我國信息安全測評認(rèn)證及發(fā)展研究

◆高 鵬

我國信息安全測評認(rèn)證及發(fā)展研究

◆高 鵬

（身份證：4108111985****0094 北京）

隨著信息化步伐的加快，信息安全已越來越被人們所重視，任何一個(gè)漏洞都有可能造成巨大的損失。作為信息安全產(chǎn)品質(zhì)量把關(guān)的重要關(guān)口，信息安全測評認(rèn)證也日益受到重視，并取得長足發(fā)展。我國對于信息安全測評認(rèn)證的重視態(tài)度較高，而且近幾年的操作手段偏向于多元化。本文針對信息安全測評認(rèn)證及發(fā)展進(jìn)行討論，并提出合理化建議。

信息安全；測評；認(rèn)證；發(fā)展

0 前言

測評認(rèn)證制度在國際上已有近100年的歷史，目前全球已有80多個(gè)國家建立了測評認(rèn)證制度，我國是從80年代初開始推行質(zhì)量認(rèn)證制度的。在信息化進(jìn)程中，信息安全日益受到重視。因此，作為確保信息安全的重要關(guān)口，國家認(rèn)證認(rèn)可體系是實(shí)現(xiàn)信息安全保障的重要手段。信息安全測評認(rèn)證必須堅(jiān)持在技術(shù)體系、標(biāo)準(zhǔn)體系、力量體系上進(jìn)行不斷的完善。

1 信息安全測評認(rèn)證的意義

測評認(rèn)證是現(xiàn)代質(zhì)量認(rèn)證制度的重要內(nèi)容，其實(shí)質(zhì)是由一個(gè)中立的權(quán)威機(jī)構(gòu)，通過科學(xué)規(guī)范、公正的測試和評估，向需求方證實(shí)供貨方提供的產(chǎn)品和服務(wù)符合公開、客觀和先進(jìn)的標(biāo)準(zhǔn)。結(jié)合以往的工作經(jīng)驗(yàn)和當(dāng)下的工作標(biāo)準(zhǔn)，認(rèn)為信息安全測評認(rèn)證的意義，主要是表現(xiàn)在以下幾個(gè)方面：

（1）為建立和完善信息安全產(chǎn)品的市場準(zhǔn)入制度提供科學(xué)的技術(shù)依據(jù)

凡是成熟的產(chǎn)業(yè)行業(yè)，都有完善的測評認(rèn)證制度。信息安全產(chǎn)品是否符合產(chǎn)業(yè)標(biāo)準(zhǔn)、質(zhì)量是否合格，在投入使用前需要經(jīng)過嚴(yán)格檢測。測評認(rèn)證的有效落實(shí)，對于確保信息安全產(chǎn)品的質(zhì)量、把住信息安全關(guān)口具有不可替代的作用。

（2）為信息安全產(chǎn)品供需雙方提供專業(yè)的權(quán)威指導(dǎo)

國家通過設(shè)立中立的權(quán)威機(jī)構(gòu)，設(shè)置科學(xué)規(guī)范、公正的技術(shù)標(biāo)準(zhǔn)，對產(chǎn)品進(jìn)行官方測試和評估，并由中立權(quán)威機(jī)構(gòu)頒發(fā)認(rèn)證證書和認(rèn)證標(biāo)志，相當(dāng)于以政府信譽(yù)為符合標(biāo)準(zhǔn)的產(chǎn)品予以質(zhì)量認(rèn)證。同時(shí)，也是向需求方證實(shí)供貨方提供的產(chǎn)品和服務(wù)符合公開、客觀和先進(jìn)的標(biāo)準(zhǔn)。這就是對信息安全產(chǎn)品供需雙方提供了官方權(quán)威指導(dǎo)。

（3）對信息安全產(chǎn)業(yè)進(jìn)步產(chǎn)生有力驅(qū)動

通過不斷完善信息安全測評認(rèn)證制度，實(shí)施由國家政府機(jī)構(gòu)主導(dǎo)的強(qiáng)制性測評機(jī)制，強(qiáng)化測評機(jī)構(gòu)職能，采取研發(fā)質(zhì)量準(zhǔn)入、公示或者末位淘汰制度，可以對信息安全產(chǎn)品的設(shè)計(jì)、開發(fā)、生產(chǎn)企業(yè)進(jìn)行嚴(yán)格的規(guī)范指導(dǎo)，從而提高其技術(shù)進(jìn)步水平和市場競爭力，從而對整個(gè)產(chǎn)業(yè)行業(yè)的研發(fā)水平的提升提供有力推動。

2 信息安全測評認(rèn)證的問題

（1）對信息安全測評認(rèn)證的關(guān)注度還不夠高

隨著“斯諾登事件”的曝光，社會大眾在驚愕的同時(shí)，才對信息安全才有了更深的認(rèn)識，但總的來看，大眾的信息安全意識仍比較缺失。即便在產(chǎn)業(yè)內(nèi)部，也普遍存在重產(chǎn)品、輕服務(wù)，重研發(fā)、輕測評的現(xiàn)象。例如，一個(gè)新的信息產(chǎn)品的的發(fā)布，人們往往更關(guān)注它的設(shè)計(jì)、研發(fā)，而對于其投放市場前的測評認(rèn)證環(huán)節(jié)沒有概念。測評意識不高，導(dǎo)致信息安全產(chǎn)品在研發(fā)環(huán)節(jié)沒有很好地關(guān)注測評所需，造成了在后續(xù)的測評環(huán)節(jié)出現(xiàn)較多的缺失和疏漏，有的甚至因?yàn)闊o法通過測評未予認(rèn)證，從而造成無法投放市場產(chǎn)生巨大經(jīng)損失的后果。

（2）現(xiàn)有的測試方法和手段尚不能滿足需求

測試技術(shù)和方法是基礎(chǔ)性工程，需要較大的資金投入和一定的時(shí)間的積累。我國在信息安全測評方面起步較晚、仍有短板。特別是在大數(shù)據(jù)時(shí)代的來臨，量子技術(shù)、云計(jì)算技術(shù)的發(fā)展的背景下，信息安全產(chǎn)品類別不斷增多，測評標(biāo)準(zhǔn)的功能要求和保證要求十分嚴(yán)格，加之安全技術(shù)特有的對抗性和敏感性，都要求在測試技術(shù)上不斷發(fā)展和創(chuàng)新。目前信息安全測評認(rèn)證的工作開展，很大程度上還是繼續(xù)按照傳統(tǒng)的手段和方法來開展的，這就迫切需要在測評認(rèn)證技術(shù)能力上有進(jìn)一步提升。

（3）測評認(rèn)證標(biāo)準(zhǔn)體系需要進(jìn)一步健全

在國家質(zhì)量技術(shù)監(jiān)督局的領(lǐng)導(dǎo)和支持下，信息系統(tǒng)安全性評價(jià)準(zhǔn)則及測試規(guī)范、商用密碼產(chǎn)品安全技術(shù)要求、信息安全服務(wù)評估準(zhǔn)則、信息安全工程質(zhì)量管理要求等標(biāo)準(zhǔn)即相繼出臺，國家信息安全標(biāo)準(zhǔn)體系的框架已初步形成。但由于起步時(shí)間較晚，其規(guī)范體系完備性還有相當(dāng)差距。其中，程序性規(guī)范的研究開展得最早，其可用成果也最多，基本上能滿足現(xiàn)階段對信息安全產(chǎn)品和信息系統(tǒng)進(jìn)行測評時(shí)的程序控制需要。但方法性規(guī)范和依據(jù)性規(guī)范，則仍有待健全。

（4）測評認(rèn)證力量有待加強(qiáng)

目前，我國的信息安全測評認(rèn)證體系是由監(jiān)管機(jī)構(gòu)——國家認(rèn)證實(shí)體——授權(quán)測評機(jī)構(gòu)三級構(gòu)成。國家信息安全測評認(rèn)證管理委員會是認(rèn)證中心的監(jiān)管機(jī)構(gòu)；測評中心和認(rèn)證中心是代表國家具體實(shí)施信息安全測評認(rèn)證的實(shí)體機(jī)構(gòu)；測評中心和認(rèn)證中心授權(quán)建立分支機(jī)構(gòu)作為技術(shù)支撐。從目前力量建設(shè)看，要滿足信息安全測評認(rèn)證工作的長遠(yuǎn)開展，力量體系還需要進(jìn)一步的加強(qiáng)，特別是信息安全測評認(rèn)證方面的專業(yè)人才還比較匱乏。

3 信息安全測評認(rèn)證發(fā)展需遵循的幾點(diǎn)原則

（1）信息安全測評必須樹立技術(shù)至上原則

信息技術(shù)日新月異，信息產(chǎn)品升級換代很快，信息安全測評認(rèn)證也要跟的上時(shí)代發(fā)展和技術(shù)進(jìn)步，比如FPGA產(chǎn)品的測評、量子通信產(chǎn)品的測評等新興信息技術(shù)的發(fā)展，迫切需要測評認(rèn)證技術(shù)的不斷提升。

（2）信息安全測評必須強(qiáng)化質(zhì)量第一的原則

測評認(rèn)證是質(zhì)量把關(guān)的重要環(huán)節(jié)，測評認(rèn)證的質(zhì)量決定了產(chǎn)品的質(zhì)量，測評放過一個(gè)安全漏洞，就有可能使信息產(chǎn)品帶病上崗，就有可能給用戶造成數(shù)以萬計(jì)、億計(jì)的損失。

（3）信息安全測評必須堅(jiān)持標(biāo)準(zhǔn)化推進(jìn)的原則

信息安全測評認(rèn)證是用標(biāo)準(zhǔn)的尺子來衡量產(chǎn)品的質(zhì)量，因此標(biāo)準(zhǔn)對于測評認(rèn)證是至關(guān)重要的。沒有標(biāo)準(zhǔn)就相當(dāng)于裁衣無尺，必須把標(biāo)準(zhǔn)體系建設(shè)擺在突出位置。另外，堅(jiān)持標(biāo)準(zhǔn)化也有利于測評自動化水平的提高。例如，可以通過測評自動化的方式來完成，針對不同的指標(biāo)和方法做出正確的實(shí)踐操作，減少了傳統(tǒng)測評造成的缺失和漏洞現(xiàn)象。

4 信息安全測評認(rèn)證的發(fā)展對策

（1）完善測評認(rèn)證機(jī)制

要強(qiáng)化國家信息安全測評認(rèn)證管理委員會的監(jiān)管職能，出臺相關(guān)的法律法規(guī)，加強(qiáng)管理和規(guī)范信息安全測評認(rèn)證的行為；要健全測評認(rèn)證機(jī)構(gòu)的準(zhǔn)入和審核機(jī)制，處理好多元化測評和一元化認(rèn)證的關(guān)系，以減輕企業(yè)的負(fù)擔(dān)，強(qiáng)化認(rèn)證結(jié)果的權(quán)威性。要結(jié)合信息安全產(chǎn)品的不同類型，在完善型號認(rèn)證的同時(shí)，還要大力拓展信息安全產(chǎn)品、信息安全系統(tǒng)和信息安全技術(shù)服務(wù)等類型的測評認(rèn)證，不斷提高信息安全測評認(rèn)證的可靠性、可行性和專業(yè)性。

（2）提升測評技術(shù)能力

信息產(chǎn)品升級換代很快，信息安全測評認(rèn)證也要跟的上時(shí)代發(fā)展和技術(shù)進(jìn)步，比如FPGA產(chǎn)品的測評、量子通信產(chǎn)品的測評等新興信息技術(shù)的發(fā)展，迫切需要測評認(rèn)證技術(shù)的不斷提升。對于新型網(wǎng)絡(luò)攻擊技術(shù)，要有針對性的開展技術(shù)研究，特別是隨著我國信息網(wǎng)絡(luò)化應(yīng)用的細(xì)致化、專門化，進(jìn)一步開發(fā)這方面的業(yè)務(wù)技術(shù)規(guī)范，也成當(dāng)務(wù)之急。要處理好“矛”與“盾”的關(guān)系，確保測評專業(yè)、認(rèn)證權(quán)威。

（3）建強(qiáng)測評認(rèn)證力量

根據(jù)信息化發(fā)展對信息安全測評認(rèn)證工作提出的迫切需求，國家先后投入數(shù)億資金，按照“一個(gè)國家級認(rèn)證機(jī)構(gòu)、多個(gè)檢測機(jī)構(gòu)”的原則，在信息化發(fā)達(dá)的地區(qū)或行業(yè)建立眾多技術(shù)測評機(jī)構(gòu)。就信息安全測評認(rèn)證本身而言，現(xiàn)階段的很多問題都在持續(xù)性的改善、解決，但是想要在未來工作的開展上，不斷的獲得更好的成績，還要在建強(qiáng)力量上持續(xù)用力、久久為功。特別是要持續(xù)優(yōu)化測評組織體系，加大新的專業(yè)測評機(jī)構(gòu)培育力度，對現(xiàn)有測評認(rèn)機(jī)構(gòu)可采取測評質(zhì)量通報(bào)制度和末位淘汰制度；采取有效措施提高測評隊(duì)伍的業(yè)務(wù)素質(zhì)和工作積極性，保持一支業(yè)務(wù)精湛、素質(zhì)過硬、愛崗敬業(yè)的測評力量。

5 總結(jié)

信息安全測評認(rèn)證對于整個(gè)信息安全產(chǎn)業(yè)而言，地位重要、作用突出?？v觀我國信息安全測評認(rèn)證的發(fā)展歷程，雖然起步較晚，但發(fā)展很快，取得了顯著的成績。今后，只要找準(zhǔn)發(fā)展方向，堅(jiān)持創(chuàng)新引領(lǐng)，加大投入力度，我國信息安全測評認(rèn)證必然能夠得到更好的成績。

[1]賈海云,謝宗曉.基于云的金融信息系統(tǒng)等級保護(hù)安全測評探討[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報(bào)，2018.

[2]張騰標(biāo).等級保護(hù)測評在智慧車間領(lǐng)域的應(yīng)用探討[J].電腦編程技巧與維護(hù)，2018.

[3]馮登國.國內(nèi)外信息安全技術(shù)研究現(xiàn)狀及發(fā)展趨勢[J].安全技術(shù)，2013.

[4]崔光耀.信息安全測評認(rèn)證任重道遠(yuǎn)[J].信息安全與通信保密，2003.