“友邦惊诧”混淆视听

　　2008年1月底，《关于部分信息安全产品实施强制性认证的公告》正式发布了。根据这一公告要求，从2009年5月1日开始，凡列入强制认证目录内的13类信息安全产品，未获得强制性产品认证证书和未加施中国强制认证标志的，不得出厂、销售、进口或在其他经营活动中使用。

　　一石激起千层浪。之后，无数外国媒体的质疑报道扑面而来，国际相关标准组织和产业协会的反对声音也蜂拥而至，令国家相关部门面临非常被动的局面。

　　一些美国主流媒体在报道中描述，“中国政府计划要求外国信息产业公司向中国有关部门报批对中国出口的信息安全技术产品。这个拟议中的新政策明显是出于国家安全和扶持国内信息技术产业两方面的考量。”一位美国的智库战略与国际研究中心（CSIS）的研究员甚至认为，这个动机除包含一部分贸易考虑外，还包含一部分商业间谍成分，也包括中国政府希望在信息技术市场上扶持中国本土公司的计划，他还指出，“中国的第二个动机不那么合理”。日本《读卖新闻》则称:“这种制度可能存在把外国企业的知识产权提供给在中国竞争对手的风险。”“如果中国政府不放弃，那将可能发展成为严重的国际贸易争端。”

　　因此，2008年9月，在美中商贸联委会会议上，美国官员对这项政策提出了质疑。一位美国驻中国使馆的发言人说，美国认为中国计划实施的这项新规定“和中国的贸易承诺不相符”。

　　对这些质疑，国内各相关部门不得不反复解释、澄清: 中国的做法是为了保护国家安全和推进信息技术产业。

　　但国外媒体借机恶意炒作，甚至不惜歪曲事实，抹黑我国的管理制度。一位从事信息安全认证多年的老专家向记者说，在当时相关的国外新闻中，大量充斥着不实报道。

　　记者也发现，在一篇《日本经济新闻》仅几百字的稿件中，就至少存在以下几处失实: 将“13种强制性认证产品的目录”，写为“13条防范电脑病毒的强制认定标准”; 并且无中生有地写出“13条规定中包括基础软件”、“如果要取得认证可能要求企业公布软件设计图的源代码”等捏造的事实。

　　这些报道不仅混淆视听，还严重歪曲了中国正在建立的信息安全产品强制性认证制度。

　　面对“友邦惊诧”和含混不清的言辞，中国相关部门不得不不厌其烦地反复沟通交流，并作出解释。随后，国家推迟了认证制度的实施时间。

　　在2008年7号公告中明确的实施强制性认证的13种信息安全产品，只是众多IT产品中极小的一部分，都是专用的信息安全产品，根本不涉及这些国外媒体报道中提到的数码家用电器、数码复印机、平板电视等产品。

　　按照中国的法律、法规以及认可规范的要求，认证机构和实验室都必须承担为客户保密的责任，在对信息安全产品实施认证和检测时，根据不同安全等级的需要已制定了相应的安全保密措施。申请认证的技术资料仅严格用于实施认证和检测，不会被用于其他目的。

　　而且在这13种产品中，只有智能卡COS产品在认证检测时，需要厂家提供与安全功能有关的部分源代码，另外只有6种含有密码模块的产品需提交与密码实现和使用有关的部分源代码，而非全部源代码。其余的产品申请在认证时没有任何关于提供源代码的要求。值得注意的是，即便是国际上通行的CC（信息技术安全性通用评估准则）认证，在检测智能卡COS时也同样要求提供与安全功能有关的源代码。至于密码模块检测要求提供源代码，早在美国政府发布的标准FIPS140-1（后为FIPS140-2所取代）当中，就提出了更为严格的要求，即申请方必须提供带注释的源代码。中国有句古话，“己所不欲，勿施于人”，美国政府和产业协会居然反对中国的产品认证制度关于密码模块检测需要提供源代码的同样要求。“这难道是美国人健忘或仅仅是‘灯下黑’可以解释的吗？”一位信息安全认证专家反问。

　　这位从事信息安全认证多年的老专家告诉记者，我国正在建立的信息安全产品强制性认证制度，是为了解决中国信息安全产品测评领域存在的重复检测、重复发证等问题，维护国家安全、公众利益和公民权益、理顺管理体制、规范市场、促进产业发展而实施的一项重要管理措施，既符合中国国情，也符合WTO/TBT协议原则。

　　“事实上，国外媒体的真实意图，是通过不准确的信息造舆论，对中国的自主创新施加压力。”另一位不愿透露姓名的中国标准化资深专家评论说。

　　这令人联想起当年的WAPI。WAPI经历了从无人问津到众人追捧、无限期延迟到现在有望重新进入国际标准投票流程的跌宕命运。这峰回路转中，关于技术、标准和市场层面的反思，十分值得现在的中国信息安全产品认证界思考。