蔣力群

諾頓事件如同一記重拳，將眾人

的信息安全意識猛然擊醒。信息安全最顯著的特點是“出現(xiàn)的問題越大，受重視程度越高”，最顯著的成效是“受重視程度越高，出問題的概率越小”。顯然，在當今信息技術(shù)廣泛應(yīng)用，網(wǎng)絡(luò)影響力日益增強的時代，信息安全的風險因受到各類威脅而不斷增長。隨著新技術(shù)、新應(yīng)用越來越多，新風險、新問題也將越來越多。2013年，我國信息安全產(chǎn)品的規(guī)模已較2012年度增長了21.68%，而未來兩年該規(guī)模總量還將出現(xiàn)翻番。作為保障信息安全重要手段之一的檢測與評估工作，必然顯得越來越重要。

專業(yè)檢測是信息安全可靠性認定的“首選措施”

信息安全測試與評估（簡稱：信息安全測評）是對信息安全模塊、產(chǎn)品和信息系統(tǒng)的安全性等進行測試、驗證、評價和定級，以明確其安全特性。一般而言，信息安全測評的重點是安全產(chǎn)品的專項性能和信息系統(tǒng)的安全狀態(tài)。在實際測評過程中，通常從技術(shù)與管理兩個方面進行，同時對內(nèi)部風險和外部風險進行確認和衡量，有針對性地提出抵御威脅的安全防護對策和整改措施，從而最大限度地確保不出現(xiàn)安全問題或少出現(xiàn)安全問題，努力減少因安全問題而造成的經(jīng)濟損失和負面影響。早在20世紀80年代，美、英、德、法等西方國家紛紛制定了本國的信息安全評測認證制度，并積極開展測評認證標準領(lǐng)域的合作。經(jīng)過近20年的努力，終于在1999年形成了既考慮共同的技術(shù)基礎(chǔ)，又兼顧各國信息安全主權(quán)的國際化標準，即信息技術(shù)安全性評估準則（Common Criteria，簡稱CC），CC中的安全要求分為安全功能和安全保證兩大類。1997年，我國開始組織有關(guān)單位跟蹤CC發(fā)展，并著手制定對應(yīng)的國家標準，2001年開始正式實施我國的信息安全標準GB/T18336，此后不斷豐富和完善相關(guān)標準規(guī)范。

當前，社會各界對網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全的依賴性越來越大，對信息安全測評工作的要求越來越高。整體形勢呈現(xiàn)三個特點：一是信息安全的影響力日漸增強。2012年我國IT消費達到1.8萬億，云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、IPV6、智能終端等網(wǎng)絡(luò)新技術(shù)應(yīng)用范圍和服務(wù)內(nèi)容不斷豐富擴大，信息安全成為重點關(guān)注內(nèi)容；二是網(wǎng)絡(luò)技術(shù)軍事化應(yīng)用傾向明顯。計算機病毒、高能電磁脈沖、網(wǎng)絡(luò)嗅控和攻擊、內(nèi)網(wǎng)無線注入、微波炸彈等技術(shù)成為未來網(wǎng)絡(luò)作戰(zhàn)武器，各國網(wǎng)絡(luò)備戰(zhàn)步步升級，也成為國際合作與斗爭的重要內(nèi)容；三是黑客攻擊竊密風險長期存在。我國電腦病毒的感染率高達67%以上，監(jiān)測發(fā)現(xiàn)木馬控制端IP中有49.8%位于境外，美國稱85.7%以上的聯(lián)網(wǎng)工業(yè)設(shè)備存在軟硬件漏洞，出現(xiàn)在政府、軍工、金融等重要信息基礎(chǔ)設(shè)施和關(guān)鍵信息系統(tǒng)的惡性攻擊和信息竊取事件層出不窮。無疑，組織信息安全測評是確保信息系統(tǒng)建設(shè)與應(yīng)用安全的首選措施。

當前信息安全測評的“主要壓力”和“實施難點”

信息安全所面臨的巨大壓力已傳遞到安全測評領(lǐng)域

據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）統(tǒng)計：北京、廣東、上海等互聯(lián)網(wǎng)發(fā)達地區(qū)受黑客攻擊的竊密數(shù)量排名靠前。據(jù)中研普華研究表明，與全球信息安全市場相比，我國信息安全行業(yè)正處于快速成長期。2006年至2010年，年均復(fù)合增長率為18.62%。

信息安全保障服務(wù)面臨著三大壓力：一是技術(shù)和服務(wù)能力壓力。因新技術(shù)和新應(yīng)用發(fā)展極其迅速，技術(shù)隱患和管理漏洞并存現(xiàn)象較普遍，僅2012年發(fā)現(xiàn)技術(shù)漏洞總數(shù)達6萬個，年度上升達11%以上；新增病毒樣本6.9億個，掛馬頁面92萬個，釣魚網(wǎng)站12.4萬個；安全產(chǎn)品除傳統(tǒng)的防火墻、IDS/IPS、防病毒等產(chǎn)品外，UTM、WEB安全、安全審計、信息加密、身份認證等需求日益增大，NGFW（下一代防火墻）、云計算、移動終端等安全產(chǎn)品相繼涌現(xiàn)，對測評的技術(shù)手段和適用性要求越來越高。二是人才和執(zhí)業(yè)資質(zhì)壓力。信息安全市場高速增長，近三年我國信息安全專業(yè)技術(shù)人員數(shù)量增長40%，信息安全企業(yè)資產(chǎn)總額增長36.2%，信息安全服務(wù)業(yè)務(wù)合同值增長255%；信息安全人才十分緊缺，薪酬指數(shù)遠領(lǐng)先于其它傳統(tǒng)行業(yè)。對測評機構(gòu)和測評人員而言，必須擁有多項授權(quán)資質(zhì)，有時一項工程必須同時滿足多個管理部門的要求和規(guī)定；對從業(yè)人員的學習能力要求很高，經(jīng)常培訓、經(jīng)常考證成為必然，具有“經(jīng)驗積累型”加“學習提升型”的職業(yè)特點。三是發(fā)展模式和能力提升壓力。當前，我國信息安全測評機構(gòu)總體上有三種編制、五種類型，由于信息安全測評需要的是“學習提升型”+“經(jīng)驗積累型”人才，需要一種“技術(shù)發(fā)展不鈍化，人員穩(wěn)定不僵化”的生態(tài)環(huán)境，上述各種編制和類型各有特色和千秋，實現(xiàn)融合發(fā)展、創(chuàng)新發(fā)展是當務(wù)之急，即在穩(wěn)定的前提下確保較強的活力顯得尤為重要！

當前信息安全服務(wù)保障的難點持續(xù)涌現(xiàn)

國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”。信息安全領(lǐng)域面臨的挑戰(zhàn)主要來自于兩個方面：一方面是電子信息產(chǎn)業(yè)的創(chuàng)新發(fā)展帶來應(yīng)用技術(shù)的不斷推陳出新；另一方面是應(yīng)用模式不斷創(chuàng)新發(fā)展，熱點轉(zhuǎn)換頻率快，出現(xiàn)應(yīng)接不暇、不斷淘汰的格局。

信息安全的難點問題主要有四大類：一是對信息泄漏、信息污染等問題的控制和防范，對未經(jīng)授權(quán)信息流出、信息泄漏增添侵權(quán)風險，信息污染積累潛在危害等，需要及時發(fā)現(xiàn)和堵漏處置；二是對某些組織、某些人出于特殊目的，利用網(wǎng)絡(luò)進行信息滲透和攻擊等惡意破壞行為的防范和反擊；三是隨著社會高度信息化，重要信息基礎(chǔ)設(shè)施、核心控制系統(tǒng)等安全邊界復(fù)雜，尤其是虛擬化應(yīng)用增多，在惡意行為屢禁不止的情況下，國家利益、社會公共利益、各類主體合法權(quán)益面臨更大風險和威脅；四是隨著網(wǎng)絡(luò)泛在化、跨界應(yīng)用普遍化，隨之帶來控制權(quán)分散等管理問題，在信息資源管理體系上出現(xiàn)了較多脫節(jié)和真空地帶，從而使信息安全問題變得更加廣泛而復(fù)雜。因此，信息安全保障能力與信息化應(yīng)用創(chuàng)新同步發(fā)展極為重要，絕不可顧此失彼。

測評領(lǐng)域已成為信息安全“矛”與“盾”的競技場

據(jù)中研普華稱，中國（大陸及臺灣）是被全球威脅相關(guān)流量攻擊最甚的國家。信息安全測評需求與信息系統(tǒng)應(yīng)用中的安全需求是正向?qū)?yīng)關(guān)系，必然上演“矛”與“盾”絞殺戰(zhàn)。目前主要有：一是檢測移動設(shè)備的安全隱患。移動通信已成為辦公、商務(wù)、社交的有效手段和熱門途徑，且種類繁多而操作系統(tǒng)多樣，據(jù)Check Point調(diào)研，68%用戶認為安全事故增加與移動通信發(fā)展趨勢有關(guān)，這已成為防范黑客盜取信息及敏感數(shù)據(jù)的重要領(lǐng)域。二是檢測QR碼被惡意利用的漏洞。許多零售商和廣告商將使用QR作為時髦的推廣手段，尤其是使用手機掃描二維條形碼，黑客們可借機將用戶轉(zhuǎn)到一個惡意鏈接、文件或程序上。三是檢測Botnets（僵尸網(wǎng)絡(luò)）“綁架”計算機威脅。通過一種或多種傳播手段，用 bot程序（僵尸程序）病毒感染和控制大量主機，實施非法訪問、盜竊數(shù)據(jù)、啟動拒絕服務(wù)（Dos）攻擊或散布垃圾郵件的侵權(quán)行為，必須通過測評發(fā)現(xiàn)風險、填補漏洞、進行有效防范。四是識別無線路由器組網(wǎng)漏洞。去年，有多款無線路由器被曝存在重大安全漏洞，因無線路由器組網(wǎng)非常隱性，一旦被黑客攻入不易被發(fā)現(xiàn)，需增強相關(guān)技術(shù)檢測手段和被侵入的識別監(jiān)控能力。五是識別虛擬化、云應(yīng)用、BYOD隱患。此類應(yīng)用故障較難判斷、檢測維護復(fù)雜，比如，云應(yīng)用集中了大量數(shù)據(jù)信息，一旦云服務(wù)器遭到入侵或損壞，危害極其嚴重，各終端只能“叫天天不應(yīng)”了；BYOD（攜帶自己設(shè)備辦公）讓人在機場、酒店、咖啡廳等非辦公室地點，通過WLAN也能登錄公司郵箱和業(yè)務(wù)系統(tǒng)，實現(xiàn)在線辦公，當然外來人員借此潛入網(wǎng)絡(luò)的可能性也增大了，非常考驗識別和防范應(yīng)用漏洞與風險的能力。六是監(jiān)測重要系統(tǒng)應(yīng)用中出現(xiàn)的漏洞。系統(tǒng)應(yīng)用時的負載場景、執(zhí)行效率、資源占用和兼容性、安全性等狀態(tài)處于變化當中，需要對重要系統(tǒng)的應(yīng)用過程進行必要的監(jiān)測，及時發(fā)現(xiàn)安全漏洞和隱患，把安全事故消滅在萌芽當中。

我國信息安全測評需要進一步規(guī)范和強化

多國信息安全測評認證體系（ICCC）表明，規(guī)范管理是迅速發(fā)展的重要基礎(chǔ)?？v觀美國、英國、德國、法國、芬蘭、瑞典、西班牙和日本、韓國等國家，非常重視建設(shè)信息安全測評認證體系，測評工作得到有力推進。其體系建設(shè)的共同特點是：有一個測評認證管理協(xié)調(diào)組織；有一個測評認證實體；有多個技術(shù)檢測機構(gòu)。而且，各國政府為適應(yīng)信息化時代國際競爭的新形勢，有條件的進行互認也是各國參與國際化和維護自主權(quán)的務(wù)實選擇。在我國，近年來新增了眾多從事信息安全測評的機構(gòu)和單位，尤其是執(zhí)行信息安全等級保護、分級保護以來，信息系統(tǒng)使用單位普遍由專業(yè)機構(gòu)依據(jù)管理規(guī)范和技術(shù)標準實施信息安全測評。

下一步，為適應(yīng)信息安全測評業(yè)務(wù)的迅速發(fā)展，有必要在三個方面進一步規(guī)范和強化：一是規(guī)范和強化測評機構(gòu)與人員管理。避免追求數(shù)量而忽視質(zhì)量，要扎實推進測評機構(gòu)職業(yè)道德、業(yè)務(wù)素養(yǎng)和服務(wù)能力的全面建設(shè)，規(guī)范實施人員的各類測評活動，確保公正、公平、權(quán)威的測評結(jié)果；二是規(guī)范和強化測評能力建設(shè)。打破測評機構(gòu)因編制和類型差異造成的局限和隔閡，著眼于國家安全大局，配合組織技術(shù)培訓和業(yè)務(wù)交流，力爭顯著提升測評機構(gòu)、人員的技術(shù)能力和業(yè)務(wù)水平，以適應(yīng)當今信息安全形勢發(fā)展；三是規(guī)范和強化新的信息安全測評觀——四個統(tǒng)一。系統(tǒng)應(yīng)用與安全保障存在著有效性和性價比的問題，既要兼顧信息系統(tǒng)的適用性，也要強調(diào)安全測評的合規(guī)性，筆者認為應(yīng)使兩者有機統(tǒng)一，需要樹立新的信息安全測評觀，即綜合考慮測評對象的應(yīng)用模式、技術(shù)架構(gòu)、安全措施、制度建設(shè)四個方面的優(yōu)化及有機統(tǒng)一，要破除只盯技術(shù)和管理兩個部分的片面導向，推動建設(shè)“業(yè)務(wù)應(yīng)用便捷簡化、安全測評嚴謹細化、風險評估持續(xù)深化、制度建設(shè)不斷強化”多角度覆蓋的新型信息安全測評保障格局。

（作者單位：上海市信息安全測評認證中心）