■ 4月17日,国家互联网信息办公室等五部委发布了《关于调整网络安全专用产品安全管理有关事项的公告》,这是我国关于网络安全产品管理的最新政策。涉及产品管理绝非小事,遥想当年多少企业在投标时,栽在了产品资质证书上,又有多少企业将证书作为“控标”手段。为此,无论是甲方还是厂商,对这个文件都不能等闲视之。
但文件仅寥寥数语,而这么专业和技术性的内容又让一众律所公号集体哑火。两天过去了鲜有解读文章,这个重要文件似乎要淡出公众视野。但这样下去最终吃亏的还是企业,且甲方在招标时也可能会困惑于如何对供应商设置资质要求。小贝刚刚发布完了美国大兵的新视频,咱们还是回到老路子,来谈谈这个文件的前世今生。
一、为什么一定是“相关国家标准的强制性要求”?有何深意?
以前人们常在政策法规文件中看到“按照有关标准要求”之类的文字。实际上,这种写法很不严谨,相当于通过政策法规的引用,使标准成为本政策法规的一部分,违反标准就是违反本政策法规。但到底是哪部标准呢?不知道,“有关”而已。显然这样不妥。
所以,自从《网络安全法》开始(一直延续到了后来的所有法律法规),条款中都使用的是“相关国家标准的强制性要求”。即,这个标准本来已经是强制性国家标准了,其强制性属性没有因为法律法规的引用而改变。这样,严肃性问题就解决了。
但具体到网络安全产品上,这个“相关国家标准的强制性要求”到底有没有呢?
很遗憾,《网络安全法》实施时,确实还没有。
而且在整个网络安全领域,也只有一部强制性国标GB 17859《计算机信息系统安全保护等级划分准则》。鉴于此,后来国家抓紧组织制定了两部对应《网络安全法》的网络安全强制性国标:GB 40050-2021《网络关键设备安全通用要求》和GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》。这是目前仅有的三部网络安全强制性国标中的两部。国家之所以加强了网络安全强标的制定,同全球网络安全形势和大国间贸易纠纷有关,因篇幅关系在此按下不表。
二、为什么是网络安全“专用”产品?“专用”和“不专用”有何区分?
此事说来话长,的确事出有因,且涉及两个不同历史时期的故事,原因各不相同。但这都不是主观原因造成的,而是深刻反映了信息技术的发展规律。
第一个历史时期始自1994年的国务院147号令《中华人民共和国计算机信息系统安全保护条例》。为什么叫“计算机信息系统”?这是因为当时计算机系统应用已开始普及,很多已联网,病毒传播等引起人们对这一领域信息安全的高度关注。
但“IT系统”仅限于此吗?当然不是。此前很多年,电信系统便已存在,不然怎么打电话?此外还有大量的工业控制系统、电子信息处理系统等。大家的工作原理不一样,计算机病毒等威胁主要位于新兴的“计算机信息系统”领域。自然,信息安全产品也专用于这个领域,“计算机信息系统安全专用产品”便由此而来。公安部颁发的销售许可证也是使用这个名字,这就没有丝毫奇怪了。
《网络安全法》在起草时,起草组试图通过第二十三条实现统一网络安全产品检测认证的目的,以减少企业负担。“被统一”对象中,计算机信息系统安全专用产品销售许可证制度是147号令确定的行政许可,所以立法者从中借用了“专用”一词。这便是《网络安全法》中“专用”的由来。
问题是,信息技术迅猛发展,以前的各类系统如今都已经融合了,即“IP化”,“专用”的前提已经不存在了。事实上,除了《网络安全法》第二十三条的这个场合,人们确实很少说“网络安全‘专用’”产品。
但“专用”二字是否要退出历史舞台呢?这倒不是,因为历史进入了第二阶段。成也萧何败也萧何,恰恰是“融合”使人们又开始对“专用”进行较真。
原因是,从更好的保护网络安全的角度,人们希望网络安全成为信息系统的内在组成部分,而不是“外置”。即,今后可能没有网络安全产品了,而是所有的信息技术产品都具备网络安全功能。但这样一来,不是成了所有信息技术产品都需要进行安全测试了吗?从许可证管理的角度,这样做不现实。当然,一些外国机构也拼着命反对,他们自然不希望中国政府把什么都管起来。各种因素叠加在一起,这个“专用”还是被留下了。但其含义与最初的显然已不同,而是特指“以网络安全为主要功能”,具体清单由网信办等部委共同确定。
三、有的产品证书为什么取消了?这是什么原因?取消后如何?
《关于调整网络安全专用产品安全管理有关事项的公告》指出,自2023年7月1日起,停止颁发《计算机信息系统安全专用产品销售许可证》;同时停止执行《关于调整信息安全产品强制性认证实施要求的公告》(原国家质检总局、财政部、国家认证认可监督管理委员会2009年第33号)和《财政部工业和信息化部质检总局认监委关于信息安全产品实施政府采购的通知》(财库〔2010〕48号)。
这是公告中信息量最大的部分。可以从两个角度去理解。
一是,最初设计的信息安全产品认证制度没有如期实现,但“统一”证书的目标正在接近。2004年10月,国家认监会、公安部、国家安全部等联合发布《关于建立国家信息安全产品认证认可体系的通知》,目的是建立集中统一、严格规范、科学高效的认证认可体系,彻底解决由于多重行政许可和评价活动导致的重复检测和一个产品多张证书等问题。其基本制度设计是,各家都不再发证了,新设立中国信息安全认证中心负责发证;以前的各家认证或检测机构只负责检测,但在一家检测过后不再重复送检,检测结果均可送认证中心。但根本问题是,各个部委对网络安全产品的管理目标、类型各异,很难将各家证书强制撤销后归为一张。故《关于建立国家信息安全产品认证认可体系的通知》提出的制度设计始终没有落地。不仅如此,中国信息安全认证中心反而多发了一张证,距离减少认证的目标相去甚远。这一现象长期被诟病,直到这次发布《关于调整网络安全专用产品安全管理有关事项的公告》。可以说,该公告的发布是历史上最接近“统一”证书目标的一次。
二是,公安部的销售许可证与信息安全产品认证证书的纠葛终于解决了。从《关于调整网络安全专用产品安全管理有关事项的公告》看,公安部的“计算机信息系统安全专用产品销售许可证”停发,《关于调整信息安全产品强制性认证实施要求的公告》和《财政部工业和信息化部质检总局认监委关于信息安全产品实施政府采购的通知》也被撤销,似乎都“进入历史”了。实际上不是的,在信息安全产品认证认可体系设计之初,目标是建立强制性认证制度。当时的情况下,将销售许可证纳入这一体系是有条件的,由此销售许可证则可相应取消。但事与愿违,由于美国人的阻挠,强制性认证制度调整为了仅在政府采购领域实施,显然已经远远小于销售许可证的实施范围。既然如此,公安部自然不同意取消销售许可证。这导致了这么多年来销售许可证与信息安全产品认证证书共存。《关于调整网络安全专用产品安全管理有关事项的公告》的意思是,信息安全产品认证制度不再仅适用于政府采购领域(撤销了历史上的两个公告),且销售许可证取消。这两个变动都指向同一个结果:只建立一种网络安全专用产品检测认证制度。
这当然是好事。但不能将其解读为网络安全产品不再需要证书了,而是证书换方式了,相关部委的管理职能还在。
四、“网络关键设备”和“网络安全专用产品”有什么区别?当前的工作将两者并列有何深意?
《网络安全法》第二十三条中,的确是将“网络关键设备”和“网络安全专用产品”并列,但本次公告中,又只是“调整网络安全专用产品安全管理有关事项”。怎么理解这一情况呢?
事实上,两者并列并不是技术因素导致的,而完全来自我国曾存在两种权威制度:电信设备进网许可制度和计算机信息系统安全专用产品销售许可证制度。《网络安全法》起草者认为,既然要解决网络安全产品重复检测重复认证的问题,那么就需要考虑到现存这两个制度的存废,故《网络安全法》第二十三条必须与上述两项制度关联。这便是“网络关键设备”和“网络安全专用产品”的由来。而且,如果仔细分析前述的两项强制性国标,可以看到GB 40050-2021《网络关键设备安全通用要求》是由工信部归口起草的,GB 42250-2022《信息安全技术网络安全专用产品安全技术要求》则是由公安部归口起草的。
但电信设备进网许可制度本来就不存在重复检测问题,所以并不在《关于调整网络安全专用产品安全管理有关事项的公告》规范范围之内。
需要注意的是,随着党中央、国务院高度重视“放管服”改革,工信部已经实施了完善进网许可制度的改革举措。如,企业申请办理电信设备进网许可时,除网络安全等特殊检测项目外,可以采用本企业检测报告替代第三方检测报告。这意味着,电信设备进网许可制度的侧重点已经转向网络安全。
但电信设备进网许可制度只是“检测”,并无引入“认证”机制。那么,一款网络关键设备是否需要进行网络安全认证呢?认证或不认证又有什么区别呢?由于“网络关键设备”的概念引入本来不是来自于技术驱动,所以这个问题目前没有答案,只能有待于今后的制度更加完善。
|小贝结语|
■ 喜大普奔之际,企业一定要核对产品目录,防止应检而未检。同时,有必要了解网络安全产品管理政策的前世今生,否则将“乱花渐欲迷人眼”。
声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。