近日,工信部等四部门发布《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》。在多位资深专家学者眼中,这一公告背后有着怎样的深刻含义?
随着信息和通信技术的进化和全领域的数字化转型,公共机构、企业、个人使用的网络产品和信息服务日益增多,网络设备在政务、通信、卫生、能源、金融和运输等重要部门领域中发挥的核心作用也慢慢地加强。数字化和连接性是万物互联时代的网络设备基本属性,也让整个社会更容易遭受网络安全威胁;个别网络设备的漏洞有几率会成为影响网络系统安全的薄弱环节而被利用,网络关键设备则成为网络风险的大多数来自和网络攻击的重点对象,将网络关键设备纳入重点管理对象成为国内外的普遍做法。我国2016年11月颁布的《网络安全法》第二十三条提出了网络关键设施安全认证和安全检测制度,欧盟在2019年4月颁布的《欧洲网络安全法》和美国在2020年12月颁布的《物联网网络安全改进法》也建立了类似的网络安全认证制度。为了落实我国《网络安全法》,国家互联网信息办公室协调多部委开展了一系列贯彻落实工作,网络关键设备的首批安全认证和安全检测结果近日统一公布,该制度的法律实施效果将日益显现。
网络攻击正在增加,更容易受到网络威胁和攻击的关键领域需要更强大的防御。网络关键设备采取依标生产、安全认证和安全检测制度,在流通销售之前进行产品质量管理,以假定网络攻击发生而在设计和开发的最初阶段采取策略将影响降到最低,由此减少恶意利用造成的危害风险并确保我国网络安全关键领域的稳定有序。根据《网络安全法》《密码法》等法规,网络关键设备已经被列为专门对象来管理。在《网络安全法》第二十三条中,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检查符合标准要求后,方可销售或者提供。在《密码法》第二十六条中,涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检验测试认证合格后,方可销售或者提供。
2017年6月,国家互联网信息办公室会同工业与信息化部、公安部和国家认证认可监督管理委员会发布了《网络关键设备和网络安全专用产品目录(第一批)》,将4类网络关键设备(路由器、交换机、机架式服务器、PLC设备)和11类网络安全专用产品(数据备份一体机、硬件防火墙、入侵检测、防御系统、安全隔离与信息交换产品、安全数据库等)纳入安全认证和安全检验测试对象,列入目录的设备和产品需要按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检查符合标准要求后,方可销售或者提供。总体而言,第一批产品目录大多分布在在系统组网所必须的IT基础硬件设施,属于国家安全和社会管理的基本需要,也是保障工业互联网安全的主要对象。
网络关键设备和网络安全专用产品目录在目前只发布了第一批,后续还应当新增其它关涉国家安全和社会管理的基本需要的产品,这也是各国保持网络安全管理弹性的基本做法。为了履行安全义务,相关方应当跟踪《网络关键设备和网络安全专用产品目录》的更新情况。与此同时,无论是对于网络设备的生产者还是相关领域的用户,都应当对自己生产或使用的产品做梳理,判断是否有产品落入《网络关键设备和网络安全专用产品目录》的范围,对此类产品开展专项合规工作。
技术标准是安全认证和安全检测的评判依据,《欧洲网络安全法》就提出,在准备欧洲网络安全认证计划时,欧盟网络安全局(ENISA)应定期咨询标准化组织,特别是欧洲标准化组织。我国《网络安全法》第二十三条也规定,对网络关键设备和网络安全专用产品依据国家标准强制性要求开展安全认证和安全检测。网络关键设备有标可循,可以划定网络安全的底线,将为落实《网络安全法》关于网络关键设施安全认证和安全检测工作提供重要技术是依据、明确网络关键设备应具备的基本安全能力、为各类网络关键设备制修订推荐性标准提供安全要求框架和指导,最终形成产品生产销售依据和消费购买的辨别指南。
2021年2月20日,国家市场监督管理总局(国家标准化管理委员会)发布2021年第1号公告,批准了《网络关键设施安全通用要求》(GB 40050-2021),这是我国网络安全领域为数不多的强制性标准之一,将成为网络关键设施安全认证和安全检测的统一规范。
《网络关键设施安全通用要求》为不一样的网络关键设备建立统一的安全技术方面的要求,可适用于当前和未来的各类网络关键设备,同时更有助于建立统一的安全管理体系。该强制性标准的主要内容有安全功能要求和安全保障要求两个部分。其一,安全功能要求聚焦于保障和提升设备的安全技术能力,最重要的包含设备标识安全、冗余备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全以及密码要求10个部分。其二,安全保障要求聚焦于规范网络关键设备提供者在设备全生命周期的安全保障能力,最重要的包含设计和开发、生产和交付、运行和维护三个环节的要求。以上安全要求形成了网络关键硬件产品的安全治理体系。在智能网联汽车、电子医疗设施、工业自动化控制管理系统和智能电网等领域,网络关键设备的统一要求还将对下游产品研究开发和应用提供显著的便利,为集成应用的开发者提供生产便利。
认证检测在提高数字世界重要产品和服务的信任度和安全性方面发挥着至关重要的作用,只有公众和各类用户普遍相信此网络关键设备可提供必要的网络安全,能够以第三方监督的方式弥合买卖双方的信息不对称,以合格评定的方式树立社会公信力,数字化的经济和物联网才能蒸蒸日上。在自愿性检测和认证的阶段,企业通过第三方合格评定来展示安全服务能力或者产品的安全质量。根据《网络安全法》的要求,未来没有通过安全认证或安全检查的设备和产品将不能在国内市场销售。近期,国家互联网信息办公室协调多个部门依据《网络关键设施安全通用要求》开展了首批安全认证和安全检测,这标志着网络关键设备的安全认证和安全检测正式开花结果。
2018年3月,国家认证认可监督管理委员会、工业与信息化部、公安部、国家互联网信息办公室就联合发布了《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》,确立了16家认证和检验测试的机构。企业可自主选择实施一种第三方评定方式,也即由委托人自行选择具备资格的机构进行安全认证或者安全检查。根据管理职责分工,选择认证方式的网络关键设备和网络安全专用产品,安全认证合格后,由认证机构报国家认证认可监督管理委员会;选择检测方式的网络关键设备,安全检测符合标准要求后,由检验测试的机构报工业与信息化部;选择检测方式的网络安全专用产品,安全检查符合标准要求后,由检验测试的机构报公安部。为了整合各部委职责,实现归口管理,最终结果由国家互联网信息办公室汇总三方统一公布。事实上,检测、检验、认证、认可均属于《合格评定 词汇和通用原则》(ISO/IEC17000)所认可的合格评定形式,其中的检测(Testing)是“按照程序确定合格评定对象一个或多个特性的活动”。换而言之,就是依据技术标准和规范,使用仪器设施,进行评价的活动,其评价结果为测试数据。认证(Certification)是“与产品、过程、体系或人员有关的第三方证明”;换而言之,就是指由具备第三方性质的认证机构证明产品、服务、管理体系、人员符合有关标准和技术规范的合格评定活动。为了支撑认证工作的开展,国家认证认可监督管理委员会在2018年还发布了《网络关键设备和网络安全专用产品安全认证实施规则》(CNCA-CCIS-2018),规定了开展网络关键设备和网络安全专用产品安全认证的根本原则和要求。
在《网络安全法》立法过程中,立法部门注意到我国有多个政府部门依据各自职责开展网络相关设备和产品的安全认证和安全检测,产品范围有重复,认证检测的项目有交叉,要求和标准也不统一,致使需要重复认证、检测,造成资源浪费,增加企业负担。统一的市场需要统一的认证机制,网络安全认证也需要对生产者和全社会形成统一的适用口径。针对这样的一种情况,《网络安全法》第二十三条规定,国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。同时,按照《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(国家互联网信息办公室、工业与信息化部、公安部、国家认证认可监督管理委员会公告 2017年第1号)和《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》(国家互联网信息办公室、工业与信息化部、公安部、国家认证认可监督管理委员会公告 2022年第1号)要求,国家互联网信息办公室会同工业与信息化部、公安部、国家认证认可监督管理委员会统一发布网络关键设备和网络安全专用产品的安全认证和安全检测结果,有利于掌握、监督和协调各部门之间的职责划分,对社会形成一个权威的信息获取渠道。
面向未来,慢慢的变多的产品和服务将在全国和全世界内产生数量极多的连接性数字设备,万物互联、数字孪生的数字空间将关系到个人利益、组织利益和国家利益的方方面面,构建以网络关键设备和网络安全专用产品的安全认证和安全检测为代表的安全监督机制,将成为维护网络安全的基本盘的基石。
近期,国家互联网信息办公室发布首批利用互联网关键设备和网络安全专用产品安全认证和安全检测的设备和产品名单,是国家全方面推进国家网络安全认证检测工作,落实《中华人民共和国网络安全法》第二十三条以及《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(国家互联网信息办公室、工业与信息化部、公安部、国家认证认可监督管理委员会公告 2017年第1号)有关要求的重要标志。
2017年6月1日,《中华人民共和国网络安全法》正式实施,明确了网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检查符合标准要求后,方可销售或者提供。将网络关键设备和网络安全专用产品安全认证和安全检测工作提升到了国家法律层面,奠定了工作基础。同期,国家互联网信息办公室会同工业与信息化部、公安部、国家认证认可监督管理委员会联合发布了《网络关键设备和网络安全专用产品目录(第一批)》的公告,为网络关键设备和网络安全专用产品安全认证和安全检测工作提供了工作依据。
网络关键设备和网络安全专用产品作为国家网络安全建设的基础核心设备,其认证和检测工作是服务国家经济发展、保障国家网络安全总体质量、实现国家网络安全监管的重要手段。同时,也对加强质量安全、促进产业高质量发展、维护消费者合法权益、精准把握产品生态环境起着显著作用。大多数表现在:
网络关键设备和网络安全专用产品安全认证和安全检测采用的标准是我国自主制定的针对具体产品的国家标准,通过认证检测的反馈作用,引导消费和采购,形成有效的选择机制,维护了用户的合法权益,向消费者、企业、政府、社会传递信任。推动认证检测,能够激发市场自主选择的活力,调动网络关键设备和网络安全专用产品行业“敢为争先”的主动性。认证、检验测试的机构立足经济社会持续健康发展需要,发挥专业方面技术优势,在提升产品质量、推动产业升级、促进经济社会创新发展等方面作出了积极贡献。
认证检测是市场经济条件下加强质量管理、提高市场效率的基础性制度,是市场经济活动的必要环节,不走弯路,指路引航。能够在市场中起到源头把关、净化市场的作用,紧扣“高质量”这一关键词,解放思想、开阔视野,更加科学地算好“加法”和“减法”。传递权威可靠信息,建立市场信任机制,实现互信互任,大大降低市场风险。持续推进企业研发产品的力度、全方面提升产品设计的高度、不断拓宽产品联动的宽度、推动持久产品品牌积淀的厚度,促进企业提升自身的竞争力,完善自身管理上的水准、服务意识,紧跟时代,精准发力。更加利于企业间的良性竞争,稳步激发网络关键设备和网络安全专用产品行业的无限生机。
认证检测为监管部门提供了法律和法规和实现公共政策目标的手段,优化市场准入,规范市场秩序,使监管部门能够运筹帷幄,总览全局。政府部门在进行监管时,采纳第三方认证检验测试的机构专业化的评测结果,做到有理可依、有据可循,体现监督管理过程的严谨性、科学性、公正性,同时大幅度的降低了潜在的监管成本,达到事半功倍的效果。
本次网络关键设备和网络安全专用产品安全认证和安全检测结果公布之后,国家可通过开展安全认证和安全检测的网络关键设备和网络安全专用产品持续监管,不断巩固国家网络安全认证检测工作取得的成果。通过认证检测工作,推进网络关键设备和网络安全专用产品企业持续做好产品和服务,促进行业的蓬勃发展。
(作者:吴沈括北京师范大学互联网发展研究院院长助理、博导,中国互联网协会研究中心副主任)
放眼今日中国,新一代网络信息技术的应用呈现广泛普及和快速迭代的显著态势,社会运行和经济发展的每个方面已经普遍驶入全要素数字化转型的历史快车道,由此催生新的技术架构、新的业务模式和新的应用场景,让各方拥抱着更为多样的发展机遇;同时也引发新的技术要素风险、组织管理风险和内容信息风险,使公众面对着更广泛的安全威胁。
我国已经全方面进入高水平质量的发展新阶段,尤其是在网络强国和数字中国等战略的引领下,做强做优数字化的经济的重要前提是构筑高效可用的基础设施、建设安全可信的互联网空间,而确保网络关键设备和网络安全专用产品的安全属性自是题中应有之义,也成为法律和法规和执法工作中的重要命题。
一方面,立法上,作为顶层制度设计的《中华人民共和国网络安全法》第二十三条明确规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检查符合标准要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
另一方面,执法上,为落实《中华人民共和国网络安全法》的制度要求,加强网络关键设备和网络安全专用产品安全管理,国家互联网信息办公室会同工业与信息化部、公安部、国家认证认可监督管理委员会等部门于2017年6月1日制定发布了《网络关键设备和网络安全专用产品目录(第一批)》。与此相应地,2021年2月20日,国家市场监督管理总局(国家标准化管理委员会)发布2021年第1号公告,正式推出网络安全领域强制性国家标准《网络关键设施安全通用要求》(GB 40050-2021)。
而此次由国家互联网信息办公室会同工业与信息化部、公安部、国家认证认可监督管理委员会统一发布首批网络关键设施安全认证和安全检测结果,具备极其重大的制度意义、实务意义和生态意义:
其一,就制度建设而言,首批网络关键设施安全认证和安全检测结果的发布意味着实现了从法律到目录、从标准到清单的制度闭环,是推动法律规范的各项规则要求切实落地的重要举措,逐步提升了我国网络安全法治水平。
其二,就执法实务而言,网络关键设施安全认证和安全检测工作的常态化展开,是强化网络关键设备和网络安全专用产品安全的日常管理工作的必要配套,特别是能够有效助力于缓解实务中存在的重复认证、重复检测现象,提高网络安全执法工作的权威性、统一性和适用性,也有助于降低企业单位的经营成本与合规负担。
其三,就生态培育而言,随网络关键设备和网络安全专用产品安全认证和安全检测工作的持续推进,一批优秀的设备产品生产商、供应商将会凭借自身实力脱颖而出,并在市场环境中产生广泛的示范、引领和带动效应,吸引更加多的利益相关方向先进标准看齐,拉高产业链和供应链的整体安全水准,进而形成可持续的良性数字安全生态。
近期,国家互联网信息办公室发布首批利用互联网关键设备和网络安全专用产品安全认证和安全检测的设备和产品名单,是国家全方面推进网络安全认证检测工作,落实《中华人民共和国网络安全法》第二十三条以及《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(国家互联网信息办公室、工业与信息化部、公安部、国家认证认可监督管理委员会公告 2017年第1号)有关要求的重要标志。认证和检测是合格评定的重要内容,也是国家质量基础设施(NQI)中不可或缺的重要组成部分,在国民经济与社会持续健康发展中发挥着重要的作用。运用认证和检测的手段对网络关键设备和网络安全专用产品的安全性实施评价,是顺应产业高质量发展需要,保障重要信息系统安全的一项具备极其重大意义的制度安排。
依据《中华人民共和国网络安全法》第二十三条要求,“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检查符合标准要求后,方可销售或者提供”。安全认证和安全检测的落实要具备三个关键要素,即实施范围、实施主体和实施依据。2017年6月,国家互联网信息办公室、工业与信息化部、公安部、国家认证认可监督管理委员会四部委发布《网络关键设备和网络安全专用产品目录(第一批)》,确定对4类网络关键设备和11类网络安全专用产品实施安全认证和安全检测,明确了制度实施范围。2018年3月,发布了《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》,明确了实施主体。同年5月,国家认证认可监督管理委员会和国家互联网信息办公室联合发布的《关于网络关键设备和网络安全专用产品安全认证实施要求的公告》中,进一步明确了为安全认证机构提供检验测试服务的实验室名录。2018年发布的《网络关键设备和网络安全专用产品安全认证实施规则》(CNCA-CCIS-2018),为安全认证的实施提供了依据。2021年,《网络关键设施安全通用要求》(GB 40050-2021)的发布,为网络关键设施安全认证和安全检测的落地,提供了技术标准。
网络关键设备和网络安全专用产品安全认证和安全检测制度的建立,是我国在网络安全领域,依法建立产品认证制度,建设认证体系的卓有成效的尝试。大多数表现在以下方面:
网络关键设备和网络安全专用产品安全认证和安全检测,相关管理部门涉及工业与信息化部、公安部、国家认证认可监督管理委员会,在现有相关行政审批、安全认证制度项下,为适应相应领域管理要求,形成了不同的产品质量标准。在国家互联网信息办公室的协调下,安全认证和安全检测各实施机构使用统一的技术标准对网络关键设备和网络安全专用产品做安全性评价,为推动安全认证和安全检测结果互认,避免重复认证、检测奠定了基础。
安全认证和安全检测制度选取了现有相关管理制度项下的认证和检验测试的机构作为实施单位,既充分的发挥了专业机构的技术优势,有效利用现有认证和检测资源,又避免了网络安全领域合格评定能力低水平重复建设,为网络关键设备和网络安全专用产品安全认证和安全检测与现有管理制度的协同推进创造了条件。
网络关键设备和网络安全专用产品安全认证的实施,在产品合规性持续监管方面发挥了及其重要的作用。依据《网络关键设备和网络安全专用产品安全认证实施规则》,认证模式为“型式试验+工厂检查+获证后监督”的认证模式。在型式试验阶段,检验测试的机构对公司可以提供的样品进行仔细的检测,以判断其是不是满足标准要求;在工厂检查阶段,认证机构对制造商和生产企业的安全保障能力和质量保证能力进行审核,以判断其是否具备持续生产出符合规定标准要求的产品的能力;在企业获得认证证书后,证书有效期内,认证机构通过持续的跟踪检查,对获证产品符合性进行监督。
认证作为国际通行的合格评定手段,在产品合规性管理及质量提升方面正发挥着日益重要的作用。对信息技术产品实施安全认证慢慢的变成了欧洲、美国等国家和地区网络安全和隐私保护的重要内容。网络关键设备和网络安全专用产品安全认证的实施,为国家对产品的质量监管提供了有力的抓手和重要支撑。