第三节网络关键设备、网络安全专用产品认证、检测_网络安全法适用指南-QQ阅读男生科幻网

书名：网络安全法适用指南
作者名：马民虎
本章字数：2529字
更新时间：2021-04-09 21:24:23

第三节网络关键设备、网络安全专用产品认证、检测

适用要点

1．网络关键设备、网络安全专用产品的范畴

2．相关国家标准的强制性规范

3．具备资格的认证、检测机构

《网络安全法》第二十三条规定，网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

《网络安全法》颁布之前，公安部根据《计算机信息系统安全保护条例》建立了计算机信息系统安全专用产品的销售实行许可证制度，《计算机信息系统安全保护条例》第十六条规定，国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。并通过《计算机信息系统安全专用产品检测和销售许可证管理办法》进一步确立了安全专用产品检测制度。《计算机信息系统安全专用产品检测和销售许可证管理办法》第四条规定，安全专用产品的生产者申领销售许可证，必须对其产品进行安全功能检测和认定。工信部根据《电信条例》建立了电信设备入网检测制度。《电信条例》第五十三条规定，国家对电信终端设备、无线电通信设备和涉及网间互联的设备实行进网许可制度。接入公用电信网的电信终端设备、无线电通信设备和涉及网间互联的设备，必须符合国家规定的标准并取得进网许可证。实行进网许可制度的电信设备目录，由国务院信息产业主管部门会同国务院产品质量监督部门制定并公布施行。第五十四条第一款规定，办理电信设备进网许可证的，应当向国务院信息产业主管部门提出申请，并附送经国务院产品质量监督部门认可的电信设备检测机构出具的检测报告或者认证机构出具的产品质量认证书。国家认证认可监督管理委员会根据《认证认可条例》建立了信息安全产品认证制度。《认证认可条例》第四条规定，国家实行统一的认证认可监督管理制度。国家对认证认可工作实行在国务院认证认可监督管理部门统一管理、监督和综合协调下，各有关方面共同实施的工作机制。2008年，国家质检总局、国家认监委发布了《关于部分信息安全产品实施强制性认证的公告》，并公布了《第一批信息安全产品强制性认证目录》。从以上可以看出，在网络安全认证、检测领域，公安部、工信部、国家认证认可监督管理委员会各自根据相关规范建立了各自的认证、检测制度，导致网络安全检测、认证标准不统一，重复、交叉认证、检测现象频发。《网络安全法》第二十三条将各部门现行的网络安全认证、检测制度重新整合，旨在建立统一的网络安全认证、检测制度。首先，统一监管。网络安全认证、检测工作将由国家网信办负责牵头，会同其他部门共同开展；其次，统一认证、检测目录。避免出现各自为政，规范不统一的现象；最后，推动认证、检测结果的互认，避免重复认证、检测。

一、网络关键设备、网络安全专用产品范畴

根据《网络安全法》第二十三条的规定，2017年6月1日，国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合发布了《网络关键设备和网络安全专用产品目录（第一批）》，具体内容见表3-4。

表3-4 网络关键设备和网络安全专用产品目录（第一批）

与国家质量监督检验检疫总局、国家认证认可监督管理委员会于2008年发布的《第一批信息安全产品强制性认证目录》相比，《网络关键设备和网络安全专用产品目录（第一批）》略有不同。《第一批信息安全产品强制性认证目录》具体内容如表3-5所示。

表3-5 第一批信息安全产品强制性认证目录

续表

二、相关国家标准的强制性规范

根据《网络安全法》第二十三条的规定，网络关键设备和网络安全专用产品应当符合相关国家标准的强制性要求。该强制性要求既包括一般网络产品相关国家标准的强制性规定，也包括专门针对网络关键设备和网络安全专用产品相关国家标准的强制性规定。

目前，我国网络安全方面的强制性国家标准较少。强制性国标《信息技术设备安全第1部分：通用要求》（GB 4943.1—2011）中对于个人计算机、数据终端设备、路由器等设备的通用要求作出了规范。2017年，全国信息安全标准化技术委员会发布了《信息安全技术网络产品和服务安全通用要求（征求意见稿）》，其中规定了一般网络产品和服务必须满足的一般安全要求和增强安全要求，还规定了网络关键设备和网络安全专用产品必须满足增强安全性的要求。随着《网络安全法》以及新修订的《标准化法》的颁布实施，今后关于网络关键设备和网络安全专用产品相关的强制性国家标准会相应地完善。

三、网络关键设备、网络安全专用产品认证、检测机构

根据《网络安全法》第二十三条的规定，网络关键设备、网络安全专用产品须由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会四部门在关于发布《网络关键设备和网络安全专用产品目录（第一批）》的公告中明确指出，“具备资格的机构”是指国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室按照国家有关规定共同认定的机构。目前，四部门尚未明确该具体机构。

当前，关于网络关键设备、网络安全专用产品的认证、检测机构可以参考国家认证认可监督管理委员会2009年发布的《关于信息安全产品强制性认证指定认证机构和实验室》的公告。该公告明确指出承担信息安全产品强制性认证工作的认证机构为中国信息安全认证中心。认证业务范围包括：防火墙产品、网络安全隔离卡与线路选择器产品、安全隔离与信息交换产品、安全路由器产品、智能卡COS产品、数据备份与恢复产品、安全操作系统产品、安全数据库系统产品、反垃圾邮件产品、入侵检测系统产品、网络脆弱性扫描产品、安全审计产品、网站恢复产品。承担信息安全产品强制性认证检测任务的实验室有信息产业部计算机安全技术检测中心、国家保密局涉密信息系统安全保密测评中心、公安部计算机信息系统安全产品质量监督检验中心、国家密码管理局商用密码检测中心、中国信息安全测评中心信息安全实验室、北京信息安全测评中心、上海市信息安全测评认证中心。关于上述实验室具体认证检测的业务范围在本书第二章第三节“网络安全社会化服务体系”中已有介绍，在此不再赘述。

此外，需要注意的是，为推动认证、检测结果的互认，以及新旧制度的衔接，国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会在关于发布《网络关键设备和网络安全专用产品目录（第一批）》公告中规定：

网络关键设备、网络安全专用产品选择安全检测方式的，经安全检测符合要求后，由检测机构将网络关键设备、网络安全专用产品检测结果（含公告发布之前已经本机构安全检测符合要求、且在有效期内的设备与产品）依照相关规定分别报工业和信息化部、公安部。选择安全认证方式的，经安全认证合格后，由认证机构将认证结果（含公告发布之前已经本机构安全认证合格、且在有效期内的设备与产品）依照相关规定报国家认证认可监督管理委员会。

法条链接目录

1．中华人民共和国计算机信息系统安全保护条例

2．中华人民共和国电信条例

3．中华人民共和国认证认可条例

4．计算机信息系统安全专用产品检测和销售许可证管理办法

5．网络关键设备和网络安全专用产品目录（第一批）

6．第一批信息安全产品强制性认证目录

7．信息技术设备安全第1部分：通用要求（GB 4943.1—2011）

8．信息技术设备安全第23部分：大型数据存储设备（GB 4943.23—2012）

9．信息安全技术网络产品和服务安全通用要求（征求意见稿）

10．关于信息安全产品强制性认证指定认证机构和实验室