国采中心对6类产品供应商进行资格后审，对确保协议供货入围产品质量，保障信息安全有非常重要的意义。但从信息化建设和信息安全的角度看，有关部门对这6类产品进行强制认证和资质审查还远远不够，对更多产品进行更多种类的认证，才能真正起到保障信息安全的作用。

　　首先，对这6类产品的认证并不能确保通过认证的产品就能保障信息安全。3C认证是包括国家安全认证（CCEE）、进口安全质量允许制度（CCIB）、中国电磁兼容认证（EMC）的权威认证。从认证内容看，3C认证可以确保产品的使用安全，并不是考察参与认证的产品性能高低。即便是信息安全产品参与认证，也只能确保产品符合国家有关技术规范，不会考察该产品在应用中能否保护信息安全。

　　从认证目的看，它是我国政府按照世贸组织有关协议和国际通行法则，为保护广大消费者人身和动植物生命安全，保护环境、保护国家安全，依照法律法例实施的一种产品评价制度。这里的保护环境、保护国家安全是保证产品辐射不超标、不因过热而爆炸等，而不是保护信息安全，进而保护国家安全。

　　3C认证并不针对应用技术，自然不能直接保护信息安全。最直接的例子就是计算机泄密。市场上销售的计算机都通过了3C认证，但计算机受到直接攻击并导致信息泄密的事件时有发生。并不是3C认证出了问题，而是3C认证从一开始就不负责信息安全。虽然某些认证内容在客观上保护了信息安全，但认证在本质上和信息安全并没有直接联系。

　　即便考虑到强制认证客观上能起到一定的保护信息安全的作用，仅对6类信息安全产品进行强制认证对保护信息安全来说还远远不够。近年来，由于黑客攻击、钓鱼网站、网站挂马等信息安全威胁的形式越来越多，信息安全产品的采购种类也随之增加。除了国采中心要求进行后审的6类产品，数据备份与恢复产品、反垃圾邮件产品、安全数据库系统产品的采购量也越来越大，这些产品对保护信息安全的作用非常重要，理应将这些信息安全产品也纳入资格后审的范围。

　　非信息安全产品对保护信息安全的意义重大。虽然存在攻破信息安全产品导致信息泄密的情况，但更多的信息泄密问题都是发生在U盘、计算机等基础产品上。虽然其中有违规使用产品的人为因素，但这些人为因素并非不能通过技术手段克服。在3C认证明显不能保证计算机信息安全的情况下，通过新的认证确保IT产品的信息安全势在必行。

　　显然，只有对更多IT产品进行全方位的认证，才能从根本上确保信息安全。