官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
18051217668- 关注
近日,国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会联合发布了“关于调整网络安全专用产品安全管理有关事项的公告”(以下简称公告),相信大家都读到了相关内容。
公告发布后,不少从业者表示这是网络安全行业中的大动作,但因为公告中的许多细则尚未明确,大家也存在一些疑问。本篇文章我们将先针对公告中的一些重点帮助读者进行要点提示,再提出从业者们关心的一些问题。
要点 1:
公告指出:自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
分析:
首先,需要明确《网络关键设备和网络安全专用产品目录》中都包含了哪些产品,哪些属于网络安全专用产品?在中共中央网络安全和信息化委员会办公室 中华人民共和国国家互联网信息办公室 网站可以看到,目前最新的《网络关键设备和网络安全专用产品目的(第一批)》发布于2017年6月9日,包括了网络关键设备和网络安全专用产品2大类,共计15小类产品,包括:1、路由器;2、交换机;3、服务器(机架式);4、可编程逻辑控制器(PLC设备);5、数据备份一体机;6、防火墙(硬件);7、WEB应用防火墙(WAF);8、入侵检测系统(IDS);9、入侵防御系统(IPS);10、安全隔离与信息交换产品(网闸);11、反垃圾邮件产品;12、网络综合审计系统;13、网络脆弱性扫描产品;14、安全数据库系统;15、网站恢复产品(硬件)。其中1-4类为网络关键设备,5-15类为网络安全专用产品。同时目录对这15类产品均划定了产品性能指标范围,例如6、防火墙(硬件),产品性能指标要求整机吞吐量≥80Gbps、最大并发连接数≥300万,每秒新建连接数≥25万。
要点 2:
公告指出:具备资格的机构是指列入《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》的机构。
分析:
在中共中央网络安全和信息化委员会办公室 中华人民共和国国家互联网信息办公室 网站可以看到,《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)》名单发布于2022年1月29日,共包括16家机构。其中承担安全检测任务的机构有15家(其中检测范围为网络关键设备的机构有11家,检测范围为网络安全专用产品的机构有4家),承担安全认证的机构有1家(中国信息安全认证中心)。
要点 3:
公告指出:国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会发布更新《网络关键设备和网络安全专用产品目录》、《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》。
分析:
虽然网络关键设备和网络安全专用产品目录目前仅有15个产品类型,检测机构数量仅有16家,但公告也指出两份目录将由国家相关的主管部门更新,因此,不排除未来产品和机构数量增加的可能。以上通过针对公告第一条内容的分析,可以初步明确网络安全专用产品的范围,这对于公告发布后,各安全企业产品资质的管理至关重要。同时公告第二条、第三条也提出了,针对网络安全专用产品,自2023年7月1日起,将停止颁发和停止执行下面工作:
二、自2023年7月1日起,停止颁发《计算机信息系统安全专用产品销售许可证》(简称销售许可证),产品生产者无需申领。此前已经获得销售许可证的产品在有效期内可继续销售或者提供。
三、自2023年7月1日起,停止执行《关于调整信息安全产品强制性认证实施要求的公告》(原国家质检总局、财政部、国家认证认可监督管理委员会2009年第33号)和《财政部 工业和信息化部质检总局认监委关于信息安全产品实施政府采购的通知》(财库〔2010〕48号)。
下面详细介绍一下这3项工作的具体内容:
销售许可证是行业内大家比较熟悉的资质,由公安部颁发,在国内从事信息安全产品销售的厂商必须具备相应的销售许可证资质。
《关于调整信息安全产品强制性认证实施要求的公告》(原国家质检总局、财政部、国家认证认可监督管理委员会2009年第33号)原文内容如下图:国家质量监督检验检疫总局、国家认证认可监督管理委员会2008年第7号公告中涉及的信息安全产品强制性认证(自2009年5月1日起,凡列入本强制性认证目录内的信息安全产品,未获得强制性产品认证证书和未加施中国强制性认证标志的,不得出厂、销售、进口或在其他经营活动中使用)的强制实施时间延至2010年5月1日,在政府采购法规定的范围内强制实施。目录共包含13个产品类别,包括安全操作系统产品、安全隔离与信息交换产品、安全路由器产品、安全审计产品、安全数据库系统产品、反垃圾邮件产品、防火墙产品、入侵检测系统产品、数据备份与恢复产品、网络安全隔离卡与线路选择器产品、网络脆弱性扫描产品、网站恢复产品、智能卡cos产品。
- 《财政部 工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》(财库〔2010〕48号)。该通知于2010年4月28日发布,规定通知的主要内容如下:
- 各级国家机关、事业单位和团体组织(以下统称采购人)使用财政性资金采购信息 安全产品的,应当采购经国家认证的信息安全产品。
- 在政府采购活动中,采购人或其委托的采购代理机构按照政府采购法的规定,在政 府采购招标文件(包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求, 并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书。
- 对采购人或其委托的采购代理机构未按上述要求采购的,有关部门要按照有关法律、 法规和规章予以处理,财政部门视情况可以拒付采购资金。
以上是针对《关于调整网络安全专用产品安全管理有关事项的公告2023年第1号》的延展内容介绍。
公告的初衷是为了加强网络安全专用产品安全管理,推动安全认证和安全检测结果互认,避免重复认证、检测,公告的推出可以减轻网络安全厂商产品资质管理的压力与成本,推动行业有序发展。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
![[ 网络安全-电子] Regulator 利用51单片机蓝牙远程命令执行](https://image.3001.net/images/20230420/1681970097_6440d3b19a05087976b9a.png)
![[ 网络安全] MXXE 漏洞利用工具](https://image.3001.net/images/20230420/1681969375_6440d0df58df822a3d11d.png)
- 6 文章数
- 0 关注者