大砲開講

資安產品強制規範之我見

2008 年 12 月 22 日 – 23:04:34

剛從日本回到台灣，發現一則很聳動的新聞「NCC投下震撼彈：資安產品強制規範」。「NCC」，似曾相似吧！沒錯，NCC是國家通訊傳播委員會的英文縮寫。

新聞中報導，資安產品強制規範將使用CC(Common Criteria)，我有沒有看錯啊！哪個天才幹得好事呢？有誰清楚CC到底在做什麼的呢 (請參考「認識Common Criteria的7級安全評估等級」)？為什麼要取得CC驗證呢？對廠商有什麼好處呢？對用戶有什麼好處呢？

以下是此則新聞部分內容(來源：資安人)：

國家通訊傳播委員會(NCC)將大動作強制推動資安產品認證，已著手擬定「資安設備審驗規劃暨推動計畫(草案)」，以國際流通的共同準則(CC, Common Criteria)為參考標準，計劃於99.1.1~101.12.31 建議實施強制檢測，針對6大類資安產品分別對應EAL2~EAL4的標準，要求A、B級政府機關需採購經審驗合格的產品，C、D級則建議優先採購經審驗合格的產品。

欣見政府開始推動資安產品檢測，然而就算NCC取得CCRA(資安產品共同準則驗證證明書相互承認協議)會員國身份，成為會員後2 年內只能接受其他發證國的證書，並不具有發證能力，屆時形同開放台灣市場，大方接受國外產品傾銷。當國際大廠大都已有國際C.C.認證時，若當局因為規劃不周或配套不足，此舉是否反而限縮國產品的空間？

個人之淺見：

1. 搞不懂NCC到底再做什麼？資安產品驗證怎會歸NCC管呢？NCC懂資安嗎？
2. 這種認證是大公司玩得遊戲，小公司根本玩不起。
3. 即使通過CC EAL4+認證(如微軟作業系統)，還不是照樣被打到爆。
4. 感覺又是一件綁樁的案件。
5. 有這麼多的前車之鑑(如ISMS、ISO27001等)，還不怕嗎？(政府被綁架了嗎？)…

「資安產品通過安全認證」不等於「能提供較佳的防護能力」。實際案例，如VB100、ICSALabs、NSS等認證。

無力！不想寫了。

P.S. 攻擊是最好的防禦