信息安全产品有别于通用类产品

与同在政府采购领域的节能产品和环境标志产品政府采购清单动辄上万款产品相比，2年半的时间里仅有近300款产品获政府采购信息安全产品认证，但业内人士认为

信息安全产品有别于通用类产品

■ 本报记者 梁爽

自2010年5月1日我国信息安全产品实施政府采购到2012年9月底，共有293款信息安全产品获得中国信息安全认证中心颁发的国家信息安全产品认证证书。

与同在政府采购领域的《节能产品政府采购清单》、《环境标志产品政府采购清单》动辄上万款产品相比，2年半的时间里仅有近300款产品获得政府采购信息安全产品认证，在数量上显得单薄。

中国信息安全认证中心副主任陈晓桦日前在接受《中国政府采购报》记者采访时表示，信息安全类产品与日常通用类产品的区别及其有限的应用范围都是造成这种现状的原因。

与通用类产品差别明显

与节能清单和环保清单中的产品相比，需要进行认证的信息安全产品本身就与通用类产品存在较大差别。

首先从何为信息安全产品说起。在整日与信息打交道，并致力于信息安全防护专业领域的人看来，信息是有生命的。信息的生成、传输、处理、存储、销毁等环节构成了信息的生命周期。周期内每个环节都涉及到信息安全问题。

“信息安全包括信息是否不被泄漏，是否没有被随意修改，是否可以正常使用，是否真实，是否只能被合法人员使用，对信息的操作行为是否不可抵赖等。”负责政府采购信息安全产品认证工作的陈晓桦这样说道。

当信息与安全合二为一，需对其加以防护时，至少包含两方面内容，即信息本身（指数据或信息内容）的安全和信息系统（是否能够提供持续服务）的安全。陈晓桦说，通常来讲，所谓信息安全产品是指为了安全目的，在信息的生成、传输、处理、存储等生命周期中使用的硬件、软件产品和它们的组合。所以，信息安全产品在数量组成方面与通用类产品相比少之又少。

应用范围有限也是不可忽视的原因

自2010年5月1日开始国家已将信息安全产品认证制度在政府采购领域强制实施。在政府采购之外，由于保障信息安全的重要性，我国对信息安全产品还设立了其他相关管理制度。如针对密码技术类产品，国家实行生产、销售、使用的管理制度；对计算机信息安全类产品，实行了销售许可管理等。

陈晓桦告诉记者，当初国家相关部门在对政府采购信息安全产品认证制度进行设计时，本来是计划将所有信息安全产品进行强制性认证。但受2008年全球金融危机影响以及美、日、欧等国家对此项制度所谓行政许可的质疑，缩小了范围和性质，仅针对政府采购信息安全产品进行认证。

“当前实践中应用的信息安全产品大概有50多种，但是纳入政府采购信息安全产品认证范围的仅有13种。这是因为对产品进行认证的前提是该类产品具有国家标准，而满足这一条件的产品只有13种。”据陈晓桦介绍，在这13种产品中，有一部分产品在政府采购中的应用范围有限，造成了企业对自己产品进行信息安全认证的热情不高。还有的企业认为，只要自己的产品不涉足政府采购市场，就没有必要进行信息安全认证。

在已纳入认证范围的13种产品中，防火墙、网络入侵检测产品是采购量较大的产品，相关企业的认证热情相对较高。据中国信息安全认证中心统计，进行信息安全产品认证的产品数量能达到获得国家销售许可的此类产品的70%。目前，这一目标已基本实现。在防火墙产品领域，获得信息安全产品认证的产品数量甚至已超过70%。

陈晓桦告诉记者，与其他认证不同的是，政府采购信息安全产品认证过程中，认证机构会派遣专家去企业对产品的研发环境和生产环境进行实地考察，一旦发现有不符合认证规定的地方就会立即指出，帮助企业提升产品安全品质。