https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

NCC 推台版資通安全認證 台銀:研議中 台廠:先觀望

2012 / 07 / 09
張維君
NCC 推台版資通安全認證 台銀:研議中 台廠:先觀望

攸關政府資安設備採購的台銀共同供應契約網路及資訊安全設備類(LP5-990074),自從去年新制訂出「加值服務選項」規格,要求必須通過資訊安全產品評估之共同準則(Common Criteria, CC)ISO/IEC 15408定義之評估保證等級(EAL)檢測認證之產品可被採購勾選。公告一出,對台灣資安設備市場造成不小衝擊。而NCC經過一年努力推動台灣版資通設備安全檢測認證,並期望在今年7月台銀換約時也被納入加值服務選項認可中,但目前看來仍有變數。

 

去年台銀祭出這項公告,首波是在入侵偵測防禦系統、防火牆與防毒閘道器等三類產品的採購案中。據台銀統計,自去年公告至今年4月為止,在這三類的產品採購案中,有近半數的採購案均勾選需要此加值服務選項功能。

 

而有無加值服務功能最大的差別就是反映在售價上。以1Gbps吞吐量的防火牆來說,含加值服務功能的產品售價約比不含此功能的產品高出5倍,而以500Mbps的入侵偵測防禦系統來說,也有2倍的價差。

 

由於目前取得CC認證以外商品牌居多,因此市場上呈現幾家歡樂幾家愁現象。在國外政府標案市場中,常見資安設備以國土安全為由,被設定採購門檻,外商需要配合該國各種規定才有機會得標。本土廠商認為此次台灣政府不扶植本土業者就罷了,台銀此舉將本土品牌屏除在這些加值選項之外,將不利國內資安產業的發展。

 

通傳會NCC所推動的台灣版CC認證,其包含書面審查與實機檢測兩部分,目前已制定出8類資通設備安全檢測技術規範(網路型防火牆等8類IS0008~IS0015),而國外CC認證只包含書面審查。然而自去年NCC開始舉辦檢測說明會,迄今本土廠商投入準備此認證的廠商卻不多,有業者認為此認證目前尚未被台銀共同供應契約認可,耗費金錢、人力資源投入也未必看得到結果,目前先觀望。

 

台銀委託二科表示,此認證能否暨CC之後,也被納入加值服務選項,目前仍在研議中,將視取得認證通過的家數來衡量。NCC技術管理處羅金賢副處長指出,近期將與台銀協調,請台銀支持政府政策,將技術規範納入加值服務選項當中。