你買的產品安全嗎？

我買的資訊產品夠安全嗎？在購買資訊安全產品時，大家通常會考慮這個問題，畢竟資安產品是要用來保護安全的。但是，若是購買其他的資訊產品，可能就比較少去考慮產品是否夠安全的問題，例如，採購多功能印表機，需要去注意產品是否安全嗎？對於要徹底注重資訊安全的企業而言，確實是需要的。

在日常生活中，買電器產品也是需要注意產品安全性，但我們通常不會特別去注意，因為大家知道電器產品上市前得先通過安全檢測，然而，同樣也是需要注重安全的資訊產品，像是一套軟體產品，在上市前卻不須要通過安全性檢測。

大概沒有人想要買一個有安全漏洞的資訊產品，但實際上，大概沒一個廠商敢說自己的產品完全沒有安全漏洞，因為資訊產品都存在不同型式的軟體，漏洞絕對是有的，只是嚴重與否的問題。

然而，在缺乏相關制度的配合下，企業用戶要確定買進來的產品是否夠安全，其實是很困難的，一來是看不到產品開發的過程，再者也不見得有足夠的專業知識來判斷。

對於政府機構而言，資訊產品的安全性是較為急迫的問題，於是幾個先進國家開始推動一項稱之為Common Criteria（共同準則）的資訊產品安全性驗證，藉由第三方實驗室來驗證資訊產品的安全性，目前Common Criteria已經被納入ISO 15408，成為一項國際公認的標準。

Common Criteria可以用來檢測資訊產品、技術的安全性，既提供IT廠商在開發產品時的一個安全準則參考，亦提供企業用戶在選擇IT產品時一個共通的安全性參考。像是美國、英國、德國、法國、加拿大、澳洲及日本等國家，他們的政府單位在採購IT產品時，都要看該產品所通過的Common Criteria驗證安全等級。在日本，政府甚至是以減稅的方式，來鼓勵企業採用通過Common Criteria認證的產品。

在臺灣，政府單位在推動了資訊安全管理及資安監控中心之後，正在積極推動Common Criteria，期望建構出一個整合了「資訊安全管理系統」「全國資訊安全監控中心」及「產品安全性驗證」等3個構面的系統，涵蓋自設備採購、使用、防護、監控，以至管理的完整資安管理作業程序。

目前臺灣電信技術中心資通安全實驗室已經具有驗證Common Criteria的能力，將可協助臺灣廠商取得CC驗證。而政府政策方面也大力做多，明年開始，政府單位的IT採購將指明通過Common Criteria認證過的產品。

不過，目前Common Criteria仍有些問題待克服。目前Common Criteria驗證的結果，對於企業而言有助於判斷產品面是否有弱點，但是在實務上，整個系統的安全性還要再注意建置面的弱點，以及部署面的弱點。以目前廠商主要是驗證單一產品的情況來說，若以一個取得EAL 4安全等級的作業系統，搭配一個也是取得EAL 4安全等級的防火牆，企業是否就擁有EAL 4等級的安全呢？實際上，可能不見得是如此。

在臺灣，目前已有少數極重視安全的企業開始注重Common Criteria，雖然現階段Common Criteria仍有其不足之處，但仍不失為評估產品安全性的一個標準，只是企業在採用時，要對Common Criteria有清楚的認知。請見本期封面故事對於Common Criteria的報導。