根据中央政府采购网的消息,从本月中旬起,列入政府采购名录的强制认证类信息安全产品开始了第二个批次的资质审核。从2009年中国开始施行部分信息安全强制认证制度后,中央政府采购部门也曾于2011年对防火墙等信息安全产品进行证书核对式的资格审查,但从今年8月份就开始的资质审核则是针对政府部门已经采购的部分信息安全产品认证证书上的“产品名称和型号、规格、版本”不一致的情况。显然,部分信息安全产品厂商向政府采购提供的产品与获得认证的产品存在差异。
“我觉得这应该是斯诺登的棱镜门事件给政府部门的信息安全意识带来冲击的反映!其实业内早都知道,很多厂商只针对一个产品的一个版本拿一个证,然后这个证书就开始用于企业的全部产品对外销售,这种现象可以看作国内信息安全产业的行业监管力度不够。”刘冬,中关村一位IT业人士对《中国产经新闻》记者分析道。
从上世纪90年代末与互联网同时兴起,信息安全产业在2013年似乎正在迎来第二波发展的机遇!不过回顾过去10多年的发展,信息安全产品作为IT产品的一个子类在国内有着其他类型的信息类产品不曾有的概念冲突和混乱。
“即使外行都能意识到使用信息安全产品都应该尽可能用本国产品而不是进口的外国产品,但本国产品的质量和技术水平实在难以让人恭维。”IT业技术人士辛力对《中国产经新闻》记者表示。
在国内目前的法规框架下,实行许可证制度的信息安全产品的正式名称是“计算机信息系统安全专用产品”,并不针对外国厂商的信息安全产品实行任何形式的贸易保护措施。
虽然“自主可控”是从本世纪初起就是中国信息产业的发展目标,但从把战略思想转化为法律法规概念进而落实到技术层面的角度看,即使是实行许可证制度的信息安全产品,也只是实行“检测”制度,根据检测标准对申请许可证的产品进行性能测试。直到2010年针对部分信息安全产品的强制性认证开始实施,对厂商的现场检查方才施行。
不过,信息安全产品即使是本国产品,也不意味着提供该产品的本国企业掌握了核心技术。辛力对记者分析道:“这种现象其实就是知识产权法律的角度。最简单的形式就是OEM和贴牌,一些国内企业其实就是外国企业产品的代理,外国企业并不提供源代码等核心技术资料,所谓的国产只是把外国产品的用户界面进行汉化而已。还有一类现象就是国内企业直接把从网络上下载的外国开放源代码软件改头换面作为国产。后一类现象在国内更加普遍,即使政府部门知道,但也是没办法的办法,毕竟国内的技术水平与国外有很大差距。”
记者获悉,在信息安全产品强制性认证制度开始实施后,相关认证部门推出了国产信息技术产品自主原创测评,通过对关键技术实现的全部源代码的同源性分析、对产品整个生命周期的综合评定以及现场核查等手段,确定厂商是否具备自主研发该产品的能力。
“其实是否实行源代码托管制度是未来国内网络和信息安全领域的一个看点,但这对于外国企业恐怕很难接受,毕竟这涉及人家的核心技术机密。此外就是软件产品的代码漏洞。有些商业软件的漏洞并不是企业故意设计的后门或者逻辑炸弹,只是软件工程上的失误。”辛力对记者分析道,所谓的核心技术就是人。