信息安全产品实施政府采购的相关政策要求

信息安全产品实施政府采购的相关政策要求
目录
1. 相关政策文件及通知 (2)
1.1 福建省财政厅通知： (2)
1.2 （财库〔2010〕48号）主要内容： (2)
1.3 《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）文件重点内容： (3)
2. 信息安全等级保护法规： (3)
3. 防火墙产品ISCCC认证级别与等级保护要求对比： (4)
3.1 信息安全等级保护技术要求： (4)
3.2 防火墙ISCCC认证技术要求： (5)
3.3 技术要求对比结论 (6)
4. 经常接触产品的ISCCC认证情况： (7)
5. 目前获得ISCCC认证的产品名录： (14)
1. 相关政策文件及通知
1.1 福建省财政厅通知：
省直各单位，各设区市财政局、信息产业主管部门、质监局：
根据《中华人民共和国政府采购法》，为进一步贯彻落实质检总局、财政部、认监委《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）要求，规范政府采购信息安全产品行为，现将《财政部、工业和信息化部、质检总局、认监委关于信息安全产品实施政府采购的通知》（财库〔2010〕48号）转发给你们，请认真遵照执行。

二0一0年五月十九日
1.2 （财库〔2010〕48号）主要内容：
一、各级国家机关、事业单位和团体组织(以下统称采购人)使用财政性资金采购信息安全产品的，应当采购经国家认证的信息安全产品。

二、在政府采购活动中，采购人或其委托的采购代理机构按照政府采购法的规定一在政府采购招标文件(包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求，并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。

三、对采购人或其委托的采购代理机构未按上述要求采购的，有关部门要按照有关法律、法规和规章予以处理，财政部门视情况可以拒付采购资金。

1.3 《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）文件重点内容：
根据《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）规定，在政府采购法规定范围内实行强行认证，未获得强制性认证证书和未加施中国强制性认证标志的，不得进入政府采购领域。

涉及的信息安全产品范围为8大类13种产品：
1. 安全操作系统产品
2. 安全隔离与信息交换产品
3. 安全路由器产品
4. 安全审计产品
5. 安全数据库系统产品
6. 反垃圾邮件产品
7. 防火墙产品
8. 入侵检测系统产品
9. 数据备份与恢复产品强制认证实施规则
10. 网络安全隔离卡与线路选择器产品
11. 网络脆弱性扫描产品
12. 网站恢复产品
13. 智能卡cos产品
2. 信息安全等级保护法规：
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室发布“关
于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号）”，《信息安全等级保护管理办法》第二十一条规定：
第三级以上信息系统应当选择使用符合以下条件的信息安全产品：
（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；
（二）产品的核心技术、关键部件具有我国自主知识产权；
（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；
（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；
（五）对国家安全、社会秩序、公共利益不构成危害；
（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。

3. 防火墙产品ISCCC认证级别与等级保护要求对比：
3.1 信息安全等级保护技术要求：
通过《信息系统安全等级保护基本要求》（GB/T22239-2008），我们简单总结了一下第三级信息系统在网络安全方面防护的重点：
1、结构安全
业务终端与业务服务器之间进行路由控制；
对业务服务重要次序指定带宽分配，优先保证重要应用。

2、访问控制
为数据流提供端口级控制；
实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；
重要网段采取技术手段防止地址欺骗。

3、安全审计
对审计记录进行保护，避免未预期的删除、修改等。

4、边界完整性检查
能对非授权设备私自联到内部网络进行检查并能有效阻断。

5、入侵防范
当检测到攻击行为时，能记录源IP、攻击类型等，并提供报警。

6、恶意代码防范
在网络边界处对恶意代码进行检测和清除，并维护恶意代码库的升级。

7、网络设备防护
主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术进行身份鉴别。

8、通信完整性、保密性
应使用密码技术保证通信过程中数据完整性；
应采用加密或其他措施保证数据传输保密性。

3.2 防火墙ISCCC认证技术要求：
目前国内市场上的防火墙类产品，都遵循了《信息安全技术防火墙技术要求和测试评价方法》（GB/T20281-2006）这一标准。

而从2009年4月开始，中国信息安全认证中心对国内的防火墙产品实施了强制认证（ISCCC认证），并且从2010年5月起，未经过认证的产品不能进入政府采购范围。

在ISCCC认证中，防火墙类产品被分为三个等级，第一级最低、第三级最高。

三个级别之间在功能
上区别大致如下：
第一级：抗渗透、恶意代码防御、支撑系统、非正常关机、包过滤、应用代理（包过滤防火墙除外）、NAT（应用级防火墙除外）、流量统计、安全审计、管理。

第二级：抗渗透、恶意代码防御、支撑系统、非正常关机、包过滤、应用代理（包过滤防火墙除外）、NAT（应用级防火墙除外）、流量统计、安全审计、管理、状态检测、深度包检测、IP/MAC地址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡。

第三级：抗渗透、恶意代码防御、支撑系统、非正常关机、包过滤、应用代理（包过滤防火墙除外）、NAT（应用级防火墙除外）、流量统计、安全审计、管理、状态检测、深度包检测、IP/MAC地址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡、VPN、协同联动。

3.3 技术要求对比结论
通过上面两项分析，我们可以看出如无其它配套设备：
第一级的防火墙设备无法满足“信息安全等级保护第三级”中的带宽管理、地址绑定、动态端口等要求。

第二级的防火墙设备无法满足“信息安全等级保护第三级”中的通信完整性、保密性要求。

因此取得ISCCC防火墙第三级认证的产品将在等级保护要求较高的项目中拥有一定的优势。

4. 经常接触产品的ISCCC认证情况：
5. 目前获得ISCCC认证的产品名录：
查询网址：/zsgg/07/398933.shtml
国家信息安全产品认证获证名单时间：2011-07-01 作者：中国信息安全认证中心。