本刊記者 秦 萍

國務(wù)院原參事、我國著名質(zhì)量和標準化專家郎志正教授是我國信息安全發(fā)展過程的親歷者，對我國的信息安全有著深入的研究?！靶畔踩P(guān)系到整個國家的安全”，這是郎志正教授在接受記者采訪時反復強調(diào)的一句話。他表示，信息安全與政治安全、經(jīng)濟安全、軍事安全共同構(gòu)成了國家安全的四大支柱，并且直接影響到政治、經(jīng)濟和軍事安全，要從國家戰(zhàn)略的高度重視信息安全。

“十二五”規(guī)劃綱要已經(jīng)將“加強網(wǎng)絡(luò)與信息安全保障”列為重要內(nèi)容，強調(diào)要“構(gòu)建下一代信息基礎(chǔ)設(shè)施”、“加快經(jīng)濟社會信息化”、“完善信息安全標準體系和認證認可體系”。這是我國在五年規(guī)劃綱要中第一次明確提出信息安全認證的問題。隨著經(jīng)濟社會各領(lǐng)域信息化進程的加快，如何保障信息安全是我們面臨的重大挑戰(zhàn)。

記 者：作為我國信息安全發(fā)展過程的親歷者，您曾經(jīng)向國務(wù)院領(lǐng)導提交了哪些關(guān)于信息安全的參事建議？

郎志正：2005年，在中美信息安全領(lǐng)域第一次大較量后，我向國務(wù)院領(lǐng)導提交了關(guān)于無線局域網(wǎng)安全標準問題的建議。

無線局域網(wǎng)是通過電磁波在大氣中的一定范圍內(nèi)傳播寬帶數(shù)據(jù)的信息技術(shù)，已經(jīng)成為各國建設(shè)下一代寬帶網(wǎng)絡(luò)和數(shù)據(jù)中心的快速、低成本的可行途徑，也是信息產(chǎn)業(yè)發(fā)展戰(zhàn)略重點。2003年我國就信息安全制定了兩個強制性標準。這兩個國家標準都采用我國自主知識產(chǎn)權(quán)的WAPI的技術(shù)，彌補了國際標準中的嚴重安全缺陷，符合我國和國際的發(fā)展方向，但其實施遭到了美國的一再阻撓。這是中美在信息安全領(lǐng)域第一次大的較量，也是我國自主知識產(chǎn)權(quán)在國際上遭到阻攔的一個非常重要的方面。2005年1月，我給國務(wù)院領(lǐng)導提交的“關(guān)于無線局域網(wǎng)安全標準有關(guān)問題的建議”中談到了信息安全的問題，建議從無線局域網(wǎng)安全標準進行突破。

2009年我提交的關(guān)于信息安全有關(guān)問題的建議，分析了信息安全問題的基本情況。這個建議得到了國務(wù)院領(lǐng)導的重視。

記 者：我國信息安全經(jīng)歷了怎樣的發(fā)展過程？

郎志正：我國對信息安全問題十分重視。早在2002年，國務(wù)院信息化工作辦公室就提出要建立國家統(tǒng)一的信息安全產(chǎn)品認證認可體系，并聯(lián)手有關(guān)部門開始致力建立國家統(tǒng)一的信息安全產(chǎn)品認證認可體系。2003年，中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)了《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》（2003年第27號文件），要求推進認證認可工作，規(guī)范和加強信息安全產(chǎn)品測評認證。這是劃時代的一個文件。在兩辦文件的指導下，我國信息安全工作逐漸得到了發(fā)展。

今年“十二五”規(guī)劃綱要首次將“加強網(wǎng)絡(luò)與信息安全保障”作為重要內(nèi)容納入，明確提出要健全網(wǎng)絡(luò)與信息安全法律法規(guī)、完善信息安全標準體系和認證認可體系。這是在歷年的規(guī)劃中，第一次明確提出信息安全認證的問題。

記 者：為什么“十二五”規(guī)劃把信息安全作為重要內(nèi)容納入？

郎志正：安全問題每個國家都非常重視。政治安全、經(jīng)濟安全、軍事安全和信息安全組成了整個國家的安全。信息安全既是國家安全的重要組成部分，又對政治、經(jīng)濟和軍事安全產(chǎn)生著直接影響，可以說今后的政治、經(jīng)濟、軍事都常常取決于信息網(wǎng)絡(luò)的建設(shè)和安全。信息安全關(guān)系到整個國家的安全，要從國家戰(zhàn)略的高度重視信息安全。

美國總統(tǒng)奧巴馬2009年就專門提出了信息安全的問題，將其作為總統(tǒng)的一項重要工作。今年奧巴馬又把網(wǎng)絡(luò)建設(shè)和信息安全作為美國國家戰(zhàn)略。我國“十二五”規(guī)劃綱要首次將“加強網(wǎng)絡(luò)與信息安全保障”作為重要內(nèi)容納入，凸顯出“十二五”期間國家對信息安全的高度重視。但從戰(zhàn)略的角度來說，應(yīng)該把信息安全提到更高的高度來看待，應(yīng)該從國家戰(zhàn)略的高度重視信息安全。

記 者：我國信息安全存在哪些問題？

郎志正：一是我國信息安全管理制度屢遭國外阻撓，信息安全保障體系的自主性和實施效果受到很大影響。二是信息安全及其產(chǎn)業(yè)的管理政策和措施相互之間銜接不夠，系統(tǒng)性不強。因為信息安全涉及到我國的方方面面、各個部門，對密碼管理、等級保護、信息安全產(chǎn)品、產(chǎn)品認證等涉及安全領(lǐng)域的政策法規(guī)還不是很完善。三是集中統(tǒng)一的信息安全產(chǎn)品認證認可制度還未能充分發(fā)揮作用。四是信息安全服務(wù)的市場準入缺乏控制，外資機構(gòu)對我國重要網(wǎng)絡(luò)和信息系統(tǒng)提供服務(wù)帶來嚴重的安全隱患。按當年的數(shù)據(jù)，在近200家通過認證的企業(yè)中，外國認證機構(gòu)認證的占85%，帶來重大的安全隱患。五是無限局域網(wǎng)安全標準有待全面地強制實施。

這是我在2009年參事建議中提到的問題，但是有些問題到現(xiàn)在還沒有完全解決。第一，統(tǒng)一的信息安全認證認可體系作用還沒有充分的發(fā)揮，重復的檢測認證還存在。第二，信息安全認證認可的體系還不夠完整。第三，信息安全認證技術(shù)基礎(chǔ)還比較薄弱，表現(xiàn)在檢測能力不足，人員隊伍素質(zhì)還不夠高，標準規(guī)范還不能完全滿足認證認可的需求。第四，信息安全管理體系市場還不夠規(guī)范，外資企業(yè)的安全風險還存在，需要我們進一步注意。

記 者：信息安全認證認可制度怎樣才能實現(xiàn)真正的統(tǒng)一，從而充分發(fā)揮統(tǒng)一的認證認可體系的作用？

郎志正：信息安全認證不僅是管理體系的認證，它包括了信息安全產(chǎn)品認證、信息安全管理體系認證、信息安全服務(wù)資質(zhì)的認可、信息安全培訓和人員的認可以及信息系統(tǒng)的認證五大部分。

要實現(xiàn)統(tǒng)一的信息安全認證認可制度，要求有四個統(tǒng)一：一是統(tǒng)一標準、技術(shù)規(guī)范和合格評定程序；二是要統(tǒng)一認證的目錄；三是要統(tǒng)一認證的標志；四是要統(tǒng)一收費標準。

經(jīng)過這幾年的努力，在實現(xiàn)四個統(tǒng)一方面，已經(jīng)有很大的發(fā)展。截至今年9月底，通過信息安全體系認證的企業(yè)已達到981家。經(jīng)過兩年的發(fā)展，培養(yǎng)認證人員600多人。近日，國家認監(jiān)委又批準了中國船級社認證公司等認證機構(gòu)從事信息安全管理體系認證，這將加快信息安全認證的發(fā)展速度。

記 者：在“十二五”規(guī)劃中，“完善信息安全標準體系和認證認可體系”有著怎樣的深刻含義？

郎志正：第一個方面，要圍繞國家發(fā)展綱要要求，在信息安全認證的規(guī)模、質(zhì)量、效能上得到全面提高。首先，在國家安全保障體系中的地位要更加明確。信息安全關(guān)系到我們國家的安全，這個要更加明確。第二，業(yè)務(wù)體系要更加完善。要全面覆蓋信息安全的產(chǎn)品，信息安全的管理體系、信息安全服務(wù)機構(gòu)的認證認可、人員的認證認可都需要進一步的提高，使業(yè)務(wù)體系更加完善。第三，應(yīng)用領(lǐng)域應(yīng)該更加寬闊。第四，采信的程度要明顯提高，這點也非常重要。第五，監(jiān)管體制要更加嚴格。第六，信息安全產(chǎn)業(yè)要進一步得到發(fā)展。

第二個方面，要按照認證認可發(fā)展規(guī)劃明確總體要求，進一步全覆蓋。所謂全覆蓋就是產(chǎn)品、管理體系、安全、人員、信息系統(tǒng)五個方面的認證都要很好地全覆蓋?？傊?，“十二五”期間，信息安全認證在數(shù)量上要有大發(fā)展，在質(zhì)量上要得到保證。

記 者：具體到信息安全管理體系認證，“十二五”期間應(yīng)該注意哪些問題？

郎志正：首先要做好重點的基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)的體系認證工作。比如電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)的三網(wǎng)融合包括物聯(lián)網(wǎng)，銀行、證券、鐵路、電信、電網(wǎng)、電力、供水、供電、供氣等影響到國家政治、經(jīng)濟、軍事安全的重要信息系統(tǒng)的體系認證。第二要逐步開拓業(yè)務(wù)的連續(xù)性認證，包括整個供應(yīng)鏈安全管理體系的認證，也就是要發(fā)展更多的系統(tǒng)認證。第三要提高認證人員隊伍的能力，提高認證的有效性，培養(yǎng)高素質(zhì)的審核隊伍。第四要推動信息安全管理體系認證的國際互認，提高認證的采信程度。

記 者：認證機構(gòu)在信息安全管理體系認證過程中應(yīng)該注意哪些方面？

郎志正：首先，要建立培養(yǎng)一支高素質(zhì)的信息安全管理體系認證隊伍。認證機構(gòu)在取得信息安全管理體系認證資質(zhì)后，不能滿足于既有的10個審核員，更重要的是要培養(yǎng)一支素質(zhì)比較高的審核員隊伍。這是實施信息安全管理體系認證的最基本要求，也是做好認證工作的基本條件。

第二，要針對不同性質(zhì)的企業(yè)培養(yǎng)一批專家型的隊伍，培養(yǎng)各行業(yè)的專家共同完成認證任務(wù)。認證人員加上專家，兩者結(jié)合對信息安全進行認證，我認為可能更有效，更能找到企業(yè)安全的薄弱環(huán)節(jié)，從而進一步提高信息安全的水平。

第三，已經(jīng)得到認可的信息安全管理體系認證機構(gòu)，應(yīng)該根據(jù)國家認證對信息安全認證的要求、標準和程序，更好地規(guī)范其認證審核規(guī)范和要求，強化自身的認證工作。

第四，認證機構(gòu)在取得資質(zhì)后，更要注意企業(yè)認證后的實際效果，認證結(jié)果是否得到了采信。

中國船級社認證公司獲得信息安全管理體系認證資質(zhì)，這是非常重要的一件事情。不是所有公司都能做信息安全，只有在技術(shù)水平、管理水平都比較高的機構(gòu)才能獲得這個資質(zhì)。中國船級社就是這樣一個具有較高水平、較高信譽的認證機構(gòu)。希望中國船級社能把信息安全管理體系認證作為認證公司的主要發(fā)展方向之一。