中国信息安全测评中心王军谈安全服务资质管理

中国信息安全测评中心王军谈安全服务资质管理

2008-05-15 10:10:43　来源: 网易科技报道　网友评论 0 条 进入论坛

网易科技讯 5月15日消息，由计算机世界传媒集团主办，《CSO&信息安全》月刊承办的第六届中国CSO俱乐部大会暨2008中国信息安全年会在北京召开，网易(企业库 论坛)科技频道做为独家门户直播网站在现场做了直播报道。

以下为中国信息安全测评中心总工程师王军做主题为“关于安全服务资质管理的思考”的主题演讲。

主持人：感谢郭启全处长的致词，同时他的呼吁也引起了大家的一个共鸣。

再强调一下，在下午的分论坛，有关等级保护工作的开展以及后续的一些进展情况，郭启全处长会在上面做一个具体的发言，希望大家关注。

衷心感谢公安部公共信息网络安全监察局对于本次大会的指导和支持。

下面，会议将进入主题发言时间。

近年来，随着信息安全产业走向成熟和规范，信息安全产品、技术推陈出新，用户的意识普遍提高，而安全产业发展到成熟阶段的时候，一定是一个综合实力的体现，一个以服务为盈利点的产业，为什么如此定义？而且是一个技术含量很高的行业，各行各业不断地组建自己的专业队伍，那样非常庞大。所以，为次我们邀请到了中国信息安全测评中心总工程师王军老师为我们大会做主题发言，他发言的内容围绕“关于安全服务资质管理的思考”，有请王军。

王军：各位来宾早上好！

本次大会主题是“坚持技术创新，推进安全服务”，那么中国信息安全测评中心正好在关于信息安全服务资质管理方面做了一些研究，受大会主办方的委托，我把我们最近在这个方面研究的一些体会给大家做一个汇报。

我要介绍4个方面的内容，一个是信息安全服务资质管理的必要性，再有一个就是国外信息安全服务资质管理的情况，还有就是我们国内信息安全服务资质管理的现状，再有就是对于加强我们国家信息安全服务资质管理的有关对策和建议。

我先介绍第一个问题，就是信息安全服务资质管理的必要性。

我将先介绍一下信息安全服务的概念和信息安全服务的类别，还有信息安全服务资质的概念，最后谈一下对于信息安全服务进行资质管理的必要性。

信息安全服务，实际上目前应该说在业界并没有形成一个统一的概念。那么在ISO/IEC TR 15443-1，2005年的技术报告中，有一个非常简短的定义，就是信息安全服务是由供应商、组织机构或人员所执行的一个安全过程或者任务。这是非常学术化的定义，那么在美国的国家标准研究所特别出版物，就把信息安全分为了管理、运行、技术三个方面。这是他报告当中的13个方面，从管理、运行、技术进行了分类。那么，我们觉得目前国际上这样的一些分别，特别是信息安全服务到正在蓬勃发展的今天，有一些分别不太适合，所以我们根据我们国家的情况，做了一个简单的分类，主要是10类。从安全系统的集成到安全咨询服务，我会逐一地介绍一下我们基本的定义。

第一个信息安全服务主要是系安全集成，主要是满足信息系统安全需求的一组工程过程的集合。

第二个是安全运维服务，主要是通过专业化的服务来解决网络和信息系统中日常运行的问题，这包括了系统安全加固、日常安全监控、定期安全审计、安全通告、补丁更新以及安全技术支持等等。大家可以看到在别的分类方法中，把一些个别的项目，比如说安全审计等等单独提出来分类，这可能是仁者见仁智者见智的方法。

第三个是指安全监理服务，这是指从技术和管理的角度对信息系统安全恭城的实施过程进行控制和管理，以确保信息安全质量和数量有效地实施。

第四个是安全管理服务，是指一国际国内信息安全管理体系ISMS，围绕着这样的工作，为用户建立一个系统化、程序化和文档化的管理系统。这项工作实际上有比较强的专业性，通常是需要专业队伍的帮助。

第五个是风险评估服务，这是指从风险管理的角度，运用科学的方法和手段，系统地分析应用系统中的脆弱性，同时要找到这种脆弱性被利用的可能性，以及造成的负面的影响，并对它的危害程度进行评估，同时来对这些防护措施有效地进行评价，以求防范或者是化解风险，或者把风险至少降到可控制的程度，这样的服务称为风险评估。

再有一个就是安全测评服务，是指依据有关信息技术安全标准和规范，对信息安全技术和系统进行综合评估。

第七个是应急响应，这是事先制定提供切实有效的恢复，来消减系统风险和服务的不可用性的应急计划，我们可以看到我们国家发布了应急预案，在这样的过程中，我们的应急响应工作可以得到体现。

第八个是灾难恢复工作，它是指把信息系统从灾难瘫痪的故障下，恢复到可运行的状态。

第九个是安全培训，指的是信息安全的专业人员向普通用户来传授安全意识和信息安全的知识。实际上，培训工作看起来有的时候不被太重视，但是实际上真正的信息安全没有用户意识的提高是做不到的，所以这项工作是非常重要的工作。

那么，最后一个信息安全服务是安全咨询服务。那么，这个指的是帮助用户解决信息安全中碰到的问题，帮用户出主意、想办法。我们根据国内的情况，我们把目前国内信息安全所碰到的情况的服务，进行了大致10个类别的分类。

那么，有了信息安全服务的概念之后，我们谈一下信息安全服务资质的概念，这个相当于国家或者是国家指定的有关部门，对你从事信息安全服务的机构和人员，在相关的能力、水平、资格认定的形式。这种认定称为信息安全服务的资质。

首先，信息安全服务资质是涉及到了国家信息安全服务的质量，主要是维护国家信息安全利益需要、保障用户的合法权益需要、规范信息安全服务市场需要、促进信息安全服务业的健康发展需要。因此，对于信息安全服务资质的管理是这是非常必要的。

再有，我们在全国推行等级保护工作，不同的系统，它重要的程度是不一样的。那么，它所需要的信息安全服务的程度也是不同的。因此，如何选择有能力、合适的厂商和信息安全服务的队伍，来提供这种服务，那么也是用户权益得到保障的一种需要。再有，对于信息安全服务市场来讲，我们加入WTO以后，我们要对信息安全的服务，要民族企业和国外的做信息安全服务的厂商产生了很大的竞争，但是对于涉及到国家信息安全的，实际上在WTO的规则中，也是支持对本民族的企业进行扶持的。

实际上，信息安全服务资质的管理不仅是在我们国家的信息安全发展的过程中提出的要求，实际上国外也是这样的，我们以美国和俄罗斯这样的大国为例，我们看一下他们是怎么做的。

那么，在美国实际上他们对于信息安全服务资质的管理，无论是法律法规，还是总统令，以及技术标准、管理协议、商务合同，各个方面都有相应地要求和规定。比如，他的外国投资审查委员会和他的国家安全协议，对于外国在美国的信息安全业的投资，他是有严格的控制的。大家可以看到很多的例子，中国有很多的投资，当在美国进行这样的工作的时候，都已经碰到了很多的障碍。另外，它对涉及到美国国家秘密这样的人员，它是有严格的一系列的控制措施的，包括他设定了一套制度，同时对于涉及美国国家秘密的单位也是进行控制的。同时，它还有一些标准，从技术能力上进行控制。对于雇员和信息安全产品的出口，也有相应地控制。

那么，它对于国外公司和人员，往往是以反恐和威胁国家安全为由，通过法律手段对国际贸易和并购进行审查，设定了很多的制度。对于国内的人员设定了很多的采购性的政策，而且对于不同的单位，对于不同重要性的系统，他也制定了不同的要求。那么，我们可以看到，比如说他的国防部和他的相关情报机构、联邦政府、关键基础设施、上市公司等等有不同的法律法规来规定，他对于这些机构和这些机构进行的信息安全服务，有相关严格的规定。

尽管我们对于俄罗斯的了解比较少，但是据我们所知，他们很早就对信息安全系统进行了管理，他们对于涉秘等等方面进行了划分。实际上，早在50年代就对于加密工具的研究、生产、销售、应用以及提供这种服务，他制定了相应地法律法规。实际上，从一开始到目前为止，他也有各种各样的法规，对这种信息安全服务进行管理。

那么，对于涉及他国家秘密的信息安全服务，他公布了俄罗斯的联邦安全总局，就是共和国，他专门有一个内设的机构进行管理，它也采取了发放许可证的方式。

那么，到了2002年，这是相对老一点的数据，他已经发了2000多份许可证。那么，对于相关的技术单位，他也发放了许可证，目前也是发了2000多份的许可证。

那么，我们国家的信息安全服务资质管理的现状是怎么样的呢？我想进行一个比较系统的介绍。

对于我们国家而言，信息安全服务的市场还不够大，我们一直期望这块蛋糕能够做得非常大。刚才郭处长也谈到了，希望我们民族的企业能够发展，希望各个政府部门和重要的信息系统可以选择国产的信息安全服务。那么，我们看一下国外的统计机构，他在今年3月份的统计，我们从这个数据中可以看到，2007年，他的统计说在中国信息安全服务市场的规模才占到了整个信息安全市场的22.6%，相对安全软件49.3%、安全硬件占47.4%，其他占0.7%，信息安全服务市场还是比较小的，但是增长比较快，比2006年增长了36.3%。另外，还有一个预测，在未来几年内，我们国家信息安全服务的市场规模将有所增加。

据我们了解，很多国家的企业也在中国做信息安全服务的工作，那么相关的审计和主要的技术，是依靠外资来做的。

那么，我们国家的系安全管理有我们自己国家的特色，我们归纳了一下，目前我们国家的信息安全资质管理有两大类，一类是部门行政许可，这里面涉及到了信息产业部、国家保密局、国家密码局。还有一个是权威机构认证，就是我所在的信息安全测评中心。

我先介绍一下部门行政许可，国家保密局设定了许可资质，已经发布了许可证书。国家密码据对于生产、销售等都设定了许可证资质，也发了证书。那么原信息产业部，也是设定了计算机信息系统集成企业资质，这是允许保留的项目之一，目前也是发了上千张的资质。再有是对于电子认证服务机构资质，这也是根据我们国家在信息安全领域的电子签名法所设立的。这已经发了24张的许可证。

在我们国家目前以行政许可的方式，设定的资质有这么几种。还有一类是通过认定的方式，主要是通过中国信息安全产品测评认证中心，现在改名叫做中国信息安全测评中心。这主要是依据相关的法律法规，以合格评定的方式来设定的。它和行政许可有一个区别，就是权威机构的认定是企业，或者是从事信息安全服务的机构自愿申请的。

那么，我们中心实际上除了在信息安全服务资质方面提供认证之外，中心成立了将近10年，实际上我们在信息安全的产品和信息安全认证系统方面，都提供了相应地认证。

到目前为止，我们在信息安全服务方面，在一级服务方面发布了141张，二级服务要求更高一些，发了12张，同时对于信息安全人员的资质发了5000张，同时我们要进行分类的信息安全服务的资质。目前，有一些分类的服务的证书已经发完了。

这些是在咱们国家的系安全服务资质目前进行管理的情况，应该说咱们国家现有的信息安全服务资质管理，在一定程度上满足了信息安全管理部门、行业主管部门的管理需求和用户需求，但尚不能从根本上全面解决信息安全服务发展带来的管理问题。主要是有三个问题，第一个是没有高层次的信息安全法律法规，国家已经在推进这方面的工作。再有就是现有的管理部门从各自职能出发开展的服务资质管理，互相的关联程度不够。还有我们重要的行业服务处于资质管理盲区，实际上由于处在盲区，对于我们国家的信息安全，还是造成了潜在的隐患。

针对这种情况，我们建议从国家来讲要加强对于信息安全服务资质的管理，我们觉得有这么几个方面要注意。

第一个是在信息安全服务资质管理的过程中，要注重可信评定和能力评定的辩证统一，光有能力的评定是不够的，我们一直在讲，我们的信息安全服务，像我们整个安全产业一定要自主可控，如何体现？同样要对于可信进行评定，同时能力的评定也是非常重要的一个环节，所以是辩证统一的关系。

同时，要建立一个国家统一的信息安全服务资质管理办法，同时对于发证和测评的机构的建设和管理进行加强，要建设有关的办法，加强对法政、测评机构的监督管理、规范其对信息安全服务资质的法政、测评行为。再有就是完善相关基础性工作，制定、完善信息安全服务资质分级分类标准和其他的管理，同时加强信息安全资质管理的技术。

本文来源：https://www.2haoxitong.net/k/doc/1cc3c34e852458fb770b5612.html