信息安全產品強制認證作用不甚明顯

中國信息安全認證中心的調查顯示，接近半數的獲證企業認為，在參與政采項目時——

信息安全產品強制認證作用不甚明顯

本報訊 記者陳昂報道  日前，在防火墻等13種產品必須在《政府采購法》規定范圍內實行強制認證一周年之際，中國信息安全認證中心對所有獲證企業開展了一次簡要調查，結果顯示，43％的獲證企業認為信息安全產品強制認證的作用不是十分明顯。

記者從這份調查問卷中看到，此次調查內容共分為5項，問題涵蓋獲證對政府采購市場的實際效應、對普通消費市場的影響，以及是否對產品知名度、產品品質、企業自身管理水平有所提高等方面。調查結果顯示，57％的獲證企業認為在參加政府采購項目招標時，持有產品認證證書對項目中標有十分明顯的作用，36％的企業表示有一定作用，5％的企業認為很難說，2％的企業認為沒什么作用。此外，在銷售環節，36％的獲證企業表示產品認證證書對推動產品銷售的作用十分明顯，57％表示有一定作用，7％認為很難說。而在證書對產品知名度的影響上，48％的企業表示作用十分明顯，57％表示有一定作用，2％認為很難說。

此外，50％的獲證企業表示認證檢測對提高產品品質的作用十分明顯，45％表示有一定作用，5％認為很難說。39％的獲證企業表示認證過程中的工廠檢查環節對提高企業自身管理水平的作用十分明顯，52％表示有一定作用，7％認為沒什么作用，2％認為很難說。

另據記者了解，自2010年5月1日《關于調整信息安全產品強制性認證實施要求的公告》（以下簡稱《公告》）下發至2011年7月31日，中國信息安全認證中心已按《公告》要求頒發了200張信息安全產品認證證書。

【信息安全認證專題報道】

挖掘信息安全認證的含金量

——訪中國信息安全認證中心副主任陳曉樺

通過對信息安全產品實施嚴格的認證，率先在政采領域實行準入管理，可將不合格的信息安全產品摒棄在采購產品之外。

本報記者  陳昂

截至目前，防火墻等13種信息安全產品在政府采購法所規定的范圍內實行強制性認證已經一年有余。自2010年5月1日《關于調整信息安全產品強制性認證實施要求的公告》（以下簡稱《公告》）下發至2011年7月31日，中國信息安全認證中心已按照《公告》要求頒發了200張信息安全產品認證證書。

在這期間，產品認證證書對政府采購市場產生了怎樣的實際效應？對普通消費市場有何影響？獲證產品品質及企業管理水平是否有所提高？日前，記者帶著這些問題采訪了中國信息安全認證中心副主任陳曉樺，他向記者詳述了一年多來執行信息安全產品強制認證情況，解析了其中存在的問題及應對方案。

統一認證勢在必行

記者：在您看來，我國現階段，實施信息安全產品認證意義何在？

陳曉樺： 信息安全實際上是高技術的對抗，目前已由原來單一的通訊保密擴展到保障網絡與信息系統安全。理論與實踐證明，建立完善的信息安全保障體系既是信息化時代主權國家捍衛自身安全的重要屏障，又是維護自身利益的主要手段。作為信息安全保障體系的重要組成部分，信息安全產品認證是確保信息安全良性發展的基礎環節，也是保障信息安全的第一道防線。

信息安全產品認證是依據相關技術標準和實施規則，對信息安全產品是否達到標準或規范要求進行的權威證明。對信息安全產品實施認證，可降低系統和網絡的安全風險，為系統運營單位的信息資產安全提供基礎保證，促使產品研制和生產過程逐步走向規范化、標準化。

記者：業界所知，信息安全產品及技術已從防火墻、反病毒、IDS老三樣發展到安全綜合管理、數據加密、流量控制、網頁郵件過濾、電子身份認證、員工上網管理等，并融入到政務信息化建設的方方面面。如何認證管理如此多的安全產品呢？

陳曉樺：自上個世紀90年代以來，我國有關部門對全球信息安全發展態勢進行了積極跟蹤和研究，實施了一些信息安全評價與許可等管理制度，對信息安全保障工作起到了積極的作用。由于存在多部門管理和重復檢測以及標準不統一等問題，迫切需要建立國家統一的信息安全認證認可體系。

2006年11月，中國信息安全認證中心正式成立，首要工作就是梳理我國信息安全產品，哪些適合通過認證認可制度統一管理，最終確定了13類安全產品需進行強制性認證，啟動初期也困難重重，既涉及與相關部委原評價與許可管理的銜接，又涉及與檢測機構、政府采購的合作與配合，協調工作量大、面廣、環節多，而諸多技術文件欠缺，更需從頭起步。

截至2011年7月31日，中國信息安全認證中心已依據有關標準等技術規范頒發了200張信息安全產品認證證書。同時，根據市場需求，中心還啟動了自愿性產品認證業務，對國家信息安全產品認證目錄外的產品開展信息安全的認證工作，逐步滿足我國政府采購、商業領域對信息安全認證工作的需求。

政采市場先行“吃螃蟹”

記者：保障信息安全自然需要信息安全產品和技術作為支撐，據您所知，現階段國內市場上信息安全產品質量過硬嗎？

陳曉樺：從目前來看，國內市場上的信息安全產品良莠不齊，一些產品技術水平不高。通過對信息安全產品實施嚴格的認證，率先在政采領域實行準入管理，可將不合格的信息安全產品摒棄在采購產品之外，防止不合格的產品對網絡與信息系統造成潛在的安全隱患，有效提升政府機關信息安全保障水平。

記者：制度執行一年多來，政府采購對信息安全產品認證起到了怎樣的作用？

陳曉樺：前不久，我中心對所有獲證企業開展了一次簡要調查，結果顯示，57％的獲證企業認為，在參加政府采購項目招標時， 持有國家信息安全產品認證證書十分有助于項目成功；36％的獲證企業認為，在其他銷售活動中，持有產品認證證書十分有助于產品的銷售；48％的獲證企業表示，獲得產品認證，對提高產品在市場中的認可度的作用十分明顯；50％的獲證企業表示，經過認證檢測，對提高產品品質的作用十分明顯；39％的獲證企業認為，認證過程中的工廠檢查環節對企業提高自身的管理水平的作用十分明顯。

記者：一年多來，制度執行的實施成效有哪些？

陳曉樺：國家信息安全產品認證制度的實施成效主要六方面內容：一是實現四統一，確保國家認證的權威性。即統一了標準、技術規范與合格評定程序、統一了認證目錄、統一了認證標志、統一了收費標準。二是開展科研攻關，確保認證制度的科學性。三是嚴格把關，促進信息安全產品質量提高。四是服務企業，降低認證收費標準、合理劃分申請單元，減輕企業負擔。五是規范管理，確保認證制度的規范性和公正性。六是執行國家標準，推動我國信息安全產品自主標準體系建設。

記者：那制度執行一年多來，有沒有發現存在什么問題？

陳曉樺：目前，在政府采購在實行強制性認證過程中，主要存在兩點問題：一是所涉及的防火墻等13種信息安全產品的招標文件中，有些并未要求獲得信息安全產品證書是強制性準入資格。二是有些認證型號與銷售型號不能一一對應，我們要求的是廠商認證所列規格型號必須是其產品銘牌中標明的規格型號，而且產品的名稱、型號和版本號在認證申請資料、送檢產品和實際生產產品須一致，凡是參加政府采購的產品，其規格型號必須與認證所列規格型號一致。此項要求主要是規范供應商參與政府采購的行為，避免因型號混亂而影響政府采購效率，從而讓信息安全產品認證制度落到實處。

國際勢力百般阻撓

記者：從國際上看，發達國家的信息安全產品認證水平如何？

陳曉樺： 由于信息安全產品和技術是保障信息安全的重要支撐，所以在信息安全領域，采取認證制度來保障產品和系統的安全性是世界各國的通用做法。當今，世界許多國家都對信息安全認證給予了高度重視，依據有關技術和管理標準，對信息安全產品實行檢測與認證，已成為發達國家加強信息安全管理、強化安全監控的重要手段。

在認證所依據的標準方面，美國等國家制定了信息技術安全性通用評估準則（CC），據此開展測評認證工作，并在一些國家（共26個）之間形成了認證的互認機制（CCRA，信息安全通用準則互認協定）。經過20多年的實踐，已形成了比較完整的信息安全檢測與認證體系。

記者：我國在建立統一的信息安全產品認證道路上一帆風順嗎？

陳曉樺： 除了國內產業環境尚未成熟外，我國建立信息安全統一認證標準一直受到美日歐的質疑，他們的目的就是希望中國加入到CCRA體系中。CCRA是基于《信息技術安全性評估準則（CC）》建立的IT產品安全性認證的互認體系，目前已有26個國家參加，美國在該體系以及CC的制定過程中起主導作用，并希望中國加入CCRA。如果我國加入CCRA協議，國外的信息安全產品將不需要經過我國的檢測認證直接進入我國內市場，同時經過我國認證的信息安全產品也不需要輸入國再重新認證而直接進入該國市場。但是，我國信息安全產品進入國際市場的份額很小，而且與西方發達國家相比，我國信息安全產業還很弱小。處于一種極不對稱的局面。此外，按照CCRA條款，我國認證的產品至少在2年內無法得到其他成員國家的承認。

但我國無論是在強制性認證還是在自愿性認證上都沒有申請加入CCRA。通用準則雖然是國際標準，也有值得我國參考和借鑒之處，但很多地方并不適應我國國情。尤其是在信息安全領域，我國不應放棄自主技術標準，而完全追隨國際標準。否則，這將對我國信息安全產品及自主技術發展極為不利。事實上，監管信息安全產品類似于藥品監管。信息安全產品就是預防和治療網絡系統疾病的“藥品”，如果國家放松管制，一旦出現假冒偽劣“藥品”，或者“藥品”本身有副作用，其后果不堪設想。

記者：看來，要想在國內建立實施信息安全產品統一認證標準并非易事，來自各方的阻力使完成這一重要使命需多方共同努力，政府、廠商、用戶將扮演不同角色。各級政府主管部門要通力合作堅持走中國自主標準之路，國內安全廠商要積極參與，不斷提升自身產品質量；用戶應支持中國的自主認證標準，提高信息安全產品采購意識。只有這樣，我們才能讓屬于自己的信息安全產品認證體系發揮更大的作用。

日前，記者從國家信息安全產品認證獲證名單上獲悉，截至2011年7月31日，在中國信息安全認證中心3年所頒發的200張信息安全產品認證證書中---

信息安全產品認證熱度呈下降趨勢

本報訊 記者陳昂報道  截至2011年7月31日，中國信息安全認證中心共頒發200張信息安全產品認證證書，其中，2009年頒發了45張，2010年上升到119張，而今年截至7月31日只有36張。

據記者了解，按照質檢總局、財政部和認監委于2009年4月印發的《關于調整信息安全產品強制性認證實施要求的公告》要求，從2010年5月1日起，防火墻、網絡安全隔離卡與線路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數據備份與恢復、安全操作系統、安全數據庫系統、反垃圾郵件、入侵檢測系統、網絡脆弱性掃描、安全審計、網站恢復等13種產品須在《政府采購法》規定的范圍內實行強制性認證。未獲得強制性認證證書和未加施中國強制性認證標志的，不得進入政府采購領域。

為何信息安全產品認證遇冷呢？記者在連線采訪中國信息安全認證中心副主任陳曉樺時獲悉，目前，在政府采購在實行強制性認證過程中，主要存在兩點問題：一是所涉及的防火墻等13種信息安全產品的招標文件中，有些并未要求獲得信息安全產品證書是強制性準入資格。二是有些認證型號與銷售型號不能一一對應，要求是廠商認證所列規格型號必須是其產品銘牌中標明的規格型號，而且產品的名稱、型號和版本號在認證申請資料、送檢產品和實際生產產品須一致，凡是參加政府采購的產品，其規格型號必須與認證所列規格型號一致。此項要求主要是規范供應商參與政府采購的行為，避免因型號混亂而影響政府采購效率，從而讓信息安全產品認證制度落到實處。

記者從這獲證名單上看到，防火墻產品占據了絕對份額，共得到81張獲證證書，約占獲證總數的40％。接下來依次是安全審計產品34張、入侵檢測系統產品29張、網站恢復產品16張、安全隔離與信息交換產品12張、網絡隔離卡與線路選擇器產品9張。其余產品獲證數量還停留在個位數，而安全路由器產品的獲證數量更是0。中央國家機關政府采購中心網站的產品銷售排行也印證了這一點，防火墻的采購需求量最大。

從企業分布上看，北京啟明星辰信息安全技術有限公司、北京天融信科技有限公司、北京網御星云信息技術有限公司、網御神州科技（北京）有限公司、沈陽東軟系統集成工程有限公司、北京神州綠盟科技有限公司、華為技術有限公司、杭州華三通信技術有限公司、北京星網銳捷網絡技術有限公司這些相對成熟的信息安全廠商的獲證數量占據了多半份額。而像啟明星辰、天融信、網御星云、網御神州等信息安全專業廠商在此項強采制度出臺前，就已獲得了相應產品的認證證書。

“國家統一執行信息安全產品認證公信力強、認可度高，我們很支持這項制度在《政府采購法》規定的范圍內強制實行。”北京神州綠盟科技有限公司相關負責人對記者如是說。也有企業對實行此項制度提出了自己的見解。北京星網銳捷網絡技術有限公司相關責任人告訴記者，像協議供貨這樣的大型采購項目，一般都要求廠商提供相應的信息安全產品認證證書，而從日常的招標采購項目來看，有些并不作為強制要求，這勢必會對持有證書的企業造成不公平的競爭，應該是作為硬性資質規定的。而且從目前來看，獲證級別對實際采購影響甚微，希望政府采購項目在招標時細化信息安全產品級別要求，從而增強高級別信息安全產品認證的含金量。北京啟明星辰信息安全技術有限公司相關負責人同樣表示，應該讓信息安全廠商站在同一條起跑線上公平競爭。

【相關聯接】

測評信息安全產品指定實驗室有7家，分別是信息產業部計算機安全技術檢測中心、國家保密局涉密信息系統安全保密測評中心、公安部計算機信息系統安全產品質量監督檢驗中心、國家密碼管理局商用密碼檢測中心、中國信息安全測評中心----信息安全實驗室、北京信息安全測評中心、上海市信息安全測評認證中心。

認證模式是型式試驗 + 初始工廠檢查+獲證后監督。

認證實施過程分為型式試驗委托及實施、初始工廠檢查、認證結果評價與批準、獲證后監督

認證證書有效期是5年。證書的有效性依賴認證機構定期的監督獲得保持。獲證后的產品，如果其產品的信息安全關鍵件未發生變化而型號/版本發生變化，或生產廠、證書持有者等發生變化時，應向認證機構提出變更申請。由信息安全關鍵件的變化引起型號/版本變化時，應重新申請認證。認證證書持有者需增加與已經獲得認證產品的認證范圍時，應向認證機構提出擴展申請。

認證時限是指自申請被正式受理之日起至頒發認證證書時止所實際發生的工作日，其中包括型式試驗時間、工廠檢查及提交報告時間、認證結論評定和批準時間，以及證書制作時間。具體產品所需時間可參考實施規則，不同產品檢測時間可能不同。

認證收費標準參照國家發展改革委關于重新制定強制性產品認證收費標準的通知（發改價格[2009]1034號）執行。

認證檢測收費標準參照國家發展改革委備案的《信息安全產品強制性認證檢測收費方案》執行。