大灣區信息安全檢測認證服務平臺應用探究

高曉文 余歡

(中國網絡安全審查技術與認證中心 北京 100020)

1 我國信息安全檢測認證服務平臺現狀分析

1.1 我國信息安全檢測認證服務及業務發展狀況

檢測認證體系，在其發展的歷程上已經存在了一百多年，目前，檢測認證體系在全球的八十余個國家得到了廣泛應用。我國的檢測認證體系起源于1980 年左右，直至目前已建立了較為健全的規章制度和配套的相關管理標準框架[1]。檢測認證服務逐漸成為各個國家規范產品質量和提升技術含量的有力措施，日益受到各界的肯定與青睞[2]。

檢測認證是現代質量認證體系的主要業務。檢測認證的本質，是通過中立的權威和科學規范、公平公正的證據，為使用者提供客觀、進步的標準。檢測認證的過程是依據國家、行業以及其他認證機構確認的技術規范，從產品中抽取部分樣本進行檢測，檢查認證對象的產品質量情況，對產品進行檢測和認證，并在之后實施有周期性的復查[3]。實質上，作為政府授權的具有技術測試和認證能力的權威機構，科學公正的檢測活動是按照嚴格的程序進行的。檢測認證一般以授予認可證書或者認證標志為主要表示方法。

我國相關部門在信息安全的檢測認證領域的工作持續開展中。近20年來，我國的檢測認證快速發展得益于吸取了其他國家的測評認證經驗，在此基礎上取其精華去其糟粕，初步構建完善了信息安全檢測認證體系及實施體系[4]。最早有關信息安全檢測的規章制度是在1997年發布的，在同年2月，公安部公布了有關信息安全產品的檢驗和許可標準，未進入市場的產品必須通過一系列檢驗和認證，然后再申請計算機安全專用產品許可證方可在市場流通。在1998 年7 月，公安部成立了計算機信息系統安全產品質量監督檢查中心，并經國家技術監督局和公安部的批準，正式成為國家法定機構，負責檢測國內計算機信息系統安全產品及相關進口產品的質量。1998 年10 月我國成立了國家信息安全測評認證中心，其前身是“中國互聯網安全產品測評認證中心”。國家信息安全測評認證中心是一個根據與國家信息安全管理相關的法律法規和配套政策對信息安全產品和服務進行審查和認證的組織。1999 年2 月，國家質量技術監督局批準成立中國國家信息安全測評認證委員會，同時發布了國家首批證書目錄、信息產品安全測評認證管理辦法和國家信息安全認證標志。2006 年11 月，在中央編制委的指導下，成立了中華人民共和國國家網絡安全審查技術與認證中心（CCRC，原信息安全認證中心），是國家市場監督管理機構，按照《國家網絡安全法》以及國家強制性產品認證、有關網絡安全監督管理方面的法律法規，進行國家網絡安全審核技術與認定工作的專門機構。

1.2 粵港澳大灣區信息安全檢測認證服務和業務的發展情況

香港的檢測認證服務從20 世紀80 年代開始如雨后春筍般發展。2016 年已經有了770 多家機構，其中大部分是擁有約18 000名員工的私營實驗室。香港的測評認證具有巨大的開發潛力，被公認為是未來的朝陽產業。2009年9月，香港檢測和認證局正式成立，其主要目的是增強香港檢測認證服務的專業性，提高國際認可度，就行業總體發展戰略向政府提供建議。成員包括業界從業員，以及商界專業團體、相關公營機構和政府部門的代表。創新科技署為該局提供支持。

在澳門，從事信息安全認證的機構并沒有在內地的“全國認證認可信息公共服務平臺”登記。中國檢驗認證集團澳門有限公司是在澳門從事信息安全認證業務的機構。該公司是經對外貿易經濟合作部和國務院港澳事務辦事處批準，由國家認監委直接管理的在澳機構，同時也是國家質監檢疫總局授權開展檢驗檢疫工作的唯一機構。2019年11月20日，澳門特別行政區代表和商務部代表簽訂了《關于修訂〈CEPA 服務貿易協議〉的協議》，自簽署之日起生效，于2020年6月1日起正式實施，對《〈內地與澳門關于建立更緊密經貿關系的安排〉服務貿易協議》的部分內容進行修訂，在協議附件中明確了允許經澳門檢測機構與內地認證機構合作，在廣東自由貿易試驗區試行粵港澳認證及相關檢測業務互認制度，實行“一次認證、一次檢測、三地通行”。

粵、港、澳三地擁有信息安全認證資質的企事業單位共有16 家，其中，具有信息安全管理體系認證資質的，廣州地區有3 家、深圳地區有9 家。中國網絡安全審查技術與認證中心（CCRC，原中國信息安全認證中心）處于信息安全認證行業的龍頭地位。香港品質保證局一直是香港認證行業的領導者之一。澳門的代表企業是中國檢驗認證集團澳門有限公司。

1.3 大灣區信息安全檢測認證服務平臺搭建的必要性

首先，我國高度重視網絡信息安全檢測認證工作。信息安全和國家安全關系密切，應當給予格外關注[5]。在信息網絡安全協調會議上強調，要建設好信息安全測評認證中心。2019 年全國網絡安全和信息化工作會議上，習近平總書記就實現網絡強國的目標提出，要培養科學的網絡安全觀念，落實信息基礎架構的網絡安全防護建設，完善網絡安全信息協調機制，發展網絡安全維護手段，構建信息安全平臺，提高網絡安全事件應急指揮能力，大力開發網絡安全產業。

其次，重點產業新領域業務的發展，對信息系統安全服務的提供者的服務能力提出了更高的要求。網絡5G、物聯網、工業控制系統、智能制造、區塊鏈、汽車產品和智慧城市等的建設和發展，對信息安全有更高要求。通過大灣區信息案例檢測認證服務平臺，強化粵港澳三地合作，發揮各自區域特色，深化重點領域檢測認證合作互認工作機制的探索和實踐。

最后，大灣區的發展需要一個全新的開放平臺。通過大灣區信息案例檢測認證服務平臺，結合在大灣區下工作機制體制創新優勢，從而增強區域統籌力度，進一步完善檢驗檢測產業鏈，提升區域影響力和輻射力，合力打造粵港澳大灣區檢驗檢測認證品牌；信息安全檢測認證助力智聯網安全。

2 大灣區信息安全檢測認證服務平臺的構建

2.1 構建原則

面向加強對粵港澳大灣區信息安全檢測認證業務的發展要求，著眼于建立一個借力大灣區的信息安全檢測認證資訊公共服務Web 平臺，從公共服務的角度來看，它為大灣區及周邊地區提供較全面和及時的信息安全服務，搭建檢測認證機構相關信息的咨詢平臺，幫助大灣區企業和個人用戶及時尋找到合適的機構，解決遇到的信息安全技術難題，以專業的力量應對信息安全風險，推動大灣區信息安全檢測認證管理業務的發展和彰顯網安中心社會責任，具體如圖1所示。

圖1 大灣區信息安全檢測認證服務平臺展示

2.2 框架模型

平臺整體采用主流前后端分離的微服務架構，在應用技術方面，系統整體構建在JAVA虛擬機上，支持跨平臺部署，能在WINDOWS 及LINUX 操作系統上運行，底層數據庫采用mysql 關系型數據庫及nosql 緩存數據庫redis，通過構建各種微服務后端接口供前端業務界面調用；在業務層方面，通過構建4種不同場景角色的平臺入口來分別進行管理，具體有：（1）公眾前臺，主要有各類服務展示、機構展示、服務/機構檢索、登錄注冊等；（2）個人控制臺，主要供個人登錄后對個人信息進行維護，以及進行求助信息的發布管理；（3）機構/企業控制臺，主要供機構/企業登錄審核通過后，對機構信息如營業執照、資質等，以及檢測服務進行錄入編輯查詢管理，通過對信息提供未提交、審核中、已審核、已退回的不同狀態下進行審核管理與發布；（4）系統管理控制臺，主要供系統管理、運營管理人員進行企業機構信息的審核，包括用戶、角色、部門、機構、權限等管理。同時也為更好運維管理提供了消息提醒、導航菜單配置管理、系統數據字典、配置管理、詳細的日志記錄等，具體如圖2、圖3所示。

圖2 整體架構

圖3 特色檢測錄入界面展示圖

2.3 平臺特點

（1）為了使平臺具有較強的擴展性，適應變化，平臺設計實現上主要包括如下特點：采用ant design,vue與spring boot 主流先進技術與組件，構建前后端分離、微服務、響應式設計、個性化換膚等高體驗。（2）為了提高性能體驗，對常用數據如用戶信息等采用了緩存技術以應對高并發訪問。（3）細粒度，可擴展的權限體系，支持機構、角色、個人用戶權限配置，同時運營管理員能對企業提交的各類數據進行審核，具體如圖4、圖5所示。（4）為了應對檢測認證服務不斷變化的需要，在服務分類方面支持無限級別分類自定義維護，包括常用屬性的字典維護，方便業務擴展。（5）前臺按多種維度進行機構的組合過濾與檢索展示，如按檢測分類、單位性質、單位類別等，方便用戶查看及檢索信息。（6）為了方便用戶查找檢測機構，支持服務地圖查找展示，如圖6 所示。（7）采用的前端技術能兼容主流瀏覽器，如IE11 及Chrome、360 等主流瀏覽器。（8）系統設計預留了核心業務的接口授權訪問，以供未來移動端擴展以及第三方系統對接調用。

圖4 資質證書審批狀態展示圖

圖5 檢測管理審批狀態展示圖

圖6 檢測服務地圖查找展示圖

3 加強大灣區信息安全檢測認證服務平臺內在附加值挖掘的建議

（1）推廣應用大灣區信息安全檢測認證服務平臺，建立運營運維團隊，規范服務流程，擴大使用覆蓋，增強影響力。要充分滿足用戶信息案例，檢測認證服務信息查詢和檢索需求，除了檢索模式的革新，關鍵還要解決檢索內容的全面、準確、有效[6]。因此，大灣區信息安全檢測認證服務平臺的推廣應用，不僅要以平臺設計為核心，更重要的是一個合格的“內容供應商”，因此，需要進一步完善系統平臺功能，增加各類資訊發布、優化檢索體驗等，為打造粵港澳大灣區檢驗檢測認證品牌提供強有力的核心技術保障。

（2）為滿足當前經濟社會發展對信息安全檢測認證工作提出的新需求，還應整合信息安全檢測認證資源，探索信息安全檢測認證服務新模式，協同各省地方進行信息內容的共享，在大灣區，甚至全國，信息安全檢測認證資源共享網絡平臺，向社會提供信息安全檢測認證服務。