攸關(guān)政府資安設(shè)備採(cǎi)購(gòu)的臺(tái)銀共同供應(yīng)契約—網(wǎng)路及資訊安全設(shè)備類(lèi)(LP5-990074),自從去年新制訂出「加值服務(wù)選項(xiàng)」規(guī)格�,要求必須通過(guò)資訊安全產(chǎn)品評(píng)估之共同準(zhǔn)則(Common Criteria, CC)ISO/IEC 15408定義之評(píng)估保證等級(jí)(EAL)檢測(cè)認(rèn)證之產(chǎn)品可被採(cǎi)購(gòu)勾選�����。公告一出�����,對(duì)臺(tái)灣資安設(shè)備市場(chǎng)造成不小衝擊�。而NCC經(jīng)過(guò)一年努力推動(dòng)臺(tái)灣版資通設(shè)備安全檢測(cè)認(rèn)證���,並期望在今年7月臺(tái)銀換約時(shí)也被納入加值服務(wù)選項(xiàng)認(rèn)可中,但目前看來(lái)仍有變數(shù)���。
去年臺(tái)銀祭出這項(xiàng)公告,首波是在入侵偵測(cè)防禦系統(tǒng)�、防火牆與防毒閘道器等三類(lèi)產(chǎn)品的採(cǎi)購(gòu)案中���。據(jù)臺(tái)銀統(tǒng)計(jì)���,自去年公告至今年4月為止�����,在這三類(lèi)的產(chǎn)品採(cǎi)購(gòu)案中,有近半數(shù)的採(cǎi)購(gòu)案均勾選需要此加值服務(wù)選項(xiàng)功能�。
而有無(wú)加值服務(wù)功能最大的差別就是反映在售價(jià)上�。以1Gbps吞吐量的防火牆來(lái)說(shuō)���,含加值服務(wù)功能的產(chǎn)品售價(jià)約比不含此功能的產(chǎn)品高出5倍�,而以500Mbps的入侵偵測(cè)防禦系統(tǒng)來(lái)說(shuō),也有2倍的價(jià)差�。
由於目前取得CC認(rèn)證以外商品牌居多�,因此市場(chǎng)上呈現(xiàn)幾家歡樂(lè)幾家愁現(xiàn)象�。在國(guó)外政府標(biāo)案市場(chǎng)中,常見(jiàn)資安設(shè)備以國(guó)土安全為由���,被設(shè)定採(cǎi)購(gòu)門(mén)檻,外商需要配合該國(guó)各種規(guī)定才有機(jī)會(huì)得標(biāo)�。本土廠(chǎng)商認(rèn)為此次臺(tái)灣政府不扶植本土業(yè)者就罷了���,臺(tái)銀此舉將本土品牌屏除在這些加值選項(xiàng)之外,將不利國(guó)內(nèi)資安產(chǎn)業(yè)的發(fā)展。
通傳會(huì)NCC所推動(dòng)的臺(tái)灣版CC認(rèn)證�����,其包含書(shū)面審查與實(shí)機(jī)檢測(cè)兩部分,目前已制定出8類(lèi)資通設(shè)備安全檢測(cè)技術(shù)規(guī)範(fàn)(網(wǎng)路型防火牆等8類(lèi)IS0008~IS0015)�����,而國(guó)外CC認(rèn)證只包含書(shū)面審查。然而自去年NCC開(kāi)始舉辦檢測(cè)說(shuō)明會(huì),迄今本土廠(chǎng)商投入準(zhǔn)備此認(rèn)證的廠(chǎng)商卻不多,有業(yè)者認(rèn)為此認(rèn)證目前尚未被臺(tái)銀共同供應(yīng)契約認(rèn)可�����,耗費(fèi)金錢(qián)�、人力資源投入也未必看得到結(jié)果,目前先觀望�。
臺(tái)銀委託二科表示���,此認(rèn)證能否暨CC之後�����,也被納入加值服務(wù)選項(xiàng),目前仍在研議中,將視取得認(rèn)證通過(guò)的家數(shù)來(lái)衡量。NCC技術(shù)管理處羅金賢副處長(zhǎng)指出�,近期將與臺(tái)銀協(xié)調(diào)���,請(qǐng)臺(tái)銀支持政府政策�����,將技術(shù)規(guī)範(fàn)納入加值服務(wù)選項(xiàng)當(dāng)中。