信息安全产品强制认证作用不甚明显

中国信息安全认证中心的调查显示，接近半数的获证企业认为，在参与政采项目时——

信息安全产品强制认证作用不甚明显

本报讯 记者陈昂报道  日前，在防火墙等13种产品必须在《政府采购法》规定范围内实行强制认证一周年之际，中国信息安全认证中心对所有获证企业开展了一次简要调查，结果显示，43％的获证企业认为信息安全产品强制认证的作用不是十分明显。

记者从这份调查问卷中看到，此次调查内容共分为5项，问题涵盖获证对政府采购市场的实际效应、对普通消费市场的影响，以及是否对产品知名度、产品品质、企业自身管理水平有所提高等方面。调查结果显示，57％的获证企业认为在参加政府采购项目招标时，持有产品认证证书对项目中标有十分明显的作用，36％的企业表示有一定作用，5％的企业认为很难说，2％的企业认为没什么作用。此外，在销售环节，36％的获证企业表示产品认证证书对推动产品销售的作用十分明显，57％表示有一定作用，7％认为很难说。而在证书对产品知名度的影响上，48％的企业表示作用十分明显，57％表示有一定作用，2％认为很难说。

此外，50％的获证企业表示认证检测对提高产品品质的作用十分明显，45％表示有一定作用，5％认为很难说。39％的获证企业表示认证过程中的工厂检查环节对提高企业自身管理水平的作用十分明显，52％表示有一定作用，7％认为没什么作用，2％认为很难说。

另据记者了解，自2010年5月1日《关于调整信息安全产品强制性认证实施要求的公告》（以下简称《公告》）下发至2011年7月31日，中国信息安全认证中心已按《公告》要求颁发了200张信息安全产品认证证书。

【信息安全认证专题报道】

挖掘信息安全认证的含金量

——访中国信息安全认证中心副主任陈晓桦

通过对信息安全产品实施严格的认证，率先在政采领域实行准入管理，可将不合格的信息安全产品摒弃在采购产品之外。

本报记者  陈昂

截至目前，防火墙等13种信息安全产品在政府采购法所规定的范围内实行强制性认证已经一年有余。自2010年5月1日《关于调整信息安全产品强制性认证实施要求的公告》（以下简称《公告》）下发至2011年7月31日，中国信息安全认证中心已按照《公告》要求颁发了200张信息安全产品认证证书。

在这期间，产品认证证书对政府采购市场产生了怎样的实际效应？对普通消费市场有何影响？获证产品品质及企业管理水平是否有所提高？日前，记者带着这些问题采访了中国信息安全认证中心副主任陈晓桦，他向记者详述了一年多来执行信息安全产品强制认证情况，解析了其中存在的问题及应对方案。

统一认证势在必行

记者：在您看来，我国现阶段，实施信息安全产品认证意义何在？

陈晓桦： 信息安全实际上是高技术的对抗，目前已由原来单一的通讯保密扩展到保障网络与信息系统安全。理论与实践证明，建立完善的信息安全保障体系既是信息化时代主权国家捍卫自身安全的重要屏障，又是维护自身利益的主要手段。作为信息安全保障体系的重要组成部分，信息安全产品认证是确保信息安全良性发展的基础环节，也是保障信息安全的第一道防线。

信息安全产品认证是依据相关技术标准和实施规则，对信息安全产品是否达到标准或规范要求进行的权威证明。对信息安全产品实施认证，可降低系统和网络的安全风险，为系统运营单位的信息资产安全提供基础保证，促使产品研制和生产过程逐步走向规范化、标准化。

记者：业界所知，信息安全产品及技术已从防火墙、反病毒、IDS老三样发展到安全综合管理、数据加密、流量控制、网页邮件过滤、电子身份认证、员工上网管理等，并融入到政务信息化建设的方方面面。如何认证管理如此多的安全产品呢？

陈晓桦：自上个世纪90年代以来，我国有关部门对全球信息安全发展态势进行了积极跟踪和研究，实施了一些信息安全评价与许可等管理制度，对信息安全保障工作起到了积极的作用。由于存在多部门管理和重复检测以及标准不统一等问题，迫切需要建立国家统一的信息安全认证认可体系。

2006年11月，中国信息安全认证中心正式成立，首要工作就是梳理我国信息安全产品，哪些适合通过认证认可制度统一管理，最终确定了13类安全产品需进行强制性认证，启动初期也困难重重，既涉及与相关部委原评价与许可管理的衔接，又涉及与检测机构、政府采购的合作与配合，协调工作量大、面广、环节多，而诸多技术文件欠缺，更需从头起步。

截至2011年7月31日，中国信息安全认证中心已依据有关标准等技术规范颁发了200张信息安全产品认证证书。同时，根据市场需求，中心还启动了自愿性产品认证业务，对国家信息安全产品认证目录外的产品开展信息安全的认证工作，逐步满足我国政府采购、商业领域对信息安全认证工作的需求。

政采市场先行“吃螃蟹”

记者：保障信息安全自然需要信息安全产品和技术作为支撑，据您所知，现阶段国内市场上信息安全产品质量过硬吗？

陈晓桦：从目前来看，国内市场上的信息安全产品良莠不齐，一些产品技术水平不高。通过对信息安全产品实施严格的认证，率先在政采领域实行准入管理，可将不合格的信息安全产品摒弃在采购产品之外，防止不合格的产品对网络与信息系统造成潜在的安全隐患，有效提升政府机关信息安全保障水平。

记者：制度执行一年多来，政府采购对信息安全产品认证起到了怎样的作用？

陈晓桦：前不久，我中心对所有获证企业开展了一次简要调查，结果显示，57％的获证企业认为，在参加政府采购项目招标时， 持有国家信息安全产品认证证书十分有助于项目成功；36％的获证企业认为，在其他销售活动中，持有产品认证证书十分有助于产品的销售；48％的获证企业表示，获得产品认证，对提高产品在市场中的认可度的作用十分明显；50％的获证企业表示，经过认证检测，对提高产品品质的作用十分明显；39％的获证企业认为，认证过程中的工厂检查环节对企业提高自身的管理水平的作用十分明显。

记者：一年多来，制度执行的实施成效有哪些？

陈晓桦：国家信息安全产品认证制度的实施成效主要六方面内容：一是实现四统一，确保国家认证的权威性。即统一了标准、技术规范与合格评定程序、统一了认证目录、统一了认证标志、统一了收费标准。二是开展科研攻关，确保认证制度的科学性。三是严格把关，促进信息安全产品质量提高。四是服务企业，降低认证收费标准、合理划分申请单元，减轻企业负担。五是规范管理，确保认证制度的规范性和公正性。六是执行国家标准，推动我国信息安全产品自主标准体系建设。

记者：那制度执行一年多来，有没有发现存在什么问题？

陈晓桦：目前，在政府采购在实行强制性认证过程中，主要存在两点问题：一是所涉及的防火墙等13种信息安全产品的招标文件中，有些并未要求获得信息安全产品证书是强制性准入资格。二是有些认证型号与销售型号不能一一对应，我们要求的是厂商认证所列规格型号必须是其产品铭牌中标明的规格型号，而且产品的名称、型号和版本号在认证申请资料、送检产品和实际生产产品须一致，凡是参加政府采购的产品，其规格型号必须与认证所列规格型号一致。此项要求主要是规范供应商参与政府采购的行为，避免因型号混乱而影响政府采购效率，从而让信息安全产品认证制度落到实处。

国际势力百般阻挠

记者：从国际上看，发达国家的信息安全产品认证水平如何？

陈晓桦： 由于信息安全产品和技术是保障信息安全的重要支撑，所以在信息安全领域，采取认证制度来保障产品和系统的安全性是世界各国的通用做法。当今，世界许多国家都对信息安全认证给予了高度重视，依据有关技术和管理标准，对信息安全产品实行检测与认证，已成为发达国家加强信息安全管理、强化安全监控的重要手段。

在认证所依据的标准方面，美国等国家制定了信息技术安全性通用评估准则（CC），据此开展测评认证工作，并在一些国家（共26个）之间形成了认证的互认机制（CCRA，信息安全通用准则互认协定）。经过20多年的实践，已形成了比较完整的信息安全检测与认证体系。

记者：我国在建立统一的信息安全产品认证道路上一帆风顺吗？

陈晓桦： 除了国内产业环境尚未成熟外，我国建立信息安全统一认证标准一直受到美日欧的质疑，他们的目的就是希望中国加入到CCRA体系中。CCRA是基于《信息技术安全性评估准则（CC）》建立的IT产品安全性认证的互认体系，目前已有26个国家参加，美国在该体系以及CC的制定过程中起主导作用，并希望中国加入CCRA。如果我国加入CCRA协议，国外的信息安全产品将不需要经过我国的检测认证直接进入我国内市场，同时经过我国认证的信息安全产品也不需要输入国再重新认证而直接进入该国市场。但是，我国信息安全产品进入国际市场的份额很小，而且与西方发达国家相比，我国信息安全产业还很弱小。处于一种极不对称的局面。此外，按照CCRA条款，我国认证的产品至少在2年内无法得到其他成员国家的承认。

但我国无论是在强制性认证还是在自愿性认证上都没有申请加入CCRA。通用准则虽然是国际标准，也有值得我国参考和借鉴之处，但很多地方并不适应我国国情。尤其是在信息安全领域，我国不应放弃自主技术标准，而完全追随国际标准。否则，这将对我国信息安全产品及自主技术发展极为不利。事实上，监管信息安全产品类似于药品监管。信息安全产品就是预防和治疗网络系统疾病的“药品”，如果国家放松管制，一旦出现假冒伪劣“药品”，或者“药品”本身有副作用，其后果不堪设想。

记者：看来，要想在国内建立实施信息安全产品统一认证标准并非易事，来自各方的阻力使完成这一重要使命需多方共同努力，政府、厂商、用户将扮演不同角色。各级政府主管部门要通力合作坚持走中国自主标准之路，国内安全厂商要积极参与，不断提升自身产品质量；用户应支持中国的自主认证标准，提高信息安全产品采购意识。只有这样，我们才能让属于自己的信息安全产品认证体系发挥更大的作用。

日前，记者从国家信息安全产品认证获证名单上获悉，截至2011年7月31日，在中国信息安全认证中心3年所颁发的200张信息安全产品认证证书中---

信息安全产品认证热度呈下降趋势

本报讯 记者陈昂报道  截至2011年7月31日，中国信息安全认证中心共颁发200张信息安全产品认证证书，其中，2009年颁发了45张，2010年上升到119张，而今年截至7月31日只有36张。

据记者了解，按照质检总局、财政部和认监委于2009年4月印发的《关于调整信息安全产品强制性认证实施要求的公告》要求，从2010年5月1日起，防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换、安全路由器、智能卡COS、数据备份与恢复、安全操作系统、安全数据库系统、反垃圾邮件、入侵检测系统、网络脆弱性扫描、安全审计、网站恢复等13种产品须在《政府采购法》规定的范围内实行强制性认证。未获得强制性认证证书和未加施中国强制性认证标志的，不得进入政府采购领域。

为何信息安全产品认证遇冷呢？记者在连线采访中国信息安全认证中心副主任陈晓桦时获悉，目前，在政府采购在实行强制性认证过程中，主要存在两点问题：一是所涉及的防火墙等13种信息安全产品的招标文件中，有些并未要求获得信息安全产品证书是强制性准入资格。二是有些认证型号与销售型号不能一一对应，要求是厂商认证所列规格型号必须是其产品铭牌中标明的规格型号，而且产品的名称、型号和版本号在认证申请资料、送检产品和实际生产产品须一致，凡是参加政府采购的产品，其规格型号必须与认证所列规格型号一致。此项要求主要是规范供应商参与政府采购的行为，避免因型号混乱而影响政府采购效率，从而让信息安全产品认证制度落到实处。

记者从这获证名单上看到，防火墙产品占据了绝对份额，共得到81张获证证书，约占获证总数的40％。接下来依次是安全审计产品34张、入侵检测系统产品29张、网站恢复产品16张、安全隔离与信息交换产品12张、网络隔离卡与线路选择器产品9张。其余产品获证数量还停留在个位数，而安全路由器产品的获证数量更是0。中央国家机关政府采购中心网站的产品销售排行也印证了这一点，防火墙的采购需求量最大。

从企业分布上看，北京启明星辰信息安全技术有限公司、北京天融信科技有限公司、北京网御星云信息技术有限公司、网御神州科技（北京）有限公司、沈阳东软系统集成工程有限公司、北京神州绿盟科技有限公司、华为技术有限公司、杭州华三通信技术有限公司、北京星网锐捷网络技术有限公司这些相对成熟的信息安全厂商的获证数量占据了多半份额。而像启明星辰、天融信、网御星云、网御神州等信息安全专业厂商在此项强采制度出台前，就已获得了相应产品的认证证书。

“国家统一执行信息安全产品认证公信力强、认可度高，我们很支持这项制度在《政府采购法》规定的范围内强制实行。”北京神州绿盟科技有限公司相关负责人对记者如是说。也有企业对实行此项制度提出了自己的见解。北京星网锐捷网络技术有限公司相关责任人告诉记者，像协议供货这样的大型采购项目，一般都要求厂商提供相应的信息安全产品认证证书，而从日常的招标采购项目来看，有些并不作为强制要求，这势必会对持有证书的企业造成不公平的竞争，应该是作为硬性资质规定的。而且从目前来看，获证级别对实际采购影响甚微，希望政府采购项目在招标时细化信息安全产品级别要求，从而增强高级别信息安全产品认证的含金量。北京启明星辰信息安全技术有限公司相关负责人同样表示，应该让信息安全厂商站在同一条起跑线上公平竞争。

【相关联接】

测评信息安全产品指定实验室有7家，分别是信息产业部计算机安全技术检测中心、国家保密局涉密信息系统安全保密测评中心、公安部计算机信息系统安全产品质量监督检验中心、国家密码管理局商用密码检测中心、中国信息安全测评中心----信息安全实验室、北京信息安全测评中心、上海市信息安全测评认证中心。

认证模式是型式试验 + 初始工厂检查+获证后监督。

认证实施过程分为型式试验委托及实施、初始工厂检查、认证结果评价与批准、获证后监督

认证证书有效期是5年。证书的有效性依赖认证机构定期的监督获得保持。获证后的产品，如果其产品的信息安全关键件未发生变化而型号/版本发生变化，或生产厂、证书持有者等发生变化时，应向认证机构提出变更申请。由信息安全关键件的变化引起型号/版本变化时，应重新申请认证。认证证书持有者需增加与已经获得认证产品的认证范围时，应向认证机构提出扩展申请。

认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日，其中包括型式试验时间、工厂检查及提交报告时间、认证结论评定和批准时间，以及证书制作时间。具体产品所需时间可参考实施规则，不同产品检测时间可能不同。

认证收费标准参照国家发展改革委关于重新制定强制性产品认证收费标准的通知（发改价格[2009]1034号）执行。

认证检测收费标准参照国家发展改革委备案的《信息安全产品强制性认证检测收费方案》执行。