《卡市場(chǎng)》：信息技術(shù)和網(wǎng)絡(luò)的普及對(duì)社會(huì)的發(fā)展起著極大的推進(jìn)作用，于是，信息安全也就成為了重中之重，那么，作為信息安全方面的專家，您是怎樣看待這個(gè)問題的？ 

620)this.style.width=620;" border=0>

    陳博士：信息問題在現(xiàn)在，確實(shí)可以說是一個(gè)十分重要的問題，當(dāng)今社會(huì)已經(jīng)步入信息技術(shù)廣泛推廣，網(wǎng)絡(luò)應(yīng)用日益普及的時(shí)代，傳統(tǒng)的通信業(yè)務(wù)和信息處理方式被新興的信息傳輸和處理模式取代。網(wǎng)絡(luò)應(yīng)用給人們帶來巨大收益和方便的同時(shí)，也給人們帶來了由于惡意攻擊、虛假信息的欺詐或信息泄漏瞬間失去資產(chǎn)的苦惱、恐懼和不安。任何組織或個(gè)人的信息在網(wǎng)絡(luò)上傳輸，都有可能會(huì)被非法竊聽、截取、篡改或破壞，從而造成不可估量的損失。正因?yàn)樯鲜鰡栴}，信息安全成了世界范圍內(nèi)廣為關(guān)注的重中之重。

    與傳統(tǒng)的“安全”問題不同，信息安全是個(gè)深層次的概念，信息安全與信息本身的特征、信息的存儲(chǔ)、傳輸和處理技術(shù)密切相關(guān)。網(wǎng)絡(luò)信息安全則是與網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及它們所構(gòu)成的安全防范體系密切聯(lián)系在一起，使系統(tǒng)中的信息和數(shù)據(jù)的機(jī)密性、完整性和可用性得到有效的控制和保護(hù)，防止非授權(quán)的訪問以及各種緣由的信息泄漏和破壞，確保系統(tǒng)能連續(xù)可靠地運(yùn)行。所有這些都需要采用各種行之有效的安全保障措施。這些措施包括了信息產(chǎn)品自身的安全控制技術(shù)、信息產(chǎn)品研發(fā)及生產(chǎn)環(huán)境的技術(shù)的或程序的安全控制措施、信息產(chǎn)品交付過程的技術(shù)的或程序的安全控制措施、信息產(chǎn)品使用環(huán)境的安全控制措施，構(gòu)建網(wǎng)絡(luò)系統(tǒng)應(yīng)實(shí)現(xiàn)的技術(shù)和程序的安全控制的措施等。

    《卡市場(chǎng)》：在信息安全問題日益突出的今天，中國信息安全認(rèn)證中心的成立顯然是具有重要意義的，請(qǐng)您簡單介紹一下中心成立的背景？

    陳博士：隨著信息產(chǎn)業(yè)的快速發(fā)展，信息安全成為世界范圍內(nèi)共同關(guān)注的焦點(diǎn)。信息詐騙、網(wǎng)絡(luò)攻擊和竊密、信息垃圾騷擾等問題日益突出，迫切需要各部門聯(lián)合起來，共同對(duì)付這個(gè)矚目的問題。這就要求國家對(duì)信息產(chǎn)品和信息網(wǎng)絡(luò)的安全性實(shí)施統(tǒng)一的、必要的監(jiān)控措施。因此實(shí)行信息安全全國統(tǒng)一的認(rèn)證制度，是建立我國信息安全保障體系，促進(jìn)信息安全產(chǎn)業(yè)發(fā)展、確保信息安全產(chǎn)品的質(zhì)量，規(guī)范并提升信息安全的各項(xiàng)服務(wù)工作的第一步。

    國家建立信息安全認(rèn)證中心這一機(jī)構(gòu)，標(biāo)志著國家統(tǒng)一的信息安全認(rèn)證認(rèn)可體系的建立與實(shí)施。信息安全認(rèn)證中心的成立將對(duì)我國信息安全監(jiān)管的科學(xué)化、規(guī)范化、制度化產(chǎn)生深遠(yuǎn)影響。在信息安全領(lǐng)域采取認(rèn)證機(jī)制是保障信息系統(tǒng)安全的重要手段，也是世界各國的普遍做法。做好信息安全認(rèn)證工作，一定要從維護(hù)國家安全的大局來認(rèn)識(shí)其重要性，各部門也需要加強(qiáng)合作?？梢哉f，統(tǒng)一安全認(rèn)證體系的建立適應(yīng)了信息化發(fā)展的需要，對(duì)民族信息安全產(chǎn)業(yè)的發(fā)展具有積極促進(jìn)作用。

    《卡市場(chǎng)》：中心成立已有近一年的時(shí)間，在這段時(shí)間內(nèi)，中心做了哪些工作？取得了怎樣的成效？

    陳博士：按照國家質(zhì)檢總局領(lǐng)導(dǎo)提出的“中心組建后要立足高起點(diǎn)、堅(jiān)持高標(biāo)準(zhǔn)、確保高質(zhì)量，力爭高水平”的要求，中國信息安全認(rèn)證中心從去年11月成立以來，就搭建了一個(gè)強(qiáng)有力的領(lǐng)導(dǎo)班子，組建了一個(gè)一流的認(rèn)證團(tuán)隊(duì)，建立了一整套完善的認(rèn)證規(guī)章制度，各項(xiàng)工作有條不紊的開展，迄今為止各項(xiàng)工作取得了重大的進(jìn)展，其中主要的成績有以下幾點(diǎn)：

    1）確定了從認(rèn)證環(huán)節(jié)到執(zhí)行部門相對(duì)應(yīng)的信息安全產(chǎn)品認(rèn)證管理的工作流程，明確了各個(gè)認(rèn)證步驟的具體要求，包括明確了信息安全產(chǎn)品檢測(cè)機(jī)構(gòu)的指定原則及條件等。
    2）統(tǒng)一標(biāo)準(zhǔn)，對(duì)于產(chǎn)品認(rèn)證涉及的標(biāo)準(zhǔn)，參照國際標(biāo)準(zhǔn)對(duì)相關(guān)的國家標(biāo)準(zhǔn)進(jìn)行了梳理，所涉及的66個(gè)國家標(biāo)準(zhǔn)，40%以上的是國內(nèi)自主研發(fā)的。
    3）積極參與首批信息安全強(qiáng)制認(rèn)證產(chǎn)品目錄的制定工作。鑒于目錄發(fā)布的重要性，信息安全產(chǎn)品管委會(huì)秘書處召開了多次專門會(huì)議進(jìn)行研究討論，最后確定邊界安全、通信安全、身份鑒別與訪問控制、數(shù)據(jù)安全、基礎(chǔ)平臺(tái)、內(nèi)容安全等8大類，其中包括防火墻、安全操作系統(tǒng)、防垃圾郵件、入侵檢測(cè)等13種產(chǎn)品。期間，還參照國際慣例于2007年8月26日向WTO通報(bào)。
    4）確定了首批信息安全自愿性產(chǎn)品認(rèn)證目錄。首批確定了15種自愿性認(rèn)證產(chǎn)品目錄，包括：信息內(nèi)容過濾與控制產(chǎn)品、芯片（智能卡）、讀卡器（智能卡）等。
    5）開展無線局域網(wǎng)安全產(chǎn)品的認(rèn)證工作。國家已經(jīng)將此劃入了強(qiáng)制產(chǎn)品認(rèn)證的范圍，信息安全認(rèn)證中心成立以后即將作為唯一的認(rèn)證機(jī)構(gòu)行使認(rèn)證職能，中心已經(jīng)圓滿完成了證書換發(fā)工作，產(chǎn)品認(rèn)證工作已進(jìn)入常態(tài)。
    6）信息安全管理體系認(rèn)證。這項(xiàng)工作現(xiàn)在主要依據(jù)的是國際ISO27000系列標(biāo)準(zhǔn)，目前該工作已全面展開，中心于2007年10月22日，給中國信達(dá)資產(chǎn)管理公司頒發(fā)了首張證書?？梢灶A(yù)計(jì)，中心在年前還將頒發(fā)多張證書。
    7）信息安全服務(wù)資質(zhì)認(rèn)證。根據(jù)國信辦的安排，以及與信息產(chǎn)業(yè)部協(xié)調(diào)，中心將在今年底開展試點(diǎn)。
    8）信息安全培訓(xùn)。已經(jīng)啟動(dòng)，并先后在上海、北京成功舉辦了培訓(xùn)班。
    9）獲得了中國國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)（CNCA）頒發(fā)的認(rèn)證機(jī)構(gòu)和培訓(xùn)機(jī)構(gòu)的資格證書，允許中心從事信息安全產(chǎn)品認(rèn)證、信息安全管理體系認(rèn)證和信息安全服務(wù)資質(zhì)認(rèn)證（試點(diǎn)）的認(rèn)證工作，以及從事信息安全產(chǎn)品認(rèn)證檢查員培訓(xùn)、信息安全管理體系認(rèn)證和信息安全服務(wù)資質(zhì)認(rèn)證（試點(diǎn)）的培訓(xùn)工作。

    《卡市場(chǎng)》：中國信息安全認(rèn)證中心的業(yè)務(wù)有哪些？需要進(jìn)行強(qiáng)制性認(rèn)證的產(chǎn)品有哪幾類產(chǎn)品？

    陳博士：中國信息安全認(rèn)證中心的業(yè)務(wù)主要有下面幾類：信息安全產(chǎn)品認(rèn)證業(yè)務(wù)；信息安全管理體系認(rèn)證業(yè)務(wù)；信息安全服務(wù)資質(zhì)認(rèn)證業(yè)務(wù)；信息安全產(chǎn)品認(rèn)證檢查員培訓(xùn)業(yè)務(wù)；信息安全管理體系審核員培訓(xùn)業(yè)務(wù)；信息安全服務(wù)資質(zhì)認(rèn)證審核員培訓(xùn)業(yè)務(wù)。

    到目前為止，中心已經(jīng)確定了有13類產(chǎn)品需要進(jìn)行強(qiáng)制性認(rèn)證，其中包括： 

    （1）防火墻類產(chǎn)品；
    （2）網(wǎng)絡(luò)安全隔離卡與線路選擇器類產(chǎn)品；
    （3）安全隔離與信息交換產(chǎn)品類產(chǎn)品；
    （4）安全路由器類產(chǎn)品；
    （5）COS（智能卡）類產(chǎn)品；
    （6）數(shù)據(jù)備份與恢復(fù)類產(chǎn)品；
    （7）安全操作系統(tǒng)類產(chǎn)品；
    （8）安全數(shù)據(jù)庫系統(tǒng)類產(chǎn)品；
    （9）反垃圾郵件類產(chǎn)品；
    （10）入侵檢測(cè)系統(tǒng)（IDS）類產(chǎn)品；
    （11）網(wǎng)絡(luò)脆弱性掃描類產(chǎn)品；
    （12）安全審計(jì)類產(chǎn)品；
    （13）網(wǎng)站恢復(fù)類產(chǎn)品。 


    《卡市場(chǎng)》：針對(duì)智能卡及相關(guān)產(chǎn)品，中國信息安全認(rèn)證中心將會(huì)采取怎樣的認(rèn)證措施？目前國際上智能卡信息安全檢測(cè)與認(rèn)證的情況是怎樣的？

    陳博士：中國信息安全認(rèn)證中心作為第三方的公正機(jī)構(gòu)和法人實(shí)體，將遵循國家信息安全管理的法律法規(guī)、《認(rèn)證許可條例》及認(rèn)證實(shí)施規(guī)則，在指定的業(yè)務(wù)范圍內(nèi)實(shí)行全國統(tǒng)一的認(rèn)證制度，依據(jù)相關(guān)標(biāo)準(zhǔn)，對(duì)信息安全產(chǎn)品實(shí)施認(rèn)證。認(rèn)證方式采取強(qiáng)制認(rèn)證和自愿認(rèn)證相結(jié)合的方法，根據(jù)國內(nèi)、外同類產(chǎn)品發(fā)展?fàn)顩r，技術(shù)水平以及對(duì)產(chǎn)品安全性的需求，開辟適合我國國情的認(rèn)證業(yè)務(wù)。

    由于智能卡及相關(guān)產(chǎn)品研發(fā)技術(shù)的日益成熟及其在多領(lǐng)域廣泛的應(yīng)用前景，其安全性必須受到足夠的重視。中國信息安全認(rèn)證中心將依據(jù)相關(guān)的安全標(biāo)準(zhǔn)和認(rèn)證實(shí)施規(guī)則，對(duì)智能卡及其相關(guān)產(chǎn)品的安全性實(shí)施強(qiáng)制認(rèn)證（例如對(duì)嵌入軟件COS）和自愿認(rèn)證（例如對(duì)卡的集成電路芯片或成品卡）相結(jié)合的認(rèn)證服務(wù)方針持續(xù)推進(jìn)智能卡及其相關(guān)產(chǎn)品的應(yīng)用和發(fā)展，并在此基礎(chǔ)上，逐步推行對(duì)讀卡器產(chǎn)品的安全認(rèn)證服務(wù)和對(duì)建立應(yīng)用系統(tǒng)的組織開展安全體系認(rèn)證服務(wù)工作。

    目前，國際上對(duì)智能卡的檢測(cè)與認(rèn)證執(zhí)行的標(biāo)準(zhǔn)是《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》（ISO/IEC15408）。該準(zhǔn)則于1999年由國際標(biāo)準(zhǔn)化組織發(fā)布了ISO/IEC15408：1999版，于2005年發(fā)布了ISO/IEC15408：2005版。我國于2001年依據(jù)ISO/IEC15408：1999版標(biāo)準(zhǔn)，發(fā)布了GB/T18336———2001版作為等同采用的推薦標(biāo)準(zhǔn)，一直沿用到現(xiàn)在。

    另外，針對(duì)COS產(chǎn)品的檢測(cè)與認(rèn)證還參照GB/T 20276－2006《信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求（EAL4增強(qiáng)級(jí)）》。 

    信息安全產(chǎn)品的檢測(cè)評(píng)估業(yè)務(wù)是認(rèn)證業(yè)務(wù)的依據(jù)，也是簽署互認(rèn)協(xié)議的各國依據(jù)該標(biāo)準(zhǔn)對(duì)信息產(chǎn)品安全性互認(rèn)的基礎(chǔ)。但檢測(cè)評(píng)估方法以及相應(yīng)的工具等是敏感的問題，涉及到產(chǎn)品開發(fā)的核心技術(shù)、評(píng)估技術(shù)和檢測(cè)技術(shù)，各國之間并不交流。根據(jù)國際相關(guān)會(huì)議的內(nèi)容來看，我國與發(fā)達(dá)國家之間仍有一定的差距，主要體現(xiàn)在檢測(cè)技術(shù)、檢測(cè)工具和檢測(cè)方法上。這也是今后我們重點(diǎn)關(guān)注的一個(gè)重要的方面。

    《卡市場(chǎng)》：智能卡在信息安全領(lǐng)域扮演著一個(gè)什么樣的角色，起著怎樣的作用？我國智能卡發(fā)展的有著怎樣的優(yōu)勢(shì)以及制約條件，國家未來會(huì)采取的監(jiān)管措施？

    陳博士：智能卡在信息安全領(lǐng)域內(nèi)主要扮演用戶身份識(shí)別、入網(wǎng)權(quán)限鑒別和保護(hù)用戶數(shù)據(jù)安全的角色。同時(shí)，也可以根據(jù)不同的需求開發(fā)出安全管理、安全審計(jì)、安全告警、訪問控制、信息流控制、失敗處理、功能恢復(fù)等各種相應(yīng)的安全功能。智能卡作為應(yīng)用系統(tǒng)的一部分，通過讀卡器與相關(guān)的應(yīng)用系統(tǒng)交互信息。智能卡、讀卡器以及相關(guān)的應(yīng)用系統(tǒng)構(gòu)成一個(gè)完整的應(yīng)用系統(tǒng)。三者安全功能構(gòu)成了整個(gè)應(yīng)用系統(tǒng)的安全防護(hù)體系。

    可以說，智能卡是保障信息的保密性、完整性和可用性必不可少的安全部件，在今后發(fā)展中，會(huì)不斷地展示其廣闊的應(yīng)用遠(yuǎn)景。

    智能卡產(chǎn)品與其它產(chǎn)品一樣，受著國際主流產(chǎn)品應(yīng)用需求導(dǎo)向影響和自身技術(shù)實(shí)現(xiàn)的牽制。相比之下，國內(nèi)企業(yè)的軟件開發(fā)占有一定的優(yōu)勢(shì)，但一些關(guān)鍵部件多數(shù)仍受制于國外企業(yè)。國家已經(jīng)提倡和鼓勵(lì)自主創(chuàng)新，以達(dá)到安全可控的目的。相信我國的企業(yè)會(huì)加快步伐，抓住機(jī)遇，取長補(bǔ)短，在材料業(yè)、制造業(yè)等方面會(huì)出現(xiàn)新的突破。

    《卡市場(chǎng)》：我國的智能卡產(chǎn)業(yè)經(jīng)過十幾年的發(fā)展，已初具規(guī)模，企業(yè)的研發(fā)能力大大加強(qiáng)，但是在一些核心技術(shù)領(lǐng)域尚與國際發(fā)達(dá)國家相比存在差距，從安全角度而言，您認(rèn)為這些差距主要體現(xiàn)在哪些方面？又有何建議？您對(duì)國內(nèi)智能卡企業(yè)及最終用戶有著怎樣的期望？

    陳博士：我國的智能卡產(chǎn)業(yè)經(jīng)過十幾年的發(fā)展，已初具規(guī)模，企業(yè)的研發(fā)能力也有很大的提高。但從產(chǎn)品的質(zhì)量控制和安全功能開發(fā)的角度而言，在智能卡的核心技術(shù)領(lǐng)域，仍然落后于發(fā)達(dá)國家，這主要體現(xiàn)在以下幾方面：在標(biāo)準(zhǔn)化方面，普遍缺乏對(duì)安全標(biāo)準(zhǔn)的認(rèn)知、推行和執(zhí)行；在開發(fā)設(shè)計(jì)方面，缺乏規(guī)范化的管理與過程控制；在工藝方面，制作技術(shù)落后，缺乏自主創(chuàng)新的工藝方法；在應(yīng)用方面，由于政出多門增大了“一卡多用”的開發(fā)和應(yīng)用難度，導(dǎo)致難以形成統(tǒng)一的安全規(guī)則。

    此外，智能卡的應(yīng)用及其安全特性的開發(fā)受制于應(yīng)用系統(tǒng)。而應(yīng)用系統(tǒng)又受到基礎(chǔ)設(shè)施、設(shè)備更新?lián)Q代導(dǎo)致在經(jīng)濟(jì)上付出巨大代價(jià)的牽制。比如說金融系統(tǒng)，至今仍在使用大量的安全性和可靠性極差的磁卡。其中，對(duì)于安全標(biāo)準(zhǔn)缺乏大力度的推行是個(gè)關(guān)鍵性的因素，建議加強(qiáng)對(duì)國際上先進(jìn)標(biāo)準(zhǔn)的跟蹤、研究、采納或及時(shí)制定我國行之有效的相關(guān)安全標(biāo)準(zhǔn)并強(qiáng)化貫徹執(zhí)行的力度，推進(jìn)我國信息安全產(chǎn)品和信息安全服務(wù)的標(biāo)準(zhǔn)化、規(guī)范化建設(shè)。

    近些年來，各級(jí)政府對(duì)智能卡產(chǎn)品的大力推廣使得智能卡產(chǎn)品得到了公眾的認(rèn)知和廣泛的應(yīng)用。通過國內(nèi)、外企業(yè)間的交流、競爭與合作，國內(nèi)智能卡產(chǎn)業(yè)涌現(xiàn)出一批實(shí)力型企業(yè)和高素質(zhì)的研發(fā)及制作隊(duì)伍，標(biāo)志著我國智能卡產(chǎn)業(yè)正在進(jìn)入新的階段。我希望企業(yè)不論大小，都應(yīng)該把用戶的需求作為關(guān)注產(chǎn)品改進(jìn)的焦點(diǎn)，并跟進(jìn)國際先進(jìn)的管理模式，持續(xù)改進(jìn)管理方法，規(guī)范研發(fā)、設(shè)計(jì)和檢測(cè)過程，開發(fā)適應(yīng)和滿足需求的工具，在保證產(chǎn)品質(zhì)量和通用功能的基礎(chǔ)上，能夠依據(jù)相關(guān)的安全標(biāo)準(zhǔn)不斷地推出具有我國特色的智能卡及其相關(guān)的新一代的安全產(chǎn)品。

    《卡市場(chǎng)》：最后，請(qǐng)您為日后的信息安全工作的開展提出一些寶貴的建議。

    陳博士：信息安全工作涉及面廣，層次深。認(rèn)證中心不僅要抓緊自身各方面建設(shè)，履行好自身的職責(zé)，同時(shí)要跟蹤國際信息安全認(rèn)證的先進(jìn)技術(shù)和水平。在實(shí)際工作中將努力貫徹執(zhí)行國家信息安全政策，積極配合政府部門滿足社會(huì)各領(lǐng)域?qū)π畔踩ぷ鞯男枨?，營造良好的內(nèi)、外工作環(huán)境；加強(qiáng)與有關(guān)部門的溝通與協(xié)作，探索有效工作機(jī)制，為信息安全工作提供高水平的認(rèn)證服務(wù)。以上這些要點(diǎn)也希望能夠得到各有關(guān)部門的配合與支持。