我国信息安全测评认证及发展研究

2019-12-24◆高鹏

网络安全技术与应用 2019年1期

◆高鹏

我国信息安全测评认证及发展研究

◆高鹏

（身份证：4108111985****0094 北京）

随着信息化步伐的加快，信息安全已越来越被人们所重视，任何一个漏洞都有可能造成巨大的损失。作为信息安全产品质量把关的重要关口，信息安全测评认证也日益受到重视，并取得长足发展。我国对于信息安全测评认证的重视态度较高，而且近几年的操作手段偏向于多元化。本文针对信息安全测评认证及发展进行讨论，并提出合理化建议。

信息安全；测评；认证；发展

0 前言

测评认证制度在国际上已有近100年的历史，目前全球已有80多个国家建立了测评认证制度，我国是从80年代初开始推行质量认证制度的。在信息化进程中，信息安全日益受到重视。因此，作为确保信息安全的重要关口，国家认证认可体系是实现信息安全保障的重要手段。信息安全测评认证必须坚持在技术体系、标准体系、力量体系上进行不断的完善。

1 信息安全测评认证的意义

测评认证是现代质量认证制度的重要内容，其实质是由一个中立的权威机构，通过科学规范、公正的测试和评估，向需求方证实供货方提供的产品和服务符合公开、客观和先进的标准。结合以往的工作经验和当下的工作标准，认为信息安全测评认证的意义，主要是表现在以下几个方面：

（1）为建立和完善信息安全产品的市场准入制度提供科学的技术依据

凡是成熟的产业行业，都有完善的测评认证制度。信息安全产品是否符合产业标准、质量是否合格，在投入使用前需要经过严格检测。测评认证的有效落实，对于确保信息安全产品的质量、把住信息安全关口具有不可替代的作用。

（2）为信息安全产品供需双方提供专业的权威指导

国家通过设立中立的权威机构，设置科学规范、公正的技术标准，对产品进行官方测试和评估，并由中立权威机构颁发认证证书和认证标志，相当于以政府信誉为符合标准的产品予以质量认证。同时，也是向需求方证实供货方提供的产品和服务符合公开、客观和先进的标准。这就是对信息安全产品供需双方提供了官方权威指导。

（3）对信息安全产业进步产生有力驱动

通过不断完善信息安全测评认证制度，实施由国家政府机构主导的强制性测评机制，强化测评机构职能，采取研发质量准入、公示或者末位淘汰制度，可以对信息安全产品的设计、开发、生产企业进行严格的规范指导，从而提高其技术进步水平和市场竞争力，从而对整个产业行业的研发水平的提升提供有力推动。

2 信息安全测评认证的问题

（1）对信息安全测评认证的关注度还不够高

随着“斯诺登事件”的曝光，社会大众在惊愕的同时，才对信息安全才有了更深的认识，但总的来看，大众的信息安全意识仍比较缺失。即便在产业内部，也普遍存在重产品、轻服务，重研发、轻测评的现象。例如，一个新的信息产品的的发布，人们往往更关注它的设计、研发，而对于其投放市场前的测评认证环节没有概念。测评意识不高，导致信息安全产品在研发环节没有很好地关注测评所需，造成了在后续的测评环节出现较多的缺失和疏漏，有的甚至因为无法通过测评未予认证，从而造成无法投放市场产生巨大经损失的后果。

（2）现有的测试方法和手段尚不能满足需求

测试技术和方法是基础性工程，需要较大的资金投入和一定的时间的积累。我国在信息安全测评方面起步较晚、仍有短板。特别是在大数据时代的来临，量子技术、云计算技术的发展的背景下，信息安全产品类别不断增多，测评标准的功能要求和保证要求十分严格，加之安全技术特有的对抗性和敏感性，都要求在测试技术上不断发展和创新。目前信息安全测评认证的工作开展，很大程度上还是继续按照传统的手段和方法来开展的，这就迫切需要在测评认证技术能力上有进一步提升。

（3）测评认证标准体系需要进一步健全

在国家质量技术监督局的领导和支持下，信息系统安全性评价准则及测试规范、商用密码产品安全技术要求、信息安全服务评估准则、信息安全工程质量管理要求等标准即相继出台，国家信息安全标准体系的框架已初步形成。但由于起步时间较晚，其规范体系完备性还有相当差距。其中，程序性规范的研究开展得最早，其可用成果也最多，基本上能满足现阶段对信息安全产品和信息系统进行测评时的程序控制需要。但方法性规范和依据性规范，则仍有待健全。

（4）测评认证力量有待加强

目前，我国的信息安全测评认证体系是由监管机构——国家认证实体——授权测评机构三级构成。国家信息安全测评认证管理委员会是认证中心的监管机构；测评中心和认证中心是代表国家具体实施信息安全测评认证的实体机构；测评中心和认证中心授权建立分支机构作为技术支撑。从目前力量建设看，要满足信息安全测评认证工作的长远开展，力量体系还需要进一步的加强，特别是信息安全测评认证方面的专业人才还比较匮乏。

3 信息安全测评认证发展需遵循的几点原则

（1）信息安全测评必须树立技术至上原则

信息技术日新月异，信息产品升级换代很快，信息安全测评认证也要跟的上时代发展和技术进步，比如FPGA产品的测评、量子通信产品的测评等新兴信息技术的发展，迫切需要测评认证技术的不断提升。

（2）信息安全测评必须强化质量第一的原则

测评认证是质量把关的重要环节，测评认证的质量决定了产品的质量，测评放过一个安全漏洞，就有可能使信息产品带病上岗，就有可能给用户造成数以万计、亿计的损失。

（3）信息安全测评必须坚持标准化推进的原则

信息安全测评认证是用标准的尺子来衡量产品的质量，因此标准对于测评认证是至关重要的。没有标准就相当于裁衣无尺，必须把标准体系建设摆在突出位置。另外，坚持标准化也有利于测评自动化水平的提高。例如，可以通过测评自动化的方式来完成，针对不同的指标和方法做出正确的实践操作，减少了传统测评造成的缺失和漏洞现象。

4 信息安全测评认证的发展对策

（1）完善测评认证机制

要强化国家信息安全测评认证管理委员会的监管职能，出台相关的法律法规，加强管理和规范信息安全测评认证的行为；要健全测评认证机构的准入和审核机制，处理好多元化测评和一元化认证的关系，以减轻企业的负担，强化认证结果的权威性。要结合信息安全产品的不同类型，在完善型号认证的同时，还要大力拓展信息安全产品、信息安全系统和信息安全技术服务等类型的测评认证，不断提高信息安全测评认证的可靠性、可行性和专业性。

（2）提升测评技术能力

信息产品升级换代很快，信息安全测评认证也要跟的上时代发展和技术进步，比如FPGA产品的测评、量子通信产品的测评等新兴信息技术的发展，迫切需要测评认证技术的不断提升。对于新型网络攻击技术，要有针对性的开展技术研究，特别是随着我国信息网络化应用的细致化、专门化，进一步开发这方面的业务技术规范，也成当务之急。要处理好“矛”与“盾”的关系，确保测评专业、认证权威。

（3）建强测评认证力量

根据信息化发展对信息安全测评认证工作提出的迫切需求，国家先后投入数亿资金，按照“一个国家级认证机构、多个检测机构”的原则，在信息化发达的地区或行业建立众多技术测评机构。就信息安全测评认证本身而言，现阶段的很多问题都在持续性的改善、解决，但是想要在未来工作的开展上，不断的获得更好的成绩，还要在建强力量上持续用力、久久为功。特别是要持续优化测评组织体系，加大新的专业测评机构培育力度，对现有测评认机构可采取测评质量通报制度和末位淘汰制度；采取有效措施提高测评队伍的业务素质和工作积极性，保持一支业务精湛、素质过硬、爱岗敬业的测评力量。