信息安全產(chǎn)品強(qiáng)制認(rèn)證作用不甚明顯

中國信息安全認(rèn)證中心的調(diào)查顯示，接近半數(shù)的獲證企業(yè)認(rèn)為，在參與政采項目時——

信息安全產(chǎn)品強(qiáng)制認(rèn)證作用不甚明顯

本報訊 記者陳昂報道  日前，在防火墻等13種產(chǎn)品必須在《政府采購法》規(guī)定范圍內(nèi)實行強(qiáng)制認(rèn)證一周年之際，中國信息安全認(rèn)證中心對所有獲證企業(yè)開展了一次簡要調(diào)查，結(jié)果顯示，43％的獲證企業(yè)認(rèn)為信息安全產(chǎn)品強(qiáng)制認(rèn)證的作用不是十分明顯。

記者從這份調(diào)查問卷中看到，此次調(diào)查內(nèi)容共分為5項，問題涵蓋獲證對政府采購市場的實際效應(yīng)、對普通消費市場的影響，以及是否對產(chǎn)品知名度、產(chǎn)品品質(zhì)、企業(yè)自身管理水平有所提高等方面。調(diào)查結(jié)果顯示，57％的獲證企業(yè)認(rèn)為在參加政府采購項目招標(biāo)時，持有產(chǎn)品認(rèn)證證書對項目中標(biāo)有十分明顯的作用，36％的企業(yè)表示有一定作用，5％的企業(yè)認(rèn)為很難說，2％的企業(yè)認(rèn)為沒什么作用。此外，在銷售環(huán)節(jié)，36％的獲證企業(yè)表示產(chǎn)品認(rèn)證證書對推動產(chǎn)品銷售的作用十分明顯，57％表示有一定作用，7％認(rèn)為很難說。而在證書對產(chǎn)品知名度的影響上，48％的企業(yè)表示作用十分明顯，57％表示有一定作用，2％認(rèn)為很難說。

此外，50％的獲證企業(yè)表示認(rèn)證檢測對提高產(chǎn)品品質(zhì)的作用十分明顯，45％表示有一定作用，5％認(rèn)為很難說。39％的獲證企業(yè)表示認(rèn)證過程中的工廠檢查環(huán)節(jié)對提高企業(yè)自身管理水平的作用十分明顯，52％表示有一定作用，7％認(rèn)為沒什么作用，2％認(rèn)為很難說。

另據(jù)記者了解，自2010年5月1日《關(guān)于調(diào)整信息安全產(chǎn)品強(qiáng)制性認(rèn)證實施要求的公告》（以下簡稱《公告》）下發(fā)至2011年7月31日，中國信息安全認(rèn)證中心已按《公告》要求頒發(fā)了200張信息安全產(chǎn)品認(rèn)證證書。

【信息安全認(rèn)證專題報道】

挖掘信息安全認(rèn)證的含金量

——訪中國信息安全認(rèn)證中心副主任陳曉樺

通過對信息安全產(chǎn)品實施嚴(yán)格的認(rèn)證，率先在政采領(lǐng)域?qū)嵭袦?zhǔn)入管理，可將不合格的信息安全產(chǎn)品摒棄在采購產(chǎn)品之外。

本報記者  陳昂

截至目前，防火墻等13種信息安全產(chǎn)品在政府采購法所規(guī)定的范圍內(nèi)實行強(qiáng)制性認(rèn)證已經(jīng)一年有余。自2010年5月1日《關(guān)于調(diào)整信息安全產(chǎn)品強(qiáng)制性認(rèn)證實施要求的公告》（以下簡稱《公告》）下發(fā)至2011年7月31日，中國信息安全認(rèn)證中心已按照《公告》要求頒發(fā)了200張信息安全產(chǎn)品認(rèn)證證書。

在這期間，產(chǎn)品認(rèn)證證書對政府采購市場產(chǎn)生了怎樣的實際效應(yīng)？對普通消費市場有何影響？獲證產(chǎn)品品質(zhì)及企業(yè)管理水平是否有所提高？日前，記者帶著這些問題采訪了中國信息安全認(rèn)證中心副主任陳曉樺，他向記者詳述了一年多來執(zhí)行信息安全產(chǎn)品強(qiáng)制認(rèn)證情況，解析了其中存在的問題及應(yīng)對方案。

統(tǒng)一認(rèn)證勢在必行

記者：在您看來，我國現(xiàn)階段，實施信息安全產(chǎn)品認(rèn)證意義何在？

陳曉樺： 信息安全實際上是高技術(shù)的對抗，目前已由原來單一的通訊保密擴(kuò)展到保障網(wǎng)絡(luò)與信息系統(tǒng)安全。理論與實踐證明，建立完善的信息安全保障體系既是信息化時代主權(quán)國家捍衛(wèi)自身安全的重要屏障，又是維護(hù)自身利益的主要手段。作為信息安全保障體系的重要組成部分，信息安全產(chǎn)品認(rèn)證是確保信息安全良性發(fā)展的基礎(chǔ)環(huán)節(jié)，也是保障信息安全的第一道防線。

信息安全產(chǎn)品認(rèn)證是依據(jù)相關(guān)技術(shù)標(biāo)準(zhǔn)和實施規(guī)則，對信息安全產(chǎn)品是否達(dá)到標(biāo)準(zhǔn)或規(guī)范要求進(jìn)行的權(quán)威證明。對信息安全產(chǎn)品實施認(rèn)證，可降低系統(tǒng)和網(wǎng)絡(luò)的安全風(fēng)險，為系統(tǒng)運營單位的信息資產(chǎn)安全提供基礎(chǔ)保證，促使產(chǎn)品研制和生產(chǎn)過程逐步走向規(guī)范化、標(biāo)準(zhǔn)化。

記者：業(yè)界所知，信息安全產(chǎn)品及技術(shù)已從防火墻、反病毒、IDS老三樣發(fā)展到安全綜合管理、數(shù)據(jù)加密、流量控制、網(wǎng)頁郵件過濾、電子身份認(rèn)證、員工上網(wǎng)管理等，并融入到政務(wù)信息化建設(shè)的方方面面。如何認(rèn)證管理如此多的安全產(chǎn)品呢？

陳曉樺：自上個世紀(jì)90年代以來，我國有關(guān)部門對全球信息安全發(fā)展態(tài)勢進(jìn)行了積極跟蹤和研究，實施了一些信息安全評價與許可等管理制度，對信息安全保障工作起到了積極的作用。由于存在多部門管理和重復(fù)檢測以及標(biāo)準(zhǔn)不統(tǒng)一等問題，迫切需要建立國家統(tǒng)一的信息安全認(rèn)證認(rèn)可體系。

2006年11月，中國信息安全認(rèn)證中心正式成立，首要工作就是梳理我國信息安全產(chǎn)品，哪些適合通過認(rèn)證認(rèn)可制度統(tǒng)一管理，最終確定了13類安全產(chǎn)品需進(jìn)行強(qiáng)制性認(rèn)證，啟動初期也困難重重，既涉及與相關(guān)部委原評價與許可管理的銜接，又涉及與檢測機(jī)構(gòu)、政府采購的合作與配合，協(xié)調(diào)工作量大、面廣、環(huán)節(jié)多，而諸多技術(shù)文件欠缺，更需從頭起步。

截至2011年7月31日，中國信息安全認(rèn)證中心已依據(jù)有關(guān)標(biāo)準(zhǔn)等技術(shù)規(guī)范頒發(fā)了200張信息安全產(chǎn)品認(rèn)證證書。同時，根據(jù)市場需求，中心還啟動了自愿性產(chǎn)品認(rèn)證業(yè)務(wù)，對國家信息安全產(chǎn)品認(rèn)證目錄外的產(chǎn)品開展信息安全的認(rèn)證工作，逐步滿足我國政府采購、商業(yè)領(lǐng)域?qū)π畔踩J(rèn)證工作的需求。

政采市場先行“吃螃蟹”

記者：保障信息安全自然需要信息安全產(chǎn)品和技術(shù)作為支撐，據(jù)您所知，現(xiàn)階段國內(nèi)市場上信息安全產(chǎn)品質(zhì)量過硬嗎？

陳曉樺：從目前來看，國內(nèi)市場上的信息安全產(chǎn)品良莠不齊，一些產(chǎn)品技術(shù)水平不高。通過對信息安全產(chǎn)品實施嚴(yán)格的認(rèn)證，率先在政采領(lǐng)域?qū)嵭袦?zhǔn)入管理，可將不合格的信息安全產(chǎn)品摒棄在采購產(chǎn)品之外，防止不合格的產(chǎn)品對網(wǎng)絡(luò)與信息系統(tǒng)造成潛在的安全隱患，有效提升政府機(jī)關(guān)信息安全保障水平。

記者：制度執(zhí)行一年多來，政府采購對信息安全產(chǎn)品認(rèn)證起到了怎樣的作用？

陳曉樺：前不久，我中心對所有獲證企業(yè)開展了一次簡要調(diào)查，結(jié)果顯示，57％的獲證企業(yè)認(rèn)為，在參加政府采購項目招標(biāo)時， 持有國家信息安全產(chǎn)品認(rèn)證證書十分有助于項目成功；36％的獲證企業(yè)認(rèn)為，在其他銷售活動中，持有產(chǎn)品認(rèn)證證書十分有助于產(chǎn)品的銷售；48％的獲證企業(yè)表示，獲得產(chǎn)品認(rèn)證，對提高產(chǎn)品在市場中的認(rèn)可度的作用十分明顯；50％的獲證企業(yè)表示，經(jīng)過認(rèn)證檢測，對提高產(chǎn)品品質(zhì)的作用十分明顯；39％的獲證企業(yè)認(rèn)為，認(rèn)證過程中的工廠檢查環(huán)節(jié)對企業(yè)提高自身的管理水平的作用十分明顯。

記者：一年多來，制度執(zhí)行的實施成效有哪些？

陳曉樺：國家信息安全產(chǎn)品認(rèn)證制度的實施成效主要六方面內(nèi)容：一是實現(xiàn)四統(tǒng)一，確保國家認(rèn)證的權(quán)威性。即統(tǒng)一了標(biāo)準(zhǔn)、技術(shù)規(guī)范與合格評定程序、統(tǒng)一了認(rèn)證目錄、統(tǒng)一了認(rèn)證標(biāo)志、統(tǒng)一了收費標(biāo)準(zhǔn)。二是開展科研攻關(guān)，確保認(rèn)證制度的科學(xué)性。三是嚴(yán)格把關(guān)，促進(jìn)信息安全產(chǎn)品質(zhì)量提高。四是服務(wù)企業(yè)，降低認(rèn)證收費標(biāo)準(zhǔn)、合理劃分申請單元，減輕企業(yè)負(fù)擔(dān)。五是規(guī)范管理，確保認(rèn)證制度的規(guī)范性和公正性。六是執(zhí)行國家標(biāo)準(zhǔn)，推動我國信息安全產(chǎn)品自主標(biāo)準(zhǔn)體系建設(shè)。

記者：那制度執(zhí)行一年多來，有沒有發(fā)現(xiàn)存在什么問題？

陳曉樺：目前，在政府采購在實行強(qiáng)制性認(rèn)證過程中，主要存在兩點問題：一是所涉及的防火墻等13種信息安全產(chǎn)品的招標(biāo)文件中，有些并未要求獲得信息安全產(chǎn)品證書是強(qiáng)制性準(zhǔn)入資格。二是有些認(rèn)證型號與銷售型號不能一一對應(yīng)，我們要求的是廠商認(rèn)證所列規(guī)格型號必須是其產(chǎn)品銘牌中標(biāo)明的規(guī)格型號，而且產(chǎn)品的名稱、型號和版本號在認(rèn)證申請資料、送檢產(chǎn)品和實際生產(chǎn)產(chǎn)品須一致，凡是參加政府采購的產(chǎn)品，其規(guī)格型號必須與認(rèn)證所列規(guī)格型號一致。此項要求主要是規(guī)范供應(yīng)商參與政府采購的行為，避免因型號混亂而影響政府采購效率，從而讓信息安全產(chǎn)品認(rèn)證制度落到實處。

國際勢力百般阻撓

記者：從國際上看，發(fā)達(dá)國家的信息安全產(chǎn)品認(rèn)證水平如何？

陳曉樺： 由于信息安全產(chǎn)品和技術(shù)是保障信息安全的重要支撐，所以在信息安全領(lǐng)域，采取認(rèn)證制度來保障產(chǎn)品和系統(tǒng)的安全性是世界各國的通用做法。當(dāng)今，世界許多國家都對信息安全認(rèn)證給予了高度重視，依據(jù)有關(guān)技術(shù)和管理標(biāo)準(zhǔn)，對信息安全產(chǎn)品實行檢測與認(rèn)證，已成為發(fā)達(dá)國家加強(qiáng)信息安全管理、強(qiáng)化安全監(jiān)控的重要手段。

在認(rèn)證所依據(jù)的標(biāo)準(zhǔn)方面，美國等國家制定了信息技術(shù)安全性通用評估準(zhǔn)則（CC），據(jù)此開展測評認(rèn)證工作，并在一些國家（共26個）之間形成了認(rèn)證的互認(rèn)機(jī)制（CCRA，信息安全通用準(zhǔn)則互認(rèn)協(xié)定）。經(jīng)過20多年的實踐，已形成了比較完整的信息安全檢測與認(rèn)證體系。

記者：我國在建立統(tǒng)一的信息安全產(chǎn)品認(rèn)證道路上一帆風(fēng)順嗎？

陳曉樺： 除了國內(nèi)產(chǎn)業(yè)環(huán)境尚未成熟外，我國建立信息安全統(tǒng)一認(rèn)證標(biāo)準(zhǔn)一直受到美日歐的質(zhì)疑，他們的目的就是希望中國加入到CCRA體系中。CCRA是基于《信息技術(shù)安全性評估準(zhǔn)則（CC）》建立的IT產(chǎn)品安全性認(rèn)證的互認(rèn)體系，目前已有26個國家參加，美國在該體系以及CC的制定過程中起主導(dǎo)作用，并希望中國加入CCRA。如果我國加入CCRA協(xié)議，國外的信息安全產(chǎn)品將不需要經(jīng)過我國的檢測認(rèn)證直接進(jìn)入我國內(nèi)市場，同時經(jīng)過我國認(rèn)證的信息安全產(chǎn)品也不需要輸入國再重新認(rèn)證而直接進(jìn)入該國市場。但是，我國信息安全產(chǎn)品進(jìn)入國際市場的份額很小，而且與西方發(fā)達(dá)國家相比，我國信息安全產(chǎn)業(yè)還很弱小。處于一種極不對稱的局面。此外，按照CCRA條款，我國認(rèn)證的產(chǎn)品至少在2年內(nèi)無法得到其他成員國家的承認(rèn)。

但我國無論是在強(qiáng)制性認(rèn)證還是在自愿性認(rèn)證上都沒有申請加入CCRA。通用準(zhǔn)則雖然是國際標(biāo)準(zhǔn)，也有值得我國參考和借鑒之處，但很多地方并不適應(yīng)我國國情。尤其是在信息安全領(lǐng)域，我國不應(yīng)放棄自主技術(shù)標(biāo)準(zhǔn)，而完全追隨國際標(biāo)準(zhǔn)。否則，這將對我國信息安全產(chǎn)品及自主技術(shù)發(fā)展極為不利。事實上，監(jiān)管信息安全產(chǎn)品類似于藥品監(jiān)管。信息安全產(chǎn)品就是預(yù)防和治療網(wǎng)絡(luò)系統(tǒng)疾病的“藥品”，如果國家放松管制，一旦出現(xiàn)假冒偽劣“藥品”，或者“藥品”本身有副作用，其后果不堪設(shè)想。

記者：看來，要想在國內(nèi)建立實施信息安全產(chǎn)品統(tǒng)一認(rèn)證標(biāo)準(zhǔn)并非易事，來自各方的阻力使完成這一重要使命需多方共同努力，政府、廠商、用戶將扮演不同角色。各級政府主管部門要通力合作堅持走中國自主標(biāo)準(zhǔn)之路，國內(nèi)安全廠商要積極參與，不斷提升自身產(chǎn)品質(zhì)量；用戶應(yīng)支持中國的自主認(rèn)證標(biāo)準(zhǔn)，提高信息安全產(chǎn)品采購意識。只有這樣，我們才能讓屬于自己的信息安全產(chǎn)品認(rèn)證體系發(fā)揮更大的作用。

日前，記者從國家信息安全產(chǎn)品認(rèn)證獲證名單上獲悉，截至2011年7月31日，在中國信息安全認(rèn)證中心3年所頒發(fā)的200張信息安全產(chǎn)品認(rèn)證證書中---

信息安全產(chǎn)品認(rèn)證熱度呈下降趨勢

本報訊 記者陳昂報道  截至2011年7月31日，中國信息安全認(rèn)證中心共頒發(fā)200張信息安全產(chǎn)品認(rèn)證證書，其中，2009年頒發(fā)了45張，2010年上升到119張，而今年截至7月31日只有36張。

據(jù)記者了解，按照質(zhì)檢總局、財政部和認(rèn)監(jiān)委于2009年4月印發(fā)的《關(guān)于調(diào)整信息安全產(chǎn)品強(qiáng)制性認(rèn)證實施要求的公告》要求，從2010年5月1日起，防火墻、網(wǎng)絡(luò)安全隔離卡與線路選擇器、安全隔離與信息交換、安全路由器、智能卡COS、數(shù)據(jù)備份與恢復(fù)、安全操作系統(tǒng)、安全數(shù)據(jù)庫系統(tǒng)、反垃圾郵件、入侵檢測系統(tǒng)、網(wǎng)絡(luò)脆弱性掃描、安全審計、網(wǎng)站恢復(fù)等13種產(chǎn)品須在《政府采購法》規(guī)定的范圍內(nèi)實行強(qiáng)制性認(rèn)證。未獲得強(qiáng)制性認(rèn)證證書和未加施中國強(qiáng)制性認(rèn)證標(biāo)志的，不得進(jìn)入政府采購領(lǐng)域。

為何信息安全產(chǎn)品認(rèn)證遇冷呢？記者在連線采訪中國信息安全認(rèn)證中心副主任陳曉樺時獲悉，目前，在政府采購在實行強(qiáng)制性認(rèn)證過程中，主要存在兩點問題：一是所涉及的防火墻等13種信息安全產(chǎn)品的招標(biāo)文件中，有些并未要求獲得信息安全產(chǎn)品證書是強(qiáng)制性準(zhǔn)入資格。二是有些認(rèn)證型號與銷售型號不能一一對應(yīng)，要求是廠商認(rèn)證所列規(guī)格型號必須是其產(chǎn)品銘牌中標(biāo)明的規(guī)格型號，而且產(chǎn)品的名稱、型號和版本號在認(rèn)證申請資料、送檢產(chǎn)品和實際生產(chǎn)產(chǎn)品須一致，凡是參加政府采購的產(chǎn)品，其規(guī)格型號必須與認(rèn)證所列規(guī)格型號一致。此項要求主要是規(guī)范供應(yīng)商參與政府采購的行為，避免因型號混亂而影響政府采購效率，從而讓信息安全產(chǎn)品認(rèn)證制度落到實處。

記者從這獲證名單上看到，防火墻產(chǎn)品占據(jù)了絕對份額，共得到81張獲證證書，約占獲證總數(shù)的40％。接下來依次是安全審計產(chǎn)品34張、入侵檢測系統(tǒng)產(chǎn)品29張、網(wǎng)站恢復(fù)產(chǎn)品16張、安全隔離與信息交換產(chǎn)品12張、網(wǎng)絡(luò)隔離卡與線路選擇器產(chǎn)品9張。其余產(chǎn)品獲證數(shù)量還停留在個位數(shù)，而安全路由器產(chǎn)品的獲證數(shù)量更是0。中央國家機(jī)關(guān)政府采購中心網(wǎng)站的產(chǎn)品銷售排行也印證了這一點，防火墻的采購需求量最大。

從企業(yè)分布上看，北京啟明星辰信息安全技術(shù)有限公司、北京天融信科技有限公司、北京網(wǎng)御星云信息技術(shù)有限公司、網(wǎng)御神州科技（北京）有限公司、沈陽東軟系統(tǒng)集成工程有限公司、北京神州綠盟科技有限公司、華為技術(shù)有限公司、杭州華三通信技術(shù)有限公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司這些相對成熟的信息安全廠商的獲證數(shù)量占據(jù)了多半份額。而像啟明星辰、天融信、網(wǎng)御星云、網(wǎng)御神州等信息安全專業(yè)廠商在此項強(qiáng)采制度出臺前，就已獲得了相應(yīng)產(chǎn)品的認(rèn)證證書。

“國家統(tǒng)一執(zhí)行信息安全產(chǎn)品認(rèn)證公信力強(qiáng)、認(rèn)可度高，我們很支持這項制度在《政府采購法》規(guī)定的范圍內(nèi)強(qiáng)制實行。”北京神州綠盟科技有限公司相關(guān)負(fù)責(zé)人對記者如是說。也有企業(yè)對實行此項制度提出了自己的見解。北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司相關(guān)責(zé)任人告訴記者，像協(xié)議供貨這樣的大型采購項目，一般都要求廠商提供相應(yīng)的信息安全產(chǎn)品認(rèn)證證書，而從日常的招標(biāo)采購項目來看，有些并不作為強(qiáng)制要求，這勢必會對持有證書的企業(yè)造成不公平的競爭，應(yīng)該是作為硬性資質(zhì)規(guī)定的。而且從目前來看，獲證級別對實際采購影響甚微，希望政府采購項目在招標(biāo)時細(xì)化信息安全產(chǎn)品級別要求，從而增強(qiáng)高級別信息安全產(chǎn)品認(rèn)證的含金量。北京啟明星辰信息安全技術(shù)有限公司相關(guān)負(fù)責(zé)人同樣表示，應(yīng)該讓信息安全廠商站在同一條起跑線上公平競爭。

【相關(guān)聯(lián)接】

測評信息安全產(chǎn)品指定實驗室有7家，分別是信息產(chǎn)業(yè)部計算機(jī)安全技術(shù)檢測中心、國家保密局涉密信息系統(tǒng)安全保密測評中心、公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心、國家密碼管理局商用密碼檢測中心、中國信息安全測評中心----信息安全實驗室、北京信息安全測評中心、上海市信息安全測評認(rèn)證中心。

認(rèn)證模式是型式試驗 + 初始工廠檢查+獲證后監(jiān)督。

認(rèn)證實施過程分為型式試驗委托及實施、初始工廠檢查、認(rèn)證結(jié)果評價與批準(zhǔn)、獲證后監(jiān)督

認(rèn)證證書有效期是5年。證書的有效性依賴認(rèn)證機(jī)構(gòu)定期的監(jiān)督獲得保持。獲證后的產(chǎn)品，如果其產(chǎn)品的信息安全關(guān)鍵件未發(fā)生變化而型號/版本發(fā)生變化，或生產(chǎn)廠、證書持有者等發(fā)生變化時，應(yīng)向認(rèn)證機(jī)構(gòu)提出變更申請。由信息安全關(guān)鍵件的變化引起型號/版本變化時，應(yīng)重新申請認(rèn)證。認(rèn)證證書持有者需增加與已經(jīng)獲得認(rèn)證產(chǎn)品的認(rèn)證范圍時，應(yīng)向認(rèn)證機(jī)構(gòu)提出擴(kuò)展申請。

認(rèn)證時限是指自申請被正式受理之日起至頒發(fā)認(rèn)證證書時止所實際發(fā)生的工作日，其中包括型式試驗時間、工廠檢查及提交報告時間、認(rèn)證結(jié)論評定和批準(zhǔn)時間，以及證書制作時間。具體產(chǎn)品所需時間可參考實施規(guī)則，不同產(chǎn)品檢測時間可能不同。

認(rèn)證收費標(biāo)準(zhǔn)參照國家發(fā)展改革委關(guān)于重新制定強(qiáng)制性產(chǎn)品認(rèn)證收費標(biāo)準(zhǔn)的通知（發(fā)改價格[2009]1034號）執(zhí)行。

認(rèn)證檢測收費標(biāo)準(zhǔn)參照國家發(fā)展改革委備案的《信息安全產(chǎn)品強(qiáng)制性認(rèn)證檢測收費方案》執(zhí)行。