![](https://csdnimg.cn/release/download_crawler_static/86926104/bg1.jpg)
90 年代中期以来,随着信息技术突飞猛进的发展,特别是 Internet 的迅猛发展和美国政府率先推动
的建设全球信息高速公路,使各国的信息化进程急剧加快。我国的信息化热潮也随之日益高涨,有关电子
政务、电子商务乃至电子军务的讨论日益热烈。信息技术和网络空间,给社会的经济、科技、文化、教育
和管理的各个方面都注入了新的活力。人们在享受信息化带来的众多好处的同时,也面临着日益突出的信
息安全与保密的问题。比如:在网络环境中,国家秘密和商业秘密的保护,特别是政府上网后对涉密信息
和敏感信息的保护,网上各种行为者的身份确认与权责利的确认,高度网络化的各种业务(商务、政务等)
信息系统运行的正常和不被破坏,网络银行、电子商务中的支付与结算的准确真实和金融机构数据保护与
管理系统的不被欺诈,都将成为国家主权、政治、经济、安全和社会稳定的焦点。为了有效地解决这些问
题,信息安全产业就应运而生了。由于信息技术固有的敏感性和特殊性,信息产品是否安全,专用的信息
安全产品以及由这些产品构成的网络系统是否可靠,都成为国家、企业、社会各方面需要科学证实的问题。
为此各国政府纷纷采取颁布标准,以测评和认证等方式,对信息安全产品的研制、生产、销售、使用和进
出口实行严格管理。美国将信息安全列为其国家安全的重要内容之一,由美国国家安全局 NSA 在美国国家
标准技术局的支持下,负责信息安全产品的测评认证工作。西方国家正纷纷效法,使信息安全的测评认证
成为信息化进程中的一个重要领域,受到各界的广泛关注。
测评认证是现代质量认证制度的重要内容,其实质是由一个中立的权威机构,通过科学、规范、公正
的测试和评估向消费者、购买者即需方,证实生产者或供方所提供的产品和服务,符合公开、客观和先进
的标准。
具体言之,测评认证的对象是产品或过程、服务;它的依据是国家标准、行业标准或认证机构确认的技术
规范;它的方法是对产品进行抽样测试检验和对供方的质量保证能力即质量体系进行检查评审,以及事后
定期监督;它的性质是由具有检验技术能力和政府授权认证资格的权威机构,按照严格程序进行的科学公
正的评价活动;它的表示方式是颁发认证证书和认证标志。
测评认证制度在国际上已有近 100 年的历史,目前全球已有 80 多个国家建立了测评认证制度。我国是
从 80 年代初开始推行质量认证制度的。从 80 年代初的"标准化法"到 90 年代的"中华人民共和国产品质量
认证管理条例"和"质量法",已形成了较为完备的法律、法规框架和与之配套的管理规范。越来越多的企业
积极主动地参加认证活动,社会各界也开始重视产品和服务的品牌,逐步通过认证来指导自己的消费行为,
并将质量与权益紧密结合起来。认证活动,作为国家和社会对产品进行质量监督与技术控制的有效方式,
已越来越被社会各方面所认识、所接受。
随着信息产品、信息安全产品和信息系统的增多,面对越来越多的向社会提供专门的信息安全服务,
包括安全技术开发、产品经营和系统集成的公司、企业,如何让消费者、管理者乃至国家确信它们是"安全
的",这就需要一个高度专业化、具有专门技术手段和能力的权威机构,通过科学公正和有效手段对它们作
安全性测评认证。于是,信息安全认证成为信息化时代国家测评认证工作的新领域。
由于信息安全直接涉及国家利益、安全和主权,各国政府对信息产品、信息系统安全性的测评认证要
比对其他产品更为严格。首先,在市场准入上,发达国家为严格进出口控制,通过颁布有关法律、法规和
技术标准,推行安全认证制度,以控制国外进口产品和国内出口产品的安全性能。其次,对国内使用的产
品,实行强制性认证,凡未通过强制性认证的安全产品一律不得出厂、销售和使用。第三,对信息技术和
信息安全技术中的核心技术,由政府直接控制,如密码技术和密码产品,多数发达国家都严加控制,即使