我國信息安全測評認證及發(fā)展研究

◆高 鵬

我國信息安全測評認證及發(fā)展研究

◆高 鵬

（身份證：4108111985****0094 北京）

隨著信息化步伐的加快，信息安全已越來越被人們所重視，任何一個漏洞都有可能造成巨大的損失。作為信息安全產(chǎn)品質(zhì)量把關的重要關口，信息安全測評認證也日益受到重視，并取得長足發(fā)展。我國對于信息安全測評認證的重視態(tài)度較高，而且近幾年的操作手段偏向于多元化。本文針對信息安全測評認證及發(fā)展進行討論，并提出合理化建議。

信息安全；測評；認證；發(fā)展

0 前言

測評認證制度在國際上已有近100年的歷史，目前全球已有80多個國家建立了測評認證制度，我國是從80年代初開始推行質(zhì)量認證制度的。在信息化進程中，信息安全日益受到重視。因此，作為確保信息安全的重要關口，國家認證認可體系是實現(xiàn)信息安全保障的重要手段。信息安全測評認證必須堅持在技術體系、標準體系、力量體系上進行不斷的完善。

1 信息安全測評認證的意義

測評認證是現(xiàn)代質(zhì)量認證制度的重要內(nèi)容，其實質(zhì)是由一個中立的權威機構，通過科學規(guī)范、公正的測試和評估，向需求方證實供貨方提供的產(chǎn)品和服務符合公開、客觀和先進的標準。結合以往的工作經(jīng)驗和當下的工作標準，認為信息安全測評認證的意義，主要是表現(xiàn)在以下幾個方面：

（1）為建立和完善信息安全產(chǎn)品的市場準入制度提供科學的技術依據(jù)

凡是成熟的產(chǎn)業(yè)行業(yè)，都有完善的測評認證制度。信息安全產(chǎn)品是否符合產(chǎn)業(yè)標準、質(zhì)量是否合格，在投入使用前需要經(jīng)過嚴格檢測。測評認證的有效落實，對于確保信息安全產(chǎn)品的質(zhì)量、把住信息安全關口具有不可替代的作用。

（2）為信息安全產(chǎn)品供需雙方提供專業(yè)的權威指導

國家通過設立中立的權威機構，設置科學規(guī)范、公正的技術標準，對產(chǎn)品進行官方測試和評估，并由中立權威機構頒發(fā)認證證書和認證標志，相當于以政府信譽為符合標準的產(chǎn)品予以質(zhì)量認證。同時，也是向需求方證實供貨方提供的產(chǎn)品和服務符合公開、客觀和先進的標準。這就是對信息安全產(chǎn)品供需雙方提供了官方權威指導。

（3）對信息安全產(chǎn)業(yè)進步產(chǎn)生有力驅(qū)動

通過不斷完善信息安全測評認證制度，實施由國家政府機構主導的強制性測評機制，強化測評機構職能，采取研發(fā)質(zhì)量準入、公示或者末位淘汰制度，可以對信息安全產(chǎn)品的設計、開發(fā)、生產(chǎn)企業(yè)進行嚴格的規(guī)范指導，從而提高其技術進步水平和市場競爭力，從而對整個產(chǎn)業(yè)行業(yè)的研發(fā)水平的提升提供有力推動。

2 信息安全測評認證的問題

（1）對信息安全測評認證的關注度還不夠高

隨著“斯諾登事件”的曝光，社會大眾在驚愕的同時，才對信息安全才有了更深的認識，但總的來看，大眾的信息安全意識仍比較缺失。即便在產(chǎn)業(yè)內(nèi)部，也普遍存在重產(chǎn)品、輕服務，重研發(fā)、輕測評的現(xiàn)象。例如，一個新的信息產(chǎn)品的的發(fā)布，人們往往更關注它的設計、研發(fā)，而對于其投放市場前的測評認證環(huán)節(jié)沒有概念。測評意識不高，導致信息安全產(chǎn)品在研發(fā)環(huán)節(jié)沒有很好地關注測評所需，造成了在后續(xù)的測評環(huán)節(jié)出現(xiàn)較多的缺失和疏漏，有的甚至因為無法通過測評未予認證，從而造成無法投放市場產(chǎn)生巨大經(jīng)損失的后果。

（2）現(xiàn)有的測試方法和手段尚不能滿足需求

測試技術和方法是基礎性工程，需要較大的資金投入和一定的時間的積累。我國在信息安全測評方面起步較晚、仍有短板。特別是在大數(shù)據(jù)時代的來臨，量子技術、云計算技術的發(fā)展的背景下，信息安全產(chǎn)品類別不斷增多，測評標準的功能要求和保證要求十分嚴格，加之安全技術特有的對抗性和敏感性，都要求在測試技術上不斷發(fā)展和創(chuàng)新。目前信息安全測評認證的工作開展，很大程度上還是繼續(xù)按照傳統(tǒng)的手段和方法來開展的，這就迫切需要在測評認證技術能力上有進一步提升。

（3）測評認證標準體系需要進一步健全

在國家質(zhì)量技術監(jiān)督局的領導和支持下，信息系統(tǒng)安全性評價準則及測試規(guī)范、商用密碼產(chǎn)品安全技術要求、信息安全服務評估準則、信息安全工程質(zhì)量管理要求等標準即相繼出臺，國家信息安全標準體系的框架已初步形成。但由于起步時間較晚，其規(guī)范體系完備性還有相當差距。其中，程序性規(guī)范的研究開展得最早，其可用成果也最多，基本上能滿足現(xiàn)階段對信息安全產(chǎn)品和信息系統(tǒng)進行測評時的程序控制需要。但方法性規(guī)范和依據(jù)性規(guī)范，則仍有待健全。

（4）測評認證力量有待加強

目前，我國的信息安全測評認證體系是由監(jiān)管機構——國家認證實體——授權測評機構三級構成。國家信息安全測評認證管理委員會是認證中心的監(jiān)管機構；測評中心和認證中心是代表國家具體實施信息安全測評認證的實體機構；測評中心和認證中心授權建立分支機構作為技術支撐。從目前力量建設看，要滿足信息安全測評認證工作的長遠開展，力量體系還需要進一步的加強，特別是信息安全測評認證方面的專業(yè)人才還比較匱乏。

3 信息安全測評認證發(fā)展需遵循的幾點原則

（1）信息安全測評必須樹立技術至上原則

信息技術日新月異，信息產(chǎn)品升級換代很快，信息安全測評認證也要跟的上時代發(fā)展和技術進步，比如FPGA產(chǎn)品的測評、量子通信產(chǎn)品的測評等新興信息技術的發(fā)展，迫切需要測評認證技術的不斷提升。

（2）信息安全測評必須強化質(zhì)量第一的原則

測評認證是質(zhì)量把關的重要環(huán)節(jié)，測評認證的質(zhì)量決定了產(chǎn)品的質(zhì)量，測評放過一個安全漏洞，就有可能使信息產(chǎn)品帶病上崗，就有可能給用戶造成數(shù)以萬計、億計的損失。

（3）信息安全測評必須堅持標準化推進的原則

信息安全測評認證是用標準的尺子來衡量產(chǎn)品的質(zhì)量，因此標準對于測評認證是至關重要的。沒有標準就相當于裁衣無尺，必須把標準體系建設擺在突出位置。另外，堅持標準化也有利于測評自動化水平的提高。例如，可以通過測評自動化的方式來完成，針對不同的指標和方法做出正確的實踐操作，減少了傳統(tǒng)測評造成的缺失和漏洞現(xiàn)象。

4 信息安全測評認證的發(fā)展對策

（1）完善測評認證機制

要強化國家信息安全測評認證管理委員會的監(jiān)管職能，出臺相關的法律法規(guī)，加強管理和規(guī)范信息安全測評認證的行為；要健全測評認證機構的準入和審核機制，處理好多元化測評和一元化認證的關系，以減輕企業(yè)的負擔，強化認證結果的權威性。要結合信息安全產(chǎn)品的不同類型，在完善型號認證的同時，還要大力拓展信息安全產(chǎn)品、信息安全系統(tǒng)和信息安全技術服務等類型的測評認證，不斷提高信息安全測評認證的可靠性、可行性和專業(yè)性。

（2）提升測評技術能力

信息產(chǎn)品升級換代很快，信息安全測評認證也要跟的上時代發(fā)展和技術進步，比如FPGA產(chǎn)品的測評、量子通信產(chǎn)品的測評等新興信息技術的發(fā)展，迫切需要測評認證技術的不斷提升。對于新型網(wǎng)絡攻擊技術，要有針對性的開展技術研究，特別是隨著我國信息網(wǎng)絡化應用的細致化、專門化，進一步開發(fā)這方面的業(yè)務技術規(guī)范，也成當務之急。要處理好“矛”與“盾”的關系，確保測評專業(yè)、認證權威。

（3）建強測評認證力量

根據(jù)信息化發(fā)展對信息安全測評認證工作提出的迫切需求，國家先后投入數(shù)億資金，按照“一個國家級認證機構、多個檢測機構”的原則，在信息化發(fā)達的地區(qū)或行業(yè)建立眾多技術測評機構。就信息安全測評認證本身而言，現(xiàn)階段的很多問題都在持續(xù)性的改善、解決，但是想要在未來工作的開展上，不斷的獲得更好的成績，還要在建強力量上持續(xù)用力、久久為功。特別是要持續(xù)優(yōu)化測評組織體系，加大新的專業(yè)測評機構培育力度，對現(xiàn)有測評認機構可采取測評質(zhì)量通報制度和末位淘汰制度；采取有效措施提高測評隊伍的業(yè)務素質(zhì)和工作積極性，保持一支業(yè)務精湛、素質(zhì)過硬、愛崗敬業(yè)的測評力量。

5 總結

信息安全測評認證對于整個信息安全產(chǎn)業(yè)而言，地位重要、作用突出。縱觀我國信息安全測評認證的發(fā)展歷程，雖然起步較晚，但發(fā)展很快，取得了顯著的成績。今后，只要找準發(fā)展方向，堅持創(chuàng)新引領，加大投入力度，我國信息安全測評認證必然能夠得到更好的成績。

[1]賈海云,謝宗曉.基于云的金融信息系統(tǒng)等級保護安全測評探討[J].中國質(zhì)量與標準導報，2018.

[2]張騰標.等級保護測評在智慧車間領域的應用探討[J].電腦編程技巧與維護，2018.

[3]馮登國.國內(nèi)外信息安全技術研究現(xiàn)狀及發(fā)展趨勢[J].安全技術，2013.

[4]崔光耀.信息安全測評認證任重道遠[J].信息安全與通信保密，2003.