测评机构存在的意义就是为某个产品做背书,按性质可分为两类:官方机构和公立机构。官方机构出具的证书,往往用于产品销售;公立机构出具的证书,往往用于市场宣传。
网络安全行业最重要的产品资质一定是《销售许可证》,这是所有网络安全产品的行业准入门槛,没有销售许可证,就等同于非法产品,是不允许上市销售的。获得销售许可证的前提是产品必须通过相关机构评测,有效期一般为两年。
产品特性不同,检测中心也不同。病毒防治、移动安全、APT安全检测等产品的检测任务,由天津“国家计算机病毒应急处理中心暨计算机病毒防治产品检验实验室”承担;数据备份一体机、网络综合审计系统、网络脆弱性扫描等产品的检测任务,由北京“公安部安全与警用电子产品质量检测中心”承担;入侵检测系统、安全数据库系统和网站恢复等产品的检测任务,由北京“信息产业信息安全测评中心”承担;其他网络安全专用产品检测任务,由上海“公安部计算机信息系统安全产品质量监督检验中心”俗称“上海三所”承担。
其实,绝大多数安全人只需记住一句话即可:反病毒找天津、网络安全找三所。
此外,还有发放《涉密信息系统产品检测证书》的国家保密局涉密信息系统安全保密测评中心、发放《军用信息安全产品认证证书》的中国人民解放军信息安全测评认证中心、发放《商用密码证书》的国家密码管理局、提供产品测评、系统评估、服务资质、人员资质测评的中国信息安全测评中心。
在公立测评机构中,知名国际组织有:VB100、AV-Comparatives、AV-TEST、CheckMark(西海岸实验室)、ICSA(InternationalComputer Security Association,国际计算机安全联盟)、OPSWAT等六家,国内组织有赛可达实验室。
这些都是安全软件的公立测评机构,有效期只有一年,且评测价格不菲。因此无论是瑞星、金山、江民的“三国争霸时代”,还是腾讯、360加入的“新战国时代”,这几家的“测评通过奖项”都仅用于品牌推广,而且在常年的市场大战中已经形成了“剧场效应”,大家都屈于市场竞争压力而被迫参赛。
但是,2015年5月,国外AV-C联合AV-TEST、VB100宣称360杀毒评测版本的引擎设置与国内普通用户版本不同,取消了360在2015年评测奖项。于是360便顺势高调宣布退出AV-C国际评测。此后,通过国际测评的新闻就淡出了大众视野。
国内测评机构的发展道路则更加坎坷,赛可达实验室是中国合格评定国家认可委员会(CNAS)的认可实验室以及国际ISO/IEC 17025的认证实验室。虽然国内还有安全厂商支持,但是市场影响力已经很弱了,它的认证更多只能做为“企业荣誉”来使用,市场宣传价值有限。
所以,安全媒体为厂商提供了“企业荣誉”,而测评机构则提供了“企业资质”。
用户评论