信息安全認證艱辛路

信息安全認證標準如同中國的其他標準一樣，經歷了“友邦驚詫”、“無奈緩行”、“變相實施”、“前途未卜”這樣一個艱難曲折的發展歷程。中國標準“千轉百回”的艱辛路，帶給我們怎樣的思考和啟發?

日前，澳大利亞力拓公司駐上海辦事處的四名業務人員因涉嫌竊取中國國家秘密而被拘捕。四人在中外進出口鐵礦石談判期間，因為信息泄密，給中國鋼鐵行業帶來高達7000多億元的經濟損失。這為中國的企業信息化敲響了警鐘，也使網絡安全、信息安全再次被提到戰略層面。

信息安全產品和技術是保障信息安全的重要支撐。隨著信息產業的快速發展和信息化進程的逐步深入，信息安全問題成為了全球共同關注的焦點。在信息安全領域，采取統一認證機制來保障信息系統安全是各國的通用做法。我國也不例外。

今年4月27日，由國家質量監督檢驗檢疫總局、中華人民共和國財政部、中華人民共和國國家認證認可監督管理委員會聯合發布了《關于調整信息安全產品強制性認證實施要求的公告》(2009年第33號)。

公告中，將國家質量監督檢驗檢疫總局、國家認證認可監督管理委員會《關于部分信息安全產品實施強制性認證的公告》(2008年第7號)中涉及的信息安全產品強制性認證的強制實施時間延至2010年5月1日，并僅在政府采購法規定的范圍內強制實施。認證產品范圍包括防火墻、網絡安全隔離卡與線路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數據備份與恢復、安全操作系統、安全數據庫系統、反垃圾郵件、入侵檢測系統、網絡脆弱性掃描、安全審計、網站恢復13種產品。目前，信息安全產品的認證受理工作已經開始。

據記者了解，《關于部分信息安全產品實施強制性認證的公告》在2008年1月就已發布，在時隔一年多之后，又聯合財政部發布調整公告，不僅延后了原公告的執行時間，更將信息安全產品認證的強制實施限定在政府采購法規定的范圍內。在世界范圍內將信息安全的重要性上升到國家戰略層面的今天，為了確保信息安全產品質量、保障國家信息安全，國家對信息安全產品以及信息網絡系統的安全，實施了很多行政許可和認證的監管措施。但事實上，中國的信息安全認證之路走得十分艱辛。

“友邦驚詫”混淆視聽

2008年1月底，《關于部分信息安全產品實施強制性認證的公告》正式發布了。根據這一公告要求，從2009年5月1日開始，凡列入強制認證目錄內的13類信息安全產品，未獲得強制性產品認證證書和未加施中國強制認證標志的，不得出廠、銷售、進口或在其他經營活動中使用。

一石激起千層浪。之后，無數外國媒體的質疑報道撲面而來，國際相關標準組織和產業協會的反對聲音也蜂擁而至，令國家相關部門面臨非常被動的局面。

一些美國主流媒體在報道中描述，“中國政府計劃要求外國信息產業公司向中國有關部門報批對中國出口的信息安全技術產品。這個擬議中的新政策明顯是出于國家安全和扶持國內信息技術產業兩方面的考量。”一位美國的智庫戰略與國際研究中心(CSIS)的研究員甚至認為，這個動機除包含一部分貿易考慮外，還包含一部分商業間諜成分，也包括中國政府希望在信息技術市場上扶持中國本土公司的計劃，他還指出，“中國的第二個動機不那么合理”。日本《讀賣新聞》則稱:“這種制度可能存在把外國企業的知識產權提供給在中國競爭對手的風險。”“如果中國政府不放棄，那將可能發展成為嚴重的國際貿易爭端。”

因此，2008年9月，在美中商貿聯委會會議上，美國官員對這項政策提出了質疑。一位美國駐中國使館的發言人說，美國認為中國計劃實施的這項新規定“和中國的貿易承諾不相符”。

對這些質疑，國內各相關部門不得不反復解釋、澄清: 中國的做法是為了保護國家安全和推進信息技術產業。

但國外媒體借機惡意炒作，甚至不惜歪曲事實，抹黑我國的管理制度。一位從事信息安全認證多年的老專家向記者說，在當時相關的國外新聞中，大量充斥著不實報道。

記者也發現，在一篇《日本經濟新聞》僅幾百字的稿件中，就至少存在以下幾處失實: 將“13種強制性認證產品的目錄”，寫為“13條防范電腦病毒的強制認定標準”; 并且無中生有地寫出“13條規定中包括基礎軟件”、“如果要取得認證可能要求企業公布軟件設計圖的源代碼”等捏造的事實。

這些報道不僅混淆視聽，還嚴重歪曲了中國正在建立的信息安全產品強制性認證制度。

面對“友邦驚詫”和含混不清的言辭，中國相關部門不得不不厭其煩地反復溝通交流，并作出解釋。隨后，國家推遲了認證制度的實施時間。

在2008年7號公告中明確的實施強制性認證的13種信息安全產品，只是眾多IT產品中極小的一部分，都是專用的信息安全產品，根本不涉及這些國外媒體報道中提到的數碼家用電器、數碼復印機、平板電視等產品。

按照中國的法律、法規以及認可規范的要求，認證機構和實驗室都必須承擔為客戶保密的責任，在對信息安全產品實施認證和檢測時，根據不同安全等級的需要已制定了相應的安全保密措施。申請認證的技術資料僅嚴格用于實施認證和檢測，不會被用于其他目的。

而且在這13種產品中，只有智能卡COS產品在認證檢測時，需要廠家提供與安全功能有關的部分源代碼，另外只有6種含有密碼模塊的產品需提交與密碼實現和使用有關的部分源代碼，而非全部源代碼。其余的產品申請在認證時沒有任何關于提供源代碼的要求。值得注意的是，即便是國際上通行的CC(信息技術安全性通用評估準則)認證，在檢測智能卡COS時也同樣要求提供與安全功能有關的源代碼。至于密碼模塊檢測要求提供源代碼，早在美國政府發布的標準FIPS140-1(后為FIPS140-2所取代)當中，就提出了更為嚴格的要求，即申請方必須提供帶注釋的源代碼。中國有句古話，“己所不欲，勿施于人”，美國政府和產業協會居然反對中國的產品認證制度關于密碼模塊檢測需要提供源代碼的同樣要求。“這難道是美國人健忘或僅僅是‘燈下黑’可以解釋的嗎?”一位信息安全認證專家反問。

這位從事信息安全認證多年的老專家告訴記者，我國正在建立的信息安全產品強制性認證制度，是為了解決中國信息安全產品測評領域存在的重復檢測、重復發證等問題，維護國家安全、公眾利益和公民權益、理順管理體制、規范市場、促進產業發展而實施的一項重要管理措施，既符合中國國情，也符合WTO/TBT協議原則。

“事實上，國外媒體的真實意圖，是通過不準確的信息造輿論，對中國的自主創新施加壓力。”另一位不愿透露姓名的中國標準化資深專家評論說。

這令人聯想起當年的WAPI。WAPI經歷了從無人問津到眾人追捧、無限期延遲到現在有望重新進入國際標準投票流程的跌宕命運。這峰回路轉中，關于技術、標準和市場層面的反思，十分值得現在的中國信息安全產品認證界思考。

無奈的緩行

在國際輿論中，“貿易壁壘、保護國內信息技術產業、商業間諜”等關鍵詞，似乎已經成為了冠以中國常見的“罪名”，每當中國推出自主創新的標準和相關政策，必然重復上演這些“國際貿易衛道士”的老舊橋段。而我國也往往只能被動地采取“延期執行”、“政府采購”等應對辦法。

2003年，國家認證認可監督管理委員會發布2003年第113號公告，自2004年6月1日起，對無線局域網產品實施強制性認證(WAPI)，但在美國的強烈抗議下被迫擱淺。

中國關于自有標準的這些政策都被國外一些研究中心解讀為“中國政府最近幾年為保護國內信息產業而采取的一些類似措施，體現出中國信息技術行業發展不均衡的現狀。”

這次，《關于部分信息安全產品實施強制性認證的公告》也不例外。

事實上，在美國，CC認證在政府采購領域也是強制性的，并從2002年7月1日開始強制執行。據相關專家介紹，在美國，如果信息安全產品是用于涉及國家秘密信息系統的，規定必須由美國國防部下屬的國家安全局來進行檢測，要求的嚴格程度非常高。但是，美國卻以此為由反對中國實施強制性的統一認證。

經過了一年多與國內外各方的反復磋商，加之考慮到全球金融危機的大形勢，國內相關部門最終決定調整實施，在原方案基礎上提出了一個新的調整方案。新方案在實施范圍上做出了重大調整，只在政府采購法的規定范圍內強制實施; 同時調整了實施時間，將時間推遲一年。

而最令人擔心的，就是明年5月1日，調整后的強制認證能否順利實施。

2009年4月，國家認監委發布了《關于信息安全產品強制性認證指定認證機構和實驗室業務范圍的公告》(2009年第25號)，明確了實施信息安全產品強制性認證的指定認證機構及首批7家指定實驗室及其業務范圍。

目前，已經有幾十款產品向相關機構申請了認證。接下來的一年內，相關實施機構還需要完成大量的基礎性工作，包括進一步完善統一的技術規范、認證實施流程、制度宣貫、為財政部建立政府采購目錄提供協助、協調、推進發布各部委相關工作銜接流程等。“這些工作都要加緊，這樣才能把這一制度落到實處”。一位專家說。

另一方面，我們并沒有遭遇外國媒體所期望的跨國信息技術公司對這項制度的反對。中國是世界上最大的信息技術產品市場之一，這個龐大市場對跨國信息技術公司具有極大的吸引力。據美聯社的數據表明，在目前中國的信息安全技術市場上，外國公司大約占據了70.5%的份額。

事實上，微軟、思科、Sun等公司并未就這件事表態，而芯片制造商英特爾表示愿意遵守中國法律法規，IBM公司發言人則表示該公司出口中國的產品并不會受到新規定影響。據認證部門的相關人員介紹現在每天都有許多跨國公司向有關機構詢問認證制度的具體實施細節和要求。就WAPI產品強制認證而言，記者也從中國信息安全認證中心網站上得悉，到目前為止，申請認證的國外企業比國內企業還多。

“方便”和“隱患”

目前，國內信息安全認證的發展之所以會如此艱難，除了國內產業環境還不完全成熟的客觀條件外，主要的阻力來自于國外的反對。國外反對勢力的目的很明顯，要求中國加入到他們主導的CCRA協定中，并以此打壓中國自主標準的創新能力。

那么，這個CCRA到底是一種什么樣的協定?會給這些國家帶來哪些“方便”呢?

目前，在國際上，有美國、英國、法國等26個國家共同簽署的基于所謂通用準則(CC)的互認協議(CCRA)，他們一直要求中國也加入到CC互認的陣營中來。CCRA雖然有值得我國標準參考和借鑒之處，但也有許多不適應我國國情的地方。

“中國加入CCRA，對他們最直接的一個好處就是國外的很多企業的上千種產品進入中國市場，就不用按照中國的標準再進行任何檢測認證了。而按照該協議的條款，在中國國內認證過的產品必須在兩年的準備期之后，才有可能直接進入相關成員國家!”有關人士分析說，在給相關成員國“方便”同時，會為中國產品埋下一系列安全隱患。

一位信息安全產業內非常資深的人士告訴記者，特別是在目前的政府采購中，筆記本電腦、手機、數碼相機、路由器、交換機等高端通信設備，基本上以國外的產品比較多。因此，在政府的采購領域，信息安全產品進行強制性認證是非常必要的。

“說到安全隱患，廣泛采購的多功能一體機就是一個典型例子。” 這位人士告訴記者。這種多功能一體機集掃描儀、傳真機、打印機和復印機于一身，既可以掃描紙質文件和照片，又可以復印和打印文件，還可以直接將電子文檔通過傳真發給對方。有些設備還同時具備電話、電子郵件等功能。由于多功能一體機自帶CPU、存儲器、顯示設備、輸入輸出設備，集成了信息的采集、處理和傳輸等功能，其本質已經相當于一臺計算機。因此，與普通計算機一樣，多功能一體機存在著漏洞和后門等安全隱患，尤其在敏感信息處理過程中，存在信息被無意泄露或被惡意竊取的可能。盡管部分廠商宣稱其產品使用了身份認證、加密(存儲加密、傳輸加密)、清除殘留信息等措施來提高安全性，但對于有專業知識且有惡意企圖的人來說，仍然可以利用多功能一體機竊取敏感信息。“如果我們加入了CCRA，這些國外產品將可以規避我國的信息安全檢測評估，所帶來的安全風險與隱患不可低估。”

因此，基于這種考慮，相關專家諫言，對于是否加入CCRA，是強制性認證還是自愿性認證，中國目前都還需要認真研究、分析。尤其在信息安全領域，無論從產業發展角度還是行業管理角度，中國都不應該完全放棄自主的技術標準，完全去追隨國際標準。這將對我國信息安全產品和技術的自主創新極為不利。因此，中國目前并沒有申請加入CCRA。

在建立中國自主的信息安全產品認證體系過程中，中國應該如何發展。“我們不能跟著西方的指揮棒走，要堅持自主標準，建立屬于自己的信息安全產品統一認證體系。”有關人士說。

鏈 接

中國強制認證“堵漏查缺”

國家規定，對于國家實行強制認證的產品，必須經過“中國強制認證”(China Compulsory Certification)，即“CCC”認證。凡列入強制性產品認證目錄內的產品，必須經國家指定的認證機構認證合格，取得相關證書并加施認證標志后，才能出廠銷售、進口和在經營性活動中使用。同時，這個CCC認證也是世界上通行的強制認證慣例。

因此，在CCC認證的基礎上，信息安全產品強制性認證時，產品檢測需經過三個環節: 型式試驗，初始工廠檢查和政府監督。對于第一次申請認證的企業，認證機構要到工廠生產線上現場檢查，對產品拍照。在認證發證后的半年至一年內，到市場上和用戶處抽檢。

根據一位多年從事信息安全認證的老專家介紹，根據中國國情，剛開始，相關的認證部門在型式試驗中以抽樣為主，請企業自己從生產線上送兩臺樣機來。因為信息安全產業比較小，新技術和新產品還是以樣機為主。但也有一些企業試圖利用這個規定鉆空子。

比如，一些企業為了在產品說明上列舉更多的測試項和更好的測試結果，將最高配置的產品送來檢測認證，卻在上市的時候將低配置產品拿來銷售。這種方式在過去的檢測標準下，屢禁不止。對此，相關的認證部門加強了現場審查和檢測，以保障產品是按照企業規范和既定說明書生產的。這樣規范了企業的一些欺詐行為。對一些安全級別較高的產品，其生產線和開發場所的開發環境也進行檢測。

評 論

誰為信息安全把關

相比10年前，盡管國內信息安全認證的環境有明顯發展，但直到目前，我國在信息安全產品認證方面還沒有完全統一的認證標準和體系，強制性認證更加步履艱難。因此，信息安全認證肩負著不輕的使命。

在北京東邊的一片鬧市，中國信息安全認證中心安靜地在不起眼的中認大廈中運營。自1998年以來，由“中國信息安全產品測評認證中心”承擔我國信息安全測評與認證工作。2004年，國家質檢總局等八部委聯合發布了《關于建立國家信息安全認證認可體系的通知》，其中要求實行信息安全產品測評和認證職能分離。2006年“中國信息安全認證中心”成立后，原“中國信息安全產品測評認證中心”將信息安全產品的認證工作移交給了新成立的“中國信息安全認證中心”，隨后，“中國信息安全產品測評認證中心”更名為“中國信息安全測評中心”。

對信息安全產品以及信息網絡的安全實施統一的、必要的認證和監管措施勢在必行，因為這對確保信息安全產品質量以及保障國家信息安全至關重要。

特別是在政府的采購領域，政府的信息安全需要通過認證來把關和保障。雖然不能保證通過檢測認證的產品絕對安全，但至少可以肯定的是，不符合中國標準的產品質量是絕對的不合格或不安全的。

依法設防很有必要，但法規很難給產品貼上安全等級的標簽，因為同樣的產品，放在不同的環境中，其安全性要求也有所不同。因此，在不同場合和使用環境中，標準要求是有特殊性的。以前的檢測認證以及現在的標準符合性檢測認證，是對產品質量可靠性信心的保證，但也并非萬無一失。

在《關于調整信息安全產品強制性認證實施要求的公告》中，我國已經確定了13類安全產品需要進行強制性認證。而在討論確定這13類產品及其認證實施規則時，來自各個部委的相關部門有很多不同意見，并為此沒少爭論。例如產品目錄如何確定，每一種產品應依據怎樣的標準，產品的定義，如何檢測、送樣、認證單元如何劃分等，經過多方的努力，最終形成了13種產品的認證實施規則和統一的申請書、檢測報告模板等。這些加起來竟一共1600多頁，約65萬字。但正是因為完成了這么多基礎性的工作，才有可能把這個制度真正落到實處。

雖然目前已相關部門初步統一了例如檢測的標準要求、檢測的標準環境、檢測方法、檢測項目、收費、證書等，日后還將規范到檢測工具、人員的培訓、考試和技術交流等方面。但信息技術在發展，檢測技術也在發展，因此標準也要發展，要完全規范統一，依然任重道遠。目前盡管有了一定的工作基礎，但很多實施工作還有待進一步統一和規范。(文/王臻)

圖注:WAPI經歷了無人問津、眾人追捧、無限延遲、有望重新進入國際標準投票流程的跌宕命運。

中國3C認證從2003年8月1日起就執行。