信息安全认证擦亮照妖镜

一阵键盘声响，一串重要信息便出现在他们的屏幕上。无论是公众的电邮、图片、视频、即时消息，还是他国的关键数据，只要他们想猎取，就能获得。这就是“棱镜计划”。斯诺登曝光了“棱镜”，花样百出的其他“棱镜”们依然潜伏着。他们借助后门，瞄准漏洞，控制信息设备，窃取核心数据，瘫痪业务系统，用鼠标和键盘悄悄地向他国和公众的信息安全发起挑战。

“棱镜”们来势汹汹，网络信息安全形势严峻，这让防范“棱镜”的照妖镜——信息安全认证需求日益迫切。中国信息安全认证中心主任魏昊说：“没有合格的信息安全产品和服务，就没有信息系统的安全性。信息安全认证为信息系统提供了信心保证。”

提升国家对信息安全的信心

“棱镜门”事件之所以令全球舆论惶恐和哗然，在于网络空间风险给一个国家的利益和安全带来实质性挑战。“斯诺登事件”之后，世界各国也纷纷陷入由此引发的思考之中，一些国家竞相掀起新一轮网络安全保卫战，切实加强本国网络空间安全。

信息安全认证专家甘杰夫博士认为，“棱镜门”事件暴露出的关键问题是，当一个国家的关键信息技术为国外所垄断，国家关键基础设施的核心控制系统大量从国外采购时，境外势力极易通过刻意布置的隐蔽通道，或者利用提供信息技术服务的便利，神不知鬼不觉地窃取重要情报信息，也极易放置由其主动触发的破坏指令。

由于在核心电子器件、高端通用芯片及基础软件产品方面与发达国家有较大差距，我国信息化建设所需关键技术设备国产化程度低，包括电信、金融、电力、铁路等在内的国家关键基础设施，其核心控制系统中约50%以上设备均从国外采购。国家基础网络和重要信息系统的这种先天不足，已成为我国信息安全的重大隐患。

为了降低系统或网络安全风险，提高综合防范水平，世界各国都把信息安全认证作为国家信息安全保障体系的一项基础性工作，由政府机构代表国家实施。我国于2006年11月专门成立信息安全认证机构——中国信息安全认证中心，隶属质检总局。

作为有效防止信息安全威胁的重要手段，信息安全认证在我国得到了党中央和国务院的高度重视，“完善信息安全认证认可体系”已陆续写入《国民经济和社会发展第十二个五年规划纲要》、《质量发展纲要(2011～2020年)》和国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》。十八届三中全会提出要“健全公共安全体系”、“确保国家网络和信息安全”。今年2月，中央网络安全信息化领导小组成立，在顶层设计中为信息安全认证的加速发展创造了环境条件。

据统计，截至今年10月底，中国信息安全认证中心共颁发信息安全产品认证证书458张，被政府采购活动采信。中国工程院院士何德全评价说：“中国信息安全认证中心作为一个认证机构，按照相关标准和技术规范对产品、服务、管理体系开展合格评定活动，是一个非常重要的工作，是信息安全保障体系当中不可缺少的而且非常重要的一个组成部分。”

但由于多重原因，我国信息安全产品认证的实施范围目前还仅限于13种信息安全产品，这成为制约其充分发挥基础保障作用的重要因素。

中国信息安全中心质量管理者代表亓明和提出，未来应该排除国外干扰，加强内部协调，进一步发挥信息安全认证在国家关键基础设施、重要信息系统中的作用，填补关键、基础性信息技术产品和服务信息安全管理空白。