信息安全产品实施政府采购的相关政策要求.docx

信息安全产品实施政府采购的相关政策要求.docx

《信息安全产品实施政府采购的相关政策要求.docx》由会员分享，可在线阅读，更多相关《信息安全产品实施政府采购的相关政策要求.docx（50页珍藏版）》请在冰豆网上搜索。

信息安全产品实施政府采购的相关政策要求

信息安全产品实施政府采购的相关政策要求

1.相关政策文件及通知

1.1福建省财政厅通知：

省直各单位，各设区市财政局、信息产业主管部门、质监局：

   根据《中华人民共和国政府采购法》，为进一步贯彻落实质检总局、财政部、认监委《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）要求，规范政府采购信息安全产品行为，现将《财政部、工业和信息化部、质检总局、认监委关于信息安全产品实施政府采购的通知》（财库〔2010〕48号）转发给你们，请认真遵照执行。

二0一0年五月十九日

1.2（财库〔2010〕48号）主要内容：

一、各级国家机关、事业单位和团体组织（以下统称采购人）使用财政性资金采购信息安全产品的，应当采购经国家认证的信息安全产品。

二、在政府采购活动中，采购人或其委托的采购代理机构按照政府采购法的规定一在政府采购招标文件（包括谈判文件、询价文件）中应当载明对产品获得信息安全认证的要求，并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。

三、对采购人或其委托的采购代理机构未按上述要求采购的，有关部门要按照有关法律、法规和规章予以处理，财政部门视情况可以拒付采购资金。

1.3《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）文件重点内容：

根据《关于调整信息安全产品强制性认证实施要求的公告》（2009年第33号）规定，在政府采购法规定范围内实行强行认证，未获得强制性认证证书和未加施中国强制性认证标志的，不得进入政府采购领域。

涉及的信息安全产品范围为8大类13种产品：

1.安全操作系统产品

2.安全隔离与信息交换产品

3.安全路由器产品

4.安全审计产品

5.安全数据库系统产品

6.反垃圾邮件产品

7.防火墙产品

8.入侵检测系统产品

9.数据备份与恢复产品强制认证实施规则

10.网络安全隔离卡与线路选择器产品

11.网络脆弱性扫描产品

12.网站恢复产品

13.智能卡cos产品

2.信息安全等级保护法规：

公安部、国家保密局、国家密码管理局、国务院信息化工作办公室发布“关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号）”，《信息安全等级保护管理办法》第二十一条规定：

第三级以上信息系统应当选择使用符合以下条件的信息安全产品：

（一）产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；

（二）产品的核心技术、关键部件具有我国自主知识产权；

（三）产品研制、生产单位及其主要业务、技术人员无犯罪记录；

（四）产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能；

（五）对国家安全、社会秩序、公共利益不构成危害；

（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。

3.防火墙产品ISCCC认证级别与等级保护要求对比：

3.1信息安全等级保护技术要求：

通过《信息系统安全等级保护基本要求》（GB/T22239-2008），我们简单总结了一下第三级信息系统在网络安全方面防护的重点：

1、结构安全

业务终端与业务服务器之间进行路由控制；

对业务服务重要次序指定带宽分配，优先保证重要应用。

2、访问控制

为数据流提供端口级控制；

实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；

重要网段采取技术手段防止地址欺骗。

3、安全审计

对审计记录进行保护，避免未预期的删除、修改等。

4、边界完整性检查

能对非授权设备私自联到内部网络进行检查并能有效阻断。

5、入侵防范

当检测到攻击行为时，能记录源IP、攻击类型等，并提供报警。

6、恶意代码防范

在网络边界处对恶意代码进行检测和清除，并维护恶意代码库的升级。

7、网络设备防护

主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术进行身份鉴别。

8、通信完整性、保密性

应使用密码技术保证通信过程中数据完整性；

应采用加密或其他措施保证数据传输保密性。

3.2防火墙ISCCC认证技术要求：

目前国内市场上的防火墙类产品，都遵循了《信息安全技术防火墙技术要求和测试评价方法》（GB/T20281-2006）这一标准。

而从2009年4月开始，中国信息安全认证中心对国内的防火墙产品实施了强制认证（ISCCC认证），并且从2010年5月起，未经过认证的产品不能进入政府采购范围。

在ISCCC认证中，防火墙类产品被分为三个等级，第一级最低、第三级最高。

三个级别之间在功能上区别大致如下：

第一级：

抗渗透、恶意代码防御、支撑系统、非正常关机、包过滤、应用代理（包过滤防火墙除外）、NAT（应用级防火墙除外）、流量统计、安全审计、管理。

第二级：

抗渗透、恶意代码防御、支撑系统、非正常关机、包过滤、应用代理（包过滤防火墙除外）、NAT（应用级防火墙除外）、流量统计、安全审计、管理、状态检测、深度包检测、IP/MAC地址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡。

第三级：

抗渗透、恶意代码防御、支撑系统、非正常关机、包过滤、应用代理（包过滤防火墙除外）、NAT（应用级防火墙除外）、流量统计、安全审计、管理、状态检测、深度包检测、IP/MAC地址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡、VPN、协同联动。

3.3技术要求对比结论

通过上面两项分析，我们可以看出如无其它配套设备：

第一级的防火墙设备无法满足“信息安全等级保护第三级”中的带宽管理、地址绑定、动态端口等要求。

第二级的防火墙设备无法满足“信息安全等级保护第三级”中的通信完整性、保密性要求。

因此取得ISCCC防火墙第三级认证的产品将在等级保护要求较高的项目中拥有一定的优势。

4.经常接触产品的ISCCC认证情况：

序号

申请方

产品名称及型号/版本

获证级别

证书号

发证时间

证书状态

1

北京启明星辰信息安全技术有限公司

天清汉马USG防火墙USG-610A/V2.6（百兆）

第二级

2009162301000001

2009-8-28

有效

2

北京启明星辰信息安全技术有限公司

天清汉马USG防火墙USG-2000C/V2.6（千兆）

第二级

2009162301000002

2009-8-28

有效

3

北京启明星辰信息安全技术有限公司

天清汉马USG防火墙USG-10000E/V2.6（万兆）

第二级

2009162301000003

2009-8-28

有效

14

华为技术有限公司

SecowayUSG2000防火墙V3.3（百兆）

第一级

2009162301000014

2009-8-28

有效

15

华为技术有限公司

SecowayUSG5000防火墙V3.3（千兆）

第一级

2009162301000015

2009-8-28

有效

16

华为技术有限公司

QuidwayEudemon200E防火墙V3.3（百兆）

第一级

2009162301000016

2009-8-28

有效

17

华为技术有限公司

QuidwayEudemon1000E防火墙V3.3（千兆）

第一级

2009162301000017

2009-8-28

有效

20

杭州华三通信技术有限公司

H3CSecPath百兆防火墙V3

第二级

2009162301000020

2009-8-28

有效

21

杭州华三通信技术有限公司

H3CSecPath千兆防火墙V3

第二级

2009162301000021

2009-8-28

有效

27

北京山石网科信息技术有限公司

SG-6000安全网关（防火墙产品），V3.0（千兆）

第三级

2009162301000027

2009-8-28

有效

31

杭州安恒信息技术有限公司

明御应用及数据库深度防御审计系统V2.7

基本级

2009162312000031

2009-8-28

有效

32

杭州安恒信息技术有限公司

网站恶意代码防治系统V2.0

基本级

2009162313000032

2009-8-28

有效

35

北京启明星辰信息安全技术有限公司

天阗入侵检测与管理系统V6.0（百兆）

第三级

2009162310000035

2009-9-23

有效

36

北京启明星辰信息安全技术有限公司

天阗千兆入侵检测与管理系统V6.0

第三级

2009162310000036

2009-9-23

有效

37

北京启明星辰信息安全技术有限公司

天镜脆弱性扫描与管理系统V6.0

增强级

2009162311000037

2009-9-23

有效

38

北京天融信科技有限公司

网络卫士防火墙系统NGFWARES/NGFW4000,V3（百兆）

第三级

2009162301000038

2009-9-23

有效

39

北京天融信科技有限公司

网络卫士防火墙系统，NGFW4000-UF/V3（千兆）

第三级

2009162301000039

2009-9-23

有效

42

北京天行网安信息技术有限责任公司

天行安全隔离网闸Topwalk-GAP/V3.0

第二级

2009162303000042

2009-12-22

有效

46

深圳市利谱信息技术有限公司

TIPTOP物理隔离卡TP-901/V3.0

增强级

2010162302000046

2010-2-5

有效

49

北京天融信科技有限公司

网络卫士安全网关系统，TopGate/V3（千兆）（防火墙产品）

第三级

2010162301000049

2010-3-30

有效

50

北京天融信科技有限公司

网络卫士安全网关系统，TopGate/V3（百兆）（防火墙产品）

第三级

2010162301000050

2010-3-30

有效

56

北京天融信科技有限公司

网络卫士安全隔离与信息交换系统TopRules/V3

第二级

2010162303000056

2010-4-19

有效

58

杭州华三通信技术有限公司

H3CSecPath千兆入侵防御系统V5（网络型入侵检测系统产品）

第三级

2010162310000058

2010-4-19

有效

70

北京天融信科技有限公司

网络卫士防火墙系统，NGFW4000-UF/V3（万兆）

第一级

2010162301000070

2010-5-17

有效

72

北京网康科技有限公司

网康互联网控制网关NS-ICG/V5.5.1（安全审计产品）

基本级

2010162312000072

2010-5-26

有效

81

上海爱数软件有限公司

爱数备份软件V3.0（数据备份与恢复产品）

基本级

2010162306000081

2010-6-1

有效

85

北京天融信科技有限公司

网络卫士入侵检测系统TopSentry2000/V2（百兆）

第三级

2010162310000085

2010-6-8

有效

86

北京天融信科技有限公司

网络卫士入侵检测系统TopSentry3000/V2（千兆）

第三级

2010162310000086

2010-6-8

有效

87

北京天融信科技有限公司

网络卫士网络审计系统V3

基本级

2010162312000087

2010-6-8