根據中央政府采購網的消息，從本月中旬起，列入政府采購名錄的強制認證類信息安全產品開始了第二個批次的資質審核。從2009年中國開始施行部分信息安全強制認證制度后，中央政府采購部門也曾于2011年對防火墻等信息安全產品進行證書核對式的資格審查，但從今年8月份就開始的資質審核則是針對政府部門已經采購的部分信息安全產品認證證書上的“產品名稱和型號、規格、版本”不一致的情況。顯然，部分信息安全產品廠商向政府采購提供的產品與獲得認證的產品存在差異。

“我覺得這應該是斯諾登的棱鏡門事件給政府部門的信息安全意識帶來沖擊的反映！其實業內早都知道，很多廠商只針對一個產品的一個版本拿一個證，然后這個證書就開始用于企業的全部產品對外銷售，這種現象可以看作國內信息安全產業的行業監管力度不夠。”劉冬，中關村一位IT業人士對《中國產經新聞》記者分析道。

從上世紀90年代末與互聯網同時興起，信息安全產業在2013年似乎正在迎來第二波發展的機遇！不過回顧過去10多年的發展，信息安全產品作為IT產品的一個子類在國內有著其他類型的信息類產品不曾有的概念沖突和混亂。

“即使外行都能意識到使用信息安全產品都應該盡可能用本國產品而不是進口的外國產品，但本國產品的質量和技術水平實在難以讓人恭維。”IT業技術人士辛力對《中國產經新聞》記者表示。

在國內目前的法規框架下，實行許可證制度的信息安全產品的正式名稱是“計算機信息系統安全專用產品”，并不針對外國廠商的信息安全產品實行任何形式的貿易保護措施。

雖然“自主可控”是從本世紀初起就是中國信息產業的發展目標，但從把戰略思想轉化為法律法規概念進而落實到技術層面的角度看，即使是實行許可證制度的信息安全產品，也只是實行“檢測”制度，根據檢測標準對申請許可證的產品進行性能測試。直到2010年針對部分信息安全產品的強制性認證開始實施，對廠商的現場檢查方才施行。

不過，信息安全產品即使是本國產品，也不意味著提供該產品的本國企業掌握了核心技術。辛力對記者分析道：“這種現象其實就是知識產權法律的角度。最簡單的形式就是OEM和貼牌，一些國內企業其實就是外國企業產品的代理，外國企業并不提供源代碼等核心技術資料，所謂的國產只是把外國產品的用戶界面進行漢化而已。還有一類現象就是國內企業直接把從網絡上下載的外國開放源代碼軟件改頭換面作為國產。后一類現象在國內更加普遍，即使政府部門知道，但也是沒辦法的辦法，畢竟國內的技術水平與國外有很大差距。”

記者獲悉，在信息安全產品強制性認證制度開始實施后，相關認證部門推出了國產信息技術產品自主原創測評，通過對關鍵技術實現的全部源代碼的同源性分析、對產品整個生命周期的綜合評定以及現場核查等手段，確定廠商是否具備自主研發該產品的能力。

“其實是否實行源代碼托管制度是未來國內網絡和信息安全領域的一個看點，但這對于外國企業恐怕很難接受，畢竟這涉及人家的核心技術機密。此外就是軟件產品的代碼漏洞。有些商業軟件的漏洞并不是企業故意設計的后門或者邏輯炸彈，只是軟件工程上的失誤。”辛力對記者分析道，所謂的核心技術就是人。