自信、制度自信,坚持统筹规划,在2008年至2009年间组织起草了百万字的技术文件;上下奔走,与相关部委进行了紧密沟通;配合认监委与外方进行了数十次会谈、视频对话及邮件沟通。在国务院领导的关心和协调下,在国家质检总局、国家认监委的不懈推动下,信息安全产品认证制度几经反复,终于发布实施,为保障我国信息安全又筑起了一道坚实的制度屏障。截至目前,各类产品认证证书颁证量已突破1000张大关,一举进入世界前列,成为信息安全产品认证大国。
十年来,从积极争取承担政策研究和制度设计工作,到积极推动中欧、中俄双边信息安全互认机制的建立,再到多次通过参事提案、政协提案、院士提议等多种渠道为信息安全认证建言献策……信安中心克服重重困难,全力支撑国家质检总局和国家认监委落实中央和国务院的要求,配合相关部委推动国家信息安全产品认证制度在政府采购领域的强制实施,实现了“发挥作用、规范服务、严格把关、降低收费”的制度目标,使信息安全认证认可在国家网络安全保障工作中占据重要位置。
“经过这十年发展,算是真正‘立起来了’,最根本的一点是,国家统一的信息安全认证制度立住脚了。”信安中心主任魏昊在接受采访时欣慰地说。
建立健全认证体系
信息安全保障涉及多个环节,不仅仅是国家信息安全产品的采购准入,而且还有管理环节的信息安全管理体系认证、资质审查环节的信息安全服务认证、人员能力评价环节的信息安全保障人员认证。针对国家和社会需求,信安中心在推动国家信息安全产品认证的同时,以满足国家网络安全重大需求、顺应社会需要为导向,既遵循国际通行规则,又兼顾网络安全领域的特殊敏感性,创新建立了产品认证、体系认证、服务认证、人员认证“四大业务”体系,涵盖了网络安全认证服务的所有门类。
有个日子至今让信安人记忆犹新。2007年11月1日,一个寒冷的冬日。体系认证处工程师景育明只身南下赴深圳,去参加在那里举办的深圳证券交易所信息安全管理体系认证项目竞标。他的行程牵动了中心全体员工的心,因为此行他将代表信安中心在招标会上与外资认证机构同台竞争,这是对信安中心实力的一次公开的检验!一天后消息传来:中国信息安全认证中心中标!员工们欢呼雀跃,庆祝来之不易的胜利。
而今,中心体系认证客户已覆盖银行、邮政、证券、电信、资产管理、计算机服务、软件、电力、热力生产和供应、信息传输服务等十大重要领域,颁发证书近600张,在国家重要信息基础设施中的占有量更达到85%以上,大大减少了由于境外认证引入的安全风险,塑造了权威认证品牌。
从2008年开始,信安中心针对社会需求,按照分级分类原则,启动了服务资质认证。这既是业务创新,也是制度创新。依据国内现有信息安全标准或行业技术规范,中心从完善技术文件着手,率先开展了应急处理服务资质认证。2008年7月8日,中心为北京启明星辰信息安全技术有限公司等企业颁发信息安全应急处理服务资质认证证书,满足了启明星辰等公司进入北京奥运会提供网络安全服务的资质要求。目前信息安全服务资质认证已扩展到风险评估、灾难备份、安全集成、软件开发、安全运维等领域,颁发证书近700张,塑造了权威服务认证品牌,并成为政府机构及企业采购招标的重要条件。
信息安全从业人员的信息安全意识和专业技能是决定信息安全防护水平的关键因素,对此西方国家都建立了信息安全人员认证制度,并不遗余力推动。在我国,由于国家政策要求和各机构加强自身安全保障的双重驱动,这一需求尤其强烈。信安中心急企业之所急,创新开展了信息安全保障人员认证,目前已涵盖安全集成、安全管理、风险管理、安全运维、软件安全开发、电子政务安全、CA认证等16个专业方向,颁发证书5000余张,较好地满足了社会需求,为我国信息安全保障事业的发展交上了一份满意的答卷。
补齐信息安全检测短板
信息安全认证高度依赖检测技术,加强信息安全技术研发,着力提高核心竞争力是信息安全认证中心主动开辟的又一战场。
与国外相比,国内检测技术方面的短板还是比较明显的。具体表现为“三缺”:一是对某些关键产品和服务,因缺少基于度量理论的评价指标体系和标准,或缺少检测所需的技术和方法等,存在“评价不了”的问题;二是因缺乏一致性溯源,检测结果不确定度未知,存在“评价不准”的问题;三是因缺乏对关键产品和服务整体质量风险的监测技术手段,难以评估认证有效性,存在“评价效果不明”的问题。同时由于信息安全的敏感性,检测技术的国际交流十分困难,没有现成的经验可以借鉴。信安中心紧密跟踪国内外最新政策和技术发展动态,坚持自主创新并持续发力,筹建了国家信息安全基准实验室和国家信息安全产品质量监督检验中心,于2015年正式获批,其能力建设水平被专家评定为“国际先进、国内领先”。基准实验室、国家质检中心的建成及投入使用,填补了国内外信息安全检测领域结果质量控制、溯源体系的空白。2015年质检中心首次承担了网闸产品的质量监督抽查工作,2016年又首次承担了无线路由器、移动支付终端(软件)2种重点工业产品信息安全风险监测任务,首次将国家产品质量监督手段引入到了网络安全领域,进一步强化了质检对国家网络安全保障的支撑作用。
十年间,信安中心申请并承担了国家863计划、“十二五”科技支撑计划、国家发改委信息安全专项等24项重大课题,产出了一批重要成果,制定发布了29项国家、行业标准,获得软件著作权9项;持续开展基准样机、检测工具、基准库指标管理系统、基准检测方法等技术研究,不断完善和提升技术实力,检测能力覆盖率超过85%,为国家信息安全保障工作提供了强有力支撑。
当前,网络安全成为热点话题,政府关注,企业重视,群众关心。而“十三五”期间,信息安全认证对象、认证模式、检测认证手段等都将面临着变革和发展的严峻考验。
11月7日,我国发布了《网络安全法》,从法律层面进一步的明确了检测认证工作在网络安全领域的重要作用,这对信息安全认证的推广和采信将带来前所未有的机遇,也将带来新的发展动力。
“来吧,让我们踏上圆梦之路;
共同建设一个,
信息安全的中国,
质量过硬的中国,
诚信和谐的中国,
美丽富强的中国!”
——在质检总局“放飞中国梦,诗话质检情”诗歌朗诵会上,信安人曾这样抒发他们的情怀。而今随着《网络安全法》的发布,这份信心与决心将更加坚定,步履也将更加铿锵有力。
“下一步,我们将围绕网络强国、质量强国、‘互联网+’等国家战略,着眼国家和社会的网络安全实际需要,以全面提高信息安全保障服务能力为中心,以改革和创新为动力,坚持‘抓质量,保安全、促发展、强质检’工作方针,在供给和需求两端发力,一方面加强信息安全认证供给侧改革,不断优化认证制度供给、不断完善认证业务体系,不断提高认证服务质量;另一方面引导和满足市场对认证服务的需求,提高信息安全认证的质量和有效性,努力使认证认可制度成为落实国家网络空间安全战略的重要手段,为保障国家安全、促进产业发展发挥重要作用。”魏昊主任踌躇满志地表达了对未来的期许。
来源:中国质量报