信息安全测评与认证

/ns/wz/otherwz/data/20030624002549.htm

--------------------------------------------------------------------------------
(Tuesday, July 30, 2002 4:36 PM)

中国国家信息安全测评认证中心

发展是硬道理,但没有安全就不能健康发展。


前言

信息技术和网络空间,给社会的经济、科技、文化、教育和管理的各个方面注入了新的活力。人们在享受信息化带来的众多好处的同时,也面临着日益突出的信息安全问题。信息安全产品和信息系统固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益。政府部门、民间用户、生产厂商和执法机关对信息技术的"安全"、"可信"的要求十分迫切,安全性测评与认证成为信息化时代的客观需求。

各国政府对信息安全认证十分重视,建立了与自身的信息化发展相适应的测评认证体系。美国把信息安全列为其国家安全的重要内容之一,由国家安全局在国家标准技术研究院的支持下,负责信息安全产品的测评认证工作。西方国家正纷纷效法,使信息安全的测评认证成为信息化进程中的一个重要领域,受到广泛关注。

1999年2月9日,我国正式成立了中国国家信息安全测评认证中心。


安全测评认证是信息化健康发展的重要保障。


什么是测评认证
1) 测评认证
测评认证是现代质量认证制度的重要内容,其实质是由一个中立的权威机构,通过科学规范、公正的测试和评估,向需求方证实供货方提供的产品和服务符合公开、客观和先进的标准。具体而言,测评认证的对象是产品或过程、服务;它的依据是国家标准、行业标准或认证机构确认的技术规范;它的方法是对产品进行抽样测试检验和对供方的质量保证能力即质量体系进行检查评审,以及事后定期监督;它的性质是由具有检验技术能力和政府授权认证资格的权威机构,按照严格程序进行的科学公正的评价活动;它的表示方式是颁发认证证书和认证标志。

测评认证制度在国际上已有近100年的历史,目前全球已有80多个国家建立了测评认证制度。我国是从80年代初开始推行质量认证制度的。从80年代初的"标准化法"到90 年代"中华人民共和国产品质量认证管理条例"和"质量法",已形成了较为完备的法律法规框架和与之配套的管理规范。越来越多的企业积极主动地参加认证活动,社会各界也开始重视产品和服务的品牌,逐步通过认证来指导自己的消费行为,并将质量与权益紧密结合起来。认证活动,作为国家和社会对产品进行质量监督与技术控制的有效方式,已越来越被社会各方面所认识、所接受。

2) 安全性认证
由于信息安全直接涉及国家利益、安全和主权,各国政府对信息产品、信息系统安全性的测评认证要比对其他产品更为严格。信息安全认证成为信息化时代国家测评认证工作的新领域。首先,在市场准入上,发达国家为严格进出口控制,通过颁布有关法律、法规和技术标准,推行安全认证制度,以控制国外进口产品和国内出口产品的安全性能。其次,对国内使用的产品,实行强制性认证,凡未通过强制性认证的安全产品一律不得出厂、销售和使用。第三,对信息技术和信息安全技术中的核心技术,由政府直接控制,如密码技术和密码产品,多数发达国家都严加控制,即使政府允许出口的密码产品,其关键技术仍控制在政府手中。第四,在国家信息安全各主管部门的支持和指导下由标准化和质量技术监督主管部门授权并依托专业的职能机构提供技术支持,形成政府行政管理与技术支持相结合、相依赖的管理体制。

信息安全是一个涉及各方面利害关系甚深的敏感问题。我们相信,按照国际惯例,我国的信息安全测评认证,经一段时间的运作,相应产品进入流通领域时将逐步实施强制性监督管理:即,不通过认证不得销售和使用。从而把国家信息安全综合管理中的质量监督、技术控制和产品市场准入、用户采购使用等方面,更科学的规范起来。

标准本身孕育着技术,也能保护市场。


测评认证的标准与规范
标准是技术性法规,作为一种依据和尺度,没有标准就没有测评认证。在信息安全这一特殊高技术领域,如果没有标准,国家有关的立法、执法就会因缺乏相应的技术尺度而失之偏颇,最终会给国家信息安全的管理带来严重后果。比如,对信息安全产品的生产、销售管理,对产品的市场准入管理,对信息安全产品采购政策的制订,对社会各类信息系统(网络)的安全管理,对电子网络违法犯罪行为的司法管理等等,无一不依据相应标准。

随着国际标准化组织于去年年底颁布标准ISO/IEC 15408(即信息技术安全性评估准则,亦称为通用准则:CC),世界各国在信息技术安全性评估方面尺度不一、各自为政的局面已逐渐改变,国际上都把CC作为评估信息技术安全性的通用尺度和方法,利用CC来指导开发者对IT产品或系统的开发,指导评估认证机构对IT产品或系统安全性进行检测评估,帮助用户提出所需产品或系统的安全要求并依此要求进行采购。世界各国特别是美国、加拿大和欧盟等发达国家纷纷依据CC已建立或正在建立本国的信息安全评估体系,在今年已有14个国家签署了国际互认协定,日本、韩国和以色列等国也正在加紧建设准备加入CC互认协定。

虽然信息安全技术标准是信息安全法规得以施行的技术依据、手段和基础,但是信息安全技术标准的执行,必须以信息安全的法规来保障和实施。在推进信息安全技术标准化进程中,国家有关部门还必须大大加强信息安全法规的立法建设和执法力度。只"标准"和"法规"的紧密、深入、全面的结合,才能有效保障国家信息化安全。

我国信息安全标准化工作,虽然起步较晚,但是近10年来发展较快,在国家质量技术监督局领导下,全国信息化标准委员会及其下属的信息安全分技术委员会在制订我国信息安全标准方面做了大量的工作,国标、国军标、行业标准对信息安全领域均有涉及。为适应我国信息化的迅猛发展,1997年国务院拔出专款设立标准攻关项目,应急制订数十项技术标准,它们成为我国信息安全测评认证的基础。

目前,信息系统安全性评价准则及测试规范、商用密码产品安全技术要求、信息安全服务评估准则、信息安全工程质量管理要求等标准即将出台。在国家质量技术监督局的领导和支持下,国家信息安全标准体系的框架已初步形成,将在该框架内以政府主管部门推动,产业界参与的模式,按急用先上的原则逐步推出我国信息安全技术发展和管理应用急需的相关标准。

建设我国信息安全的海关


我国信息安全测评认证体系
我国长期以来一直十分重视信息安全保密工作,并从敏感性、特殊性和战略性的高度,至始至终置于国家的绝对领导之下。我国信息安全主管部门分工协作,各司其职,形成了维护国家信息安全的管理体系。

根据国信办 [1998]018号文和国质技监局认发[1998]138号文的精神,中国国家信息安全测评认证中是依据《中华人民共和国产品质量法》、《中华人民共和国产品质量认证管理条例》和国家有关信息安全管理的政策、法律、法规,按照国际通用准则建立的国家级认证机构,是国家信息安全基础设施之一 。测评认证中心按照国家质量技术监督局批准发布的认证产品目录和有关国家信息安全主管部门的授权,依据有关标准和规范开展信息安全测评认证,并发布国家对信息安全产品质量的最高认可:国家信息安全认证。

"国家信息安全测评认证管理委员会"是认证中心的监管机构;认证中心是代表国家具体实施信息安全测评认证的实体机构。认证中心由若干个信息安全测评分支机构作为技术支撑而形成完整的工作体系,所有信息安全检验测评分支机构须经认证中心授权并通过中国实验室国家认可委员会和中国产品质量认证机构国家认可委员会认可,方能建立。根据国家信息安全测评认证工作的发展,将在不同的地区和部门、行业,由认证中心授权建立若干国家信息安全测评分支机构,形成布局合理,资源优化的国家信息安全测评认证的技术体系。

管理委员会由与信息安全相关的管理部门、使用部门、学术界和生产厂商四方面的代表组成,其主要职责是确定测评认证中心的发展策略,推动中心检测认证的标准研究和准则使用,对测评认证工作的公正性、科学性进行监督。管理委员会下设专家委员会和投诉、申诉委员会。

测评认证工作体系
按照国家质量技术监督局发布的认证产品目录,中国国家信息安全测评认证中心对外开展四种认证业务:产品型式认证、产品认证、信息系统安全认证、信息安全服务认证。

中国国家信息安全测评认证中心具有两方面的服务功能。一方面面向社会,面向产业和市场,对有关厂商和用户提供技术服务;另一方面,则是面向国家,为信息安全各主管部门进行有关行政管理、执法时提供技术支持。

上述四种类型认证的通用程序为: 申请认证--产品型式试验--质量体系评定--颁发证书--证后监督--处理纠纷和申诉。

认证的主要益处


认证将增强用户对已认证产品的信任度,从而推动信息安全产品的市场接受程度;能降低信息系统或网络的安全风险,并增强信息安全产品的市场优势。认证不仅可为信息安全产品研制开发单位提供参考,引导它们开发满足国家实际需要和安全标准的产品,还可为政府及商业部门的用户提供安全程度的指标,指导他们选择正确的产品。此外,认证为以前没有安全保障的系统或网络提供改进服务,降低网络的安全风险。

国家信息安全测评认证中心承诺对所有的测评认证工作均秉承科学、公正和客观的原则,确保申请单位的知识产权和商业秘密,并将围绕信息安全产品的测评认证工作而开展一系列的宣传活动。而且,通过认证的单位在围绕其认证产品而开展的市场、广告及其他促销活动时,可以使用中心的认证标志、徽章和"通过国家信息安全认证"的用语。

中心的认证准则和认证程序经过了专家委员会和管理委员会审查批准,但认证程序是一个动态的过程。中心将根据信息安全产品的技术发展和最终用户的使用要求,增加认证测试的难度。应当说明的是,中心的认证程序能确保产品安全的风险降低到国家标准规定和公众可接受的水平,达到中心认证标准的产品或系统只是达到了国家规定的管理安全风险的能力,并不表明该产品完全消除了安全风险。

我国信息安全测评认证体系建设与展望


由于我国信息安全测评认证近两年才开展,我国信息安全测评规范的制订,其体系完备性还有相当差距。就目前状况而言,测评规范中的程序性规范的研究开发,开展得最早,其可用成果也最多,基本上能满足现阶段对信息安全产品和信息系统进行测评时的程序控制需要。但随着我国信息网络化应用的细致化、专门化,进一步开发这方面的业务技术规范,也成当务之急。至于方法性规范和依据性规范,则处于刚刚起步的阶段。

我国信息安全测评认证体系的建设,至少包括六个方面的内容:组织体系建设、技术体系建设、标准体系建设、政策法规体系建设、学科体系建设、人才培养教育体系建设。

我国信息安全测评认证的发展方向是:完善认证体系、推行标准规范、制定技术标准、培育测评机构、加强研究开发、推进国际互认。


=========================
文章类型:转载 提交:秋阳 核查:NetDemon