有两类比较广泛的场景:一类是针对产品厂商的,比如集成商或者代理商需要投标,招标文件中如果要求国产适配或者要求符合信创的技术路线,这时需要兼容性互认证书或者信创产品评估证书。还有就是验收阶段,特别是对于基础设施类项目,还需要信创符合性验收、性能、兼容性、可靠性、信创安全性验收。
信创产品的认证生态
信息技术应用创新(信创)产业的发展对于国家信息安全和经济数字化转型具有重要意义。信创产品,涉及IT基础设施、基础软件、应用软件、信息安全等方面,其认证和测试也是比较重要的一个环节。
个人感觉越是处于产业链上游的产品,比如CPU、操作系统、数据库这些基础设施类软硬件,由于起步早,信创生态比较成熟,一般是不需要第三方证书来背书的。因为像CPU、操作系统这类的软硬件起步早,加上中国信息安全测评中心和国家保密科技测评中心的安全可靠测评结果,这已经是国家权威机构的认可了。
但是往生态下游走,由于应用的复杂性,这时就需要跟上游的生态做兼容,比如主机安全类的产品,就需要会去跟统信和麒麟、中科方德去做兼容性互认证。用以增强适配性、可用性、安全性的背书。操作系统这类的厂商也乐于去做这类的认证,不断扩大自己的生态版图。
还有比如是处于产业链中游的医疗厂商,比如是做医疗设备的,除了需要采购工控机和操作系统作为基础软硬件,还需要在把自己开发的软件灌进去,这时会需要第三方测评机构的信创测试报告和信创评估证书。
信创产品如何提升信用力及认证途径
信创产品的认证是证明产品符合信创要求的重要步骤。由于没有统一的认证体系,以下是几个提升信用力的方式和认证途径:
1. 安全可靠测评结果
由中国信息安全测评中心与国家保密科技测评中心主导的《安全可靠测评结果》是信创产品认证的重要途径。企业可以自愿申请产品检测,测评结果供政企客户参考使用。中游的产品厂商,集成基础软硬件的时候,可以优先选择这些产品。
2. 政府采购需求符合性参考
参考财政部、工信部开展的政府采购需求标准,主要针对“三类九款”整机产品,包括通用服务器、台式机、便携式计算机、一体机、工作站、服务器操作系统、桌面操作系统、集中式数据库和分布式数据库。比如对服务器就提出了CPU 和操作系统等关键部件应当符合安全可靠测评要求以及CPU 芯片应符合GM/T 0008 的相关规定,或芯片密码模块应符合GB/T 37092或GM/T 0028 的相关规定。
《中央国家机关台式计算机批量集中采购配置标准-2024版》
《中央国家机关便携式计算机批量集中采购配置标准-2024版》
以上两个文件的配置也提到CPU和操作系统等关键部件应当符合安全可靠测评要求和采用麒麟/统信UOS/中科方德/其他符合安全可靠测评要求的操作系统
3. 申请信创产品适配测试报告
信创“产品适配认证”是由第三方测评机构主导的一种认证方式,其核心目的是确保信息技术产品能够与国产CPU、操作系统等基础软硬件兼容,并满足一系列的技术要求。这种认证过程不仅包括了质量测试,还涵盖了适配测试和代码安全等方面,以确保产品的稳定性和安全性。信创“产品适配认证”是一个全面的认证过程,它不仅验证了产品的兼容性,还确保了产品的质量、性能和安全性,对于推动国产软硬件的发展和应用具有重要意义。
4. 信创兼容性互认证
信创“产品兼容性互认证”旨在促进产品的互操作性,确保不同厂商生产的产品在功能和接口上可以无缝配合使用。
兼容性互认证的作用:
1.对于信创生态起到促进作用,通过兼容性互认证,加速信创生态建设,推动关键领域的国产化。
2.提高产品质量和性能,确保产品在多样化环境下的稳定性和性能。
3.增强用户体验和安全性,确保产品在不同环境下稳定运行,提升用户体验和系统安全性,防止未授权访问和数据篡改。
4.推动产业升级和技术创新,解决不同技术标准和产品的协同问题,促进技术创新和产业升级。
5.扩大市场份额和合作机会,帮助厂商建立合作关系,扩大产品应用范围和市场份额。
5. 申请信创软件产品证书、信创产品评估证书
很多信创协会、测评中心、第三方测评机构可以出具该类证书,申请时,一般需要提前准备信创适配性测试报告。第三方的还有信创适配证书、适配性测试认证证书、信创软件产品证书、信创产品评估证书,现在没有一个完整的标准体系。
申请提交内容一般类似于:
产品基本要求
1.合规性:产品开发生产必须遵守法律法规,符合国家技术和安全标准。
2.自主研发:产品应由企业自主研发,并拥有自主知识产权
3.环境适应性:产品能在信创环境中成功安装、运行和卸载。
4.文档完备性:提供完整的用户文档,明确系统功能及其验证方法。
提交材料清单
1.评估申请表:提交加盖公章的《信创产品评估申请表》。
2.营业执照:提供加盖公章的营业执照复印件。
3.知识产权证明:提交加盖公章的自主知识产权证明复印件,包括软件著作权、代码成分分析报告;硬件产品需提供自主可控水平报告。
4.测评报告:提供加盖适配中心公章的信创产品测评报告复印件,测评机构需在协会备案。
5.承诺函:提交加盖公章的申请单位承诺函。
信创产品测试报告
信创产品测试报告是针对信创软件产品或硬件产品进行的一种检测,主要验证其是否符合信创的要求。要求被测试的产品必须支持部署在国产CPU、国产操作系统上,某些特殊行业或应用场景要求支持国产数据库、国产中间件、国产流版式软件的部署。
测试依据
GB/T25000.51-2016 系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试
测试指标
包括功能性、性能效率、信息安全性、可靠性、兼容性、易用性、维护性等。
信创产品的认定是一个涉及多个层面和标准的过程。从安全可靠测评到政府采购需求符合性测试,再到产品适配认证和兼容性互认证。企业可以结合自身产品的特性,选择认定途径和测试标准,确保其产品能够满足安全和性能要求,从而在激烈的市场竞争中占据优势。
信创项目验收流程
如果厂商或者集成商提供基础设施、软件开发、信创服务等,在验收阶段一般也会需要信创类测试、适配性测试、漏洞扫描、代码审计、渗透测试、开源率检测等服务。信创项目的验收流程是系统性的,包括测评、准备、执行和收尾四个阶段。
验收测评
测评目的:
检验项目是否满足合同规定的要求,测评结论是用户是否接收信创系统的主要依据。
测评分类:
验收测试:包括适配验证测试、功能测试、性能测试、系统互联互通、信息安全性测试(漏扫、代码审计、渗透测试、APP安全测试)等。
安全测评:包括等级保护测评、密码应用安全测评、风险评估(基线检测、漏扫、代码审计、渗透测试)等。
验收准备
完成合同要求:软硬件采购、软件开发、集成、适配调优等工作。
试运行报告:包含信创适配调优内容的项目试运行报告。
技术文档:提交各种技术文档及工程实施管理资料。
测评结果:第三方测评机构完成的验收测试、安全测评等,且结果合格。
验收申请: 承建单位向建设单位提交验收申请。
验收执行
1.用户意见:建设单位就项目整体情况出具用户意见。主要包括(项目简介、项目实施情况、项目完成情况、项目试运行情况、项目主要成果与效益、项目存在问题、项目经验总结、项目结论)
2.符合性审查:
内容一致性:审查项目服务内容与立项方案、采购文件、合同的一致性。
安全合规性:审查工作将覆盖软件的开发服务和基础设施服务领域,特别关注项目中与政务信息系统相关的安全风险评估。比如验证信息系统是否已经依照相关规定,完成了相应的等级保护测评或风险评估工作。
标准符合性:审查项目是否符合国家标准或行业标准规范。同时,对于新近出台的规范标准,还需检查是否已经准备了相应的支持文件和材料。
3.验收会议:
建设单位收到测评报告后,组织验收会议,给出验收意见和结论。
验收会议的主要步骤应包括:
1.建设单位作关于项目情况的介绍,出具试运行报告和用户意见;
2.承建单位作关于项目建设、自检及竣工的报告;
3.监理单位作关于项目监理报告;
4.测评机构作项目测评情况的报告(根据具体项目情况选择);
5.验收组审核全部验收资料;
6.验收组人员进行现场检查(根据具体项目情况选择);
7.验收组对关键问题进行质疑讨论和资料审核;
8.验收组对项目进行全面评价,给出验收意见和验收结论并签字。
4.验收结果:
项目验收的结果:验收合格与验收不合格。如果项目按期完成,系统运行安全可靠,经费使用合理,提交的验收文件和资料完全,数据真实可信,并且顺利通过验收测评,则被评定为验收合格。
相反,若项目存在以下任一情况,则被视为验收不合格:
未完全做好验收前的各项准备工作;
项目内容、目标或技术路径发生了重大变更,但未获得相应的批准;
在实施过程中遇到的重大问题尚未得到解决或未作出适当解释,或者项目实施及其结果存在争议尚未得到妥善处理;
项目实施过程中存在违法行为或违反了相关法规;
在验收审计过程中发现项目资金使用存在问题。
验收收尾
项目交接:项目验收合格后,办理交接。办理项目实体移交和项目文件移交手续。
知识产权:按合同约定,确定项目涉及的知识产权。
项目复盘:建议开展项目总结,整理项目全过程中的问题及改进措施,形成建设单位的信创知识库。
部分素材来源网络
