銀杏樹的金光灑滿京都 

    那明黃的火焰啊 

　　 點亮了一條路…… 

　　 這是一條保障國家信息安全的必經(jīng)之路……” 

　　 隨著信息技術(shù)在我國經(jīng)濟社會發(fā)展中的廣泛應(yīng)用，信息安全已經(jīng)成為涉及國家安全、經(jīng)濟安全和社會穩(wěn)定的重大戰(zhàn)略問題。2006年11月17日，中國信息安全認(rèn)證中心（ISCCC）在北京隆重成立。 

　 “來之不易，輕視不得”——國家質(zhì)檢總局局長支樹平曾用8個字概括這一“信息安全保障新銳”的組建歷程及信息安全認(rèn)證工作的重要性。 

　　“來之不易”——組建信息安全認(rèn)證機構(gòu)涉及眾多相關(guān)部門，這中間既有統(tǒng)一認(rèn)識的過程，也有管理格局調(diào)整的過程，從醞釀到成立歷時5年。 

　　“輕視不得”——信息安全認(rèn)證是保障信息安全的基礎(chǔ)性工作，特別是在我國信息技術(shù)與產(chǎn)業(yè)核心競爭力還不強，關(guān)鍵技術(shù)、關(guān)鍵設(shè)備還受制于人的情況下，信息安全認(rèn)證工作在維護整個國家信息安全的鏈條中處于舉足輕重的地位。 

　　 肩負(fù)使命以誕生，懷抱志向而成長。十年來，中國信息安全認(rèn)證中心順應(yīng)我國信息安全保障科學(xué)化、規(guī)范化、制度化之迫切需要，以保障國家信息安全為己任，以打造一流的信息安全認(rèn)證機構(gòu)為目標(biāo)，從零起步，砥礪前行，奏響了一曲勇?lián)畔踩l(wèi)士的激揚樂章，展示了奮力追逐信息認(rèn)證強國夢的精彩歷程。 

　　 十年筑夢，這是我國統(tǒng)一的信息安全認(rèn)證體系從起步到成熟的關(guān)鍵十年。 

　　讓制度“立起來” 

　　隨著信息時代的到來，網(wǎng)絡(luò)信息技術(shù)成為全球研發(fā)投入最集中、創(chuàng)新最活躍、應(yīng)用最廣泛、輻射帶動作用最大的技術(shù)創(chuàng)新領(lǐng)域和競爭高地，代表著新的生產(chǎn)力和新的發(fā)展方向。 

　   但是，從維金蠕蟲泛濫引發(fā)企業(yè)用戶網(wǎng)絡(luò)癱瘓，到熊貓燒香導(dǎo)致病毒狂潮，從大規(guī)模信息泄露，到棱鏡門計劃曝光……近年來，層出不窮的安全事件以及云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等新技術(shù)新應(yīng)用帶來的安全問題，給國家網(wǎng)絡(luò)安全帶來威脅，成為困擾和限制行業(yè)、產(chǎn)業(yè)發(fā)展的屏障，同時也成為信息安全認(rèn)證發(fā)展的直接現(xiàn)實需求。 

　　建立完善的信息安全認(rèn)證認(rèn)可體系，是進(jìn)入信息化時代后主權(quán)國家捍衛(wèi)自身安全的重要屏障，也是維護自身利益的主要手段。美國從上世紀(jì)80年代就開始了信息安全評估標(biāo)準(zhǔn)制定工作，經(jīng)過30多年的實踐，已形成一套比較完整的信息安全檢測與認(rèn)證體系。英國、德國、法國等國隨后也建立起了各自的國家信息安全檢測與認(rèn)證體系。從國際實踐看，推行信息安全產(chǎn)品認(rèn)證及管理服務(wù)認(rèn)證無疑是保障信息安全普遍和可行的做法。 

　   反觀我國，“十五”期間有關(guān)部門雖然分別實施了一些與信息安全有關(guān)的評價制度，取得了一些積極的成效。但由于這些評價制度存在多重管理和標(biāo)準(zhǔn)不一致等問題，影響了我國信息安全產(chǎn)業(yè)的健康與快速發(fā)展，產(chǎn)業(yè)界對此反映強烈，呼吁建立統(tǒng)一的評價制度。 

　   2006年11月17日，中國信息安全認(rèn)證中心在北京組建，這標(biāo)志著我國統(tǒng)一的信息安全認(rèn)證認(rèn)可體系邁出了實質(zhì)步伐。但啟動建立統(tǒng)一的信息安全產(chǎn)品認(rèn)證制度談何容易。從國內(nèi)環(huán)境看，既需要整合評價制度又需要調(diào)整管理方式，而且社會上普遍對信息安全認(rèn)證的認(rèn)識不足。從國際環(huán)境看，一些國家為保持他們在IT領(lǐng)域的領(lǐng)先地位不受任何威脅，從產(chǎn)業(yè)、貿(mào)易等層面表達(dá)了對我方的強烈關(guān)注和質(zhì)疑。制度建立和推行一開始就遭遇了很大的阻力。 

　　挑戰(zhàn)更檢驗強者的成色。為了推動這項制度的建立，信安中心從成立伊始便開始了艱苦的攻堅?！鞍准雍?，5+2”成了信安人對那段時間最深刻的記憶——記者在中心采訪時不止一個人提到了這個場景。信安中心堅定道路自信、理論自信、制度自信，堅持統(tǒng)籌規(guī)劃，在2008年至2009年間組織起草了百萬字的技術(shù)文件；上下奔走，與相關(guān)部委進(jìn)行了緊密溝通；配合認(rèn)監(jiān)委與外方進(jìn)行了數(shù)十次會談、視頻對話及郵件溝通。在國務(wù)院領(lǐng)導(dǎo)的關(guān)心和協(xié)調(diào)下，在國家質(zhì)檢總局、國家認(rèn)監(jiān)委的不懈推動下，信息安全產(chǎn)品認(rèn)證制度幾經(jīng)反復(fù)，終于發(fā)布實施，為保障我國信息安全又筑起了一道堅實的制度屏障。截止目前，國家信息安全產(chǎn)品認(rèn)證證書頒證量達(dá)已突破1000張大關(guān)，一舉進(jìn)入世界前列，成為信息安全產(chǎn)品認(rèn)證大國。 

　　十年來，從積極爭取承擔(dān)政策研究和制度設(shè)計工作，到積極推動中歐、中俄雙邊信息安全互認(rèn)機制的建立，再到多次通過參事提案、政協(xié)提案、院士提議等多種渠道為信息安全認(rèn)證建言獻(xiàn)策……信安中心克服重重困難，全力支撐國家質(zhì)檢總局和國家認(rèn)監(jiān)委落實中央和國務(wù)院的要求，配合相關(guān)部委推動國家信息安全產(chǎn)品認(rèn)證制度在政府采購領(lǐng)域的強制實施，實現(xiàn)了“發(fā)揮作用、規(guī)范服務(wù)、嚴(yán)格把關(guān)、降低收費”的制度目標(biāo)，使信息安全認(rèn)證認(rèn)可在國家網(wǎng)絡(luò)安全保障工作中占據(jù)重要位置。 

　　“經(jīng)過這十年發(fā)展，算是真正‘立起來了’，最根本的一點是，國家統(tǒng)一的信息安全認(rèn)證制度立住腳了。”信安中心主任魏昊在接受采訪時欣慰地說。 

　　建立健全認(rèn)證體系

　　信息安全保障涉及多個環(huán)節(jié)，不僅僅是國家信息安全產(chǎn)品的采購準(zhǔn)入，而且還有管理環(huán)節(jié)的信息安全管理體系認(rèn)證、資質(zhì)審查環(huán)節(jié)的信息安全服務(wù)認(rèn)證、人員能力評價環(huán)節(jié)的信息安全保障人員認(rèn)證。針對國家和社會需求，信安中心在推動國家信息安全產(chǎn)品認(rèn)證的同時，以滿足國家網(wǎng)絡(luò)安全重大需求、順應(yīng)社會需要為導(dǎo)向，既遵循國際通行規(guī)則，又兼顧網(wǎng)絡(luò)安全領(lǐng)域的特殊敏感性，創(chuàng)新建立了產(chǎn)品認(rèn)證、體系認(rèn)證、服務(wù)認(rèn)證、人員認(rèn)證“四大業(yè)務(wù)”體系，涵蓋了網(wǎng)絡(luò)安全認(rèn)證服務(wù)的所有門類。 

　　有個日子至今讓信安人記憶猶新。2007年11月1日，一個寒冷的冬日。體系認(rèn)證處工程師景育明只身南下赴深圳，去參加在那里舉辦的深圳證券交易所信息安全管理體系認(rèn)證項目競標(biāo)。他的行程牽動了中心全體員工的心，因為此行他將代表信安中心在招標(biāo)會上與外資認(rèn)證機構(gòu)同臺競爭，這是對信安中心實力的一次公開的檢驗！一天后消息傳來：中國信息安全認(rèn)證中心中標(biāo)！員工們歡呼雀躍，慶祝來之不易的勝利。 

　　而今，中心體系認(rèn)證客戶已覆蓋銀行、郵政、證券、電信、資產(chǎn)管理、計算機服務(wù)、軟件、電力、熱力生產(chǎn)和供應(yīng)、信息傳輸服務(wù)等十大重要領(lǐng)域，頒發(fā)證書近600張，在國家重要信息基礎(chǔ)設(shè)施中的占有量更達(dá)到85%以上，大大減少了由于境外認(rèn)證引入的安全風(fēng)險，塑造了權(quán)威認(rèn)證品牌。 

　　從2008年開始，信安中心針對社會需求，按照分級分類原則，啟動了服務(wù)資質(zhì)認(rèn)證。這既是業(yè)務(wù)創(chuàng)新，也是制度創(chuàng)新。依據(jù)國內(nèi)現(xiàn)有信息安全標(biāo)準(zhǔn)或行業(yè)技術(shù)規(guī)范，中心從完善技術(shù)文件著手，率先開展了應(yīng)急處理服務(wù)資質(zhì)認(rèn)證。2008年7月8日，中心為北京啟明星辰信息安全技術(shù)有限公司等企業(yè)頒發(fā)信息安全應(yīng)急處理服務(wù)資質(zhì)認(rèn)證證書，滿足了啟明星辰等公司進(jìn)入北京奧運會提供網(wǎng)絡(luò)安全服務(wù)的資質(zhì)要求。目前信息安全服務(wù)資質(zhì)認(rèn)證已擴展到風(fēng)險評估、災(zāi)難備份、安全集成、軟件開發(fā)、安全運維等領(lǐng)域，頒發(fā)證書近700張，塑造了權(quán)威服務(wù)認(rèn)證品牌，并成為政府機構(gòu)及企業(yè)采購招標(biāo)的重要條件。 

　　信息安全從業(yè)人員的信息安全意識和專業(yè)技能是決定信息安全防護水平的關(guān)鍵因素，對此西方國家都建立了信息安全人員認(rèn)證制度，并不遺余力推動。在我國，由于國家政策要求和各機構(gòu)加強自身安全保障的雙重驅(qū)動，這一需求尤其強烈。信安中心急企業(yè)之所急，創(chuàng)新開展了信息安全保障人員認(rèn)證，目前已涵蓋安全集成、安全管理、風(fēng)險管理、安全運維、軟件安全開發(fā)、電子政務(wù)安全、CA認(rèn)證等16個專業(yè)方向，頒發(fā)證書5000余張，較好地滿足了社會需求，為我國信息安全保障事業(yè)的發(fā)展交上了一份滿意的答卷。 

　　             補齊信息安全檢測短板 

　　信息安全認(rèn)證高度依賴檢測技術(shù)，加強信息安全技術(shù)研發(fā)，著力提高核心競爭力是信息安全認(rèn)證中心主動開辟的又一戰(zhàn)場。 

　　與國外相比，國內(nèi)檢測技術(shù)方面的短板還是比較明顯的。具體表現(xiàn)為“三缺”：一是對某些關(guān)鍵產(chǎn)品和服務(wù)，因缺少基于度量理論的評價指標(biāo)體系和標(biāo)準(zhǔn)，或缺少檢測所需的技術(shù)和方法等，存在“評價不了”的問題；二是因缺乏一致性溯源，檢測結(jié)果不確定度未知，存在“評價不準(zhǔn)”的問題；三是因缺乏對關(guān)鍵產(chǎn)品和服務(wù)整體質(zhì)量風(fēng)險的監(jiān)測技術(shù)手段，難以評估認(rèn)證有效性，存在“評價效果不明”的問題。同時由于信息安全的敏感性，檢測技術(shù)的國際交流十分困難，沒有現(xiàn)成的經(jīng)驗可以借鑒。信安中心緊密跟蹤國內(nèi)外最新政策和技術(shù)發(fā)展動態(tài)，堅持自主創(chuàng)新并持續(xù)發(fā)力，籌建了國家信息安全基準(zhǔn)實驗室和國家信息安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心，于2015年正式獲批，其能力建設(shè)水平被專家評定為“國際先進(jìn)、國內(nèi)領(lǐng)先”?；鶞?zhǔn)實驗室、國家質(zhì)檢中心的建成及投入使用，填補了國內(nèi)外信息安全檢測領(lǐng)域結(jié)果質(zhì)量控制、溯源體系的空白。2015年質(zhì)檢中心首次承擔(dān)了網(wǎng)閘產(chǎn)品的質(zhì)量監(jiān)督抽查工作，2016年又首次承擔(dān)了無線路由器、移動支付終端（軟件）2種重點工業(yè)產(chǎn)品信息安全風(fēng)險監(jiān)測任務(wù)，首次將國家產(chǎn)品質(zhì)量監(jiān)督手段引入到了網(wǎng)絡(luò)安全領(lǐng)域，進(jìn)一步強化了質(zhì)檢對國家網(wǎng)絡(luò)安全保障的支撐作用。 

　　十年間，信安中心申請并承擔(dān)了國家863計劃、“十二五”科技支撐計劃、國家發(fā)改委信息安全專項等24項重大課題，產(chǎn)出了一批重要成果，制定發(fā)布了29項國家、行業(yè)標(biāo)準(zhǔn)， 獲得軟件著作權(quán)9項；持續(xù)開展基準(zhǔn)樣機、檢測工具、基準(zhǔn)庫指標(biāo)管理系統(tǒng)、基準(zhǔn)檢測方法等技術(shù)研究，不斷完善和提升技術(shù)實力，檢測能力覆蓋率超過85%，為國家信息安全保障工作提供了強有力支撐。 

　　十年間，信安中心不斷強化自身建設(shè)，設(shè)立了7個分支機構(gòu)，建立了一支專業(yè)化人才隊伍；建立起了一體化、全覆蓋的質(zhì)量管理體系、行之有效的戰(zhàn)略性績效管理制度、客戶服務(wù)體系和營銷體系；扎實推進(jìn)黨建工作和黨風(fēng)廉政建設(shè)，在質(zhì)檢總局直屬單位中率先建立了廉政風(fēng)險防控管理體系，率先發(fā)布了《風(fēng)險管理程序》，推進(jìn)了廉政風(fēng)險防控與質(zhì)量管理體系的融合。中心連續(xù)獲得并保持“國家機關(guān)文明單位”稱號，中心黨委多次獲評國家質(zhì)檢總局和國家認(rèn)監(jiān)委先進(jìn)基層黨組織。 

　　當(dāng)前，網(wǎng)絡(luò)安全成為熱點話題，政府關(guān)注，企業(yè)重視，群眾關(guān)心。而“十三五”期間，信息安全認(rèn)證對象、認(rèn)證模式、檢測認(rèn)證手段等都將面臨著變革和發(fā)展的嚴(yán)峻考驗。 

　　11月7日，我國發(fā)布了《網(wǎng)絡(luò)安全法》，從法律層面進(jìn)一步的明確了檢測認(rèn)證工作在網(wǎng)絡(luò)安全領(lǐng)域的重要作用，這對信息安全認(rèn)證的推廣和采信將帶來前所未有的機遇，也將帶來新的發(fā)展動力。 

　　   “來吧，讓我們踏上圓夢之路； 

　　    共同建設(shè)一個， 

　　    信息安全的中國， 

　　    質(zhì)量過硬的中國， 

　　    誠信和諧的中國， 

　　    美麗富強的中國！” 

　　——在質(zhì)檢總局“放飛中國夢，詩話質(zhì)檢情”詩歌朗誦會上，信安人曾這樣抒發(fā)他們的情懷。而今隨著《網(wǎng)絡(luò)安全法》的發(fā)布，這份信心與決心將更加堅定，步履也將更加鏗鏘有力。 

　　“下一步，我們將圍繞網(wǎng)絡(luò)強國、質(zhì)量強國、互聯(lián)網(wǎng)+等國家戰(zhàn)略，著眼國家和社會的網(wǎng)絡(luò)安全實際需要，以全面提高信息安全保障服務(wù)能力為中心，以改革和創(chuàng)新為動力，堅持‘抓質(zhì)量，保安全、促發(fā)展、強質(zhì)檢’工作方針，在供給和需求兩端發(fā)力，一方面加強信息安全認(rèn)證供給側(cè)改革，不斷優(yōu)化認(rèn)證制度供給、不斷完善認(rèn)證業(yè)務(wù)體系，不斷提高認(rèn)證服務(wù)質(zhì)量；另一方面引導(dǎo)和滿足市場對認(rèn)證服務(wù)的需求，提高信息安全認(rèn)證的質(zhì)量和有效性，努力使認(rèn)證認(rèn)可制度成為落實國家網(wǎng)絡(luò)空間安全戰(zhàn)略的重要手段，為保障國家安全、促進(jìn)產(chǎn)業(yè)發(fā)展發(fā)揮重要作用?！蔽宏恢魅诬P躇滿志地表達(dá)了對未來的期許。