NCC於2008年計畫推動資安產品CC認證(Common Criteria for Information Technology Security Evaluation),針對多項資安產品要求通過檢驗,由於認證通過困難、所需經費過多,加上政府未提供補助,引發國內資安業者反彈,質疑政府未照顧本土業者。 $ [+ z0 p2 p1 T$ n
0 k, p. r1 ]' q1 X( a【記者 江陽台北報導】NCC於2008年計畫推動資安產品CC認證(Common Criteria for Information Technology Security Evaluation),針對多項資安產品要求通過檢驗,由於認證通過困難、所需經費過多,加上政府未提供補助,引發國內資安業者反彈,質疑政府未照顧本土業者。 ( N" s9 G: i9 y& ]! h% s; G 8 v% k1 ~2 Z) i$ y; t* r9 zNCC於2008年底,開始計畫於國內推動資安產品的CC認證,今年度開始推動國內自訂資安產品審驗規範先期研究計畫,委託中華民國資訊軟體協會執行。CC認證為國際較為廣泛的產品資訊安全認證,該認證採用的標準是IEC/ISO15408,CC組織成員國現有26個國家,主要由歐、美、日等國及印度等新興市場國家組成。CC認證的測評內容包括產品的安全性測試、脆弱性分析、加密技術、產品手冊等技術測評和研發流程、配置管理、生產發貨等全過程的系統測評。: L4 G3 d4 q9 s9 j
- l$ _2 s" W/ o3 p7 O
CC認證推動兩年餘,卻引發相關資安業者質疑,指出台銀制訂的共同供應契約當中,將入侵偵測防禦系統、防火牆、防毒閘道器等國內競爭力較強的資安產品,列為CC認證規範,要求提供CC認證評估保證等級EAL2至EAL3以上技術證明文件。威播科技陳鴻彬表示,2008年推動CC認證至今,國內似乎沒有這三類產品廠商通過CC認證,質疑台銀此舉將國內這三類產品屏除於外,認為未來若國內其他領域產品競爭力變強,此項嚴格標準將廣泛套於台銀共同供應契約的其他品項。陳鴻彬預測,若依此趨勢發展,未來國產資安產品的發展缺乏政策保護,甚至遭到打壓,將更形弱勢及萎縮,不利國內整體資安產業發展。