信息安全認證標準如同中國的其他標準一樣，經(jīng)歷了“友邦驚詫”、“無奈緩行”、“變相實施”、“前途未卜”這樣一個艱難曲折的發(fā)展歷程。中國標準“千轉(zhuǎn)百回”的艱辛路，帶給我們怎樣的思考和啟發(fā)?

日前，澳大利亞力拓公司駐上海辦事處的四名業(yè)務(wù)人員因涉嫌竊取中國國家秘密而被拘捕。四人在中外進出口鐵礦石談判期間，因為信息泄密，給中國鋼鐵行業(yè)帶來高達7000多億元的經(jīng)濟損失。這為中國的企業(yè)信息化敲響了警鐘，也使網(wǎng)絡(luò)安全、信息安全再次被提到戰(zhàn)略層面。

信息安全產(chǎn)品和技術(shù)是保障信息安全的重要支撐。隨著信息產(chǎn)業(yè)的快速發(fā)展和信息化進程的逐步深入，信息安全問題成為了全球共同關(guān)注的焦點。在信息安全領(lǐng)域，采取統(tǒng)一認證機制來保障信息系統(tǒng)安全是各國的通用做法。我國也不例外。

今年4月27日，由國家質(zhì)量監(jiān)督檢驗檢疫總局、中華人民共和國財政部、中華人民共和國國家認證認可監(jiān)督管理委員會聯(lián)合發(fā)布了《關(guān)于調(diào)整信息安全產(chǎn)品強制性認證實施要求的公告》(2009年第33號)。

公告中，將國家質(zhì)量監(jiān)督檢驗檢疫總局、國家認證認可監(jiān)督管理委員會《關(guān)于部分信息安全產(chǎn)品實施強制性認證的公告》(2008年第7號)中涉及的信息安全產(chǎn)品強制性認證的強制實施時間延至2010年5月1日，并僅在政府采購法規(guī)定的范圍內(nèi)強制實施。認證產(chǎn)品范圍包括防火墻、網(wǎng)絡(luò)安全隔離卡與線路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數(shù)據(jù)備份與恢復、安全操作系統(tǒng)、安全數(shù)據(jù)庫系統(tǒng)、反垃圾郵件、入侵檢測系統(tǒng)、網(wǎng)絡(luò)脆弱性掃描、安全審計、網(wǎng)站恢復13種產(chǎn)品。目前，信息安全產(chǎn)品的認證受理工作已經(jīng)開始。

據(jù)記者了解，《關(guān)于部分信息安全產(chǎn)品實施強制性認證的公告》在2008年1月就已發(fā)布，在時隔一年多之后，又聯(lián)合財政部發(fā)布調(diào)整公告，不僅延后了原公告的執(zhí)行時間，更將信息安全產(chǎn)品認證的強制實施限定在政府采購法規(guī)定的范圍內(nèi)。在世界范圍內(nèi)將信息安全的重要性上升到國家戰(zhàn)略層面的今天，為了確保信息安全產(chǎn)品質(zhì)量、保障國家信息安全，國家對信息安全產(chǎn)品以及信息網(wǎng)絡(luò)系統(tǒng)的安全，實施了很多行政許可和認證的監(jiān)管措施。但事實上，中國的信息安全認證之路走得十分艱辛。

“友邦驚詫”混淆視聽

2008年1月底，《關(guān)于部分信息安全產(chǎn)品實施強制性認證的公告》正式發(fā)布了。根據(jù)這一公告要求，從2009年5月1日開始，凡列入強制認證目錄內(nèi)的13類信息安全產(chǎn)品，未獲得強制性產(chǎn)品認證證書和未加施中國強制認證標志的，不得出廠、銷售、進口或在其他經(jīng)營活動中使用。

一石激起千層浪。之后，無數(shù)外國媒體的質(zhì)疑報道撲面而來，國際相關(guān)標準組織和產(chǎn)業(yè)協(xié)會的反對聲音也蜂擁而至，令國家相關(guān)部門面臨非常被動的局面。

一些美國主流媒體在報道中描述，“中國政府計劃要求外國信息產(chǎn)業(yè)公司向中國有關(guān)部門報批對中國出口的信息安全技術(shù)產(chǎn)品。這個擬議中的新政策明顯是出于國家安全和扶持國內(nèi)信息技術(shù)產(chǎn)業(yè)兩方面的考量?！币晃幻绹闹菐鞈?zhàn)略與國際研究中心(CSIS)的研究員甚至認為，這個動機除包含一部分貿(mào)易考慮外，還包含一部分商業(yè)間諜成分，也包括中國政府希望在信息技術(shù)市場上扶持中國本土公司的計劃，他還指出，“中國的第二個動機不那么合理”。日本《讀賣新聞》則稱:“這種制度可能存在把外國企業(yè)的知識產(chǎn)權(quán)提供給在中國競爭對手的風險。”“如果中國政府不放棄，那將可能發(fā)展成為嚴重的國際貿(mào)易爭端?！?/p>

因此，2008年9月，在美中商貿(mào)聯(lián)委會會議上，美國官員對這項政策提出了質(zhì)疑。一位美國駐中國使館的發(fā)言人說，美國認為中國計劃實施的這項新規(guī)定“和中國的貿(mào)易承諾不相符”。

對這些質(zhì)疑，國內(nèi)各相關(guān)部門不得不反復解釋、澄清: 中國的做法是為了保護國家安全和推進信息技術(shù)產(chǎn)業(yè)。

但國外媒體借機惡意炒作，甚至不惜歪曲事實，抹黑我國的管理制度。一位從事信息安全認證多年的老專家向記者說，在當時相關(guān)的國外新聞中，大量充斥著不實報道。

記者也發(fā)現(xiàn)，在一篇《日本經(jīng)濟新聞》僅幾百字的稿件中，就至少存在以下幾處失實: 將“13種強制性認證產(chǎn)品的目錄”，寫為“13條防范電腦病毒的強制認定標準”; 并且無中生有地寫出“13條規(guī)定中包括基礎(chǔ)軟件”、“如果要取得認證可能要求企業(yè)公布軟件設(shè)計圖的源代碼”等捏造的事實。

這些報道不僅混淆視聽，還嚴重歪曲了中國正在建立的信息安全產(chǎn)品強制性認證制度。

面對“友邦驚詫”和含混不清的言辭，中國相關(guān)部門不得不不厭其煩地反復溝通交流，并作出解釋。隨后，國家推遲了認證制度的實施時間。

在2008年7號公告中明確的實施強制性認證的13種信息安全產(chǎn)品，只是眾多IT產(chǎn)品中極小的一部分，都是專用的信息安全產(chǎn)品，根本不涉及這些國外媒體報道中提到的數(shù)碼家用電器、數(shù)碼復印機、平板電視等產(chǎn)品。

按照中國的法律、法規(guī)以及認可規(guī)范的要求，認證機構(gòu)和實驗室都必須承擔為客戶保密的責任，在對信息安全產(chǎn)品實施認證和檢測時，根據(jù)不同安全等級的需要已制定了相應(yīng)的安全保密措施。申請認證的技術(shù)資料僅嚴格用于實施認證和檢測，不會被用于其他目的。

而且在這13種產(chǎn)品中，只有智能卡COS產(chǎn)品在認證檢測時，需要廠家提供與安全功能有關(guān)的部分源代碼，另外只有6種含有密碼模塊的產(chǎn)品需提交與密碼實現(xiàn)和使用有關(guān)的部分源代碼，而非全部源代碼。其余的產(chǎn)品申請在認證時沒有任何關(guān)于提供源代碼的要求。值得注意的是，即便是國際上通行的CC(信息技術(shù)安全性通用評估準則)認證，在檢測智能卡COS時也同樣要求提供與安全功能有關(guān)的源代碼。至于密碼模塊檢測要求提供源代碼，早在美國政府發(fā)布的標準FIPS140-1(后為FIPS140-2所取代)當中，就提出了更為嚴格的要求，即申請方必須提供帶注釋的源代碼。中國有句古話，“己所不欲，勿施于人”，美國政府和產(chǎn)業(yè)協(xié)會居然反對中國的產(chǎn)品認證制度關(guān)于密碼模塊檢測需要提供源代碼的同樣要求?！斑@難道是美國人健忘或僅僅是‘燈下黑’可以解釋的嗎?”一位信息安全認證專家反問。

這位從事信息安全認證多年的老專家告訴記者，我國正在建立的信息安全產(chǎn)品強制性認證制度，是為了解決中國信息安全產(chǎn)品測評領(lǐng)域存在的重復檢測、重復發(fā)證等問題，維護國家安全、公眾利益和公民權(quán)益、理順管理體制、規(guī)范市場、促進產(chǎn)業(yè)發(fā)展而實施的一項重要管理措施，既符合中國國情，也符合WTO/TBT協(xié)議原則。

“事實上，國外媒體的真實意圖，是通過不準確的信息造輿論，對中國的自主創(chuàng)新施加壓力?！绷硪晃徊辉竿嘎缎彰闹袊鴺藴驶Y深專家評論說。

這令人聯(lián)想起當年的WAPI。WAPI經(jīng)歷了從無人問津到眾人追捧、無限期延遲到現(xiàn)在有望重新進入國際標準投票流程的跌宕命運。這峰回路轉(zhuǎn)中，關(guān)于技術(shù)、標準和市場層面的反思，十分值得現(xiàn)在的中國信息安全產(chǎn)品認證界思考。

無奈的緩行

在國際輿論中，“貿(mào)易壁壘、保護國內(nèi)信息技術(shù)產(chǎn)業(yè)、商業(yè)間諜”等關(guān)鍵詞，似乎已經(jīng)成為了冠以中國常見的“罪名”，每當中國推出自主創(chuàng)新的標準和相關(guān)政策，必然重復上演這些“國際貿(mào)易衛(wèi)道士”的老舊橋段。而我國也往往只能被動地采取“延期執(zhí)行”、“政府采購”等應(yīng)對辦法。

2003年，國家認證認可監(jiān)督管理委員會發(fā)布2003年第113號公告，自2004年6月1日起，對無線局域網(wǎng)產(chǎn)品實施強制性認證(WAPI)，但在美國的強烈抗議下被迫擱淺。

中國關(guān)于自有標準的這些政策都被國外一些研究中心解讀為“中國政府最近幾年為保護國內(nèi)信息產(chǎn)業(yè)而采取的一些類似措施，體現(xiàn)出中國信息技術(shù)行業(yè)發(fā)展不均衡的現(xiàn)狀?！?/p>

這次，《關(guān)于部分信息安全產(chǎn)品實施強制性認證的公告》也不例外。

事實上，在美國，CC認證在政府采購領(lǐng)域也是強制性的，并從2002年7月1日開始強制執(zhí)行。據(jù)相關(guān)專家介紹，在美國，如果信息安全產(chǎn)品是用于涉及國家秘密信息系統(tǒng)的，規(guī)定必須由美國國防部下屬的國家安全局來進行檢測，要求的嚴格程度非常高。但是，美國卻以此為由反對中國實施強制性的統(tǒng)一認證。

經(jīng)過了一年多與國內(nèi)外各方的反復磋商，加之考慮到全球金融危機的大形勢，國內(nèi)相關(guān)部門最終決定調(diào)整實施，在原方案基礎(chǔ)上提出了一個新的調(diào)整方案。新方案在實施范圍上做出了重大調(diào)整，只在政府采購法的規(guī)定范圍內(nèi)強制實施; 同時調(diào)整了實施時間，將時間推遲一年。

而最令人擔心的，就是明年5月1日，調(diào)整后的強制認證能否順利實施。

2009年4月，國家認監(jiān)委發(fā)布了《關(guān)于信息安全產(chǎn)品強制性認證指定認證機構(gòu)和實驗室業(yè)務(wù)范圍的公告》(2009年第25號)，明確了實施信息安全產(chǎn)品強制性認證的指定認證機構(gòu)及首批7家指定實驗室及其業(yè)務(wù)范圍。

目前，已經(jīng)有幾十款產(chǎn)品向相關(guān)機構(gòu)申請了認證。接下來的一年內(nèi)，相關(guān)實施機構(gòu)還需要完成大量的基礎(chǔ)性工作，包括進一步完善統(tǒng)一的技術(shù)規(guī)范、認證實施流程、制度宣貫、為財政部建立政府采購目錄提供協(xié)助、協(xié)調(diào)、推進發(fā)布各部委相關(guān)工作銜接流程等?！斑@些工作都要加緊，這樣才能把這一制度落到實處”。一位專家說。

另一方面，我們并沒有遭遇外國媒體所期望的跨國信息技術(shù)公司對這項制度的反對。中國是世界上最大的信息技術(shù)產(chǎn)品市場之一，這個龐大市場對跨國信息技術(shù)公司具有極大的吸引力。據(jù)美聯(lián)社的數(shù)據(jù)表明，在目前中國的信息安全技術(shù)市場上，外國公司大約占據(jù)了70.5%的份額。

事實上，微軟、思科、Sun等公司并未就這件事表態(tài)，而芯片制造商英特爾表示愿意遵守中國法律法規(guī)，IBM公司發(fā)言人則表示該公司出口中國的產(chǎn)品并不會受到新規(guī)定影響。據(jù)認證部門的相關(guān)人員介紹現(xiàn)在每天都有許多跨國公司向有關(guān)機構(gòu)詢問認證制度的具體實施細節(jié)和要求。就WAPI產(chǎn)品強制認證而言，記者也從中國信息安全認證中心網(wǎng)站上得悉，到目前為止，申請認證的國外企業(yè)比國內(nèi)企業(yè)還多。

“方便”和“隱患”

目前，國內(nèi)信息安全認證的發(fā)展之所以會如此艱難，除了國內(nèi)產(chǎn)業(yè)環(huán)境還不完全成熟的客觀條件外，主要的阻力來自于國外的反對。國外反對勢力的目的很明顯，要求中國加入到他們主導的CCRA協(xié)定中，并以此打壓中國自主標準的創(chuàng)新能力。

那么，這個CCRA到底是一種什么樣的協(xié)定?會給這些國家?guī)砟男胺奖恪蹦?

目前，在國際上，有美國、英國、法國等26個國家共同簽署的基于所謂通用準則(CC)的互認協(xié)議(CCRA)，他們一直要求中國也加入到CC互認的陣營中來。CCRA雖然有值得我國標準參考和借鑒之處，但也有許多不適應(yīng)我國國情的地方。

“中國加入CCRA，對他們最直接的一個好處就是國外的很多企業(yè)的上千種產(chǎn)品進入中國市場，就不用按照中國的標準再進行任何檢測認證了。而按照該協(xié)議的條款，在中國國內(nèi)認證過的產(chǎn)品必須在兩年的準備期之后，才有可能直接進入相關(guān)成員國家!”有關(guān)人士分析說，在給相關(guān)成員國“方便”同時，會為中國產(chǎn)品埋下一系列安全隱患。

一位信息安全產(chǎn)業(yè)內(nèi)非常資深的人士告訴記者，特別是在目前的政府采購中，筆記本電腦、手機、數(shù)碼相機、路由器、交換機等高端通信設(shè)備，基本上以國外的產(chǎn)品比較多。因此，在政府的采購領(lǐng)域，信息安全產(chǎn)品進行強制性認證是非常必要的。

“說到安全隱患，廣泛采購的多功能一體機就是一個典型例子?！?這位人士告訴記者。這種多功能一體機集掃描儀、傳真機、打印機和復印機于一身，既可以掃描紙質(zhì)文件和照片，又可以復印和打印文件，還可以直接將電子文檔通過傳真發(fā)給對方。有些設(shè)備還同時具備電話、電子郵件等功能。由于多功能一體機自帶CPU、存儲器、顯示設(shè)備、輸入輸出設(shè)備，集成了信息的采集、處理和傳輸?shù)裙δ?，其本質(zhì)已經(jīng)相當于一臺計算機。因此，與普通計算機一樣，多功能一體機存在著漏洞和后門等安全隱患，尤其在敏感信息處理過程中，存在信息被無意泄露或被惡意竊取的可能。盡管部分廠商宣稱其產(chǎn)品使用了身份認證、加密(存儲加密、傳輸加密)、清除殘留信息等措施來提高安全性，但對于有專業(yè)知識且有惡意企圖的人來說，仍然可以利用多功能一體機竊取敏感信息?！叭绻覀兗尤肓薈CRA，這些國外產(chǎn)品將可以規(guī)避我國的信息安全檢測評估，所帶來的安全風險與隱患不可低估?！?/p>

因此，基于這種考慮，相關(guān)專家諫言，對于是否加入CCRA，是強制性認證還是自愿性認證，中國目前都還需要認真研究、分析。尤其在信息安全領(lǐng)域，無論從產(chǎn)業(yè)發(fā)展角度還是行業(yè)管理角度，中國都不應(yīng)該完全放棄自主的技術(shù)標準，完全去追隨國際標準。這將對我國信息安全產(chǎn)品和技術(shù)的自主創(chuàng)新極為不利。因此，中國目前并沒有申請加入CCRA。

在建立中國自主的信息安全產(chǎn)品認證體系過程中，中國應(yīng)該如何發(fā)展?！拔覀儾荒芨鞣降闹笓]棒走，要堅持自主標準，建立屬于自己的信息安全產(chǎn)品統(tǒng)一認證體系。”有關(guān)人士說。

鏈 接

中國強制認證“堵漏查缺”

國家規(guī)定，對于國家實行強制認證的產(chǎn)品，必須經(jīng)過“中國強制認證”(China Compulsory Certification)，即“CCC”認證。凡列入強制性產(chǎn)品認證目錄內(nèi)的產(chǎn)品，必須經(jīng)國家指定的認證機構(gòu)認證合格，取得相關(guān)證書并加施認證標志后，才能出廠銷售、進口和在經(jīng)營性活動中使用。同時，這個CCC認證也是世界上通行的強制認證慣例。

因此，在CCC認證的基礎(chǔ)上，信息安全產(chǎn)品強制性認證時，產(chǎn)品檢測需經(jīng)過三個環(huán)節(jié): 型式試驗，初始工廠檢查和政府監(jiān)督。對于第一次申請認證的企業(yè)，認證機構(gòu)要到工廠生產(chǎn)線上現(xiàn)場檢查，對產(chǎn)品拍照。在認證發(fā)證后的半年至一年內(nèi)，到市場上和用戶處抽檢。

根據(jù)一位多年從事信息安全認證的老專家介紹，根據(jù)中國國情，剛開始，相關(guān)的認證部門在型式試驗中以抽樣為主，請企業(yè)自己從生產(chǎn)線上送兩臺樣機來。因為信息安全產(chǎn)業(yè)比較小，新技術(shù)和新產(chǎn)品還是以樣機為主。但也有一些企業(yè)試圖利用這個規(guī)定鉆空子。

比如，一些企業(yè)為了在產(chǎn)品說明上列舉更多的測試項和更好的測試結(jié)果，將最高配置的產(chǎn)品送來檢測認證，卻在上市的時候?qū)⒌团渲卯a(chǎn)品拿來銷售。這種方式在過去的檢測標準下，屢禁不止。對此，相關(guān)的認證部門加強了現(xiàn)場審查和檢測，以保障產(chǎn)品是按照企業(yè)規(guī)范和既定說明書生產(chǎn)的。這樣規(guī)范了企業(yè)的一些欺詐行為。對一些安全級別較高的產(chǎn)品，其生產(chǎn)線和開發(fā)場所的開發(fā)環(huán)境也進行檢測。

評 論

誰為信息安全把關(guān)

相比10年前，盡管國內(nèi)信息安全認證的環(huán)境有明顯發(fā)展，但直到目前，我國在信息安全產(chǎn)品認證方面還沒有完全統(tǒng)一的認證標準和體系，強制性認證更加步履艱難。因此，信息安全認證肩負著不輕的使命。

在北京東邊的一片鬧市，中國信息安全認證中心安靜地在不起眼的中認大廈中運營。自1998年以來，由“中國信息安全產(chǎn)品測評認證中心”承擔我國信息安全測評與認證工作。2004年，國家質(zhì)檢總局等八部委聯(lián)合發(fā)布了《關(guān)于建立國家信息安全認證認可體系的通知》，其中要求實行信息安全產(chǎn)品測評和認證職能分離。2006年“中國信息安全認證中心”成立后，原“中國信息安全產(chǎn)品測評認證中心”將信息安全產(chǎn)品的認證工作移交給了新成立的“中國信息安全認證中心”，隨后，“中國信息安全產(chǎn)品測評認證中心”更名為“中國信息安全測評中心”。

對信息安全產(chǎn)品以及信息網(wǎng)絡(luò)的安全實施統(tǒng)一的、必要的認證和監(jiān)管措施勢在必行，因為這對確保信息安全產(chǎn)品質(zhì)量以及保障國家信息安全至關(guān)重要。

特別是在政府的采購領(lǐng)域，政府的信息安全需要通過認證來把關(guān)和保障。雖然不能保證通過檢測認證的產(chǎn)品絕對安全，但至少可以肯定的是，不符合中國標準的產(chǎn)品質(zhì)量是絕對的不合格或不安全的。

依法設(shè)防很有必要，但法規(guī)很難給產(chǎn)品貼上安全等級的標簽，因為同樣的產(chǎn)品，放在不同的環(huán)境中，其安全性要求也有所不同。因此，在不同場合和使用環(huán)境中，標準要求是有特殊性的。以前的檢測認證以及現(xiàn)在的標準符合性檢測認證，是對產(chǎn)品質(zhì)量可靠性信心的保證，但也并非萬無一失。

在《關(guān)于調(diào)整信息安全產(chǎn)品強制性認證實施要求的公告》中，我國已經(jīng)確定了13類安全產(chǎn)品需要進行強制性認證。而在討論確定這13類產(chǎn)品及其認證實施規(guī)則時，來自各個部委的相關(guān)部門有很多不同意見，并為此沒少爭論。例如產(chǎn)品目錄如何確定，每一種產(chǎn)品應(yīng)依據(jù)怎樣的標準，產(chǎn)品的定義，如何檢測、送樣、認證單元如何劃分等，經(jīng)過多方的努力，最終形成了13種產(chǎn)品的認證實施規(guī)則和統(tǒng)一的申請書、檢測報告模板等。這些加起來竟一共1600多頁，約65萬字。但正是因為完成了這么多基礎(chǔ)性的工作，才有可能把這個制度真正落到實處。

雖然目前已相關(guān)部門初步統(tǒng)一了例如檢測的標準要求、檢測的標準環(huán)境、檢測方法、檢測項目、收費、證書等，日后還將規(guī)范到檢測工具、人員的培訓、考試和技術(shù)交流等方面。但信息技術(shù)在發(fā)展，檢測技術(shù)也在發(fā)展，因此標準也要發(fā)展，要完全規(guī)范統(tǒng)一，依然任重道遠。目前盡管有了一定的工作基礎(chǔ)，但很多實施工作還有待進一步統(tǒng)一和規(guī)范。(文/王臻)

圖注:WAPI經(jīng)歷了無人問津、眾人追捧、無限延遲、有望重新進入國際標準投票流程的跌宕命運。

中國3C認證從2003年8月1日起就執(zhí)行。