NCC投下震撼彈:資安產品強制規範
作者:iseditor -12/15/2008
http://www.informationsecurity.com.tw/a...ail.aspx?aid=4726日前NCC召開資安產品認證會議,提出資安產品認證草案,引發與會資安廠商一片嘩然。
國家通訊傳播委員會(NCC)將大動作強制推動資安產品認證,已著手擬定「資安設備審驗規劃暨推動計畫(草案)」,以國際流通的共同準則(CC, Common Criteria)為參考標準,計劃於99.1.1~101.12.31 建議實施強制檢測,針對6大類資安產品分別對應EAL2~EAL4的標準,要求A、B級政府機關需採購經審驗合格的產品,C、D級則建議優先採購經審驗合格的產品。
欣見政府開始推動資安產品檢測,然而就算NCC取得CCRA(資安產品共同準則驗證證明書相互承認協議)會員國身份,成為會員後2 年內只能接受其他發證國的證書,並不具有發證能力,屆時形同開放台灣市場,大方接受國外產品傾銷。當國際大廠大都已有國際C.C.認證時,若當局因為規劃不周或配套不足,此舉是否反而限縮國產品的空間?
與其自訂C.C.不如參考研考會指引
資通電腦研發協理吳建東認為,政府補助協助廠商通過國外C.C.才是德政。資安是國家最重要的事,每個國家都知道要保護這個產業,台灣是應該要自訂規範,國外有來台灣送審過的產品才能在台灣上市,這才是保護台灣產業,NCC要先訂出這個政策,不應先同意國外的C.C.。
然而若沒與國外雙邊相互承認,台灣自訂的TWCC認證過的產品國外也未必同意是C.C.的認證,政府應免費輔導廠商通過國外C.C.才是正途,台灣單方面遵循國外C.C.所制定的台灣TWCC國外根本不認可,通過這個台灣產品也出不了口,誰要通過台灣TWCC?給錢、給顧問協助廠商產業升級通過國外C.C.才是政府德政。
威播科技總經理劉榮太認為NCC與其參考C.C.標準,不如參考研考會的「XX 系統安全指引」(XX指資安產品)。他表示,C.C.認證並不是針對不同安全產品的功能所設計,而是針對產品的開發過程及是否能達到宣稱的功能所設計。也就是說,使用者拿到C.C.認證過的產品,只能說是製作「可能」蠻嚴謹的產品。因此,與其拿C.C.認證作門檻,不如拿研考會之前投資撰寫的「XX系統安全指引」當作認證標準,並另外請獨立實驗室承包驗證過程,或許結果更符合政府使用單位需要。
劉榮太進一步表示,威播海外市場業績跟認證的關係微乎其微。威播已取得ICSA及NSS兩個認證,技術能力已經得到證明。但是市場能力,銷售能力,後勤補給,廣告,知名度… 等才是經營海外市場關鍵,這張國內核發的C.C.認證對海外市場推廣幫助成效不大。
資訊安全其實也是國防的一環,這也就是為什麼有些國家會保護自己的資訊安全產業。劉榮太表示,在中國,任何網路安全設備在販賣以前,必須取得公安部門的銷售許可證。要取得銷售許可證必須將產品送到公安三所檢驗。如果網路安全設備要賣到政府部門的話,通常還要取得包括保密局等認證。這些認證也都是針對不同產品的實質功能分別做檢測。且許多認證需要「中國自有知識產權」。也就是在中國許多的政府案子,外國廠商是連門票都買不到的。但這些往往是最大的案子。
若一定要走C.C. 應訂獎勵補助
中華數位總經理劉孟達也認同行政院研考會所制定的歸範,有其實用性且適用的國產廠商也多,可以當成政策去推廣。以C.C.認證所需投入的資源來看,台灣的市場營收不符合投資效益,所以短期中華數位不會有投入的準備,若以經營海外地區市場,則會依每一市場的狀況不同分別準備。若C.C.是一個國際市場不可避免的潮流,而且國外大廠都已取得,則政府一定要訂出獎勵方案,投入資源輔導廠商,如CMMI,萬萬不可隨意訂入政府的採購規範中,那只有加速扼殺國產廠商的生機。
「到目前為止,我們對政府的資安產業發展政策已經爭取3年了,仍然沒有得到任何正面的回應…」劉孟達說。
此外,也有廠商認為共通規範的導入應該是三年前該完成的,現在推有點為時已晚,甚至會綁手綁腳。
宏瞻資訊張美月協理認為,產品要符合C.C.標準的困難度比通過CMMI還高,CMMI的導入已需要顧問輔導,C.C.更是需要。而台灣目前本土廠商沒有能力執行顧問服務,政府須先輔導廠商有此能力。此外,昂貴的C.C.顧問輔導/驗證經費也須多靠政府補助。而標準適用寬限期,即EAL 1 ~ 7之實施期限,需要與有經驗廠商討論定出較合理的期限。在政府採購方面,也應給予本土廠商優惠。同時政府需對一般大眾進行認知推廣,多使用本土驗證過的產品,不僅帶動產業蓬勃發展並提升產業競爭力,而且提供社會大眾更安全的環境,大家都受惠。這樣一來,越多廠商用C.C.的標準來驗證產品,表示標準推動績效好,政府形象才更好。
NCC推動資安產品檢測的政策立意甚佳,但這份認證如果只為台灣市場,對國產廠家效益極低,也等同封殺小公司。此外,資安技術日新月異,新技術往往來自新公司。台灣市場規模不大,即使外商必須接受同等規範,新興的資安公司則未必願意投資台灣市場,等於我們放棄引入新防禦技術及服務。且如上所述,還有費用太高對廠家投資報酬率太低等問題,相關當局應訂定整體制度導入的配套措施,才能讓此一政策實際帶動產業升級以及達到為使用者安全環境把關的目的,創造政府、產業、民間三贏的局面。