NCC投下震撼弹:资安产品强制规范
作者:iseditor -12/15/2008
http://www.informationsecurity.com.tw/a...ail.aspx?aid=4726日前NCC召开资安产品认证会议,提出资安产品认证草案,引发与会资安厂商一片哗然。
国家通讯传播委员会(NCC)将大动作强制推动资安产品认证,已着手拟定「资安设备审验规划暨推动计画(草案)」,以国际流通的共同准则(CC, Common Criteria)为参考标准,计划于99.1.1~101.12.31 建议实施强制检测,针对6大类资安产品分别对应EAL2~EAL4的标准,要求A、B级政府机关需采购经审验合格的产品,C、D级则建议优先采购经审验合格的产品。
欣见政府开始推动资安产品检测,然而就算NCC取得CCRA(资安产品共同准则验证证明书相互承认协议)会员国身份,成为会员后2 年内只能接受其他发证国的证书,并不具有发证能力,届时形同开放台湾市场,大方接受国外产品倾销。当国际大厂大都已有国际C.C.认证时,若当局因为规划不周或配套不足,此举是否反而限缩国产品的空间?
与其自订C.C.不如参考研考会指引
资通电脑研发协理吴建东认为,政府补助协助厂商通过国外C.C.才是德政。资安是国家最重要的事,每个国家都知道要保护这个产业,台湾是应该要自订规范,国外有来台湾送审过的产品才能在台湾上市,这才是保护台湾产业,NCC要先订出这个政策,不应先同意国外的C.C.。
然而若没与国外双边相互承认,台湾自订的TWCC认证过的产品国外也未必同意是C.C.的认证,政府应免费辅导厂商通过国外C.C.才是正途,台湾单方面遵循国外C.C.所制定的台湾TWCC国外根本不认可,通过这个台湾产品也出不了口,谁要通过台湾TWCC?给钱、给顾问协助厂商产业升级通过国外C.C.才是政府德政。
威播科技总经理刘荣太认为NCC与其参考C.C.标准,不如参考研考会的「XX 系统安全指引」(XX指资安产品)。他表示,C.C.认证并不是针对不同安全产品的功能所设计,而是针对产品的开发过程及是否能达到宣称的功能所设计。也就是说,使用者拿到C.C.认证过的产品,只能说是制作「可能」蛮严谨的产品。因此,与其拿C.C.认证作门槛,不如拿研考会之前投资撰写的「XX系统安全指引」当作认证标准,并另外请独立实验室承包验证过程,或许结果更符合政府使用单位需要。
刘荣太进一步表示,威播海外市场业绩跟认证的关系微乎其微。威播已取得ICSA及NSS两个认证,技术能力已经得到证明。但是市场能力,销售能力,后勤补给,广告,知名度… 等才是经营海外市场关键,这张国内核发的C.C.认证对海外市场推广帮助成效不大。
资讯安全其实也是国防的一环,这也就是为什么有些国家会保护自己的资讯安全产业。刘荣太表示,在中国,任何网路安全设备在贩卖以前,必须取得公安部门的销售许可证。要取得销售许可证必须将产品送到公安三所检验。如果网路安全设备要卖到政府部门的话,通常还要取得包括保密局等认证。这些认证也都是针对不同产品的实质功能分别做检测。且许多认证需要「中国自有知识产权」。也就是在中国许多的政府案子,外国厂商是连门票都买不到的。但这些往往是最大的案子。
若一定要走C.C. 应订奖励补助
中华数位总经理刘孟达也认同行政院研考会所制定的归范,有其实用性且适用的国产厂商也多,可以当成政策去推广。以C.C.认证所需投入的资源来看,台湾的市场营收不符合投资效益,所以短期中华数位不会有投入的准备,若以经营海外地区市场,则会依每一市场的状况不同分别准备。若C.C.是一个国际市场不可避免的潮流,而且国外大厂都已取得,则政府一定要订出奖励方案,投入资源辅导厂商,如CMMI,万万不可随意订入政府的采购规范中,那只有加速扼杀国产厂商的生机。
「到目前为止,我们对政府的资安产业发展政策已经争取3年了,仍然没有得到任何正面的回应…」刘孟达说。
此外,也有厂商认为共通规范的导入应该是三年前该完成的,现在推有点为时已晚,甚至会绑手绑脚。
宏瞻资讯张美月协理认为,产品要符合C.C.标准的困难度比通过CMMI还高,CMMI的导入已需要顾问辅导,C.C.更是需要。而台湾目前本土厂商没有能力执行顾问服务,政府须先辅导厂商有此能力。此外,昂贵的C.C.顾问辅导/验证经费也须多靠政府补助。而标准适用宽限期,即EAL 1 ~ 7之实施期限,需要与有经验厂商讨论定出较合理的期限。在政府采购方面,也应给予本土厂商优惠。同时政府需对一般大众进行认知推广,多使用本土验证过的产品,不仅带动产业蓬勃发展并提升产业竞争力,而且提供社会大众更安全的环境,大家都受惠。这样一来,越多厂商用C.C.的标准来验证产品,表示标准推动绩效好,政府形象才更好。
NCC推动资安产品检测的政策立意甚佳,但这份认证如果只为台湾市场,对国产厂家效益极低,也等同封杀小公司。此外,资安技术日新月异,新技术往往来自新公司。台湾市场规模不大,即使外商必须接受同等规范,新兴的资安公司则未必愿意投资台湾市场,等于我们放弃引入新防御技术及服务。且如上所述,还有费用太高对厂家投资报酬率太低等问题,相关当局应订定整体制度导入的配套措施,才能让此一政策实际带动产业升级以及达到为使用者安全环境把关的目的,创造政府、产业、民间三赢的局面。
