【IT168 专稿】信息安全认证标准如同中国的其他标准一样,经历了“友邦惊诧”、“无奈缓行”、“变相实施”、“前途未卜”这样一个艰难曲折的发展历程。中国标准“千转百回”的艰辛路,带给我们怎样的思考和启发?
信息安全认证艰辛路
日前,澳大利亚力拓公司驻上海办事处的四名业务人员因涉嫌窃取中国国家秘密而被拘捕。四人在中外进出口铁矿石谈判期间,因为信息泄密,给中国钢铁行业带来高达7000多亿元的经济损失。这为中国的企业信息化敲响了警钟,也使网络安全、信息安全再次被提到战略层面。
信息安全产品和技术是保障信息安全的重要支撑。随着信息产业的快速发展和信息化进程的逐步深入,信息安全问题成为了全球共同关注的焦点。在信息安全领域,采取统一认证机制来保障信息系统安全是各国的通用做法。我国也不例外。
今年4月27日,由国家质量监督检验检疫总局、中华人民共和国财政部、中华人民共和国国家认证认可监督管理委员会联合发布了《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)。
公告中,将国家质量监督检验检疫总局、国家认证认可监督管理委员会《关于部分信息安全产品实施强制性认证的公告》(2008年第7号)中涉及的信息安全产品强制性认证的强制实施时间延至2010年5月1日,并仅在政府采购法规定的范围内强制实施。认证产品范围包括防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复13种产品。目前,信息安全产品的认证受理工作已经开始。
据记者了解,《关于部分信息安全产品实施强制性认证的公告》在2008年1月就已发布,在时隔一年多之后,又联合财政部发布调整公告,不仅延后了原公告的执行时间,更将信息安全产品认证的强制实施限定在政府采购法规定的范围内。在世界范围内将信息安全的重要性上升到国家战略层面的今天,为了确保信息安全产品质量、保障国家信息安全,国家对信息安全产品以及信息网络系统的安全,实施了很多行政许可和认证的监管措施。但事实上,中国的信息安全认证之路走得十分艰辛。
“友邦惊诧”混淆视听
2008年1月底,《关于部分信息安全产品实施强制性认证的公告》正式发布了。根据这一公告要求,从2009年5月1日开始,凡列入强制认证目录内的13类信息安全产品,未获得强制性产品认证证书和未加施中国强制认证标志的,不得出厂、销售、进口或在其他经营活动中使用。
一石激起千层浪。之后,无数外国媒体的质疑报道扑面而来,国际相关标准组织和产业协会的反对声音也蜂拥而至,令国家相关部门面临非常被动的局面。
一些美国主流媒体在报道中描述,“中国政府计划要求外国信息产业公司向中国有关部门报批对中国出口的信息安全技术产品。这个拟议中的新政策明显是出于国家安全和扶持国内信息技术产业两方面的考量。”一位美国的智库战略与国际研究中心(CSIS)的研究员甚至认为,这个动机除包含一部分贸易考虑外,还包含一部分商业间谍成分,也包括中国政府希望在信息技术市场上扶持中国本土公司的计划,他还指出,“中国的第二个动机不那么合理”。日本《读卖新闻》则称:“这种制度可能存在把外国企业的知识产权提供给在中国竞争对手的风险。”“如果中国政府不放弃,那将可能发展成为严重的国际贸易争端。”
因此,2008年9月,在美中商贸联委会会议上,美国官员对这项政策提出了质疑。一位美国驻中国使馆的发言人说,美国认为中国计划实施的这项新规定“和中国的贸易承诺不相符”。
对这些质疑,国内各相关部门不得不反复解释、澄清: 中国的做法是为了保护国家安全和推进信息技术产业。
但国外媒体借机恶意炒作,甚至不惜歪曲事实,抹黑我国的管理制度。一位从事信息安全认证多年的老专家向记者说,在当时相关的国外新闻中,大量充斥着不实报道。
记者也发现,在一篇《日本经济新闻》仅几百字的稿件中,就至少存在以下几处失实: 将“13种强制性认证产品的目录”,写为“13条防范电脑病毒的强制认定标准”; 并且无中生有地写出“13条规定中包括基础软件”、“如果要取得认证可能要求企业公布软件设计图的源代码”等捏造的事实。
这些报道不仅混淆视听,还严重歪曲了中国正在建立的信息安全产品强制性认证制度。
面对“友邦惊诧”和含混不清的言辞,中国相关部门不得不不厌其烦地反复沟通交流,并作出解释。随后,国家推迟了认证制度的实施时间。
在2008年7号公告中明确的实施强制性认证的13种信息安全产品,只是众多IT产品中极小的一部分,都是专用的信息安全产品,根本不涉及这些国外媒体报道中提到的数码家用电器、数码复印机、平板电视等产品。
按照中国的法律、法规以及认可规范的要求,认证机构和实验室都必须承担为客户保密的责任,在对信息安全产品实施认证和检测时,根据不同安全等级的需要已制定了相应的安全保密措施。申请认证的技术资料仅严格用于实施认证和检测,不会被用于其他目的。
而且在这13种产品中,只有智能卡COS产品在认证检测时,需要厂家提供与安全功能有关的部分源代码,另外只有6种含有密码模块的产品需提交与密码实现和使用有关的部分源代码,而非全部源代码。其余的产品申请在认证时没有任何关于提供源代码的要求。值得注意的是,即便是国际上通行的CC(信息技术安全性通用评估准则)认证,在检测智能卡COS时也同样要求提供与安全功能有关的源代码。至于密码模块检测要求提供源代码,早在美国政府发布的标准FIPS140-1(后为FIPS140-2所取代)当中,就提出了更为严格的要求,即申请方必须提供带注释的源代码。中国有句古话,“己所不欲,勿施于人”,美国政府和产业协会居然反对中国的产品认证制度关于密码模块检测需要提供源代码的同样要求。“这难道是美国人健忘或仅仅是‘灯下黑’可以解释的吗?”一位信息安全认证专家反问。
这位从事信息安全认证多年的老专家告诉记者,我国正在建立的信息安全产品强制性认证制度,是为了解决中国信息安全产品测评领域存在的重复检测、重复发证等问题,维护国家安全、公众利益和公民权益、理顺管理体制、规范市场、促进产业发展而实施的一项重要管理措施,既符合中国国情,也符合WTO/TBT协议原则。
“事实上,国外媒体的真实意图,是通过不准确的信息造舆论,对中国的自主创新施加压力。”另一位不愿透露姓名的中国标准化资深专家评论说。
这令人联想起当年的WAPI。WAPI经历了从无人问津到众人追捧、无限期延迟到现在有望重新进入国际标准投票流程的跌宕命运。这峰回路转中,关于技术、标准和市场层面的反思,十分值得现在的中国信息安全产品认证界思考。
无奈的缓行
在国际舆论中,“贸易壁垒、保护国内信息技术产业、商业间谍”等关键词,似乎已经成为了冠以中国常见的“罪名”,每当中国推出自主创新的标准和相关政策,必然重复上演这些“国际贸易卫道士”的老旧桥段。而我国也往往只能被动地采取“延期执行”、“政府采购”等应对办法。
2003年,国家认证认可监督管理委员会发布2003年第113号公告,自2004年6月1日起,对无线局域网产品实施强制性认证(WAPI),但在美国的强烈抗议下被迫搁浅。
中国关于自有标准的这些政策都被国外一些研究中心解读为“中国政府最近几年为保护国内信息产业而采取的一些类似措施,体现出中国信息技术行业发展不均衡的现状。”
这次,《关于部分信息安全产品实施强制性认证的公告》也不例外。
事实上,在美国,CC认证在政府采购领域也是强制性的,并从2002年7月1日开始强制执行。据相关专家介绍,在美国,如果信息安全产品是用于涉及国家秘密信息系统的,规定必须由美国国防部下属的国家安全局来进行检测,要求的严格程度非常高。但是,美国却以此为由反对中国实施强制性的统一认证。
经过了一年多与国内外各方的反复磋商,加之考虑到全球金融危机的大形势,国内相关部门最终决定调整实施,在原方案基础上提出了一个新的调整方案。新方案在实施范围上做出了重大调整,只在政府采购法的规定范围内强制实施; 同时调整了实施时间,将时间推迟一年。
而最令人担心的,就是明年5月1日,调整后的强制认证能否顺利实施。
2009年4月,国家认监委发布了《关于信息安全产品强制性认证指定认证机构和实验室业务范围的公告》(2009年第25号),明确了实施信息安全产品强制性认证的指定认证机构及首批7家指定实验室及其业务范围。
目前,已经有几十款产品向相关机构申请了认证。接下来的一年内,相关实施机构还需要完成大量的基础性工作,包括进一步完善统一的技术规范、认证实施流程、制度宣贯、为财政部建立政府采购目录提供协助、协调、推进发布各部委相关工作衔接流程等。“这些工作都要加紧,这样才能把这一制度落到实处”。一位专家说。
另一方面,我们并没有遭遇外国媒体所期望的跨国信息技术公司对这项制度的反对。中国是世界上最大的信息技术产品市场之一,这个庞大市场对跨国信息技术公司具有极大的吸引力。据美联社的数据表明,在目前中国的信息安全技术市场上,外国公司大约占据了70.5%的份额。
事实上,微软、思科、Sun等公司并未就这件事表态,而芯片制造商英特尔表示愿意遵守中国法律法规,IBM公司发言人则表示该公司出口中国的产品并不会受到新规定影响。据认证部门的相关人员介绍现在每天都有许多跨国公司向有关机构询问认证制度的具体实施细节和要求。就WAPI产品强制认证而言,记者也从中国信息安全认证中心网站上得悉,到目前为止,申请认证的国外企业比国内企业还多。
“方便”和“隐患”
目前,国内信息安全认证的发展之所以会如此艰难,除了国内产业环境还不完全成熟的客观条件外,主要的阻力来自于国外的反对。国外反对势力的目的很明显,要求中国加入到他们主导的CCRA协定中,并以此打压中国自主标准的创新能力。
那么,这个CCRA到底是一种什么样的协定?会给这些国家带来哪些“方便”呢?
目前,在国际上,有美国、英国、法国等26个国家共同签署的基于所谓通用准则(CC)的互认协议(CCRA),他们一直要求中国也加入到CC互认的阵营中来。CCRA虽然有值得我国标准参考和借鉴之处,但也有许多不适应我国国情的地方。
“中国加入CCRA,对他们最直接的一个好处就是国外的很多企业的上千种产品进入中国市场,就不用按照中国的标准再进行任何检测认证了。而按照该协议的条款,在中国国内认证过的产品必须在两年的准备期之后,才有可能直接进入相关成员国家!”有关人士分析说,在给相关成员国“方便”同时,会为中国产品埋下一系列安全隐患。
一位信息安全产业内非常资深的人士告诉记者,特别是在目前的政府采购中,笔记本电脑、手机、数码相机、路由器、交换机等高端通信设备,基本上以国外的产品比较多。因此,在政府的采购领域,信息安全产品进行强制性认证是非常必要的。
“说到安全隐患,广泛采购的多功能一体机就是一个典型例子。” 这位人士告诉记者。这种多功能一体机集扫描仪、传真机、打印机和复印机于一身,既可以扫描纸质文件和照片,又可以复印和打印文件,还可以直接将电子文档通过传真发给对方。有些设备还同时具备电话、电子邮件等功能。由于多功能一体机自带CPU、存储器、显示设备、输入输出设备,集成了信息的采集、处理和传输等功能,其本质已经相当于一台计算机。因此,与普通计算机一样,多功能一体机存在着漏洞和后门等安全隐患,尤其在敏感信息处理过程中,存在信息被无意泄露或被恶意窃取的可能。尽管部分厂商宣称其产品使用了身份认证、加密(存储加密、传输加密)、清除残留信息等措施来提高安全性,但对于有专业知识且有恶意企图的人来说,仍然可以利用多功能一体机窃取敏感信息。“如果我们加入了CCRA,这些国外产品将可以规避我国的信息安全检测评估,所带来的安全风险与隐患不可低估。”
因此,基于这种考虑,相关专家谏言,对于是否加入CCRA,是强制性认证还是自愿性认证,中国目前都还需要认真研究、分析。尤其在信息安全领域,无论从产业发展角度还是行业管理角度,中国都不应该完全放弃自主的技术标准,完全去追随国际标准。这将对我国信息安全产品和技术的自主创新极为不利。因此,中国目前并没有申请加入CCRA。
在建立中国自主的信息安全产品认证体系过程中,中国应该如何发展。“我们不能跟着西方的指挥棒走,要坚持自主标准,建立属于自己的信息安全产品统一认证体系。”有关人士说。