信息安全产品实施政府采购的相关政策要求.docx
《信息安全产品实施政府采购的相关政策要求.docx》由会员分享,可在线阅读,更多相关《信息安全产品实施政府采购的相关政策要求.docx(51页珍藏版)》请在冰点文库上搜索。
信息安全产品实施政府采购的相关政策要求
信息安全产品实施政府采购的相关政策要求
1.相关政策文件及通知
1.1福建省财政厅通知:
省直各单位,各设区市财政局、信息产业主管部门、质监局:
根据《中华人民共和国政府采购法》,为进一步贯彻落实质检总局、财政部、认监委《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)要求,规范政府采购信息安全产品行为,现将《财政部、工业和信息化部、质检总局、认监委关于信息安全产品实施政府采购的通知》(财库〔2010〕48号)转发给你们,请认真遵照执行。
二0一0年五月十九日
1.2(财库〔2010〕48号)主要内容:
一、各级国家机关、事业单位和团体组织(以下统称采购人)使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。
二、在政府采购活动中,采购人或其委托的采购代理机构按照政府采购法的规定一在政府采购招标文件(包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求,并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。
三、对采购人或其委托的采购代理机构未按上述要求采购的,有关部门要按照有关法律、法规和规章予以处理,财政部门视情况可以拒付采购资金。
1.3《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)文件重点内容:
根据《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)规定,在政府采购法规定范围内实行强行认证,未获得强制性认证证书和未加施中国强制性认证标志的,不得进入政府采购领域。
涉及的信息安全产品范围为8大类13种产品:
1.安全操作系统产品
2.安全隔离与信息交换产品
3.安全路由器产品
4.安全审计产品
5.安全数据库系统产品
6.反垃圾邮件产品
7.防火墙产品
8.入侵检测系统产品
9.数据备份与恢复产品强制认证实施规则
10.网络安全隔离卡与线路选择器产品
11.网络脆弱性扫描产品
12.网站恢复产品
13.智能卡cos产品
2.信息安全等级保护法规:
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室发布“关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)”,《信息安全等级保护管理办法》第二十一条规定:
第三级以上信息系统应当选择使用符合以下条件的信息安全产品:
(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
(二)产品的核心技术、关键部件具有我国自主知识产权;
(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
(四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
(五)对国家安全、社会秩序、公共利益不构成危害;
(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。
3.防火墙产品ISCCC认证级别与等级保护要求对比:
3.1信息安全等级保护技术要求:
通过《信息系统安全等级保护基本要求》(GB/T22239-2008),我们简单总结了一下第三级信息系统在网络安全方面防护的重点:
1、结构安全
业务终端与业务服务器之间进行路由控制;
对业务服务重要次序指定带宽分配,优先保证重要应用。
2、访问控制
为数据流提供端口级控制;
实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制;
重要网段采取技术手段防止地址欺骗。
3、安全审计
对审计记录进行保护,避免未预期的删除、修改等。
4、边界完整性检查
能对非授权设备私自联到内部网络进行检查并能有效阻断。
5、入侵防范
当检测到攻击行为时,能记录源IP、攻击类型等,并提供报警。
6、恶意代码防范
在网络边界处对恶意代码进行检测和清除,并维护恶意代码库的升级。
7、网络设备防护
主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术进行身份鉴别。
8、通信完整性、保密性
应使用密码技术保证通信过程中数据完整性;
应采用加密或其他措施保证数据传输保密性。
3.2防火墙ISCCC认证技术要求:
目前国内市场上的防火墙类产品,都遵循了《信息安全技术防火墙技术要求和测试评价方法》(GB/T20281-2006)这一标准。
而从2009年4月开始,中国信息安全认证中心对国内的防火墙产品实施了强制认证(ISCCC认证),并且从2010年5月起,未经过认证的产品不能进入政府采购范围。
在ISCCC认证中,防火墙类产品被分为三个等级,第一级最低、第三级最高。
三个级别之间在功能上区别大致如下:
第一级:
抗渗透、恶意代码防御、支撑系统、非正常关机、包过滤、应用代理(包过滤防火墙除外)、NAT(应用级防火墙除外)、流量统计、安全审计、管理。
第二级:
抗渗透、恶意代码防御、支撑系统、非正常关机、包过滤、应用代理(包过滤防火墙除外)、NAT(应用级防火墙除外)、流量统计、安全审计、管理、状态检测、深度包检测、IP/MAC地址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡。
第三级:
抗渗透、恶意代码防御、支撑系统、非正常关机、包过滤、应用代理(包过滤防火墙除外)、NAT(应用级防火墙除外)、流量统计、安全审计、管理、状态检测、深度包检测、IP/MAC地址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡、VPN、协同联动。
3.3技术要求对比结论
通过上面两项分析,我们可以看出如无其它配套设备:
第一级的防火墙设备无法满足“信息安全等级保护第三级”中的带宽管理、地址绑定、动态端口等要求。
第二级的防火墙设备无法满足“信息安全等级保护第三级”中的通信完整性、保密性要求。
因此取得ISCCC防火墙第三级认证的产品将在等级保护要求较高的项目中拥有一定的优势。
4.经常接触产品的ISCCC认证情况:
序号
申请方
产品名称及型号/版本
获证级别
证书号
发证时间
证书状态
1
北京启明星辰信息安全技术有限公司
天清汉马USG防火墙USG-610A/V2.6(百兆)
第二级
2009162301000001
2009-8-28
有效
2
北京启明星辰信息安全技术有限公司
天清汉马USG防火墙USG-2000C/V2.6(千兆)
第二级
2009162301000002
2009-8-28
有效
3
北京启明星辰信息安全技术有限公司
天清汉马USG防火墙USG-10000E/V2.6(万兆)
第二级
2009162301000003
2009-8-28
有效
14
华为技术有限公司
SecowayUSG2000防火墙V3.3(百兆)
第一级
2009162301000014
2009-8-28
有效
15
华为技术有限公司
SecowayUSG5000防火墙V3.3(千兆)
第一级
2009162301000015
2009-8-28
有效
16
华为技术有限公司
QuidwayEudemon200E防火墙V3.3(百兆)
第一级
2009162301000016
2009-8-28
有效
17
华为技术有限公司
QuidwayEudemon1000E防火墙V3.3(千兆)
第一级
2009162301000017
2009-8-28
有效
20
杭州华三通信技术有限公司
H3CSecPath百兆防火墙V3
第二级
2009162301000020
2009-8-28
有效
21
杭州华三通信技术有限公司
H3CSecPath千兆防火墙V3
第二级
2009162301000021
2009-8-28
有效
27
北京山石网科信息技术有限公司
SG-6000安全网关(防火墙产品),V3.0(千兆)
第三级
2009162301000027
2009-8-28
有效
31
杭州安恒信息技术有限公司
明御应用及数据库深度防御审计系统V2.7
基本级
2009162312000031
2009-8-28
有效
32
杭州安恒信息技术有限公司
网站恶意代码防治系统V2.0
基本级
2009162313000032
2009-8-28
有效
35
北京启明星辰信息安全技术有限公司
天阗入侵检测与管理系统V6.0(百兆)
第三级
2009162310000035
2009-9-23
有效
36
北京启明星辰信息安全技术有限公司
天阗千兆入侵检测与管理系统V6.0
第三级
2009162310000036
2009-9-23
有效
37
北京启明星辰信息安全技术有限公司
天镜脆弱性扫描与管理系统V6.0
增强级
2009162311000037
2009-9-23
有效
38
北京天融信科技有限公司
网络卫士防火墙系统NGFWARES/NGFW4000,V3(百兆)
第三级
2009162301000038
2009-9-23
有效
39
北京天融信科技有限公司
网络卫士防火墙系统,NGFW4000-UF/V3(千兆)
第三级
2009162301000039
2009-9-23
有效
42
北京天行网安信息技术有限责任公司
天行安全隔离网闸Topwalk-GAP/V3.0
第二级
2009162303000042
2009-12-22
有效
46
深圳市利谱信息技术有限公司
TIPTOP物理隔离卡TP-901/V3.0
增强级
2010162302000046
2010-2-5
有效
49
北京天融信科技有限公司
网络卫士安全网关系统,TopGate/V3(千兆)(防火墙产品)
第三级
2010162301000049
2010-3-30
有效
50
北京天融信科技有限公司
网络卫士安全网关系统,TopGate/V3(百兆)(防火墙产品)
第三级
2010162301000050
2010-3-30
有效
56
北京天融信科技有限公司
网络卫士安全隔离与信息交换系统TopRules/V3
第二级
2010162303000056
2010-4-19
有效
58
杭州华三通信技术有限公司
H3CSecPath千兆入侵防御系统V5(网络型入侵检测系统产品)
第三级
2010162310000058
2010-4-19
有效
70
北京天融信科技有限公司
网络卫士防火墙系统,NGFW4000-UF/V3(万兆)
第一级
2010162301000070
2010-5-17
有效
72
北京网康科技有限公司
网康互联网控制网关NS-ICG/V5.5.1(安全审计产品)
基本级
2010162312000072
2010-5-26
有效
81
上海爱数软件有限公司
爱数备份软件V3.0(数据备份与恢复产品)
基本级
2010162306000081
2010-6-1
有效
85
北京天融信科技有限公司
网络卫士入侵检测系统TopSentry2000/V2(百兆)
第三级
2010162310000085
2010-6-8
有效
86
北京天融信科技有限公司
网络卫士入侵检测系统TopSentry3000/V2(千兆)
第三级
2010162310000086
2010-6-8
有效
87
北京天融信科技有限公司
网络卫士网络审计系统V3
基本级
2010162312000087
2010-6-8
有效
91
福建省海峡信息技术有限公司
黑盾安全审计系统HDSAS/V3.0
基本级
2010162312000091
2010-6-9
有效
92
福建省海峡信息技术有限公司
黑盾防火墙HDFW/V3.5(百兆)
第一级
2010162301000092
2010-6-9
有效
93
福建省海峡信息技术有限公司
黑盾网络入侵检测系统HDNIDS/V3.1(百兆)
第一级
2010162310000093
2010-6-9
有效
94
福建省海峡信息技术有限公司
黑盾防火墙HDFW/V3.5(千兆)
第一级
2010162301000094
2010-6-9
有效
95
福建省海峡信息技术有限公司
黑盾网络入侵检测系统HDNIDS/V3.1(千兆)
第一级
2010162310000095
2010-6-9
有效
103
北京启明星辰信息安全技术有限公司
天玥网络安全审计系统V6.0
增强级
2010162312000103
2010-7-13
有效
106
福建星网锐捷网络有限公司
锐捷防火墙RG-WALL160V5.2(百兆)
第二级
2010162301000106
2010-7-22
有效
107
福建星网锐捷网络有限公司
锐捷防火墙RG-WALL1600V5.2(千兆)
第二级
2010162301000107
2010-7-22
有效
111
北京圣博润高新技术股份有限公司
LanSecS内网安全管理系统V7.0(安全审计产品)
基本级
2010162312000111
2010-8-5
有效
117
珠海经济特区伟思有限公司
伟思信安网络安全隔离卡(双硬盘)V1.00
增强级
2010162302000117
2010-8-31
有效
118
珠海经济特区伟思有限公司
伟思信安ViGap安全隔离与信息交换系统V6.5
第二级
2010162303000118
2010-8-31
有效
121
杭州奇智信息科技有限公司
奇智运维操作管理系统软件SHTERMIIV2.6(安全审计产品)
基本级
2010162312000121
2010-9-6
有效
139
上海天存信息技术有限公司
iGuard网页防篡改系统V3.0(网站恢复产品)
增强级
2010162313000139
2010-9-28
有效
153
山东中创软件商用中间件股份有限公司
InforGuard网页防篡改系统V5(网站恢复产品)
增强级
2010162313000153
2010-11-22
有效
154
北京天融信科技有限公司
网络卫士数据库审计系统V3
基本级
2010162312000154
2010-11-22
有效
172
深圳市深信服电子科技有限公司
AC上网行为管理网关ACV1.0(安全审计产品)
基本级
2011162312000172
2011-2-23
有效
183
北京启明星辰信息安全技术有限公司
天清汉马USG-FW防火墙USG-FW-610C/V2.6(百兆)
第二级
2011162301000183
2011-4-27
有效
184
北京启明星辰信息安全技术有限公司
天清汉马USG-FW防火墙USG-FW-2000C/V2.6(千兆)
第二级
2011162301000184
2011-4-27
有效
197
北京山石网科信息技术有限公司
SG-6000安全网关SG-6000/V3.0(万兆)(防火墙产品)
第三级
2011162301000197
2011-7-1
有效
5.目前获得ISCCC认证的产品名录:
查询网址:
国家信息安全产品认证获证名单
时间:
2011-07-01 作者:
中国信息安全认证中心
序号
申请方
产品名称及型号/版本
获证级别
证书号
发证时间
证书状态
1
北京启明星辰信息安全技术有限公司
天清汉马USG防火墙USG-610A/V2.6(百兆)
第二级
2009162301000001
2009-8-28
有效
2
北京启明星辰信息安全技术有限公司
天清汉马USG防火墙USG-2000C/V2.6(千兆)
第二级
2009162301000002
2009-8-28
有效
3
北京启明星辰信息安全技术有限公司
天清汉马USG防火墙USG-10000E/V2.6(万兆)
第二级
2009162301000003
2009-8-28
有效
4
网御神州科技(北京)有限公司
网神SecIDS3600入侵检测系统V4.0(千兆)
第三级
2009162310000004
2009-8-28
有效
5
网御神州科技(北京)有限公司
网神SecGate3600防火墙V3.6.6.0(千兆)
第二级
2009162301000005
2009-8-28
有效
6
网御神州科技(北京)有限公司
SecFox安全管理系统(安全审计产品)V1.0
基本级
2009162312000006
2009-8-28
有效
7
网御神州科技(北京)有限公司
网神SecSIS3600安全隔离与信息交换系统(V2.0)
第二级
2009162303000007
2009-8-28
有效
8
西安交大捷普网络科技有限公司
捷普防火墙F4000/V4.0(百兆)
第三级
2009162301000008
2009-8-28
有效
9
西安交大捷普网络科技有限公司
捷普防火墙F4000/V4.0(千兆)
第三级
2009162301000009
2009-8-28
有效
10
西安交大捷普网络科技有限公司
捷普入侵检测系统JIDS-N100/V3.0(百兆)
第二级
2009162310000010
2009-8-28
有效
11
西安交大捷普网络科技有限公司
捷普入侵检测系统JIDS-N1000/V3.0(千兆)
第二级
2009162310000011
2009-8-28
有效
12
西安交大捷普网络科技有限公司
捷普信息审计系统JBCA/V3.0
增强级
2009162312000012
2009-8-28
有效
13
西安交大捷普网络科技有限公司
捷普主机监控与审计系统JHAUDIT/V2.0
增强级
2009162312000013
2009-8-28
有效
14
华为技术有限公司
SecowayUSG2000防火墙V3.3(百兆)
第一级
2009162301000014
2009-8-28
有效
15
华为技术有限公司
SecowayUSG5000防火墙V3.3(千兆)
第一级
2009162301000015
2009-8-28
有效
16
华为技术有限公司
QuidwayEudemon200E防火墙V3.3(百兆)
第一级
2009162301000016
2009-8-28
有效
17
华为技术有限公司
QuidwayEudemon1000E防火墙V3.3(千兆)
第一级
2009162301000017
2009-8-28
有效
18
上海华堂网络有限公司
华堂千兆网络安全防御系统V4.3(防火墙产品)
第三级
2009162301000018
2009-8-28
有效
19
上海华堂网络有限公司
华堂网络安全防御系统V4.0(防火墙产品)(百兆)
第三级
2009162301000019
2009-8-28
有效
20
杭州华三通信技术有限公司
H3CSecPath百兆防火墙V3
第二级
2009162301000020
2009-8-28
有效
21
杭州华三通信技术有限公司
H3CSecPath千兆防火墙V3
第二级
2009162301000021
2009-8-28
有效
22
杭州迪普科技有限公司
迪普DPtech百兆防火墙V1
第二级
2009162301000022
2009-8-28
有效
23
杭州迪普科技有限公司
迪普DPtech千兆防火墙V1
第二级
2009162301000023
2009-8-28
有效
24
成都三零盛安信息系统有限公司
鹰眼安全审计系统NSAS/V5
基本级
2009162312000024
2009-8-28
有效
25
成都三零盛安信息系统有限公司
鹰眼主页防篡改系统PPS/V6.0
基本级
2009162313000025
2009-8-28
注销
26
成都三零盛安信息系统有限公司
鹰眼网络入侵检测系统NIDS/V5(千兆)
第二级
2009162310000026
2009-8-28
有效
27
北京山石网科信息技术有限公司
SG-6000安全网关(防火墙产品),V3.0(千兆)
第三级
2009162301000027
2009-8-28
有效
28
北京安氏领信科技发展有限公司
领信入侵检测防护系统V7(入侵检测产品)(千兆)
第三级
2009162310000028
2009-8-28
有效
29
北京安氏领信科技发展有限公司
领信统一威胁管理(防火墙产品)V8(千兆)
第一级
2009162301000029
2009-8-28
有效
30
四川川大能士信息安全有限公司
能士防火墙NESEC110(FG320/FG330/FG340/
FG360/FG380)V5.00(百兆)
第二级
2009162301000030
2009-8-28
有效
31
杭州安恒信息技术有限公司
明御应用及数据库深度防御审计系统V2.7
基本级
2009162312000031
2009-8-28
有效
32
杭州安恒信息技术有限公司
网站恶意代码防治系统V2.0
基本级
2009162313000032
2009-8-28
有效
33
杭州思福迪信息技术有限公司
Logbase日志管理综合审计系统V1.0
增强级
2009162312000033
2009-8-28
有效
34
北京速龙软件科技有限公司
速龙网站智能自动防护系统V1.0
基本级
2009162313000034
2009-8-28
有效
35
北京启明星辰信息安全技术有限公司
天阗入侵检测与管理系统V6.0(百兆)
第三级
2009162310000035
2009-9-23
有效
36
北京启明星辰信息安全技术有限公司
天阗千兆入侵检测与管理系统V6.0
第三级
2009162310000036
2009-9-23
有效
37
北京启明星辰信息安全技术有限公司
天镜脆弱性扫描与管理系统V6.0
增强级
2009162311000037
2009-9-23
有效
38
北京天融信科技有限公司
网络卫士防火墙系统NGFWARES/NGFW4000,V3(百兆)
第三级
2009162301000038
2009-9-23
有效
39
北京天融信科技有限公司
网络卫士防火墙系统,NGFW4000-UF/V3(千兆)
第三级
20091
升级会员 