安全測評是確保信息安全的“第一道屏障”

蔣力群

諾頓事件如同一記重拳，將眾人

的信息安全意識猛然擊醒。信息安全最顯著的特點是“出現的問題越大，受重視程度越高”，最顯著的成效是“受重視程度越高，出問題的概率越小”。顯然，在當今信息技術廣泛應用，網絡影響力日益增強的時代，信息安全的風險因受到各類威脅而不斷增長。隨著新技術、新應用越來越多，新風險、新問題也將越來越多。2013年，我國信息安全產品的規模已較2012年度增長了21.68%，而未來兩年該規模總量還將出現翻番。作為保障信息安全重要手段之一的檢測與評估工作，必然顯得越來越重要。

專業檢測是信息安全可靠性認定的“首選措施”

信息安全測試與評估（簡稱：信息安全測評）是對信息安全模塊、產品和信息系統的安全性等進行測試、驗證、評價和定級，以明確其安全特性。一般而言，信息安全測評的重點是安全產品的專項性能和信息系統的安全狀態。在實際測評過程中，通常從技術與管理兩個方面進行，同時對內部風險和外部風險進行確認和衡量，有針對性地提出抵御威脅的安全防護對策和整改措施，從而最大限度地確保不出現安全問題或少出現安全問題，努力減少因安全問題而造成的經濟損失和負面影響。早在20世紀80年代，美、英、德、法等西方國家紛紛制定了本國的信息安全評測認證制度，并積極開展測評認證標準領域的合作。經過近20年的努力，終于在1999年形成了既考慮共同的技術基礎，又兼顧各國信息安全主權的國際化標準，即信息技術安全性評估準則（Common Criteria，簡稱CC），CC中的安全要求分為安全功能和安全保證兩大類。1997年，我國開始組織有關單位跟蹤CC發展，并著手制定對應的國家標準，2001年開始正式實施我國的信息安全標準GB/T18336，此后不斷豐富和完善相關標準規范。

當前，社會各界對網絡安全、系統安全、信息安全的依賴性越來越大，對信息安全測評工作的要求越來越高。整體形勢呈現三個特點：一是信息安全的影響力日漸增強。2012年我國IT消費達到1.8萬億，云計算、物聯網、移動互聯網、IPV6、智能終端等網絡新技術應用范圍和服務內容不斷豐富擴大，信息安全成為重點關注內容；二是網絡技術軍事化應用傾向明顯。計算機病毒、高能電磁脈沖、網絡嗅控和攻擊、內網無線注入、微波炸彈等技術成為未來網絡作戰武器，各國網絡備戰步步升級，也成為國際合作與斗爭的重要內容；三是黑客攻擊竊密風險長期存在。我國電腦病毒的感染率高達67%以上，監測發現木馬控制端IP中有49.8%位于境外，美國稱85.7%以上的聯網工業設備存在軟硬件漏洞，出現在政府、軍工、金融等重要信息基礎設施和關鍵信息系統的惡性攻擊和信息竊取事件層出不窮。無疑，組織信息安全測評是確保信息系統建設與應用安全的首選措施。

當前信息安全測評的“主要壓力”和“實施難點”

信息安全所面臨的巨大壓力已傳遞到安全測評領域

據國家互聯網應急中心（CNCERT）統計：北京、廣東、上海等互聯網發達地區受黑客攻擊的竊密數量排名靠前。據中研普華研究表明，與全球信息安全市場相比，我國信息安全行業正處于快速成長期。2006年至2010年，年均復合增長率為18.62%。

信息安全保障服務面臨著三大壓力：一是技術和服務能力壓力。因新技術和新應用發展極其迅速，技術隱患和管理漏洞并存現象較普遍，僅2012年發現技術漏洞總數達6萬個，年度上升達11%以上；新增病毒樣本6.9億個，掛馬頁面92萬個，釣魚網站12.4萬個；安全產品除傳統的防火墻、IDS/IPS、防病毒等產品外，UTM、WEB安全、安全審計、信息加密、身份認證等需求日益增大，NGFW（下一代防火墻）、云計算、移動終端等安全產品相繼涌現，對測評的技術手段和適用性要求越來越高。二是人才和執業資質壓力。信息安全市場高速增長，近三年我國信息安全專業技術人員數量增長40%，信息安全企業資產總額增長36.2%，信息安全服務業務合同值增長255%；信息安全人才十分緊缺，薪酬指數遠領先于其它傳統行業。對測評機構和測評人員而言，必須擁有多項授權資質，有時一項工程必須同時滿足多個管理部門的要求和規定；對從業人員的學習能力要求很高，經常培訓、經常考證成為必然，具有“經驗積累型”加“學習提升型”的職業特點。三是發展模式和能力提升壓力。當前，我國信息安全測評機構總體上有三種編制、五種類型，由于信息安全測評需要的是“學習提升型”+“經驗積累型”人才，需要一種“技術發展不鈍化，人員穩定不僵化”的生態環境，上述各種編制和類型各有特色和千秋，實現融合發展、創新發展是當務之急，即在穩定的前提下確保較強的活力顯得尤為重要！

當前信息安全服務保障的難點持續涌現

國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。信息安全領域面臨的挑戰主要來自于兩個方面：一方面是電子信息產業的創新發展帶來應用技術的不斷推陳出新；另一方面是應用模式不斷創新發展，熱點轉換頻率快，出現應接不暇、不斷淘汰的格局。

信息安全的難點問題主要有四大類：一是對信息泄漏、信息污染等問題的控制和防范，對未經授權信息流出、信息泄漏增添侵權風險，信息污染積累潛在危害等，需要及時發現和堵漏處置；二是對某些組織、某些人出于特殊目的，利用網絡進行信息滲透和攻擊等惡意破壞行為的防范和反擊；三是隨著社會高度信息化，重要信息基礎設施、核心控制系統等安全邊界復雜，尤其是虛擬化應用增多，在惡意行為屢禁不止的情況下，國家利益、社會公共利益、各類主體合法權益面臨更大風險和威脅；四是隨著網絡泛在化、跨界應用普遍化，隨之帶來控制權分散等管理問題，在信息資源管理體系上出現了較多脫節和真空地帶，從而使信息安全問題變得更加廣泛而復雜。因此，信息安全保障能力與信息化應用創新同步發展極為重要，絕不可顧此失彼。

測評領域已成為信息安全“矛”與“盾”的競技場

據中研普華稱，中國（大陸及臺灣）是被全球威脅相關流量攻擊最甚的國家。信息安全測評需求與信息系統應用中的安全需求是正向對應關系，必然上演“矛”與“盾”絞殺戰。目前主要有：一是檢測移動設備的安全隱患。移動通信已成為辦公、商務、社交的有效手段和熱門途徑，且種類繁多而操作系統多樣，據Check Point調研，68%用戶認為安全事故增加與移動通信發展趨勢有關，這已成為防范黑客盜取信息及敏感數據的重要領域。二是檢測QR碼被惡意利用的漏洞。許多零售商和廣告商將使用QR作為時髦的推廣手段，尤其是使用手機掃描二維條形碼，黑客們可借機將用戶轉到一個惡意鏈接、文件或程序上。三是檢測Botnets（僵尸網絡）“綁架”計算機威脅。通過一種或多種傳播手段，用 bot程序（僵尸程序）病毒感染和控制大量主機，實施非法訪問、盜竊數據、啟動拒絕服務（Dos）攻擊或散布垃圾郵件的侵權行為，必須通過測評發現風險、填補漏洞、進行有效防范。四是識別無線路由器組網漏洞。去年，有多款無線路由器被曝存在重大安全漏洞，因無線路由器組網非常隱性，一旦被黑客攻入不易被發現，需增強相關技術檢測手段和被侵入的識別監控能力。五是識別虛擬化、云應用、BYOD隱患。此類應用故障較難判斷、檢測維護復雜，比如，云應用集中了大量數據信息，一旦云服務器遭到入侵或損壞，危害極其嚴重，各終端只能“叫天天不應”了；BYOD（攜帶自己設備辦公）讓人在機場、酒店、咖啡廳等非辦公室地點，通過WLAN也能登錄公司郵箱和業務系統，實現在線辦公，當然外來人員借此潛入網絡的可能性也增大了，非常考驗識別和防范應用漏洞與風險的能力。六是監測重要系統應用中出現的漏洞。系統應用時的負載場景、執行效率、資源占用和兼容性、安全性等狀態處于變化當中，需要對重要系統的應用過程進行必要的監測，及時發現安全漏洞和隱患，把安全事故消滅在萌芽當中。

我國信息安全測評需要進一步規范和強化

多國信息安全測評認證體系（ICCC）表明，規范管理是迅速發展的重要基礎。縱觀美國、英國、德國、法國、芬蘭、瑞典、西班牙和日本、韓國等國家，非常重視建設信息安全測評認證體系，測評工作得到有力推進。其體系建設的共同特點是：有一個測評認證管理協調組織；有一個測評認證實體；有多個技術檢測機構。而且，各國政府為適應信息化時代國際競爭的新形勢，有條件的進行互認也是各國參與國際化和維護自主權的務實選擇。在我國，近年來新增了眾多從事信息安全測評的機構和單位，尤其是執行信息安全等級保護、分級保護以來，信息系統使用單位普遍由專業機構依據管理規范和技術標準實施信息安全測評。

下一步，為適應信息安全測評業務的迅速發展，有必要在三個方面進一步規范和強化：一是規范和強化測評機構與人員管理。避免追求數量而忽視質量，要扎實推進測評機構職業道德、業務素養和服務能力的全面建設，規范實施人員的各類測評活動，確保公正、公平、權威的測評結果；二是規范和強化測評能力建設。打破測評機構因編制和類型差異造成的局限和隔閡，著眼于國家安全大局，配合組織技術培訓和業務交流，力爭顯著提升測評機構、人員的技術能力和業務水平，以適應當今信息安全形勢發展；三是規范和強化新的信息安全測評觀——四個統一。系統應用與安全保障存在著有效性和性價比的問題，既要兼顧信息系統的適用性，也要強調安全測評的合規性，筆者認為應使兩者有機統一，需要樹立新的信息安全測評觀，即綜合考慮測評對象的應用模式、技術架構、安全措施、制度建設四個方面的優化及有機統一，要破除只盯技術和管理兩個部分的片面導向，推動建設“業務應用便捷簡化、安全測評嚴謹細化、風險評估持續深化、制度建設不斷強化”多角度覆蓋的新型信息安全測評保障格局。

（作者單位：上海市信息安全測評認證中心）