Common Criteria認證將左右資安市場生態

有一些IT廠商將其產品，陸續取得檢視安全性標準的Common Criteria（共同準則）認證。認證單位表示，目前微軟從底層的作業系統到應用程式，都陸續通過Common Criteria認證，未來企業用戶對於安全等級的要求，將造成很大的影響。

Common Criteria認證其實就是ISO 15408，被全球政府與其他組織公認為獨立第三方作業系統安全性驗證的最高層級，主要是針對產品的安全性進行的第3方認證。到今年，簽署CCMRA（國際相互承認能力測驗技術及資格）國家已經有25國，包含日、韓已在今年取得發證的資格，目前總計有9個國家有能力核發Common Criteria認證。香港商漢德技術監督服務（TUV）資訊技術處經理古智仲便說，從簽署CCMRA國家越來越多，可以證明這樣的安全認證也逐步獲得更多國家認可。

有許多資安廠商都將其產品送測，取得Common Criteria認證。CA大中華區產品市場經理謝春穎表示，在去年10月CA的eTrust Single Sign On V7.0、更新程式到QO67747，取得Common Criteria認證外，在今年2月，eTrust Admin V8.0、更新程式到CAM r1.11版，以及eTrust Audit r8，也都取得EAL 2等級認證。她表示，這些安全產品取得認證，多數是因為國家政策或買方的要求。

賽門鐵克UTM設備Symantec Gateway Security 400 系列、和入侵偵測防禦軟體Symantec ManHunt，分別取得Common Criteria EAL2和EAL3認證。但該公司大中華區資深技術總監王岳忠表示，因為Common Criteria認證與其他認證很大不同點在於，每一個模組、每一個版本，甚至包含到修補程式到第幾版，每一個版本都必須經過單獨認證，因此，送測產品的成本就相當高；加上每一項產品平均12～18個月的生命周期，若產品送測動輒超過12個月，也造成廠商困擾。因此，他說，除非買方或者是政府法令有強制要求，賽門鐵克並不主動送測產品。

許多國際大廠，例如CheckPoint會將市售防火牆產品送測，取得Common Criteria認證，但國內廠商態度更為保留。以入侵偵測防禦系統廠商威播科技為例，該公司市場行銷部經理張正柯表示，因為認證送測金額超乎想像，在預算考量下，現階段並沒計畫取得認證；但他也說，未來若送測金額合理，不排除取得相關認證。

雖然很多廠商對於花錢、花時間將產品送測態度較為保留，不過，古智仲表示，微軟則是目前最積極取得Common Criteria認證的廠商之一。他說，微軟以往產品的安全性飽受詬病，但近來除了在軟體開發流程遵守安全程式開發生命周期（SDLC）外，也透過將產品送給公正第3方進行安全等級測試，確保其產品安全性。他便說，從微軟作業系統取得EAL 4+安全等級外，另外有包含ISA Server 2004和Exchange Server 2003等應用程式，都取得EAL 4的安全等級（商業產品最高安全等級為EAL 4+），新版的作業系統也會陸續取得Common Criteria認證。他指出，未來微軟作業系統的市占率若仍是最高，其他的應用程式或資安設備，若不能取得Common Criteria認證，將可能成為整體資安環節的弱點。古智仲表示，未來Common Criteria認證將可能左右資安市場上的生態，而企業用戶的採購行為，也將因此被影響。文⊙黃彥棻