《卡市場》：信息技術(shù)和網(wǎng)絡(luò)的普及對社會的發(fā)展起著極大的推進作用，于是，信息安全也就成為了重中之重，那么，作為信息安全方面的專家，您是怎樣看待這個問題的？ 

620)this.style.width=620;" border=0>

    陳博士：信息問題在現(xiàn)在，確實可以說是一個十分重要的問題，當今社會已經(jīng)步入信息技術(shù)廣泛推廣，網(wǎng)絡(luò)應用日益普及的時代，傳統(tǒng)的通信業(yè)務和信息處理方式被新興的信息傳輸和處理模式取代。網(wǎng)絡(luò)應用給人們帶來巨大收益和方便的同時，也給人們帶來了由于惡意攻擊、虛假信息的欺詐或信息泄漏瞬間失去資產(chǎn)的苦惱、恐懼和不安。任何組織或個人的信息在網(wǎng)絡(luò)上傳輸，都有可能會被非法竊聽、截取、篡改或破壞，從而造成不可估量的損失。正因為上述問題，信息安全成了世界范圍內(nèi)廣為關(guān)注的重中之重。

    與傳統(tǒng)的“安全”問題不同，信息安全是個深層次的概念，信息安全與信息本身的特征、信息的存儲、傳輸和處理技術(shù)密切相關(guān)。網(wǎng)絡(luò)信息安全則是與網(wǎng)絡(luò)系統(tǒng)的硬件、軟件以及它們所構(gòu)成的安全防范體系密切聯(lián)系在一起，使系統(tǒng)中的信息和數(shù)據(jù)的機密性、完整性和可用性得到有效的控制和保護，防止非授權(quán)的訪問以及各種緣由的信息泄漏和破壞，確保系統(tǒng)能連續(xù)可靠地運行。所有這些都需要采用各種行之有效的安全保障措施。這些措施包括了信息產(chǎn)品自身的安全控制技術(shù)、信息產(chǎn)品研發(fā)及生產(chǎn)環(huán)境的技術(shù)的或程序的安全控制措施、信息產(chǎn)品交付過程的技術(shù)的或程序的安全控制措施、信息產(chǎn)品使用環(huán)境的安全控制措施，構(gòu)建網(wǎng)絡(luò)系統(tǒng)應實現(xiàn)的技術(shù)和程序的安全控制的措施等。

    《卡市場》：在信息安全問題日益突出的今天，中國信息安全認證中心的成立顯然是具有重要意義的，請您簡單介紹一下中心成立的背景？

    陳博士：隨著信息產(chǎn)業(yè)的快速發(fā)展，信息安全成為世界范圍內(nèi)共同關(guān)注的焦點。信息詐騙、網(wǎng)絡(luò)攻擊和竊密、信息垃圾騷擾等問題日益突出，迫切需要各部門聯(lián)合起來，共同對付這個矚目的問題。這就要求國家對信息產(chǎn)品和信息網(wǎng)絡(luò)的安全性實施統(tǒng)一的、必要的監(jiān)控措施。因此實行信息安全全國統(tǒng)一的認證制度，是建立我國信息安全保障體系，促進信息安全產(chǎn)業(yè)發(fā)展、確保信息安全產(chǎn)品的質(zhì)量，規(guī)范并提升信息安全的各項服務工作的第一步。

    國家建立信息安全認證中心這一機構(gòu)，標志著國家統(tǒng)一的信息安全認證認可體系的建立與實施。信息安全認證中心的成立將對我國信息安全監(jiān)管的科學化、規(guī)范化、制度化產(chǎn)生深遠影響。在信息安全領(lǐng)域采取認證機制是保障信息系統(tǒng)安全的重要手段，也是世界各國的普遍做法。做好信息安全認證工作，一定要從維護國家安全的大局來認識其重要性，各部門也需要加強合作。可以說，統(tǒng)一安全認證體系的建立適應了信息化發(fā)展的需要，對民族信息安全產(chǎn)業(yè)的發(fā)展具有積極促進作用。

    《卡市場》：中心成立已有近一年的時間，在這段時間內(nèi)，中心做了哪些工作？取得了怎樣的成效？

    陳博士：按照國家質(zhì)檢總局領(lǐng)導提出的“中心組建后要立足高起點、堅持高標準、確保高質(zhì)量，力爭高水平”的要求，中國信息安全認證中心從去年11月成立以來，就搭建了一個強有力的領(lǐng)導班子，組建了一個一流的認證團隊，建立了一整套完善的認證規(guī)章制度，各項工作有條不紊的開展，迄今為止各項工作取得了重大的進展，其中主要的成績有以下幾點：

    1）確定了從認證環(huán)節(jié)到執(zhí)行部門相對應的信息安全產(chǎn)品認證管理的工作流程，明確了各個認證步驟的具體要求，包括明確了信息安全產(chǎn)品檢測機構(gòu)的指定原則及條件等。
    2）統(tǒng)一標準，對于產(chǎn)品認證涉及的標準，參照國際標準對相關(guān)的國家標準進行了梳理，所涉及的66個國家標準，40%以上的是國內(nèi)自主研發(fā)的。
    3）積極參與首批信息安全強制認證產(chǎn)品目錄的制定工作。鑒于目錄發(fā)布的重要性，信息安全產(chǎn)品管委會秘書處召開了多次專門會議進行研究討論，最后確定邊界安全、通信安全、身份鑒別與訪問控制、數(shù)據(jù)安全、基礎(chǔ)平臺、內(nèi)容安全等8大類，其中包括防火墻、安全操作系統(tǒng)、防垃圾郵件、入侵檢測等13種產(chǎn)品。期間，還參照國際慣例于2007年8月26日向WTO通報。
    4）確定了首批信息安全自愿性產(chǎn)品認證目錄。首批確定了15種自愿性認證產(chǎn)品目錄，包括：信息內(nèi)容過濾與控制產(chǎn)品、芯片（智能卡）、讀卡器（智能卡）等。
    5）開展無線局域網(wǎng)安全產(chǎn)品的認證工作。國家已經(jīng)將此劃入了強制產(chǎn)品認證的范圍，信息安全認證中心成立以后即將作為唯一的認證機構(gòu)行使認證職能，中心已經(jīng)圓滿完成了證書換發(fā)工作，產(chǎn)品認證工作已進入常態(tài)。
    6）信息安全管理體系認證。這項工作現(xiàn)在主要依據(jù)的是國際ISO27000系列標準，目前該工作已全面展開，中心于2007年10月22日，給中國信達資產(chǎn)管理公司頒發(fā)了首張證書。可以預計，中心在年前還將頒發(fā)多張證書。
    7）信息安全服務資質(zhì)認證。根據(jù)國信辦的安排，以及與信息產(chǎn)業(yè)部協(xié)調(diào)，中心將在今年底開展試點。
    8）信息安全培訓。已經(jīng)啟動，并先后在上海、北京成功舉辦了培訓班。
    9）獲得了中國國家認證認可監(jiān)督管理委員會（CNCA）頒發(fā)的認證機構(gòu)和培訓機構(gòu)的資格證書，允許中心從事信息安全產(chǎn)品認證、信息安全管理體系認證和信息安全服務資質(zhì)認證（試點）的認證工作，以及從事信息安全產(chǎn)品認證檢查員培訓、信息安全管理體系認證和信息安全服務資質(zhì)認證（試點）的培訓工作。

    《卡市場》：中國信息安全認證中心的業(yè)務有哪些？需要進行強制性認證的產(chǎn)品有哪幾類產(chǎn)品？

    陳博士：中國信息安全認證中心的業(yè)務主要有下面幾類：信息安全產(chǎn)品認證業(yè)務；信息安全管理體系認證業(yè)務；信息安全服務資質(zhì)認證業(yè)務；信息安全產(chǎn)品認證檢查員培訓業(yè)務；信息安全管理體系審核員培訓業(yè)務；信息安全服務資質(zhì)認證審核員培訓業(yè)務。

    到目前為止，中心已經(jīng)確定了有13類產(chǎn)品需要進行強制性認證，其中包括： 

    （1）防火墻類產(chǎn)品；
    （2）網(wǎng)絡(luò)安全隔離卡與線路選擇器類產(chǎn)品；
    （3）安全隔離與信息交換產(chǎn)品類產(chǎn)品；
    （4）安全路由器類產(chǎn)品；
    （5）COS（智能卡）類產(chǎn)品；
    （6）數(shù)據(jù)備份與恢復類產(chǎn)品；
    （7）安全操作系統(tǒng)類產(chǎn)品；
    （8）安全數(shù)據(jù)庫系統(tǒng)類產(chǎn)品；
    （9）反垃圾郵件類產(chǎn)品；
    （10）入侵檢測系統(tǒng)（IDS）類產(chǎn)品；
    （11）網(wǎng)絡(luò)脆弱性掃描類產(chǎn)品；
    （12）安全審計類產(chǎn)品；
    （13）網(wǎng)站恢復類產(chǎn)品。 


    《卡市場》：針對智能卡及相關(guān)產(chǎn)品，中國信息安全認證中心將會采取怎樣的認證措施？目前國際上智能卡信息安全檢測與認證的情況是怎樣的？

    陳博士：中國信息安全認證中心作為第三方的公正機構(gòu)和法人實體，將遵循國家信息安全管理的法律法規(guī)、《認證許可條例》及認證實施規(guī)則，在指定的業(yè)務范圍內(nèi)實行全國統(tǒng)一的認證制度，依據(jù)相關(guān)標準，對信息安全產(chǎn)品實施認證。認證方式采取強制認證和自愿認證相結(jié)合的方法，根據(jù)國內(nèi)、外同類產(chǎn)品發(fā)展狀況，技術(shù)水平以及對產(chǎn)品安全性的需求，開辟適合我國國情的認證業(yè)務。

    由于智能卡及相關(guān)產(chǎn)品研發(fā)技術(shù)的日益成熟及其在多領(lǐng)域廣泛的應用前景，其安全性必須受到足夠的重視。中國信息安全認證中心將依據(jù)相關(guān)的安全標準和認證實施規(guī)則，對智能卡及其相關(guān)產(chǎn)品的安全性實施強制認證（例如對嵌入軟件COS）和自愿認證（例如對卡的集成電路芯片或成品卡）相結(jié)合的認證服務方針持續(xù)推進智能卡及其相關(guān)產(chǎn)品的應用和發(fā)展，并在此基礎(chǔ)上，逐步推行對讀卡器產(chǎn)品的安全認證服務和對建立應用系統(tǒng)的組織開展安全體系認證服務工作。

    目前，國際上對智能卡的檢測與認證執(zhí)行的標準是《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》（ISO/IEC15408）。該準則于1999年由國際標準化組織發(fā)布了ISO/IEC15408：1999版，于2005年發(fā)布了ISO/IEC15408：2005版。我國于2001年依據(jù)ISO/IEC15408：1999版標準，發(fā)布了GB/T18336———2001版作為等同采用的推薦標準，一直沿用到現(xiàn)在。

    另外，針對COS產(chǎn)品的檢測與認證還參照GB/T 20276－2006《信息安全技術(shù)智能卡嵌入式軟件安全技術(shù)要求（EAL4增強級）》。 

    信息安全產(chǎn)品的檢測評估業(yè)務是認證業(yè)務的依據(jù)，也是簽署互認協(xié)議的各國依據(jù)該標準對信息產(chǎn)品安全性互認的基礎(chǔ)。但檢測評估方法以及相應的工具等是敏感的問題，涉及到產(chǎn)品開發(fā)的核心技術(shù)、評估技術(shù)和檢測技術(shù)，各國之間并不交流。根據(jù)國際相關(guān)會議的內(nèi)容來看，我國與發(fā)達國家之間仍有一定的差距，主要體現(xiàn)在檢測技術(shù)、檢測工具和檢測方法上。這也是今后我們重點關(guān)注的一個重要的方面。

    《卡市場》：智能卡在信息安全領(lǐng)域扮演著一個什么樣的角色，起著怎樣的作用？我國智能卡發(fā)展的有著怎樣的優(yōu)勢以及制約條件，國家未來會采取的監(jiān)管措施？

    陳博士：智能卡在信息安全領(lǐng)域內(nèi)主要扮演用戶身份識別、入網(wǎng)權(quán)限鑒別和保護用戶數(shù)據(jù)安全的角色。同時，也可以根據(jù)不同的需求開發(fā)出安全管理、安全審計、安全告警、訪問控制、信息流控制、失敗處理、功能恢復等各種相應的安全功能。智能卡作為應用系統(tǒng)的一部分，通過讀卡器與相關(guān)的應用系統(tǒng)交互信息。智能卡、讀卡器以及相關(guān)的應用系統(tǒng)構(gòu)成一個完整的應用系統(tǒng)。三者安全功能構(gòu)成了整個應用系統(tǒng)的安全防護體系。

    可以說，智能卡是保障信息的保密性、完整性和可用性必不可少的安全部件，在今后發(fā)展中，會不斷地展示其廣闊的應用遠景。

    智能卡產(chǎn)品與其它產(chǎn)品一樣，受著國際主流產(chǎn)品應用需求導向影響和自身技術(shù)實現(xiàn)的牽制。相比之下，國內(nèi)企業(yè)的軟件開發(fā)占有一定的優(yōu)勢，但一些關(guān)鍵部件多數(shù)仍受制于國外企業(yè)。國家已經(jīng)提倡和鼓勵自主創(chuàng)新，以達到安全可控的目的。相信我國的企業(yè)會加快步伐，抓住機遇，取長補短，在材料業(yè)、制造業(yè)等方面會出現(xiàn)新的突破。

    《卡市場》：我國的智能卡產(chǎn)業(yè)經(jīng)過十幾年的發(fā)展，已初具規(guī)模，企業(yè)的研發(fā)能力大大加強，但是在一些核心技術(shù)領(lǐng)域尚與國際發(fā)達國家相比存在差距，從安全角度而言，您認為這些差距主要體現(xiàn)在哪些方面？又有何建議？您對國內(nèi)智能卡企業(yè)及最終用戶有著怎樣的期望？

    陳博士：我國的智能卡產(chǎn)業(yè)經(jīng)過十幾年的發(fā)展，已初具規(guī)模，企業(yè)的研發(fā)能力也有很大的提高。但從產(chǎn)品的質(zhì)量控制和安全功能開發(fā)的角度而言，在智能卡的核心技術(shù)領(lǐng)域，仍然落后于發(fā)達國家，這主要體現(xiàn)在以下幾方面：在標準化方面，普遍缺乏對安全標準的認知、推行和執(zhí)行；在開發(fā)設(shè)計方面，缺乏規(guī)范化的管理與過程控制；在工藝方面，制作技術(shù)落后，缺乏自主創(chuàng)新的工藝方法；在應用方面，由于政出多門增大了“一卡多用”的開發(fā)和應用難度，導致難以形成統(tǒng)一的安全規(guī)則。

    此外，智能卡的應用及其安全特性的開發(fā)受制于應用系統(tǒng)。而應用系統(tǒng)又受到基礎(chǔ)設(shè)施、設(shè)備更新?lián)Q代導致在經(jīng)濟上付出巨大代價的牽制。比如說金融系統(tǒng)，至今仍在使用大量的安全性和可靠性極差的磁卡。其中，對于安全標準缺乏大力度的推行是個關(guān)鍵性的因素，建議加強對國際上先進標準的跟蹤、研究、采納或及時制定我國行之有效的相關(guān)安全標準并強化貫徹執(zhí)行的力度，推進我國信息安全產(chǎn)品和信息安全服務的標準化、規(guī)范化建設(shè)。

    近些年來，各級政府對智能卡產(chǎn)品的大力推廣使得智能卡產(chǎn)品得到了公眾的認知和廣泛的應用。通過國內(nèi)、外企業(yè)間的交流、競爭與合作，國內(nèi)智能卡產(chǎn)業(yè)涌現(xiàn)出一批實力型企業(yè)和高素質(zhì)的研發(fā)及制作隊伍，標志著我國智能卡產(chǎn)業(yè)正在進入新的階段。我希望企業(yè)不論大小，都應該把用戶的需求作為關(guān)注產(chǎn)品改進的焦點，并跟進國際先進的管理模式，持續(xù)改進管理方法，規(guī)范研發(fā)、設(shè)計和檢測過程，開發(fā)適應和滿足需求的工具，在保證產(chǎn)品質(zhì)量和通用功能的基礎(chǔ)上，能夠依據(jù)相關(guān)的安全標準不斷地推出具有我國特色的智能卡及其相關(guān)的新一代的安全產(chǎn)品。

    《卡市場》：最后，請您為日后的信息安全工作的開展提出一些寶貴的建議。

    陳博士：信息安全工作涉及面廣，層次深。認證中心不僅要抓緊自身各方面建設(shè)，履行好自身的職責，同時要跟蹤國際信息安全認證的先進技術(shù)和水平。在實際工作中將努力貫徹執(zhí)行國家信息安全政策，積極配合政府部門滿足社會各領(lǐng)域?qū)π畔踩ぷ鞯男枨?，營造良好的內(nèi)、外工作環(huán)境；加強與有關(guān)部門的溝通與協(xié)作，探索有效工作機制，為信息安全工作提供高水平的認證服務。以上這些要點也希望能夠得到各有關(guān)部門的配合與支持。