□左曉棟 鄭 瑩

    [核心提示]

    信息安全認證是一個新興的認證領(lǐng)域，面臨著很多新的課題。特別是信息安全對國家安全、社會穩(wěn)定、公眾利益和公民權(quán)益的重要影響，為做好信息安全認證工作提出了很多新的要求。當前，隨著信息安全認證機構(gòu)的增多以及信息安全認證市場需求的不斷擴大，認證活動中安全風險的監(jiān)管問題正在引起越來越多的關(guān)注。

    左曉棟 博士，近年來先后擔任中國政府信息安全白皮書、《中華人民共和國信息安全條例》等國家重大信息安全政策法規(guī)起草組成員，發(fā)表論文20余篇，執(zhí)筆起草信息安全標準5部，出版專著和譯著7部，現(xiàn)任中國信息安全認證中心綜合業(yè)務處副處長，西安交通大學法學院兼職研究生導師。

    信息安全認證中的安全風險

    與國家安全息息相關(guān)

    信息安全認證中的安全風險，特指信息安全認證機構(gòu)借助認證活動的便利條件，知悉被認證組織的敏感信息，或者直接接觸被認證組織的信息系統(tǒng)，從而為被認證組織的信息資產(chǎn)帶來的安全風險。我們在這里將信息安全認證中的安全風險簡稱認證安全風險。

    認證安全風險主要是由認證機構(gòu)的惡意行為引發(fā)的。我國信息安全產(chǎn)品認證和信息安全服務認證由國家成立的事業(yè)單位實施，認證安全風險已經(jīng)降至最低，目前的認證安全風險主要集中于信息安全管理體系認證領(lǐng)域。因此，這里主要討論該領(lǐng)域的認證安全風險管理問題。

    在信息安全管理體系認證的審核階段，認證機構(gòu)會接觸到受審核組織大量的敏感信息。這類信息分為兩類：一類是受審核組織的信息系統(tǒng)中存儲的信息，另一類是與受審核組織的信息安全防護相關(guān)的信息。例如，受審核組織的信息安全風險評估報告全面記錄了系統(tǒng)的信息資產(chǎn)、對信息安全威脅的判斷、信息安全漏洞、信息安全控制措施配置等信息。這些信息如果被認證機構(gòu)惡意使用，或者泄露給惡意第三方，都會導致受審核組織的信息失竊，或使其信息系統(tǒng)被外部控制。

    此外，由于認證機構(gòu)會直接接觸受審核組織的信息系統(tǒng)，存在篡改其信息系統(tǒng)的可能性，例如在系統(tǒng)中植入惡意程序，或改變信息系統(tǒng)的功能，這便是美國國家安全局曾提出的五類信息安全威脅之一———臨近攻擊。

    當前，信息安全已經(jīng)成為國家安全的重要組成部分，國際上圍繞信息的控制與反控制的斗爭正日趨激烈。但是，很多這樣的斗爭常常隱藏在了看似正常的國際商貿(mào)活動之中，使公眾忽視了信息安全斗爭的復雜性和長期性。當前，對認證安全風險的認識往往存在三個誤區(qū)：

    一是認為認證機構(gòu)在審核活動中獲得的信息無關(guān)緊要。事實上，如今信息安全攻擊與防范的技術(shù)的專業(yè)化程度已經(jīng)超出了很多人的想象。對一個熟練的攻擊者而言，任何有關(guān)攻擊目標的些許信息，都可能為其大開方便之門。

    二是認為受審核組織的信息僅關(guān)系到組織自身的安全，與國家安全相去甚遠。當前，信息技術(shù)的廣泛滲透性以及國民經(jīng)濟和社會發(fā)展對信息技術(shù)應用的依賴，使網(wǎng)絡(luò)與信息系統(tǒng)的戰(zhàn)略地位凸顯。特別是關(guān)系國計民生的重要行業(yè)的網(wǎng)絡(luò)與信息系統(tǒng)，已經(jīng)成為國與國軍事對抗的戰(zhàn)場，成為非常時期敵方打擊的首要目標。

    三是認為認證機構(gòu)都是守法企業(yè)，不可能去實施惡意行為。在這里，我們并不對認證機構(gòu)的行為妄加猜測，但必須強調(diào)，這是影響國家信息安全的一種途徑，必須牢固樹立風險防范意識。任何商業(yè)實體都是具有國籍屬性，都可能在國家緊急動員時被以國家意志而“征用”，為各國的政治服務。

    認證安全風險管理問題的實質(zhì)

    是信息安全服務管理制度

    認證安全風險的出現(xiàn)是認證認可領(lǐng)域中的一個新問題。但是，在信息安全領(lǐng)域，類似問題由來已久，這便是信息安全服務的管理問題。從服務提供者與服務對象的關(guān)系以及服務的技術(shù)特征角度而言，信息安全管理體系認證是一種特殊的信息安全服務。在服務過程可能引發(fā)安全風險這一問題上，信息安全認證與其它信息安全服務毫無二致。由此，安全風險的管理對策也必然具有共通性。

    為了加強信息安全服務管理，近年來我國有關(guān)部門和一些地方政府先后實施了信息安全相關(guān)服務管理制度。但是，這些制度的適用范圍有限，且多關(guān)注服務能力，沒有考慮如何防范安全風險。近年來，我國網(wǎng)絡(luò)與信息安全主管部門多次展開廣泛調(diào)研，但目前尚未發(fā)布信息安全服務管理政策意見。在這種情況下，要解決信息安全認證中的安全風險，目前還缺少更加明晰的政策環(huán)境和直接的政策支持。

    加強認證安全風險管理的

    思路分析及有關(guān)對策建議

    我國對涉密信息系統(tǒng)有著嚴格管理，沒有涉密系統(tǒng)集成資質(zhì)的企業(yè)不能向其提供安全服務，包括認證服務。至于政府信息系統(tǒng)，在相當長時間內(nèi)申請信息安全管理體系認證者極少。因此，加強認證安全風險管理的主要目標，是確保基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)在接受認證時的安全。建議國家圍繞這一目標設(shè)立管理制度。

    建議認證認可監(jiān)督管理部門在認證程序方面設(shè)定嚴格要求，例如禁止認證機構(gòu)攜帶電子設(shè)備進入審核現(xiàn)場，不得將客戶的任何紙質(zhì)或電子資料帶離現(xiàn)場，任何資料不得離境等。在制定這些管理要求時，一是要注意可行性，避免影響正常的認證活動，二是要不能與將來發(fā)布的ISO/IEC 27007《信息安全管理體系審核指南》相悖。

    但是，以上措施還不能從根源上杜絕風險。從各國對供應鏈安全管理的實際經(jīng)驗及發(fā)展趨勢看，在重要領(lǐng)域屏蔽國外機構(gòu)的服務，這應該是最終的方向。

    建議以采購管理為主，準入管理為輔。但準入環(huán)節(jié)依然可以發(fā)揮前置門檻的作用，對認證市場進行總量控制，以減輕采購環(huán)節(jié)的壓力。在采購環(huán)節(jié)，如當前出臺強制性采購政策的操作阻力較大，則可先行出臺指導性意見，引導基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)選擇國內(nèi)認證機構(gòu)提供的信息安全管理體系認證服務。

    認證安全風險管理政策是一種特殊的信息安全服務管理政策，應受到我國信息安全服務管理制度所確立的總體原則的指導和支持。但在我國信息安全服務管理政策依然缺位的情況下，不妨先制定認證安全風險管理政策，這也可以為將來出臺信息安全服務管理政策積累經(jīng)驗。當然，這會在一定程度上增加認證安全風險管理政策的起草難度，特別是在采購政策方面。

    建議在以下方面加強輔助措施：

    一是加大宣傳和引導力度。目前國內(nèi)很多用戶對信息安全管理體系認證還存在不當認識，例如很多人不知道成立認證機構(gòu)以及開展認證活動需要得到認監(jiān)委的審批，還有一些人認為國外認證機構(gòu)頒發(fā)的是國際證書，而國內(nèi)認證機構(gòu)頒發(fā)的證書則沒有權(quán)威性等。這將導致用戶在選擇認證機構(gòu)時帶有錯誤的傾向性，以及證書采信者對證書價值產(chǎn)生誤判。

    二是嚴格市場準入條件，實行總量控制，并對違反《認證認可條例》的行為進行嚴厲查處。

    三是積極推動信息安全管理體系認證的國際互認工作。

    四是大力鼓勵國內(nèi)認證機構(gòu)的發(fā)展，提高國內(nèi)認證機構(gòu)的品牌影響力。

    責任制問題的實質(zhì)是立法問題。認證安全風險是信息化發(fā)展帶來的新問題，目前我國還沒有立法對收集客戶信息（包括修改客戶的信息系統(tǒng)）以及信息出境問題進行規(guī)范，對公民個人信息以及企業(yè)秘密的保護也缺少完善的法律規(guī)定。這種情況下客觀上導致了認證安全風險管理責任不明確的局面。

    我們建議在實踐中對認證安全風險管理的部門職責作如下區(qū)分：

    國務院網(wǎng)絡(luò)與信息安全主管部門一要盡快制定基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)使用認證服務的有關(guān)采購規(guī)定，二要加快《信息安全條例》的制定，在條例中明確哪些信息安全服務中的行為應予禁止。

    國務院認證認可監(jiān)督管理部門充分利用現(xiàn)有的監(jiān)管手段，一要在可能的情況下繼續(xù)嚴格信息安全管理體系認證程序，維護國家秘密和商業(yè)秘密的安全，二要加強本文前面提到的四項輔助性措施。

    《中國國門時報》

左曉棟 鄭瑩