網(wǎng)絡(luò)安全領(lǐng)域的標準與合格評定(認證�、認可、檢測等)是保障網(wǎng)絡(luò)安全的重要手段和基礎(chǔ)性機制�,被世界各國普遍運用于構(gòu)建網(wǎng)絡(luò)安全保障體系,保障網(wǎng)絡(luò)安全�、引領(lǐng)產(chǎn)業(yè)進步�、提升國際競爭力��。CC(CommonCriteria�����,通用評估準則)是目前國際上應(yīng)用最廣泛��,也是最全面的安全評價標準��,被國際標準化組織吸納轉(zhuǎn)化為ISO/IEC 15408���。很多國家根據(jù)CC標準實施信息技術(shù)產(chǎn)品的安全性評估與認證�,并建立本國的網(wǎng)絡(luò)安全認證體系���。網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證是依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》�,為提升國家網(wǎng)絡(luò)安全保障能力而實施的一項認證制度�����。從認證體系的產(chǎn)品目錄�����、實施機構(gòu)�、實施要求等方面系統(tǒng)梳理了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證體系建立的情況,有助于我們了解認證模式�、采用標準及認證實施的現(xiàn)狀,進一步明確該項認證制度在我國網(wǎng)絡(luò)安全保障體系中的重要作用���。
認證體系的建立
為保障國家網(wǎng)絡(luò)安全�,解決我國信息安全產(chǎn)品測評認證領(lǐng)域存在的各部門分別實施評價或許可制度���,造成檢測標準不一致和重復(fù)檢測等問題����,國家有關(guān)部門自2002年起便開始致力于建立國家統(tǒng)一的信息安全產(chǎn)品認證認可體系�。
2003年9月,中央辦公廳和國務(wù)院辦公廳轉(zhuǎn)發(fā)了《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)���,要求“推進認證認可工作���,規(guī)范和加強信息安全產(chǎn)品測評認證”。
根據(jù)中央27號文件精神�,國家認監(jiān)委等八部門于2004年聯(lián)合發(fā)布了《關(guān)于建立國家信息安全產(chǎn)品認證認可體系的通知》(國認證聯(lián)[2004]57號),提出要建立統(tǒng)一的信息安全產(chǎn)品認證認可體系�,對于重要的信息安全產(chǎn)品實行強制性認證�����。
2008年1月����,原質(zhì)檢總局和認監(jiān)委聯(lián)合發(fā)布了《關(guān)于部分信息安全產(chǎn)品實施強制性認證的公告》(2008年第7號)����,宣布自2009年5月1日起,對部分重要信息安全產(chǎn)品實施強制性認證���。從對外關(guān)系大局出發(fā)����,2009年4月27日�����,原質(zhì)檢總局����、財政部和認監(jiān)委聯(lián)合發(fā)布了《關(guān)于調(diào)整信息安全產(chǎn)品強制性認證實施要求的公告》(2009年第33號,以下簡稱33號公告)���,宣布將信息安全產(chǎn)品認證的實施時間延至2010年5月1日�,在政府采購法規(guī)定的范圍內(nèi)強制實施。
2010年4月28日����,財政部��、工信部���、原質(zhì)檢總局和認監(jiān)委聯(lián)合發(fā)布了《關(guān)于信息安全產(chǎn)品實施政府采購的通知》���,明確了關(guān)于信息安全產(chǎn)品實施政府采購的規(guī)定。
2010年7月��,國家認監(jiān)委發(fā)布了《關(guān)于信息安全產(chǎn)品認證制度實施要求的公告》(2010年第26號)進一步明確了信息安全產(chǎn)品認證制度的名稱���、證書式樣及認證標志�。
國家信息安全產(chǎn)品認證制度的實施是我國網(wǎng)絡(luò)安全產(chǎn)品認證認可體系建設(shè)的重要里程碑��。經(jīng)過近十年的發(fā)展��,認證體系不斷完善��,在提高我國網(wǎng)絡(luò)安全認證、檢測技術(shù)水平���,減輕企業(yè)負擔(dān)�����,服務(wù)網(wǎng)絡(luò)安全產(chǎn)業(yè)健康發(fā)展�,推動我國網(wǎng)絡(luò)安全產(chǎn)品自主標準體系建設(shè)等方面發(fā)揮了重要作用�。
2016年11月7日,《中華人民共和國網(wǎng)絡(luò)安全法》由全國人民代表大會常務(wù)委員會審議通過并發(fā)布�����,2017年6月1日起施行����。《網(wǎng)絡(luò)安全法》第二十三條規(guī)定�����,“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當按照相關(guān)國家標準的強制性要求��,由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后,方可銷售或者提供�。國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄����,并推動安全認證和安全檢測結(jié)果互認,避免重復(fù)認證����、檢測”。
國家網(wǎng)信辦會同國家認監(jiān)委����、工業(yè)和信息化部�����、公安部等有關(guān)部門落實《網(wǎng)絡(luò)安全法》第二十三條規(guī)定���,在現(xiàn)有認證���、檢測制度基礎(chǔ)上,建立了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證體系���。
產(chǎn)品目錄
2017年6月1日��,國家網(wǎng)信辦�����、工業(yè)和信息化部�����、公安部����、國家認監(jiān)委聯(lián)合發(fā)布了《關(guān)于發(fā)布<網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)>的公告》(2017年第1號,以下簡稱“1號公告”)�,路由器、交換機等4類網(wǎng)絡(luò)關(guān)鍵設(shè)備�,以及數(shù)據(jù)備份一體機、防火墻(硬件)等11類網(wǎng)絡(luò)安全專用產(chǎn)品列入目錄�����。1號公告目錄中對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的界定包括類別和范圍���,其中����,“范圍”中列出了部分技術(shù)指標參數(shù)。
實施機構(gòu)
2018年3月15日�����,國家認監(jiān)委�����、工業(yè)和信息化部���、公安部����、國家網(wǎng)信辦聯(lián)合發(fā)布了《關(guān)于發(fā)布承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證和安全檢測任務(wù)機構(gòu)名錄(第一批)的公告》(2018年第12號)���,指定中國信息安全認證中心(現(xiàn)已更名為“中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心”,以下簡稱“網(wǎng)安中心”)承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證工作��。
根據(jù)國家認監(jiān)委和國家網(wǎng)信辦于2018年5月30日發(fā)布的《關(guān)于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證實施要求的公告》(2018年第24號����,以下簡稱“24號公告”),安全認證相關(guān)檢測工作由信息產(chǎn)業(yè)信息安全測評中心、國家保密科技測評中心��、公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心�、國家密碼管理局商用密碼檢測中心、中國信息安全測評中心信息安全實驗室����、北京信息安全測評中心、上海市信息安全測評認證中心�����、國家信息技術(shù)安全研究中心信息安全特種技術(shù)檢測實驗室等8家實驗室承擔(dān)�����。
實施要求
根據(jù)24號公告����,安全認證由認證機構(gòu)(即網(wǎng)安中心)依據(jù)《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證實施規(guī)則》(CNCA-CCIS-2018,以下簡稱“實施規(guī)則”)實施���,1號公告目錄內(nèi)產(chǎn)品如已獲得認證機構(gòu)頒發(fā)的產(chǎn)品認證證書且在有效期內(nèi)的��,相關(guān)生產(chǎn)企業(yè)可直接申請換發(fā)安全認證證書�。認證機構(gòu)將認證結(jié)果依照相關(guān)規(guī)定報國家認監(jiān)委。
實施規(guī)則由國家認監(jiān)委于2018年6月27日發(fā)布����,自發(fā)布之日起實施。
認證的實施情況
網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證沿用了現(xiàn)有認證制度的認證模式����,即“型式試驗+工廠檢查+獲證后監(jiān)督”。
安全認證采用的標準是我國自主制定的針對具體產(chǎn)品的國家標準�����。部分產(chǎn)品依據(jù)的國家標準如表1所示��。
2018年8月2日���,網(wǎng)安中心頒發(fā)了第一張“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證證書”�����,截至2018年底,共頒發(fā)證書30張����。覆蓋了防火墻��、入侵檢測系統(tǒng)���、安全審計、網(wǎng)閘等產(chǎn)品類別���。
網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證體系建立在現(xiàn)有國家信息安全產(chǎn)品認證制度基礎(chǔ)上��,在認證模式�、認證流程����、依據(jù)標準、認證標志等方面保持一致和同步��。同時符合1號公告目錄及國家信息安全產(chǎn)品認證目錄界定范圍的產(chǎn)品�,通過統(tǒng)一的認證平臺提交認證申請,通過認證評價后��,即可獲得帶有“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證”及“中國國家信息安全產(chǎn)品認證”標識的認證證書����,并加施統(tǒng)一的認證標志。相關(guān)產(chǎn)品如已獲得認證機構(gòu)頒發(fā)的有效產(chǎn)品認證證書��,可直接申請換發(fā)安全認證證書。這樣的認證體系安排既有助于認證制度順利銜接過渡�����,又能有效減少重復(fù)檢測認證�,減輕企業(yè)負擔(dān)。
《網(wǎng)絡(luò)安全法》的頒布實施���,將網(wǎng)絡(luò)安全認證制度上升到法律的層面�,為網(wǎng)絡(luò)安全認證認可體系的有效運行和持續(xù)完善提出了更高的要求��。做好網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認證的實施工作����,有助于推進完善統(tǒng)一的國家網(wǎng)絡(luò)安全認證體系建設(shè),逐步消除重復(fù)評價�、重復(fù)發(fā)證,不斷鞏固網(wǎng)絡(luò)安全認證認可工作在我國網(wǎng)絡(luò)安全保障體系中的基礎(chǔ)性技術(shù)支撐地位�。
關(guān)注官方微信
微信咨詢
