NCC強制通過低適用認證 業者質疑政府漠視本土資安產業
<記者 江陽台北報導>
NCC於2008年計畫推動資安產品CC認證(Common Criteria for Information Technology Security Evaluation),針對多項資安產品要求通過檢驗,由於認證通過困難、所需經費過多,加上政府未提供補助,引發國內資安業者反彈,質疑政府未照顧本土業者。
NCC於2008年底,開始計畫於國內推動資安產品的CC認證,今年度開始推動國內自訂資安產品審驗規範先期研究計畫,委託中華民國資訊軟體協會執行。CC認證為國際較為廣泛的產品資訊安全認證,該認證採用的標準是IEC/ISO15408,CC組織成員國現有26個國家,主要由歐、美、日等國及印度等新興市場國家組成。CC認證的測評內容包括產品的安全性測試、脆弱性分析、加密技術、產品手冊等技術測評和研發流程、配置管理、生產發貨等全過程的系統測評。
CC認證推動兩年餘,卻引發相關資安業者質疑,指出台銀制訂的共同供應契約當中,將入侵偵測防禦系統、防火牆、防毒閘道器等國內競爭力較強的資安產品,列為CC認證規範,要求提供CC認證評估保證等級EAL2至EAL3以上技術證明文件。威播科技陳鴻彬表示,2008年推動CC認證至今,國內似乎沒有這三類產品廠商通過CC認證,質疑台銀此舉將國內這三類產品屏除於外,認為未來若國內其他領域產品競爭力變強,此項嚴格標準將廣泛套於台銀共同供應契約的其他品項。陳鴻彬預測,若依此趨勢發展,未來國產資安產品的發展缺乏政策保護,甚至遭到打壓,將更形弱勢及萎縮,不利國內整體資安產業發展。
定興科技總經理張侃指出,CC認證並非主要對產品功能面的驗證,而是另一種形式的ISO認證,所需耗費的時間、人力、經費非本土廠商規模所能承受。有大陸業者表示,CC認證在台灣不合效益,將導致國外廠商對於投資台灣市場的卻步;若CC認證是國際市場不可避免的潮流,政府應制定獎勵方案並作廠商輔導,以免扼殺國產廠商生機。
威播科技劉榮太以中國市場為例,指出中國對國內資安業者的保護,許多認證需要「中國自有知識產權」,僅允許本土廠商投標。認為CC認證針對產品開發過程進行審核,雖能保證產品品質,卻無法肯定能夠滿足消費者所需。並懷疑CC認證在國際市場的代表性,既無政府補助,又無實質效益,即使投資千萬取得CC認證,仍無法於國際立足。
張侃認為,CC認證僅被國內承認,其效果甚至不如NSS、ICSA等國際權威IPS認證,若貿然推行,國內資安廠商非但未受政府政策保護,反而是遭到排擠、打壓,終致無法生存。NCC應該深入瞭解並考慮國內業者狀況,與軟協資安促進會的會員廠商充分溝通,切勿閉門造車。期盼政府與業者對話,協助國內業者得以成長。
對於國內資安產品認證,劉榮太建議,應以行政院研考會於「94年資通安全技術服務與防護管理計畫」編撰的14本「作業系統安全參考指引」為認證標準,延請獨立實驗室承包驗證過程,預期將更符合政府需求。也有業者提出,產品通過CC認證難度高,應聘請顧問指導,並放寬認證適用期限,此外政府應提供補助,給予採購優惠,亦需協助推廣本土驗證產品,提升客戶及大眾認知,以帶動產業發展,才能鼓勵廠商廣泛使用CC認證,提升推動績效及政府形象。
|