2009年,信息安全的状况似乎更加严峻。频繁发作的病毒破坏、信息诈骗、网络攻击和窃密、垃圾信息骚扰事件及信息安全问题层出不穷。有调查表明,目前我国与互联网相连的网络节点95%都遭到过攻击或侵入,其中银行、证券等金融机构和政府网站是攻击重点。因此,我国急需建立完善的信息安全保障体系。这是国家认证认可监督管理委员会有关人士日前向记者介绍的。
信息安全已成世界关注焦点
目前,信息安全问题引起了人们高度关注,并成为世界范围内共同关注的焦点。
据美国加州银行协会发布的一份报告指出,如果该银行的数据库系统遭到“黑客”的破坏,3天就会影响加州的经济,5天就能波及全美经济,7天就会使世界经济遭受损失。
截止到今年6月,我国网民数量已达3.38亿人次,互联网普及率达25.5%。中国反钓鱼网站联盟前不久披露,截至今年8月30日,中国反钓鱼网站联盟累计处理涉嫌网络钓鱼的网站达6330个。如模仿央视、腾讯等知名单位的假冒抽奖网站,如近期发生在多个地区仿冒央视“非常6+1”发布虚假中奖信息骗取网民钱财的网络诈骗事件,此类网络犯罪行为的主要特征便是以中奖为诱饵,欺骗网民填写身份信息、银行账户等信息。有的模仿淘宝、工行等在线支付网页,即通过模仿正常的网上商店,吸引网民进行网上购物,并在网民进行在线支付时转向假冒银行或支付宝页面,骗取网民银行卡信息或支付宝账户
“在信息化时代,由于信息技术凸显的基础性、全局性和普遍性作用,信息安全作为‘非传统安全’的核心内容,已与政治安全、军事安全、经济安全等并列成为国家安全体系中的关键组成部分。”中国信息安全认证中心主任魏昊介绍说。
如何才能构筑一个技术先进、管理高效、安全可靠的信息安全保障体系?
“信息安全是高技术的对抗。”魏昊分析认为,建立完善的信息安全保障体系是进入信息化时代后主权国家捍卫自身安全的重要屏障,也是维护自身利益的主要手段。
魏昊说,纵观国际信息安全保护的发展趋势,依据有关技术和管理标准,对信息安全产品实行检测与认证,是发达国家加强信息安全管理、强化安全监控的重要手段。例如,美国从上世纪80年代就开始了信息安全评估标准制定工作,实施信息安全认证。经过20多年的实践,已形成一套比较完整的信息安全检测与认证体系。英国、德国、法国等国随后也建立起了各自的国家信息安全检测与认证体系。
信息安全认证体系构架形成
据了解,由于信息安全产品日益表现出的应用价值,目前国际上越来越多的专业机构也开始致力于对信息安全产品的测评、认证,以期为用户或者企业提供更为专业的服务和建议。
信息安全产品和技术是保障信息安全的重要支撑。在信息安全领域,采取认证制度来保障产品和系统的安全性是世界各国的通用做法。近几年,我国有关部门对全球信息安全发展态势进行了积极跟踪和研究,并分别实施了一些信息安全产品的评价、许可或采购管理制度,对信息安全的保障工作起到了积极作用。但由于存在多部门管理和重复检测与评估问题,给企业带来很多不必要的负担,所以迫切需要建立国家统一的信息安全认证认可体系。
2006年11月17日,中国信息安全认证中心正式成立,此举标志着我国信息安全保障体系建设工作取得又一实质性进展,国家统一的信息安全认证认可体系开始正式建立与实施。
2009年4月27日,国家质检总局、财政部、国家认监委联合发布公告,决定从2010年5月1日起,对防火墙、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统等8类13种产品,在政府采购法规定范围内实行强制性认证,未获得强制性认证证书和未加施中国强制性认证标志的,不得进入政府采购领域。
随后,国家认监委发布公告,指定了信息安全强制性认证机构和检测机构,并明确了其业务范围。而在短短4个月后,首批国家信息安全产品认证证书问世。北京启明星辰信息安全技术有限公司等14家企业获得了首批34张认证证书。这表明,国家信息安全产品认证制度顺利实施。同时,根据市场需求,中心还确定了自愿性认证的9类、近20种重点产品,启动了自愿性产品认证业务。至此,我国集中统一的信息安全认证认可体系建设构架已经形成。
“实施信息安全认证是保障国家信息安全的重大举措。”魏昊说,统一的信息安全产品的检测认证工作对于切实提高检测认证能力、研究和发现信息安全产品的安全隐患及保障信息系统的安全性具有重要意义。
专家指出,如今,信息安全已经全面融入国家政治经济、社会文化、对外贸易、生活消费、环境、健康和国家安全等各个领域。通过实施信息安全认证,不仅找准了认证在国家大局中的定位,提升了工作层次,增强了服务性,而且也为我国认证认可事业发展拓展了更大的空间。