信创名录取消的背景下，如何认定信创产品自主可控

随着企业数字化转型和信息技术应用创新工作的推进，大量行业应用面临信息系迁移改造和创新应用，行业应用软件及系统与基础软硬件适配不足及缺乏权威测试认可等问题逐渐显露。

在经历信创一期、二期、三期、四期产品名录发布后，随着信创产品生态不断完善，政策逐渐从监管转向市场主导，意味着行业发生重大转变，基于党政、金融的经验，结合信创监管侧的要求，以及工信部、财政部标准符合要求，信创行业逐渐重视产品及应用的信创标准测试工作。虽然国家在大力推行信创标准工作，如何认定软硬件产品为信创、技术自主可控当前成为大多数产品厂商头疼问题，笔者通过梳理发现：

当前主要有以下几种方式：

一、送测由中国信息安全测评中心与国家保密科技测评中心主导的《安全可靠测评结果》

  安全可靠测评主要面向计算机终端和服务器搭载的中央处理器（CPU）、操作系统以及数据库等基础软硬件产品。

  安全可靠测评坚持“自愿平等、客观公正”原则，由企业自愿向中国信息安全测评中心、国家保密科技测评中心申请产品检测，测评结果由企业和用户自主选择使用

根据指南要求，产品供应商可以在每年的1-2 月及7-8月进行测评申报，送测厂商应为在中国境内注册的实体，且必须具有送测产品完备的设计资料、研发文档、代码数据和研发环境，拥有送测产品的知识产权或授权，具备稳定的研发生产及售后服务团队；     产品测评通过后将被认定为安全可靠产品，有效期三年，测评结果供各政企客户自主参考。

     2023年12月26已发布第一批次的《安全可靠测评结果公告（2023年第1号）》，本次公布的测评结果仅涉及cpu、操作系统、数据库原目录产品 33款产品型号，根据《安全可靠测评工作指南》 预计2024年第一批次安全可靠测评结果在6月底发布，届时可以预测到新的产品、型号、厂商。

二、开展由财政部、工信部的政府采购需求符合性测试

由财政部、工信部开展的政府采购符合性测试，主要针对以下“三类九款”

整机：通用服务器、台式机、便携式计算机、一体机、工作站

操作系统：服务器操作系统、桌面操作系统

数据库：集中式数据库、分布式数据库

安全可靠测评要求：要求乡镇以上党政机关，以及乡镇以上党委和政府直属事业单位及部门所属为机关提供支持保障的事业单位在采购操作系统/数据库/通用服务器/工作站/便携式计算机/台式计算机时，应当将其符合安全可靠测评要求纳入采购需求，其他单位可不在采购需求中提出此项要求。

其他要求：采购人在采购需求中，可以对《需求标准》中的指标提出更高要求，也可以根据实际需要增加《需求标准》以外的指标，但不得超出实际需要

厂商建议：

•  整机厂商：采用通过安全可靠测评的CPU，包括主控芯片、管理芯片，依据政府采购需求标准研制整机产品，适配通过安全可靠测评的操作系统，做好供应链管理，开展政府采购需求标准符合性测试。
• 操作系统、数据库厂商：适配采用通过安全可靠测评CPU的整机产品，申请安全可靠测评的同时，做好供应链管理，依据政府采购需求标准开展标准符合性测试。
• 其他厂商：做好供应链管理，以通过安全可靠测评及政府采购需求标准的整机、操作系统、数据库为基础环境，开展适配迁移，并完成适配测试及认证。

由此可见对于政府采购来说涉及财政资金的安全可靠发展方向真正从财政资金侧加强引导。

这是财政部首次针对具体软硬件设备产品出台采购需求标准细则，通过财政部政府采购需求引领信息化产品发展方向。

同时安全要求明确对关键部件安全提出强制性需求，需统筹安全和发展，所有文件都明确“CPU和操作系统等关键应当符合安全可靠测评要求”，安全可靠测评成为进入政府行业市场的先决条件。没有安全可靠测评，就不会有政府行业市场。

三、开展由测评机构主导的信创“产品适配认证”

对于政府采购来说从兼容性、供应链保障等方面对信息技术产品提出了新的技术要求，而企业需要权威的测试认证来证明产品的优势及竞争力。

具备国家权威认证的适配认证证书无疑是一种产品自主可控的加持，目前正在开展自愿性产品适配测试认证服务，为软硬件研发企业提供权威的测试认证，提升用户信心，促进我国信息技术产业生成不断完善，更好地支撑行业信息化升级。

测评标准：按照基于安全可靠测评结果的CPU、操作系统、数据库开展质量测试、适配测试、代码溯源、软件供应链安全评估、开源风险安全评估

测评通过发布《适配验证测试报告》、《产品适配认证证书》。

基于以上开展的测评机构产品适配认证在质量管控方面对信创产品测评提供认证，识别假信创、擦边信创情况。

四、开展信创“产品兼容性互认证”

这种认证证书的目的是为了促进产品的互操作性，即不同厂商生产的产品能够在功能和接口上无缝地配合使用。

通过获得产品相互兼容认证证书，厂商可以向消费者和市场展示其产品在与其他兼容设备或系统进行交互时的稳定性和可靠性。

产品相互兼容认证证书的申请通常需要提交相关的测试报告、技术规范以及其他必要的文件。认证机构会对这些材料进行评估，并进行实际的测试以验证产品的兼容性。一旦产品成功通过认证，厂商就可以获得认证证书，该证书通常包含产品名称、型号、认证标识和有效期等信息。

获得产品相互兼容认证证书意义：

首先，它可以增强消费者对产品的信任，因为认证证书是第三方机构对产品兼容性的权威认可。

其次，它可以促进产品的市场推广和销售，因为兼容性是许多消费者考虑购买产品的重要因素之一。

此外，获得认证证书还可以帮助厂商与其他合作伙伴建立合作关系，扩大产品的应用范围和市场份额。

获取产品相互兼容认证证书途径：

（1）基于基础软硬件产品上下游供应商开展产品兼容性互认证，如芯片CPU、操作系统、数据库厂商等。

（2）面向行业主管部门在各地建立的“联合创新基地”开展信创产品互认证明。

产品相互兼容认证证书是一种确认产品在与其他相关产品进行交互时兼容性良好的认证。它对于厂商来说具有重要的市场推广和销售意义，同时也提高了消费者对产品的信任度。

综上结论：

(1) 政策牵引+打通途径，方能真正落地执行。财政部通过政府采购需求标准牵引信息化发展方向；安全可靠测评的开展成为信息化发展落地的具体方法和途径，二者结合，方可执行。

(2) 随着前些年多头并进、多部门管理的信创目录的逐渐隐退，“自愿性”安全可靠测评已然成为政府采购“强制性”需求，成为信创工作未来发展的必然趋势。

以上观点只代表笔者观点