近日,记者从国家信息中心了解到,国家信息中心软件评测中心与北京瑞星技术有限公司合作建立的“国信—瑞星软件安全评测实验室”正式挂牌,该实验室将汇聚双方的资源和技术优势,为各级政府、企事业单位和社会各界提供专业化的安全检测服务。
(图片说明:实验室一角)
根据相关统计,2009年我国境内被木马病毒和黑客后门控制的主机IP数量为109.9万个,被黑客入侵篡改网站数量达4.2万个,其中政府网站(gov.cn)被篡改数量累计达2765个,当中不乏省部级政府部门网站。出现这些情况的重要原因,是因为目前的很多信息安全尖端产品,其底层核心技术主要掌握在外国公司手中,我们在此基础上开发的软件和信息系统如果没有经过国家相关部门的评测和审查,必然存在严重的信息安全隐患。
国家信息中心专家委员会副主任宁家骏表示,目前我国的信息技术水平与发达国家相比还存在一定差距,尤其在通用CPU、操作系统、数据库管理系统等基础技术和高端计算机、海量存储设备等方面,存在缺乏自主知识产权、技术相对落后、产品主要依赖国外进口等弊端。一方面这些技术和产品的引进和二次开发常常受到国外公司的制约,另一方面基于国外产品所开发的应用系统,其安全性可能存在漏洞和后门,从而给信息系统的稳定运行带来严重隐患。为了彻底杜绝这些风险,及时对各级政府、企事业单位的门户网站和信息化建设中所使用的软件产品进行严格的安全评测是十分必要的。
“国信—瑞星软件安全评测实验室”的成立,标志着我国最重要的信息机构和国内著名安全企业强强联手,整合资源,汇聚业界专家,形成共同为国家重要信息系统特别是软件进行专业化信息安全服务的一支专业化队伍,应该说这是一次有益的创新和尝试。据了解,实验室除了对各级政府使用的软件、信息安全产品等进行安全性测试之外,同时还接受企业和公民提出的委托评测申请。
为了确保国家信息安全,扎实做好基础工作,包括针对软件、网站及手机等移动设备做安全性检测,在欧美发达国家已经实行多年,并已取得了良好的应用效果。此次国家信息中心与瑞星公司的合作,可以预期将有效提升我国信息安全核心竞争力,增强政府网站、企事业网站和广大公民应对网络攻击的防御能力。实验室将根据国家法规和相关标准规范,主要对以下三个具体领域做重点评测:
第一、信息安全产品评测。对各类安全软件、管理信息系统、数据库系统等产品的安全性进行检测,对各级政府、企事业单位组织购买和委托开发的各种信息安全产品,进行源代码安全风险评估、信息安全产品分级评估。
第二、网站整体安全评测。依据我国国家标准、等(分)级保护规定,同时参照CC通用评估准则、安全等级保护测评准则、ISO/IEC 17799/27001等标准,对网站系统进行安全评测,生成安全风险报告书和安全解决建议书,并指导网站安全维护人员解决安全隐患问题。
第三、手机软、硬件安全评测。手机安全问题越来越受到社会各界的广泛关注。实验室将利用双方专家联手开发的检测工具,对手机系统及其承载的软件进行安全性检测,查找泄露隐私的漏洞或被非法软件捆绑导致无故扣费的安全风险。
国家信息中心和瑞星公司多年来聚集了一大批安全领域的技术专家,通过联合创建软件安全评测实验室的平台,将有助于双方形成合力,为国家、为社会奉献自己的专业知识和技能,为我国信息安全保障水平的提升做出新的贡献。