文｜宋扬

当前，我国“智慧城市”建设进入高峰期，信息安全问题不可轻视。如何发挥认证手段在智慧城市建设过程中的信息安全保障作用，有着现实的重要意义。

我国信息安全认证体系的建立与发展

我国自1991年颁布《中华人民共和国产品质量认证管理条例》开始，正式启动产品认证工作。2001年8月，国家认证认可监督管理委员会正式成立，标志着我国质量认证体系跨入新阶段。

2003年，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发27号文）要求“规范和加强信息安全产品测评认证工作”，启动了我国信息安全认证体系的建设工作。

2004年，原国信办、质检总局、认监委、公安部等8部委《关于建立国家信息安全产品认证认可体系的通知》（国认证联57号），要求建立统一的信息安全产品认证认可体系，正式明确了我国信息安全产品认证的制度架构。以此文件为基础，经中央编办批准，中国信息安全认证中心于2006年正式成立。

目前，我国的信息安全认证业务体系已覆盖产品认证、管理体系认证、服务认证、人员认证与培训等四大方面20余项认证业务。截至2015年9月底，我国已颁发产品认证证书1300余张，信息安全服务认证证书500余张，信息安全认证证书近5000张。

图1 我国的认证认可制度框架

图2 CC证书颁发情况（截至2014年底）

国内外信息安全认证工作进展

1、产品认证工作进展

国际上对信息安全产品的认证主要以CC标准（Common Criteria，通用准则）为依据。截至2014年底，全世界已颁发各类CC证书2510张。如下图。

（1）美国

为落实信息安全政策、法律，美国将政策执行、监督、管理权分批给多个部门，其中与IT产品信息安全管理最为密切的部门为国家标准技术研究院（NIST）和国家安全局（NSA）。1997年，NIST和NSA联合建立国家信息保障联盟（NIAP），在国家安全系统中强制使用经过NIAP评估的产品。

（2）德国

德国的信息安全评估和认证由国家信息安全局（BSI）全权负责。与其他欧盟国家类似，德国对IT产品的信息安全管理主要通过CC认证和TR认证实现。欧盟国家积极参与开发和维护保护轮廓（PP）和技术指南（TR)，并依据认可制度评定检测实验室的资格。

2、管理体系认证工作进展

ISO27001（信息安全管理体系）认证可称为世界范围内信息安全领域影响最大的管理体系认证。ISO/IEC27001标准的前身为英国的BS 7799标准，分为两个部分：《信息安全管理实施规则》和《信息安全管理体系规范》。自2005年国际标准化组织ISO将BS 7799转化为ISO 27001:2005发布以来，此标准在国际上获得了空前的认可。我国在2008年将ISO 27001:2005转化为国家标准GB/T 22080:2008以来，信息安全管理体系认证在国内进一步获得了全面推广，截至2014年底，全球已颁发信息安全管理体系认证证书23972张，其中我国颁发2259张，约占世界颁发总数的10%。

3、信息安全服务管理情况

国外对服务的认证主要集中在云计算、身份鉴别和通信等服务领域。特别是对为政府部门、重要基础设施服务的提供商，有较为严格的管理要求。

（1）美国

为了对云服务进行审查，美国政府专门建立了FedRAMP项目管理协调机制。云服务审查项目由国防部、国土安全部、总务管理局等部门负责，并成立联合授权中心对云服务审查第三方机构进行授权。经过第三方机构审查的云服务提供商，才可以向政府单位提供云服务。

（2）英国

英国对云服务的审查主要基于ISO27001标准。根据云服务提供商服务对象的不同，审查委员会增加对专门的技术性风险评估、ICT系统和服务风险管理认可要求的符合性审查。

智慧城市建设中的信息安全认证需求

1、从产业的角度看智慧城市信息安全

从产业链的角度来看，智慧城市的建设和发展，离不开运营商、设备提供方、系统集成商、云计算服务提供商等方面的协作配合。智慧城市建设、运行的相关信息，通过这个链条进行采集、存储、传输和使用。其中：

数据采集环节的信息安全需求包括：经济数据安全、基础设施信息安全、个人隐私安全、大数据安全。

数据传输环节的信息安全需求包括：设计开发安全、建设过程安全、服务过程安全、运营过程安全、关键人员安全。

数据使用环节的信息安全需求包括：个人隐私安全、运行数据安全、交易信息安全、大数据安全。

2、从技术的角度看智慧城市信息安全

从技术角度看，智慧城市建设的信息安全需求包括：

设施安全。主要指智慧城市运行所必须的各种基础设施设备安全。

网络安全。主要是智慧城市的信息传输网络安全。

数据安全。在当前大数据和云计算技术广泛应用的情况下，数据安全的重要性提升到新的高度。包括：数据本身的安全，如数据加密、数据完整性保护等；数据防护的安全，如数据备份、异地容灾、数据监控等；大数据安全，如个人隐私数据，消费记录。

服务和人员安全。著名的“棱镜门”事件后，社会各界对服务和人员安全的重视程度大大提高。智慧城市的建设，离不开各类集成商、运营商所提供的服务。智慧城市的运行也离不开专业人员的管理维护。保障智慧城市的安全，需要服务提供商和关键岗位人员满足相应的安全要求。

图3 智慧城市系统建设产业链

3、从国家安全角度看智慧城市信息安全

智慧城市安全作为国家基础支撑，是国家安全保障的重要组成部分；智慧城市作为国家关键基础设施，其核心产品需要做到自主可控；“互联网+”智慧城市的建设，对生产商、服务商、运营商提出更高的信息安全要求；智慧城市安全的标准体系建设、评价体系建设、人才队伍建设需要进一步加快、规范。

信息安全认证在智慧城市建设中的应用建议

国内外的经验表明，信息安全认证在产品、管理、服务、人员等多个方面提供了信息安全保障的重要手段。建设覆盖智慧城市建设核心产品、管理体系、关键服务、重要人员的信息安全认证体系，对于保障我国智慧城市建设、运行过程中的信息安全，也具有不可或缺的重要意义。为此，需要做好以下几个方面的工作：

1、提升智慧城市信息安全标准研制能力，加强标准体系建设

标准是认证的基础。建设智慧城市信息安全认证体系，首先需要制定相关的产品、服务、人员认证标准。目前，我国在智慧城市建设方面的标准体系已比较完善，但在认证相关标准方面的工作仍需要进一步加强。

2、建设智慧城市信息安全检测、认证、培训体系

随着我国智慧城市建设规模的不断扩张，对各类产品、服务、人员的认证需求也将迅速增强。因此，需要加强智慧城市相关产品的安全检测、人员培训和认证体系建设工作。

3、建设智慧城市信息安全认证组织体系

为了确保智慧城市信息安全认证工作切实发挥作用，相关认证机构、检测机构、培训机构有序、有效运行，需要建设相关的监管、支撑、运行和评价组织体系。

4、提高智慧城市相关产品、技术检测能力

智慧城市建设安全关系国家安全、社会稳定，对于建设过程中使用的核心产品、服务，必须提高信息安全检测能力，确保核心环节、核心区域、核心技术的自主可控。