信创产业发展到现在,认证这件事早已不是一张证书那么简单。不同产品在产业链上的位置不同,认证的做法和必要性差别很大。
上游的基础软硬件——CPU、操作系统、数据库,起步早,技术路线相对收敛,生态也比较成熟。更重要的是,中国信息安全测评中心和国家保密科技测评中心联合发布的《安全可靠测评结果》,已经为这些产品提供了国家级背书。政企客户采购时,这份结果是硬参考。因此,很少看到龙芯、麒麟、达梦这类产品再去单独申请第三方“信创适配证书”——不是不能做,而是意义不大。国家层面的认可已经足够。
产业链中下游的情况就完全不同了。以医疗软件为例,这类产品通常运行在国产CPU和操作系统之上,还要对接国产数据库、中间件,甚至涉及影像处理、医疗设备数据采集等专用场景。适配性、稳定性、安全性都需要向客户证明。实际操作中,医疗软件厂商会主动去找统信、麒麟、中科方德做兼容性互认证,同时也会跟达梦、人大金仓等数据库厂商做适配验证。测过之后知道哪个内核版本的图形驱动有兼容问题,哪个数据库连接池参数需要调优,某些医疗外设的驱动在国产系统下能不能稳定工作。操作系统和数据库厂商也乐于推动这种互认证,医疗行业的案例越多,他们在卫健领域的生态版图就越扎实。
还有一种典型情况是医疗设备厂商。他们采购工控机,装上操作系统,再把自研的应用软件灌进去。这类产品在投标和交付阶段,甲方通常要求提供信创产品适配证书。
提升信创信用力的几条实际路径
目前信创没有统一的认证体系,但实践中形成了若干条被市场认可的路径。
第一条,也是最硬的一条:安全可靠测评。由中国信息安全测评中心和国家保密科技测评中心组织实施,面向CPU、操作系统、数据库等基础软硬件。测评结果公开发布,政企客户直接参考。对于中下游厂商来说,虽然很少能直接参与这项测评,但可以选择优先采用已通过测评的基础软硬件,投标时明确注明“基于安全可靠测评通过的某某平台开发”,这本身就是加分项。
第二条,盯住政府采购需求标准。财政部、工信部针对“三类九款”整机产品(通用服务器、台式机、便携式计算机、一体机、工作站,以及服务器操作系统、桌面操作系统、集中式数据库、分布式数据库)制定了明确的采购配置要求。以《中央国家机关台式计算机批量集中采购配置标准-2024版》为例,规定CPU和操作系统等关键部件必须符合安全可靠测评要求,操作系统应采用麒麟、统信UOS、中科方德或其他符合安全可靠测评要求的系统。做整机或集成的厂商,这些标准是硬约束,绕不开。
第三条,申请信创产品适配测试报告。这是中下游产品最常用的路径。找适配中心或者信创相关第三方机构,将产品部署到国产CPU和操作系统环境中,进行功能、性能效率、信息安全性等指标的测试。测试依据主要是GB/T 25000.51-2016。出具的报告和适配认证证书可以在投标时作为技术证明,也是后续申请各类评估证书的前提材料。
第四条,开展兼容性互认证。与操作系统厂商(麒麟、统信、中科方德等)或数据库厂商(达梦、人大金仓等)进行双向测试,完成后互发认证证书。测试过程中可以发现真实环境下的适配问题,提前规避。
第五条,申请信创软件产品证书或信创产品适配证书。各地信创协会、工委会、第三方机构均可出具,名称不统一,包括信创适配证书、软件信创证书、信创适配性测试认证证书等。需要提交的材料通常包括:加盖公章的评估申请表、营业执照复印件、自主知识产权证明(软著、代码成分分析报告或硬件自主可控水平报告)、测评报告复印件、申请单位承诺函。这类证书的认可度取决于发证机构的权威性和目标市场的招标惯例。
一个项目往往根据招标需求,看需要覆盖几种组合,例如飞腾+麒麟V10、鲲鹏+统信UOS、龙芯+中科方德等。性能方面,重点关注国产环境下相比X86+Windows的性能损耗,定位瓶颈点。安全性测试包括漏洞扫描、代码审计、渗透测试等,许多项目还会要求出具专门的安全测评报告。
信创项目的验收流程与常见问题
验收前需要完成合同约定的软硬件采购、软件开发、集成和适配调优工作。试运行报告中必须包含信创适配调优的专项内容。技术文档、工程管理资料要准备齐全,验收测试报告和安全测评报告。
验收申请由承建方向建设单位提交。验收会议上,建设单位介绍项目情况并出具用户意见和试运行报告;承建方汇报建设、自检及竣工报告;监理单位(如有)汇报监理报告;测评机构汇报验收测试结果。验收组审核全部资料,必要时进行现场抽查——例如随机抽查设备,核对CPU型号、操作系统版本是否与合同一致。经讨论后,验收组给出验收结论并签字。
验收结果分为合格与不合格。按期完成、系统安全可靠、资料真实完整、通过验收测评的,评定为合格。出现以下任一情况即为不合格:验收前准备工作未完成;项目内容、目标或技术路径发生重大变更且未获批准;实施中的重大问题未解决或存在争议未处理;项目存在违法行为;资金使用有问题。
实践中容易导致验收卡壳的几个坑
投标时承诺的某款信创产品,交付时被替换成其他型号且未履行变更手续。认证证书过期,或者产品版本与证书标注的不一致。安全测评漏项,比如只做了漏扫没做渗透,或者等保备案没完成。试运行期间暴露的兼容性问题(如某些外设驱动不兼容)没有彻底解决就申请验收。
结语
信创认证的本质,是倒逼产品在真实的国产化环境中跑通、跑稳、跑安全。安全可靠测评、政府采购符合性、适配测试报告、兼容性互认证、协会评估证书——这几条路径各有适用场景,企业应根据产品在产业链上的位置、目标客户群(政企、行业、生态伙伴)以及具体项目的招标要求,选择最合适的认证组合。
热门跟贴