中国信息安全认证中心副主任陈晓桦
互联网的发展伴随着各种信息安全问题,为了进一步的促进信息安全的认证,国家之前就出台了各种政策和措施。近日,防火墙等13种信息安全产品在政府采购法所规定的范围内实行强制性认证已经一年有余。自2010年5月1日《关于调整信息安全产品强制性认证实施要求的公告》下发至2011年7月31日,中国信息安全认证中心已按照《公告》要求颁发了200张信息安全产品认证证书。
在这期间,产品认证证书对政府采购市场产生了怎样的实际效应?对普通消费市场有何影响?获证产品品质及企业管理水平是否有所提高?中国信息安全认证中心副主任陈晓桦,他向记者详述了一年多来执行信息安全产品强制认证情况,解析了其中存在的问题及应对方案。
记者:在您看来,我国现阶段,实施信息安全产品认证意义何在?
陈晓桦:信息安全实际上是高技术的对抗,目前已由原来单一的通讯保密扩展到保障网络与信息系统安全。理论与实践证明,建立完善的信息安全保障体系既是信息化时代主权国家捍卫自身安全的重要屏障,又是维护自身利益的主要手段。作为信息安全保障体系的重要组成部分,信息安全产品认证是确保信息安全良性发展的基础环节,也是保障信息安全的第一道防线。
信息安全产品认证是依据相关技术标准和实施规则,对信息安全产品是否达到标准或规范要求进行的权威证明。对信息安全产品实施认证,可降低系统和网络的安全风险,为系统运营单位的信息资产安全提供基础保证,促使产品研制和生产过程逐步走向规范化、标准化。
记者:业界所知,信息安全产品及技术已从防火墙、反病毒、IDS老三样发展到安全综合管理、数据加密、流量控制、网页邮件过滤、电子身份认证、员工上网管理等,并融入到政务信息化建设的方方面面。如何认证管理如此多的安全产品呢?
陈晓桦:自上个世纪90年代以来,我国有关部门对全球信息安全发展态势进行了积极跟踪和研究,实施了一些信息安全评价与许可等管理制度,对信息安全保障工作起到了积极的作用。由于存在多部门管理和重复检测以及标准不统一等问题,迫切需要建立国家统一的信息安全认证认可体系。
2006年11月,中国信息安全认证中心正式成立,首要工作就是梳理我国信息安全产品,哪些适合通过认证认可制度统一管理,最终确定了13类安全产品需进行强制性认证,启动初期也困难重重,既涉及与相关部委原评价与许可管理的衔接,又涉及与检测机构、政府采购的合作与配合,协调工作量大、面广、环节多,而诸多技术文件欠缺,更需从头起步。
截至2011年7月31日,中国信息安全认证中心已依据有关标准等技术规范颁发了200张信息安全产品认证证书。同时,根据市场需求,中心还启动了自愿性产品认证业务,对国家信息安全产品认证目录外的产品开展信息安全的认证工作,逐步满足我国政府采购、商业领域对信息安全认证工作的需求。
记者:保障信息安全自然需要信息安全产品和技术作为支撑,据您所知,现阶段国内市场上信息安全产品质量过硬吗?
陈晓桦:从目前来看,国内市场上的信息安全产品良莠不齐,一些产品技术水平不高。通过对信息安全产品实施严格的认证,率先在政采领域实行准入管理,可将不合格的信息安全产品摒弃在采购产品之外,防止不合格的产品对网络与信息系统造成潜在的安全隐患,有效提升政府机关信息安全保障水平。
