记者:制度执行一年多来,政府采购对信息安全产品认证起到了怎样的作用?
陈晓桦:前不久,我中心对所有获证企业开展了一次简要调查,结果显示,57%的获证企业认为,在参加政府采购项目招标时,持有国家信息安全产品认证证书十分有助于项目成功;36%的获证企业认为,在其他销售活动中,持有产品认证证书十分有助于产品的销售;48%的获证企业表示,获得产品认证,对提高产品在市场中的认可度的作用十分明显;50%的获证企业表示,经过认证检测,对提高产品品质的作用十分明显;39%的获证企业认为,认证过程中的工厂检查环节对企业提高自身的管理水平的作用十分明显。
记者:一年多来,制度执行的实施成效有哪些?
陈晓桦:国家信息安全产品认证制度的实施成效主要六方面内容:一是实现四统一,确保国家认证的权威性。即统一了标准、技术规范与合格评定程序、统一了认证目录、统一了认证标志、统一了收费标准。二是开展科研攻关,确保认证制度的科学性。三是严格把关,促进信息安全产品质量提高。四是服务企业,降低认证收费标准、合理划分申请单元,减轻企业负担。五是规范管理,确保认证制度的规范性和公正性。六是执行国家标准,推动我国信息安全产品自主标准体系建设。
记者:那制度执行一年多来,有没有发现存在什么问题?
陈晓桦:目前,在政府采购在实行强制性认证过程中,主要存在两点问题:一是所涉及的防火墙等13种信息安全产品的招标文件中,有些并未要求获得信息安全产品证书是强制性准入资格。二是有些认证型号与销售型号不能一一对应,我们要求的是厂商认证所列规格型号必须是其产品铭牌中标明的规格型号,而且产品的名称、型号和版本号在认证申请资料、送检产品和实际生产产品须一致,凡是参加政府采购的产品,其规格型号必须与认证所列规格型号一致。此项要求主要是规范供应商参与政府采购的行为,避免因型号混乱而影响政府采购效率,从而让信息安全产品认证制度落到实处。
记者:从国际上看,发达国家的信息安全产品认证水平如何?
陈晓桦:由于信息安全产品和技术是保障信息安全的重要支撑,所以在信息安全领域,采取认证制度来保障产品和系统的安全性是世界各国的通用做法。当今,世界许多国家都对信息安全认证给予了高度重视,依据有关技术和管理标准,对信息安全产品实行检测与认证,已成为发达国家加强信息安全管理、强化安全监控的重要手段。
在认证所依据的标准方面,美国等国家制定了信息技术安全性通用评估准则(CC),据此开展测评认证工作,并在一些国家(共26个)之间形成了认证的互认机制(CCRA,信息安全通用准则互认协定)。经过20多年的实践,已形成了比较完整的信息安全检测与认证体系。
记者:我国在建立统一的信息安全产品认证道路上一帆风顺吗?
陈晓桦:除了国内产业环境尚未成熟外,我国建立信息安全统一认证标准一直受到美日欧的质疑,他们的目的就是希望中国加入到CCRA体系中。CCRA是基于《信息技术安全性评估准则(CC)》建立的IT产品安全性认证的互认体系,目前已有26个国家参加,美国在该体系以及CC的制定过程中起主导作用,并希望中国加入CCRA。如果我国加入CCRA协议,国外的信息安全产品将不需要经过我国的检测认证直接进入我国内市场,同时经过我国认证的信息安全产品也不需要输入国再重新认证而直接进入该国市场。但是,我国信息安全产品进入国际市场的份额很小,而且与西方发达国家相比,我国信息安全产业还很弱小。处于一种极不对称的局面。此外,按照CCRA条款,我国认证的产品至少在2年内无法得到其他成员国家的承认。
但我国无论是在强制性认证还是在自愿性认证上都没有申请加入CCRA。通用准则虽然是国际标准,也有值得我国参考和借鉴之处,但很多地方并不适应我国国情。尤其是在信息安全领域,我国不应放弃自主技术标准,而完全追随国际标准。否则,这将对我国信息安全产品及自主技术发展极为不利。事实上,监管信息安全产品类似于药品监管。信息安全产品就是预防和治疗网络系统疾病的“药品”,如果国家放松管制,一旦出现假冒伪劣“药品”,或者“药品”本身有副作用,其后果不堪设想。
记者:看来,要想在国内建立实施信息安全产品统一认证标准并非易事,来自各方的阻力使完成这一重要使命需多方共同努力,政府、厂商、用户将扮演不同角色。各级政府主管部门要通力合作坚持走中国自主标准之路,国内安全厂商要积极参与,不断提升自身产品质量;用户应支持中国的自主认证标准,提高信息安全产品采购意识。只有这样,我们才能让属于自己的信息安全产品认证体系发挥更大的作用。