信息安全产品认证“千转百回”的艰辛路
信息安全认证标准如同中国的其他标准一样,经历了“友邦惊诧”、“无奈缓行”、“变相实施”、“前途未卜”这样一个艰难曲折的发展历程。中国标准“千转百回”的艰辛路,带给我们怎样的思考和启发?
信息安全认证艰辛路
日前,澳大利亚力拓公司驻上海办事处的四名业务人员因涉嫌窃取中国国家秘密而被拘捕。四人在中外进出口铁矿石谈判期间,因为信息泄密,给中国钢铁行业带来高达7000多亿元的经济损失。这为中国的企业信息化敲响了警钟,也使网络安全、信息安全再次被提到战略层面。
信息安全产品和技术是保障信息安全的重要支撑。随着信息产业的快速发展和信息化进程的逐步深入,信息安全问题成为了全球共同关注的焦点。在信息安全领域,采取统一认证机制来保障信息系统安全是各国的通用做法。我国也不例外。
今年4月27日,由国家质量监督检验检疫总局、中华人民共和国财政部、中华人民共和国国家认证认可监督管理委员会联合发布了《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)。
公告中,将国家质量监督检验检疫总局、国家认证认可监督管理委员会《关于部分信息安全产品实施强制性认证的公告》(2008年第7号)中涉及的信息安全产品强制性认证的强制实施时间延至2010年5月1日,并仅在政府采购法规定的范围内强制实施。认证产品范围包括防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复13种产品。目前,信息安全产品的认证受理工作已经开始。
据记者了解,《关于部分信息安全产品实施强制性认证的公告》在2008年1月就已发布,在时隔一年多之后,又联合财政部发布调整公告,不仅延后了原公告的执行时间,更将信息安全产品认证的强制实施限定在政府采购法规定的范围内。在世界范围内将信息安全的重要性上升到国家战略层面的今天,为了确保信息安全产品质量、保障国家信息安全,国家对信息安全产品以及信息网络系统的安全,实施了很多行政许可和认证的监管措施。但事实上,中国的信息安全认证之路走得十分艰辛。
“友邦惊诧”混淆视听
2008年1月底,《关于部分信息安全产品实施强制性认证的公告》正式发布了。根据这一公告要求,从2009年5月1日开始,凡列入强制认证目录内的13类信息安全产品,未获得强制性产品认证证书和未加施中国强制认证标志的,不得出厂、销售、进口或在其他经营活动中使用。
一石激起千层浪。之后,无数外国媒体的质疑报道扑面而来,国际相关标准组织和产业协会的反对声音也蜂拥而至,令国家相关部门面临非常被动的局面。
一些美国主流媒体在报道中描述,“中国政府计划要求外国信息产业公司向中国有关部门报批对中国出口的信息安全技术产品。这个拟议中的新政策明显是出于国家安全和扶持国内信息技术产业两方面的考量。”一位美国的智库战略与国际研究中心(CSIS)的研究员甚至认为,这个动机除包含一部分贸易考虑外,还包含一部分商业间谍成分,也包括中国政府希望在信息技术市场上扶持中国本土公司的计划,他还指出,“中国的第二个动机不那么合理”。日本《读卖新闻》则称:“这种制度可能存在把外国企业的知识产权提供给在中国竞争对手的风险。”“如果中国政府不放弃,那将可能发展成为严重的国际贸易争端。”
因此,2008年9月,在美中商贸联委会会议上,美国官员对这项政策提出了质疑。一位美国驻中国使馆的发言人说,美国认为中国计划实施的这项新规定“和中国的贸易承诺不相符”。
对这些质疑,国内各相关部门不得不反复解释、澄清: 中国的做法是为了保护国家安全和推进信息技术产业。
但国外媒体借机恶意炒作,甚至不惜歪曲事实,抹黑我国的管理制度。一位从事信息安全认证多年的老专家向记者说,在当时相关的国外新闻中,大量充斥着不实报道。
记者也发现,在一篇《日本经济新闻》仅几百字的稿件中,就至少存在以下几处失实: 将“13种强制性认证产品的目录”,写为“13条防范电脑病毒的强制认定标准”; 并且无中生有地写出“13条规定中包括基础软件”、“如果要取得认证可能要求企业公布软件设计图的源代码”等捏造的事实。
这些报道不仅混淆视听,还严重歪曲了中国正在建立的信息安全产品强制性认证制度。
面对“友邦惊诧”和含混不清的言辞,中国相关部门不得不不厌其烦地反复沟通交流,并作出解释。随后,国家推迟了认证制度的实施时间。
在2008年7号公告中明确的实施强制性认证的13种信息安全产品,只是众多IT产品中极小的一部分,都是专用的信息安全产品,根本不涉及这些国外媒体报道中提到的数码家用电器、数码复印机、平板电视等产品。
按照中国的法律、法规以及认可规范的要求,认证机构和实验室都必须承担为客户保密的责任,在对信息安全产品实施认证和检测时,根据不同安全等级的需要已制定了相应的安全保密措施。申请认证的技术资料仅严格用于实施认证和检测,不会被用于其他目的。