信息安全的國(guó)家戰(zhàn)略—— 訪國(guó)務(wù)院原參事、我國(guó)著名質(zhì)量和標(biāo)準(zhǔn)化專家郎志正教授

本刊記者 秦 萍

國(guó)務(wù)院原參事、我國(guó)著名質(zhì)量和標(biāo)準(zhǔn)化專家郎志正教授是我國(guó)信息安全發(fā)展過(guò)程的親歷者，對(duì)我國(guó)的信息安全有著深入的研究。“信息安全關(guān)系到整個(gè)國(guó)家的安全”，這是郎志正教授在接受記者采訪時(shí)反復(fù)強(qiáng)調(diào)的一句話。他表示，信息安全與政治安全、經(jīng)濟(jì)安全、軍事安全共同構(gòu)成了國(guó)家安全的四大支柱，并且直接影響到政治、經(jīng)濟(jì)和軍事安全，要從國(guó)家戰(zhàn)略的高度重視信息安全。

“十二五”規(guī)劃綱要已經(jīng)將“加強(qiáng)網(wǎng)絡(luò)與信息安全保障”列為重要內(nèi)容，強(qiáng)調(diào)要“構(gòu)建下一代信息基礎(chǔ)設(shè)施”、“加快經(jīng)濟(jì)社會(huì)信息化”、“完善信息安全標(biāo)準(zhǔn)體系和認(rèn)證認(rèn)可體系”。這是我國(guó)在五年規(guī)劃綱要中第一次明確提出信息安全認(rèn)證的問(wèn)題。隨著經(jīng)濟(jì)社會(huì)各領(lǐng)域信息化進(jìn)程的加快，如何保障信息安全是我們面臨的重大挑戰(zhàn)。

記 者：作為我國(guó)信息安全發(fā)展過(guò)程的親歷者，您曾經(jīng)向國(guó)務(wù)院領(lǐng)導(dǎo)提交了哪些關(guān)于信息安全的參事建議？

郎志正：2005年，在中美信息安全領(lǐng)域第一次大較量后，我向國(guó)務(wù)院領(lǐng)導(dǎo)提交了關(guān)于無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)問(wèn)題的建議。

無(wú)線局域網(wǎng)是通過(guò)電磁波在大氣中的一定范圍內(nèi)傳播寬帶數(shù)據(jù)的信息技術(shù)，已經(jīng)成為各國(guó)建設(shè)下一代寬帶網(wǎng)絡(luò)和數(shù)據(jù)中心的快速、低成本的可行途徑，也是信息產(chǎn)業(yè)發(fā)展戰(zhàn)略重點(diǎn)。2003年我國(guó)就信息安全制定了兩個(gè)強(qiáng)制性標(biāo)準(zhǔn)。這兩個(gè)國(guó)家標(biāo)準(zhǔn)都采用我國(guó)自主知識(shí)產(chǎn)權(quán)的WAPI的技術(shù)，彌補(bǔ)了國(guó)際標(biāo)準(zhǔn)中的嚴(yán)重安全缺陷，符合我國(guó)和國(guó)際的發(fā)展方向，但其實(shí)施遭到了美國(guó)的一再阻撓。這是中美在信息安全領(lǐng)域第一次大的較量，也是我國(guó)自主知識(shí)產(chǎn)權(quán)在國(guó)際上遭到阻攔的一個(gè)非常重要的方面。2005年1月，我給國(guó)務(wù)院領(lǐng)導(dǎo)提交的“關(guān)于無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)有關(guān)問(wèn)題的建議”中談到了信息安全的問(wèn)題，建議從無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)進(jìn)行突破。

2009年我提交的關(guān)于信息安全有關(guān)問(wèn)題的建議，分析了信息安全問(wèn)題的基本情況。這個(gè)建議得到了國(guó)務(wù)院領(lǐng)導(dǎo)的重視。

記 者：我國(guó)信息安全經(jīng)歷了怎樣的發(fā)展過(guò)程？

郎志正：我國(guó)對(duì)信息安全問(wèn)題十分重視。早在2002年，國(guó)務(wù)院信息化工作辦公室就提出要建立國(guó)家統(tǒng)一的信息安全產(chǎn)品認(rèn)證認(rèn)可體系，并聯(lián)手有關(guān)部門開(kāi)始致力建立國(guó)家統(tǒng)一的信息安全產(chǎn)品認(rèn)證認(rèn)可體系。2003年，中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（2003年第27號(hào)文件），要求推進(jìn)認(rèn)證認(rèn)可工作，規(guī)范和加強(qiáng)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證。這是劃時(shí)代的一個(gè)文件。在兩辦文件的指導(dǎo)下，我國(guó)信息安全工作逐漸得到了發(fā)展。

今年“十二五”規(guī)劃綱要首次將“加強(qiáng)網(wǎng)絡(luò)與信息安全保障”作為重要內(nèi)容納入，明確提出要健全網(wǎng)絡(luò)與信息安全法律法規(guī)、完善信息安全標(biāo)準(zhǔn)體系和認(rèn)證認(rèn)可體系。這是在歷年的規(guī)劃中，第一次明確提出信息安全認(rèn)證的問(wèn)題。

記 者：為什么“十二五”規(guī)劃把信息安全作為重要內(nèi)容納入？

郎志正：安全問(wèn)題每個(gè)國(guó)家都非常重視。政治安全、經(jīng)濟(jì)安全、軍事安全和信息安全組成了整個(gè)國(guó)家的安全。信息安全既是國(guó)家安全的重要組成部分，又對(duì)政治、經(jīng)濟(jì)和軍事安全產(chǎn)生著直接影響，可以說(shuō)今后的政治、經(jīng)濟(jì)、軍事都常常取決于信息網(wǎng)絡(luò)的建設(shè)和安全。信息安全關(guān)系到整個(gè)國(guó)家的安全，要從國(guó)家戰(zhàn)略的高度重視信息安全。

美國(guó)總統(tǒng)奧巴馬2009年就專門提出了信息安全的問(wèn)題，將其作為總統(tǒng)的一項(xiàng)重要工作。今年奧巴馬又把網(wǎng)絡(luò)建設(shè)和信息安全作為美國(guó)國(guó)家戰(zhàn)略。我國(guó)“十二五”規(guī)劃綱要首次將“加強(qiáng)網(wǎng)絡(luò)與信息安全保障”作為重要內(nèi)容納入，凸顯出“十二五”期間國(guó)家對(duì)信息安全的高度重視。但從戰(zhàn)略的角度來(lái)說(shuō)，應(yīng)該把信息安全提到更高的高度來(lái)看待，應(yīng)該從國(guó)家戰(zhàn)略的高度重視信息安全。

記 者：我國(guó)信息安全存在哪些問(wèn)題？

郎志正：一是我國(guó)信息安全管理制度屢遭國(guó)外阻撓，信息安全保障體系的自主性和實(shí)施效果受到很大影響。二是信息安全及其產(chǎn)業(yè)的管理政策和措施相互之間銜接不夠，系統(tǒng)性不強(qiáng)。因?yàn)樾畔踩婕暗轿覈?guó)的方方面面、各個(gè)部門，對(duì)密碼管理、等級(jí)保護(hù)、信息安全產(chǎn)品、產(chǎn)品認(rèn)證等涉及安全領(lǐng)域的政策法規(guī)還不是很完善。三是集中統(tǒng)一的信息安全產(chǎn)品認(rèn)證認(rèn)可制度還未能充分發(fā)揮作用。四是信息安全服務(wù)的市場(chǎng)準(zhǔn)入缺乏控制，外資機(jī)構(gòu)對(duì)我國(guó)重要網(wǎng)絡(luò)和信息系統(tǒng)提供服務(wù)帶來(lái)嚴(yán)重的安全隱患。按當(dāng)年的數(shù)據(jù)，在近200家通過(guò)認(rèn)證的企業(yè)中，外國(guó)認(rèn)證機(jī)構(gòu)認(rèn)證的占85%，帶來(lái)重大的安全隱患。五是無(wú)限局域網(wǎng)安全標(biāo)準(zhǔn)有待全面地強(qiáng)制實(shí)施。

這是我在2009年參事建議中提到的問(wèn)題，但是有些問(wèn)題到現(xiàn)在還沒(méi)有完全解決。第一，統(tǒng)一的信息安全認(rèn)證認(rèn)可體系作用還沒(méi)有充分的發(fā)揮，重復(fù)的檢測(cè)認(rèn)證還存在。第二，信息安全認(rèn)證認(rèn)可的體系還不夠完整。第三，信息安全認(rèn)證技術(shù)基礎(chǔ)還比較薄弱，表現(xiàn)在檢測(cè)能力不足，人員隊(duì)伍素質(zhì)還不夠高，標(biāo)準(zhǔn)規(guī)范還不能完全滿足認(rèn)證認(rèn)可的需求。第四，信息安全管理體系市場(chǎng)還不夠規(guī)范，外資企業(yè)的安全風(fēng)險(xiǎn)還存在，需要我們進(jìn)一步注意。

記 者：信息安全認(rèn)證認(rèn)可制度怎樣才能實(shí)現(xiàn)真正的統(tǒng)一，從而充分發(fā)揮統(tǒng)一的認(rèn)證認(rèn)可體系的作用？

郎志正：信息安全認(rèn)證不僅是管理體系的認(rèn)證，它包括了信息安全產(chǎn)品認(rèn)證、信息安全管理體系認(rèn)證、信息安全服務(wù)資質(zhì)的認(rèn)可、信息安全培訓(xùn)和人員的認(rèn)可以及信息系統(tǒng)的認(rèn)證五大部分。

要實(shí)現(xiàn)統(tǒng)一的信息安全認(rèn)證認(rèn)可制度，要求有四個(gè)統(tǒng)一：一是統(tǒng)一標(biāo)準(zhǔn)、技術(shù)規(guī)范和合格評(píng)定程序；二是要統(tǒng)一認(rèn)證的目錄；三是要統(tǒng)一認(rèn)證的標(biāo)志；四是要統(tǒng)一收費(fèi)標(biāo)準(zhǔn)。

經(jīng)過(guò)這幾年的努力，在實(shí)現(xiàn)四個(gè)統(tǒng)一方面，已經(jīng)有很大的發(fā)展。截至今年9月底，通過(guò)信息安全體系認(rèn)證的企業(yè)已達(dá)到981家。經(jīng)過(guò)兩年的發(fā)展，培養(yǎng)認(rèn)證人員600多人。近日，國(guó)家認(rèn)監(jiān)委又批準(zhǔn)了中國(guó)船級(jí)社認(rèn)證公司等認(rèn)證機(jī)構(gòu)從事信息安全管理體系認(rèn)證，這將加快信息安全認(rèn)證的發(fā)展速度。

記 者：在“十二五”規(guī)劃中，“完善信息安全標(biāo)準(zhǔn)體系和認(rèn)證認(rèn)可體系”有著怎樣的深刻含義？

郎志正：第一個(gè)方面，要圍繞國(guó)家發(fā)展綱要要求，在信息安全認(rèn)證的規(guī)模、質(zhì)量、效能上得到全面提高。首先，在國(guó)家安全保障體系中的地位要更加明確。信息安全關(guān)系到我們國(guó)家的安全，這個(gè)要更加明確。第二，業(yè)務(wù)體系要更加完善。要全面覆蓋信息安全的產(chǎn)品，信息安全的管理體系、信息安全服務(wù)機(jī)構(gòu)的認(rèn)證認(rèn)可、人員的認(rèn)證認(rèn)可都需要進(jìn)一步的提高，使業(yè)務(wù)體系更加完善。第三，應(yīng)用領(lǐng)域應(yīng)該更加寬闊。第四，采信的程度要明顯提高，這點(diǎn)也非常重要。第五，監(jiān)管體制要更加嚴(yán)格。第六，信息安全產(chǎn)業(yè)要進(jìn)一步得到發(fā)展。

第二個(gè)方面，要按照認(rèn)證認(rèn)可發(fā)展規(guī)劃明確總體要求，進(jìn)一步全覆蓋。所謂全覆蓋就是產(chǎn)品、管理體系、安全、人員、信息系統(tǒng)五個(gè)方面的認(rèn)證都要很好地全覆蓋。總之，“十二五”期間，信息安全認(rèn)證在數(shù)量上要有大發(fā)展，在質(zhì)量上要得到保證。

記 者：具體到信息安全管理體系認(rèn)證，“十二五”期間應(yīng)該注意哪些問(wèn)題？

郎志正：首先要做好重點(diǎn)的基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)的體系認(rèn)證工作。比如電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)的三網(wǎng)融合包括物聯(lián)網(wǎng)，銀行、證券、鐵路、電信、電網(wǎng)、電力、供水、供電、供氣等影響到國(guó)家政治、經(jīng)濟(jì)、軍事安全的重要信息系統(tǒng)的體系認(rèn)證。第二要逐步開(kāi)拓業(yè)務(wù)的連續(xù)性認(rèn)證，包括整個(gè)供應(yīng)鏈安全管理體系的認(rèn)證，也就是要發(fā)展更多的系統(tǒng)認(rèn)證。第三要提高認(rèn)證人員隊(duì)伍的能力，提高認(rèn)證的有效性，培養(yǎng)高素質(zhì)的審核隊(duì)伍。第四要推動(dòng)信息安全管理體系認(rèn)證的國(guó)際互認(rèn)，提高認(rèn)證的采信程度。

記 者：認(rèn)證機(jī)構(gòu)在信息安全管理體系認(rèn)證過(guò)程中應(yīng)該注意哪些方面？

郎志正：首先，要建立培養(yǎng)一支高素質(zhì)的信息安全管理體系認(rèn)證隊(duì)伍。認(rèn)證機(jī)構(gòu)在取得信息安全管理體系認(rèn)證資質(zhì)后，不能滿足于既有的10個(gè)審核員，更重要的是要培養(yǎng)一支素質(zhì)比較高的審核員隊(duì)伍。這是實(shí)施信息安全管理體系認(rèn)證的最基本要求，也是做好認(rèn)證工作的基本條件。

第二，要針對(duì)不同性質(zhì)的企業(yè)培養(yǎng)一批專家型的隊(duì)伍，培養(yǎng)各行業(yè)的專家共同完成認(rèn)證任務(wù)。認(rèn)證人員加上專家，兩者結(jié)合對(duì)信息安全進(jìn)行認(rèn)證，我認(rèn)為可能更有效，更能找到企業(yè)安全的薄弱環(huán)節(jié)，從而進(jìn)一步提高信息安全的水平。

第三，已經(jīng)得到認(rèn)可的信息安全管理體系認(rèn)證機(jī)構(gòu)，應(yīng)該根據(jù)國(guó)家認(rèn)證對(duì)信息安全認(rèn)證的要求、標(biāo)準(zhǔn)和程序，更好地規(guī)范其認(rèn)證審核規(guī)范和要求，強(qiáng)化自身的認(rèn)證工作。

第四，認(rèn)證機(jī)構(gòu)在取得資質(zhì)后，更要注意企業(yè)認(rèn)證后的實(shí)際效果，認(rèn)證結(jié)果是否得到了采信。

中國(guó)船級(jí)社認(rèn)證公司獲得信息安全管理體系認(rèn)證資質(zhì)，這是非常重要的一件事情。不是所有公司都能做信息安全，只有在技術(shù)水平、管理水平都比較高的機(jī)構(gòu)才能獲得這個(gè)資質(zhì)。中國(guó)船級(jí)社就是這樣一個(gè)具有較高水平、較高信譽(yù)的認(rèn)證機(jī)構(gòu)。希望中國(guó)船級(jí)社能把信息安全管理體系認(rèn)證作為認(rèn)證公司的主要發(fā)展方向之一。