安全测评是确保信息安全的“第一道屏障”

蒋力群

诺顿事件如同一记重拳，将众人

的信息安全意识猛然击醒。信息安全最显著的特点是“出现的问题越大，受重视程度越高”，最显著的成效是“受重视程度越高，出问题的概率越小”。显然，在当今信息技术广泛应用，网络影响力日益增强的时代，信息安全的风险因受到各类威胁而不断增长。随着新技术、新应用越来越多，新风险、新问题也将越来越多。2013年，我国信息安全产品的规模已较2012年度增长了21.68%，而未来两年该规模总量还将出现翻番。作为保障信息安全重要手段之一的检测与评估工作，必然显得越来越重要。

专业检测是信息安全可靠性认定的“首选措施”

信息安全测试与评估（简称：信息安全测评）是对信息安全模块、产品和信息系统的安全性等进行测试、验证、评价和定级，以明确其安全特性。一般而言，信息安全测评的重点是安全产品的专项性能和信息系统的安全状态。在实际测评过程中，通常从技术与管理两个方面进行，同时对内部风险和外部风险进行确认和衡量，有针对性地提出抵御威胁的安全防护对策和整改措施，从而最大限度地确保不出现安全问题或少出现安全问题，努力减少因安全问题而造成的经济损失和负面影响。早在20世纪80年代，美、英、德、法等西方国家纷纷制定了本国的信息安全评测认证制度，并积极开展测评认证标准领域的合作。经过近20年的努力，终于在1999年形成了既考虑共同的技术基础，又兼顾各国信息安全主权的国际化标准，即信息技术安全性评估准则（Common Criteria，简称CC），CC中的安全要求分为安全功能和安全保证两大类。1997年，我国开始组织有关单位跟踪CC发展，并着手制定对应的国家标准，2001年开始正式实施我国的信息安全标准GB/T18336，此后不断丰富和完善相关标准规范。

当前，社会各界对网络安全、系统安全、信息安全的依赖性越来越大，对信息安全测评工作的要求越来越高。整体形势呈现三个特点：一是信息安全的影响力日渐增强。2012年我国IT消费达到1.8万亿，云计算、物联网、移动互联网、IPV6、智能终端等网络新技术应用范围和服务内容不断丰富扩大，信息安全成为重点关注内容；二是网络技术军事化应用倾向明显。计算机病毒、高能电磁脉冲、网络嗅控和攻击、内网无线注入、微波炸弹等技术成为未来网络作战武器，各国网络备战步步升级，也成为国际合作与斗争的重要内容；三是黑客攻击窃密风险长期存在。我国电脑病毒的感染率高达67%以上，监测发现木马控制端IP中有49.8%位于境外，美国称85.7%以上的联网工业设备存在软硬件漏洞，出现在政府、军工、金融等重要信息基础设施和关键信息系统的恶性攻击和信息窃取事件层出不穷。无疑，组织信息安全测评是确保信息系统建设与应用安全的首选措施。

当前信息安全测评的“主要压力”和“实施难点”

信息安全所面临的巨大压力已传递到安全测评领域

据国家互联网应急中心（CNCERT）统计：北京、广东、上海等互联网发达地区受黑客攻击的窃密数量排名靠前。据中研普华研究表明，与全球信息安全市场相比，我国信息安全行业正处于快速成长期。2006年至2010年，年均复合增长率为18.62%。

信息安全保障服务面临着三大压力：一是技术和服务能力压力。因新技术和新应用发展极其迅速，技术隐患和管理漏洞并存现象较普遍，仅2012年发现技术漏洞总数达6万个，年度上升达11%以上；新增病毒样本6.9亿个，挂马页面92万个，钓鱼网站12.4万个；安全产品除传统的防火墙、IDS/IPS、防病毒等产品外，UTM、WEB安全、安全审计、信息加密、身份认证等需求日益增大，NGFW（下一代防火墙）、云计算、移动终端等安全产品相继涌现，对测评的技术手段和适用性要求越来越高。二是人才和执业资质压力。信息安全市场高速增长，近三年我国信息安全专业技术人员数量增长40%，信息安全企业资产总额增长36.2%，信息安全服务业务合同值增长255%；信息安全人才十分紧缺，薪酬指数远领先于其它传统行业。对测评机构和测评人员而言，必须拥有多项授权资质，有时一项工程必须同时满足多个管理部门的要求和规定；对从业人员的学习能力要求很高，经常培训、经常考证成为必然，具有“经验积累型”加“学习提升型”的职业特点。三是发展模式和能力提升压力。当前，我国信息安全测评机构总体上有三种编制、五种类型，由于信息安全测评需要的是“学习提升型”+“经验积累型”人才，需要一种“技术发展不钝化，人员稳定不僵化”的生态环境，上述各种编制和类型各有特色和千秋，实现融合发展、创新发展是当务之急，即在稳定的前提下确保较强的活力显得尤为重要！

当前信息安全服务保障的难点持续涌现

国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。信息安全领域面临的挑战主要来自于两个方面：一方面是电子信息产业的创新发展带来应用技术的不断推陈出新；另一方面是应用模式不断创新发展，热点转换频率快，出现应接不暇、不断淘汰的格局。

信息安全的难点问题主要有四大类：一是对信息泄漏、信息污染等问题的控制和防范，对未经授权信息流出、信息泄漏增添侵权风险，信息污染积累潜在危害等，需要及时发现和堵漏处置；二是对某些组织、某些人出于特殊目的，利用网络进行信息渗透和攻击等恶意破坏行为的防范和反击；三是随着社会高度信息化，重要信息基础设施、核心控制系统等安全边界复杂，尤其是虚拟化应用增多，在恶意行为屡禁不止的情况下，国家利益、社会公共利益、各类主体合法权益面临更大风险和威胁；四是随着网络泛在化、跨界应用普遍化，随之带来控制权分散等管理问题，在信息资源管理体系上出现了较多脱节和真空地带，从而使信息安全问题变得更加广泛而复杂。因此，信息安全保障能力与信息化应用创新同步发展极为重要，绝不可顾此失彼。

测评领域已成为信息安全“矛”与“盾”的竞技场

据中研普华称，中国（大陆及台湾）是被全球威胁相关流量攻击最甚的国家。信息安全测评需求与信息系统应用中的安全需求是正向对应关系，必然上演“矛”与“盾”绞杀战。目前主要有：一是检测移动设备的安全隐患。移动通信已成为办公、商务、社交的有效手段和热门途径，且种类繁多而操作系统多样，据Check Point调研，68%用户认为安全事故增加与移动通信发展趋势有关，这已成为防范黑客盗取信息及敏感数据的重要领域。二是检测QR码被恶意利用的漏洞。许多零售商和广告商将使用QR作为时髦的推广手段，尤其是使用手机扫描二维条形码，黑客们可借机将用户转到一个恶意链接、文件或程序上。三是检测Botnets（僵尸网络）“绑架”计算机威胁。通过一种或多种传播手段，用 bot程序（僵尸程序）病毒感染和控制大量主机，实施非法访问、盗窃数据、启动拒绝服务（Dos）攻击或散布垃圾邮件的侵权行为，必须通过测评发现风险、填补漏洞、进行有效防范。四是识别无线路由器组网漏洞。去年，有多款无线路由器被曝存在重大安全漏洞，因无线路由器组网非常隐性，一旦被黑客攻入不易被发现，需增强相关技术检测手段和被侵入的识别监控能力。五是识别虚拟化、云应用、BYOD隐患。此类应用故障较难判断、检测维护复杂，比如，云应用集中了大量数据信息，一旦云服务器遭到入侵或损坏，危害极其严重，各终端只能“叫天天不应”了；BYOD（携带自己设备办公）让人在机场、酒店、咖啡厅等非办公室地点，通过WLAN也能登录公司邮箱和业务系统，实现在线办公，当然外来人员借此潜入网络的可能性也增大了，非常考验识别和防范应用漏洞与风险的能力。六是监测重要系统应用中出现的漏洞。系统应用时的负载场景、执行效率、资源占用和兼容性、安全性等状态处于变化当中，需要对重要系统的应用过程进行必要的监测，及时发现安全漏洞和隐患，把安全事故消灭在萌芽当中。

我国信息安全测评需要进一步规范和强化

多国信息安全测评认证体系（ICCC）表明，规范管理是迅速发展的重要基础。纵观美国、英国、德国、法国、芬兰、瑞典、西班牙和日本、韩国等国家，非常重视建设信息安全测评认证体系，测评工作得到有力推进。其体系建设的共同特点是：有一个测评认证管理协调组织；有一个测评认证实体；有多个技术检测机构。而且，各国政府为适应信息化时代国际竞争的新形势，有条件的进行互认也是各国参与国际化和维护自主权的务实选择。在我国，近年来新增了众多从事信息安全测评的机构和单位，尤其是执行信息安全等级保护、分级保护以来，信息系统使用单位普遍由专业机构依据管理规范和技术标准实施信息安全测评。

下一步，为适应信息安全测评业务的迅速发展，有必要在三个方面进一步规范和强化：一是规范和强化测评机构与人员管理。避免追求数量而忽视质量，要扎实推进测评机构职业道德、业务素养和服务能力的全面建设，规范实施人员的各类测评活动，确保公正、公平、权威的测评结果；二是规范和强化测评能力建设。打破测评机构因编制和类型差异造成的局限和隔阂，着眼于国家安全大局，配合组织技术培训和业务交流，力争显著提升测评机构、人员的技术能力和业务水平，以适应当今信息安全形势发展；三是规范和强化新的信息安全测评观——四个统一。系统应用与安全保障存在着有效性和性价比的问题，既要兼顾信息系统的适用性，也要强调安全测评的合规性，笔者认为应使两者有机统一，需要树立新的信息安全测评观，即综合考虑测评对象的应用模式、技术架构、安全措施、制度建设四个方面的优化及有机统一，要破除只盯技术和管理两个部分的片面导向，推动建设“业务应用便捷简化、安全测评严谨细化、风险评估持续深化、制度建设不断强化”多角度覆盖的新型信息安全测评保障格局。

（作者单位：上海市信息安全测评认证中心）