行業(yè)動態(tài)

強制性國家標準《網(wǎng)絡關(guān)鍵設備安全通用要求》發(fā)布:網(wǎng)絡關(guān)鍵設備合規(guī)要點

來源:聚銘網(wǎng)絡    發(fā)布時間:2021-03-04    瀏覽次數(shù):
 

信息來源:Freebuf


近日,強制性國家標準《網(wǎng)絡關(guān)鍵設備安全通用要求》(GB 40050-2021)發(fā)布。《網(wǎng)絡關(guān)鍵設備安全通用要求》是網(wǎng)絡安全領(lǐng)域少數(shù)強制性標準之一,相對于推薦性國家標準更加值得關(guān)注。

一、網(wǎng)絡關(guān)鍵設備的定義與范圍

鑒于網(wǎng)絡關(guān)鍵設備的特殊性,識別網(wǎng)絡產(chǎn)品是否屬于網(wǎng)絡關(guān)鍵設備就成為了關(guān)鍵性的第一步。

根據(jù)《網(wǎng)絡關(guān)鍵設備安全通用要求》3.7中的定義,網(wǎng)絡關(guān)鍵設備(critical network device)是指支持聯(lián)網(wǎng)功能,在同類網(wǎng)絡設備中具有較高性能的設備,通常用于重要網(wǎng)絡節(jié)點、重要部位或重要系統(tǒng)中,一旦遭到破壞,可能引發(fā)重大網(wǎng)絡安全風險。具體而言是指相關(guān)性能符合《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》中規(guī)定的范圍。

早在2017年6月《網(wǎng)絡安全法》生效伊始,國家互聯(lián)網(wǎng)信息辦公室、工信部、公安部、國家認證認可監(jiān)督管理委員會就聯(lián)合發(fā)布了《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄(第一批)》:

設備或產(chǎn)品類別

范圍

1.路由器

整系統(tǒng)吞吐量(雙向)≥12Tbps

整系統(tǒng)路由表容量≥55萬條

2.交換機

整系統(tǒng)吞吐量(雙向)≥30Tbps

整系統(tǒng)包轉(zhuǎn)發(fā)率大于等于10Gpps

3.服務器(機架式)

CPU數(shù)量≥8個

單CPU內(nèi)核數(shù)≥14個

內(nèi)存容量≥256GB

4.可編程邏輯控制器(PLC設備)

控制器指令執(zhí)行時間≤0.08微秒

盡管四部委公布了目錄,但目錄中同一產(chǎn)品范圍項下的不同門檻是“和”還是“或”并不清晰,需要實踐中逐漸予以明確。另外隨著技術(shù)的發(fā)展,后續(xù)四部委可能還會就網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄進行更新或擴充。

關(guān)于《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的效力,在“張鑫、陳天明、張朝榮等提供侵入、非法控制計算機信息系統(tǒng)程序、工具案”中((2018)浙0602刑初101號),浙江省紹興市越城區(qū)人民法院進行過認定:

《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》公布的目的在于加強對網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品的安全管理,該目錄項下的網(wǎng)絡關(guān)鍵設備、網(wǎng)絡安全專用產(chǎn)品類別須經(jīng)過具有相關(guān)資質(zhì)的認定機構(gòu)按照國家標準的強制性要求進行安全認證后方可對外提供、銷售,該目錄的公布不具有規(guī)定“網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品是什么”或“目錄之外均不屬于網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品”的內(nèi)在意旨,更非對“計算機信息系統(tǒng)安全保護措施”作出定義式限定。

因此,在關(guān)于網(wǎng)絡安全產(chǎn)品銷售的司法實踐中,對網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品的認定可能會遵循更寬的尺度,需要在具體案件的實務中予以特別關(guān)注。

二、法律義務

網(wǎng)絡關(guān)鍵設備遵守國家強制性標準是一項重要的法律義務,《網(wǎng)絡安全法》第23條明確規(guī)定:

網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品應當按照相關(guān)國家標準的強制性要求,由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后,方可銷售或者提供。國家網(wǎng)信部門會同國務院有關(guān)部門制定、公布網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄,并推動安全認證和安全檢測結(jié)果互認,避免重復認證、檢測。

概言之,網(wǎng)絡關(guān)鍵設備的銷售需要遵循以下流程:

1614740895_603efd9fcc4c453d7aa39.png!small?1614740896107

《密碼法》第26條也規(guī)定:

涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品,應當依法列入網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄,由具備資格的機構(gòu)檢測認證合格后,方可銷售或者提供。商用密碼產(chǎn)品檢測認證適用《中華人民共和國網(wǎng)絡安全法》的有關(guān)規(guī)定,避免重復檢測認證。

商用密碼服務使用網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品的,應當經(jīng)商用密碼認證機構(gòu)對該商用密碼服務認證合格。

可見,后續(xù)網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄的更新,可能會將更多的商用密碼產(chǎn)品列入其中。

三、基本要求

在《網(wǎng)絡關(guān)鍵設備安全通用要求》中主要分為“安全功能要求”與“安全保障要求”兩個大類:

1614740902_603efda603affcfd2c201.png!small?1614740902386

在合規(guī)的角度,《網(wǎng)絡關(guān)鍵設備安全通用要求》不僅是開發(fā)工作中的具體要求,也可以作為合規(guī)工作中需要逐一勾選的清單。

在《網(wǎng)絡關(guān)鍵設備安全通用要求》中,尤其值得關(guān)注關(guān)于運營和維護的要求,因為部分通信產(chǎn)品已經(jīng)呈現(xiàn)出運維費用超過設備本身費用的現(xiàn)象,運維的質(zhì)量甚至企業(yè)獲取訂單的關(guān)鍵要素,所以注定網(wǎng)絡關(guān)鍵設備的銷售不是“一錘子買賣”,需要關(guān)注網(wǎng)絡關(guān)鍵設備運維的合規(guī)。而運維中最為敏感的就是遠程運維,可能直接涉及到產(chǎn)品“后門”的問題,在《網(wǎng)絡關(guān)鍵設備安全通用要求》中對遠程運維有明確要求:

明示維護內(nèi)容、風險以及應對措施;

留存不可更改的遠程維護日志記錄;

記錄內(nèi)容至少包括維護時間、維護內(nèi)容、維護人員、遠程運維的方式與工具;

獲得用戶授權(quán)并留存授權(quán)記錄;并且

支持用戶中止遠程維護。

四、安全認證

網(wǎng)絡關(guān)鍵設備的銷售,除了符合強制性國家標準《網(wǎng)絡關(guān)鍵設備安全通用要求》,還需要通過安全認證。早在2018年6月,國家認證認可監(jiān)督管理委員會就發(fā)布了《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證實施規(guī)則》。該規(guī)則將認證模式分為型式試驗、工廠檢查與獲證后監(jiān)督三個階段:

型式試驗采取抽檢模式,一般每種產(chǎn)品抽樣2套,如有特殊需求會增加樣品數(shù)量。

工廠檢查一般每個場所為2至6個人日,會重點關(guān)注:(1)標注的一致性;(2)生產(chǎn)場所產(chǎn)品與型式試驗產(chǎn)品的一致性;以及(3)是否違規(guī)使用認證標識。

獲證后監(jiān)督通常會以每年一次的頻率進行,并且可能采取“飛行檢查”的模式在不提前通知的情況下進行抽檢。

設備通過安全認證以后,可以獲得認證證書,有效期為5年。在通過認證產(chǎn)品的本體銘牌應加施認證標志,如果是軟件產(chǎn)品,則應當在軟件外包裝或《許可協(xié)議》中顯著加施使用標注:

1614740925_603efdbdb2749a41513fe.png!small?1614740926198

根據(jù)2018年6月發(fā)布的《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證和安全檢測任務的機構(gòu)名錄(第一批)》,目前可以承擔網(wǎng)絡關(guān)鍵設備安全認證和安全檢測任務機構(gòu)包括:

機構(gòu)名稱

網(wǎng)址

中國信息安全認證中心

www.isccc.gov.cn

中國信息通信研究院/中國泰爾實驗室

www.caict.ac.cn

國家計算機網(wǎng)絡與信息安全管理中心

www.cert.org.cn

國家工業(yè)控制系統(tǒng)與產(chǎn)品安全質(zhì)量監(jiān)督檢驗中心

www.etiri.org.cn

中國電子技術(shù)標準化研究院賽西實驗室

www.cesi.cn

工業(yè)和信息化部電子第五研究所

www.ceprei.com

信息產(chǎn)業(yè)數(shù)據(jù)通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心

www.chinawllc.com

國家電話交換機質(zhì)量監(jiān)督檢驗中心

www.fritt.com.cn

信息產(chǎn)業(yè)無線通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心

www.radio-qtc.com

信息產(chǎn)業(yè)有線通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心

www.cdtr-lab.cn

信息產(chǎn)業(yè)光通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心

lab.wri.com.cn

信息產(chǎn)業(yè)廣州電話交換設備質(zhì)量監(jiān)督檢驗中心

www.mctc.org.cn

五、合規(guī)步驟與要點

根據(jù)我們的經(jīng)驗,網(wǎng)絡關(guān)鍵設備合規(guī)工作可以從以下幾方面入手:

1.梳理產(chǎn)品目錄

無論是對于網(wǎng)絡設備的生產(chǎn)者還是相關(guān)領(lǐng)域的用戶,都應當對自己生產(chǎn)或使用的產(chǎn)品進行梳理,判斷是否有產(chǎn)品落入《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的范圍,對此類產(chǎn)品開展專項合規(guī)工作。

在此基礎上,跟蹤《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的更新情況,一旦目錄更新,及時調(diào)整自身的合規(guī)目錄。

2.產(chǎn)品合規(guī)

對于網(wǎng)絡關(guān)鍵設備生產(chǎn)者,需要從設計環(huán)節(jié)伊始,就將國家標準的要求嵌入產(chǎn)品中。在功能與形式上達到國家標準的要求,并且通過文件讓產(chǎn)品的合規(guī)性可以被驗證。

對于網(wǎng)絡關(guān)鍵設備的用戶,也需要采購部門及時更新供應商名錄,對網(wǎng)絡關(guān)鍵設備的采購僅針對通過認證的產(chǎn)品開放。此外也需要網(wǎng)絡關(guān)鍵設備用戶的法務部門將國家標準《網(wǎng)絡關(guān)鍵設備安全通用要求》落實到采購協(xié)議內(nèi)產(chǎn)品質(zhì)量相關(guān)的條款中。

3.安全認證

對于網(wǎng)絡關(guān)鍵設備生產(chǎn)者,通過安全認證是不可或缺的環(huán)節(jié),需要及時申請、完成認證。在完成認證后,還應當在產(chǎn)品銘牌、包裝或用戶協(xié)議等合適位置準確進行標識。

除了應當完成安全認證并準確標識,網(wǎng)絡關(guān)鍵設備生產(chǎn)者還應當做好安全認證通過后應對“飛行檢查”的準備工作。網(wǎng)絡關(guān)鍵設備生產(chǎn)者可以通過演練模擬飛行檢查,幫助從前臺接待到生產(chǎn)現(xiàn)場的每個環(huán)節(jié)做好準備,形成預案。

史宇航:法學博士,執(zhí)業(yè)律師,注冊信息安全專業(yè)人員(CISP),注冊信息隱私管理人員(CIPM),匯業(yè)律師事務所顧問律師。主要執(zhí)業(yè)方向是網(wǎng)絡安全與數(shù)據(jù)保護。


 
 

上一篇:用戶賬戶被劫持,微軟披露價值50000美金的新漏洞

下一篇:2021年3月4日聚銘安全速遞