信息安全的国家战略—— 访国务院原参事、我国著名质量和标准化专家郎志正教授

本刊记者 秦 萍

国务院原参事、我国著名质量和标准化专家郎志正教授是我国信息安全发展过程的亲历者，对我国的信息安全有着深入的研究。“信息安全关系到整个国家的安全”，这是郎志正教授在接受记者采访时反复强调的一句话。他表示，信息安全与政治安全、经济安全、军事安全共同构成了国家安全的四大支柱，并且直接影响到政治、经济和军事安全，要从国家战略的高度重视信息安全。

“十二五”规划纲要已经将“加强网络与信息安全保障”列为重要内容，强调要“构建下一代信息基础设施”、“加快经济社会信息化”、“完善信息安全标准体系和认证认可体系”。这是我国在五年规划纲要中第一次明确提出信息安全认证的问题。随着经济社会各领域信息化进程的加快，如何保障信息安全是我们面临的重大挑战。

记 者：作为我国信息安全发展过程的亲历者，您曾经向国务院领导提交了哪些关于信息安全的参事建议？

郎志正：2005年，在中美信息安全领域第一次大较量后，我向国务院领导提交了关于无线局域网安全标准问题的建议。

无线局域网是通过电磁波在大气中的一定范围内传播宽带数据的信息技术，已经成为各国建设下一代宽带网络和数据中心的快速、低成本的可行途径，也是信息产业发展战略重点。2003年我国就信息安全制定了两个强制性标准。这两个国家标准都采用我国自主知识产权的WAPI的技术，弥补了国际标准中的严重安全缺陷，符合我国和国际的发展方向，但其实施遭到了美国的一再阻挠。这是中美在信息安全领域第一次大的较量，也是我国自主知识产权在国际上遭到阻拦的一个非常重要的方面。2005年1月，我给国务院领导提交的“关于无线局域网安全标准有关问题的建议”中谈到了信息安全的问题，建议从无线局域网安全标准进行突破。

2009年我提交的关于信息安全有关问题的建议，分析了信息安全问题的基本情况。这个建议得到了国务院领导的重视。

记 者：我国信息安全经历了怎样的发展过程？

郎志正：我国对信息安全问题十分重视。早在2002年，国务院信息化工作办公室就提出要建立国家统一的信息安全产品认证认可体系，并联手有关部门开始致力建立国家统一的信息安全产品认证认可体系。2003年，中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》（2003年第27号文件），要求推进认证认可工作，规范和加强信息安全产品测评认证。这是划时代的一个文件。在两办文件的指导下，我国信息安全工作逐渐得到了发展。

今年“十二五”规划纲要首次将“加强网络与信息安全保障”作为重要内容纳入，明确提出要健全网络与信息安全法律法规、完善信息安全标准体系和认证认可体系。这是在历年的规划中，第一次明确提出信息安全认证的问题。

记 者：为什么“十二五”规划把信息安全作为重要内容纳入？

郎志正：安全问题每个国家都非常重视。政治安全、经济安全、军事安全和信息安全组成了整个国家的安全。信息安全既是国家安全的重要组成部分，又对政治、经济和军事安全产生着直接影响，可以说今后的政治、经济、军事都常常取决于信息网络的建设和安全。信息安全关系到整个国家的安全，要从国家战略的高度重视信息安全。

美国总统奥巴马2009年就专门提出了信息安全的问题，将其作为总统的一项重要工作。今年奥巴马又把网络建设和信息安全作为美国国家战略。我国“十二五”规划纲要首次将“加强网络与信息安全保障”作为重要内容纳入，凸显出“十二五”期间国家对信息安全的高度重视。但从战略的角度来说，应该把信息安全提到更高的高度来看待，应该从国家战略的高度重视信息安全。

记 者：我国信息安全存在哪些问题？

郎志正：一是我国信息安全管理制度屡遭国外阻挠，信息安全保障体系的自主性和实施效果受到很大影响。二是信息安全及其产业的管理政策和措施相互之间衔接不够，系统性不强。因为信息安全涉及到我国的方方面面、各个部门，对密码管理、等级保护、信息安全产品、产品认证等涉及安全领域的政策法规还不是很完善。三是集中统一的信息安全产品认证认可制度还未能充分发挥作用。四是信息安全服务的市场准入缺乏控制，外资机构对我国重要网络和信息系统提供服务带来严重的安全隐患。按当年的数据，在近200家通过认证的企业中，外国认证机构认证的占85%，带来重大的安全隐患。五是无限局域网安全标准有待全面地强制实施。

这是我在2009年参事建议中提到的问题，但是有些问题到现在还没有完全解决。第一，统一的信息安全认证认可体系作用还没有充分的发挥，重复的检测认证还存在。第二，信息安全认证认可的体系还不够完整。第三，信息安全认证技术基础还比较薄弱，表现在检测能力不足，人员队伍素质还不够高，标准规范还不能完全满足认证认可的需求。第四，信息安全管理体系市场还不够规范，外资企业的安全风险还存在，需要我们进一步注意。

记 者：信息安全认证认可制度怎样才能实现真正的统一，从而充分发挥统一的认证认可体系的作用？

郎志正：信息安全认证不仅是管理体系的认证，它包括了信息安全产品认证、信息安全管理体系认证、信息安全服务资质的认可、信息安全培训和人员的认可以及信息系统的认证五大部分。

要实现统一的信息安全认证认可制度，要求有四个统一：一是统一标准、技术规范和合格评定程序；二是要统一认证的目录；三是要统一认证的标志；四是要统一收费标准。

经过这几年的努力，在实现四个统一方面，已经有很大的发展。截至今年9月底，通过信息安全体系认证的企业已达到981家。经过两年的发展，培养认证人员600多人。近日，国家认监委又批准了中国船级社认证公司等认证机构从事信息安全管理体系认证，这将加快信息安全认证的发展速度。

记 者：在“十二五”规划中，“完善信息安全标准体系和认证认可体系”有着怎样的深刻含义？

郎志正：第一个方面，要围绕国家发展纲要要求，在信息安全认证的规模、质量、效能上得到全面提高。首先，在国家安全保障体系中的地位要更加明确。信息安全关系到我们国家的安全，这个要更加明确。第二，业务体系要更加完善。要全面覆盖信息安全的产品，信息安全的管理体系、信息安全服务机构的认证认可、人员的认证认可都需要进一步的提高，使业务体系更加完善。第三，应用领域应该更加宽阔。第四，采信的程度要明显提高，这点也非常重要。第五，监管体制要更加严格。第六，信息安全产业要进一步得到发展。

第二个方面，要按照认证认可发展规划明确总体要求，进一步全覆盖。所谓全覆盖就是产品、管理体系、安全、人员、信息系统五个方面的认证都要很好地全覆盖。总之，“十二五”期间，信息安全认证在数量上要有大发展，在质量上要得到保证。

记 者：具体到信息安全管理体系认证，“十二五”期间应该注意哪些问题？

郎志正：首先要做好重点的基础信息网络、重要信息系统的体系认证工作。比如电信网、广播电视网、互联网的三网融合包括物联网，银行、证券、铁路、电信、电网、电力、供水、供电、供气等影响到国家政治、经济、军事安全的重要信息系统的体系认证。第二要逐步开拓业务的连续性认证，包括整个供应链安全管理体系的认证，也就是要发展更多的系统认证。第三要提高认证人员队伍的能力，提高认证的有效性，培养高素质的审核队伍。第四要推动信息安全管理体系认证的国际互认，提高认证的采信程度。

记 者：认证机构在信息安全管理体系认证过程中应该注意哪些方面？

郎志正：首先，要建立培养一支高素质的信息安全管理体系认证队伍。认证机构在取得信息安全管理体系认证资质后，不能满足于既有的10个审核员，更重要的是要培养一支素质比较高的审核员队伍。这是实施信息安全管理体系认证的最基本要求，也是做好认证工作的基本条件。

第二，要针对不同性质的企业培养一批专家型的队伍，培养各行业的专家共同完成认证任务。认证人员加上专家，两者结合对信息安全进行认证，我认为可能更有效，更能找到企业安全的薄弱环节，从而进一步提高信息安全的水平。

第三，已经得到认可的信息安全管理体系认证机构，应该根据国家认证对信息安全认证的要求、标准和程序，更好地规范其认证审核规范和要求，强化自身的认证工作。

第四，认证机构在取得资质后，更要注意企业认证后的实际效果，认证结果是否得到了采信。

中国船级社认证公司获得信息安全管理体系认证资质，这是非常重要的一件事情。不是所有公司都能做信息安全，只有在技术水平、管理水平都比较高的机构才能获得这个资质。中国船级社就是这样一个具有较高水平、较高信誉的认证机构。希望中国船级社能把信息安全管理体系认证作为认证公司的主要发展方向之一。