網絡安全領域的標準與合格評定(認證����、認可、檢測等)是保障網絡安全的重要手段和基礎性機制���,被世界各國普遍運用于構建網絡安全保障體系��,保障網絡安全�、引領產業(yè)進步、提升國際競爭力��。CC(CommonCriteria����,通用評估準則)是目前國際上應用最廣泛,也是最全面的安全評價標準�����,被國際標準化組織吸納轉化為ISO/IEC 15408����。很多國家根據CC標準實施信息技術產品的安全性評估與認證,并建立本國的網絡安全認證體系����。網絡關鍵設備和網絡安全專用產品安全認證是依據《中華人民共和國網絡安全法》��,為提升國家網絡安全保障能力而實施的一項認證制度��。從認證體系的產品目錄����、實施機構�����、實施要求等方面系統(tǒng)梳理了網絡關鍵設備和網絡安全專用產品安全認證體系建立的情況����,有助于我們了解認證模式�、采用標準及認證實施的現狀,進一步明確該項認證制度在我國網絡安全保障體系中的重要作用���。
認證體系的建立
為保障國家網絡安全�,解決我國信息安全產品測評認證領域存在的各部門分別實施評價或許可制度��,造成檢測標準不一致和重復檢測等問題��,國家有關部門自2002年起便開始致力于建立國家統(tǒng)一的信息安全產品認證認可體系��。
2003年9月���,中央辦公廳和國務院辦公廳轉發(fā)了《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)�,要求“推進認證認可工作��,規(guī)范和加強信息安全產品測評認證”。
根據中央27號文件精神��,國家認監(jiān)委等八部門于2004年聯(lián)合發(fā)布了《關于建立國家信息安全產品認證認可體系的通知》(國認證聯(lián)[2004]57號)�,提出要建立統(tǒng)一的信息安全產品認證認可體系,對于重要的信息安全產品實行強制性認證��。
2008年1月�,原質檢總局和認監(jiān)委聯(lián)合發(fā)布了《關于部分信息安全產品實施強制性認證的公告》(2008年第7號),宣布自2009年5月1日起��,對部分重要信息安全產品實施強制性認證�。從對外關系大局出發(fā),2009年4月27日��,原質檢總局�����、財政部和認監(jiān)委聯(lián)合發(fā)布了《關于調整信息安全產品強制性認證實施要求的公告》(2009年第33號�����,以下簡稱33號公告)�,宣布將信息安全產品認證的實施時間延至2010年5月1日�����,在政府采購法規(guī)定的范圍內強制實施。
2010年4月28日����,財政部、工信部�����、原質檢總局和認監(jiān)委聯(lián)合發(fā)布了《關于信息安全產品實施政府采購的通知》�,明確了關于信息安全產品實施政府采購的規(guī)定。
2010年7月�����,國家認監(jiān)委發(fā)布了《關于信息安全產品認證制度實施要求的公告》(2010年第26號)進一步明確了信息安全產品認證制度的名稱����、證書式樣及認證標志。
國家信息安全產品認證制度的實施是我國網絡安全產品認證認可體系建設的重要里程碑�。經過近十年的發(fā)展,認證體系不斷完善���,在提高我國網絡安全認證����、檢測技術水平,減輕企業(yè)負擔���,服務網絡安全產業(yè)健康發(fā)展����,推動我國網絡安全產品自主標準體系建設等方面發(fā)揮了重要作用���。
2016年11月7日���,《中華人民共和國網絡安全法》由全國人民代表大會常務委員會審議通過并發(fā)布,2017年6月1日起施行����。《網絡安全法》第二十三條規(guī)定��,“網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求����,由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供��。國家網信部門會同國務院有關部門制定���、公布網絡關鍵設備和網絡安全專用產品目錄���,并推動安全認證和安全檢測結果互認,避免重復認證���、檢測”�����。
國家網信辦會同國家認監(jiān)委�、工業(yè)和信息化部����、公安部等有關部門落實《網絡安全法》第二十三條規(guī)定,在現有認證���、檢測制度基礎上�����,建立了網絡關鍵設備和網絡安全專用產品安全認證體系�����。
產品目錄
2017年6月1日���,國家網信辦���、工業(yè)和信息化部、公安部����、國家認監(jiān)委聯(lián)合發(fā)布了《關于發(fā)布<網絡關鍵設備和網絡安全專用產品目錄(第一批)>的公告》(2017年第1號,以下簡稱“1號公告”)�����,路由器���、交換機等4類網絡關鍵設備�����,以及數據備份一體機����、防火墻(硬件)等11類網絡安全專用產品列入目錄。1號公告目錄中對網絡關鍵設備和網絡安全專用產品的界定包括類別和范圍�,其中,“范圍”中列出了部分技術指標參數�����。
實施機構
2018年3月15日��,國家認監(jiān)委��、工業(yè)和信息化部�����、公安部�、國家網信辦聯(lián)合發(fā)布了《關于發(fā)布承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄(第一批)的公告》(2018年第12號)��,指定中國信息安全認證中心(現已更名為“中國網絡安全審查技術與認證中心”�����,以下簡稱“網安中心”)承擔網絡關鍵設備和網絡安全專用產品安全認證工作��。
根據國家認監(jiān)委和國家網信辦于2018年5月30日發(fā)布的《關于網絡關鍵設備和網絡安全專用產品安全認證實施要求的公告》(2018年第24號,以下簡稱“24號公告”)���,安全認證相關檢測工作由信息產業(yè)信息安全測評中心����、國家保密科技測評中心�����、公安部計算機信息系統(tǒng)安全產品質量監(jiān)督檢驗中心���、國家密碼管理局商用密碼檢測中心�、中國信息安全測評中心信息安全實驗室����、北京信息安全測評中心、上海市信息安全測評認證中心����、國家信息技術安全研究中心信息安全特種技術檢測實驗室等8家實驗室承擔。
實施要求
根據24號公告���,安全認證由認證機構(即網安中心)依據《網絡關鍵設備和網絡安全專用產品安全認證實施規(guī)則》(CNCA-CCIS-2018��,以下簡稱“實施規(guī)則”)實施��,1號公告目錄內產品如已獲得認證機構頒發(fā)的產品認證證書且在有效期內的��,相關生產企業(yè)可直接申請換發(fā)安全認證證書�����。認證機構將認證結果依照相關規(guī)定報國家認監(jiān)委�。
實施規(guī)則由國家認監(jiān)委于2018年6月27日發(fā)布����,自發(fā)布之日起實施。
認證的實施情況
網絡關鍵設備和網絡安全專用產品安全認證沿用了現有認證制度的認證模式�����,即“型式試驗+工廠檢查+獲證后監(jiān)督”�。
安全認證采用的標準是我國自主制定的針對具體產品的國家標準。部分產品依據的國家標準如表1所示�����。
2018年8月2日�,網安中心頒發(fā)了第一張“網絡關鍵設備和網絡安全專用產品安全認證證書”,截至2018年底,共頒發(fā)證書30張��。覆蓋了防火墻���、入侵檢測系統(tǒng)�����、安全審計�、網閘等產品類別�����。
網絡關鍵設備和網絡安全專用產品安全認證體系建立在現有國家信息安全產品認證制度基礎上�,在認證模式、認證流程�、依據標準、認證標志等方面保持一致和同步�。同時符合1號公告目錄及國家信息安全產品認證目錄界定范圍的產品,通過統(tǒng)一的認證平臺提交認證申請��,通過認證評價后�,即可獲得帶有“網絡關鍵設備和網絡安全專用產品安全認證”及“中國國家信息安全產品認證”標識的認證證書,并加施統(tǒng)一的認證標志�。相關產品如已獲得認證機構頒發(fā)的有效產品認證證書�����,可直接申請換發(fā)安全認證證書�����。這樣的認證體系安排既有助于認證制度順利銜接過渡�,又能有效減少重復檢測認證�����,減輕企業(yè)負擔����。
《網絡安全法》的頒布實施���,將網絡安全認證制度上升到法律的層面���,為網絡安全認證認可體系的有效運行和持續(xù)完善提出了更高的要求。做好網絡關鍵設備和網絡安全專用產品安全認證的實施工作�����,有助于推進完善統(tǒng)一的國家網絡安全認證體系建設,逐步消除重復評價�����、重復發(fā)證��,不斷鞏固網絡安全認證認可工作在我國網絡安全保障體系中的基礎性技術支撐地位����。
關注官方微信
微信咨詢
