劉思蓉，申永波，崔 穎

(中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心，北京 100020)

0 引言

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證是我國網(wǎng)絡(luò)安全保障體系的一項基礎(chǔ)性工作，也是落實《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)要求的一項重要工作。實施網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證，將為新時代建設(shè)有中國特色網(wǎng)絡(luò)安全保障體系，有效提升國家網(wǎng)絡(luò)安全保障能力起到重要作用。

1 認(rèn)證體系的建立

1.1 產(chǎn)品目錄

2017年6月1日，國家網(wǎng)信辦、工業(yè)和信息化部、公安部、國家認(rèn)監(jiān)委聯(lián)合發(fā)布了《關(guān)于發(fā)布<網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)>的公告》(2017年第1號，以下簡稱“1號公告”)，路由器、交換機(jī)等4類網(wǎng)絡(luò)關(guān)鍵設(shè)備，以及數(shù)據(jù)備份一體機(jī)、防火墻(硬件)等11類網(wǎng)絡(luò)安全專用產(chǎn)品列入目錄。1號公告目錄中對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的界定包括類別和范圍，其中，“范圍”中列出了部分技術(shù)指標(biāo)參數(shù)。

1.2 實施機(jī)構(gòu)

2018年3月15日，國家認(rèn)監(jiān)委、工業(yè)和信息化部、公安部、國家網(wǎng)信辦聯(lián)合發(fā)布了《關(guān)于發(fā)布承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測任務(wù)機(jī)構(gòu)名錄(第一批)的公告》(2018年第12號)，指定中國信息安全認(rèn)證中心(現(xiàn)已更名為“中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心”，以下簡稱“網(wǎng)安中心”)承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證工作。

根據(jù)國家認(rèn)監(jiān)委和國家網(wǎng)信辦于2018年5月30日發(fā)布的《關(guān)于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實施要求的公告》(2018年第24號，以下簡稱“24號公告”)，安全認(rèn)證相關(guān)檢測工作由信息產(chǎn)業(yè)信息安全測評中心、國家保密科技測評中心、公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心、國家密碼管理局商用密碼檢測中心、中國信息安全測評中心信息安全實驗室、北京信息安全測評中心、上海市信息安全測評認(rèn)證中心、國家信息技術(shù)安全研究中心信息安全特種技術(shù)檢測實驗室等8家實驗室承擔(dān)。

1.3 實施要求

根據(jù)24號公告，安全認(rèn)證由認(rèn)證機(jī)構(gòu)(即網(wǎng)安中心)依據(jù)《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實施規(guī)則》(CNCA-CCIS-2018，以下簡稱“實施規(guī)則”)實施，1號公告目錄內(nèi)產(chǎn)品如已獲得認(rèn)證機(jī)構(gòu)頒發(fā)的產(chǎn)品認(rèn)證證書且在有效期內(nèi)的，相關(guān)生產(chǎn)企業(yè)可直接申請換發(fā)安全認(rèn)證證書。認(rèn)證機(jī)構(gòu)將認(rèn)證結(jié)果依照相關(guān)規(guī)定報國家認(rèn)監(jiān)委。

實施規(guī)則由國家認(rèn)監(jiān)委于2018年6月27日發(fā)布，自發(fā)布之日起實施。

2 認(rèn)證的實施

2.1 認(rèn)證模式

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證沿用了現(xiàn)有認(rèn)證制度的認(rèn)證模式，即“型式試驗+工廠檢查+獲證后監(jiān)督”。

2.2 采用標(biāo)準(zhǔn)

安全認(rèn)證采用的標(biāo)準(zhǔn)是我國自主制定的針對具體產(chǎn)品的國家標(biāo)準(zhǔn)。部分產(chǎn)品依據(jù)的國家標(biāo)準(zhǔn)如表1所示。

表1 部分產(chǎn)品依據(jù)的國家標(biāo)準(zhǔn)

2.3 實施現(xiàn)狀

2018年8月2日，網(wǎng)安中心頒發(fā)了第一張“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證證書”，截至2018年底，共頒發(fā)證書30張。覆蓋了防火墻、入侵檢測系統(tǒng)、安全審計、網(wǎng)閘等產(chǎn)品類別。

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證體系建立在現(xiàn)有國家信息安全產(chǎn)品認(rèn)證制度基礎(chǔ)上，在認(rèn)證模式、認(rèn)證流程、依據(jù)標(biāo)準(zhǔn)、認(rèn)證標(biāo)志等方面保持一致和同步。同時符合1號公告目錄及國家信息安全產(chǎn)品認(rèn)證目錄界定范圍的產(chǎn)品，通過統(tǒng)一的認(rèn)證平臺提交認(rèn)證申請，通過認(rèn)證評價后，即可獲得帶有“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證”及“中國國家信息安全產(chǎn)品認(rèn)證”標(biāo)識的認(rèn)證證書，并加施統(tǒng)一的認(rèn)證標(biāo)志。相關(guān)產(chǎn)品如已獲得認(rèn)證機(jī)構(gòu)頒發(fā)的有效產(chǎn)品認(rèn)證證書，可直接申請換發(fā)安全認(rèn)證證書。這樣的認(rèn)證體系安排既有助于認(rèn)證制度順利銜接過渡，又能有效減少重復(fù)檢測認(rèn)證，減輕企業(yè)負(fù)擔(dān)。

3 結(jié)語

《網(wǎng)絡(luò)安全法》的頒布實施，將網(wǎng)絡(luò)安全認(rèn)證制度上升到法律的層面，為網(wǎng)絡(luò)安全認(rèn)證認(rèn)可體系的有效運(yùn)行和持續(xù)完善提出了更高的要求。做好網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證的實施工作，有助于推進(jìn)完善統(tǒng)一的國家網(wǎng)絡(luò)安全認(rèn)證體系建設(shè)，逐步消除重復(fù)評價、重復(fù)發(fā)證，不斷鞏固網(wǎng)絡(luò)安全認(rèn)證認(rèn)可工作在我國網(wǎng)絡(luò)安全保障體系中的基礎(chǔ)性技術(shù)支撐地位。