高晓文 余欢
(中国网络安全审查技术与认证中心 北京 100020)
检测认证体系,在其发展的历程上已经存在了一百多年,目前,检测认证体系在全球的八十余个国家得到了广泛应用。我国的检测认证体系起源于1980 年左右,直至目前已建立了较为健全的规章制度和配套的相关管理标准框架[1]。检测认证服务逐渐成为各个国家规范产品质量和提升技术含量的有力措施,日益受到各界的肯定与青睐[2]。
检测认证是现代质量认证体系的主要业务。检测认证的本质,是通过中立的权威和科学规范、公平公正的证据,为使用者提供客观、进步的标准。检测认证的过程是依据国家、行业以及其他认证机构确认的技术规范,从产品中抽取部分样本进行检测,检查认证对象的产品质量情况,对产品进行检测和认证,并在之后实施有周期性的复查[3]。实质上,作为政府授权的具有技术测试和认证能力的权威机构,科学公正的检测活动是按照严格的程序进行的。检测认证一般以授予认可证书或者认证标志为主要表示方法。
我国相关部门在信息安全的检测认证领域的工作持续开展中。近20年来,我国的检测认证快速发展得益于吸取了其他国家的测评认证经验,在此基础上取其精华去其糟粕,初步构建完善了信息安全检测认证体系及实施体系[4]。最早有关信息安全检测的规章制度是在1997年发布的,在同年2月,公安部公布了有关信息安全产品的检验和许可标准,未进入市场的产品必须通过一系列检验和认证,然后再申请计算机安全专用产品许可证方可在市场流通。在1998 年7 月,公安部成立了计算机信息系统安全产品质量监督检查中心,并经国家技术监督局和公安部的批准,正式成为国家法定机构,负责检测国内计算机信息系统安全产品及相关进口产品的质量。1998 年10 月我国成立了国家信息安全测评认证中心,其前身是“中国互联网安全产品测评认证中心”。国家信息安全测评认证中心是一个根据与国家信息安全管理相关的法律法规和配套政策对信息安全产品和服务进行审查和认证的组织。1999 年2 月,国家质量技术监督局批准成立中国国家信息安全测评认证委员会,同时发布了国家首批证书目录、信息产品安全测评认证管理办法和国家信息安全认证标志。2006 年11 月,在中央编制委的指导下,成立了中华人民共和国国家网络安全审查技术与认证中心(CCRC,原信息安全认证中心),是国家市场监督管理机构,按照《国家网络安全法》以及国家强制性产品认证、有关网络安全监督管理方面的法律法规,进行国家网络安全审核技术与认定工作的专门机构。
香港的检测认证服务从20 世纪80 年代开始如雨后春笋般发展。2016 年已经有了770 多家机构,其中大部分是拥有约18 000名员工的私营实验室。香港的测评认证具有巨大的开发潜力,被公认为是未来的朝阳产业。2009年9月,香港检测和认证局正式成立,其主要目的是增强香港检测认证服务的专业性,提高国际认可度,就行业总体发展战略向政府提供建议。成员包括业界从业员,以及商界专业团体、相关公营机构和政府部门的代表。创新科技署为该局提供支持。
在澳门,从事信息安全认证的机构并没有在内地的“全国认证认可信息公共服务平台”登记。中国检验认证集团澳门有限公司是在澳门从事信息安全认证业务的机构。该公司是经对外贸易经济合作部和国务院港澳事务办事处批准,由国家认监委直接管理的在澳机构,同时也是国家质监检疫总局授权开展检验检疫工作的唯一机构。2019年11月20日,澳门特别行政区代表和商务部代表签订了《关于修订〈CEPA 服务贸易协议〉的协议》,自签署之日起生效,于2020年6月1日起正式实施,对《〈内地与澳门关于建立更紧密经贸关系的安排〉服务贸易协议》的部分内容进行修订,在协议附件中明确了允许经澳门检测机构与内地认证机构合作,在广东自由贸易试验区试行粤港澳认证及相关检测业务互认制度,实行“一次认证、一次检测、三地通行”。
粤、港、澳三地拥有信息安全认证资质的企事业单位共有16 家,其中,具有信息安全管理体系认证资质的,广州地区有3 家、深圳地区有9 家。中国网络安全审查技术与认证中心(CCRC,原中国信息安全认证中心)处于信息安全认证行业的龙头地位。香港品质保证局一直是香港认证行业的领导者之一。澳门的代表企业是中国检验认证集团澳门有限公司。
首先,我国高度重视网络信息安全检测认证工作。信息安全和国家安全关系密切,应当给予格外关注[5]。在信息网络安全协调会议上强调,要建设好信息安全测评认证中心。2019 年全国网络安全和信息化工作会议上,习近平总书记就实现网络强国的目标提出,要培养科学的网络安全观念,落实信息基础架构的网络安全防护建设,完善网络安全信息协调机制,发展网络安全维护手段,构建信息安全平台,提高网络安全事件应急指挥能力,大力开发网络安全产业。
其次,重点产业新领域业务的发展,对信息系统安全服务的提供者的服务能力提出了更高的要求。网络5G、物联网、工业控制系统、智能制造、区块链、汽车产品和智慧城市等的建设和发展,对信息安全有更高要求。通过大湾区信息案例检测认证服务平台,强化粤港澳三地合作,发挥各自区域特色,深化重点领域检测认证合作互认工作机制的探索和实践。
最后,大湾区的发展需要一个全新的开放平台。通过大湾区信息案例检测认证服务平台,结合在大湾区下工作机制体制创新优势,从而增强区域统筹力度,进一步完善检验检测产业链,提升区域影响力和辐射力,合力打造粤港澳大湾区检验检测认证品牌;信息安全检测认证助力智联网安全。
面向加强对粤港澳大湾区信息安全检测认证业务的发展要求,着眼于建立一个借力大湾区的信息安全检测认证资讯公共服务Web 平台,从公共服务的角度来看,它为大湾区及周边地区提供较全面和及时的信息安全服务,搭建检测认证机构相关信息的咨询平台,帮助大湾区企业和个人用户及时寻找到合适的机构,解决遇到的信息安全技术难题,以专业的力量应对信息安全风险,推动大湾区信息安全检测认证管理业务的发展和彰显网安中心社会责任,具体如图1所示。
图1 大湾区信息安全检测认证服务平台展示
平台整体采用主流前后端分离的微服务架构,在应用技术方面,系统整体构建在JAVA虚拟机上,支持跨平台部署,能在WINDOWS 及LINUX 操作系统上运行,底层数据库采用mysql 关系型数据库及nosql 缓存数据库redis,通过构建各种微服务后端接口供前端业务界面调用;在业务层方面,通过构建4种不同场景角色的平台入口来分别进行管理,具体有:(1)公众前台,主要有各类服务展示、机构展示、服务/机构检索、登录注册等;(2)个人控制台,主要供个人登录后对个人信息进行维护,以及进行求助信息的发布管理;(3)机构/企业控制台,主要供机构/企业登录审核通过后,对机构信息如营业执照、资质等,以及检测服务进行录入编辑查询管理,通过对信息提供未提交、审核中、已审核、已退回的不同状态下进行审核管理与发布;(4)系统管理控制台,主要供系统管理、运营管理人员进行企业机构信息的审核,包括用户、角色、部门、机构、权限等管理。同时也为更好运维管理提供了消息提醒、导航菜单配置管理、系统数据字典、配置管理、详细的日志记录等,具体如图2、图3所示。
图2 整体架构
图3 特色检测录入界面展示图
(1)为了使平台具有较强的扩展性,适应变化,平台设计实现上主要包括如下特点:采用ant design,vue与spring boot 主流先进技术与组件,构建前后端分离、微服务、响应式设计、个性化换肤等高体验。(2)为了提高性能体验,对常用数据如用户信息等采用了缓存技术以应对高并发访问。(3)细粒度,可扩展的权限体系,支持机构、角色、个人用户权限配置,同时运营管理员能对企业提交的各类数据进行审核,具体如图4、图5所示。(4)为了应对检测认证服务不断变化的需要,在服务分类方面支持无限级别分类自定义维护,包括常用属性的字典维护,方便业务扩展。(5)前台按多种维度进行机构的组合过滤与检索展示,如按检测分类、单位性质、单位类别等,方便用户查看及检索信息。(6)为了方便用户查找检测机构,支持服务地图查找展示,如图6 所示。(7)采用的前端技术能兼容主流浏览器,如IE11 及Chrome、360 等主流浏览器。(8)系统设计预留了核心业务的接口授权访问,以供未来移动端扩展以及第三方系统对接调用。
图4 资质证书审批状态展示图
图5 检测管理审批状态展示图
图6 检测服务地图查找展示图
(1)推广应用大湾区信息安全检测认证服务平台,建立运营运维团队,规范服务流程,扩大使用覆盖,增强影响力。要充分满足用户信息案例,检测认证服务信息查询和检索需求,除了检索模式的革新,关键还要解决检索内容的全面、准确、有效[6]。因此,大湾区信息安全检测认证服务平台的推广应用,不仅要以平台设计为核心,更重要的是一个合格的“内容供应商”,因此,需要进一步完善系统平台功能,增加各类资讯发布、优化检索体验等,为打造粤港澳大湾区检验检测认证品牌提供强有力的核心技术保障。
(2)为满足当前经济社会发展对信息安全检测认证工作提出的新需求,还应整合信息安全检测认证资源,探索信息安全检测认证服务新模式,协同各省地方进行信息内容的共享,在大湾区,甚至全国,信息安全检测认证资源共享网络平台,向社会提供信息安全检测认证服务。