《卡市場》：信息技術和網絡的普及對社會的發展起著極大的推進作用，于是，信息安全也就成為了重中之重，那么，作為信息安全方面的專家，您是怎樣看待這個問題的？ 

620)this.style.width=620;" border=0>

    陳博士：信息問題在現在，確實可以說是一個十分重要的問題，當今社會已經步入信息技術廣泛推廣，網絡應用日益普及的時代，傳統的通信業務和信息處理方式被新興的信息傳輸和處理模式取代。網絡應用給人們帶來巨大收益和方便的同時，也給人們帶來了由于惡意攻擊、虛假信息的欺詐或信息泄漏瞬間失去資產的苦惱、恐懼和不安。任何組織或個人的信息在網絡上傳輸，都有可能會被非法竊聽、截取、篡改或破壞，從而造成不可估量的損失。正因為上述問題，信息安全成了世界范圍內廣為關注的重中之重。

    與傳統的“安全”問題不同，信息安全是個深層次的概念，信息安全與信息本身的特征、信息的存儲、傳輸和處理技術密切相關。網絡信息安全則是與網絡系統的硬件、軟件以及它們所構成的安全防范體系密切聯系在一起，使系統中的信息和數據的機密性、完整性和可用性得到有效的控制和保護，防止非授權的訪問以及各種緣由的信息泄漏和破壞，確保系統能連續可靠地運行。所有這些都需要采用各種行之有效的安全保障措施。這些措施包括了信息產品自身的安全控制技術、信息產品研發及生產環境的技術的或程序的安全控制措施、信息產品交付過程的技術的或程序的安全控制措施、信息產品使用環境的安全控制措施，構建網絡系統應實現的技術和程序的安全控制的措施等。

    《卡市場》：在信息安全問題日益突出的今天，中國信息安全認證中心的成立顯然是具有重要意義的，請您簡單介紹一下中心成立的背景？

    陳博士：隨著信息產業的快速發展，信息安全成為世界范圍內共同關注的焦點。信息詐騙、網絡攻擊和竊密、信息垃圾騷擾等問題日益突出，迫切需要各部門聯合起來，共同對付這個矚目的問題。這就要求國家對信息產品和信息網絡的安全性實施統一的、必要的監控措施。因此實行信息安全全國統一的認證制度，是建立我國信息安全保障體系，促進信息安全產業發展、確保信息安全產品的質量，規范并提升信息安全的各項服務工作的第一步。

    國家建立信息安全認證中心這一機構，標志著國家統一的信息安全認證認可體系的建立與實施。信息安全認證中心的成立將對我國信息安全監管的科學化、規范化、制度化產生深遠影響。在信息安全領域采取認證機制是保障信息系統安全的重要手段，也是世界各國的普遍做法。做好信息安全認證工作，一定要從維護國家安全的大局來認識其重要性，各部門也需要加強合作。可以說，統一安全認證體系的建立適應了信息化發展的需要，對民族信息安全產業的發展具有積極促進作用。

    《卡市場》：中心成立已有近一年的時間，在這段時間內，中心做了哪些工作？取得了怎樣的成效？

    陳博士：按照國家質檢總局領導提出的“中心組建后要立足高起點、堅持高標準、確保高質量，力爭高水平”的要求，中國信息安全認證中心從去年11月成立以來，就搭建了一個強有力的領導班子，組建了一個一流的認證團隊，建立了一整套完善的認證規章制度，各項工作有條不紊的開展，迄今為止各項工作取得了重大的進展，其中主要的成績有以下幾點：

    1）確定了從認證環節到執行部門相對應的信息安全產品認證管理的工作流程，明確了各個認證步驟的具體要求，包括明確了信息安全產品檢測機構的指定原則及條件等。
    2）統一標準，對于產品認證涉及的標準，參照國際標準對相關的國家標準進行了梳理，所涉及的66個國家標準，40%以上的是國內自主研發的。
    3）積極參與首批信息安全強制認證產品目錄的制定工作。鑒于目錄發布的重要性，信息安全產品管委會秘書處召開了多次專門會議進行研究討論，最后確定邊界安全、通信安全、身份鑒別與訪問控制、數據安全、基礎平臺、內容安全等8大類，其中包括防火墻、安全操作系統、防垃圾郵件、入侵檢測等13種產品。期間，還參照國際慣例于2007年8月26日向WTO通報。
    4）確定了首批信息安全自愿性產品認證目錄。首批確定了15種自愿性認證產品目錄，包括：信息內容過濾與控制產品、芯片（智能卡）、讀卡器（智能卡）等。
    5）開展無線局域網安全產品的認證工作。國家已經將此劃入了強制產品認證的范圍，信息安全認證中心成立以后即將作為唯一的認證機構行使認證職能，中心已經圓滿完成了證書換發工作，產品認證工作已進入常態。
    6）信息安全管理體系認證。這項工作現在主要依據的是國際ISO27000系列標準，目前該工作已全面展開，中心于2007年10月22日，給中國信達資產管理公司頒發了首張證書。可以預計，中心在年前還將頒發多張證書。
    7）信息安全服務資質認證。根據國信辦的安排，以及與信息產業部協調，中心將在今年底開展試點。
    8）信息安全培訓。已經啟動，并先后在上海、北京成功舉辦了培訓班。
    9）獲得了中國國家認證認可監督管理委員會（CNCA）頒發的認證機構和培訓機構的資格證書，允許中心從事信息安全產品認證、信息安全管理體系認證和信息安全服務資質認證（試點）的認證工作，以及從事信息安全產品認證檢查員培訓、信息安全管理體系認證和信息安全服務資質認證（試點）的培訓工作。

    《卡市場》：中國信息安全認證中心的業務有哪些？需要進行強制性認證的產品有哪幾類產品？

    陳博士：中國信息安全認證中心的業務主要有下面幾類：信息安全產品認證業務；信息安全管理體系認證業務；信息安全服務資質認證業務；信息安全產品認證檢查員培訓業務；信息安全管理體系審核員培訓業務；信息安全服務資質認證審核員培訓業務。

    到目前為止，中心已經確定了有13類產品需要進行強制性認證，其中包括： 

    （1）防火墻類產品；
    （2）網絡安全隔離卡與線路選擇器類產品；
    （3）安全隔離與信息交換產品類產品；
    （4）安全路由器類產品；
    （5）COS（智能卡）類產品；
    （6）數據備份與恢復類產品；
    （7）安全操作系統類產品；
    （8）安全數據庫系統類產品；
    （9）反垃圾郵件類產品；
    （10）入侵檢測系統（IDS）類產品；
    （11）網絡脆弱性掃描類產品；
    （12）安全審計類產品；
    （13）網站恢復類產品。 


    《卡市場》：針對智能卡及相關產品，中國信息安全認證中心將會采取怎樣的認證措施？目前國際上智能卡信息安全檢測與認證的情況是怎樣的？

    陳博士：中國信息安全認證中心作為第三方的公正機構和法人實體，將遵循國家信息安全管理的法律法規、《認證許可條例》及認證實施規則，在指定的業務范圍內實行全國統一的認證制度，依據相關標準，對信息安全產品實施認證。認證方式采取強制認證和自愿認證相結合的方法，根據國內、外同類產品發展狀況，技術水平以及對產品安全性的需求，開辟適合我國國情的認證業務。

    由于智能卡及相關產品研發技術的日益成熟及其在多領域廣泛的應用前景，其安全性必須受到足夠的重視。中國信息安全認證中心將依據相關的安全標準和認證實施規則，對智能卡及其相關產品的安全性實施強制認證（例如對嵌入軟件COS）和自愿認證（例如對卡的集成電路芯片或成品卡）相結合的認證服務方針持續推進智能卡及其相關產品的應用和發展，并在此基礎上，逐步推行對讀卡器產品的安全認證服務和對建立應用系統的組織開展安全體系認證服務工作。

    目前，國際上對智能卡的檢測與認證執行的標準是《信息技術 安全技術 信息技術安全性評估準則》（ISO/IEC15408）。該準則于1999年由國際標準化組織發布了ISO/IEC15408：1999版，于2005年發布了ISO/IEC15408：2005版。我國于2001年依據ISO/IEC15408：1999版標準，發布了GB/T18336———2001版作為等同采用的推薦標準，一直沿用到現在。

    另外，針對COS產品的檢測與認證還參照GB/T 20276－2006《信息安全技術智能卡嵌入式軟件安全技術要求（EAL4增強級）》。 

    信息安全產品的檢測評估業務是認證業務的依據，也是簽署互認協議的各國依據該標準對信息產品安全性互認的基礎。但檢測評估方法以及相應的工具等是敏感的問題，涉及到產品開發的核心技術、評估技術和檢測技術，各國之間并不交流。根據國際相關會議的內容來看，我國與發達國家之間仍有一定的差距，主要體現在檢測技術、檢測工具和檢測方法上。這也是今后我們重點關注的一個重要的方面。

    《卡市場》：智能卡在信息安全領域扮演著一個什么樣的角色，起著怎樣的作用？我國智能卡發展的有著怎樣的優勢以及制約條件，國家未來會采取的監管措施？

    陳博士：智能卡在信息安全領域內主要扮演用戶身份識別、入網權限鑒別和保護用戶數據安全的角色。同時，也可以根據不同的需求開發出安全管理、安全審計、安全告警、訪問控制、信息流控制、失敗處理、功能恢復等各種相應的安全功能。智能卡作為應用系統的一部分，通過讀卡器與相關的應用系統交互信息。智能卡、讀卡器以及相關的應用系統構成一個完整的應用系統。三者安全功能構成了整個應用系統的安全防護體系。

    可以說，智能卡是保障信息的保密性、完整性和可用性必不可少的安全部件，在今后發展中，會不斷地展示其廣闊的應用遠景。

    智能卡產品與其它產品一樣，受著國際主流產品應用需求導向影響和自身技術實現的牽制。相比之下，國內企業的軟件開發占有一定的優勢，但一些關鍵部件多數仍受制于國外企業。國家已經提倡和鼓勵自主創新，以達到安全可控的目的。相信我國的企業會加快步伐，抓住機遇，取長補短，在材料業、制造業等方面會出現新的突破。

    《卡市場》：我國的智能卡產業經過十幾年的發展，已初具規模，企業的研發能力大大加強，但是在一些核心技術領域尚與國際發達國家相比存在差距，從安全角度而言，您認為這些差距主要體現在哪些方面？又有何建議？您對國內智能卡企業及最終用戶有著怎樣的期望？

    陳博士：我國的智能卡產業經過十幾年的發展，已初具規模，企業的研發能力也有很大的提高。但從產品的質量控制和安全功能開發的角度而言，在智能卡的核心技術領域，仍然落后于發達國家，這主要體現在以下幾方面：在標準化方面，普遍缺乏對安全標準的認知、推行和執行；在開發設計方面，缺乏規范化的管理與過程控制；在工藝方面，制作技術落后，缺乏自主創新的工藝方法；在應用方面，由于政出多門增大了“一卡多用”的開發和應用難度，導致難以形成統一的安全規則。

    此外，智能卡的應用及其安全特性的開發受制于應用系統。而應用系統又受到基礎設施、設備更新換代導致在經濟上付出巨大代價的牽制。比如說金融系統，至今仍在使用大量的安全性和可靠性極差的磁卡。其中，對于安全標準缺乏大力度的推行是個關鍵性的因素，建議加強對國際上先進標準的跟蹤、研究、采納或及時制定我國行之有效的相關安全標準并強化貫徹執行的力度，推進我國信息安全產品和信息安全服務的標準化、規范化建設。

    近些年來，各級政府對智能卡產品的大力推廣使得智能卡產品得到了公眾的認知和廣泛的應用。通過國內、外企業間的交流、競爭與合作，國內智能卡產業涌現出一批實力型企業和高素質的研發及制作隊伍，標志著我國智能卡產業正在進入新的階段。我希望企業不論大小，都應該把用戶的需求作為關注產品改進的焦點，并跟進國際先進的管理模式，持續改進管理方法，規范研發、設計和檢測過程，開發適應和滿足需求的工具，在保證產品質量和通用功能的基礎上，能夠依據相關的安全標準不斷地推出具有我國特色的智能卡及其相關的新一代的安全產品。

    《卡市場》：最后，請您為日后的信息安全工作的開展提出一些寶貴的建議。

    陳博士：信息安全工作涉及面廣，層次深。認證中心不僅要抓緊自身各方面建設，履行好自身的職責，同時要跟蹤國際信息安全認證的先進技術和水平。在實際工作中將努力貫徹執行國家信息安全政策，積極配合政府部門滿足社會各領域對信息安全工作的需求，營造良好的內、外工作環境；加強與有關部門的溝通與協作，探索有效工作機制，為信息安全工作提供高水平的認證服務。以上這些要點也希望能夠得到各有關部門的配合與支持。