厉兵秣马，信息安全保卫战打响

     《卡市场》：信息技术和网络的普及对社会的发展起着极大的推进作用，于是，信息安全也就成为了重中之重，那么，作为信息安全方面的专家，您是怎样看待这个问题的？ 

    陈博士：信息问题在现在，确实可以说是一个十分重要的问题，当今社会已经步入信息技术广泛推广，网络应用日益普及的时代，传统的通信业务和信息处理方式被新兴的信息传输和处理模式取代。网络应用给人们带来巨大收益和方便的同时，也给人们带来了由于恶意攻击、虚假信息的欺诈或信息泄漏瞬间失去资产的苦恼、恐惧和不安。任何组织或个人的信息在网络上传输，都有可能会被非法窃听、截取、篡改或破坏，从而造成不可估量的损失。正因为上述问题，信息安全成了世界范围内广为关注的重中之重。

    与传统的“安全”问题不同，信息安全是个深层次的概念，信息安全与信息本身的特征、信息的存储、传输和处理技术密切相关。网络信息安全则是与网络系统的硬件、软件以及它们所构成的安全防范体系密切联系在一起，使系统中的信息和数据的机密性、完整性和可用性得到有效的控制和保护，防止非授权的访问以及各种缘由的信息泄漏和破坏，确保系统能连续可靠地运行。所有这些都需要采用各种行之有效的安全保障措施。这些措施包括了信息产品自身的安全控制技术、信息产品研发及生产环境的技术的或程序的安全控制措施、信息产品交付过程的技术的或程序的安全控制措施、信息产品使用环境的安全控制措施，构建网络系统应实现的技术和程序的安全控制的措施等。

    《卡市场》：在信息安全问题日益突出的今天，中国信息安全认证中心的成立显然是具有重要意义的，请您简单介绍一下中心成立的背景？

    陈博士：随着信息产业的快速发展，信息安全成为世界范围内共同关注的焦点。信息诈骗、网络攻击和窃密、信息垃圾骚扰等问题日益突出，迫切需要各部门联合起来，共同对付这个瞩目的问题。这就要求国家对信息产品和信息网络的安全性实施统一的、必要的监控措施。因此实行信息安全全国统一的认证制度，是建立我国信息安全保障体系，促进信息安全产业发展、确保信息安全产品的质量，规范并提升信息安全的各项服务工作的第一步。

    国家建立信息安全认证中心这一机构，标志着国家统一的信息安全认证认可体系的建立与实施。信息安全认证中心的成立将对我国信息安全监管的科学化、规范化、制度化产生深远影响。在信息安全领域采取认证机制是保障信息系统安全的重要手段，也是世界各国的普遍做法。做好信息安全认证工作，一定要从维护国家安全的大局来认识其重要性，各部门也需要加强合作。可以说，统一安全认证体系的建立适应了信息化发展的需要，对民族信息安全产业的发展具有积极促进作用。

    《卡市场》：中心成立已有近一年的时间，在这段时间内，中心做了哪些工作？取得了怎样的成效？

    陈博士：按照国家质检总局领导提出的“中心组建后要立足高起点、坚持高标准、确保高质量，力争高水平”的要求，中国信息安全认证中心从去年11月成立以来，就搭建了一个强有力的领导班子，组建了一个一流的认证团队，建立了一整套完善的认证规章制度，各项工作有条不紊的开展，迄今为止各项工作取得了重大的进展，其中主要的成绩有以下几点：

    1）确定了从认证环节到执行部门相对应的信息安全产品认证管理的工作流程，明确了各个认证步骤的具体要求，包括明确了信息安全产品检测机构的指定原则及条件等。
    2）统一标准，对于产品认证涉及的标准，参照国际标准对相关的国家标准进行了梳理，所涉及的66个国家标准，40%以上的是国内自主研发的。
    3）积极参与首批信息安全强制认证产品目录的制定工作。鉴于目录发布的重要性，信息安全产品管委会秘书处召开了多次专门会议进行研究讨论，最后确定边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全等8大类，其中包括防火墙、安全操作系统、防垃圾邮件、入侵检测等13种产品。期间，还参照国际惯例于2007年8月26日向WTO通报。
    4）确定了首批信息安全自愿性产品认证目录。首批确定了15种自愿性认证产品目录，包括：信息内容过滤与控制产品、芯片（智能卡）、读卡器（智能卡）等。
    5）开展无线局域网安全产品的认证工作。国家已经将此划入了强制产品认证的范围，信息安全认证中心成立以后即将作为唯一的认证机构行使认证职能，中心已经圆满完成了证书换发工作，产品认证工作已进入常态。
    6）信息安全管理体系认证。这项工作现在主要依据的是国际ISO27000系列标准，目前该工作已全面展开，中心于2007年10月22日，给中国信达资产管理公司颁发了首张证书。可以预计，中心在年前还将颁发多张证书。
    7）信息安全服务资质认证。根据国信办的安排，以及与信息产业部协调，中心将在今年底开展试点。
    8）信息安全培训。已经启动，并先后在上海、北京成功举办了培训班。
    9）获得了中国国家认证认可监督管理委员会（CNCA）颁发的认证机构和培训机构的资格证书，允许中心从事信息安全产品认证、信息安全管理体系认证和信息安全服务资质认证（试点）的认证工作，以及从事信息安全产品认证检查员培训、信息安全管理体系认证和信息安全服务资质认证（试点）的培训工作。

    《卡市场》：中国信息安全认证中心的业务有哪些？需要进行强制性认证的产品有哪几类产品？

    陈博士：中国信息安全认证中心的业务主要有下面几类：信息安全产品认证业务；信息安全管理体系认证业务；信息安全服务资质认证业务；信息安全产品认证检查员培训业务；信息安全管理体系审核员培训业务；信息安全服务资质认证审核员培训业务。

    到目前为止，中心已经确定了有13类产品需要进行强制性认证，其中包括： 

    （1）防火墙类产品；
    （2）网络安全隔离卡与线路选择器类产品；
    （3）安全隔离与信息交换产品类产品；
    （4）安全路由器类产品；
    （5）COS（智能卡）类产品；
    （6）数据备份与恢复类产品；
    （7）安全操作系统类产品；
    （8）安全数据库系统类产品；
    （9）反垃圾邮件类产品；
    （10）入侵检测系统（IDS）类产品；
    （11）网络脆弱性扫描类产品；
    （12）安全审计类产品；
    （13）网站恢复类产品。