CC認證進入政府採購 且再等等

NCC推動資通設備取得CC認證(Common Criteria for Information Technology Security Evaluation)的計劃，自2008年開始持續進行中，日前，電信技術中心再度舉辦研討會，針對台灣版CC認證的推動與發展，邀請學界、政界相關人士做更進一步地討論。

對於台灣版CC認證，NCC的規劃分成文件書面檢查及實機測試兩道程序，預計在2個月內完成檢測，至於推動方式主要有以下兩個方向：

一、由資安設備再到資通訊設備。第一階擇定之設備類別共有八項，分上下半年執行，上半年為防火牆、入侵偵測(IDP)、防毒闡道器、及垃圾郵件過濾設備，下半年則是網頁過濾管控設備、網路安全監控設備、乙太網路交換器、及路由器。

二、由公部門走向私部門。如同ISO 27001在政府部門的發展過程，NCC技術管理處副處長羅金賢希望，台灣版CC認證的推動由政府採購開始，透過研考會協助輔導A/B級單位採購強制導入，之後再擴大到民間企業。

而台銀在5月下旬釋出的共同供應契約LP5-990074公開閱覽書中，第三組1、2、4項就已經出現CC認證的規範要求，這三項資安設備分別是入侵偵測防禦系統、防火牆、及防毒閘道器，由於台灣資安廠商取得CC認證的並不多，幾乎可以說是沒有，此規範已引起許多台灣廠商表達反對意見，認為此舉有圖利國外廠商之嫌，而台銀是否會接納台廠意見、修正採購規範，仍有待觀察。

軟協祕書長張國鴻認為，政府採購強制導入CC認證並非不可行，只不過政府現在的經費只是把標準做出來而已，如何協助業者通過認證才是重點，總不能只有2、3家廠商參與試辦、取得認證，就要將此標準納入政府採購的規範中。

台灣版CC認證  讓業者多一次練兵機會？

其實，台灣版CC認證面臨最大的質疑是，無法與國外交互認證、效益不高，不過，行政院公共工程委員會專門委員巫建緯卻認為，這是業者練兵的好機會。由於台灣廠商將產品送交國外申請CC認證，通常不會一次就順利過關，台灣版CC認證恰好提供業者一次練兵的機會，降低未來申請國外CC認證的時間與成本、順利接軌。

交大NBL執行主任陳一瑋進一步指出，台廠無法一次過關的原因，在於資安設備過不了測試樣本，可能100個測試樣本裡有10個無法通過，透過台灣版CC認證的計劃，滙整國內的樣本資料庫，如：技服中心/NCC/國網中心等，擴大樣本資料庫規模，進而提高台廠設備通過國外測試的機率。

另外，電信技術中心資安組副組長林家弘表示，電信技術中心在歐美日等國皆有合作實驗室，形同這些國外實驗室在台灣的窗口，如果台灣資安廠商想申請國外CC認證，電技中心可以擔任顧問角色，輔導廠商撰寫技術文件，再將文件送交國外實驗室審核，審核通過即可取得該國CC證書。

業界人士指出，台灣申請國外CC認證的廠商很少，在缺乏前人經驗的情況下，很難證明上述所言「取得台灣版CC認證、順利與國外接軌」的效益，其實，申請國外CC認證最困難之處，在於準備英文技術文件，倘若政府能協助廠商培養此類人才，或是協助相關單位提供制式文件範本，簡化廠商準備文件的時間與成本，才能真正達到順利與國外接軌的目的。

最後則是認證費的問題，目前NCC尚未制定明確的收費標準，交通大學資工系教授林盈達建議為2個月50萬，羅金賢則表示初步考慮不收主管機關驗證費用，廠商僅需負擔實驗室的測試成本，至於收費標準、系列產品有無優惠折扣，目前仍在研擬中。