强制性认证之下的安全问题

　　摘要：很多人在购买家用电器产品时，可能会留心看一下，产品上是否有3C认证标识。3C认证（China Compulsory Certificate）即中国产品强制认证。自2003年5月1日起，我国正式对19类132种产品实施强制性认证管理，主要包括家电、信息技术设备等。其后，国家又相继公布了几批强制性产品认证产品目录，需要强制认证的产品种类在不断增加。 

　　国内厂商积极性更高
　　
　　国内外主要的数据备份与恢复软件厂商，发现国内厂商在3C认证方面比较积极，现已通过产品认证的两个厂商都是国内厂商，包括上海爱数软件有限公司和火星高科（天津火星科技有限公司是火星高科在天津的产业基地）。国外厂商的行动相对较慢。记者目前了解的情况是，CommVault已经提交了相关资料，目前正在等待回复，准备进行实际的产品测试。
　　
　　火星高科市场总监郭竞远介绍说：“早在2004～2005年，我公司曾参与政府部门组织的数据备份技术标准的制定工作。后来，此技术标准没有成为国家标准，而是被国家质量监督检验检疫总局采纳为部级标准，并用于对数据备份与恢复产品的3C认证。”
　　
　　以前3C认证主要针对硬件产品，而数据备份与恢复产品主要是软件。为此，2008年，国家质量监督检验检疫总局曾就数据备份与恢复产品的认证广泛征求过意见，EMC、赛门铁克、火星高科等厂商都曾被邀请参与过讨论。
　　
　　火星高科是较早申请数据备份与恢复产品认证的公司，其产品已在2009年获得了3C认证。根据《关于部分信息安全产品实施强制性认证的公告》规定，数据备份与恢复产品增加相应的安全功能是必须的。这里说的数据备份与恢复产品是指实现和管理信息系统数据备份和恢复过程的软件。数据备份软件的安全功能包括许多内容，人们经常用到的可能有以下几项：第一，在系统登录时进行安全保护，比如设置用户名和密码；第二，如果有人超长时间使用备份系统，系统要具备自动锁定功能；第三，建立完善的日志系统。火星高科曾经花费近半年的时间对现有的数据备份软件进行改进，以符合3C认证中关于信息安全的规定。
　　
　　“我们在项目销售过程中得知数据备份产品要通过3C认证的消息。公司对各种相关的专业权威认证一直都比较重视，所以立即启动了3C认证项目。”上海爱数软件有限公司负责技术支持和资质认证业务的许女士介绍说，“通过申报材料、产品检测、工厂现场检验等一系列步骤，大约用了几个月的时间，公司当时的主打产品爱数备份软件V3.0顺利通过了3C认证。”
　　
　　政府行业采购有变数
　　
　　2008年，《第一批信息安全产品强制性认证目录》公布时，并没有任何关于行业应用的限定。但是2009年，当相关机构宣布强制实施时间延至2010年5月1日时明确提出，信息安全产品强制认证只适用于政府采购。记者从中国信息安全认证中心获得的消息是，如果厂商的产品不涉及政府采购，而只是一般的商业用途，并不受强制认证的限制。对于国内数据备份厂商来说，政府采购是收入来源中非常重要的一部分。因此，国内厂商对3C认证的态度比较积极顺理成章。CommVault公司市场经理杨涛表示：“虽然目前在政府项目采购中，我们还没有遇到有关强制性认证的问题。不过，既然有这样的规定，我们会积极响应，不希望因此而影响日后可能进行的政府项目采购。”
　　
　　有法可依执法必严
　　
　　从记者目前了解的情况看，无论是数据备份厂商还是政府行业用户，对数据备份与恢复产品强制认证的整体认知度还不高。尤其是产品的强制认证还没有完全落实到行业采购层面，所以相关厂商和用户的重视程度和积极性不高。
　　
　　因为没有标准可循，我国的数据备份软件销售市场一直处于一种无序竞争的状态，鱼龙混杂。3C认证的出现，使得数据备份与恢复产品的销售有法可依。下一步，如何在有法可依的基础上实现执法必严、违法必究更加重要。相关政府部门应明确责任范围，加强各部门之间的协作，同时加大监管力度，这样才能充分调动相关厂商的积极性，保障政府采购的有序进行。
　　
　　《强制性产品认证管理规定》
　　
　　2001年12月，国家质检总局发布了《强制性产品认证管理规定》，以强制性产品认证制度替代原来的进口商品安全质量许可制度和电工产品安全认证制度。中国强制性产品认证简称CCC认证或3C认证，是一种法定的强制性安全认证制度，也是国际上广泛采用的保护消费者权益、维护消费者人身财产安全的基本做法。