網絡關鍵設備和網絡安全專用產品安全認證和安全檢測工作專家解讀

以網絡關鍵設備安全認證和安全檢測維護網絡安全的基本盤

作者：劉云　清華大學智能法治研究院院長助理、助理研究員

隨著信息和通信技術的進化和全領域的數字化轉型，公共機構、企業、個人使用的網絡產品和信息服務日益增多，網絡設備在政務、通信、衛生、能源、金融和運輸等重要部門領域中發揮的核心作用也不斷增強。數字化和連接性是萬物互聯時代的網絡設備基本屬性，也讓整個社會更容易遭受網絡安全威脅；個別網絡設備的漏洞可能成為影響網絡系統安全的薄弱環節而被利用，網絡關鍵設備則成為網絡風險的主要來源和網絡攻擊的重點對象，將網絡關鍵設備納入重點管理對象成為國內外的普遍做法。我國2016年11月頒布的《網絡安全法》第二十三條提出了網絡關鍵設備安全認證和安全檢測制度，歐盟在2019年4月頒布的《歐洲網絡安全法》和美國在2020年12月頒布的《物聯網網絡安全改進法》也建立了類似的網絡安全認證制度。為了落實我國《網絡安全法》，國家互聯網信息辦公室協調多部委開展了一系列貫徹落實工作，網絡關鍵設備的首批安全認證和安全檢測結果近日統一公布，該制度的法律實施效果將日益顯現。

一、劃定網絡關鍵設備的識別范圍，抓住關鍵領域

網絡攻擊正在增加，更容易受到網絡威脅和攻擊的關鍵領域需要更強大的防御。網絡關鍵設備采取依標生產、安全認證和安全檢測制度，在流通銷售之前進行產品質量管理，以假定網絡攻擊發生而在設計和開發的最初階段采取策略將影響降到最低，從而減少惡意利用造成的危害風險并確保我國網絡安全關鍵領域的穩定有序。根據《網絡安全法》《密碼法》等法規，網絡關鍵設備已經被列為專門對象進行管理。在《網絡安全法》第二十三條中，網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。在《密碼法》第二十六條中，涉及國家安全、國計民生、社會公共利益的商用密碼產品，應當依法列入網絡關鍵設備和網絡安全專用產品目錄，由具備資格的機構檢測認證合格后，方可銷售或者提供。

2017年6月，國家互聯網信息辦公室會同工業和信息化部、公安部和國家認證認可監督管理委員會發布了《網絡關鍵設備和網絡安全專用產品目錄（第一批）》，將4類網絡關鍵設備（路由器、交換機、機架式服務器、PLC設備）和11類網絡安全專用產品（數據備份一體機、硬件防火墻、入侵檢測、防御系統、安全隔離與信息交換產品、安全數據庫等）納入安全認證和安全檢測對象，列入目錄的設備和產品需要按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。總體而言，第一批產品目錄主要集中在系統組網所必須的IT基礎硬件設施，屬于國家安全和社會管理的基本需要，也是保障工業互聯網安全的主要對象。

網絡關鍵設備和網絡安全專用產品目錄在目前只發布了第一批，后續還應當新增其它關涉國家安全和社會管理的基本需要的產品，這也是各國保持網絡安全管理彈性的基本做法。為了履行安全義務，相關方應當跟蹤《網絡關鍵設備和網絡安全專用產品目錄》的更新情況。與此同時，無論是對于網絡設備的生產者還是相關領域的用戶，都應當對自己生產或使用的產品進行梳理，判斷是否有產品落入《網絡關鍵設備和網絡安全專用產品目錄》的范圍，對此類產品開展專項合規工作。

二、制定網絡關鍵設備的技術標準，形成統一規范

技術標準是安全認證和安全檢測的評判依據，《歐洲網絡安全法》就提出，在準備歐洲網絡安全認證計劃時，歐盟網絡安全局（ENISA）應定期咨詢標準化組織，特別是歐洲標準化組織。我國《網絡安全法》第二十三條也規定，對網絡關鍵設備和網絡安全專用產品依據國家標準強制性要求開展安全認證和安全檢測。網絡關鍵設備有標可循，可以劃定網絡安全的底線，將為落實《網絡安全法》關于網絡關鍵設備安全認證和安全檢測工作提供重要技術依據、明確網絡關鍵設備應具備的基本安全能力、為各類網絡關鍵設備制修訂推薦性標準提供安全要求框架和指導，最終形成產品生產銷售依據和消費購買的辨別指南。

2021年2月20日，國家市場監督管理總局（國家標準化管理委員會）發布2021年第1號公告，批準了《網絡關鍵設備安全通用要求》（GB 40050-2021），這是我國網絡安全領域為數不多的強制性標準之一，將成為網絡關鍵設備安全認證和安全檢測的統一規范。

《網絡關鍵設備安全通用要求》為不同類型的網絡關鍵設備建立統一的安全技術要求，可適用于當前和未來的各類網絡關鍵設備，同時也有利于建立統一的安全管理體系。該強制性標準的主要內容包括安全功能要求和安全保障要求兩個部分。其一，安全功能要求聚焦于保障和提升設備的安全技術能力，主要包括設備標識安全、冗余備份恢復與異常檢測、漏洞和惡意程序防范、預裝軟件啟動及更新安全、用戶身份標識與鑒別、訪問控制安全、日志審計安全、通信安全、數據安全以及密碼要求10個部分。其二，安全保障要求聚焦于規范網絡關鍵設備提供者在設備全生命周期的安全保障能力，主要包括設計和開發、生產和交付、運行和維護三個環節的要求。以上安全要求形成了網絡關鍵硬件產品的安全治理體系。在智能網聯汽車、電子醫療設備、工業自動化控制系統和智能電網等領域，網絡關鍵設備的統一要求還將對下游產品開發和應用提供顯著的便利，為集成應用的開發者提供生產便利。

三、開展網絡關鍵設備的安全認證和安全檢測，樹立社會公信

認證檢測在提高數字世界重要產品和服務的信任度和安全性方面發揮著至關重要的作用，只有公眾和各類用戶普遍相信此網絡關鍵設備能夠提供必要的網絡安全，能夠以第三方監督的方式彌合買賣雙方的信息不對稱，以合格評定的方式樹立社會公信力，數字經濟和物聯網才能蓬勃發展。在自愿性檢測和認證的階段，企業通過第三方合格評定來展示安全服務能力或者產品的安全質量。根據《網絡安全法》的要求，未來沒有通過安全認證或安全檢測的設備和產品將不能在國內市場銷售。近期，國家互聯網信息辦公室協調多個部門根據《網絡關鍵設備安全通用要求》開展了首批安全認證和安全檢測，這標志著網絡關鍵設備的安全認證和安全檢測正式開花結果。

2018年3月，國家認證認可監督管理委員會、工業和信息化部、公安部、國家互聯網信息辦公室就聯合發布了《關于發布承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄（第一批）的公告》，確立了16家認證和檢測機構。企業可自主選擇實施一種第三方評定方式，也即由委托人自行選擇具備資格的機構進行安全認證或者安全檢測。根據管理職責分工，選擇認證方式的網絡關鍵設備和網絡安全專用產品，安全認證合格后，由認證機構報國家認證認可監督管理委員會；選擇檢測方式的網絡關鍵設備，安全檢測符合要求后，由檢測機構報工業和信息化部；選擇檢測方式的網絡安全專用產品，安全檢測符合要求后，由檢測機構報公安部。為了整合各部委職責，實現歸口管理，最終結果由國家互聯網信息辦公室匯總三方統一公布。事實上，檢測、檢驗、認證、認可均屬于《合格評定 詞匯和通用原則》（ISO/IEC17000）所認可的合格評定形式，其中的檢測（Testing）是“按照程序確定合格評定對象一個或多個特性的活動”。換而言之，就是依據技術標準和規范，使用儀器設備，進行評價的活動，其評價結果為測試數據。認證（Certification）是“與產品、過程、體系或人員有關的第三方證明”；換而言之，就是指由具備第三方性質的認證機構證明產品、服務、管理體系、人員符合相關標準和技術規范的合格評定活動。為了支撐認證工作的開展，國家認證認可監督管理委員會在2018年還發布了《網絡關鍵設備和網絡安全專用產品安全認證實施規則》（CNCA-CCIS-2018），規定了開展網絡關鍵設備和網絡安全專用產品安全認證的基本原則和要求。

在《網絡安全法》立法過程中，立法部門注意到我國有多個政府部門依據各自職責開展網絡相關設備和產品的安全認證和安全檢測，產品范圍有重復，認證檢測的項目有交叉，要求和標準也不統一，致使需要重復認證、檢測，造成資源浪費，增加企業負擔。統一的市場需要統一的認證機制，網絡安全認證也需要對生產者和全社會形成統一的適用口徑。針對這種情況，《網絡安全法》第二十三條規定，國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。同時，按照《關于發布〈網絡關鍵設備和網絡安全專用產品目錄（第一批）〉的公告》（國家互聯網信息辦公室、工業和信息化部、公安部、國家認證認可監督管理委員會公告 2017年第1號）和《關于統一發布網絡關鍵設備和網絡安全專用產品安全認證和安全檢測結果的公告》（國家互聯網信息辦公室、工業和信息化部、公安部、國家認證認可監督管理委員會公告 2022年第1號）要求，國家互聯網信息辦公室會同工業和信息化部、公安部、國家認證認可監督管理委員會統一發布網絡關鍵設備和網絡安全專用產品的安全認證和安全檢測結果，有利于掌握、監督和協調各部門之間的職責劃分，對社會形成一個權威的信息獲取渠道。

面向未來，越來越多的產品和服務將在全國和全球范圍內產生數量極多的連接性數字設備，萬物互聯、數字孿生的數字空間將關系到個人利益、組織利益和國家利益的方方面面，構建以網絡關鍵設備和網絡安全專用產品的安全認證和安全檢測為代表的安全監督機制，將成為維護網絡安全的基本盤的基石。

網絡關鍵設備與安全專用產品安全認證和安全檢測助力網信產業發展

作者：霍珊珊　信息產業信息安全測評中心常務副主任

近期，國家互聯網信息辦公室發布首批通過網絡關鍵設備和網絡安全專用產品安全認證和安全檢測的設備和產品名單，是國家全面推進國家網絡安全認證檢測工作，落實《中華人民共和國網絡安全法》第二十三條以及《關于發布〈網絡關鍵設備和網絡安全專用產品目錄（第一批）〉的公告》（國家互聯網信息辦公室、工業和信息化部、公安部、國家認證認可監督管理委員會公告 2017年第1號）相關要求的重要標志。

2017年6月1日，《中華人民共和國網絡安全法》正式實施，明確了網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。將網絡關鍵設備和網絡安全專用產品安全認證和安全檢測工作提升到了國家法律層面，奠定了工作基礎。同期，國家互聯網信息辦公室會同工業和信息化部、公安部、國家認證認可監督管理委員會聯合發布了《網絡關鍵設備和網絡安全專用產品目錄（第一批）》的公告，為網絡關鍵設備和網絡安全專用產品安全認證和安全檢測工作提供了工作依據。

網絡關鍵設備和網絡安全專用產品作為國家網絡安全建設的基礎核心設備，其認證和檢測工作是服務國家經濟發展、保障國家網絡安全總體質量、實現國家網絡安全監管的重要手段。同時，也對加強質量安全、促進產業發展、維護消費者合法權益、準確把握產品生態環境起著顯著作用。主要體現在：

一是堅持維護用戶切實利益，促進社會創新發展

網絡關鍵設備和網絡安全專用產品安全認證和安全檢測采用的標準是我國自主制定的針對具體產品的國家標準，通過認證檢測的反饋作用，引導消費和采購，形成有效的選擇機制，維護了用戶的合法權益，向消費者、企業、政府、社會傳遞信任。推動認證檢測，能夠激發市場自主選擇的活力，調動網絡關鍵設備和網絡安全專用產品行業“敢為爭先”的主動性。認證、檢測機構立足經濟社會發展需要，發揮專業技術優勢，在提升產品質量、推動產業升級、促進經濟社會創新發展等方面作出了積極貢獻。

二是健全完善網絡關鍵設備和網絡安全專用產品生態環境，優化提升企業品質

認證檢測是市場經濟條件下加強質量管理、提高市場效率的基礎性制度，是市場經濟活動的必要環節，不走彎路，指路引航。能夠在市場中起到源頭把關、凈化市場的作用，緊扣“高質量”這一關鍵詞，解放思想、開闊視野，更加科學地算好“加法”和“減法”。傳遞權威可靠信息，建立市場信任機制，實現互信互任，有效降低市場風險。持續推進企業研發產品的力度、全面提升產品設計的高度、不斷拓寬產品聯動的寬度、推動持久產品品牌積淀的厚度，促進企業提升自身的競爭力，完善自身管理水平、服務意識，緊跟時代，精準發力。更加利于企業間的良性競爭，穩步激發網絡關鍵設備和網絡安全專用產品行業的無限生機。

三是全面落實國家監管機制，提高市場監管效能

認證檢測為監管部門提供了法律法規和實現公共政策目標的手段，優化市場準入，規范市場秩序，使監管部門能夠運籌帷幄，總覽全局。政府部門在進行監管時，采納第三方認證檢測機構專業化的評測結果，做到有理可依、有據可循，體現監管過程的嚴謹性、科學性、公正性，同時大大降低了潛在的監管成本，達到事半功倍的效果。

本次網絡關鍵設備和網絡安全專用產品安全認證和安全檢測結果公布之后，國家可通過開展安全認證和安全檢測的網絡關鍵設備和網絡安全專用產品持續監管，不斷鞏固國家網絡安全認證檢測工作取得的成果。通過認證檢測工作，推進網絡關鍵設備和網絡安全專用產品企業持續做好產品和服務，促進行業的蓬勃發展。

筑牢數字安全標準 培育數字安全生態

作者：吳沈括　北京師范大學互聯網發展研究院院長助理、博導，中國互聯網協會研究中心副主任

放眼今日中國，新一代網絡信息技術的應用呈現廣泛普及和快速迭代的顯著態勢，社會運行和經濟發展的各個方面已經普遍駛入全要素數字化轉型的歷史快車道，由此催生新的技術架構、新的業務模式和新的應用場景，讓各方擁抱著更為多樣的發展機遇；同時也引發新的技術要素風險、組織管理風險和信息內容風險，使公眾面對著更為廣泛的安全威脅。

我國已經全面進入高質量發展新階段，特別是在網絡強國和數字中國等戰略的引領下，做強做優數字經濟的重要前提條件是構筑高效可用的基礎設施、建設安全可信的網絡空間，而確保網絡關鍵設備和網絡安全專用產品的安全屬性自是題中應有之義，也成為法律法規和執法工作中的重要命題。

一方面，立法上，作為頂層制度設計的《中華人民共和國網絡安全法》第二十三條明確規定，網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。

另一方面，執法上，為落實《中華人民共和國網絡安全法》的制度要求，加強網絡關鍵設備和網絡安全專用產品安全管理，國家互聯網信息辦公室會同工業和信息化部、公安部、國家認證認可監督管理委員會等部門于2017年6月1日制定發布了《網絡關鍵設備和網絡安全專用產品目錄（第一批）》。與此相應地，2021年2月20日，國家市場監督管理總局（國家標準化管理委員會）發布2021年第1號公告，正式推出網絡安全領域強制性國家標準《網絡關鍵設備安全通用要求》（GB 40050-2021）。

而此次由國家互聯網信息辦公室會同工業和信息化部、公安部、國家認證認可監督管理委員會統一發布首批網絡關鍵設備安全認證和安全檢測結果，具有重要的制度意義、實務意義和生態意義：

其一，就制度建設而言，首批網絡關鍵設備安全認證和安全檢測結果的發布意味著實現了從法律到目錄、從標準到清單的制度閉環，是推動法律規范的各項規則要求切實落地的重要舉措，進一步提升了我國網絡安全法治水平。

其二，就執法實務而言，網絡關鍵設備安全認證和安全檢測工作的常態化展開，是強化網絡關鍵設備和網絡安全專用產品安全的日常管理工作的必要配套，特別是能夠有效助力于緩解實務中存在的重復認證、重復檢測現象，提高網絡安全執法工作的權威性、統一性和適用性，也有助于降低企業單位的經營成本與合規負擔。

其三，就生態培育而言，隨著網絡關鍵設備和網絡安全專用產品安全認證和安全檢測工作的持續推進，一批優秀的設備產品生產商、供應商將會憑借自身實力脫穎而出，并在市場環境中產生廣泛的示范、引領和帶動效應，吸引更多的利益相關方向先進標準看齊，拉高產業鏈和供應鏈的整體安全水準，進而形成可持續的良性數字安全生態。

做好網絡關鍵設備和網絡安全專用產品安全認證和安全檢測工作 促進網絡安全產業高質量發展

作者：劉思蓉　中國網絡安全審查技術與認證中心高級工程師

近期，國家互聯網信息辦公室發布首批通過網絡關鍵設備和網絡安全專用產品安全認證和安全檢測的設備和產品名單，是國家全面推進網絡安全認證檢測工作，落實《中華人民共和國網絡安全法》第二十三條以及《關于發布〈網絡關鍵設備和網絡安全專用產品目錄（第一批）〉的公告》（國家互聯網信息辦公室、工業和信息化部、公安部、國家認證認可監督管理委員會公告 2017年第1號）相關要求的重要標志。認證和檢測是合格評定的重要內容，也是國家質量基礎設施（NQI）中不可或缺的重要組成部分，在國民經濟和社會發展中發揮著重要的作用。運用認證和檢測的手段對網絡關鍵設備和網絡安全專用產品的安全性實施評價，是順應產業發展需要，保障重要信息系統安全的一項具有重要意義的制度安排。

依據《中華人民共和國網絡安全法》第二十三條要求，“網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供”。安全認證和安全檢測的落實要具備三個關鍵要素，即實施范圍、實施主體和實施依據。2017年6月，國家互聯網信息辦公室、工業和信息化部、公安部、國家認證認可監督管理委員會四部委發布《網絡關鍵設備和網絡安全專用產品目錄（第一批）》，確定對4類網絡關鍵設備和11類網絡安全專用產品實施安全認證和安全檢測，明確了制度實施范圍。2018年3月，發布了《關于發布承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄（第一批）的公告》，明確了實施主體。同年5月，國家認證認可監督管理委員會和國家互聯網信息辦公室聯合發布的《關于網絡關鍵設備和網絡安全專用產品安全認證實施要求的公告》中，進一步明確了為安全認證機構提供檢測服務的實驗室名錄。2018年發布的《網絡關鍵設備和網絡安全專用產品安全認證實施規則》（CNCA-CCIS-2018），為安全認證的實施提供了依據。2021年，《網絡關鍵設備安全通用要求》（GB 40050-2021）的發布，為網絡關鍵設備安全認證和安全檢測的落地，提供了技術標準。

網絡關鍵設備和網絡安全專用產品安全認證和安全檢測制度的建立，是我國在網絡安全領域，依法建立產品認證制度，建設認證體系的卓有成效的嘗試。主要體現在以下方面：

一是統一技術標準

網絡關鍵設備和網絡安全專用產品安全認證和安全檢測，相關管理部門涉及工業和信息化部、公安部、國家認證認可監督管理委員會，在現有相關行政審批、安全認證制度項下，為適應相應領域管理要求，形成了不同的產品標準。在國家互聯網信息辦公室的協調下，安全認證和安全檢測各實施機構使用統一的技術標準對網絡關鍵設備和網絡安全專用產品進行安全性評價，為推動安全認證和安全檢測結果互認，避免重復認證、檢測奠定了基礎。

二是有效利用現有認證和檢測資源

安全認證和安全檢測制度選取了現有相關管理制度項下的認證和檢測機構作為實施單位，既充分發揮了專業機構的技術優勢，有效利用現有認證和檢測資源，又避免了網絡安全領域合格評定能力低水平重復建設，為網絡關鍵設備和網絡安全專用產品安全認證和安全檢測與現有管理制度的協同推進創造了條件。

三是扎實推進安全認證，發揮持續監管作用

網絡關鍵設備和網絡安全專用產品安全認證的實施，在產品合規性持續監管方面發揮了重要作用。依據《網絡關鍵設備和網絡安全專用產品安全認證實施規則》，認證模式為“型式試驗+工廠檢查+獲證后監督”的認證模式。在型式試驗階段，檢測機構對企業提供的樣品進行檢測，以判斷其是否符合標準要求；在工廠檢查階段，認證機構對制造商和生產企業的安全保障能力和質量保證能力進行審核，以判斷其是否具備持續生產出符合標準要求的產品的能力；在企業獲得認證證書后，證書有效期內，認證機構通過持續的跟蹤檢查，對獲證產品符合性進行監督。

認證作為國際通行的合格評定手段，在產品合規性管理及質量提升方面正發揮著日益重要的作用。對信息技術產品實施安全認證已經成為歐洲、美國等國家和地區網絡安全和隱私保護的重要內容。網絡關鍵設備和網絡安全專用產品安全認證的實施，為國家對產品的質量監管提供了有力的抓手和重要支撐。

來源：“網信中國”微信公眾號

審核：趙　娟

編輯：趙雅琪

校對：陳金丹