注册微创客 • 个人创业
资质政策
国家信息安全产品认证解读
在信息安全产品相关政府采购项目中,通常都会有一条这样的要求—提供的产品属于信息安全产品的,供应商应当选择经国家认证的信息安全产品投标,并提供有效的认证证书复印件。但很多投标供应商在投标过程中经常出现未提供认证证书或提供的证书有误,造成不必要的废标。那么为何会有这样的要求,国家信息安全产品认证又是如何认证的呢?下面就由小编带大家一起来了解其中详细原由。
一、认证从何而起
2008年1月,由国家质检总局、国家认监委联合发布《关于部分信息安全产品实施强制性认证的公告》,要求自2009年5月1日起将8类13种信息安全产品实施强制性认证。2010年4月,由财政部、工信部、国家质检总局、国家认监委联合发布了《关于信息安全产品实施政府采购的通知》,规定在政府采购活动中,在政府采购活动中,采购人或其委托的采购代理机构按照政府采购的规定,在政府采购招标文件(包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求、并要求产品供应商提供由中国信息安全认证中心(已更名为中国网络安全审查技术与认证中心)按国家标准颁发的有效认证证书。自此,在政府采购领域全面开始推行信息安全产品强制采购政策,也是上文所述要求的起源。
二、认证包含哪些项目
根据第一批信息安全产品强制性认证目录,国家信息安全产品认证范围包含8类13种。
1、边界安全;防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换产品
2、通信安全;安全路由器
3、身份鉴别与访问控制;智能卡COS
4、数据安全;数据备份与恢复产品
5、基础平台;安全操作系统、安全数据库系统
6、内容安全;反垃圾邮件产品
7、评估审计与监控;入侵检测系统(IDS)、网络脆弱性扫描产品、安全审计产品
8、应用安全;网站恢复产品
三、防火墙产品信息安全认证详解
1.基本介绍
根据认证目录之定义,防火墙产品是指一个或一组在不同安全策略的网络或安全域之间实施网络访问控制的系统。
2.主要产品类型
根据安全目的、实现原理的不同,通常可分为网络型防火墙、WEB应用防火墙、数据库防火墙和主机型防火墙等。
3.认证适用规范
2020年11月1日前,适用《GB/T 20281-2015信息安全技术 防火墙安全技术要求和测试评价方法》。2020年11月1日以后,适用《GB/T 20281-2020信息安全技术 防火墙安全技术要求和测试评价方法》。
4.防火墙认证等级
分为基本级和增强级。其中,基本级产品的安全保障要求内容对应GB/T18336.3-2015的EAL2级,增强级产品的安全保障要求内容对应GB/T18336.3-2015的EAL4+级。
5.等级划分要求
安全功能与自身安全的强弱以及安全保障要求的高低是等级划分的具体依据,等级突出安全特性。以网络型防火墙等级划分为例,基本级对应的安全技术要求不包括动态路由、冗余部署、负载均衡、应用层控制、WEB攻击防护、数据库攻击防护、恶意代码防护等相关技术要求,而增强级则必须包含。
各类防火墙的具体安全技术要求、测评方法和等级划分参见《GB/T 20281-2020信息安全技术 防火墙安全技术要求和测试评价方法》附录A、B。
四、延伸知识
在信息安全产品相关政府采购项目中,采购人或采购代理机构应根据实际需求并结合规范对产品技术参数进行梳理,保证相关产品参数符合规范要求。同时,在采购文件中明确载明对信息安全认证的要求。供应商投标时,应根据具体产品技术要求,提供对应等级的信息安全产品和对应型号的认证证书。
服务详情:国家信息安全产品认证
上一篇文章:
高新技术企业研发费用辅助账要怎么做?
下一篇文章:
安防工程企业资质证书办理
