信息安全认证艰辛路
- 来源:计算机世界 smarty:if $article.tag?>
- 关键字: smarty:/if?>
- 发布时间:2009-08-31 16:31
信息安全认证标准如同中国的其他标准一样,经历了“友邦惊诧”、“无奈缓行”、“变相实施”、“前途未仆”等曲折艰辛的发展历程。中国标准千转百回的发展之路,带给我们怎样的思考和启发?
日前,一家澳大利亚力拓公司驻上海办事处的四名业务人员因涉嫌窃取中国国家秘密而被拘捕。四人在中外进出口铁矿石谈判期间,因为信息泄密,给中国钢铁行业带来高达7000多亿元的经济损失。这为中国的企业信息化敲响了警钟,也使网络安全、信息安全再次被提到一个很高的战略层面。
信息安全产品和技术是保障信息安全的重要支撑。随着信息产业的快速发展和信息化进程的逐步深入,信息安全问题成为了全球共同关注的焦点。在信息安全领域,采取统一认证机制来保障信息系统安全是各国的通用做法。我国对信息安全产品和信息网络安全实施统一的监管监控措施,也提到了日程上来。
今年4月27日,由国家质量监督检验检疫总局、中华人民共和国财政部、中华人民共和国认证认可监督管理委员会联合发布了《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)。
公告中,将国家质量监督检验检疫总局、国家认证认可监督管理委员会《关于部分信息安全产品实施强制性认证的公告》(2008年第7号)中涉及的信息安全产品强制性认证的强制实施时间延至2010年5月1日,并仅在政府采购法规定的范围内强制实施。认证产品范围包括防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复等13种产品。目前,信息安全产品的认证受理工作已经开始。
据记者了解,《关于部分信息安全产品实施强制性认证的公告》在2008年1月就已发布,在时隔一年多之后,又联合国家财政部发布调整公告,不仅延后了原公告的执行时间,更将信息安全产品认证的强制实施限定在了政府采购法规定的范围内。在世界范围内将信息安全的重要性上升到国家战略层面的今天,为了确保信息安全产品质量、保障国家信息安全,国家对信息安全产品以及信息网络系统的安全,实施了很多行政许可和认证的监管措施。但事实上,中国的信息安全认证之路走得十分艰辛。
“友邦惊诧”混淆视听
2008年1月底,《关于部分信息安全产品实施强制性认证的公告》正式发布了。根据这一公告要求,从2009年5月1日开始,凡列入强制认证目录内的13类信息安全产品,未获得强制性产品认证证书和未加施中国强制认证标志的,不得出厂、销售、进口或在其他经营活动中使用。
一石激起千层浪,无数外国媒体的报道扑面而来,国际相关标准组织和产业协会也蜂拥而至,令国家相关部门面临非常被动的局面。
一些美国主流媒体在报道中描述,“中国政府计划要求外国信息产业公司向中国有关部门报批对中国出口的信息安全技术产品。这个拟议中的新政策明显是出于国家安全和扶持国内信息技术产业两方面的考量。”一位美国的智库战略与国际研究中心(CSIS)的研究员甚至认为,这个动机除包含一部分贸易考虑外,还包含一部分商业间谍成分,也包括中国政府希望在信息技术市场上扶持中国本土公司的计划,他还指出,“中国的第二个动机不那么合理”。日本《读卖新闻》则称:“这种制度可能存在把外国企业的知识产权提供给在中国竞争对手的风险。”“如果中国政府不放弃,那将可能发展成为严重的国际贸易争端。”
因此,2008年9月,在美中商贸联委会会议上,美国官员对这项政策提出了质疑。一位美国驻中国使馆的发言人说,美国认为中国计划实施的这项新规定“和中国的贸易承诺不相符”。
对这些质疑,国内各相关部门不得不反复解释、澄清,中国的做法是为了保护国家安全和推进信息技术产业。
国外媒体也借机恶意炒作,歪曲事实,抹黑我国政府的管理制度。一位从事信息安全认证多年的老专家向记者说,当时在相关的国外新闻中,大量充斥着不实报道。
记者发现,例如在一篇《日本经济新闻》仅几百字的稿件中,就至少存在以下几处失实:将“13种强制性认证产品的目录”,写为“13条防范电脑病毒的强制认定标准”;无中生有地写出“13条规定中包括基础软件”;“如果要取得认证可能要求企业公布软件设计图的源代码”等,纯属捏造。
这些报道不仅混淆视听,还严重歪曲了中国正在建立的信息安全产品强制性认证制度。
面对“友邦惊诧”和含混不清的言辞,中国则不厌其烦地反复沟通交流,并作出解释。随后,国家推迟了认证制度的实施时间。
在2008年7号公告中明确的实施强制性认证的13种信息安全产品,只是众多IT产品中极小的一部分,都是专用的信息安全产品,根本不涉及这些国外媒体报道中提到的数码家用电器、数码复印机、平板电视等产品。
按照中国的法律、法规以及认可规范的要求,认证机构和实验室都必须承担为客户保密的责任,在对信息安全产品实施认证和检测时根据不同安全等级的需要已制定了相应的安全保密措施。申请认证的技术资料仅严格用于实施认证和检测,不会被用于其他目的。
而在这13种产品中,只有智能卡COS产品在认证检测时,需要厂家提供与安全功能有关的部分源代码,还有就是6种含有密码模块的产品需提交与密码实现和使用有关的部分源代码,而非全部源代码,其余的产品申请在认证时没有任何关于提供源代码的要求。值得注意的是,即便是国际上通行的CC(信息技术安全性通用评估准则)认证,在检测智能卡COS时也同样的要求提供与安全功能有关的源代码。至于密码模块检测要求提供源代码,早在美国政府发布的标准FIPS140-1(后为FIPS140-2所取代)当中,就提出了更为严格的要求,即申请方必须提供带注释的源代码。中国有句古话,“己所不欲,勿施于人”,美国政府和产业协会居然反对中国的产品认证制度关于密码模块检测需要提供源代码的同样要求。这难道是美国人健忘或仅仅是“灯下黑”可以解释的吗?
我国正在建立的信息安全产品强制性认证制度,是为了解决中国信息安全产品测评领域存在的重复检测、重复发证等问题,维护国家安全、公众利益和公民权益、理顺管理体制、规范市场、促进产业发展而实施的一项重要管理措施,既符合中国国情,也符合WTO/TBT协议原则。
事实上,国外媒体的真实意图,是通过不准确的信息造舆论,对中国的自主创新施加压力。某位不愿透露姓名的中国标准化资深专家这样告诉记者。
这令人联想起当年的WAPI。WAPI经历了从无人问津到众人追捧、无限期延迟到现在有望重新进入国际标准投票流程的跌宕命运。这峰回路转中,关于技术、标准和市场层面的反思,十分值得现在的中国信息安全产品认证思考。
无奈的缓行
在国际舆论中,“贸易壁垒、保护国内信息技术产业、商业间谍”等关键词,似乎已经是常见“罪名”,每当中国推出自主创新的标准和相关政策,必然重复上演这些“国际贸易卫道士”的老旧桥段。而我国也往往只能被动地采取“延期执行”、“政府采购”等应对办法。
2003年,国家认证认可监督管理委员会发布2003年第113号公告,自2004年6月1日起,对无线局域网产品实施强制性认证,但也在美国的强烈抗议下被迫搁浅。
这些政策都被国外一些研究中心解读为“中国政府最近几年为保护国内信息产业而采取的一些类似措施,体现出中国信息技术行业发展不均衡的现状。”
这次,《关于部分信息安全产品实施强制性认证的公告》也不例外。
事实上,在美国,CC认证在政府采购领域也是强制性的,并从2002年7月1日开始强制执行。据专家介绍,在美国,如果信息安全产品是用于涉及国家秘密信息系统,还规定了必须由美国国防部下属的国家安全局来进行检测,要求的严格程度非常高。但是,美国却以此为由反对中国实施强制性的统一认证。
经过了一年多与国内外各方的反复磋商,加之考虑到全球金融危机的大形势,国内相关部门最终决定调整实施,在原方案基础上提出了一个新的调整方案。新方案在范围上做出了重大调整,只在政府采购法的规定范围内强制实施;同时调整了实施时间,将时间推迟一年。
而最令人担心的,就是明年5月1日,调整后的强制认证能否顺利实施。
2009年4月,国家认监委发布了《关于信息安全产品强制性认证指定认证机构和实验室业务范围的公告》(2009年第25号),明确了实施信息安全产品强制性认证的指定认证机构及首批7家指定实验室及其业务范围。
目前,已经有几十款产品向相关机构申请了认证。接下来的一年内,相关实施机构还需要完成大量的基础性工作,包括进一步完善统一的技术规范、认证实施流程、制度宣贯、为财政部建立政府采购目录提供协助、协调、推进发布各部委相关工作衔接流程等。这些工作都要加紧,这样才能把这一制度落到实处。
另一方面,我们并没有见到外国媒体所期望的跨国信息技术公司对这项制度的反对。中国是世界上最大的信息技术产品市场之一,这个庞大市场对于跨国信息技术公司来说具有极大的吸引力。据美联社的数据表明,在目前中国的信息安全技术市场上,外国公司大约占据了70.5%的份额。
事实上,微软、思科、Sun等公司并未就这件事表态,而芯片制造商英特尔表示愿意遵守中国法律法规,IBM公司发言人则表示该公司出口中国的产品并不会受到新规定影响。现在,每天都有许多跨国公司向有关机构询问认证制度的具体实施细节和要求。就WAPI产品强制认证而言,记者也从中国信息安全认证中心网站上得悉,到目前为止,申请认证的国外企业还相对多一点,尤其2007年以前,日本企业的获证数量远高于国内企业。
别人的“方便”和自己的“隐患”
目前,国内信息安全认证的发展之所以会如此艰难,除了国内产业环境还不完全成熟的客观条件外,更主要的阻力来自于国外的反对,他们的目的很明显,要求中国加入到他们主导的CCRA协定中,并以此打压中国自主标准的创新能力。
那么,这个CCRA到底是一种什么样的协定?会给这些国家带来哪些“方便”呢?
目前,在国际上,有美国、英国、法国等26个国家共同签署的基于所谓通用准则(CC)的互认协议(CCRA),他们一直要求中国也加入到CC互认的阵营中来。通用准则已经成为了国际标准,也被转换成为了我国的标准。CCRA虽然有值得我国标准的参考和借鉴之处,但也有许多不适应我国国情的地方。
“中国加入CCRA,对他们最直接的一个好处就是国外的很多企业的上千种产品进入中国市场,就不用按照中国的标准再进行任何检测认证了。而按照该协议的条款,在中国国内认证过的产品必须在两年的准备期之后,才有可能直接进入相关成员国家!”有关人士分析说,在他人的“方便”下,会为自己引发一系列安全隐患。
一位信息安全产业内非常资深的人士告诉记者,特别是在目前的政府采购中,笔记本电脑、手机、数码相机、路由器、交换机等高端通信设备,基本上国外的产品比较多。因此,在政府的采购领域,信息安全产品进行强制性认证是非常必要的。
“说到安全隐患,广泛采购的多功能一体机就是一个典型例子。” 这位人士告诉记者。这种多功能一体机集扫描仪、传真机、打印机和复印机于一身,既可以扫描纸质文件和照片,又可以复印和打印文件,还可以直接将电子文档通过传真发给对方。有些设备还同时具备电话、电子邮件等功能。由于多功能一体机自带CPU、存储器、显示设备、输入输出设备,集成了信息的采集、处理和传输等功能,其本质已经相当于一台计算机。因此,与普通计算机一样,多功能一体机存在漏洞和后门等安全隐患,尤其在敏感信息处理过程中,存在信息被无意泄露或被恶意窃取的可能。尽管部分厂商宣称其产品使用了身份认证、加密(存储加密、传输加密)、清除残留信息等措施来提高安全性,但对于有专业知识且有恶意企图的人来说,仍然可以利用多功能一体机窃取敏感信息。“如果我们加入了CCRA,这些国外产品将可以规避我国的信息安全检测评估,所带来的安全风险与隐患不可低估。”
因此,对于是否加入CCRA无论是强制性认证还是自愿性认证,中国目前都还需要认真研究、分析。西方貌似先进和强大的东西并不都是好的!美国次贷危机引发的金融风暴就是一个很好的教训。
尤其在信息安全领域,无论从产业发展角度还是行业管理角度,中国都不应该完全放弃自主的技术标准,完全去追随国际标准。这将对我国信息安全产品和技术的自主创新极为不利。因此,中国目前并没有申请加入CCRA。
那么,在建立中国自主的信息安全产品认证体系过程中,我们应该做些什么。“我们不能跟着西方的指挥棒走,要坚持自主标准,建立属于自己的信息安全产品统一认证体系。”有关人士说。
评论:
谁为信息安全“把关”
本报记者 王臻
相比十年前,尽管国内信息安全认证的环境有明显发展,但直到目前,我国在信息安全产品认证方面还没有完全统一的认证标准和体系,强制性认证更加步履艰难。因此,信息安全认证还肩负着更多使命。
在北京东边的一片闹市,中国信息安全认证中心安静地在不起眼的中认大厦中运营。自1998年以来,由“中国信息安全产品测评认证中心”承担我国信息安全测评与认证工作。2004年,国家质检总局等八部委联合发布了《关于建立国家信息安全认证认可体系的通知》,其中要求实行信息安全产品测评和认证职能分离。2006年“中国信息安全认证中心”成立后,原“中国信息安全产品测评认证中心”将信息安全产品的认证工作移交给了新成立的“中国信息安全认证中心”,随后,“中国信息安全产品测评认证中心”更名为“中国信息安全测评中心”。
对信息安全产品以及信息网络的安全实施统一的、必要的认证和监管措施势在必行,因为这对确保信息安全产品质量以及保障国家信息安全至关重要。
特别是在政府的采购领域,政府的信息安全需要通过认证来把关和保障。虽然不能保证通过检测认证的产品就绝对对安全,但至少可以肯定的是,不符合中国标准的产品质量是绝对的不合格或不安全的。
实际上,政府采购法所规定的范围和政府采购的范围有很大区别。政府采购法的适用范围是“各级国家机关、事业单位和团体组织,使用财政性资金采购依法制定的集中采购目录以内的或者采购限额标准以上的货物、工程和服务的行为。”
依法设防很有必要,但法规很难给产品贴上安全等级的标签,因为同样的产品,放在不同的环境中,其安全性要求也有所不同。因此,在不同场合和使用环境中,标准要求是有特殊性的。以前的检测认证以及现在的标准符合性检测认证,是对产品质量可靠性信心的保证,但也并非万无一失。
在《关于调整信息安全产品强制性认证实施要求的公告》中,我国已经确定了13类安全产品需要进行强制性认证。而在讨论确定这13类产品及其认证实施规则时,来自各个部委的相关部门有很多不同意见,并为此没少争论。例如产品目录如何确定,每一种产品应依据怎样的标准,产品的定义,如何检测、送样、认证单元如何划分等,经过多方的努力,最终形成了13种产品的认证实施规则和统一的申请书、检测报告模板等。这些加起来竟一共1600多页,约65万字。正是因为完成了这么多基础性的工作,才有可能把这个制度真正落到实处。
虽然目前已初步统一了例如检测的标准要求、检测的标准环境、检测方法、检测项目、收费、证书等,日后还将规范到检测工具、人员的培训、考试和技术交流等方面。但信息技术在发展,检测技术也在发展,因此标准也要发展,要完全规范统一,依然任重道远。尽管有了一定的工作基础,但很多实施工作还有待进一步统一和规范。
链接一:
中国强制认证“堵漏查缺”
国家规定,对于国家实行强制认证的产品,必须经过“中国强制认证”(China Compulsory Certification),即“CCC”认证。凡列入强制性产品认证目录内的产品,必须经国家指定的认证机构认证合格,取得相关证书并加施认证标志后,才能出厂销售、进口和在经营性活动中使用。同时,这个CCC认证也是世界上通行的强制认证惯例。
因此,在CCC认证的基础上,信息安全产品强制性认证时,产品检测需经过三个环节:型式试验,初始工厂检查和政府监督。对于第一次申请认证的企业,认证机构要到工厂生产线上现场检查,对产品拍照。在认证发证后的半年至一年内,到市场上和用户处抽检。
根据一位多年从事信息安全认证的老专家介绍,根据中国国情,刚开始,相关的认证部门在型式试验中以抽样为主,请企业自己从生产线上送两台样机来。因为信息安全产业比较小,新技术和新产品还是以样机为主。但也有一些企业试图利用这个规定钻空子。
比如,一些企业为了在产品说明上列举更多的测试项和更好的测试结果,将最高配置的产品送来检测认证,却在上市的时候将低配置产品拿来销售。这种方式在过去的检测标准下,屡禁不止。对此,相关的认证部门加强了现场审查和检测,以保障产品是按照企业规范和既定说明书生产的。这样规范了企业的一些欺诈行为。对一些安全级别较高的产品,其生产线和开发场所的开发环境也进行检测。
……
日前,一家澳大利亚力拓公司驻上海办事处的四名业务人员因涉嫌窃取中国国家秘密而被拘捕。四人在中外进出口铁矿石谈判期间,因为信息泄密,给中国钢铁行业带来高达7000多亿元的经济损失。这为中国的企业信息化敲响了警钟,也使网络安全、信息安全再次被提到一个很高的战略层面。
信息安全产品和技术是保障信息安全的重要支撑。随着信息产业的快速发展和信息化进程的逐步深入,信息安全问题成为了全球共同关注的焦点。在信息安全领域,采取统一认证机制来保障信息系统安全是各国的通用做法。我国对信息安全产品和信息网络安全实施统一的监管监控措施,也提到了日程上来。
今年4月27日,由国家质量监督检验检疫总局、中华人民共和国财政部、中华人民共和国认证认可监督管理委员会联合发布了《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)。
公告中,将国家质量监督检验检疫总局、国家认证认可监督管理委员会《关于部分信息安全产品实施强制性认证的公告》(2008年第7号)中涉及的信息安全产品强制性认证的强制实施时间延至2010年5月1日,并仅在政府采购法规定的范围内强制实施。认证产品范围包括防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复等13种产品。目前,信息安全产品的认证受理工作已经开始。
据记者了解,《关于部分信息安全产品实施强制性认证的公告》在2008年1月就已发布,在时隔一年多之后,又联合国家财政部发布调整公告,不仅延后了原公告的执行时间,更将信息安全产品认证的强制实施限定在了政府采购法规定的范围内。在世界范围内将信息安全的重要性上升到国家战略层面的今天,为了确保信息安全产品质量、保障国家信息安全,国家对信息安全产品以及信息网络系统的安全,实施了很多行政许可和认证的监管措施。但事实上,中国的信息安全认证之路走得十分艰辛。
“友邦惊诧”混淆视听
2008年1月底,《关于部分信息安全产品实施强制性认证的公告》正式发布了。根据这一公告要求,从2009年5月1日开始,凡列入强制认证目录内的13类信息安全产品,未获得强制性产品认证证书和未加施中国强制认证标志的,不得出厂、销售、进口或在其他经营活动中使用。
一石激起千层浪,无数外国媒体的报道扑面而来,国际相关标准组织和产业协会也蜂拥而至,令国家相关部门面临非常被动的局面。
一些美国主流媒体在报道中描述,“中国政府计划要求外国信息产业公司向中国有关部门报批对中国出口的信息安全技术产品。这个拟议中的新政策明显是出于国家安全和扶持国内信息技术产业两方面的考量。”一位美国的智库战略与国际研究中心(CSIS)的研究员甚至认为,这个动机除包含一部分贸易考虑外,还包含一部分商业间谍成分,也包括中国政府希望在信息技术市场上扶持中国本土公司的计划,他还指出,“中国的第二个动机不那么合理”。日本《读卖新闻》则称:“这种制度可能存在把外国企业的知识产权提供给在中国竞争对手的风险。”“如果中国政府不放弃,那将可能发展成为严重的国际贸易争端。”
因此,2008年9月,在美中商贸联委会会议上,美国官员对这项政策提出了质疑。一位美国驻中国使馆的发言人说,美国认为中国计划实施的这项新规定“和中国的贸易承诺不相符”。
对这些质疑,国内各相关部门不得不反复解释、澄清,中国的做法是为了保护国家安全和推进信息技术产业。
国外媒体也借机恶意炒作,歪曲事实,抹黑我国政府的管理制度。一位从事信息安全认证多年的老专家向记者说,当时在相关的国外新闻中,大量充斥着不实报道。
记者发现,例如在一篇《日本经济新闻》仅几百字的稿件中,就至少存在以下几处失实:将“13种强制性认证产品的目录”,写为“13条防范电脑病毒的强制认定标准”;无中生有地写出“13条规定中包括基础软件”;“如果要取得认证可能要求企业公布软件设计图的源代码”等,纯属捏造。
这些报道不仅混淆视听,还严重歪曲了中国正在建立的信息安全产品强制性认证制度。
面对“友邦惊诧”和含混不清的言辞,中国则不厌其烦地反复沟通交流,并作出解释。随后,国家推迟了认证制度的实施时间。
在2008年7号公告中明确的实施强制性认证的13种信息安全产品,只是众多IT产品中极小的一部分,都是专用的信息安全产品,根本不涉及这些国外媒体报道中提到的数码家用电器、数码复印机、平板电视等产品。
按照中国的法律、法规以及认可规范的要求,认证机构和实验室都必须承担为客户保密的责任,在对信息安全产品实施认证和检测时根据不同安全等级的需要已制定了相应的安全保密措施。申请认证的技术资料仅严格用于实施认证和检测,不会被用于其他目的。
而在这13种产品中,只有智能卡COS产品在认证检测时,需要厂家提供与安全功能有关的部分源代码,还有就是6种含有密码模块的产品需提交与密码实现和使用有关的部分源代码,而非全部源代码,其余的产品申请在认证时没有任何关于提供源代码的要求。值得注意的是,即便是国际上通行的CC(信息技术安全性通用评估准则)认证,在检测智能卡COS时也同样的要求提供与安全功能有关的源代码。至于密码模块检测要求提供源代码,早在美国政府发布的标准FIPS140-1(后为FIPS140-2所取代)当中,就提出了更为严格的要求,即申请方必须提供带注释的源代码。中国有句古话,“己所不欲,勿施于人”,美国政府和产业协会居然反对中国的产品认证制度关于密码模块检测需要提供源代码的同样要求。这难道是美国人健忘或仅仅是“灯下黑”可以解释的吗?
我国正在建立的信息安全产品强制性认证制度,是为了解决中国信息安全产品测评领域存在的重复检测、重复发证等问题,维护国家安全、公众利益和公民权益、理顺管理体制、规范市场、促进产业发展而实施的一项重要管理措施,既符合中国国情,也符合WTO/TBT协议原则。
事实上,国外媒体的真实意图,是通过不准确的信息造舆论,对中国的自主创新施加压力。某位不愿透露姓名的中国标准化资深专家这样告诉记者。
这令人联想起当年的WAPI。WAPI经历了从无人问津到众人追捧、无限期延迟到现在有望重新进入国际标准投票流程的跌宕命运。这峰回路转中,关于技术、标准和市场层面的反思,十分值得现在的中国信息安全产品认证思考。
无奈的缓行
在国际舆论中,“贸易壁垒、保护国内信息技术产业、商业间谍”等关键词,似乎已经是常见“罪名”,每当中国推出自主创新的标准和相关政策,必然重复上演这些“国际贸易卫道士”的老旧桥段。而我国也往往只能被动地采取“延期执行”、“政府采购”等应对办法。
2003年,国家认证认可监督管理委员会发布2003年第113号公告,自2004年6月1日起,对无线局域网产品实施强制性认证,但也在美国的强烈抗议下被迫搁浅。
这些政策都被国外一些研究中心解读为“中国政府最近几年为保护国内信息产业而采取的一些类似措施,体现出中国信息技术行业发展不均衡的现状。”
这次,《关于部分信息安全产品实施强制性认证的公告》也不例外。
事实上,在美国,CC认证在政府采购领域也是强制性的,并从2002年7月1日开始强制执行。据专家介绍,在美国,如果信息安全产品是用于涉及国家秘密信息系统,还规定了必须由美国国防部下属的国家安全局来进行检测,要求的严格程度非常高。但是,美国却以此为由反对中国实施强制性的统一认证。
经过了一年多与国内外各方的反复磋商,加之考虑到全球金融危机的大形势,国内相关部门最终决定调整实施,在原方案基础上提出了一个新的调整方案。新方案在范围上做出了重大调整,只在政府采购法的规定范围内强制实施;同时调整了实施时间,将时间推迟一年。
而最令人担心的,就是明年5月1日,调整后的强制认证能否顺利实施。
2009年4月,国家认监委发布了《关于信息安全产品强制性认证指定认证机构和实验室业务范围的公告》(2009年第25号),明确了实施信息安全产品强制性认证的指定认证机构及首批7家指定实验室及其业务范围。
目前,已经有几十款产品向相关机构申请了认证。接下来的一年内,相关实施机构还需要完成大量的基础性工作,包括进一步完善统一的技术规范、认证实施流程、制度宣贯、为财政部建立政府采购目录提供协助、协调、推进发布各部委相关工作衔接流程等。这些工作都要加紧,这样才能把这一制度落到实处。
另一方面,我们并没有见到外国媒体所期望的跨国信息技术公司对这项制度的反对。中国是世界上最大的信息技术产品市场之一,这个庞大市场对于跨国信息技术公司来说具有极大的吸引力。据美联社的数据表明,在目前中国的信息安全技术市场上,外国公司大约占据了70.5%的份额。
事实上,微软、思科、Sun等公司并未就这件事表态,而芯片制造商英特尔表示愿意遵守中国法律法规,IBM公司发言人则表示该公司出口中国的产品并不会受到新规定影响。现在,每天都有许多跨国公司向有关机构询问认证制度的具体实施细节和要求。就WAPI产品强制认证而言,记者也从中国信息安全认证中心网站上得悉,到目前为止,申请认证的国外企业还相对多一点,尤其2007年以前,日本企业的获证数量远高于国内企业。
别人的“方便”和自己的“隐患”
目前,国内信息安全认证的发展之所以会如此艰难,除了国内产业环境还不完全成熟的客观条件外,更主要的阻力来自于国外的反对,他们的目的很明显,要求中国加入到他们主导的CCRA协定中,并以此打压中国自主标准的创新能力。
那么,这个CCRA到底是一种什么样的协定?会给这些国家带来哪些“方便”呢?
目前,在国际上,有美国、英国、法国等26个国家共同签署的基于所谓通用准则(CC)的互认协议(CCRA),他们一直要求中国也加入到CC互认的阵营中来。通用准则已经成为了国际标准,也被转换成为了我国的标准。CCRA虽然有值得我国标准的参考和借鉴之处,但也有许多不适应我国国情的地方。
“中国加入CCRA,对他们最直接的一个好处就是国外的很多企业的上千种产品进入中国市场,就不用按照中国的标准再进行任何检测认证了。而按照该协议的条款,在中国国内认证过的产品必须在两年的准备期之后,才有可能直接进入相关成员国家!”有关人士分析说,在他人的“方便”下,会为自己引发一系列安全隐患。
一位信息安全产业内非常资深的人士告诉记者,特别是在目前的政府采购中,笔记本电脑、手机、数码相机、路由器、交换机等高端通信设备,基本上国外的产品比较多。因此,在政府的采购领域,信息安全产品进行强制性认证是非常必要的。
“说到安全隐患,广泛采购的多功能一体机就是一个典型例子。” 这位人士告诉记者。这种多功能一体机集扫描仪、传真机、打印机和复印机于一身,既可以扫描纸质文件和照片,又可以复印和打印文件,还可以直接将电子文档通过传真发给对方。有些设备还同时具备电话、电子邮件等功能。由于多功能一体机自带CPU、存储器、显示设备、输入输出设备,集成了信息的采集、处理和传输等功能,其本质已经相当于一台计算机。因此,与普通计算机一样,多功能一体机存在漏洞和后门等安全隐患,尤其在敏感信息处理过程中,存在信息被无意泄露或被恶意窃取的可能。尽管部分厂商宣称其产品使用了身份认证、加密(存储加密、传输加密)、清除残留信息等措施来提高安全性,但对于有专业知识且有恶意企图的人来说,仍然可以利用多功能一体机窃取敏感信息。“如果我们加入了CCRA,这些国外产品将可以规避我国的信息安全检测评估,所带来的安全风险与隐患不可低估。”
因此,对于是否加入CCRA无论是强制性认证还是自愿性认证,中国目前都还需要认真研究、分析。西方貌似先进和强大的东西并不都是好的!美国次贷危机引发的金融风暴就是一个很好的教训。
尤其在信息安全领域,无论从产业发展角度还是行业管理角度,中国都不应该完全放弃自主的技术标准,完全去追随国际标准。这将对我国信息安全产品和技术的自主创新极为不利。因此,中国目前并没有申请加入CCRA。
那么,在建立中国自主的信息安全产品认证体系过程中,我们应该做些什么。“我们不能跟着西方的指挥棒走,要坚持自主标准,建立属于自己的信息安全产品统一认证体系。”有关人士说。
评论:
谁为信息安全“把关”
本报记者 王臻
相比十年前,尽管国内信息安全认证的环境有明显发展,但直到目前,我国在信息安全产品认证方面还没有完全统一的认证标准和体系,强制性认证更加步履艰难。因此,信息安全认证还肩负着更多使命。
在北京东边的一片闹市,中国信息安全认证中心安静地在不起眼的中认大厦中运营。自1998年以来,由“中国信息安全产品测评认证中心”承担我国信息安全测评与认证工作。2004年,国家质检总局等八部委联合发布了《关于建立国家信息安全认证认可体系的通知》,其中要求实行信息安全产品测评和认证职能分离。2006年“中国信息安全认证中心”成立后,原“中国信息安全产品测评认证中心”将信息安全产品的认证工作移交给了新成立的“中国信息安全认证中心”,随后,“中国信息安全产品测评认证中心”更名为“中国信息安全测评中心”。
对信息安全产品以及信息网络的安全实施统一的、必要的认证和监管措施势在必行,因为这对确保信息安全产品质量以及保障国家信息安全至关重要。
特别是在政府的采购领域,政府的信息安全需要通过认证来把关和保障。虽然不能保证通过检测认证的产品就绝对对安全,但至少可以肯定的是,不符合中国标准的产品质量是绝对的不合格或不安全的。
实际上,政府采购法所规定的范围和政府采购的范围有很大区别。政府采购法的适用范围是“各级国家机关、事业单位和团体组织,使用财政性资金采购依法制定的集中采购目录以内的或者采购限额标准以上的货物、工程和服务的行为。”
依法设防很有必要,但法规很难给产品贴上安全等级的标签,因为同样的产品,放在不同的环境中,其安全性要求也有所不同。因此,在不同场合和使用环境中,标准要求是有特殊性的。以前的检测认证以及现在的标准符合性检测认证,是对产品质量可靠性信心的保证,但也并非万无一失。
在《关于调整信息安全产品强制性认证实施要求的公告》中,我国已经确定了13类安全产品需要进行强制性认证。而在讨论确定这13类产品及其认证实施规则时,来自各个部委的相关部门有很多不同意见,并为此没少争论。例如产品目录如何确定,每一种产品应依据怎样的标准,产品的定义,如何检测、送样、认证单元如何划分等,经过多方的努力,最终形成了13种产品的认证实施规则和统一的申请书、检测报告模板等。这些加起来竟一共1600多页,约65万字。正是因为完成了这么多基础性的工作,才有可能把这个制度真正落到实处。
虽然目前已初步统一了例如检测的标准要求、检测的标准环境、检测方法、检测项目、收费、证书等,日后还将规范到检测工具、人员的培训、考试和技术交流等方面。但信息技术在发展,检测技术也在发展,因此标准也要发展,要完全规范统一,依然任重道远。尽管有了一定的工作基础,但很多实施工作还有待进一步统一和规范。
链接一:
中国强制认证“堵漏查缺”
国家规定,对于国家实行强制认证的产品,必须经过“中国强制认证”(China Compulsory Certification),即“CCC”认证。凡列入强制性产品认证目录内的产品,必须经国家指定的认证机构认证合格,取得相关证书并加施认证标志后,才能出厂销售、进口和在经营性活动中使用。同时,这个CCC认证也是世界上通行的强制认证惯例。
因此,在CCC认证的基础上,信息安全产品强制性认证时,产品检测需经过三个环节:型式试验,初始工厂检查和政府监督。对于第一次申请认证的企业,认证机构要到工厂生产线上现场检查,对产品拍照。在认证发证后的半年至一年内,到市场上和用户处抽检。
根据一位多年从事信息安全认证的老专家介绍,根据中国国情,刚开始,相关的认证部门在型式试验中以抽样为主,请企业自己从生产线上送两台样机来。因为信息安全产业比较小,新技术和新产品还是以样机为主。但也有一些企业试图利用这个规定钻空子。
比如,一些企业为了在产品说明上列举更多的测试项和更好的测试结果,将最高配置的产品送来检测认证,却在上市的时候将低配置产品拿来销售。这种方式在过去的检测标准下,屡禁不止。对此,相关的认证部门加强了现场审查和检测,以保障产品是按照企业规范和既定说明书生产的。这样规范了企业的一些欺诈行为。对一些安全级别较高的产品,其生产线和开发场所的开发环境也进行检测。
