網(wǎng)絡(luò)安全領(lǐng)域的標(biāo)準(zhǔn)與合格評(píng)定(認(rèn)證、認(rèn)可、檢測(cè)等)是保障網(wǎng)絡(luò)安全的重要手段和基礎(chǔ)性機(jī)制,被世界各國(guó)普遍運(yùn)用于構(gòu)建網(wǎng)絡(luò)安全保障體系,保障網(wǎng)絡(luò)安全、引領(lǐng)產(chǎn)業(yè)進(jìn)步、提升國(guó)際競(jìng)爭(zhēng)力。CC(CommonCriteria,通用評(píng)估準(zhǔn)則)是目前國(guó)際上應(yīng)用最廣泛,也是最全面的安全評(píng)價(jià)標(biāo)準(zhǔn),被國(guó)際標(biāo)準(zhǔn)化組織吸納轉(zhuǎn)化為ISO/IEC 15408。很多國(guó)家根據(jù)CC標(biāo)準(zhǔn)實(shí)施信息技術(shù)產(chǎn)品的安全性評(píng)估與認(rèn)證,并建立本國(guó)的網(wǎng)絡(luò)安全認(rèn)證體系。網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證是依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,為提升國(guó)家網(wǎng)絡(luò)安全保障能力而實(shí)施的一項(xiàng)認(rèn)證制度。從認(rèn)證體系的產(chǎn)品目錄、實(shí)施機(jī)構(gòu)、實(shí)施要求等方面系統(tǒng)梳理了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證體系建立的情況,有助于我們了解認(rèn)證模式、采用標(biāo)準(zhǔn)及認(rèn)證實(shí)施的現(xiàn)狀,進(jìn)一步明確該項(xiàng)認(rèn)證制度在我國(guó)網(wǎng)絡(luò)安全保障體系中的重要作用。
認(rèn)證體系的建立
為保障國(guó)家網(wǎng)絡(luò)安全,解決我國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證領(lǐng)域存在的各部門分別實(shí)施評(píng)價(jià)或許可制度,造成檢測(cè)標(biāo)準(zhǔn)不一致和重復(fù)檢測(cè)等問題,國(guó)家有關(guān)部門自2002年起便開始致力于建立國(guó)家統(tǒng)一的信息安全產(chǎn)品認(rèn)證認(rèn)可體系。
2003年9月,中央辦公廳和國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào)),要求“推進(jìn)認(rèn)證認(rèn)可工作,規(guī)范和加強(qiáng)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證”。
根據(jù)中央27號(hào)文件精神,國(guó)家認(rèn)監(jiān)委等八部門于2004年聯(lián)合發(fā)布了《關(guān)于建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》(國(guó)認(rèn)證聯(lián)[2004]57號(hào)),提出要建立統(tǒng)一的信息安全產(chǎn)品認(rèn)證認(rèn)可體系,對(duì)于重要的信息安全產(chǎn)品實(shí)行強(qiáng)制性認(rèn)證。
2008年1月,原質(zhì)檢總局和認(rèn)監(jiān)委聯(lián)合發(fā)布了《關(guān)于部分信息安全產(chǎn)品實(shí)施強(qiáng)制性認(rèn)證的公告》(2008年第7號(hào)),宣布自2009年5月1日起,對(duì)部分重要信息安全產(chǎn)品實(shí)施強(qiáng)制性認(rèn)證。從對(duì)外關(guān)系大局出發(fā),2009年4月27日,原質(zhì)檢總局、財(cái)政部和認(rèn)監(jiān)委聯(lián)合發(fā)布了《關(guān)于調(diào)整信息安全產(chǎn)品強(qiáng)制性認(rèn)證實(shí)施要求的公告》(2009年第33號(hào),以下簡(jiǎn)稱33號(hào)公告),宣布將信息安全產(chǎn)品認(rèn)證的實(shí)施時(shí)間延至2010年5月1日,在政府采購(gòu)法規(guī)定的范圍內(nèi)強(qiáng)制實(shí)施。
2010年4月28日,財(cái)政部、工信部、原質(zhì)檢總局和認(rèn)監(jiān)委聯(lián)合發(fā)布了《關(guān)于信息安全產(chǎn)品實(shí)施政府采購(gòu)的通知》,明確了關(guān)于信息安全產(chǎn)品實(shí)施政府采購(gòu)的規(guī)定。
2010年7月,國(guó)家認(rèn)監(jiān)委發(fā)布了《關(guān)于信息安全產(chǎn)品認(rèn)證制度實(shí)施要求的公告》(2010年第26號(hào))進(jìn)一步明確了信息安全產(chǎn)品認(rèn)證制度的名稱、證書式樣及認(rèn)證標(biāo)志。
國(guó)家信息安全產(chǎn)品認(rèn)證制度的實(shí)施是我國(guó)網(wǎng)絡(luò)安全產(chǎn)品認(rèn)證認(rèn)可體系建設(shè)的重要里程碑。經(jīng)過近十年的發(fā)展,認(rèn)證體系不斷完善,在提高我國(guó)網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)技術(shù)水平,減輕企業(yè)負(fù)擔(dān),服務(wù)網(wǎng)絡(luò)安全產(chǎn)業(yè)健康發(fā)展,推動(dòng)我國(guó)網(wǎng)絡(luò)安全產(chǎn)品自主標(biāo)準(zhǔn)體系建設(shè)等方面發(fā)揮了重要作用。
2016年11月7日,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》由全國(guó)人民代表大會(huì)常務(wù)委員會(huì)審議通過并發(fā)布,2017年6月1日起施行。《網(wǎng)絡(luò)安全法》第二十三條規(guī)定,“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷售或者提供。國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn),避免重復(fù)認(rèn)證、檢測(cè)”。
國(guó)家網(wǎng)信辦會(huì)同國(guó)家認(rèn)監(jiān)委、工業(yè)和信息化部、公安部等有關(guān)部門落實(shí)《網(wǎng)絡(luò)安全法》第二十三條規(guī)定,在現(xiàn)有認(rèn)證、檢測(cè)制度基礎(chǔ)上,建立了網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證體系。
產(chǎn)品目錄
2017年6月1日,國(guó)家網(wǎng)信辦、工業(yè)和信息化部、公安部、國(guó)家認(rèn)監(jiān)委聯(lián)合發(fā)布了《關(guān)于發(fā)布<網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)>的公告》(2017年第1號(hào),以下簡(jiǎn)稱“1號(hào)公告”),路由器、交換機(jī)等4類網(wǎng)絡(luò)關(guān)鍵設(shè)備,以及數(shù)據(jù)備份一體機(jī)、防火墻(硬件)等11類網(wǎng)絡(luò)安全專用產(chǎn)品列入目錄。1號(hào)公告目錄中對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的界定包括類別和范圍,其中,“范圍”中列出了部分技術(shù)指標(biāo)參數(shù)。
實(shí)施機(jī)構(gòu)
2018年3月15日,國(guó)家認(rèn)監(jiān)委、工業(yè)和信息化部、公安部、國(guó)家網(wǎng)信辦聯(lián)合發(fā)布了《關(guān)于發(fā)布承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測(cè)任務(wù)機(jī)構(gòu)名錄(第一批)的公告》(2018年第12號(hào)),指定中國(guó)信息安全認(rèn)證中心(現(xiàn)已更名為“中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心”,以下簡(jiǎn)稱“網(wǎng)安中心”)承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證工作。
根據(jù)國(guó)家認(rèn)監(jiān)委和國(guó)家網(wǎng)信辦于2018年5月30日發(fā)布的《關(guān)于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實(shí)施要求的公告》(2018年第24號(hào),以下簡(jiǎn)稱“24號(hào)公告”),安全認(rèn)證相關(guān)檢測(cè)工作由信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心、國(guó)家保密科技測(cè)評(píng)中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、國(guó)家密碼管理局商用密碼檢測(cè)中心、中國(guó)信息安全測(cè)評(píng)中心信息安全實(shí)驗(yàn)室、北京信息安全測(cè)評(píng)中心、上海市信息安全測(cè)評(píng)認(rèn)證中心、國(guó)家信息技術(shù)安全研究中心信息安全特種技術(shù)檢測(cè)實(shí)驗(yàn)室等8家實(shí)驗(yàn)室承擔(dān)。
實(shí)施要求
根據(jù)24號(hào)公告,安全認(rèn)證由認(rèn)證機(jī)構(gòu)(即網(wǎng)安中心)依據(jù)《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實(shí)施規(guī)則》(CNCA-CCIS-2018,以下簡(jiǎn)稱“實(shí)施規(guī)則”)實(shí)施,1號(hào)公告目錄內(nèi)產(chǎn)品如已獲得認(rèn)證機(jī)構(gòu)頒發(fā)的產(chǎn)品認(rèn)證證書且在有效期內(nèi)的,相關(guān)生產(chǎn)企業(yè)可直接申請(qǐng)換發(fā)安全認(rèn)證證書。認(rèn)證機(jī)構(gòu)將認(rèn)證結(jié)果依照相關(guān)規(guī)定報(bào)國(guó)家認(rèn)監(jiān)委。
實(shí)施規(guī)則由國(guó)家認(rèn)監(jiān)委于2018年6月27日發(fā)布,自發(fā)布之日起實(shí)施。
認(rèn)證的實(shí)施情況
網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證沿用了現(xiàn)有認(rèn)證制度的認(rèn)證模式,即“型式試驗(yàn)+工廠檢查+獲證后監(jiān)督”。
安全認(rèn)證采用的標(biāo)準(zhǔn)是我國(guó)自主制定的針對(duì)具體產(chǎn)品的國(guó)家標(biāo)準(zhǔn)。部分產(chǎn)品依據(jù)的國(guó)家標(biāo)準(zhǔn)如表1所示。
2018年8月2日,網(wǎng)安中心頒發(fā)了第一張“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證證書”,截至2018年底,共頒發(fā)證書30張。覆蓋了防火墻、入侵檢測(cè)系統(tǒng)、安全審計(jì)、網(wǎng)閘等產(chǎn)品類別。
網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證體系建立在現(xiàn)有國(guó)家信息安全產(chǎn)品認(rèn)證制度基礎(chǔ)上,在認(rèn)證模式、認(rèn)證流程、依據(jù)標(biāo)準(zhǔn)、認(rèn)證標(biāo)志等方面保持一致和同步。同時(shí)符合1號(hào)公告目錄及國(guó)家信息安全產(chǎn)品認(rèn)證目錄界定范圍的產(chǎn)品,通過統(tǒng)一的認(rèn)證平臺(tái)提交認(rèn)證申請(qǐng),通過認(rèn)證評(píng)價(jià)后,即可獲得帶有“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證”及“中國(guó)國(guó)家信息安全產(chǎn)品認(rèn)證”標(biāo)識(shí)的認(rèn)證證書,并加施統(tǒng)一的認(rèn)證標(biāo)志。相關(guān)產(chǎn)品如已獲得認(rèn)證機(jī)構(gòu)頒發(fā)的有效產(chǎn)品認(rèn)證證書,可直接申請(qǐng)換發(fā)安全認(rèn)證證書。這樣的認(rèn)證體系安排既有助于認(rèn)證制度順利銜接過渡,又能有效減少重復(fù)檢測(cè)認(rèn)證,減輕企業(yè)負(fù)擔(dān)。
《網(wǎng)絡(luò)安全法》的頒布實(shí)施,將網(wǎng)絡(luò)安全認(rèn)證制度上升到法律的層面,為網(wǎng)絡(luò)安全認(rèn)證認(rèn)可體系的有效運(yùn)行和持續(xù)完善提出了更高的要求。做好網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證的實(shí)施工作,有助于推進(jìn)完善統(tǒng)一的國(guó)家網(wǎng)絡(luò)安全認(rèn)證體系建設(shè),逐步消除重復(fù)評(píng)價(jià)、重復(fù)發(fā)證,不斷鞏固網(wǎng)絡(luò)安全認(rèn)證認(rèn)可工作在我國(guó)網(wǎng)絡(luò)安全保障體系中的基礎(chǔ)性技術(shù)支撐地位。
蘇公網(wǎng)安備32050802010292號(hào)