根據(jù)中央政府采購網(wǎng)的消息，從本月中旬起，列入政府采購名錄的強制認(rèn)證類信息安全產(chǎn)品開始了第二個批次的資質(zhì)審核。從2009年中國開始施行部分信息安全強制認(rèn)證制度后，中央政府采購部門也曾于2011年對防火墻等信息安全產(chǎn)品進行證書核對式的資格審查，但從今年8月份就開始的資質(zhì)審核則是針對政府部門已經(jīng)采購的部分信息安全產(chǎn)品認(rèn)證證書上的“產(chǎn)品名稱和型號、規(guī)格、版本”不一致的情況。顯然，部分信息安全產(chǎn)品廠商向政府采購提供的產(chǎn)品與獲得認(rèn)證的產(chǎn)品存在差異。

“我覺得這應(yīng)該是斯諾登的棱鏡門事件給政府部門的信息安全意識帶來沖擊的反映！其實業(yè)內(nèi)早都知道，很多廠商只針對一個產(chǎn)品的一個版本拿一個證，然后這個證書就開始用于企業(yè)的全部產(chǎn)品對外銷售，這種現(xiàn)象可以看作國內(nèi)信息安全產(chǎn)業(yè)的行業(yè)監(jiān)管力度不夠。”劉冬，中關(guān)村一位IT業(yè)人士對《中國產(chǎn)經(jīng)新聞》記者分析道。

從上世紀(jì)90年代末與互聯(lián)網(wǎng)同時興起，信息安全產(chǎn)業(yè)在2013年似乎正在迎來第二波發(fā)展的機遇！不過回顧過去10多年的發(fā)展，信息安全產(chǎn)品作為IT產(chǎn)品的一個子類在國內(nèi)有著其他類型的信息類產(chǎn)品不曾有的概念沖突和混亂。

“即使外行都能意識到使用信息安全產(chǎn)品都應(yīng)該盡可能用本國產(chǎn)品而不是進口的外國產(chǎn)品，但本國產(chǎn)品的質(zhì)量和技術(shù)水平實在難以讓人恭維。”IT業(yè)技術(shù)人士辛力對《中國產(chǎn)經(jīng)新聞》記者表示。

在國內(nèi)目前的法規(guī)框架下，實行許可證制度的信息安全產(chǎn)品的正式名稱是“計算機信息系統(tǒng)安全專用產(chǎn)品”，并不針對外國廠商的信息安全產(chǎn)品實行任何形式的貿(mào)易保護措施。

雖然“自主可控”是從本世紀(jì)初起就是中國信息產(chǎn)業(yè)的發(fā)展目標(biāo)，但從把戰(zhàn)略思想轉(zhuǎn)化為法律法規(guī)概念進而落實到技術(shù)層面的角度看，即使是實行許可證制度的信息安全產(chǎn)品，也只是實行“檢測”制度，根據(jù)檢測標(biāo)準(zhǔn)對申請許可證的產(chǎn)品進行性能測試。直到2010年針對部分信息安全產(chǎn)品的強制性認(rèn)證開始實施，對廠商的現(xiàn)場檢查方才施行。

不過，信息安全產(chǎn)品即使是本國產(chǎn)品，也不意味著提供該產(chǎn)品的本國企業(yè)掌握了核心技術(shù)。辛力對記者分析道：“這種現(xiàn)象其實就是知識產(chǎn)權(quán)法律的角度。最簡單的形式就是OEM和貼牌，一些國內(nèi)企業(yè)其實就是外國企業(yè)產(chǎn)品的代理，外國企業(yè)并不提供源代碼等核心技術(shù)資料，所謂的國產(chǎn)只是把外國產(chǎn)品的用戶界面進行漢化而已。還有一類現(xiàn)象就是國內(nèi)企業(yè)直接把從網(wǎng)絡(luò)上下載的外國開放源代碼軟件改頭換面作為國產(chǎn)。后一類現(xiàn)象在國內(nèi)更加普遍，即使政府部門知道，但也是沒辦法的辦法，畢竟國內(nèi)的技術(shù)水平與國外有很大差距。”

記者獲悉，在信息安全產(chǎn)品強制性認(rèn)證制度開始實施后，相關(guān)認(rèn)證部門推出了國產(chǎn)信息技術(shù)產(chǎn)品自主原創(chuàng)測評，通過對關(guān)鍵技術(shù)實現(xiàn)的全部源代碼的同源性分析、對產(chǎn)品整個生命周期的綜合評定以及現(xiàn)場核查等手段，確定廠商是否具備自主研發(fā)該產(chǎn)品的能力。

“其實是否實行源代碼托管制度是未來國內(nèi)網(wǎng)絡(luò)和信息安全領(lǐng)域的一個看點，但這對于外國企業(yè)恐怕很難接受，畢竟這涉及人家的核心技術(shù)機密。此外就是軟件產(chǎn)品的代碼漏洞。有些商業(yè)軟件的漏洞并不是企業(yè)故意設(shè)計的后門或者邏輯炸彈，只是軟件工程上的失誤。”辛力對記者分析道，所謂的核心技術(shù)就是人。