导读:网络安全领域的标准与合格评定(认证、认可、检测等)是保障网络安全的重要手段和基础性机制,被世界各国普遍运用于构建网络安全保障体系,保障网络安全、引领产业进步、提升国际竞争力。CC(CommonCriteria,通用评估准则)是目前国际上应用最广泛,也是最全面的安全评价标准,被国际标准化组织吸纳转化为ISO/IEC 15408。很多国家根据CC标准实施信息技术产品的安全性评估与认证,并建立本国的网络安全认证体系。网络关键设备和网络安全专用产品安全认证是依据《中华人民共和国网络安全法》,为提升国家网络安全保障能力而实施的一项认证制度。从认证体系的产品目录、实施机构、实施要求等方面系统梳理了网络关键设备和网络安全专用产品安全认证体系建立的情况,有助于我们了解认证模式、采用标准及认证实施的现状,进一步明确该项认证制度在我国网络安全保障体系中的重要作用。

认证体系的建立

为保障国家网络安全,解决我国信息安全产品测评认证领域存在的各部门分别实施评价或许可制度,造成检测标准不一致和重复检测等问题,国家有关部门自2002年起便开始致力于建立国家统一的信息安全产品认证认可体系。

2003年9月,中央办公厅和国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),要求“推进认证认可工作,规范和加强信息安全产品测评认证”。

根据中央27号文件精神,国家认监委等八部门于2004年联合发布了《关于建立国家信息安全产品认证认可体系的通知》(国认证联[2004]57号),提出要建立统一的信息安全产品认证认可体系,对于重要的信息安全产品实行强制性认证。

2008年1月,原质检总局和认监委联合发布了《关于部分信息安全产品实施强制性认证的公告》(2008年第7号),宣布自2009年5月1日起,对部分重要信息安全产品实施强制性认证。从对外关系大局出发,2009年4月27日,原质检总局、财政部和认监委联合发布了《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号,以下简称33号公告),宣布将信息安全产品认证的实施时间延至2010年5月1日,在政府采购法规定的范围内强制实施。

2010年4月28日,财政部、工信部、原质检总局和认监委联合发布了《关于信息安全产品实施政府采购的通知》,明确了关于信息安全产品实施政府采购的规定。

2010年7月,国家认监委发布了《关于信息安全产品认证制度实施要求的公告》(2010年第26号)进一步明确了信息安全产品认证制度的名称、证书式样及认证标志。

国家信息安全产品认证制度的实施是我国网络安全产品认证认可体系建设的重要里程碑。经过近十年的发展,认证体系不断完善,在提高我国网络安全认证、检测技术水平,减轻企业负担,服务网络安全产业健康发展,推动我国网络安全产品自主标准体系建设等方面发挥了重要作用。

2016年11月7日,《中华人民共和国网络安全法》由全国人民代表大会常务委员会审议通过并发布,2017年6月1日起施行。《网络安全法》第二十三条规定,“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测”。

国家网信办会同国家认监委、工业和信息化部、公安部等有关部门落实《网络安全法》第二十三条规定,在现有认证、检测制度基础上,建立了网络关键设备和网络安全专用产品安全认证体系。

产品目录

2017年6月1日,国家网信办、工业和信息化部、公安部、国家认监委联合发布了《关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》(2017年第1号,以下简称“1号公告”),路由器、交换机等4类网络关键设备,以及数据备份一体机、防火墙(硬件)等11类网络安全专用产品列入目录。1号公告目录中对网络关键设备和网络安全专用产品的界定包括类别和范围,其中,“范围”中列出了部分技术指标参数。

实施机构

2018年3月15日,国家认监委、工业和信息化部、公安部、国家网信办联合发布了《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》(2018年第12号),指定中国信息安全认证中心(现已更名为“中国网络安全审查技术与认证中心”,以下简称“网安中心”)承担网络关键设备和网络安全专用产品安全认证工作。

根据国家认监委和国家网信办于2018年5月30日发布的《关于网络关键设备和网络安全专用产品安全认证实施要求的公告》(2018年第24号,以下简称“24号公告”),安全认证相关检测工作由信息产业信息安全测评中心、国家保密科技测评中心、公安部计算机信息系统安全产品质量监督检验中心、国家密码管理局商用密码检测中心、中国信息安全测评中心信息安全实验室、北京信息安全测评中心、上海市信息安全测评认证中心、国家信息技术安全研究中心信息安全特种技术检测实验室等8家实验室承担。

实施要求

根据24号公告,安全认证由认证机构(即网安中心)依据《网络关键设备和网络安全专用产品安全认证实施规则》(CNCA-CCIS-2018,以下简称“实施规则”)实施,1号公告目录内产品如已获得认证机构颁发的产品认证证书且在有效期内的,相关生产企业可直接申请换发安全认证证书。认证机构将认证结果依照相关规定报国家认监委。

实施规则由国家认监委于2018年6月27日发布,自发布之日起实施。

认证的实施情况

网络关键设备和网络安全专用产品安全认证沿用了现有认证制度的认证模式,即“型式试验+工厂检查+获证后监督”。

安全认证采用的标准是我国自主制定的针对具体产品的国家标准。部分产品依据的国家标准如表1所示。

2018年8月2日,网安中心颁发了第一张“网络关键设备和网络安全专用产品安全认证证书”,截至2018年底,共颁发证书30张。覆盖了防火墙、入侵检测系统、安全审计、网闸等产品类别。

网络关键设备和网络安全专用产品安全认证体系建立在现有国家信息安全产品认证制度基础上,在认证模式、认证流程、依据标准、认证标志等方面保持一致和同步。同时符合1号公告目录及国家信息安全产品认证目录界定范围的产品,通过统一的认证平台提交认证申请,通过认证评价后,即可获得带有“网络关键设备和网络安全专用产品安全认证”及“中国国家信息安全产品认证”标识的认证证书,并加施统一的认证标志。相关产品如已获得认证机构颁发的有效产品认证证书,可直接申请换发安全认证证书。这样的认证体系安排既有助于认证制度顺利衔接过渡,又能有效减少重复检测认证,减轻企业负担。

《网络安全法》的颁布实施,将网络安全认证制度上升到法律的层面,为网络安全认证认可体系的有效运行和持续完善提出了更高的要求。做好网络关键设备和网络安全专用产品安全认证的实施工作,有助于推进完善统一的国家网络安全认证体系建设,逐步消除重复评价、重复发证,不断巩固网络安全认证认可工作在我国网络安全保障体系中的基础性技术支撑地位。

声明:本文来自信息技术与网络安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。