專家解讀|以網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測維護(hù)網(wǎng)絡(luò)安全的基本盤
隨著信息和通信技術(shù)的進(jìn)化和全領(lǐng)域的數(shù)字化轉(zhuǎn)型,,公共機(jī)構(gòu)、企業(yè),、個人使用的網(wǎng)絡(luò)產(chǎn)品和信息服務(wù)日益增多,,網(wǎng)絡(luò)設(shè)備在政務(wù)、通信,、衛(wèi)生,、能源、金融和運輸?shù)戎匾块T領(lǐng)域中發(fā)揮的核心作用也不斷增強(qiáng),。數(shù)字化和連接性是萬物互聯(lián)時代的網(wǎng)絡(luò)設(shè)備基本屬性,,也讓整個社會更容易遭受網(wǎng)絡(luò)安全威脅;個別網(wǎng)絡(luò)設(shè)備的漏洞可能成為影響網(wǎng)絡(luò)系統(tǒng)安全的薄弱環(huán)節(jié)而被利用,,網(wǎng)絡(luò)關(guān)鍵設(shè)備則成為網(wǎng)絡(luò)風(fēng)險的主要來源和網(wǎng)絡(luò)攻擊的重點對象,,將網(wǎng)絡(luò)關(guān)鍵設(shè)備納入重點管理對象成為國內(nèi)外的普遍做法。我國2016年11月頒布的《網(wǎng)絡(luò)安全法》第二十三條提出了網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測制度,,歐盟在2019年4月頒布的《歐洲網(wǎng)絡(luò)安全法》和美國在2020年12月頒布的《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》也建立了類似的網(wǎng)絡(luò)安全認(rèn)證制度,。為了落實我國《網(wǎng)絡(luò)安全法》,國家互聯(lián)網(wǎng)信息辦公室協(xié)調(diào)多部委開展了一系列貫徹落實工作,,網(wǎng)絡(luò)關(guān)鍵設(shè)備的首批安全認(rèn)證和安全檢測結(jié)果近日統(tǒng)一公布,,該制度的法律實施效果將日益顯現(xiàn)。
一,、劃定網(wǎng)絡(luò)關(guān)鍵設(shè)備的識別范圍,,抓住關(guān)鍵領(lǐng)域
網(wǎng)絡(luò)攻擊正在增加,更容易受到網(wǎng)絡(luò)威脅和攻擊的關(guān)鍵領(lǐng)域需要更強(qiáng)大的防御,。網(wǎng)絡(luò)關(guān)鍵設(shè)備采取依標(biāo)生產(chǎn),、安全認(rèn)證和安全檢測制度,,在流通銷售之前進(jìn)行產(chǎn)品質(zhì)量管理,,以假定網(wǎng)絡(luò)攻擊發(fā)生而在設(shè)計和開發(fā)的最初階段采取策略將影響降到最低,,從而減少惡意利用造成的危害風(fēng)險并確保我國網(wǎng)絡(luò)安全關(guān)鍵領(lǐng)域的穩(wěn)定有序。根據(jù)《網(wǎng)絡(luò)安全法》《密碼法》等法規(guī),,網(wǎng)絡(luò)關(guān)鍵設(shè)備已經(jīng)被列為專門對象進(jìn)行管理,。在《網(wǎng)絡(luò)安全法》第二十三條中,網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求,,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測符合要求后,,方可銷售或者提供。在《密碼法》第二十六條中,,涉及國家安全,、國計民生、社會公共利益的商用密碼產(chǎn)品,,應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,,由具備資格的機(jī)構(gòu)檢測認(rèn)證合格后,方可銷售或者提供,。
2017年6月,,國家互聯(lián)網(wǎng)信息辦公室會同工業(yè)和信息化部、公安部和國家認(rèn)證認(rèn)可監(jiān)督管理委員會發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)》,,將4類網(wǎng)絡(luò)關(guān)鍵設(shè)備(路由器,、交換機(jī)、機(jī)架式服務(wù)器,、PLC設(shè)備)和11類網(wǎng)絡(luò)安全專用產(chǎn)品(數(shù)據(jù)備份一體機(jī),、硬件防火墻、入侵檢測,、防御系統(tǒng),、安全隔離與信息交換產(chǎn)品、安全數(shù)據(jù)庫等)納入安全認(rèn)證和安全檢測對象,,列入目錄的設(shè)備和產(chǎn)品需要按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求,,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測符合要求后,方可銷售或者提供,??傮w而言,第一批產(chǎn)品目錄主要集中在系統(tǒng)組網(wǎng)所必須的IT基礎(chǔ)硬件設(shè)施,,屬于國家安全和社會管理的基本需要,,也是保障工業(yè)互聯(lián)網(wǎng)安全的主要對象。
網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄在目前只發(fā)布了第一批,,后續(xù)還應(yīng)當(dāng)新增其它關(guān)涉國家安全和社會管理的基本需要的產(chǎn)品,,這也是各國保持網(wǎng)絡(luò)安全管理彈性的基本做法。為了履行安全義務(wù),,相關(guān)方應(yīng)當(dāng)跟蹤《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的更新情況,。與此同時,,無論是對于網(wǎng)絡(luò)設(shè)備的生產(chǎn)者還是相關(guān)領(lǐng)域的用戶,都應(yīng)當(dāng)對自己生產(chǎn)或使用的產(chǎn)品進(jìn)行梳理,,判斷是否有產(chǎn)品落入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的范圍,,對此類產(chǎn)品開展專項合規(guī)工作。
二,、制定網(wǎng)絡(luò)關(guān)鍵設(shè)備的技術(shù)標(biāo)準(zhǔn),,形成統(tǒng)一規(guī)范
技術(shù)標(biāo)準(zhǔn)是安全認(rèn)證和安全檢測的評判依據(jù),《歐洲網(wǎng)絡(luò)安全法》就提出,,在準(zhǔn)備歐洲網(wǎng)絡(luò)安全認(rèn)證計劃時,,歐盟網(wǎng)絡(luò)安全局(ENISA)應(yīng)定期咨詢標(biāo)準(zhǔn)化組織,特別是歐洲標(biāo)準(zhǔn)化組織,。我國《網(wǎng)絡(luò)安全法》第二十三條也規(guī)定,,對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品依據(jù)國家標(biāo)準(zhǔn)強(qiáng)制性要求開展安全認(rèn)證和安全檢測。網(wǎng)絡(luò)關(guān)鍵設(shè)備有標(biāo)可循,,可以劃定網(wǎng)絡(luò)安全的底線,,將為落實《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測工作提供重要技術(shù)依據(jù)、明確網(wǎng)絡(luò)關(guān)鍵設(shè)備應(yīng)具備的基本安全能力,、為各類網(wǎng)絡(luò)關(guān)鍵設(shè)備制修訂推薦性標(biāo)準(zhǔn)提供安全要求框架和指導(dǎo),,最終形成產(chǎn)品生產(chǎn)銷售依據(jù)和消費購買的辨別指南。
2021年2月20日,,國家市場監(jiān)督管理總局(國家標(biāo)準(zhǔn)化管理委員會)發(fā)布2021年第1號公告,,批準(zhǔn)了《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》(GB 40050-2021),這是我國網(wǎng)絡(luò)安全領(lǐng)域為數(shù)不多的強(qiáng)制性標(biāo)準(zhǔn)之一,,將成為網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測的統(tǒng)一規(guī)范,。
《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》為不同類型的網(wǎng)絡(luò)關(guān)鍵設(shè)備建立統(tǒng)一的安全技術(shù)要求,可適用于當(dāng)前和未來的各類網(wǎng)絡(luò)關(guān)鍵設(shè)備,,同時也有利于建立統(tǒng)一的安全管理體系,。該強(qiáng)制性標(biāo)準(zhǔn)的主要內(nèi)容包括安全功能要求和安全保障要求兩個部分。其一,,安全功能要求聚焦于保障和提升設(shè)備的安全技術(shù)能力,,主要包括設(shè)備標(biāo)識安全、冗余備份恢復(fù)與異常檢測,、漏洞和惡意程序防范,、預(yù)裝軟件啟動及更新安全、用戶身份標(biāo)識與鑒別,、訪問控制安全,、日志審計安全、通信安全,、數(shù)據(jù)安全以及密碼要求10個部分,。其二,,安全保障要求聚焦于規(guī)范網(wǎng)絡(luò)關(guān)鍵設(shè)備提供者在設(shè)備全生命周期的安全保障能力,主要包括設(shè)計和開發(fā),、生產(chǎn)和交付、運行和維護(hù)三個環(huán)節(jié)的要求,。以上安全要求形成了網(wǎng)絡(luò)關(guān)鍵硬件產(chǎn)品的安全治理體系,。在智能網(wǎng)聯(lián)汽車、電子醫(yī)療設(shè)備,、工業(yè)自動化控制系統(tǒng)和智能電網(wǎng)等領(lǐng)域,,網(wǎng)絡(luò)關(guān)鍵設(shè)備的統(tǒng)一要求還將對下游產(chǎn)品開發(fā)和應(yīng)用提供顯著的便利,為集成應(yīng)用的開發(fā)者提供生產(chǎn)便利,。
三,、開展網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全認(rèn)證和安全檢測,樹立社會公信
認(rèn)證檢測在提高數(shù)字世界重要產(chǎn)品和服務(wù)的信任度和安全性方面發(fā)揮著至關(guān)重要的作用,,只有公眾和各類用戶普遍相信此網(wǎng)絡(luò)關(guān)鍵設(shè)備能夠提供必要的網(wǎng)絡(luò)安全,,能夠以第三方監(jiān)督的方式彌合買賣雙方的信息不對稱,以合格評定的方式樹立社會公信力,,數(shù)字經(jīng)濟(jì)和物聯(lián)網(wǎng)才能蓬勃發(fā)展,。在自愿性檢測和認(rèn)證的階段,企業(yè)通過第三方合格評定來展示安全服務(wù)能力或者產(chǎn)品的安全質(zhì)量,。根據(jù)《網(wǎng)絡(luò)安全法》的要求,,未來沒有通過安全認(rèn)證或安全檢測的設(shè)備和產(chǎn)品將不能在國內(nèi)市場銷售。近期,,國家互聯(lián)網(wǎng)信息辦公室協(xié)調(diào)多個部門根據(jù)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》開展了首批安全認(rèn)證和安全檢測,,這標(biāo)志著網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全認(rèn)證和安全檢測正式開花結(jié)果。
2018年3月,,國家認(rèn)證認(rèn)可監(jiān)督管理委員會,、工業(yè)和信息化部、公安部,、國家互聯(lián)網(wǎng)信息辦公室就聯(lián)合發(fā)布了《關(guān)于發(fā)布承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測任務(wù)機(jī)構(gòu)名錄(第一批)的公告》,,確立了16家認(rèn)證和檢測機(jī)構(gòu)。企業(yè)可自主選擇實施一種第三方評定方式,,也即由委托人自行選擇具備資格的機(jī)構(gòu)進(jìn)行安全認(rèn)證或者安全檢測,。根據(jù)管理職責(zé)分工,選擇認(rèn)證方式的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品,,安全認(rèn)證合格后,,由認(rèn)證機(jī)構(gòu)報國家認(rèn)證認(rèn)可監(jiān)督管理委員會;選擇檢測方式的網(wǎng)絡(luò)關(guān)鍵設(shè)備,,安全檢測符合要求后,,由檢測機(jī)構(gòu)報工業(yè)和信息化部,;選擇檢測方式的網(wǎng)絡(luò)安全專用產(chǎn)品,安全檢測符合要求后,,由檢測機(jī)構(gòu)報公安部,。為了整合各部委職責(zé),實現(xiàn)歸口管理,,最終結(jié)果由國家互聯(lián)網(wǎng)信息辦公室匯總?cè)浇y(tǒng)一公布,。事實上,檢測,、檢驗,、認(rèn)證、認(rèn)可均屬于《合格評定 詞匯和通用原則》(ISO/IEC17000)所認(rèn)可的合格評定形式,,其中的檢測(Testing)是“按照程序確定合格評定對象一個或多個特性的活動”,。換而言之,就是依據(jù)技術(shù)標(biāo)準(zhǔn)和規(guī)范,,使用儀器設(shè)備,,進(jìn)行評價的活動,其評價結(jié)果為測試數(shù)據(jù),。認(rèn)證(Certification)是“與產(chǎn)品,、過程、體系或人員有關(guān)的第三方證明”,;換而言之,,就是指由具備第三方性質(zhì)的認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù),、管理體系,、人員符合相關(guān)標(biāo)準(zhǔn)和技術(shù)規(guī)范的合格評定活動。為了支撐認(rèn)證工作的開展,,國家認(rèn)證認(rèn)可監(jiān)督管理委員會在2018年還發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實施規(guī)則》(CNCA-CCIS-2018),,規(guī)定了開展網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證的基本原則和要求。
在《網(wǎng)絡(luò)安全法》立法過程中,,立法部門注意到我國有多個政府部門依據(jù)各自職責(zé)開展網(wǎng)絡(luò)相關(guān)設(shè)備和產(chǎn)品的安全認(rèn)證和安全檢測,,產(chǎn)品范圍有重復(fù),認(rèn)證檢測的項目有交叉,,要求和標(biāo)準(zhǔn)也不統(tǒng)一,,致使需要重復(fù)認(rèn)證、檢測,,造成資源浪費,,增加企業(yè)負(fù)擔(dān)。統(tǒng)一的市場需要統(tǒng)一的認(rèn)證機(jī)制,網(wǎng)絡(luò)安全認(rèn)證也需要對生產(chǎn)者和全社會形成統(tǒng)一的適用口徑,。針對這種情況,,《網(wǎng)絡(luò)安全法》第二十三條規(guī)定,國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定,、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,,并推動安全認(rèn)證和安全檢測結(jié)果互認(rèn),避免重復(fù)認(rèn)證,、檢測,。同時,按照《關(guān)于發(fā)布〈網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)〉的公告》(國家互聯(lián)網(wǎng)信息辦公室,、工業(yè)和信息化部,、公安部,、國家認(rèn)證認(rèn)可監(jiān)督管理委員會公告 2017年第1號)和《關(guān)于統(tǒng)一發(fā)布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測結(jié)果的公告》(國家互聯(lián)網(wǎng)信息辦公室,、工業(yè)和信息化部、公安部,、國家認(rèn)證認(rèn)可監(jiān)督管理委員會公告 2022年第1號)要求,,國家互聯(lián)網(wǎng)信息辦公室會同工業(yè)和信息化部、公安部,、國家認(rèn)證認(rèn)可監(jiān)督管理委員會統(tǒng)一發(fā)布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全認(rèn)證和安全檢測結(jié)果,,有利于掌握、監(jiān)督和協(xié)調(diào)各部門之間的職責(zé)劃分,,對社會形成一個權(quán)威的信息獲取渠道,。
面向未來,越來越多的產(chǎn)品和服務(wù)將在全國和全球范圍內(nèi)產(chǎn)生數(shù)量極多的連接性數(shù)字設(shè)備,,萬物互聯(lián),、數(shù)字孿生的數(shù)字空間將關(guān)系到個人利益、組織利益和國家利益的方方面面,,構(gòu)建以網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全認(rèn)證和安全檢測為代表的安全監(jiān)督機(jī)制,,將成為維護(hù)網(wǎng)絡(luò)安全的基本盤的基石。(作者:劉云,,清華大學(xué)智能法治研究院院長助理,、助理研究員)
掃一掃在手機(jī)端打開當(dāng)前頁
京公網(wǎng)安備11040102700079號