中国信息安全产品CCC认证,是否要求公开源码?

090611cccs

技术在线】前不久中国政府宣布把此前发布的信息安全产品强制性认证(CCC认证)的实施对象限定为政府采购产品,并把实施日期推迟到了2010年5月1日。同时还公布了13种实施对象的审查实施细则和所采用的技术标准。
  中国的CCC认证制度始于2002年,作为中国实施的产品安全认证制度,主要作用是依照中国的技术标准,对在中国境内销售与流通的产品是否符合标准进行审查。审查对象如不能取得认证则无法上市销售。在此之前,实施对象仅为电子等硬件产品,到2008年,中国政府又发布了从2009年5月起将软件等信息安全产品也纳入认证范围的公告。对此,日本和欧美多国政府以及经济团体一致表示反对。要求撤销或修改有关规定。甚至有报道称“会被要求公开源码”(参阅本站报道),对认证可能导致知识产权外泄的担心也越发强烈。但在当时,实施细则还不清楚,参照哪些技术标准、是否真的要求公开源码等也都没有明确答案。但即便如此,该规定在海外依然遭到了强烈反对,此次延期和将对象限定于政府采购估计就是出于考虑到了海外的反对因素。
  随着对象被限定为政府采购产品,最初的影响范围有限。“因为是政府采购,所以主要产品将是中国产品”。即便如此,日本经济产业省依然感到不安:“虽然影响程度不详,但该规定带来的冲击不小。我们要求中国政府撤销这一规定。因为这不仅有可能造成信息漏洩,而且业务负担与CCC一样较大”。日本的电子信息技术产业协会(JEITA)也表达了强烈担忧,认为“这会成为国际贸易的阻碍因素”。2009年6月7日召开的日中两国经济高层对话也涉及到该问题,但没有获得进展。
所要求的信息公开程度不明
  伴随着实施细则的公开,审查的流程和需要遵守的技术标准都已经明确。在实施细则中,除13种对象产品需要提交的资料和认证手续办理方法外,还把中国的技术标准“GB/T”*和中国国家认证认可监督管理委员会(CNCA)制定的“CNCA/CTS”标准指定为参照技术标准。但是,对于产品的信息应该公开到何种程度依然不明确。GB/T和CNCA/CTS虽然有一部分遵循ISO等国际标准,中国的独自标准也为数众多。
  尤其是为13种产品指定的技术标准,均没有相应的国际标准。虽然在某种程度上沿袭了信息安全国际标准“ISO/IEC 15408”,但旧标准偏多,缺乏标准的一致性。而且,GB/T和CNCA/CTS没有英文和日文版本,需要购买中文原版仔细阅读才能知道详细信息。为此很多人认为,具体要求产品的情报公开到何种程度,有赖于技术标准的内容和认证部门的运用,只有在认证开始后才能真正了解得到。而且,鉴于ISO/IEC 15408条根据不同的安全性能要求,在取得认证时也需要提交设计书和源码,因此,可以认为此次的CCC认证也有可能要求公开源码和技术信息。但ISO/IEC 15480只是对于自主申请的认证有效,而CCC却是强制认证,这一点有巨大区别。
* GB/T:被称之为“推荐国家标准”的标准。从家电到服装类产品,对多种产品均制定了标准。不同产品授予不同的标准号。
  熟悉CCC认证的UL Japan全球市场准入部藤仓雅秀的看法是“某种程度的信息公开无法避免”。他认为,此前的硬件产品认证虽然要求提交电路图和框图等资料,但并不涉及技术诀窍等信息。不过,对于以软件为主的信息产品,可能会进一步要求公开略微深入的信息。
日本反应过度?
  另一方面,也有人认为日本的担心有些反应过度。该认证制度除海外企业的产品外,当然也包括中国企业的产品。在中国国内,对于信息产品实施CCC认证一事基本上无人认为是个问题,人们不理解这一规定为何会在日本掀起了轩然大波。日本综合研究所主任研究员肖宇生表示:“在中国国内,人们认为从国家安全的角度出发,政府采购要进行审查是理所当然的”。而且,“实施细则中采用的技术标准是最为严格的标准,在运用时有可能进一步简化。除非是涉及到极度的国家安全用途,否则要求公开源码的情况不会太多,原则上也不会要求公开有关技术诀窍的信息”(肖宇生)。据说即使被要求提交有关技术诀窍的相关信息,仍然存在与认证部门进行交涉的余地。肖宇生还表示“首先明确方向,然后在运用过程中调整时期和流程是中国式的做法。因此认证的撤销不太可能,但在审查内容上会在某种程度上灵活运用”(肖)。
  未来商务文化董事社长韦兰春也认为信息漏洩的可能性不大:“审查官不是信息安全的技术专家,因此不会去解读冗长的源码。不过是检查产品的质量保证体制是否完善”。上述乐观看法的依据是:强制认证的主要目的在于检查产品配置及其开发体制、性能检查体制等内容,而不是安全性能。
  可见,就连熟悉CCC认证的专家意见也不一致。而且,认证所需的初次工厂检查的实施场所也不清楚。初次工厂检查在检查技术标准符合程度的型式试验之后进行,对于硬件产品,采用的方式是中国派出检查员前往制造厂对品质管理系统等方面进行审查。但是对于软件产品,目前还不清楚审查是以CD等发行介质的包装工序为对象,还是把左右质量的开发工序视为制造工序。这一点也必须向政府的认证部门咨询。
无线LAN产品也有相同经历
  其实,“在遭到国际性反对后,把CCC认证产品的范围缩小至政府采购”的做法并不是第一次。熟悉CCC认证业务的UL Japan全球市场准入部藤仓雅秀表示,无线LAN产品就曾有过相同的经历。2003年,中国政府发布了把无线LAN产品作为CCC实施对象的公告。但是在日美政府和产业界的一致反对下,该规定的实施从2004年开始先被无限延期。直至2005年才发布了仅对政府采购产品应用CCC认证的通知。背景是中国政府希望本国制定的自主标准“WAPI”能够成为全球的国际标准,所以通过CCC认证,要求无线LAN产品必须支持WAPI。不久前,中国曾尝试推动ISO和IEC接受WAPI成为国际标准,但最终败给了IEEE 802.11i规格。
  信息安全产品也可能会走上同样的道路。UL Japan的藤仓表示:“此次信息安全产品的CCC认证中可能也隐藏着掌控技术标准的想法”。而且,鉴于中国的工业和信息部有控制中国国内传播的信息的想法,为此需要事先掌控IT安全产品。虽然最初的计划没有完全实现,但随着将信息产品的CCC认证限定于政府采购和延期实施的让步措施出台,中国政府撤销该规定的可能性很低。所以有可能受到该措施影响的企业最好在获得和认真分析有关技术标准的基础上,时刻关注事态的发展。如果是马上就会受到认证影响的企业,则需要直接向认证部