信息安全的重要性,不仅仅体现在国家安全层面,还与公共利益以及公民个人权益息息相关。
在后金融危机时代,信息化与工业化融合也将是引领全球经济发展的一个制高点。信息安全保障能力作为我国两化融合战略的关键,是今后经济持续发展的重要保证。
我国核心技术和互联网基础资源匮乏,重要的核心信息技术和产品、服务严重依赖国外,使信息安全不掌握在自己手上。
信息安全认证认可为信息系统安全提供基础保障,规范和促进产业发展,是满足我国信息安全需求的有效途径,通过推动自主标准的实施,促进了自主可控的信息安全保障体系建设。
文/ 魏昊
信息化是加快实现工业化和现代化的必然选择,党的“十七大”报告提出,要大力推进信息化与工业化融合。随着信息化的发展,信息安全的重要性日益突出,大力加强信息安全保障体系建设已经成为国家信息化战略乃至经济和社会发展的重大任务。这其中,信息安全认证发挥着重要作用。
一、信息安全是国家经济与社会发展的重大主题
20世纪90年代以来,信息技术不断创新,信息产业持续发展,信息网络广泛普及,信息化成为全球经济社会发展的显著特征,并逐步向一场全方位的社会变革演进。进入21世纪,信息化对经济社会发展的影响更加深刻。广泛应用、高度渗透的信息技术正孕育着新的重大突破。信息资源日益成为重要生产要素、无形资产和社会财富。信息网络更加普及并日趋融合。信息化与经济全球化相互交织,推动着全球产业分工深化和经济结构调整,重塑着全球经济竞争格局。互联网加剧了各种思想文化的相互激荡,成为信息传播和知识扩散的新载体。电子政务在提高行政效率、改善政府效能、扩大民主参与等方面的作用日益显著。信息化使现代战争形态发生重大变化,是世界新军事变革的核心内容。
信息技术在国民经济和社会发展各个领域的广泛渗透,使网络与信息系统安全问题不仅关系到信息化的健康发展,还全方位影响到国家的政治安全、经济安全和文化安全。当前,网络窃密活动呈多发态势,信息网络已经成为窃密和反窃密的主战场;西方一些国家和敌对势力将互联网作为对我国进行意识形态渗透的重要渠道,试图利用互联网实施对我西化、分化的战略图谋;通信、金融、交通、能源等关系到国计民生的关键基础设施的运行已经全面依赖网络与信息系统,一旦出现信息安全问题,这些基础设施的故障或瘫痪将严重影响经济发展,甚至引发社会混乱;随着工业化和信息化融合战略的实施,信息安全已经成为工业生产安全的关键要素;信息化发展大大促进了文化产业发展,网络文化产业已成为中国文化产业的重要组成部分,外来文化通过互联网和数字内容产品的普及在我国占据了很大市场,在丰富人们文化生活的同时,也带来了严重的文化入侵风险。党的十六届四中全会上,明确将信息安全作为国家安全的重要组成部分,要求“增强国家安全意识,完善国家安全战略”,并确保“国家的政治安全、经济安全、文化安全和信息安全”。
信息安全的重要性,不仅仅体现在国家安全层面,还与公共利益以及公民个人权益息息相关。信息时代,传统犯罪活动借助网络得到了更大的活动空间,网络诈骗、网络赌博、网络传销、网上销售违禁物品、网络传播淫秽色情等网络违法犯罪活动纷纷出现,相比传统犯罪而言,其危害面更广,犯罪行为更加难以追踪。网络攻击与病毒传播日益增多,危害性不断增高,特别是近年来发生的网络攻击普遍表现出了趋利性和定向性的明显趋势,极大打击了用户对在线电子商务等互联网应用的信心,企业的商业秘密、知识产权和用户的敏感信息面临严重威胁。垃圾邮件成为信息社会的一大顽疾,在全球范围内泛滥成灾,屡禁不止。以推销商品、金融诈骗以及造谣生事、地下串联等为内容的各类短信继垃圾邮件之后迅速上升,对公民日常生活、经济利益乃至公共秩序、社会稳定带来极大影响。公民隐私权在信息社会受到巨大冲击,网络造谣诽谤、攻击谩骂等名誉权纠纷日益增多,多媒体和软件下载、网络浏览等互联网应用使知识产权遭到严重侵害。
二、当前的信息安全形势
当前,我国国民经济和社会发展进入新的历史时期,新的信息技术不断涌现,信息技术应用进一步深化,信息化对经济和社会发展的推动作用更加明显。与此同时,信息安全形势也体现出新的特点:
一是网络空间中渗透与反渗透、控制与反控制、窃密与反窃密的斗争日趋激烈,争夺网络空间主导权和绝对优势的竞争白热化。西方发达国家纷纷调整国家信息安全战略,有的国家甚至将信息安全能力与核能力相提并论。一些国家大力发展网络战部队,信息战阴霾密布。信息安全成为国际竞争的制高点,为国与国之间的关系带来新的制约。经过艰苦努力,包括中国、美国、俄罗斯等国在内的共计15个国家于今年7月达成协议,对国际信息安全问题作出一致声明,并提请联合国出台规范网络行为的准则。
二是经济和社会发展对信息网络的依赖性越来越强,信息安全的极端重要性进一步突出。中国互联网络信息中心(CNNIC)今年6月份的最新统计报告表明,目前我国上网人数已经达到4.2亿人,手机网民规模达2.77亿。2009年,中国电子商务交易额超过3.6万亿元人民币,预计今年将超过4万亿元,网络购物金额则将超过4000亿元。在应对国际金融危机中,我们国家充分利用现代信息技术对传统产业进行升级改造,两化融合成为十大振兴规划的重要动力。在后金融危机时代,“两化”融合也将是引领全球经济发展的一个制高点。信息安全保障能力作为我国两化融合战略的关键,是今后经济持续发展的重要保证。
三是我国因缺少核心和关键技术、自主可控能力不强而导致的风险进一步增大。我国核心技术和互联网基础资源匮乏,重要的核心信息技术和产品、服务严重依赖国外,使信息安全不掌握在自己手上。在今年的两院院士大会上,胡锦涛总书记指出,要改变我国信息资源行业分隔、核心技术受制于人的局面,促进信息共享,保障信息安全。
四是新技术、新应用的发展,为信息安全不断提出新的课题。云计算、物联网是当前的技术热点和技术趋势,但由此产生的安全问题不容忽视。云计算使产生和获取计算能力的方式发生了变革,但同时也带来了数据的安全控制问题;物联网的前景用途十分广阔,但这项技术将传统封闭的工业控制系统同公共网络连接起来后,互联网出现的安全问题就有可能延伸到工业控制领域,带来的安全问题将更加直接,更加突出。国务院已经在今年1月印发了推进三网融合总体方案,试点工作目前已经开始。三网融合对信息安全带来的挑战更大。传统的安全问题依然存在,还有可能因为三网融合而放大;新的安全问题将不断浮现,有的还远没有暴露出现,需要在技术对策和管理对策两方面做出创新。
三、我国信息安全保障工作进展
2003年9月,中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出了我国信息安全保障工作的总体要求、主要原则和主要任务,要求充分发挥各方面的积极性,共同构筑国家信息安全保障体系。
27号文件确定的我国信息安全保障工作的总体要求是,坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
近年来,根据27号文件的要求,各有关部门抓紧建设国家信息安全保障体系,各项工作取得明显进展。
一是实行信息安全等级保护。将信息系统安全共分为五个保护级别,根据系统的重要程度,信息系统遭到破坏后的危害程度等因素确定安全等级。不同等级的信息系统,按照国家标准对相应等级系统提出的安全要求进行保护。目前,全国信息系统的定级、备案工作已经完成,正在进行测评和整改。
二是开展信息安全风险评估。这项工作的目的是,要求各个单位,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估潜在安全事件的危害程度,提出有针对性的防护对策和整改措施。我国从抓试点开始,逐步探索组织实施和管理的经验,目前国家基础信息网络和重要信息系统已经普遍推行信息安全风险评估工作。
三是加强密码技术应用,建设网络信任体系。密码是保障信息安全的核心技术,已广泛应用于经济、科技、文化和社会生活的各个领域。这项工作要求按照“满足需求、方便使用、加强管理”的原则,修改完善密码管理法规,建立健全适应信息化发展需要的密码管理体制。以身份认证、授权管理、责任认定等为主要内容的网络信任体系是密码技术的重要应用,我国近年来大力加强“布局合理、安全可控、经济适用、运行有序”网络信任体系建设,其中一项进展是已经批准30家电子认证机构。
四是高度重视应急处理工作。在信息安全事件不可能完全杜绝的情况下,信息安全应急处理发挥着重要的作用,是信息安全防护体系中的重要一环。有关部门先后发布了《关于做好重要信息系统灾难备份工作的通知》、《重要信息系统灾难恢复指南》等政策规范。国家网络与信息安全信息通报中心已经建立,近年来不断完善通报机制、会商研判机制和技术支持体系。2008年,国务院办公厅印发了《国家网络与信息安全事件应急预案》,各地区、各部门已经认真落实。
五是加强技术研发,推进产业发展。信息安全产业构成了国家信息安全保障体系的物质基础和技术支撑。近年来,我国通过实施信息安全专题863计划和973计划等科研项目,加强了对信息安全关键技术的研究,攻克了一批信息安全重大技术难题。为进一步规范信息安全产品测评认证,为产业创造良好的市场环境,2004年10月,国家认监委、公安部、国家安全部、原信息产业部、国家保密局、原国家密码管理委员会办公室、国家质检总局和原国务院信息化工作办公室联合发布了《关于建立国家信息安全产品认证认可体系的通知》,要求建立国家信息安全产品认证认可体系。
六是加强法制建设和标准化建设。面对信息化迅速推进过程中出现的一些新问题、新情况,各地区、各部门正在清理、调整和修订现有信息安全法律、行政法规和部门规章。2009年2月,《刑法》修正案(七)对打击网络犯罪的条款进行了更新,最高人民法院、最高人民检察院出台了相关的司法解释。《保守国家秘密法》已修订完成发布,今年10月1日起执行。为建立综合性的信息安全法律框架,《信息安全法》的起草工作正在抓紧进行。为加强信息安全标准化建设,我国在2002年成立了全国信息安全标准化技术委员会,抓紧制定了一批急需的信息安全管理和技术标准,逐步建立与国际标准相衔接的中国信息安全标准体系。今年我国又新发布18项信息安全国家标准,名为虎符的TePA技术在国际标准化组织获得全票通过后正式成为国际标准。
七是加快人才培养,增强全民意识。教育部印发了《关于进一步加强信息安全学科、专业建设和人才培养工作的意见》,从加强信息安全学科体系研究、信息安全硕士点和博士点建设、稳定信息安全本科专业设置、促进交叉学科专业探索多样化培养模式新机制、建立信息安全继续教育制度等十个方面提出了指导性的意见。2007年2月,教育部组建了教育部高等学校信息安全类专业教学指导委员会。
八是加强政府信息安全工作。工业和信息化部每年开展政府信息系统安全检查活动。为提高政府部门互联网接入安全性,工业和信息化部实施了政府部门互联网安全接入试点工程,逐步整合政府部门互联网接入,减少政府部门互联网接入口数量。
四、信息安全认证认可是国家信息安全保障基础性工作
2003年9月,国务院发布了《认证认可条例》。这一条例对认证做出了定义:认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动;认可则是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格,予以承认的合格评定活动。
认证认可起源于质量控制,最初是质量管理的基础手段,现在已经成为我国市场经条件下一项基础性制度安排,已有18部法律、15部行政法规及多部部门规章明确规定利用认证认可手段,为经济活动提供技术评价。建立认证认可制度,将政府的很多社会管理手段由行政许可方式改为认证认可方式,发挥第三方认证机构的作用,体现了进一步转变政府职能、改进管理方式、提高行政效率的行政管理体制改革的精神。经过国家认监委和各有关部门的共同努力,我国已建立了包含法律约束、行政监管、认可约束、行业自律、社会监督等五位一体的认证认可监管体制。
目前,信息安全领域有越来越多的技术评价活动都采用认证认可制度,这已经成为一种国际趋势。在国家信息安全战略框架中,也纳入了信息安全认证认可制度。
信息安全认证认可的主要作用体现在以下四个方面:
(1)信息安全认证认可为信息系统安全提供了基础保障。安全可靠的产品和服务是信息系统安全性的基础,是信息系统的第一道安全防线。信息安全管理体系认证和信息系统安全认证则提供了信息系统安全状况的客观证据,认证结果是信息系统安全运行的重要保障。此外,“人”是信息系统安全的最重要因素,信息安全人员认证认可提高了信息系统中各类相关人员的专业技能和道德水准。
(2)信息安全认证认可是规范和促进产业发展的重要手段。信息安全认证认可有助于淘汰劣质产品和服务,促进企业技术进步,也有助于为政府监管提供技术依据。
(3)统一的信息安全认证认可体系是满足我国信息安全需求的有效途径。由于历史的原因,我国一直以来有多种信息安全产品评价或许可制度共存,重复检测和认证的问题较为突出。为此,我国确立了建立统一的国家信息安全产品认证认可体系的原则和目标。
(4)认证认可通过推动自主标准的实施,促进了自主可控的信息安全保障体系建设。
五、信息安全认证认可工作的成绩和今后的发展战略
根据《认证认可条例》定义,认证的对象分为三类:产品、服务和管理体系。在信息安全领域,目前针对这三类对象的认证活动在我国都已开展,即信息安全产品认证、信息安全服务认证和信息安全管理体系认证。此外,对人员和系统的信息安全人员认证、信息系统安全认证也在国内外有着很多实践。
2009年4月,国家质检总局、财政部和国家认监委发布了《关于调整信息安全产品强制性认证实施要求的公告》,宣布将信息安全产品认证的实施时间延至2010年5月1日,在政府采购法规定的范围内强制实施。目前,中国信息安全认证中心已经发布国家信息安全产品认证证书100余张。
为了探索信息安全服务认证工作规律,国家认监委明确中国信息安全认证中心是作为开展信息安全服务资质认证业务的试点单位。2008年,中国信息安全认证中心在国家计算机网络应急技术处理协调中心(CNCERT) 已经实施的应急服务支撑单位授权工作的基础上,依据YD/T 1799-2008《网络与信息安全应急处理服务资质评估方法》,开展了信息安全应急处理服务资质的认证工作,目前颁发证书36张。2010年初,中国信息安全认证中心启动了信息安全风险评估服务资质认证工作,目前已颁发20张认证证书。
2009年9月,国家认监委发布了第47号公告《关于正式开展信息安全管理体系认证工作的公告》,宣布信息安全管理体系认证工作由试点转入正式开展阶段,并开始受理信息安全管理体系认证机构的申请。信息安全管理体系认证过程会涉及到被认证单位的大量敏感信息,为控制信息安全管理体系认证中的安全风险,2010年8月,工业和信息化部、质检总局、人民银行、国资委、国家保密局、认监委联合印发了《关于加强信息安全管理体系认证安全管理的通知》,提出了五项明确意见。
2009年12月28日,“信息安全认证认可发展战略报告会”在北京举行。会议专题讨论了《信息安全认证认可发展战略研究报告》。报告提出今后我国信息安全认证认可战略发展的重点任务包括:一是继续完善信息安全认证认可制度设计,着力解决信息安全认证认可制度与我国信息安全管理的其他制度之间的衔接问题,通过政策引导,加强认证结果的采信。二是推进政策法规环境建设,针对信息安全认证中出现的新情况适时修订有关政策法规,不断扩展认证认可的业务范围,积极推进信息安全管理体系(ISMS)认证的国际互认工作。三是强化信息安全认证市场监管,严格限制信息安全认证机构的准入,并大力加强对信息安全认证活动中安全风险的监管。四是加强信息安全认证认可的基础建设,继续加强我国信息安全标准规范的制订工作,加大对信息安全认证认可的科研投入,加强检测技术的研究与开发,加强认证机构和实验室建设。
(作者系中国信息安全认证中心主任)