信息来源:中国电子政务信息网
由国务院信息化工作办公室网络与信息安全组指导,中国信息安全产品测评认证中心主办,中国信息产业商会信息安全产业分会协办的“第三届中国信息安全论坛·信息安全分级认证推进大会”日前在京隆重举行。来自国家信息安全主管部门领导、信息安全业界资深专家学者、知名信息安全厂商代表和新闻界的人士近300人参加了大会。会议重点围绕如何落实我国信息安全等级保护策略、推进信息安全产品分级认证工作,以及信息安全产品分级认证的用户需求等焦点问题进行深入探讨。
国家信息安全测评认证管理委员会吴世忠局长、信息产业部产品司赵波副司长、公安部信息通信局欧阳满副局长、国家保密局蔡红巡视员、中国信息安全产品测评认证中心王海生主任、国家密码管理委员会商密办杨令军处长等领导到会并作了重要发言。中国信息安全产品测评认证中心吴世忠局长作了重要发言。
陈晓桦副主任、认证业务部李鹤田主管分别作了“信息安全等级保护与分级认证”和“IT产品安全分级认证服务指南”的主题报告,就信息安全测评认证的特点、等级保护与分级认证发展趋势、信息安全产品分级认证的背景、流程与周期等人们关心的热点问题作出介绍。
会上,中国信息安全产品测评认证中心还为近期通过测评认证的:深圳证券通信系统(安全管理保障二级)等2个信息安全系统,大唐微电子技术有限公司的大唐DMT01U UM卡(CDMA)(EAL4级)、绿盟科技有限公司“冰之眼”网络入侵检测系统(3.0)(EAL3级)等6个信息安全产品,8个信息安全服务资质(安全工程类一级)的申请单位及国内行业中第一批审计班——中国工商银行总行的31位注册信息安全审核人员(CISA)分别颁发了认证证书。
当前,我国信息安全工作仍存在网络与信息系统的防护水平不高、信息安全关键技术整体上较落后、信息安全法律法规和标准不完善、信息安全意识不强等问题。为进一步保障国家信息安全,响应中办发[2003]27号文和全国信息安全保障工作会议精神,积极推进等级保护和分级认证工作,近期,在国家认证认可监督管理委员会牵头制定的“国认证联[2004]57号文”中提出:“对于重要的信息安全产品将实行强制性认证”,并要求:对于虽未列入强制性认证目录的特定领域的用户、相关的管理部门(包括政府采购)和具有一定等级保护要求的单位在根据需要制定相应的规定(如政府采购办法、等级保护规定等)时,必须明确采购(或使用)通过自愿性认证的信息安全产品。
27号文和全国信息安全保障工作会议均强调实现信息安全等级保护是当务之急,其中一个很重要的方面,就是坚持从实际出发,保障重点的原则,综合平衡建设成本和安全风险,区别不同情况,分级、分类、分阶段进行信息安全建设和管理。
信息安全产品分级测评是为满足不同要求的信息技术产品和系统的安全功能及相应的保证措施,确定一个可信级别,使各种独立的安全评估结果具有可比性。信息安全产品认证是由权威性的、独立的、公正的第三方根据相关标准的技术要求对信息技术领域内产品符合规范及安全标准要求的一种确认活动。通过分级测评和认证不仅可以在开发者与使用者之间形成对信息安全产品功能的共同理解,为政府及各行业的广大消费者提供信息技术安全产品的采购依据,帮助用户选择满足不同等级安全需要、质量合格、经济适用的信息安全产品,而且可以提高被评估对象的信息安全研发能力和生产水平,使产品的研制和生产过程逐步走向规范和标准化,推动信息技术安全产业的发展,增强产品的国际市场竞争力。同时,还可以进一步为电子政务安全提供技术保障,为建立安全的信息系统奠定重要的基础,最终为有效地建立起我国的信息安全保障体系服务。
目前,国际上对信息安全产品最高认证可以达到EAL5级。我国参照国标GB/T18336即国际标准CC(ISO/IEC 15408将信息技术安全认证划分为EAL1-EAL7等7个认证级别。其中,每个高级别都比所有较低级别要求更多的保证。作为我国唯一经国家授权成立的信息技术安全性测评认证机构,也是中国唯一按WTO规则和采用国际通用安全评估准则GB/T 18336 idt ISO/IEC 15408)标准运行的国家认证实体,中国信息安全产品测评认证中心目前已开展了对网络产品的级认证以及SIM卡的EAL4+级认证,其中,EAL1级认证适合于个人及简单商用环境,EAL2级认证适用于一般商用,EAL3级认证能够满足具有适当安全需求的政府、特定商业用户及军用的要求。中国信息安全产品测评认证中心依据GB/T18336-2001《信息技术 安全技术 信息技术安全性评估准则》,对访问控制产品、鉴别产品、安全审计产品、安全管理产品、数据完整性产品、数字签名产品、抗抵赖产品、商用密码产品等10类300多个信息安全产品进行了测评和认证,为优化信息安全产品质量和市场竞争力、保障我国信息安全事业和推动国家信息安全事业的发展做出巨大贡献。
由于不同的应用场合(或环境)对信息技术产品或系统能够提供的安全性保证程度的要求不一样,等级保护以“对信息安全分等级、按标准进行建设、管理和监督”为核心思想,采取合理投入、分级进行保护、分类指导、分阶段实施等原则、措施实行。因此,在网络和信息系统的安全保障建设中,需要选择适应自身网络和系统安全需求的产品,采用科学、公正和客观的方法。
对于生产厂家来说,需要面向信息安全保障体系建设开发不同类型的信息安全产品,尤其是重视信息安全产品的专有特性,开发满足用户特定需求的产品。并通过增加资源投入、改善产品的开发生产过程等,使开发生产的产品满足特定的安全保障能力(评估保证级)的需要。
用户在选择信息安全产品时,应根据预期使用环境确定产品需具备的安全保障能力,即预期的评估保证级(EAL);在选择信息安全产品时应注重信息安全产品的专有特征和自身需要、重视信息安全风险分析,确定合理、适度的保护方案,以便选择适应自身系统安全的产品;重视安全保障中的互操作性及系统的开放性和生存能力,以便在系统实现使命的过程中,随着系统的演进保持持续的安全性。
目前我国除SIM卡的EAL4增强级认证外,EAL3级认证已成为我国网络产品最高等级的国家信息安全认证。截至到目前,共有天融信、启明星辰、金诺网安、中联绿盟等四家公司的4个产品通过了中国信息安全产品测评认证中心的EAL3级认证;北京华虹集成电路设计有限责任公司,大唐微电子技术有限公司,上海华虹集成电路有限责任公司,金普斯(天津)新技术有限公司,珠海东信和平智能卡股份有限公司以及江西捷德智能卡系统有限公司等六家公司的6个智能卡产品通过了中国信息安全产品测评认证中心SIM卡的EAL4增强级认证。
从EAL1级到EAL4级保证级别的不断增加,实现了阶段性的增长,既有助于提高国内信息技术产品的质量、市场竞争力的提高,提高用户的使用信心,又体现了我国信息安全产品分级认证工作与国际现行认证体制的接轨,有利于促进我国信息化建设向更高层次发展。相信随着国认证联57号文等相关规定的出台,我国的信息安全产品等级评估与认证工作将在国家大力关注与有力措施下,日趋科学化和规范化,得到越来越多的生产商和广大用户的认同和欢迎。 | |
当前位置:
