NCC強制通過低適用認證 業者質疑政府漠視本土資安產業

globe0968

NCC於2008年計畫推動資安產品CC認證（Common Criteria for Information Technology Security Evaluation），針對多項資安產品要求通過檢驗，由於認證通過困難、所需經費過多，加上政府未提供補助，引發國內資安業者反彈，質疑政府未照顧本土業者。

【記者 江陽台北報導】NCC於2008年計畫推動資安產品CC認證（Common Criteria for Information Technology Security Evaluation），針對多項資安產品要求通過檢驗，由於認證通過困難、所需經費過多，加上政府未提供補助，引發國內資安業者反彈，質疑政府未照顧本土業者。
, O) K* j% d  Z% r. N6 Z
NCC於2008年底，開始計畫於國內推動資安產品的CC認證，今年度開始推動國內自訂資安產品審驗規範先期研究計畫，委託中華民國資訊軟體協會執行。CC認證為國際較為廣泛的產品資訊安全認證，該認證採用的標準是IEC/ISO15408，CC組織成員國現有26個國家，主要由歐、美、日等國及印度等新興市場國家組成。CC認證的測評內容包括產品的安全性測試、脆弱性分析、加密技術、產品手冊等技術測評和研發流程、配置管理、生產發貨等全過程的系統測評。

7 H1 C2 b$ ?/ S% PCC認證推動兩年餘，卻引發相關資安業者質疑，指出台銀制訂的共同供應契約當中，將入侵偵測防禦系統、防火牆、防毒閘道器等國內競爭力較強的資安產品，列為CC認證規範，要求提供CC認證評估保證等級EAL2至EAL3以上技術證明文件。威播科技陳鴻彬表示，2008年推動CC認證至今，國內似乎沒有這三類產品廠商通過CC認證，質疑台銀此舉將國內這三類產品屏除於外，認為未來若國內其他領域產品競爭力變強，此項嚴格標準將廣泛套於台銀共同供應契約的其他品項。陳鴻彬預測，若依此趨勢發展，未來國產資安產品的發展缺乏政策保護，甚至遭到打壓，將更形弱勢及萎縮，不利國內整體資安產業發展。

globe0968

定興科技總經理張侃指出，CC認證並非主要對產品面的驗證，而是另一種形式的ISO認證，所需耗費的時間、人力、經費非本土廠商規模所能承受。有大陸業者表示，CC認證在台灣不合效益，將導致國外廠商對於投資台灣市場的卻步；若CC認證是國際市場不可避免的潮流，政府應制定獎勵方案並作廠商輔導，以免扼殺國產廠商生機。
( N- f# N" }& ?; s! Q' l7 p
1 K- ~4 U5 B5 |# K( I0 i威播科技劉榮太以中國市場為例，指出中國對國內資安業者的保護，釵h認證需要「中國自有知識產權」，僅允野誘g廠商投標。認為CC認證針對產品開發過程進行審核，雖能保證產品品質，卻無法肯定能夠滿足消費者所需。並懷疑CC認證在國際市場的代表性，既無政府補助，又無實質效益，即使投資千萬取得CC認證，仍無法於國際立足。
5 L0 L& b# W6 ^# y: P& U: y
張侃認為，CC認證僅被國內承認，其效果甚至不如NSS、ICSA等國際權威IPS認證，若貿然推行，國內資安廠商非但未受政府政策保護，反而是遭到排擠、打壓，終致無法生存。NCC應該深入瞭解並考慮國內業者狀況，與軟協資安促進會的會員廠商充分溝通，切勿閉門造車。期盼政府與業者對話，協助國內業者得以成長。

: F7 {. q+ W: E$ n4 |, @. @1 B對於國內資安產品認證，劉榮太建議，應以行政院研考會於「94年資通安全技術服務與防護管理計畫」編撰的14本「作業系統安全參考指引」為認證標準，延請獨立實驗室承包驗證過程，預期將更符合政府需求。也有業者提出，產品通過CC認證難度高，應聘請顧問指導，並放寬認證適用期限，此外政府應提供補助，給予採購優惠，亦需協助推廣本土驗證產品，提升客戶及大眾認知，以帶動產業發展，才能鼓勵廠商廣泛使用CC認證，提升推動績效及政府形象。