近日,强制性国家标准《网络关键设备安全通用要求》(GB 40050-2021)发布。《网络关键设备安全通用要求》是网络安全领域少数强制性标准之一,相对于推荐性国家标准更加值得关注。
一、网络关键设备的定义与范围
鉴于网络关键设备的特殊性,识别网络产品是否属于网络关键设备就成为了关键性的第一步。
根据《网络关键设备安全通用要求》3.7中的定义,网络关键设备(critical network device)是指支持联网功能,在同类网络设备中具有较高性能的设备,通常用于重要网络节点、重要部位或重要系统中,一旦遭到破坏,可能引发重大网络安全风险。具体而言是指相关性能符合《网络关键设备和网络安全专用产品目录》中规定的范围。
早在2017年6月《网络安全法》生效伊始,国家互联网信息办公室、工信部、公安部、国家认证认可监督管理委员会就联合发布了《网络关键设备和网络安全专用产品目录(第一批)》:
设备或产品类别 | 范围 |
1.路由器 | 整系统吞吐量(双向)≥12Tbps 整系统路由表容量≥55万条 |
2.交换机 | 整系统吞吐量(双向)≥30Tbps 整系统包转发率大于等于10Gpps |
3.服务器(机架式) | CPU数量≥8个 单CPU内核数≥14个 内存容量≥256GB |
4.可编程逻辑控制器(PLC设备) | 控制器指令执行时间≤0.08微秒 |
尽管四部委公布了目录,但目录中同一产品范围项下的不同门槛是“和”还是“或”并不清晰,需要实践中逐渐予以明确。另外随着技术的发展,后续四部委可能还会就网络关键设备和网络安全专用产品目录进行更新或扩充。
关于《网络关键设备和网络安全专用产品目录》的效力,在“张鑫、陈天明、张朝荣等提供侵入、非法控制计算机信息系统程序、工具案”中((2018)浙0602刑初101号),浙江省绍兴市越城区人民法院进行过认定:
《网络关键设备和网络安全专用产品目录》公布的目的在于加强对网络关键设备和网络安全专用产品的安全管理,该目录项下的网络关键设备、网络安全专用产品类别须经过具有相关资质的认定机构按照国家标准的强制性要求进行安全认证后方可对外提供、销售,该目录的公布不具有规定“网络关键设备和网络安全专用产品是什么”或“目录之外均不属于网络关键设备和网络安全专用产品”的内在意旨,更非对“计算机信息系统安全保护措施”作出定义式限定。
因此,在关于网络安全产品销售的司法实践中,对网络关键设备和网络安全专用产品的认定可能会遵循更宽的尺度,需要在具体案件的实务中予以特别关注。
二、法律义务
网络关键设备遵守国家强制性标准是一项重要的法律义务,《网络安全法》第23条明确规定:
网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
概言之,网络关键设备的销售需要遵循以下流程:
《密码法》第26条也规定:
涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。
商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
可见,后续网络关键设备和网络安全专用产品目录的更新,可能会将更多的商用密码产品列入其中。
三、基本要求
在《网络关键设备安全通用要求》中主要分为“安全功能要求”与“安全保障要求”两个大类:
在合规的角度,《网络关键设备安全通用要求》不仅是开发工作中的具体要求,也可以作为合规工作中需要逐一勾选的清单。
在《网络关键设备安全通用要求》中,尤其值得关注关于运营和维护的要求,因为部分通信产品已经呈现出运维费用超过设备本身费用的现象,运维的质量甚至企业获取订单的关键要素,所以注定网络关键设备的销售不是“一锤子买卖”,需要关注网络关键设备运维的合规。而运维中最为敏感的就是远程运维,可能直接涉及到产品“后门”的问题,在《网络关键设备安全通用要求》中对远程运维有明确要求:
明示维护内容、风险以及应对措施;
留存不可更改的远程维护日志记录;
记录内容至少包括维护时间、维护内容、维护人员、远程运维的方式与工具;
获得用户授权并留存授权记录;并且
支持用户中止远程维护。
四、安全认证
网络关键设备的销售,除了符合强制性国家标准《网络关键设备安全通用要求》,还需要通过安全认证。早在2018年6月,国家认证认可监督管理委员会就发布了《网络关键设备和网络安全专用产品安全认证实施规则》。该规则将认证模式分为型式试验、工厂检查与获证后监督三个阶段:
型式试验采取抽检模式,一般每种产品抽样2套,如有特殊需求会增加样品数量。
工厂检查一般每个场所为2至6个人日,会重点关注:(1)标注的一致性;(2)生产场所产品与型式试验产品的一致性;以及(3)是否违规使用认证标识。
获证后监督通常会以每年一次的频率进行,并且可能采取“飞行检查”的模式在不提前通知的情况下进行抽检。
设备通过安全认证以后,可以获得认证证书,有效期为5年。在通过认证产品的本体铭牌应加施认证标志,如果是软件产品,则应当在软件外包装或《许可协议》中显著加施使用标注:
根据2018年6月发布的《网络关键设备和网络安全专用产品安全认证和安全检测任务的机构名录(第一批)》,目前可以承担网络关键设备安全认证和安全检测任务机构包括:
机构名称 | 网址 |
中国信息安全认证中心 | www.isccc.gov.cn |
中国信息通信研究院/中国泰尔实验室 | www.caict.ac.cn |
国家计算机网络与信息安全管理中心 | www.cert.org.cn |
国家工业控制系统与产品安全质量监督检验中心 | www.etiri.org.cn |
中国电子技术标准化研究院赛西实验室 | www.cesi.cn |
工业和信息化部电子第五研究所 | www.ceprei.com |
信息产业数据通信产品质量监督检验中心 | www.chinawllc.com |
国家电话交换机质量监督检验中心 | www.fritt.com.cn |
信息产业无线通信产品质量监督检验中心 | www.radio-qtc.com |
信息产业有线通信产品质量监督检验中心 | www.cdtr-lab.cn |
信息产业光通信产品质量监督检验中心 | lab.wri.com.cn |
信息产业广州电话交换设备质量监督检验中心 | www.mctc.org.cn |
五、合规步骤与要点
根据我们的经验,网络关键设备合规工作可以从以下几方面入手:
1.梳理产品目录
无论是对于网络设备的生产者还是相关领域的用户,都应当对自己生产或使用的产品进行梳理,判断是否有产品落入《网络关键设备和网络安全专用产品目录》的范围,对此类产品开展专项合规工作。
在此基础上,跟踪《网络关键设备和网络安全专用产品目录》的更新情况,一旦目录更新,及时调整自身的合规目录。
2.产品合规
对于网络关键设备生产者,需要从设计环节伊始,就将国家标准的要求嵌入产品中。在功能与形式上达到国家标准的要求,并且通过文件让产品的合规性可以被验证。
对于网络关键设备的用户,也需要采购部门及时更新供应商名录,对网络关键设备的采购仅针对通过认证的产品开放。此外也需要网络关键设备用户的法务部门将国家标准《网络关键设备安全通用要求》落实到采购协议内产品质量相关的条款中。
3.安全认证
对于网络关键设备生产者,通过安全认证是不可或缺的环节,需要及时申请、完成认证。在完成认证后,还应当在产品铭牌、包装或用户协议等合适位置准确进行标识。
除了应当完成安全认证并准确标识,网络关键设备生产者还应当做好安全认证通过后应对“飞行检查”的准备工作。网络关键设备生产者可以通过演练模拟飞行检查,帮助从前台接待到生产现场的每个环节做好准备,形成预案。
史宇航:法学博士,执业律师,注册信息安全专业人员(CISP),注册信息隐私管理人员(CIPM),汇业律师事务所顾问律师。主要执业方向是网络安全与数据保护。