信息安全等级保护与分级认证

信息安全等级保护与分级认证

中国信息安全产品测评认证中心

陈晓桦

一、走近我国信息安全测评认证

什么是信息安全测评认证？首先我们需要了解测试、评估、认证这三个相互关联却实质各异的概念。

测试是一种技术操作，它按规定的程序对给定的产品、材料、设备等一种或多种特性进行判定；评估是对测试/检验产生的数据进行分析，形成结论的一种技术活动，由于目前计算机技术和自动化工具的发展，测试和评估往往是合为一体的。认证是指第三方依据程序对产品、过程或服务符合规定的要求给予书面保证（证书），用于评价产品质量和企业质量管理水平。认证以标准和测试、检验、评估的结果为依据。具体到信息安全测评认证，测评是指专门的机构根据一定的标准，通过对信息安全产品和信息系统进行测试和评估，确定产品或者系统能够达到安全级别可信程度。测评包括生产商自我测试与评估、用户测试、专家鉴定会、第三方测评等多种类型，是检验产品好坏和是否安全的根本手段。相对来说，来自第三方的测评是比较科学和客观的。信息安全的认证是代表国家对达到评价标准和标准要求的产品和系统进行的一种独立于用户和厂商之间的第三方的认可活动，表明其特点和功能达到了规定的要求。

信息安全测评认证具有重要的意义，它能促进信息技术产业的进步与成熟；提高信息技术产品的市场竞争力，帮助厂家发现问题，用更高更严的标准来要求制作，提升厂家的开发能力；有利于国家对信息安全产业和市场准入进行管理，合格产品的市场进入与流通，以及政府采购中产品安全性的保证；推动信息安全技术和标准化的进程。

在我国，经中央批准成立、国家质量监督检验检疫总局授权，中国信息安全产品测评认证中心代表国家开展信息安全测评认证工作，并依据国家有关产品质量认证和信息安全管理的法律法规，管理和运行国家信息安全测评认证体系。

目前，中国信息安全产品测评认证中心开展的认证业务主要包括以下四个方面：信息安全产品认证，信息系统安全认证、信息安全服务资质认证和注册信息

安全专业人员资质认证。主要的技术依据和方法包括：信息技术安全性评估准则（也称为通用评估准则，简称CC，等同于国际标准 ISO/IEC15408）、信息技术安全通用评估方法（CEM）、信息系统安全等级保障评估标准（SCC）、信息安全服务资质评估标（SPC）、信息安全专业人员注册准则，以及国家认证认可管理委员会批准的与安全技术、规范等相关的技术要求文件及其它国内外相关标准等。

产品认证：信息安全产品认证主要分为型号认证和分级认证两种。其中分级认证根据相应的标准又分成7个级别。中国信息安全产品测评认证中心目前开展的是1到5级的认证。其中，对电信智能卡的认证已达到5级，其他安全产品目前最高达到3级。

系统安全认证：系统安全认证的技术标准分为5个级别，目前，我们从技术、工程、管理和综合等方面开展了两个级别的系统认证工作。在实施过程中，主要分为方案评审、系统测评、系统认证等三个方面。其中，方案评审是为确定特定信息系统是否达到标准的安全性设计要求；系统测评是对运行中的信息系统的安全功能的技术测试、对信息系统安全技术和管理体系的调查取证和对特定系统运行情况是否达到标准的安全要求的评估；最后进行的系统的认证是对运行系统的组织管理体系的审核。

信息安全服务资质认证：信息安全服务资质认证主要是对信息安全系统服务提供商的资格状况、技术实力和实施安全工程过程质量保证能力等进行具体衡量和评价。服务资质认证的技术标准最高为五级，目前认证中心已开展1级和2级两个级别的认证。

信息安全人员资质认证：信息安全人员资格认证（简称CISP），是中国信息安全产品认证中心创立的一个品牌，它是对国家信息安全测评认证机构、信息安全咨询服务机构、社会各组织、团体、企业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的对信息系统的安全提供技术保障的专业岗位人员——“注册信息安全专业人员”的一种认证，是我国信息安全界的一种权威性的人员认证，主要包括CISO（管理者）、CISE（工程师）、CISA（审核员）等。多年来，中国信息安全产品测评认证中心在国内信息安全人员资质认证、人员培训方面开展了大量工作，目前，已授权12家企事业单位开展培训工

作，有600多人先后获得CISP资格的称号。

统计显示，截至2004年12月30日，中国信息安全产品测评认证中心对国内外进行的信息安全产品认证共计300多项；对信息系统的测评认证共计100多项；开展的信息安全专业人员认证共计600多人；对服务厂商的服务资质认证共计60多家。

二、信息安全等级保护

等级保护指信息和信息系统要实行等级保护，并根据业务重要程度和实际的安全需求进行保护。其中包括对相应信息安全产品和安全性进行分级测评认证，对信息安全服务资质、信息安全从业人员进行分级管理，对信息系统中发生的信息安全事件分等级响应处置。等级保护以“对信息安全分等级、按标准进行建设、管理和监督”为核心，通过分级保护、分类指导、分阶段实施、合理的投入等予以实施。

中办发[2003]27号文《国家信息化领导小组关于加强信息安全保障工作的意见》中强调要实行信息安全等级保护制度。最近，由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室四部委联合签发了一个关于信息安全等级保护工作的实施意见，又再次强调实行信息安全等级保护制度的重要性。

等级保护的必要性主要体现在两个方面：其一，对信息安全分级保护是客观需求。信息系统的建立目标是满足社会发展、社会生活的需要，是社会构成、行政组织体系及其业务体系的反映，这种体系在客观上需要分层次和分级别。其二，等级化保护符合信息安全发展规律。按组织结构和业务分布，分层、分类、分级进行保护和管理，分阶段推进等级保护建设，是做好国家信息安全保障工作必须遵循的客观规律。

在国家有关的宣传中，用了7个“有利于”来重点阐述等级保护的重要性：实行信息安全产品与系统、服务的等级保护，有利于建立长效机制，保证信息安全工作稳固、持久地进行；有利于在信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于突出重点，加强对涉及国家安全、经济命脉、社会为拟定的基础信息网络和重要信息系统的安全保护和管理监督；有利于明确国家、企业、个人的安全责任，强化政府监督职能，共同落实各项安全