厉兵秣马,信息安全保卫战打响— 访中国信息安全认证中心常务副主任陈晓桦博士
《卡市场》:信息技术和网络的普及对社会的发展起着极大的推进作用,于是,信息安全也就成为了重中之重,那么,作为信息安全方面的专家,您是怎样看待这个问题的?
620)this.style.width=620;" border=0>
陈博士:信息问题在现在,确实可以说是一个十分重要的问题,当今社会已经步入信息技术广泛推广,网络应用日益普及的时代,传统的通信业务和信息处理方式被新兴的信息传输和处理模式取代。网络应用给人们带来巨大收益和方便的同时,也给人们带来了由于恶意攻击、虚假信息的欺诈或信息泄漏瞬间失去资产的苦恼、恐惧和不安。任何组织或个人的信息在网络上传输,都有可能会被非法窃听、截取、篡改或破坏,从而造成不可估量的损失。正因为上述问题,信息安全成了世界范围内广为关注的重中之重。
与传统的“安全”问题不同,信息安全是个深层次的概念,信息安全与信息本身的特征、信息的存储、传输和处理技术密切相关。网络信息安全则是与网络系统的硬件、软件以及它们所构成的安全防范体系密切联系在一起,使系统中的信息和数据的机密性、完整性和可用性得到有效的控制和保护,防止非授权的访问以及各种缘由的信息泄漏和破坏,确保系统能连续可靠地运行。所有这些都需要采用各种行之有效的安全保障措施。这些措施包括了信息产品自身的安全控制技术、信息产品研发及生产环境的技术的或程序的安全控制措施、信息产品交付过程的技术的或程序的安全控制措施、信息产品使用环境的安全控制措施,构建网络系统应实现的技术和程序的安全控制的措施等。
《卡市场》:在信息安全问题日益突出的今天,中国信息安全认证中心的成立显然是具有重要意义的,请您简单介绍一下中心成立的背景?
陈博士:随着信息产业的快速发展,信息安全成为世界范围内共同关注的焦点。信息诈骗、网络攻击和窃密、信息垃圾骚扰等问题日益突出,迫切需要各部门联合起来,共同对付这个瞩目的问题。这就要求国家对信息产品和信息网络的安全性实施统一的、必要的监控措施。因此实行信息安全全国统一的认证制度,是建立我国信息安全保障体系,促进信息安全产业发展、确保信息安全产品的质量,规范并提升信息安全的各项服务工作的第一步。
国家建立信息安全认证中心这一机构,标志着国家统一的信息安全认证认可体系的建立与实施。信息安全认证中心的成立将对我国信息安全监管的科学化、规范化、制度化产生深远影响。在信息安全领域采取认证机制是保障信息系统安全的重要手段,也是世界各国的普遍做法。做好信息安全认证工作,一定要从维护国家安全的大局来认识其重要性,各部门也需要加强合作。可以说,统一安全认证体系的建立适应了信息化发展的需要,对民族信息安全产业的发展具有积极促进作用。
《卡市场》:中心成立已有近一年的时间,在这段时间内,中心做了哪些工作?取得了怎样的成效?
陈博士:按照国家质检总局领导提出的“中心组建后要立足高起点、坚持高标准、确保高质量,力争高水平”的要求,中国信息安全认证中心从去年11月成立以来,就搭建了一个强有力的领导班子,组建了一个一流的认证团队,建立了一整套完善的认证规章制度,各项工作有条不紊的开展,迄今为止各项工作取得了重大的进展,其中主要的成绩有以下几点:
1)确定了从认证环节到执行部门相对应的信息安全产品认证管理的工作流程,明确了各个认证步骤的具体要求,包括明确了信息安全产品检测机构的指定原则及条件等。
2)统一标准,对于产品认证涉及的标准,参照国际标准对相关的国家标准进行了梳理,所涉及的66个国家标准,40%以上的是国内自主研发的。
3)积极参与首批信息安全强制认证产品目录的制定工作。鉴于目录发布的重要性,信息安全产品管委会秘书处召开了多次专门会议进行研究讨论,最后确定边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全等8大类,其中包括防火墙、安全操作系统、防垃圾邮件、入侵检测等13种产品。期间,还参照国际惯例于2007年8月26日向WTO通报。
4)确定了首批信息安全自愿性产品认证目录。首批确定了15种自愿性认证产品目录,包括:信息内容过滤与控制产品、芯片(智能卡)、读卡器(智能卡)等。
5)开展无线局域网安全产品的认证工作。国家已经将此划入了强制产品认证的范围,信息安全认证中心成立以后即将作为唯一的认证机构行使认证职能,中心已经圆满完成了证书换发工作,产品认证工作已进入常态。
6)信息安全管理体系认证。这项工作现在主要依据的是国际ISO27000系列标准,目前该工作已全面展开,中心于2007年10月22日,给中国信达资产管理公司颁发了首张证书。可以预计,中心在年前还将颁发多张证书。
7)信息安全服务资质认证。根据国信办的安排,以及与信息产业部协调,中心将在今年底开展试点。
8)信息安全培训。已经启动,并先后在上海、北京成功举办了培训班。
9)获得了中国国家认证认可监督管理委员会(CNCA)颁发的认证机构和培训机构的资格证书,允许中心从事信息安全产品认证、信息安全管理体系认证和信息安全服务资质认证(试点)的认证工作,以及从事信息安全产品认证检查员培训、信息安全管理体系认证和信息安全服务资质认证(试点)的培训工作。
《卡市场》:中国信息安全认证中心的业务有哪些?需要进行强制性认证的产品有哪几类产品?
陈博士:中国信息安全认证中心的业务主要有下面几类:信息安全产品认证业务;信息安全管理体系认证业务;信息安全服务资质认证业务;信息安全产品认证检查员培训业务;信息安全管理体系审核员培训业务;信息安全服务资质认证审核员培训业务。
到目前为止,中心已经确定了有13类产品需要进行强制性认证,其中包括:
(1)防火墙类产品;
(2)网络安全隔离卡与线路选择器类产品;
(3)安全隔离与信息交换产品类产品;
(4)安全路由器类产品;
(5)COS(智能卡)类产品;
(6)数据备份与恢复类产品;
(7)安全操作系统类产品;
(8)安全数据库系统类产品;
(9)反垃圾邮件类产品;
(10)入侵检测系统(IDS)类产品;
(11)网络脆弱性扫描类产品;
(12)安全审计类产品;
(13)网站恢复类产品。
《卡市场》:针对智能卡及相关产品,中国信息安全认证中心将会采取怎样的认证措施?目前国际上智能卡信息安全检测与认证的情况是怎样的?
陈博士:中国信息安全认证中心作为第三方的公正机构和法人实体,将遵循国家信息安全管理的法律法规、《认证许可条例》及认证实施规则,在指定的业务范围内实行全国统一的认证制度,依据相关标准,对信息安全产品实施认证。认证方式采取强制认证和自愿认证相结合的方法,根据国内、外同类产品发展状况,技术水平以及对产品安全性的需求,开辟适合我国国情的认证业务。
由于智能卡及相关产品研发技术的日益成熟及其在多领域广泛的应用前景,其安全性必须受到足够的重视。中国信息安全认证中心将依据相关的安全标准和认证实施规则,对智能卡及其相关产品的安全性实施强制认证(例如对嵌入软件COS)和自愿认证(例如对卡的集成电路芯片或成品卡)相结合的认证服务方针持续推进智能卡及其相关产品的应用和发展,并在此基础上,逐步推行对读卡器产品的安全认证服务和对建立应用系统的组织开展安全体系认证服务工作。
目前,国际上对智能卡的检测与认证执行的标准是《信息技术 安全技术 信息技术安全性评估准则》(ISO/IEC15408)。该准则于1999年由国际标准化组织发布了ISO/IEC15408:1999版,于2005年发布了ISO/IEC15408:2005版。我国于2001年依据ISO/IEC15408:1999版标准,发布了GB/T18336———2001版作为等同采用的推荐标准,一直沿用到现在。
另外,针对COS产品的检测与认证还参照GB/T 20276-2006《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》。
信息安全产品的检测评估业务是认证业务的依据,也是签署互认协议的各国依据该标准对信息产品安全性互认的基础。但检测评估方法以及相应的工具等是敏感的问题,涉及到产品开发的核心技术、评估技术和检测技术,各国之间并不交流。根据国际相关会议的内容来看,我国与发达国家之间仍有一定的差距,主要体现在检测技术、检测工具和检测方法上。这也是今后我们重点关注的一个重要的方面。
《卡市场》:智能卡在信息安全领域扮演着一个什么样的角色,起着怎样的作用?我国智能卡发展的有着怎样的优势以及制约条件,国家未来会采取的监管措施?
陈博士:智能卡在信息安全领域内主要扮演用户身份识别、入网权限鉴别和保护用户数据安全的角色。同时,也可以根据不同的需求开发出安全管理、安全审计、安全告警、访问控制、信息流控制、失败处理、功能恢复等各种相应的安全功能。智能卡作为应用系统的一部分,通过读卡器与相关的应用系统交互信息。智能卡、读卡器以及相关的应用系统构成一个完整的应用系统。三者安全功能构成了整个应用系统的安全防护体系。
可以说,智能卡是保障信息的保密性、完整性和可用性必不可少的安全部件,在今后发展中,会不断地展示其广阔的应用远景。
智能卡产品与其它产品一样,受着国际主流产品应用需求导向影响和自身技术实现的牵制。相比之下,国内企业的软件开发占有一定的优势,但一些关键部件多数仍受制于国外企业。国家已经提倡和鼓励自主创新,以达到安全可控的目的。相信我国的企业会加快步伐,抓住机遇,取长补短,在材料业、制造业等方面会出现新的突破。
《卡市场》:我国的智能卡产业经过十几年的发展,已初具规模,企业的研发能力大大加强,但是在一些核心技术领域尚与国际发达国家相比存在差距,从安全角度而言,您认为这些差距主要体现在哪些方面?又有何建议?您对国内智能卡企业及最终用户有着怎样的期望?
陈博士:我国的智能卡产业经过十几年的发展,已初具规模,企业的研发能力也有很大的提高。但从产品的质量控制和安全功能开发的角度而言,在智能卡的核心技术领域,仍然落后于发达国家,这主要体现在以下几方面:在标准化方面,普遍缺乏对安全标准的认知、推行和执行;在开发设计方面,缺乏规范化的管理与过程控制;在工艺方面,制作技术落后,缺乏自主创新的工艺方法;在应用方面,由于政出多门增大了“一卡多用”的开发和应用难度,导致难以形成统一的安全规则。
此外,智能卡的应用及其安全特性的开发受制于应用系统。而应用系统又受到基础设施、设备更新换代导致在经济上付出巨大代价的牵制。比如说金融系统,至今仍在使用大量的安全性和可靠性极差的磁卡。其中,对于安全标准缺乏大力度的推行是个关键性的因素,建议加强对国际上先进标准的跟踪、研究、采纳或及时制定我国行之有效的相关安全标准并强化贯彻执行的力度,推进我国信息安全产品和信息安全服务的标准化、规范化建设。
近些年来,各级政府对智能卡产品的大力推广使得智能卡产品得到了公众的认知和广泛的应用。通过国内、外企业间的交流、竞争与合作,国内智能卡产业涌现出一批实力型企业和高素质的研发及制作队伍,标志着我国智能卡产业正在进入新的阶段。我希望企业不论大小,都应该把用户的需求作为关注产品改进的焦点,并跟进国际先进的管理模式,持续改进管理方法,规范研发、设计和检测过程,开发适应和满足需求的工具,在保证产品质量和通用功能的基础上,能够依据相关的安全标准不断地推出具有我国特色的智能卡及其相关的新一代的安全产品。
《卡市场》:最后,请您为日后的信息安全工作的开展提出一些宝贵的建议。
陈博士:信息安全工作涉及面广,层次深。认证中心不仅要抓紧自身各方面建设,履行好自身的职责,同时要跟踪国际信息安全认证的先进技术和水平。在实际工作中将努力贯彻执行国家信息安全政策,积极配合政府部门满足社会各领域对信息安全工作的需求,营造良好的内、外工作环境;加强与有关部门的沟通与协作,探索有效工作机制,为信息安全工作提供高水平的认证服务。以上这些要点也希望能够得到各有关部门的配合与支持。