信息安全产品和信息系统安全的测评与认证.docVIP

信息安全产品和信息系统安全的测评与认证 ? 1．引言 　　90年代中期以来，随着信息技术突飞猛进的发展，特别是Internet的迅猛发展和美国政府率先推动的建设全球信息高速公路，使各国的信息化进程急剧加快。我国的信息化热潮也随之日益高涨，有关电子政务、电子商务乃至电子军务的讨论日益热烈。信息技术和网络空间，给社会的经济、科技、文化、教育和管理的各个方面都注入了新的活力。人们在享受信息化带来的众多好处的同时，也面临着日益突出的信息安全与保密的问题。比如：在网络环境中，国家秘密和商业秘密的保护，特别是政府上网后对涉密信息和敏感信息的保护，网上各种行为者的身份确认与权责利的确认，高度网络化的各种业务（商务、政务等）信息系统运行的正常和不被破坏，网络银行、电子商务中的支付与结算的准确真实和金融机构数据保护与管理系统的不被欺诈，都将成为国家主权、政治、经济、安全和社会稳定的焦点。为了有效地解决这些问题，信息安全产业就应运而生了。由于信息技术固有的敏感性和特殊性，信息产品是否安全，专用的信息安全产品以及由这些产品构成的网络系统是否可靠，都成为国家、企业、社会各方面需要科学证实的问题。为此各国政府纷纷采取颁布标准，以测评和认证等方式，对信息安全产品的研制、生产、销售、使用和进出口实行严格管理。美国将信息安全列为其国家安全的重要内容之一，由美国国家安全局NSA在美国国家标准技术局的支持下，负责信息安全产品的测评认证工作。西方国家正纷纷效法，使信息安全的测评认证成为信息化进程中的一个重要领域，受到各界的广泛关注。 2．什么是测评认证 1）测评认证的概念　　测评认证是现代质量认证制度的重要内容，其实质是由一个中立的权威机构，通过科学、规范、公正的测试和评估向消费者、购买者即需方，证实生产者或供方所提供的产品和服务，符合公开、客观和先进的标准。具体言之，测评认证的对象是产品或过程、服务；它的依据是国家标准、行业标准或认证机构确认的技术规范；它的方法是对产品进行抽样测试检验和对供方的质量保证能力即质量体系进行检查评审，以及事后定期监督；它的性质是由具有检验技术能力和政府授权认证资格的权威机构，按照严格程序进行的科学公正的评价活动；它的表示方式是颁发认证证书和认证标志。　　测评认证制度在国际上已有近100年的历史，目前全球已有80多个国家建立了测评认证制度。我国是从80年代初开始推行质量认证制度的。从80年代初的标准化法到90年代的中华人民共和国产品质量认证管理条例和质量法，已形成了较为完备的法律、法规框架和与之配套的管理规范。越来越多的企业积极主动地参加认证活动，社会各界也开始重视产品和服务的品牌，逐步通过认证来指导自己的消费行为，并将质量与权益紧密结合起来。认证活动，作为国家和社会对产品进行质量监督与技术控制的有效方式，已越来越被社会各方面所认识、所接受。2）安全性认证的概念　　随着信息产品、信息安全产品和信息系统的增多，面对越来越多的向社会提供专门的信息安全服务，包括安全技术开发、产品经营和系统集成的公司、企业，如何让消费者、管理者乃至国家确信它们是安全的，这就需要一个高度专业化、具有专门技术手段和能力的权威机构，通过科学公正和有效手段对它们作安全性测评认证。于是，信息安全认证成为信息化时代国家测评认证工作的新领域。　　由于信息安全直接涉及国家利益、安全和主权，各国政府对信息产品、信息系统安全性的测评认证要比对其他产品更为严格。首先，在市场准入上，发达国家为严格进出口控制，通过颁布有关法律、法规和技术标准，推行安全认证制度，以控制国外进口产品和国内出口产品的安全性能。其次，对国内使用的产品，实行强制性认证，凡未通过强制性认证的安全产品一律不得出厂、销售和使用。第三，对信息技术和信息安全技术中的核心技术，由政府直接控制，如密码技术和密码产品，多数发达国家都严加控制，即使政府允许出口的密码产品，其关键技术仍然控制在政府手中。第四，在国家信息安全各主管部门的支持和指导下，由标准化和质量技术监督主管部门授权，并且依托专业的职能机构提供技术支持，形成政府的行政管理与技术支持相结合、相依赖的管理体制。 3）信息安全测评认证的重要性　　就我国而言，如何吸取国外测评认证的先进经验，采用国外信息安全管理的通行办法，建立起我国的信息安全测评认证制度和实施体系，就成为我国信息化发展的当务之急。信息安全测评认证体系的建立和运行，对我国国家信息化的各个方面都具有十分现实的意义。首先，对我国按国际惯例建立和实施有关信息产品、信息安全产品的市场准入制度、技术管理和信息系统运行控制制度等方面的决策，提供科学公正的技术依据。其次，对各方用户采购信息安全产品，设计、建设、使用和管理安全的信息系统提供权威公正的专业指导；第三，对信息安全产品的研究、开发、生产企业和