国家发改委日前正式批准天津曙光计算机产业有限公司“面向基于应用特征的网络安全专用芯片及服务器系统产业化”、国家计算机病毒应急处理中心“恶意代码安全事件的信息发布与咨询服务”等7个项目,列入国家发改委2009年信息安全专项计划,7项目共获得4900万元的资金支持。
据介绍,随着网络和信息化的飞速发展,信息安全已经与政治安全、经济安全、国防安全、文化安全共同成为国家安全的重要组成部分。而且,随着国际上围绕信息资源争夺和信息技术竞争的日趋激烈,信息安全威胁作为一种新的非传统安全威胁,正在对政治稳定、经济发展、公共利益乃至国家安全造成着重要影响。正因为如此,世界各国纷纷将对信息技术和信息安全的自主可控能力与维护国家安全的能力紧密联系在一起,控制与反控制的斗争甚至已经对国与国之间的外交、经贸等关系产生了重要影响。
尽管近年来,我国高新技术产业发展迅猛,科技支撑力日益增强,但由于历史的原因,我国在高新技术领域的实力与国外相差较大。例如,在信息技术领域,我们的自主可控能力依然很低,特别是缺乏自主可控的操作系统、服务器、中央处理器产品及其核心技术,高端设备的安全问题没有得到有效解决,国外企业的垄断局面长期无法打破。
在这种情况下,信息安全产品认证为我国的国家信息安全构筑了一道强有力的屏障。根据国家质检总局、财政部、国家认监委在今年4月发布的公告,对于列表公布的8类13种信息安全产品,如果没有取得国家信息安全认证证书,将不能进入政府采购领域。即只有按照有关标准,经过严格检测和认证的信息安全产品,才能放心地应用于政府采购领域的信息系统中。
与一般的认证服务不同,信息安全认证本身十分敏感,这就决定了为重要信息系统和经济命脉行业提供信息安全认证的机构,必须是在国家严格管理之下的本土机构,以避免国家信息安全风险。这本身也是自主可控的基本要求。因此,建立国家自主可控的信息安全认证体系,已经显得尤为必要和紧迫。
资料显示,2008年,我国在推进信息安全管理体系实施方面取得了很大进展,通过体系认证的组织数目显著增长。但在这些获证组织中,超过90%的组织所获证书由外资认证机构颁发。特别是在国家重点行业、重要部门的信息系统中,外资认证机构的垄断地位更加明显。信息安全管理体系认证审核过程涉及到被审核单位的大量敏感信息(如单位的详细组织结构、业务流程、管理制度、物理分布、关键设备配置和产品型号的清单、技术能力、安全控制措施、安全防范水平、安全薄弱环节,甚至核心数据等),且外资认证机构的审核报告需要出境审批。业内人士指出,外资认证机构在国家重要网络与信息系统中大量开展认证活动,所带来的安全风险令人担忧。
中科院计算所有关负责人称,要掌握信息安全的主动权,必须建立自主可控的信息产业体系。我国的信息安全认证工作正处于一个机遇前所未有、挑战也前所未有、机遇大于挑战的重要时期。为此,以国家信息安全为己任的中国信息安全认证中心,一方面大力提高业务能力,提高认证有效性,确保认证质量,另一方面主动贴近国家需求,将国家重点部门、重要行业作为重要业务服务对象,努力规避外资认证机构带来的信息安全风险。
《中国质量报》
