高曉文 余歡

(中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 北京 100020)

1 我國信息安全檢測認(rèn)證服務(wù)平臺現(xiàn)狀分析

1.1 我國信息安全檢測認(rèn)證服務(wù)及業(yè)務(wù)發(fā)展?fàn)顩r

檢測認(rèn)證體系，在其發(fā)展的歷程上已經(jīng)存在了一百多年，目前，檢測認(rèn)證體系在全球的八十余個(gè)國家得到了廣泛應(yīng)用。我國的檢測認(rèn)證體系起源于1980 年左右，直至目前已建立了較為健全的規(guī)章制度和配套的相關(guān)管理標(biāo)準(zhǔn)框架[1]。檢測認(rèn)證服務(wù)逐漸成為各個(gè)國家規(guī)范產(chǎn)品質(zhì)量和提升技術(shù)含量的有力措施，日益受到各界的肯定與青睞[2]。

檢測認(rèn)證是現(xiàn)代質(zhì)量認(rèn)證體系的主要業(yè)務(wù)。檢測認(rèn)證的本質(zhì)，是通過中立的權(quán)威和科學(xué)規(guī)范、公平公正的證據(jù)，為使用者提供客觀、進(jìn)步的標(biāo)準(zhǔn)。檢測認(rèn)證的過程是依據(jù)國家、行業(yè)以及其他認(rèn)證機(jī)構(gòu)確認(rèn)的技術(shù)規(guī)范，從產(chǎn)品中抽取部分樣本進(jìn)行檢測，檢查認(rèn)證對象的產(chǎn)品質(zhì)量情況，對產(chǎn)品進(jìn)行檢測和認(rèn)證，并在之后實(shí)施有周期性的復(fù)查[3]。實(shí)質(zhì)上，作為政府授權(quán)的具有技術(shù)測試和認(rèn)證能力的權(quán)威機(jī)構(gòu)，科學(xué)公正的檢測活動是按照嚴(yán)格的程序進(jìn)行的。檢測認(rèn)證一般以授予認(rèn)可證書或者認(rèn)證標(biāo)志為主要表示方法。

我國相關(guān)部門在信息安全的檢測認(rèn)證領(lǐng)域的工作持續(xù)開展中。近20年來，我國的檢測認(rèn)證快速發(fā)展得益于吸取了其他國家的測評認(rèn)證經(jīng)驗(yàn)，在此基礎(chǔ)上取其精華去其糟粕，初步構(gòu)建完善了信息安全檢測認(rèn)證體系及實(shí)施體系[4]。最早有關(guān)信息安全檢測的規(guī)章制度是在1997年發(fā)布的，在同年2月，公安部公布了有關(guān)信息安全產(chǎn)品的檢驗(yàn)和許可標(biāo)準(zhǔn)，未進(jìn)入市場的產(chǎn)品必須通過一系列檢驗(yàn)和認(rèn)證，然后再申請計(jì)算機(jī)安全專用產(chǎn)品許可證方可在市場流通。在1998 年7 月，公安部成立了計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢查中心，并經(jīng)國家技術(shù)監(jiān)督局和公安部的批準(zhǔn)，正式成為國家法定機(jī)構(gòu)，負(fù)責(zé)檢測國內(nèi)計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品及相關(guān)進(jìn)口產(chǎn)品的質(zhì)量。1998 年10 月我國成立了國家信息安全測評認(rèn)證中心，其前身是“中國互聯(lián)網(wǎng)安全產(chǎn)品測評認(rèn)證中心”。國家信息安全測評認(rèn)證中心是一個(gè)根據(jù)與國家信息安全管理相關(guān)的法律法規(guī)和配套政策對信息安全產(chǎn)品和服務(wù)進(jìn)行審查和認(rèn)證的組織。1999 年2 月，國家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)成立中國國家信息安全測評認(rèn)證委員會，同時(shí)發(fā)布了國家首批證書目錄、信息產(chǎn)品安全測評認(rèn)證管理辦法和國家信息安全認(rèn)證標(biāo)志。2006 年11 月，在中央編制委的指導(dǎo)下，成立了中華人民共和國國家網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC，原信息安全認(rèn)證中心），是國家市場監(jiān)督管理機(jī)構(gòu)，按照《國家網(wǎng)絡(luò)安全法》以及國家強(qiáng)制性產(chǎn)品認(rèn)證、有關(guān)網(wǎng)絡(luò)安全監(jiān)督管理方面的法律法規(guī)，進(jìn)行國家網(wǎng)絡(luò)安全審核技術(shù)與認(rèn)定工作的專門機(jī)構(gòu)。

1.2 粵港澳大灣區(qū)信息安全檢測認(rèn)證服務(wù)和業(yè)務(wù)的發(fā)展情況

香港的檢測認(rèn)證服務(wù)從20 世紀(jì)80 年代開始如雨后春筍般發(fā)展。2016 年已經(jīng)有了770 多家機(jī)構(gòu)，其中大部分是擁有約18 000名員工的私營實(shí)驗(yàn)室。香港的測評認(rèn)證具有巨大的開發(fā)潛力，被公認(rèn)為是未來的朝陽產(chǎn)業(yè)。2009年9月，香港檢測和認(rèn)證局正式成立，其主要目的是增強(qiáng)香港檢測認(rèn)證服務(wù)的專業(yè)性，提高國際認(rèn)可度，就行業(yè)總體發(fā)展戰(zhàn)略向政府提供建議。成員包括業(yè)界從業(yè)員，以及商界專業(yè)團(tuán)體、相關(guān)公營機(jī)構(gòu)和政府部門的代表。創(chuàng)新科技署為該局提供支持。

在澳門，從事信息安全認(rèn)證的機(jī)構(gòu)并沒有在內(nèi)地的“全國認(rèn)證認(rèn)可信息公共服務(wù)平臺”登記。中國檢驗(yàn)認(rèn)證集團(tuán)澳門有限公司是在澳門從事信息安全認(rèn)證業(yè)務(wù)的機(jī)構(gòu)。該公司是經(jīng)對外貿(mào)易經(jīng)濟(jì)合作部和國務(wù)院港澳事務(wù)辦事處批準(zhǔn)，由國家認(rèn)監(jiān)委直接管理的在澳機(jī)構(gòu)，同時(shí)也是國家質(zhì)監(jiān)檢疫總局授權(quán)開展檢驗(yàn)檢疫工作的唯一機(jī)構(gòu)。2019年11月20日，澳門特別行政區(qū)代表和商務(wù)部代表簽訂了《關(guān)于修訂〈CEPA 服務(wù)貿(mào)易協(xié)議〉的協(xié)議》，自簽署之日起生效，于2020年6月1日起正式實(shí)施，對《〈內(nèi)地與澳門關(guān)于建立更緊密經(jīng)貿(mào)關(guān)系的安排〉服務(wù)貿(mào)易協(xié)議》的部分內(nèi)容進(jìn)行修訂，在協(xié)議附件中明確了允許經(jīng)澳門檢測機(jī)構(gòu)與內(nèi)地認(rèn)證機(jī)構(gòu)合作，在廣東自由貿(mào)易試驗(yàn)區(qū)試行粵港澳認(rèn)證及相關(guān)檢測業(yè)務(wù)互認(rèn)制度，實(shí)行“一次認(rèn)證、一次檢測、三地通行”。

粵、港、澳三地?fù)碛行畔踩J(rèn)證資質(zhì)的企事業(yè)單位共有16 家，其中，具有信息安全管理體系認(rèn)證資質(zhì)的，廣州地區(qū)有3 家、深圳地區(qū)有9 家。中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC，原中國信息安全認(rèn)證中心）處于信息安全認(rèn)證行業(yè)的龍頭地位。香港品質(zhì)保證局一直是香港認(rèn)證行業(yè)的領(lǐng)導(dǎo)者之一。澳門的代表企業(yè)是中國檢驗(yàn)認(rèn)證集團(tuán)澳門有限公司。

1.3 大灣區(qū)信息安全檢測認(rèn)證服務(wù)平臺搭建的必要性

首先，我國高度重視網(wǎng)絡(luò)信息安全檢測認(rèn)證工作。信息安全和國家安全關(guān)系密切，應(yīng)當(dāng)給予格外關(guān)注[5]。在信息網(wǎng)絡(luò)安全協(xié)調(diào)會議上強(qiáng)調(diào)，要建設(shè)好信息安全測評認(rèn)證中心。2019 年全國網(wǎng)絡(luò)安全和信息化工作會議上，習(xí)近平總書記就實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國的目標(biāo)提出，要培養(yǎng)科學(xué)的網(wǎng)絡(luò)安全觀念，落實(shí)信息基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)安全防護(hù)建設(shè)，完善網(wǎng)絡(luò)安全信息協(xié)調(diào)機(jī)制，發(fā)展網(wǎng)絡(luò)安全維護(hù)手段，構(gòu)建信息安全平臺，提高網(wǎng)絡(luò)安全事件應(yīng)急指揮能力，大力開發(fā)網(wǎng)絡(luò)安全產(chǎn)業(yè)。

其次，重點(diǎn)產(chǎn)業(yè)新領(lǐng)域業(yè)務(wù)的發(fā)展，對信息系統(tǒng)安全服務(wù)的提供者的服務(wù)能力提出了更高的要求。網(wǎng)絡(luò)5G、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、智能制造、區(qū)塊鏈、汽車產(chǎn)品和智慧城市等的建設(shè)和發(fā)展，對信息安全有更高要求。通過大灣區(qū)信息案例檢測認(rèn)證服務(wù)平臺，強(qiáng)化粵港澳三地合作，發(fā)揮各自區(qū)域特色，深化重點(diǎn)領(lǐng)域檢測認(rèn)證合作互認(rèn)工作機(jī)制的探索和實(shí)踐。

最后，大灣區(qū)的發(fā)展需要一個(gè)全新的開放平臺。通過大灣區(qū)信息案例檢測認(rèn)證服務(wù)平臺，結(jié)合在大灣區(qū)下工作機(jī)制體制創(chuàng)新優(yōu)勢，從而增強(qiáng)區(qū)域統(tǒng)籌力度，進(jìn)一步完善檢驗(yàn)檢測產(chǎn)業(yè)鏈，提升區(qū)域影響力和輻射力，合力打造粵港澳大灣區(qū)檢驗(yàn)檢測認(rèn)證品牌；信息安全檢測認(rèn)證助力智聯(lián)網(wǎng)安全。

2 大灣區(qū)信息安全檢測認(rèn)證服務(wù)平臺的構(gòu)建

2.1 構(gòu)建原則

面向加強(qiáng)對粵港澳大灣區(qū)信息安全檢測認(rèn)證業(yè)務(wù)的發(fā)展要求，著眼于建立一個(gè)借力大灣區(qū)的信息安全檢測認(rèn)證資訊公共服務(wù)Web 平臺，從公共服務(wù)的角度來看，它為大灣區(qū)及周邊地區(qū)提供較全面和及時(shí)的信息安全服務(wù)，搭建檢測認(rèn)證機(jī)構(gòu)相關(guān)信息的咨詢平臺，幫助大灣區(qū)企業(yè)和個(gè)人用戶及時(shí)尋找到合適的機(jī)構(gòu)，解決遇到的信息安全技術(shù)難題，以專業(yè)的力量應(yīng)對信息安全風(fēng)險(xiǎn)，推動大灣區(qū)信息安全檢測認(rèn)證管理業(yè)務(wù)的發(fā)展和彰顯網(wǎng)安中心社會責(zé)任，具體如圖1所示。

圖1 大灣區(qū)信息安全檢測認(rèn)證服務(wù)平臺展示

2.2 框架模型

平臺整體采用主流前后端分離的微服務(wù)架構(gòu)，在應(yīng)用技術(shù)方面，系統(tǒng)整體構(gòu)建在JAVA虛擬機(jī)上，支持跨平臺部署，能在WINDOWS 及LINUX 操作系統(tǒng)上運(yùn)行，底層數(shù)據(jù)庫采用mysql 關(guān)系型數(shù)據(jù)庫及nosql 緩存數(shù)據(jù)庫redis，通過構(gòu)建各種微服務(wù)后端接口供前端業(yè)務(wù)界面調(diào)用；在業(yè)務(wù)層方面，通過構(gòu)建4種不同場景角色的平臺入口來分別進(jìn)行管理，具體有：（1）公眾前臺，主要有各類服務(wù)展示、機(jī)構(gòu)展示、服務(wù)/機(jī)構(gòu)檢索、登錄注冊等；（2）個(gè)人控制臺，主要供個(gè)人登錄后對個(gè)人信息進(jìn)行維護(hù)，以及進(jìn)行求助信息的發(fā)布管理；（3）機(jī)構(gòu)/企業(yè)控制臺，主要供機(jī)構(gòu)/企業(yè)登錄審核通過后，對機(jī)構(gòu)信息如營業(yè)執(zhí)照、資質(zhì)等，以及檢測服務(wù)進(jìn)行錄入編輯查詢管理，通過對信息提供未提交、審核中、已審核、已退回的不同狀態(tài)下進(jìn)行審核管理與發(fā)布；（4）系統(tǒng)管理控制臺，主要供系統(tǒng)管理、運(yùn)營管理人員進(jìn)行企業(yè)機(jī)構(gòu)信息的審核，包括用戶、角色、部門、機(jī)構(gòu)、權(quán)限等管理。同時(shí)也為更好運(yùn)維管理提供了消息提醒、導(dǎo)航菜單配置管理、系統(tǒng)數(shù)據(jù)字典、配置管理、詳細(xì)的日志記錄等，具體如圖2、圖3所示。

圖2 整體架構(gòu)

圖3 特色檢測錄入界面展示圖

2.3 平臺特點(diǎn)

（1）為了使平臺具有較強(qiáng)的擴(kuò)展性，適應(yīng)變化，平臺設(shè)計(jì)實(shí)現(xiàn)上主要包括如下特點(diǎn)：采用ant design,vue與spring boot 主流先進(jìn)技術(shù)與組件，構(gòu)建前后端分離、微服務(wù)、響應(yīng)式設(shè)計(jì)、個(gè)性化換膚等高體驗(yàn)。（2）為了提高性能體驗(yàn)，對常用數(shù)據(jù)如用戶信息等采用了緩存技術(shù)以應(yīng)對高并發(fā)訪問。（3）細(xì)粒度，可擴(kuò)展的權(quán)限體系，支持機(jī)構(gòu)、角色、個(gè)人用戶權(quán)限配置，同時(shí)運(yùn)營管理員能對企業(yè)提交的各類數(shù)據(jù)進(jìn)行審核，具體如圖4、圖5所示。（4）為了應(yīng)對檢測認(rèn)證服務(wù)不斷變化的需要，在服務(wù)分類方面支持無限級別分類自定義維護(hù)，包括常用屬性的字典維護(hù)，方便業(yè)務(wù)擴(kuò)展。（5）前臺按多種維度進(jìn)行機(jī)構(gòu)的組合過濾與檢索展示，如按檢測分類、單位性質(zhì)、單位類別等，方便用戶查看及檢索信息。（6）為了方便用戶查找檢測機(jī)構(gòu)，支持服務(wù)地圖查找展示，如圖6 所示。（7）采用的前端技術(shù)能兼容主流瀏覽器，如IE11 及Chrome、360 等主流瀏覽器。（8）系統(tǒng)設(shè)計(jì)預(yù)留了核心業(yè)務(wù)的接口授權(quán)訪問，以供未來移動端擴(kuò)展以及第三方系統(tǒng)對接調(diào)用。

圖4 資質(zhì)證書審批狀態(tài)展示圖

圖5 檢測管理審批狀態(tài)展示圖

圖6 檢測服務(wù)地圖查找展示圖

3 加強(qiáng)大灣區(qū)信息安全檢測認(rèn)證服務(wù)平臺內(nèi)在附加值挖掘的建議

（1）推廣應(yīng)用大灣區(qū)信息安全檢測認(rèn)證服務(wù)平臺，建立運(yùn)營運(yùn)維團(tuán)隊(duì)，規(guī)范服務(wù)流程，擴(kuò)大使用覆蓋，增強(qiáng)影響力。要充分滿足用戶信息案例，檢測認(rèn)證服務(wù)信息查詢和檢索需求，除了檢索模式的革新，關(guān)鍵還要解決檢索內(nèi)容的全面、準(zhǔn)確、有效[6]。因此，大灣區(qū)信息安全檢測認(rèn)證服務(wù)平臺的推廣應(yīng)用，不僅要以平臺設(shè)計(jì)為核心，更重要的是一個(gè)合格的“內(nèi)容供應(yīng)商”，因此，需要進(jìn)一步完善系統(tǒng)平臺功能，增加各類資訊發(fā)布、優(yōu)化檢索體驗(yàn)等，為打造粵港澳大灣區(qū)檢驗(yàn)檢測認(rèn)證品牌提供強(qiáng)有力的核心技術(shù)保障。

（2）為滿足當(dāng)前經(jīng)濟(jì)社會發(fā)展對信息安全檢測認(rèn)證工作提出的新需求，還應(yīng)整合信息安全檢測認(rèn)證資源，探索信息安全檢測認(rèn)證服務(wù)新模式，協(xié)同各省地方進(jìn)行信息內(nèi)容的共享，在大灣區(qū)，甚至全國，信息安全檢測認(rèn)證資源共享網(wǎng)絡(luò)平臺，向社會提供信息安全檢測認(rèn)證服務(wù)。