中国软件评测中心以软件测试业务起步，从最早的软件产品登记测试，到软件产品常规确认测试、软件产品高级确认测试、技术鉴定测试和信息系统验收测试，一代评测人不仅参与了软件产品测试标准的编制，更研究出一批符合市场需求，为开发者增值、为使用者把关的软件测试服务产品。

随着信息技术的发展，信息安全作为软件和信息系统的重要质量属性，开始越来越多地出现在各种场合。发改委55令《国家电子政务工程建设项目管理暂行办法》等文件，把信息安全测评和安全风险评估推到了与系统验收测试同等重要的地位。作为信息技术测试的排头兵，中国软件评测中心也不能坐视，开始了在信息安全方面不懈的追求。

在此之前，评测中心在安全方面的基础仅有硬件测试部门开发的一些安全设备的测试规范，但安全设备测试被国家授权的测试机构垄断，市场需求有限，难以推广。

2005年，评测中心开始研究安全操作系统测试，完成了测试规范的编制，以红旗、麒麟等操作系统为测试对象，探索了安全操作系统的测试。

2007年，开始研究信息系统等级保护和信息安全风险评估相关标准，收集和学习安全测试工具的使用，对李宁公司资金管理系统进行了安全测评，得到了客户的认可。

2008年，成立信息安全测试部，安全测评队伍基本建立，面向社会全面开展信息安全测评业务，提供服务的客户包括交通部、中储粮、北京市卫生局、北京市建设信息中心、北京轨道交通路网管理公司、朝阳区教育信息网络中心等。同时实验室评审中通过了GB/T 20008-2005《信息安全技术 操作系统安全评估准则》和GB/T 20272-2006《信息安全技术 操作系统安全技术要求》两个标准的扩项，进一步扩充了中国软件评测中心的安全测试标准，为今后继续拓展安全测试业务奠定了资质基础。

2009年，与传统软件测试部门合作开拓银行测试领域，协助人民银行编制银行卡等测试安全规范和行业标准，为包括PAYPAL在内的大量国内外第三方支付机构提供了测评服务，走出了在银行业信息安全测试的关键一步。在院领导的关心下，评测中心参与了工业和信息化部信息安全协调司的政府信息系统安全检查，培养了有一定黑客能力的技术人员，向着成为信息安全测评国家队的目标迈出关键一步。

2010年，在工业和信息化部安全协调司的指导和中心领导的支持下，安全技术研究方向进一步拓展，包括个人信息保护、电子签名和电子认证、源代码扫描、渗透测试等专业技术方向的研究纷纷铺开，斩获科技部、发改委各项国家科研项目的经费支持。基于个人信息保护标准研究召开的“2010中国网站个人信息安全大会”在各大媒体上发出了评测中心响亮的声音。

2011年，评测中心获得中国合格评定国家认可委员会《检查机构认可证书》和北京市信息安全等级保护办公室《信息安全等级保护测评机构推荐证书》，实现了安全测评相关资质从无到有的跨越。在对工信部信息安全协调司支撑工作中，参与政府信息系统安全检查、工业控制系统信息安全管理等一系列重要文件的起草，对政府安全检查产品线的推广和未来工业控制系统安全测评业务的发展起到了重大作用。

2012年，评测中心主笔的国家标准GB/Z 28828-2012《信息安全技术 公共及商用服务信息系统个人信息保护指南》和行业标准YD/T 2382-2011《联网软件安全行为规范》，参与编写的国家标准GB/T 29245-2012《信息安全技术 政府部门信息安全管理基本要求》陆续发布，评测中心在政府和社会上成为不可或缺的一支权威安全测评技术队伍。

随着云计算、物联网、移动互联网等新技术的出现，信息安全逐渐发展为网络空间安全，中国软件评测中心的安全测试技术研究并没有止步不前，在工业控制系统安全测评、手机APP安全检测、关键基础设施安全保障、网络安全态势感知等方面正在做出新的探索，祝中国软件评测中心在网络空间安全服务领域更上一层楼！

朱璇

中国软件评测中心副总工

2001年7月加入中心