最近曝光的携程网“漏洞门”事件，尤其是斯诺登揭发的“棱镜计划”，让世界各国的人们绷紧了网络信息安全的神经。今年2月，中央网络安全和信息化领导小组成立，显示信息安全已经在我国上升为国家战略。在国家信息安全保障体系中，有一支特殊的队伍，他们通过一系列质量技术手段，比如，实施信息安全认证、建立和完善信息安全标准、加强和推进信息安全质量管理等，创新提高了我国的信息安全保障能力。认证如何提升信息安全水平？标准又如何扎紧信息安全“篱笆”？信息企业如何加强信息安全管理？本报今日起推出“质量技术手段提升信息安全水平系列报道”，对这些话题进行深入探讨。

一阵键盘声响，一串重要信息便出现在他们的屏幕上。无论是公众的电邮、图片、视频、即时消息，还是他国的关键数据，只要他们想猎取，就能获得。这就是“棱镜计划”。斯诺登曝光了“棱镜”，花样百出的其他“棱镜”们依然潜伏着。他们借助后门，瞄准漏洞，控制信息设备，窃取核心数据，瘫痪业务系统，用鼠标和键盘悄悄地向他国和公众的信息安全发起挑战。

“棱镜”们来势汹汹，网络信息安全形势严峻，这让防范“棱镜”的照妖镜——信息安全认证需求日益迫切。中国信息安全认证中心主任魏昊说：“没有合格的信息安全产品和服务，就没有信息系统的安全性。信息安全认证为信息系统提供了信心保证。”

提升国家对信息安全的信心

“棱镜门”事件之所以令全球舆论惶恐和哗然，在于网络空间风险给一个国家的利益和安全带来实质性挑战。“斯诺登事件”之后，世界各国也纷纷陷入由此引发的思考之中，一些国家竞相掀起新一轮网络安全保卫战，切实加强本国网络空间安全。

信息安全认证专家甘杰夫博士认为，“棱镜门”事件暴露出的关键问题是，当一个国家的关键信息技术为国外所垄断，国家关键基础设施的核心控制系统大量从国外采购时，境外势力极易通过刻意布置的隐蔽通道，或者利用提供信息技术服务的便利，神不知鬼不觉地窃取重要情报信息，也极易放置由其主动触发的破坏指令。

由于在核心电子器件、高端通用芯片及基础软件产品方面与发达国家有较大差距，我国信息化建设所需关键技术设备国产化程度低，包括电信、金融、电力、铁路等在内的国家关键基础设施，其核心控制系统中约50%以上设备均从国外采购。国家基础网络和重要信息系统的这种先天不足，已成为我国信息安全的重大隐患。

为了降低系统或网络安全风险，提高综合防范水平，世界各国都把信息安全认证作为国家信息安全保障体系的一项基础性工作，由政府机构代表国家实施。我国于2006年11月专门成立信息安全认证机构——中国信息安全认证中心，隶属质检总局。