政府7月推資安產品採購驗測標準

國家通訊傳播委員會（NCC）技術管理處副處長羅金賢表示，政府最遲將於今年7月底前，頒布由NCC制訂的臺灣版安全評估共通準則（Common Criteria，簡稱CC）的安全檢測技術規範與標準，今年預計有8類資通訊安全產品要通過相關驗測。羅金賢指出，未來不論是臺廠或外商廠牌的資通訊安全產品，都將一視同仁取得臺版CC驗證後，才能銷售至政府部門。

政府資安政策推臺版CC
根據行政院產業策略科技會議中所制訂「塑造資安文化、推升資安產值」的發展願景與政策目標中，規定在2010年至2013年，將由NCC負責推動資通訊設備安全檢測，2010年主要目標是訂定相關資通設備安全檢測的技術標準，以及試辦資通安全設備採購參考指引。

羅金賢表示，其他電信終端產品必須經相關單位驗證後，才能夠通過海關，在臺灣販售，但他說，攸關政府與企業網路安全的資通訊安全產品，卻無須經過任何把關驗證即可販售，讓政府網路（GSN）在第一關就缺乏保護。

所以，羅金賢表示，政府決定參考CC、美國FIPS 140-2及SP 800系列相關的檢測標準及風險管理方法，制訂符合臺灣政府與廠商實際需求的簡化版CC技術規範，相關產品都必須經過文件審查與實機測試，包括安全性防護功能測試，以及效能、穩定測試，和能進行阻斷式攻擊及惡意流量防禦的堅實測試。

8類資安產品受影響，通過才能賣給政府單位
羅金賢表示，最快在6月底，最晚在今年7月底前，NCC會公布臺版CC安全檢測技術規範與標準，而按照計畫，今年上半年，包括防火牆設備、入侵偵測防禦設備、防毒閘道器設備以及垃圾郵件過濾設備，到下半年，擴大實施到網頁過濾管控設備、網路安全監控設備、乙太網路交換器以及路由器總計8類產品，都必須通過臺版CC安全性檢測後，才能夠銷售至政府部門。不過，資安產品沒有通過臺版CC仍可在市場銷售。

行政院研考會資訊管理處處長何全德表示，政府以往並沒有對於資通訊產品安全性制訂相關的國家標準，為了達成建立資通安全產品檢測機制的政策，配合政府修正採購法相關規定。

何全德指出，未來政府也可以仿效AB級單位必須取得第三方ISMS驗證標準的規定，要求政府AB級單位未來在採購資通安全產品時，必須優先採購通過臺版CC驗證的產品。

羅金賢表示，即便國外廠牌已經取得國際CC驗證，也必須再取得臺版CC驗證才行。交通大學資工系教授林盈達表示，臺版CC的安全性驗證，規畫是在2個月內完成檢測，費用約50萬元，系列產品在NCC的規範下，驗測價格另有優惠。行政院公共工程委員會專門委員巫建緯預估，資安廠商上半年必須完成產品安全性驗證的4款資安設備廠商，將來不及完成驗測。文⊙黃彥棻