作為一個新興的認證領域，信息安全認證面臨很多新的課題，隨著信息安全認證機構的增多，以及信息安全認證市場需求的不斷擴大，認證活動中安全風險的監(jiān)管問題正在引起越來越多的關注。

信息安全認證有風險

所謂“信息安全認證中的安全風險”，特指信息安全認證機構借助認證活動的便利條件，知悉被認證組織的敏感信息，或者直接接觸被認證組織的信息系統(tǒng)，從而為被認證組織的信息資產帶來的安全風險，簡稱“認證安全風險”。

與常規(guī)認證認可制度研究中的認證風險概念不同，認證安全風險的承擔者不是認證機構，而是被認證組織。制造風險的直接主體則是認證機構。認證安全風險在本質上屬于信息安全風險，其后果是被認證組織的信息資產的保密性、完整性和可用性遭受損失。

根據(jù)《認證認可條例》定義的認證類型，當前認監(jiān)委已經批準的信息安全認證業(yè)務分為信息安全產品認證、信息安全服務認證和信息安全管理體系認證。在以上三類認證活動中，信息安全產品和信息安全服務的被認證組織僅限于信息安全產品和服務提供商，且目前承擔信息安全產品和服務認證的中國信息安全認證中心是由中編辦批準、隸屬于國家質檢總局的事業(yè)單位。因此，信息安全產品認證和信息安全服務認證中的安全風險已經降至最低。信息安全管理體系認證則不同:首先，其被認證組織遍布國民經濟的各個行業(yè)和各個領域，甚至包括政府等公共機構;其次，國家認監(jiān)委已經放開了信息安全管理體系認證機構的審批，前期已獲批的認證機構中既有國有事業(yè)單位，也有國內企業(yè)，此外還有外資企業(yè)，認證市場的組成十分復雜。因此，目前認證安全風險問題主要存在于信息安全管理體系認證活動中。

從國家安全高度加以重視

1.認證安全風險的表現(xiàn)形式

在信息安全管理體系認證的審核階段，認證機構會接觸到受審核組織大量的敏感信息。這類信息分為兩類:一類是受審核組織的信息系統(tǒng)中存儲的信息;另一類是與受審核組織的信息安全防護相關的信息。例如，受審核組織的信息安全風險評估報告全面記錄了系統(tǒng)的信息資產、對信息安全威脅的判斷、信息安全漏洞、信息安全控制措施配置等信息，網絡拓撲圖也為攻擊者入侵系統(tǒng)提供了豐富的信息。這些信息如果被認證機構惡意使用，或者泄露給惡意第三方，都會導致受審核組織的信息失竊，或使其信息系統(tǒng)被外部控制。

此外，由于認證機構會直接接觸受審核組織的信息系統(tǒng)，存在篡改其信息系統(tǒng)的可能性，例如在系統(tǒng)中植入惡意程序，或改變信息系統(tǒng)的功能，這便是美國國家安全局曾提出的五類信息安全威脅之—臨近攻擊。

以上問題不是在特定時期存在，也不是在特定場合存在，而是在任何一次信息安全管理體系認證中都有可能發(fā)生。因為認證機構為了開展工作，必須接觸受審核組織的信息系統(tǒng)，必須獲得受審核組織的信息安全風險評估報告、網絡拓撲圖等信息安全相關信息。如果受審核組織位于關系國民經濟命脈的重點行業(yè)，則認證機構的惡意行為可能使國家利益嚴重受損。

2.認證安全風險是一個國家安全問題

當前，信息安全已經成為國家安全的重要組成部分，國際上圍繞信息的控制與反控制的斗爭正日趨激烈。但是，很多這樣的斗爭常常隱藏在了看似正常的國際商貿活動之中，使公眾忽視了信息安全斗爭的復雜性和長期性。當前，對認證安全風險的認識往往存在三個誤區(qū):

一是認為認證機構在審核活動中獲得的信息無關緊要。事實上，如今信息安全攻擊與防范的技術的專業(yè)化程度已經超出了很多人的想象。對一個熟練的攻擊者而言，任何有關攻擊目標的些許信息，都可能為其大開方便之門。以最普通的受審核組織的組織架構、員工姓名和聯(lián)系方式等信息為例，這些信息足以使攻擊者發(fā)起一次成功的社會工程攻擊。

二是認為受審核組織的信息僅關系到組織自身的安全，與國家安全相去甚遠。當前，信息技術的廣泛滲透性以及國民經濟和社會發(fā)展對信息技術應用的依賴，使網絡與信息系統(tǒng)的戰(zhàn)略地位凸顯。特別是關系國計民生的重要行業(yè)的網絡與信息系統(tǒng)，已經成為國與國軍事對抗的戰(zhàn)場，成為非常時期敵方打擊的首要目標。正因為如此，中共中央辦公廳于2003年轉發(fā)的《國家信息化領導小組關于加強信息安全保障工作的意見》便將“重點保障基礎信息網絡和重要信息系統(tǒng)安全”作為我國信息安全保障工作的總體要求之一。

三是認為認證機構都是守法企業(yè)，不可能去實施惡意行為。我們并不想對認證機構的行為妄加猜測，但必須強調，這是影響國家信息安全的一種途徑，必須牢固樹立風險防范意識。我國媒體曾多次報道，西方發(fā)達國家在近年來極力收集我基礎信息網絡和重要信息系統(tǒng)的敏感信息，甚至在這些網絡與信息系統(tǒng)中大量植入后門、木馬等惡意程序。來自西方發(fā)達國家的信息技術企業(yè)在華的擴張與滲透無疑為其上述行為提供了便利條件。任何商業(yè)實體都是具有國籍屬性的，都可能在國家緊急動員時被以國家意志而“征用”，為各國的政治服務。

建立信息安全服務管理制度

認證安全風險的出現(xiàn)是認證認可領域中的一個新問題。但是，在信息安全領域，類似問題由來已久，這便是信息安全服務的管理問題。目前，我國對信息安全服務的類型尚無統(tǒng)一標準，但無論在哪一種信息安全服務中，服務提供者對服務對象的了解都是深入和細致的，甚至直接掌控服務對象的信息系統(tǒng)和重要信息。從服務提供者與服務對象的關系以及服務的技術特征角度而言，信息安全管理體系認證是一種特殊的信息安全服務。在服務過程可能引發(fā)安全風險這一問題上，信息安全認證與其他信息安全服務毫無二致。由此，安全風險的管理對策也必然具有共通性。

為了加強信息安全服務管理，近年來我國有關部門和一些地方政府先后實施了信息安全相關服務管理制度。但是，這些制度的適用范圍有限，且多關注服務能力，沒有考慮如何防范安全風險。

目前，國外信息安全服務商和信息技術服務商已經在我國高端服務市場占壟斷地位，這早已被視為國家信息安全的重大隱患。近年來，我國網絡與信息安全主管部門多次展開廣泛調研，但目前尚未發(fā)布信息安全服務管理政策意見。在這種情況下，要解決信息安全認證中的安全風險，目前還缺少更加明晰的政策環(huán)境和直接的政策支持。

管理認證安全風險六大對策

當前認證安全風險主要存在于信息安全管理體系認證領域，如何加強信息安全管理體系認證領域的安全風險管理?

1.管理目標

我國對涉密信息系統(tǒng)有著嚴格管理，沒有涉密系統(tǒng)集成資質的企業(yè)不能向其提供安全服務。至于政府信息系統(tǒng)，在相當長時間內申請信息安全管理體系認證者極少。因此，加強認證安全風險管理的主要目標，是確?；A信息網絡和重要信息系統(tǒng)在接受認證時的安全。建議圍繞這一目標設立管理制度。

2.管理重點

建議認證認可監(jiān)督管理部門在認證程序方面設定嚴格要求，例如禁止認證機構攜帶電子設備進入審核現(xiàn)場，不得將客戶的任何紙質或電子資料帶離現(xiàn)場，任何資料不得離境等。在制定這些管理要求時，一是要注意可行性，避免影響正常的認證活動，二是不能與將來發(fā)布的ISO/IEC 27007《信息安全管理體系審核指南》相悖。

但是，以上措施只能在一定程度上降低認證風險，而不能從根源上杜絕風險。從各國對供應鏈安全管理的實際經驗及發(fā)展趨勢看，在重要領域屏蔽國外機構的服務，應該是最終的方向。我們關注的重要領域不僅僅是軍事和情報系統(tǒng)，可能會有人質疑這違反了WTO規(guī)則的國民待遇原則。其實，WTO規(guī)則規(guī)定了一般安全例外和國家安全例外，但并未對國家安全的范疇作出定義。從我國信息化發(fā)展和信息安全保障的具體情況出發(fā)，當前完全可以明確基礎信息網絡和重要信息系統(tǒng)與國家安全的關系，要敢于在此領域適用“國家安全例外”。當然，這會引發(fā)與他國的新一輪政治和經濟博弈，但在涉及國家安全的重大問題上，必須有這樣的決心。否則，我國的認證安全風險管理政策以及今后的信息安全服務管理政策終將難有作為。

3.管理環(huán)節(jié)

認證安全風險管理的目標是保護特定領域網絡與系統(tǒng)的安全，因此難以在準入環(huán)節(jié)上對認證機構區(qū)別對待。建議以采購管理為主，準入管理為輔。但準入環(huán)節(jié)依然可以發(fā)揮前置門檻的作用，對認證市場進行總量控制，以減輕采購環(huán)節(jié)的壓力。在采購環(huán)節(jié)，如當前出臺強制性采購政策的操作阻力較大，則可先行出臺指導性意見，引導基礎網絡和重要信息系統(tǒng)選擇國內認證機構提供的信息安全管理體系認證服務。

4.風險管理與信息安全服務管理政策的關系

認證安全風險管理政策是一種特殊的信息安全服務管理政策，應受到我國信息安全服務管理制度所確立的總體原則的指導和支持。但在我國信息安全服務管理政策依然缺位的情況下，不妨先制定認證安全風險管理政策，這也可以為將來出臺信息安全服務管理政策積累經驗。當然，這會在一定程度上增加認證安全風險管理政策的起草難度，特別是在采購政策方面。

與管理其他信息安全服務中的安全風險相比，認證安全風險管理工作也有兩個有利條件:一是國內認證機構已經成熟，可以完全替代國外認證機構的服務，甚至在某些領域的影響力已經超越國外認證機構;二是信息安全認證機構及其認證活動已經受到國家認監(jiān)委的嚴格管理，而目前絕大多數(shù)信息安全服務都缺少主管或監(jiān)管部門。在制定認證安全風險管理政策時，要充分利用這兩個有利條件。

5.輔助措施

一是加大宣傳和引導力度。目前國內很多用戶對信息安全管理體系認證還存在不當認識，例如很多人不知道成立認證機構以及開展認證活動需要得到認監(jiān)委的審批，還有一些人認為國外認證機構頒發(fā)的是國際證書，而國內認證機構頒發(fā)的證書則沒有權威性等。這將導致用戶在選擇認證機構時帶有錯誤的傾向性，以及證書采信者對證書價值產生誤判。目前這一問題非常嚴重，一些地方政府出臺的認證資助政策甚至規(guī)定，只資助獲得國外證書的企業(yè)，而對國內的證書不予承認。

二是嚴格市場準入條件，實行總量控制，并對違反《認證認可條例》的行為進行嚴厲查處。

三是積極推動信息安全管理體系認證的國際互認工作。

四是大力鼓勵國內認證機構的發(fā)展，提高國內認證機構的品牌影響力。

6.管理責任

認證安全風險管理工作應由哪一個部門牽頭?從《認證認可條例》制定的初衷看，監(jiān)管目標的核心還是確保認證有效性。認證風險是認證認可制度研究中的熱點問題，但認證安全風險與傳統(tǒng)的認證風險的概念完全不同，也與認證有效性沒有邏輯上的必然聯(lián)系。至于認證機構在認證活動中的違法行為(這些違法行為當然不限于違反了《認證認可條例》)，應由法律授權的部門在各自職責范圍內予以查處。認證安全風險是信息化發(fā)展帶來的新問題，目前我國還沒有立法對收集客戶信息(包括修改客戶的信息系統(tǒng))以及信息出境問題進行規(guī)范，對公民個人信息以及企業(yè)秘密的保護也缺少完善的法律規(guī)定。在這種情況下，認證認可監(jiān)督管理部門從維護社會公平正義的角度出發(fā)，對認證機構的保密義務作出了規(guī)定，并且還擁有手段和龐大的執(zhí)法隊伍。但是，不能就此推論應由認證認可監(jiān)督管理部門負責信息安全認證風險管理。

當然，可以修改現(xiàn)有的法規(guī)，或起草新的法規(guī)，授權各行業(yè)監(jiān)管部門對本行業(yè)的信息安全風險進行管理，這并非不可行。建議將來的信息安全立法中要在總體上明確我國信息安全服務管理體制及主管部門。其主管部門可以根據(jù)具體服務類型的不同分為多個，例如國務院網絡與信息安全主管部門可對認證服務之外的多數(shù)服務設立行政許可，并查處侵害客戶信息安全利益的服務行為。對于認證服務這類已有監(jiān)督管理部門的，則完全可以授權認證認可監(jiān)督管理部門對認證安全風險進行監(jiān)管。

因此，責任制問題的實質，是立法問題。只要我國信息安全服務管理制度設計完善，并立法明確信息安全服務管理部門的責任，并非不可以由認證認可監(jiān)督管理部門承擔認證安全管理職責，但這種管理也僅限于規(guī)則的制定和對認證機構的查處，不能涉及采購環(huán)節(jié)。

認證安全風險管理涉及到多個方面的工作，必然需要建立多部門合作機制，相互配合，不能簡單地講由哪一個部門負主要責任。美國在解決供應鏈安全問題的思路中，屢次強調“綜合性”、“多管齊下”、“戰(zhàn)略性”，也是出于同樣的原因。我國信息安全立法還不十分完善，客觀上造成了一些重大事項責任制的模糊。在當前這種情況下，我們建議在實踐中對認證安全風險管理工作職責作如下區(qū)分:

國務院網絡與信息安全主管部門一要盡快制定基礎信息網絡和重要信息系統(tǒng)使用認證服務的有關采購規(guī)定，二要加快《信息安全條例》的制定，在條例中明確哪些信息安全服務中的行為應予禁止。

國務院認證認可監(jiān)督管理部門充分利用現(xiàn)有的監(jiān)管手段，一要在可能的情況下繼續(xù)嚴格信息安全管理體系認證程序，維護國家秘密和商業(yè)秘密的安全，二要加強本文前面提到的四項輔助性措施。

國外的安全風險防范意識及相關措施

以美國的信息安全產品認證為例，雖然美國是CC(信息技術安全性評估通用準則)互認協(xié)定的發(fā)起國，但其政府公布的產品采購清單(用于國家安全系統(tǒng)中)上，迄今沒有由國外認證機構認證的產品。

對信息安全管理體系認證等業(yè)務，西方發(fā)達國家目前雖然還沒有專門的安全風險防范措施，但對于包含認證服務在內的所有的信息安全和信息技術相關服務，西方發(fā)達國家都在重點領域(例如國防和政府部門)施以嚴格的準入措施。例如:德國政府的信息安全服務全部由德國信息安全辦公室(BSI)完成，國外企業(yè)根本不可能涉足。

美國在鼓勵其企業(yè)在各國擴張的同時，對自身在采購信息技術產品和服務過程中面臨的風險極為警惕。多年以來，美國一直在研究“供應鏈”的安全問題。2009年5月，美國政府發(fā)布了網絡空間安全政策評估報告，提出要整合執(zhí)法、情報、反情報、軍事等力量，對從遠程網絡入侵到供應鏈安全等全面的信息安全威脅進行抵御。2010年3月，美國政府解密了曾一度被列為高度機密的第54 號國家安全總統(tǒng)令的摘要，該摘要顯示，美國已將情報威脅和供應鏈威脅列為信息安全領域的兩大重點威脅。其關注的供應鏈問題涵蓋了產品、系統(tǒng)和服務這三類對象，提出的解決該問題的工作方向有四個:一是必須提高安全意識;二是在技術層面開發(fā)風險控制工具;三是在政策層面調整采購政策;四是加強與工業(yè)界的合作。

我國企業(yè)聯(lián)想集團并購IBM全球個人計算機業(yè)務一案，進一步說明了美國對國外產品和服務提供商的防范意識。美國曾迫使聯(lián)想集團簽署了“國家安全協(xié)議”，要求聯(lián)想在參與美國的政府采購時，不得以任何形式索取、接受、維護、鑒別有關美國政府定購計算機產品的用戶信息，以及任何有關具體的美國政府部門可能會采購計算機產品的信息。為此，聯(lián)想不得直接向美國政府銷售，而必須通過第三方代理銷售;同時，不準美國政府用戶的信息走出美國本土。而且，聯(lián)想還必須接受美國安全部門對其信息系統(tǒng)使用情況的檢查;另外，聯(lián)想必須通過美國政府認可的本國公司提供產品售后服務，而不能直接進行產品售后服務。通過這些舉措，完全排除了聯(lián)想直接接觸美國的重要機構及其系統(tǒng)的可能性，甚至連哪些部門購買了其計算機設備都無從知曉。