觀點

CC認證進入政府採購 且再等等

2011 / 06 / 20
廖珮君
CC認證進入政府採購  且再等等

NCC推動資通設備取得CC認證(Common Criteria for Information Technology Security Evaluation)的計劃,自2008年開始持續進行中,日前,電信技術中心再度舉辦研討會,針對台灣版CC認證的推動與發展,邀請學界、政界相關人士做更進一步地討論。

 

對於台灣版CC認證,NCC的規劃分成文件書面檢查及實機測試兩道程序,預計在2個月內完成檢測,至於推動方式主要有以下兩個方向:

一、由資安設備再到資通訊設備。第一階擇定之設備類別共有八項,分上下半年執行,上半年為防火牆、入侵偵測(IDP)、防毒闡道器、及垃圾郵件過濾設備,下半年則是網頁過濾管控設備、網路安全監控設備、乙太網路交換器、及路由器。

 

二、由公部門走向私部門。如同ISO 27001在政府部門的發展過程,NCC技術管理處副處長羅金賢希望,台灣版CC認證的推動由政府採購開始,透過研考會協助輔導A/B級單位採購強制導入,之後再擴大到民間企業。

 

而台銀在5月下旬釋出的共同供應契約LP5-990074公開閱覽書中,第三組124項就已經出現CC認證的規範要求,這三項資安設備分別是入侵偵測防禦系統、防火牆、及防毒閘道器,由於台灣資安廠商取得CC認證的並不多,幾乎可以說是沒有,此規範已引起許多台灣廠商表達反對意見,認為此舉有圖利國外廠商之嫌,而台銀是否會接納台廠意見、修正採購規範,仍有待觀察。

 

軟協祕書長張國鴻認為,政府採購強制導入CC認證並非不可行,只不過政府現在的經費只是把標準做出來而已,如何協助業者通過認證才是重點,總不能只有23家廠商參與試辦、取得認證,就要將此標準納入政府採購的規範中。

 

台灣版CC認證  讓業者多一次練兵機會?

其實,台灣版CC認證面臨最大的質疑是,無法與國外交互認證、效益不高,不過,行政院公共工程委員會專門委員巫建緯卻認為,這是業者練兵的好機會。由於台灣廠商將產品送交國外申請CC認證,通常不會一次就順利過關,台灣版CC認證恰好提供業者一次練兵的機會,降低未來申請國外CC認證的時間與成本、順利接軌。

 

交大NBL執行主任陳一瑋進一步指出,台廠無法一次過關的原因,在於資安設備過不了測試樣本,可能100個測試樣本裡有10個無法通過,透過台灣版CC認證的計劃,滙整國內的樣本資料庫,如:技服中心/NCC/國網中心等,擴大樣本資料庫規模,進而提高台廠設備通過國外測試的機率。

 

另外,電信技術中心資安組副組長林家弘表示,電信技術中心在歐美日等國皆有合作實驗室,形同這些國外實驗室在台灣的窗口,如果台灣資安廠商想申請國外CC認證,電技中心可以擔任顧問角色,輔導廠商撰寫技術文件,再將文件送交國外實驗室審核,審核通過即可取得該國CC證書。

 

業界人士指出,台灣申請國外CC認證的廠商很少,在缺乏前人經驗的情況下,很難證明上述所言「取得台灣版CC認證、順利與國外接軌」的效益,其實,申請國外CC認證最困難之處,在於準備英文技術文件,倘若政府能協助廠商培養此類人才,或是協助相關單位提供制式文件範本,簡化廠商準備文件的時間與成本,才能真正達到順利與國外接軌的目的。

 

最後則是認證費的問題,目前NCC尚未制定明確的收費標準,交通大學資工系教授林盈達建議為2個月50萬,羅金賢則表示初步考慮不收主管機關驗證費用,廠商僅需負擔實驗室的測試成本,至於收費標準、系列產品有無優惠折扣,目前仍在研擬中。

 

 

對於台灣版CC認證的建議:

1.      建立良性循環的改善機制:從使用端得到意見回饋,進而改善台灣版CC認證的測試規範,例如:統計使用端的資安事件,並分析屬於哪一類,再去強化相關的資安檢測規範。

2.      結合使用需求:多聽聽使用者的需求,讓使用者需要的安全等級或相關設定,能與台灣版CC認證測試規範整併在一起

3.      考慮到在地化的資安問題,如Botnet、中文化。