智慧城市建設(shè)中的信息安全認證

文｜宋揚

當前，我國“智慧城市”建設(shè)進入高峰期，信息安全問題不可輕視。如何發(fā)揮認證手段在智慧城市建設(shè)過程中的信息安全保障作用，有著現(xiàn)實的重要意義。

我國信息安全認證體系的建立與發(fā)展

我國自1991年頒布《中華人民共和國產(chǎn)品質(zhì)量認證管理條例》開始，正式啟動產(chǎn)品認證工作。2001年8月，國家認證認可監(jiān)督管理委員會正式成立，標志著我國質(zhì)量認證體系跨入新階段。

2003年，《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)27號文）要求“規(guī)范和加強信息安全產(chǎn)品測評認證工作”，啟動了我國信息安全認證體系的建設(shè)工作。

2004年，原國信辦、質(zhì)檢總局、認監(jiān)委、公安部等8部委《關(guān)于建立國家信息安全產(chǎn)品認證認可體系的通知》（國認證聯(lián)57號），要求建立統(tǒng)一的信息安全產(chǎn)品認證認可體系，正式明確了我國信息安全產(chǎn)品認證的制度架構(gòu)。以此文件為基礎(chǔ)，經(jīng)中央編辦批準，中國信息安全認證中心于2006年正式成立。

目前，我國的信息安全認證業(yè)務(wù)體系已覆蓋產(chǎn)品認證、管理體系認證、服務(wù)認證、人員認證與培訓等四大方面20余項認證業(yè)務(wù)。截至2015年9月底，我國已頒發(fā)產(chǎn)品認證證書1300余張，信息安全服務(wù)認證證書500余張，信息安全認證證書近5000張。

圖1 我國的認證認可制度框架

圖2 CC證書頒發(fā)情況（截至2014年底）

國內(nèi)外信息安全認證工作進展

1、產(chǎn)品認證工作進展

國際上對信息安全產(chǎn)品的認證主要以CC標準（Common Criteria，通用準則）為依據(jù)。截至2014年底，全世界已頒發(fā)各類CC證書2510張。如下圖。

（1）美國

為落實信息安全政策、法律，美國將政策執(zhí)行、監(jiān)督、管理權(quán)分批給多個部門，其中與IT產(chǎn)品信息安全管理最為密切的部門為國家標準技術(shù)研究院（NIST）和國家安全局（NSA）。1997年，NIST和NSA聯(lián)合建立國家信息保障聯(lián)盟（NIAP），在國家安全系統(tǒng)中強制使用經(jīng)過NIAP評估的產(chǎn)品。

（2）德國

德國的信息安全評估和認證由國家信息安全局（BSI）全權(quán)負責。與其他歐盟國家類似，德國對IT產(chǎn)品的信息安全管理主要通過CC認證和TR認證實現(xiàn)。歐盟國家積極參與開發(fā)和維護保護輪廓（PP）和技術(shù)指南（TR)，并依據(jù)認可制度評定檢測實驗室的資格。

2、管理體系認證工作進展

ISO27001（信息安全管理體系）認證可稱為世界范圍內(nèi)信息安全領(lǐng)域影響最大的管理體系認證。ISO/IEC27001標準的前身為英國的BS 7799標準，分為兩個部分：《信息安全管理實施規(guī)則》和《信息安全管理體系規(guī)范》。自2005年國際標準化組織ISO將BS 7799轉(zhuǎn)化為ISO 27001:2005發(fā)布以來，此標準在國際上獲得了空前的認可。我國在2008年將ISO 27001:2005轉(zhuǎn)化為國家標準GB/T 22080:2008以來，信息安全管理體系認證在國內(nèi)進一步獲得了全面推廣，截至2014年底，全球已頒發(fā)信息安全管理體系認證證書23972張，其中我國頒發(fā)2259張，約占世界頒發(fā)總數(shù)的10%。

3、信息安全服務(wù)管理情況

國外對服務(wù)的認證主要集中在云計算、身份鑒別和通信等服務(wù)領(lǐng)域。特別是對為政府部門、重要基礎(chǔ)設(shè)施服務(wù)的提供商，有較為嚴格的管理要求。

（1）美國

為了對云服務(wù)進行審查，美國政府專門建立了FedRAMP項目管理協(xié)調(diào)機制。云服務(wù)審查項目由國防部、國土安全部、總務(wù)管理局等部門負責，并成立聯(lián)合授權(quán)中心對云服務(wù)審查第三方機構(gòu)進行授權(quán)。經(jīng)過第三方機構(gòu)審查的云服務(wù)提供商，才可以向政府單位提供云服務(wù)。

（2）英國

英國對云服務(wù)的審查主要基于ISO27001標準。根據(jù)云服務(wù)提供商服務(wù)對象的不同，審查委員會增加對專門的技術(shù)性風險評估、ICT系統(tǒng)和服務(wù)風險管理認可要求的符合性審查。

智慧城市建設(shè)中的信息安全認證需求

1、從產(chǎn)業(yè)的角度看智慧城市信息安全

從產(chǎn)業(yè)鏈的角度來看，智慧城市的建設(shè)和發(fā)展，離不開運營商、設(shè)備提供方、系統(tǒng)集成商、云計算服務(wù)提供商等方面的協(xié)作配合。智慧城市建設(shè)、運行的相關(guān)信息，通過這個鏈條進行采集、存儲、傳輸和使用。其中：

數(shù)據(jù)采集環(huán)節(jié)的信息安全需求包括：經(jīng)濟數(shù)據(jù)安全、基礎(chǔ)設(shè)施信息安全、個人隱私安全、大數(shù)據(jù)安全。

數(shù)據(jù)傳輸環(huán)節(jié)的信息安全需求包括：設(shè)計開發(fā)安全、建設(shè)過程安全、服務(wù)過程安全、運營過程安全、關(guān)鍵人員安全。

數(shù)據(jù)使用環(huán)節(jié)的信息安全需求包括：個人隱私安全、運行數(shù)據(jù)安全、交易信息安全、大數(shù)據(jù)安全。

2、從技術(shù)的角度看智慧城市信息安全

從技術(shù)角度看，智慧城市建設(shè)的信息安全需求包括：

設(shè)施安全。主要指智慧城市運行所必須的各種基礎(chǔ)設(shè)施設(shè)備安全。

網(wǎng)絡(luò)安全。主要是智慧城市的信息傳輸網(wǎng)絡(luò)安全。

數(shù)據(jù)安全。在當前大數(shù)據(jù)和云計算技術(shù)廣泛應(yīng)用的情況下，數(shù)據(jù)安全的重要性提升到新的高度。包括：數(shù)據(jù)本身的安全，如數(shù)據(jù)加密、數(shù)據(jù)完整性保護等；數(shù)據(jù)防護的安全，如數(shù)據(jù)備份、異地容災(zāi)、數(shù)據(jù)監(jiān)控等；大數(shù)據(jù)安全，如個人隱私數(shù)據(jù)，消費記錄。

服務(wù)和人員安全。著名的“棱鏡門”事件后，社會各界對服務(wù)和人員安全的重視程度大大提高。智慧城市的建設(shè)，離不開各類集成商、運營商所提供的服務(wù)。智慧城市的運行也離不開專業(yè)人員的管理維護。保障智慧城市的安全，需要服務(wù)提供商和關(guān)鍵崗位人員滿足相應(yīng)的安全要求。

圖3 智慧城市系統(tǒng)建設(shè)產(chǎn)業(yè)鏈

3、從國家安全角度看智慧城市信息安全

智慧城市安全作為國家基礎(chǔ)支撐，是國家安全保障的重要組成部分；智慧城市作為國家關(guān)鍵基礎(chǔ)設(shè)施，其核心產(chǎn)品需要做到自主可控；“互聯(lián)網(wǎng)+”智慧城市的建設(shè)，對生產(chǎn)商、服務(wù)商、運營商提出更高的信息安全要求；智慧城市安全的標準體系建設(shè)、評價體系建設(shè)、人才隊伍建設(shè)需要進一步加快、規(guī)范。

信息安全認證在智慧城市建設(shè)中的應(yīng)用建議

國內(nèi)外的經(jīng)驗表明，信息安全認證在產(chǎn)品、管理、服務(wù)、人員等多個方面提供了信息安全保障的重要手段。建設(shè)覆蓋智慧城市建設(shè)核心產(chǎn)品、管理體系、關(guān)鍵服務(wù)、重要人員的信息安全認證體系，對于保障我國智慧城市建設(shè)、運行過程中的信息安全，也具有不可或缺的重要意義。為此，需要做好以下幾個方面的工作：

1、提升智慧城市信息安全標準研制能力，加強標準體系建設(shè)

標準是認證的基礎(chǔ)。建設(shè)智慧城市信息安全認證體系，首先需要制定相關(guān)的產(chǎn)品、服務(wù)、人員認證標準。目前，我國在智慧城市建設(shè)方面的標準體系已比較完善，但在認證相關(guān)標準方面的工作仍需要進一步加強。

2、建設(shè)智慧城市信息安全檢測、認證、培訓體系

隨著我國智慧城市建設(shè)規(guī)模的不斷擴張，對各類產(chǎn)品、服務(wù)、人員的認證需求也將迅速增強。因此，需要加強智慧城市相關(guān)產(chǎn)品的安全檢測、人員培訓和認證體系建設(shè)工作。

3、建設(shè)智慧城市信息安全認證組織體系

為了確保智慧城市信息安全認證工作切實發(fā)揮作用，相關(guān)認證機構(gòu)、檢測機構(gòu)、培訓機構(gòu)有序、有效運行，需要建設(shè)相關(guān)的監(jiān)管、支撐、運行和評價組織體系。

4、提高智慧城市相關(guān)產(chǎn)品、技術(shù)檢測能力

智慧城市建設(shè)安全關(guān)系國家安全、社會穩(wěn)定，對于建設(shè)過程中使用的核心產(chǎn)品、服務(wù)，必須提高信息安全檢測能力，確保核心環(huán)節(jié)、核心區(qū)域、核心技術(shù)的自主可控。