□左曉棟 鄭 瑩

    [核心提示]

    信息安全認(rèn)證是一個(gè)新興的認(rèn)證領(lǐng)域，面臨著很多新的課題。特別是信息安全對(duì)國家安全、社會(huì)穩(wěn)定、公眾利益和公民權(quán)益的重要影響，為做好信息安全認(rèn)證工作提出了很多新的要求。當(dāng)前，隨著信息安全認(rèn)證機(jī)構(gòu)的增多以及信息安全認(rèn)證市場需求的不斷擴(kuò)大，認(rèn)證活動(dòng)中安全風(fēng)險(xiǎn)的監(jiān)管問題正在引起越來越多的關(guān)注。

    左曉棟 博士，近年來先后擔(dān)任中國政府信息安全白皮書、《中華人民共和國信息安全條例》等國家重大信息安全政策法規(guī)起草組成員，發(fā)表論文20余篇，執(zhí)筆起草信息安全標(biāo)準(zhǔn)5部，出版專著和譯著7部，現(xiàn)任中國信息安全認(rèn)證中心綜合業(yè)務(wù)處副處長，西安交通大學(xué)法學(xué)院兼職研究生導(dǎo)師。

    信息安全認(rèn)證中的安全風(fēng)險(xiǎn)

    與國家安全息息相關(guān)

    信息安全認(rèn)證中的安全風(fēng)險(xiǎn)，特指信息安全認(rèn)證機(jī)構(gòu)借助認(rèn)證活動(dòng)的便利條件，知悉被認(rèn)證組織的敏感信息，或者直接接觸被認(rèn)證組織的信息系統(tǒng)，從而為被認(rèn)證組織的信息資產(chǎn)帶來的安全風(fēng)險(xiǎn)。我們在這里將信息安全認(rèn)證中的安全風(fēng)險(xiǎn)簡稱認(rèn)證安全風(fēng)險(xiǎn)。

    認(rèn)證安全風(fēng)險(xiǎn)主要是由認(rèn)證機(jī)構(gòu)的惡意行為引發(fā)的。我國信息安全產(chǎn)品認(rèn)證和信息安全服務(wù)認(rèn)證由國家成立的事業(yè)單位實(shí)施，認(rèn)證安全風(fēng)險(xiǎn)已經(jīng)降至最低，目前的認(rèn)證安全風(fēng)險(xiǎn)主要集中于信息安全管理體系認(rèn)證領(lǐng)域。因此，這里主要討論該領(lǐng)域的認(rèn)證安全風(fēng)險(xiǎn)管理問題。

    在信息安全管理體系認(rèn)證的審核階段，認(rèn)證機(jī)構(gòu)會(huì)接觸到受審核組織大量的敏感信息。這類信息分為兩類：一類是受審核組織的信息系統(tǒng)中存儲(chǔ)的信息，另一類是與受審核組織的信息安全防護(hù)相關(guān)的信息。例如，受審核組織的信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告全面記錄了系統(tǒng)的信息資產(chǎn)、對(duì)信息安全威脅的判斷、信息安全漏洞、信息安全控制措施配置等信息。這些信息如果被認(rèn)證機(jī)構(gòu)惡意使用，或者泄露給惡意第三方，都會(huì)導(dǎo)致受審核組織的信息失竊，或使其信息系統(tǒng)被外部控制。

    此外，由于認(rèn)證機(jī)構(gòu)會(huì)直接接觸受審核組織的信息系統(tǒng)，存在篡改其信息系統(tǒng)的可能性，例如在系統(tǒng)中植入惡意程序，或改變信息系統(tǒng)的功能，這便是美國國家安全局曾提出的五類信息安全威脅之一———臨近攻擊。

    當(dāng)前，信息安全已經(jīng)成為國家安全的重要組成部分，國際上圍繞信息的控制與反控制的斗爭正日趨激烈。但是，很多這樣的斗爭常常隱藏在了看似正常的國際商貿(mào)活動(dòng)之中，使公眾忽視了信息安全斗爭的復(fù)雜性和長期性。當(dāng)前，對(duì)認(rèn)證安全風(fēng)險(xiǎn)的認(rèn)識(shí)往往存在三個(gè)誤區(qū)：

    一是認(rèn)為認(rèn)證機(jī)構(gòu)在審核活動(dòng)中獲得的信息無關(guān)緊要。事實(shí)上，如今信息安全攻擊與防范的技術(shù)的專業(yè)化程度已經(jīng)超出了很多人的想象。對(duì)一個(gè)熟練的攻擊者而言，任何有關(guān)攻擊目標(biāo)的些許信息，都可能為其大開方便之門。

    二是認(rèn)為受審核組織的信息僅關(guān)系到組織自身的安全，與國家安全相去甚遠(yuǎn)。當(dāng)前，信息技術(shù)的廣泛滲透性以及國民經(jīng)濟(jì)和社會(huì)發(fā)展對(duì)信息技術(shù)應(yīng)用的依賴，使網(wǎng)絡(luò)與信息系統(tǒng)的戰(zhàn)略地位凸顯。特別是關(guān)系國計(jì)民生的重要行業(yè)的網(wǎng)絡(luò)與信息系統(tǒng)，已經(jīng)成為國與國軍事對(duì)抗的戰(zhàn)場，成為非常時(shí)期敵方打擊的首要目標(biāo)。

    三是認(rèn)為認(rèn)證機(jī)構(gòu)都是守法企業(yè)，不可能去實(shí)施惡意行為。在這里，我們并不對(duì)認(rèn)證機(jī)構(gòu)的行為妄加猜測，但必須強(qiáng)調(diào)，這是影響國家信息安全的一種途徑，必須牢固樹立風(fēng)險(xiǎn)防范意識(shí)。任何商業(yè)實(shí)體都是具有國籍屬性，都可能在國家緊急動(dòng)員時(shí)被以國家意志而“征用”，為各國的政治服務(wù)。

    認(rèn)證安全風(fēng)險(xiǎn)管理問題的實(shí)質(zhì)

    是信息安全服務(wù)管理制度

    認(rèn)證安全風(fēng)險(xiǎn)的出現(xiàn)是認(rèn)證認(rèn)可領(lǐng)域中的一個(gè)新問題。但是，在信息安全領(lǐng)域，類似問題由來已久，這便是信息安全服務(wù)的管理問題。從服務(wù)提供者與服務(wù)對(duì)象的關(guān)系以及服務(wù)的技術(shù)特征角度而言，信息安全管理體系認(rèn)證是一種特殊的信息安全服務(wù)。在服務(wù)過程可能引發(fā)安全風(fēng)險(xiǎn)這一問題上，信息安全認(rèn)證與其它信息安全服務(wù)毫無二致。由此，安全風(fēng)險(xiǎn)的管理對(duì)策也必然具有共通性。

    為了加強(qiáng)信息安全服務(wù)管理，近年來我國有關(guān)部門和一些地方政府先后實(shí)施了信息安全相關(guān)服務(wù)管理制度。但是，這些制度的適用范圍有限，且多關(guān)注服務(wù)能力，沒有考慮如何防范安全風(fēng)險(xiǎn)。近年來，我國網(wǎng)絡(luò)與信息安全主管部門多次展開廣泛調(diào)研，但目前尚未發(fā)布信息安全服務(wù)管理政策意見。在這種情況下，要解決信息安全認(rèn)證中的安全風(fēng)險(xiǎn)，目前還缺少更加明晰的政策環(huán)境和直接的政策支持。

    加強(qiáng)認(rèn)證安全風(fēng)險(xiǎn)管理的

    思路分析及有關(guān)對(duì)策建議

    我國對(duì)涉密信息系統(tǒng)有著嚴(yán)格管理，沒有涉密系統(tǒng)集成資質(zhì)的企業(yè)不能向其提供安全服務(wù)，包括認(rèn)證服務(wù)。至于政府信息系統(tǒng)，在相當(dāng)長時(shí)間內(nèi)申請信息安全管理體系認(rèn)證者極少。因此，加強(qiáng)認(rèn)證安全風(fēng)險(xiǎn)管理的主要目標(biāo)，是確�；�礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)在接受認(rèn)證時(shí)的安全。建議國家圍繞這一目標(biāo)設(shè)立管理制度。

    建議認(rèn)證認(rèn)可監(jiān)督管理部門在認(rèn)證程序方面設(shè)定嚴(yán)格要求，例如禁止認(rèn)證機(jī)構(gòu)攜帶電子設(shè)備進(jìn)入審核現(xiàn)場，不得將客戶的任何紙質(zhì)或電子資料帶離現(xiàn)場，任何資料不得離境等。在制定這些管理要求時(shí)，一是要注意可行性，避免影響正常的認(rèn)證活動(dòng)，二是要不能與將來發(fā)布的ISO/IEC 27007《信息安全管理體系審核指南》相悖。

    但是，以上措施還不能從根源上杜絕風(fēng)險(xiǎn)。從各國對(duì)供應(yīng)鏈安全管理的實(shí)際經(jīng)驗(yàn)及發(fā)展趨勢看，在重要領(lǐng)域屏蔽國外機(jī)構(gòu)的服務(wù)，這應(yīng)該是最終的方向。

    建議以采購管理為主，準(zhǔn)入管理為輔。但準(zhǔn)入環(huán)節(jié)依然可以發(fā)揮前置門檻的作用，對(duì)認(rèn)證市場進(jìn)行總量控制，以減輕采購環(huán)節(jié)的壓力。在采購環(huán)節(jié)，如當(dāng)前出臺(tái)強(qiáng)制性采購政策的操作阻力較大，則可先行出臺(tái)指導(dǎo)性意見，引導(dǎo)基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)選擇國內(nèi)認(rèn)證機(jī)構(gòu)提供的信息安全管理體系認(rèn)證服務(wù)。

    認(rèn)證安全風(fēng)險(xiǎn)管理政策是一種特殊的信息安全服務(wù)管理政策，應(yīng)受到我國信息安全服務(wù)管理制度所確立的總體原則的指導(dǎo)和支持。但在我國信息安全服務(wù)管理政策依然缺位的情況下，不妨先制定認(rèn)證安全風(fēng)險(xiǎn)管理政策，這也可以為將來出臺(tái)信息安全服務(wù)管理政策積累經(jīng)驗(yàn)。當(dāng)然，這會(huì)在一定程度上增加認(rèn)證安全風(fēng)險(xiǎn)管理政策的起草難度，特別是在采購政策方面。

    建議在以下方面加強(qiáng)輔助措施：

    一是加大宣傳和引導(dǎo)力度。目前國內(nèi)很多用戶對(duì)信息安全管理體系認(rèn)證還存在不當(dāng)認(rèn)識(shí)，例如很多人不知道成立認(rèn)證機(jī)構(gòu)以及開展認(rèn)證活動(dòng)需要得到認(rèn)監(jiān)委的審批，還有一些人認(rèn)為國外認(rèn)證機(jī)構(gòu)頒發(fā)的是國際證書，而國內(nèi)認(rèn)證機(jī)構(gòu)頒發(fā)的證書則沒有權(quán)威性等。這將導(dǎo)致用戶在選擇認(rèn)證機(jī)構(gòu)時(shí)帶有錯(cuò)誤的傾向性，以及證書采信者對(duì)證書價(jià)值產(chǎn)生誤判。

    二是嚴(yán)格市場準(zhǔn)入條件，實(shí)行總量控制，并對(duì)違反《認(rèn)證認(rèn)可條例》的行為進(jìn)行嚴(yán)厲查處。

    三是積極推動(dòng)信息安全管理體系認(rèn)證的國際互認(rèn)工作。

    四是大力鼓勵(lì)國內(nèi)認(rèn)證機(jī)構(gòu)的發(fā)展，提高國內(nèi)認(rèn)證機(jī)構(gòu)的品牌影響力。

    責(zé)任制問題的實(shí)質(zhì)是立法問題。認(rèn)證安全風(fēng)險(xiǎn)是信息化發(fā)展帶來的新問題，目前我國還沒有立法對(duì)收集客戶信息（包括修改客戶的信息系統(tǒng)）以及信息出境問題進(jìn)行規(guī)范，對(duì)公民個(gè)人信息以及企業(yè)秘密的保護(hù)也缺少完善的法律規(guī)定。這種情況下客觀上導(dǎo)致了認(rèn)證安全風(fēng)險(xiǎn)管理責(zé)任不明確的局面。

    我們建議在實(shí)踐中對(duì)認(rèn)證安全風(fēng)險(xiǎn)管理的部門職責(zé)作如下區(qū)分：

    國務(wù)院網(wǎng)絡(luò)與信息安全主管部門一要盡快制定基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)使用認(rèn)證服務(wù)的有關(guān)采購規(guī)定，二要加快《信息安全條例》的制定，在條例中明確哪些信息安全服務(wù)中的行為應(yīng)予禁止。

    國務(wù)院認(rèn)證認(rèn)可監(jiān)督管理部門充分利用現(xiàn)有的監(jiān)管手段，一要在可能的情況下繼續(xù)嚴(yán)格信息安全管理體系認(rèn)證程序，維護(hù)國家秘密和商業(yè)秘密的安全，二要加強(qiáng)本文前面提到的四項(xiàng)輔助性措施。

    《中國國門時(shí)報(bào)》

左曉棟 鄭瑩