“方便”和“隐患”

　　目前，国内信息安全认证的发展之所以会如此艰难，除了国内产业环境还不完全成熟的客观条件外，主要的阻力来自于国外的反对。国外反对势力的目的很明显，要求中国加入到他们主导的CCRA协定中，并以此打压中国自主标准的创新能力。

　　那么，这个CCRA到底是一种什么样的协定？会给这些国家带来哪些“方便”呢？

　　目前，在国际上，有美国、英国、法国等26个国家共同签署的基于所谓通用准则（CC）的互认协议（CCRA），他们一直要求中国也加入到CC互认的阵营中来。CCRA虽然有值得我国标准参考和借鉴之处，但也有许多不适应我国国情的地方。

　　“中国加入CCRA，对他们最直接的一个好处就是国外的很多企业的上千种产品进入中国市场，就不用按照中国的标准再进行任何检测认证了。而按照该协议的条款，在中国国内认证过的产品必须在两年的准备期之后，才有可能直接进入相关成员国家！”有关人士分析说，在给相关成员国“方便”同时，会为中国产品埋下一系列安全隐患。

　　一位信息安全产业内非常资深的人士告诉记者，特别是在目前的政府采购中，笔记本电脑、手机、数码相机、路由器、交换机等高端通信设备，基本上以国外的产品比较多。因此，在政府的采购领域，信息安全产品进行强制性认证是非常必要的。

　　“说到安全隐患，广泛采购的多功能一体机就是一个典型例子。” 这位人士告诉记者。这种多功能一体机集扫描仪、传真机、打印机和复印机于一身，既可以扫描纸质文件和照片，又可以复印和打印文件，还可以直接将电子文档通过传真发给对方。有些设备还同时具备电话、电子邮件等功能。由于多功能一体机自带CPU、存储器、显示设备、输入输出设备，集成了信息的采集、处理和传输等功能，其本质已经相当于一台计算机。因此，与普通计算机一样，多功能一体机存在着漏洞和后门等安全隐患，尤其在敏感信息处理过程中，存在信息被无意泄露或被恶意窃取的可能。尽管部分厂商宣称其产品使用了身份认证、加密（存储加密、传输加密）、清除残留信息等措施来提高安全性，但对于有专业知识且有恶意企图的人来说，仍然可以利用多功能一体机窃取敏感信息。“如果我们加入了CCRA，这些国外产品将可以规避我国的信息安全检测评估，所带来的安全风险与隐患不可低估。”

　　因此，基于这种考虑，相关专家谏言，对于是否加入CCRA，是强制性认证还是自愿性认证，中国目前都还需要认真研究、分析。尤其在信息安全领域，无论从产业发展角度还是行业管理角度，中国都不应该完全放弃自主的技术标准，完全去追随国际标准。这将对我国信息安全产品和技术的自主创新极为不利。因此，中国目前并没有申请加入CCRA。

　　在建立中国自主的信息安全产品认证体系过程中，中国应该如何发展。“我们不能跟着西方的指挥棒走，要坚持自主标准，建立属于自己的信息安全产品统一认证体系。”有关人士说。