近日,国家认监委发布公告,决定对部分信息安全产品实施强制性认证,从2009年5月1日起,未获认证产品不得出厂、销售、进口或使用。
近日,国家认监委发布公告,决定对部分信息安全产品实施强制性认证,从2009年5月1日起,未获认证产品不得出厂、销售、进口或使用。
公告说,根据《产品质量法》、《标准化法》、《进出口商品检验法》、《认证认可条例》、《强制性产品认证管理规定》和《关于建立国家信息安全产品认证认可体系的通知》,将对边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控、应用安全8类包括防火墙、安全路由器、反垃圾邮件产品在内的13种信息安全产品实施强制性认证。
一是边界安全中的防火墙适用的产品范围为,以防火墙功能为主体的软件或软硬件组合;其它网络产品中的防火墙模块;不适用个人防火墙产品。网络安全隔离卡与线路选择器适用的产品范围为,安全隔离计算机;安全隔离卡;安全隔离线路选择器。安全隔离与信息交换产品范围为,安全隔离与信息交换产品;安全隔离与文件单向传输产品。
二是 通信安全中的安全路由器适用的产品范围为,集成了IPSec/SSL,以及防火墙、入侵检测、安全审计等一种或多种安全模块的路由器,仅接入公用电信网的路由器除外。
三是身份鉴别与访问控制中的智能卡COS适用的产品范围为,采用接触或/和非接触工作方式的智能卡的COS;其它被集成或内置了的COS。
四是数据安全中的数据备份与恢复产品适用范围为,独立的数据备份与恢复管理软件产品,不包括数据复制产品和持续数据保护产品。
五是基础平台中安全操作系统适用的产品适用范围为,独立的安全操作系统软件产品;集成或内置了安全操作系统的产品。安全数据库系统适用的产品范围为,独立的安全数据库系统软件产品;集成或内置了安全数据库系统的产品。
六是内容安全中的反垃圾邮件产品适用的范围为,透明的反垃圾邮件网关;基于转发的反垃圾邮件系统;与邮件服务器一体的反垃圾邮件的邮件服务器;安装于已有邮件服务器上反垃圾邮件软件。
七是评估审计与监控中的入侵检测系统(IDS)适用的产品范围为,网络型入侵检测系统;主机型入侵检测系统。网络脆弱性扫描产品范围为,网络型脆弱性扫描产品;不适用主机型脆弱性扫描产品;数据库的脆弱性扫描产品;WEB应用的脆弱性扫描产品。安全审计产品范围为:将主机、服务器、网络、数据库及其它应用系统等一类或多类作为审计对象的产品。
八是应用安全中的网站恢复产品适用范围为,针对静态网页文件、动态脚本文件及目录进行自动恢复的产品。
