我国对信息安全产品强制认证 8类13种

　　计世网消息(作者博兵)

　　近日，国家认监委发布公告，决定对部分信息安全产品实施强制性认证，从2009年5月1日起，未获认证产品不得出厂、销售、进口或使用。

　　公告说，根据《产品质量法》、《标准化法》、《进出口商品检验法》、《认证认可条例》、《强制性产品认证管理规定》和《关于建立国家信息安全产品认证认可体系的通知》，将对边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控、应用安全8类包括防火墙、安全路由器、反垃圾邮件产品在内的13种信息安全产品实施强制性认证。

　　一是边界安全中的防火墙适用的产品范围为，以防火墙功能为主体的软件或软硬件组合；其它网络产品中的防火墙模块；不适用个人防火墙产品。网络安全隔离卡与线路选择器适用的产品范围为，安全隔离计算机；安全隔离卡；安全隔离线路选择器。安全隔离与信息交换产品范围为，安全隔离与信息交换产品；安全隔离与文件单向传输产品。

　　二是通信安全中的安全路由器适用的产品范围为，集成了IPSec/SSL，以及防火墙、入侵检测、安全审计等一种或多种安全模块的路由器，仅接入公用电信网的路由器除外。

　　三是身份鉴别与访问控制中的智能卡COS适用的产品范围为，采用接触或/和非接触工作方式的智能卡的COS；其它被集成或内置了的COS。

　　四是数据安全中的数据备份与恢复产品适用范围为，独立的数据备份与恢复管理软件产品，不包括数据复制产品和持续数据保护产品。

　　五是基础平台中安全操作系统适用的产品适用范围为，独立的安全操作系统软件产品；集成或内置了安全操作系统的产品。安全数据库系统适用的产品范围为，独立的安全数据库系统软件产品；集成或内置了安全数据库系统的产品。

　　六是内容安全中的反垃圾邮件产品适用的范围为，透明的反垃圾邮件网关；基于转发的反垃圾邮件系统；与邮件服务器一体的反垃圾邮件的邮件服务器；安装于已有邮件服务器上反垃圾邮件软件。

　　七是评估审计与监控中的入侵检测系统（IDS）适用的产品范围为，网络型入侵检测系统；主机型入侵检测系统。网络脆弱性扫描产品范围为，网络型脆弱性扫描产品；不适用主机型脆弱性扫描产品；数据库的脆弱性扫描产品；WEB应用的脆弱性扫描产品。安全审计产品范围为：将主机、服务器、网络、数据库及其它应用系统等一类或多类作为审计对象的产品。

　　八是应用安全中的网站恢复产品适用范围为，针对静态网页文件、动态脚本文件及目录进行自动恢复的产品。