当好政府信息安全的把关人

图为中国信息安全认证中心副主任陈晓桦（前排中间）正与中心业务骨干进行研讨。

中国信息安全认证中心始终以保障国家信息安全为己任，以打造国际一流专业信息安全认证机构为目标。   

截止到2010年9月底，中国信息安全认证中心已颁发139张“国家信息安全认证”证书。在已获得认证的产品中，防火墙、入侵检测系统、安全隔离与信息交换、安全审计系统占绝大多数。

担负这项信息安全保障工作的中国信息安全认证中心就是在国家经济建设持续健康发展中顺势而生的。自2006年成立至今，中心承担了信息安全产品认证的相关工作，自从信息安全产品强制性认证成为我国政府采购活动的重要资质后，认证工作愈加凸显其重要性。

日前，中国信息安全认证中心副主任陈晓桦和产品认证处处长布宁共同为记者解开了信息安全产品认证的面纱。

制度为认证工作保驾护航

中国信息安全认证中心副主任陈晓桦告诉记者，自上个世纪90年代以来，国家有关部门和一些地方政府已对部分信息安全产品实施了评价、许可或采购管理制度，积极推动了国家信息安全产品测评与认证工作。在实际工作中，这些管理制度在保障信息安全、推动信息化发展等方面发挥了积极作用。

2003年，中共中央办公厅、国务院办公厅出台的《关于转发〈国家信息化领导小组关于加强信息安全保障工作的意见〉的通知》（中办发[2003]27号文件）明确提出，要推进认证认可工作，规范和加强信息安全产品测评认证；建立健全信息安全市场服务体系，为我国信息安全产业发展创造良好的市场环境。

2004年，国家认监委、公安部等8部委联合出台了《关于建立国家信息安全产品认证认可体系的通知》（国认证联〔2004〕57号），首次提出建立我国信息安全产品认证认可体系的指导思想、目标、基本原则、工作机制、建设方案和建设计划。

根据57号文确定的目标要求和指导思想，相关部委于2008年发布了《第一批信息安全产品强制性认证目录》，将防火墙等13类信息安全产品纳入强制性认证范围，并规定自2009年5月1日起，凡列入该强制性认证目录的信息安全产品，未获得强制性产品认证证书和未加施中国强制性认证标志的，不得出厂、销售、进口或在其他经营活动中使用。其后为保证信息安全认证工作的连续性和稳定性，在综合考虑国际国内政治与经济形势的基础上，相关部门又发文将信息安全产品强制性认证的强制性实施时间延至2010年5月1日。

专业的第三方机构应运而生

采取认证认可制度保障信息安全是各国的通用做法。中国信息安全认证中心从酝酿到成立历时近5年。“制度最终落实到执行层面才能充分发挥其作用。”陈晓桦认为，除了国家对信息安全的重视外，我国信息安全产品认证现状也是中心诞生的助推器。

据记者了解，在信息安全产品认证认可体系建立之前，各部门分别实施的评价及许可制度造成了对同一产品检测标准不一致和重复检测、重复收费，实验室重复建设造成了国家资源浪费且检测水平不高，评价活动与行政执法检查职责混淆，现行的多种评价体制对安全性能覆盖不全。

当时，很多企业对“政出多门”及“证出多门”的现象多有腹诽，一种产品为获得市场准入，需要获得评价内容基本相同的多张证书。这种现象既加重了企业负担，又降低了工作效率。这些问题不仅影响了我国信息安全产业的健康发展，而且对国家信息安全保障工作也难以提供有效支撑。

国家有关部门意识到，只有建立一个统一管理、共同实施的工作机制，才能解决重复管理、重复认证的问题，同时能满足各有关部门的管理和使用需求。于是，经中央机构编制委员会办公室批准，中国信息安全认证中心在2006年11月正式挂牌成立。根据国家认监委2008年3号公告，中国信息安全认证中心是我国信息安全产品强制性认证的指定认证机构。中心始终致力于提供全面的专业化认证及培训服务，并得到了信息安全界专家及知名企业的广泛认同。

同时，国家认监委还公布了信息安全产品强制性认证的第一批指定实验室，包括信息产业部计算机安全技术检测中心、国家保密局涉密信息系统安全保密测评中心、公安部计算机信息系统安全产品质量监督检验中心、国家密码管理局商用密码检测中心、中国信息安全测评中心信息安全实验室、北京信息安全测评中心和上海市信息安全测评认证中心7家机构。

2009年9月，北京启明星辰信息安全技术有限公司等14家企业的34款产品获得了我国信息安全产品认证制度建立以来首次颁发的产品认证证书。当时，国家认证认可监督管理委员会主任孙大伟表示，获得国家信息安全产品认证证书既表明产品的质量和安全性符合相关标准和技术规范的要求，又意味着产品具备进入政府采购领域的必要条件。首批产品证书的颁发表明信息安全产品认证认可体系进入了实质性运行阶段。

产品选择和认证科学严谨

根据规定，目前进入政府采购的信息安全产品需要通过强制性认证的有防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复等13种。

陈晓桦告诉记者，之所以从市场上常见的六、七十种产品中选择这13种，是因为这些产品的标准比较成熟。在目录选择制定的过程中，大家认识到我国当前在信息安全标准化建设方面还需要加大工作力度、加快工作步伐。因此，今后积极参与相关产品的标准制定是中心的主要工作内容之一。

据中国信息安全认证中心产品认证处处长布宁介绍，目前国家信息安全产品的认证模式采用的是“型式试验+初始工厂检查+获证后监督”。对于初次申请认证的企业，认证机构要对产品的生产厂（或开发场所）进行现场检查，并对获证后的产品进行定期的监督，必要情况下，认证机构可采取事先不通知的方式对生产厂实施监督。型式试验的样品一般是以送样为主，由企业自己选送测试样品，因此有个别企业试图利用这个规定钻空子。

比如，一些企业为了在产品说明上列举更多的测试和更好的测试结果，将最高配置的产品送来检测认证，却在上市的时候将低配置产品拿来销售。这种方式在过去的管理方式下屡禁不止。对此，认证中心加强了现场检查和产品一致性的核查，这样可避免一些企业的欺诈行为。而且，对一些安全级别较高的产品，按照国家标准针对其生产线和开发场所的开发环境进行的现场核查，可以进一步了解生产商的质量管理水平和安全保障能力，提高我们对产品质量和生产过程安全保障的信任度。

对于采购人关心的产品与证书是否一一对应的问题，布宁告诉记者，每个产品型号不一定都对应一张认证证书，同一产品单元认证即核心指标相同、边缘指标或外形不同的产品也可作为同一认证。一般情况下，认证周期为30—90个工作日，证书有效期为5年。在有效期内，产品每年都会进行年度监审，以保持监督的连续性。如有采购人反映产品有功能性问题，将暂停其认证资格，后经复核查实的将撤销其认证资格。

政采是信息安全认证的南泥湾

对信息安全产品以及信息网络的安全实施统一而有必要的认证和监管措施势在必行。因为这对确保信息安全产品质量以及保障国家信息安全至关重要。在陈晓桦看来，特别是在政府采购领域，政府的信息安全需要通过认证来把关。

2010年4月底，为保证信息安全产品政府采购活动的正确落实，财政部等4部委联合发布了《关于信息安全产品实施政府采购的通知》（财库〔2010〕48号），明确规定各级采购人使用财政性资金采购信息安全产品的，应当采购经国家认证的信息安全产品。

在政府采购活动中，采购人或其委托的采购代理机构要按照《政府采购法》的规定，在政府采购招标文件中载明对产品获得信息安全认证的要求，并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。对采购人或其委托的采购代理机构未按上述要求采购的，有关部门要按照有关法律、法规和规章予以处理，财政部门视情况可以拒付采购资金。

陈晓桦表示，信息安全认证既是我国信息安全保障体系建设的基础性工作，又是加强新形势下信息安全保障工作的制度性安排。从技术角度来看，信息安全主要包括2个方面的安全：一是信息系统的安全，为的是保证信息系统提供持续和安全可靠的服务。二是信息内容的安全。产品是构建信息系统的基本要素，而信息安全产品的主要角色就是要在信息系统当中发挥其安全保障的作用，中心的主要任务就是对政府采购的信息安全产品把关。

 “接下来，中心将在财政部的领导下，与相关部门充分沟通，继续为信息安全产品实施政府采购提供更好的技术支持。”陈晓桦如是说。

相关链接

中国信息安全认证中心（ISCCC）是经中央机构编制委员会办公室批准成立，由公安部、国家安全部、信息产业部、国家保密局、国家密码管理局、国务院信息化工作办公室、国家质检总局、国家认监委等8部委授权，依据国家有关强制性产品认证、信息安全管理法律法规，负责实施信息安全认证的专门机构，系第三方公证机构和法人实体。

其职能是在批准的工作范围内按照认证基本规范和认证规则开展认证工作；受理认证委托、实施评价、作出认证决定、颁发认证证书；负责认证后的跟踪检查和相应认证标志的使用监督；受理有关的认证投诉、申诉工作；已发暂停、注销和撤销认证证书；对认证及与认证有关的检测、检查、评价人员进行认证标准、程序及相关要求的培训；对提供信息安全服务的机构、人员进行资质注册和培训；根据国家法律、法规及授权从事相关认证工作。在业务上接受国家网络与信息安全协调小组办公室指导。