信息安全产品分级认证：理想与现实的博弈

network

信息安全产品分级认证：理想与现实的博弈
   
   

     




   


    最近一段时间，联想收购IBM PC业务一事，各种声音甚嚣尘上，正当许多国人陶醉在中国IT企业大步走向世界的喜悦中时，一个小小的细节却引起了中国许多专家的震惊和不安：美国政府对新联想PC产品严格的审查态度，说明美国政府在信息安全产品的安全控制方面保持着怎样的高度警惕性？美国一直以开放的环境著称，而在关系到国家安全的信息安全建设方面态度却如此审慎。相比之下，我国的信息安全建设却显得“雷声大、雨点小”。这再次为我们敲响了警钟：中国该如何将信息安全建设落到实处？更进一步，将如何严格控制信息安全产品的质量？

      信息安全的等级保护制度已经成为国家信息安全保障的基本原则。一个等级严格划分的信息世界才能称为理想的信息世界。

    理想：建立等级清晰的信息社会

     美国之所以如此审慎对待联想收购IBM PC业务，是因为一旦IBM的PC业务被联想收购，按照惯例，它所拥有的向政府提供设备的资格将被新公司继承。由一家被中国控股的公司提供美国政府必需的电脑设备显然是美国政府最大的担心。一方面担心新联想可能会通过了解IBM的相关技术侧面了解到美国政府信息系统的技术细节。另一方面，担心从此信息控制权落入他国之手。

    美国对待信息安全的态度让中国所有的信息安全专家震惊。一位信息安全领域的院士告诉记者：号称开放、民主的美国对政府应用可能带有外资背景的个人电脑都如此小心，这着实令人对中国的信息安全状况担心！试想，中国哪个关键行业采用的不是国外的信息技术和产品？我们确实得好好想想中国该如何建立并落实自己的信息安全保障机制，而不是仅仅停留在政策层面。

    事实上，从2003年开始，中国对信息安全的重视程度就达到了一个前所未有的高度。中办发[2003]27号文件《关于加强信息安全保障工作的意见》的出台，从国家层面提出了建立国家信息安全保障体系的10大任务。其中，提出了建立“信息安全等级保护”制度的设想。国务院信息化办公室网络安全组组长王渝次多次强调：国家要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。要抓紧制定信息安全等级保护的管理办法和技术指南，建立信息安全等级保护制度。

    “等级保护制度”说通俗一点就是根据应用系统、应用单位的重要程度，将信息系统划分为不同的重要级别，然后采用不同的技术和产品进行保护。“就像现实生活一样，一般的场所可以随意出入，而许多重要的场所必须有专人看守，更关键的部门甚至靠武警把持，这是由单位不同的重要级别决定的。”他说。

    正因为等级保护的重要性，为了深入落实等级保护制度，随后，国家又出台了一系列相关的具体规定。2004年9月15日，由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室四部委办联合签发了公通字 [2004]66号文件，具体描述了等级保护的内容以及实施意见， 该文指出：“信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度，能够充分调动国家、法人和其他组织及公民的积极性，使信息系统安全建设更加突出重点、统一规范、科学合理，对促进我国信息安全的发展将起到重要推动作用。” 同时提出：“国家对信息安全产品的使用实行分级管理”，具体的办法由公安部会同有关部门制定。

    同年，由国家认证认可监督管理委员会牵头，联合国家相关八部委签发了国认证联[2004]57号文件，其中提到，对信息安全产品将逐渐实行3C认证（中国强制认证），同时要求把通过强制认证的产品纳入政府采购范围。

    毫无疑问，信息安全的等级保护制度是在目前中国国情环境下保障国家信息安全的基本原则。

      如何具体落实等级保护制度？系统等级如何评估？产品如何分级？设备供应商如何跟进？这一系列问题都急需解决，实现等级保护制度还有相当长的一段路要走。

    现实：产品如何分级？

       在讨论等级保护制度的热潮中，现实的问题逐渐一一浮出水面：等级保护如何落实？系统如何分级？产品如何分级？系统与产品的等级如何一一对应？

    早在1994年，国务院颁发的《中华人民共和国计算机信息系统安全保护条例》中就规定："安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。"这一规定一直沿袭至今，目前，公安部也成立了信息安全等级保护评估中心，对信息系统的等级进行评估。目前，这一工作在有条不紊地按计划顺利执行当中。国信办网络安全组组长王渝次在介绍2005年的工作重点时曾经强调，2005年将重点进行等级保护的试点工作，随后逐渐推广。按照66号文件的规划，计划用3年的时间实现重要系统的等级保护。

  “但是，他们只对信息系统的等级进行评估，还没有涉及到产品如何分级以及产品如何分级认证的问题。”业内一位知情人士告诉记者。

    其实，国家对信息安全产品的统一认证认可采取了高度重视的态度。目前指定了国家认证认可监督委员会负责产品的统一认证工作。根据该委员会的计划，将在5年内全部实现信息安全产品的统一认证认可。

    对这一做法，业界普遍持支持态度，尤其是厂商，过去它们受尽了重复认证之苦。国内著名安全技术厂商中联绿盟公司的总裁沈继业说：“我国会在几年内对信息安全产品进行统一认证，这对企业来说是一个很好的消息。

    但是，在采访中，记者发现，无论是专家还是政府领导，对信息安全产品的分级问题或者是避而不谈、或者轻描淡写。一位知情人士透漏：“不是他们不做产品的分级认证，而是目前相应的体系和标准还没有建立，也就是还没有具体的计划。”

    那么，信息安全的等级保护与产品的等级认证究竟有何直接的对应关系呢？中国信息安全产品测评认证中心名誉主任吴世忠这样解释：“建立国家的信息安全保障体系是一项长期艰巨的任务，等级保护作为一项重要的指导原则，已纳入国家相应政策，这一政策的实施亟待理论和实践两方面的支撑。而产品的分级保护是实现等级保护的基础性工作。”

    信息产业部产品司管理副司长赵波透漏，有关产品认证认可的工作正在积极地推广之中，但这套体系还没有完全明确，预计2005年底才可能出台。

    因此，从目前情况看，国家非常重视信息安全产品的统一认证认可，但还没有建立起完善的分级标准，统一认证体系也正在建立之中。

    可是，时间不等人，既然目前市场上存在这样多的信息安全产品，既然用户需要对产品划分等级，对产品的分级就是迫在眉睫需要解决的问题。

    国内另一家著名的信息安全公司天融信公司的董事长兼总裁贺卫东告诉记者：“为了应对当今复杂的市场竞争环境，企业能获得分级认证，是对消费者负责，这意味着产品是安全可靠的，是可以放心使用的。”天融信公司是国内最早进入防火墙市场的厂商，目前已处于国内防火墙领域的领导者地位，它也是最早积极参与防火墙产品分级认证的厂商之一。

    中联绿盟公司总裁沈继业告诉记者：“我们的产品技术含量高在业内是有名的，我们有信心能经受住各种评测，希望国家早日开展产品的分级认证工作，这样才能显示出我们的技术水平，而不是简单地大家都获得同样的证书。”中联绿盟公司是最早进入信息安全领域的公司之一，由一群安全技术功底深厚的信息安全技术人员组成，在业界以入侵检测、漏洞扫描等方面的技术闻名。“我们赞同通过技术等级的划分，区分安全产品的优劣，从而保证用户真正享受优质产品带来的功效。”

    用户也不能等，“虽然目前系统等级评估的工作才刚刚开始，但非常重要的一点是要用相应的产品实现这种等级划分，建立信息系统等级保护与产品分级认证的映射关系，让重要级别不同的系统采用不同安全级别的产品保护。”一位用户告诉记者。

    政府的专业评测认证机构也在积极行动，中国信息安全产品测评认证中心就是这样的机构，该中心是信息安全领域的权威认证测试机构，过去一直在从事专业的测评认证工作，通过了该中心的测评认证，往往意味着产品、技术或服务水平达到了一个新高度，为此，许多行业的入门选型还专门委托测评认证中心来做。

    测评认证中心现任主任王海生告诉记者：“中国信息安全产品测评认证中心经中央批准成立、国家质量监督检验检疫总局授权，代表国家开展信息安全测评认证工作，并依据国家有关产品质量认证和信息安全管理的法律法规，管理和运行国家信息安全测评认证体系。”

    测评认证中心几年前就开始了产品的分级认证工作，“我们不能等国家的一切政策都落实了才开始工作，那样时间会来不及，厂商、用户都不能等。”该中心负责评测认证工作的常务副主任陈晓桦博士说。“同时，我们也不是要马上建立等级保护与产品分级认证直接的对应关系，而只是对产品进行一个量的划分，至于用在何处，完全根据用户应用的策略来定。”他说。

    他举例：“比如，我们测量一个人的身高有1米8，但不下结论他做什么工作好。1米8对篮球运动员职业可能太低了，而对普通工作来说则可能太高了。但我们暂时不管应用，我们只是用科学的方法做测量。”

    吴世忠主任也认为，“产品分级认证与等级保护原则并不是对立的，而是等级保护在产品测评认证中的具体实践。等级保护制度不是一个部门的事，而是每个部门都应该贯彻执行的原则，而对产品的分级认证是大势所趋，不仅符合国际化潮流，也符合国内的信息化潮流。”

    有人认为，既然是对中国的信息安全产品进行等级划分，就应该沿用中国自己的标准。有关产品评测分级标准的争论日益尖锐。

    观念：对标准我们了解多少？

    采用什么标准进行产品分级认证？目前颇有些争论。既然信息安全产品是关系到国家安全的重要基础设施，一些专家提出，要用中国自己的标准进行产品评测，就像WAPI一样。

    对此，同时兼任全国信息安全标准技术委员会副主任的吴世忠表示不能认同。他说：“安全性测评是一项技术性的分析测量工作，国际上目前已有通用的产品评测的国际标准，作为国际标准化组织的重要成员国，我们理应采用这样的技术标准：涉及国家安全和利益的内容，应该通过认证规定或采购政策等方式予以实施。几年来的实践证明，这种方法是非常有效的。技术性测量标准只能有一个尺度，就像量一个人的身高，全球只要用一个单位‘米’就行了，没有必要再用一种新的度量衡。”

  “在产品分级认证的评估标准方面，我们应该积极争取与国际接轨，而不是与世界发展潮流相脱离。这样才符合我们国家的发展利益。”他说。

    测评认证中心常务副主任陈晓桦博士认为：人们首先一定要搞清楚测评、认证和评估的关系。测试是一种技术操作，它按规定的程序对给定产品、材料、设备等的一种或多种特性进行判定；评估是对测试/检验产生的数据进行分析，形成结论的一种技术活动，由于目前计算机技术和自动化工具的发展，测试和评估往往是合为一体的。认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证（证书），用于评价产品质量和企业质量管理水平。认证以标准和测试、检验、评估的结果为依据。具体到信息安全测评认证，测评是指专门的机构根据一定的标准，通过对信息安全产品和信息系统进行测试和评估，确定产品或者系统能够达到安全级别可信程度。测评包括生产商自我测试与评估、用户测试、专家鉴定会、第三方测评等多种类型，是检验产品好坏和是否安全的根本手段。相对来说，来自第三方的测评是比较科学和客观的。信息安全的认证是代表国家对达到评价标准和标准要求的产品和系统进行的一种独立于用户和厂商之间的第三方的认可活动，表明其特点和功能达到了规定的要求。

    事实上，不能说我国没有自己的产品分级认证测量标准。吴世忠介绍，目前国际上通行的是CC标准，在2000年，我国在它的基础上转化为了国内标准--GB/T 18336《信息技术安全技术 信息技术安全性评估准则》，在2001年就已经推广使用，目前测评认证中心就是采用的这套标准。

    陈晓桦博士介绍，国际信息安全分级测评认证标准的发展大致经历了以下几个过程： 1985年美国国防部颁布了可信计算机的安全评估准则（TCSEC）；在此基础上，1990年欧洲和加拿大分别制定了信息技术安全性评价准则（ITSEC）和可信计算机产品评价准则（CTCPEC）；1991年美国制定联邦政府评价准则（FC）；1995年，在前期的国际信息安全分级测评认证标准的基础上，由六国七方开始制定国际通用准则（CC），1999年CC成为国际标准（ISO/IEC 15408）。因此，CC标准目前是国际通用的标准。以美国为例，从2002年7月起，它的政府和军队采购就已经规定必须优先选用通过CC认证的产品。

    对于企业而言，采用以国际标准为基础的标准对产品进行分级，受到了它们的欢迎，尤其是那些正准备将产品打入国际市场的信息安全厂商。中联绿盟和天融信目前都打算进军海外市场，通过国际认证，意味着它们拥有了进入国际市场的敲门砖。   

   “不管以后在国内采用哪一种认证标准，我个人认为，CC标准是比较科学和完善的，国内其实没有必要自己再去搞一个属于自己的标准，毕竟以后企业要发展，必须得在国际市场上取胜，国内仅仅是一个很小的市场。对于我们这样技术型的公司，更有信心迎接国际市场的挑战。”中联绿盟总裁沈继业说。”国内安全企业的第一梯队已经基本形成各自的优势领域，要想决出胜负，必定是在国际市场”。进军国际市场是中联绿盟公司2005年的主要战略目标之一，因此，产品获得国际认证，对它们意义非同寻常。

   “我们一直在寻找机会进入国际市场，毕竟中国市场有限，国外的产品能进入中国，为什么中国的产品就不能走到国外呢？我们一直在资本、技术和产品上进行着努力，目前已经具备了东风，事实上，我们的某些产品已经销往了国外，通过了产品的国际认证对我们意义非常重要。”天融信的贺卫东说。进军国际市场，是天融信多年来的心愿。

     陈博士介绍，目前，GB/T 18336评估标准分7个级别，EAL1～EAL7。在这7个级别中，获证的级别越高，其安全性和可信性就越高，产品就可对抗来自越高程度的威胁，同时也适用更高级别的风险环境。但是，由于在对信息安全产品高级别第7级的认证中，每一行代码都要求有形式化论证，要求撇开它们的属性、使用功能和用户的背景，从数学上来证明其安全性，这样做非常困难，代价也很高。因此，目前在全世界范围内，最高只做到EAL5级--半形式化的测评认证。EAL5级以上的就做得非常地少了。在我国，第5级目前只针对SIM卡、IC卡这样的产品，而1～4级可以对一般的网络安全产品进行认证。

    他介绍，在认证的形式上，通常采用”检验+工厂检验评定+政府监督+质量体系复查+工厂质量抽样检验”等方式。认证的流程主要有准备、测评、认证决定、经专家组判定以及证书的监督和维持等四个阶段。

    由此可见，通过CC认证非常复杂，“一般一个厂商的产品要通过4级认证，要花半年多的时间。”他说，“因此，到目前为止，中国目前只有4家厂商的产品通过了EAL3级认证。”

    但是，正是因为其复杂性和难以通过，就更能体现出厂商产品的技术含量。北京天融信公司的网络卫士防火墙 NGFW4000（V2）和中联绿盟的入侵检测系统“冰之眼”是最早通过该项认证的产品，也证明了这两家公司的产品确实在经过公正的第三方机构的检验后，突现出了与其他竞争产品的优势。

    此外，通过分级认证的过程也是一个严格的自我检查的过程，对企业非常有利。天融信公司总裁贺卫东告诉记者，“通过CC认证的意义不仅在于证明了自己产品的技术水平，同时因为认证的过程非常复杂，还牵涉到产品的开发、生产、制造、技术管理与控制流程，这对厂商来说，是一个很好的梳理产品技术开发、生产等环节的重要手段，因此对天融信来说，通过分级认证在规范管理方面的意义远远超过了证明自己产品技术领先性的意义。”

   信息安全产品分级认证无论对用户、对厂商、对政府相关管理部门，都具有重要的现实意义，它必将成为未来产品认证的主流趋势。

    未来：分级认证是大势所趋

  “无论在国际还是在国内，分级测评认证已经成为大势所趋。”陈晓桦博士说。

    综观国际，各国都非常重视信息安全分级测评认证工作，美国1985年开始依据TCSEC评估，已进行20年的信息安全分级测评认证，其国家信息安全分级认证由国家安全局与国家标准研究所联合实施；在测评认证方法上，早期为TCSEC，现在为CC和CEM；目前与国际上十几个国家互认的级别达到四级；英国1991年开始依据ITSEC评估与认证，从1999年ISO/IEC 15408正式发布起，同时开始依据CC进行评估与认证。经过10多年的发展，信息安全分级测评认证工作已趋成熟。德国、法国、澳大利亚、加拿大、荷兰等国家也先后建立起国家信息安全测评认证体系，而且一开始就采用了分级认证；芬兰、瑞典、西班牙、挪威、意大利、比利时等欧洲国家和日本、韩国等亚洲国家纷纷仿效，积极开展信息安全测评认证工作。

    在我国，目前在等级保护制度的牵引下，分级认证也逐渐成为产品认证的主流。

    从用户层面出发，目前军队、政府、电信等对信息安全要求极为严格的部门正在积极开展产品分级评估认证工作。2004年，联通公司曾发了一个招标通知，其中有一条说明是：应标的SIM卡厂商，若获得中国信息安全产品测评认证中心4级认证证书可加6分，在评标满分为100分的情况下，6分是不容轻视的，很多厂商正是由于没有这个证书，而退出了这次竞标。由此足以看出分级认证证书，尤其是高级证书的含金量。

   “信息安全产品的分级认证对规范信息安全市场、促进产业的发展有着积极的作用。”信息产业部产品司副司长赵波说。

    “信息安全企业之所以要通过分级评估认证，主要是为了体现自己产品的差异性。如果用户、厂商都不去考虑产品之间的差异性的话，就会形成各个企业都不投入资金或人力进行产品研究的局面，最后将导致产品质量越来越差，到后来，不仅企业挣不到钱，难以生存，国家整体的信息安全技术也难以提高。”天融信公司总裁贺卫东说。

    因此，陈晓桦博士呼吁用户和厂商要高度重视信息安全产品的分级认证，一旦条件成熟，信息安全产品分级认证必将成为保障国家信息安全的有力武器。