強制性國家標準《網(wǎng)絡關(guān)鍵設備安全通用要求》發(fā)布:網(wǎng)絡關(guān)鍵設備合規(guī)要點 |
||||||||||||||||||||||||||||||||||||
來源:聚銘網(wǎng)絡 發(fā)布時間:2021-03-04 瀏覽次數(shù): | ||||||||||||||||||||||||||||||||||||
信息來源:Freebuf
近日,強制性國家標準《網(wǎng)絡關(guān)鍵設備安全通用要求》(GB 40050-2021)發(fā)布。《網(wǎng)絡關(guān)鍵設備安全通用要求》是網(wǎng)絡安全領(lǐng)域少數(shù)強制性標準之一,相對于推薦性國家標準更加值得關(guān)注。 一、網(wǎng)絡關(guān)鍵設備的定義與范圍鑒于網(wǎng)絡關(guān)鍵設備的特殊性,識別網(wǎng)絡產(chǎn)品是否屬于網(wǎng)絡關(guān)鍵設備就成為了關(guān)鍵性的第一步。 根據(jù)《網(wǎng)絡關(guān)鍵設備安全通用要求》3.7中的定義,網(wǎng)絡關(guān)鍵設備(critical network device)是指支持聯(lián)網(wǎng)功能,在同類網(wǎng)絡設備中具有較高性能的設備,通常用于重要網(wǎng)絡節(jié)點、重要部位或重要系統(tǒng)中,一旦遭到破壞,可能引發(fā)重大網(wǎng)絡安全風險。具體而言是指相關(guān)性能符合《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》中規(guī)定的范圍。 早在2017年6月《網(wǎng)絡安全法》生效伊始,國家互聯(lián)網(wǎng)信息辦公室、工信部、公安部、國家認證認可監(jiān)督管理委員會就聯(lián)合發(fā)布了《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄(第一批)》:
盡管四部委公布了目錄,但目錄中同一產(chǎn)品范圍項下的不同門檻是“和”還是“或”并不清晰,需要實踐中逐漸予以明確。另外隨著技術(shù)的發(fā)展,后續(xù)四部委可能還會就網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄進行更新或擴充。 關(guān)于《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的效力,在“張鑫、陳天明、張朝榮等提供侵入、非法控制計算機信息系統(tǒng)程序、工具案”中((2018)浙0602刑初101號),浙江省紹興市越城區(qū)人民法院進行過認定: 《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》公布的目的在于加強對網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品的安全管理,該目錄項下的網(wǎng)絡關(guān)鍵設備、網(wǎng)絡安全專用產(chǎn)品類別須經(jīng)過具有相關(guān)資質(zhì)的認定機構(gòu)按照國家標準的強制性要求進行安全認證后方可對外提供、銷售,該目錄的公布不具有規(guī)定“網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品是什么”或“目錄之外均不屬于網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品”的內(nèi)在意旨,更非對“計算機信息系統(tǒng)安全保護措施”作出定義式限定。 因此,在關(guān)于網(wǎng)絡安全產(chǎn)品銷售的司法實踐中,對網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品的認定可能會遵循更寬的尺度,需要在具體案件的實務中予以特別關(guān)注。 二、法律義務網(wǎng)絡關(guān)鍵設備遵守國家強制性標準是一項重要的法律義務,《網(wǎng)絡安全法》第23條明確規(guī)定: 網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品應當按照相關(guān)國家標準的強制性要求,由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后,方可銷售或者提供。國家網(wǎng)信部門會同國務院有關(guān)部門制定、公布網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄,并推動安全認證和安全檢測結(jié)果互認,避免重復認證、檢測。 概言之,網(wǎng)絡關(guān)鍵設備的銷售需要遵循以下流程:
《密碼法》第26條也規(guī)定: 涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品,應當依法列入網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄,由具備資格的機構(gòu)檢測認證合格后,方可銷售或者提供。商用密碼產(chǎn)品檢測認證適用《中華人民共和國網(wǎng)絡安全法》的有關(guān)規(guī)定,避免重復檢測認證。 商用密碼服務使用網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品的,應當經(jīng)商用密碼認證機構(gòu)對該商用密碼服務認證合格。 可見,后續(xù)網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄的更新,可能會將更多的商用密碼產(chǎn)品列入其中。 三、基本要求在《網(wǎng)絡關(guān)鍵設備安全通用要求》中主要分為“安全功能要求”與“安全保障要求”兩個大類:
在合規(guī)的角度,《網(wǎng)絡關(guān)鍵設備安全通用要求》不僅是開發(fā)工作中的具體要求,也可以作為合規(guī)工作中需要逐一勾選的清單。 在《網(wǎng)絡關(guān)鍵設備安全通用要求》中,尤其值得關(guān)注關(guān)于運營和維護的要求,因為部分通信產(chǎn)品已經(jīng)呈現(xiàn)出運維費用超過設備本身費用的現(xiàn)象,運維的質(zhì)量甚至企業(yè)獲取訂單的關(guān)鍵要素,所以注定網(wǎng)絡關(guān)鍵設備的銷售不是“一錘子買賣”,需要關(guān)注網(wǎng)絡關(guān)鍵設備運維的合規(guī)。而運維中最為敏感的就是遠程運維,可能直接涉及到產(chǎn)品“后門”的問題,在《網(wǎng)絡關(guān)鍵設備安全通用要求》中對遠程運維有明確要求: 明示維護內(nèi)容、風險以及應對措施; 留存不可更改的遠程維護日志記錄; 記錄內(nèi)容至少包括維護時間、維護內(nèi)容、維護人員、遠程運維的方式與工具; 獲得用戶授權(quán)并留存授權(quán)記錄;并且 支持用戶中止遠程維護。 四、安全認證網(wǎng)絡關(guān)鍵設備的銷售,除了符合強制性國家標準《網(wǎng)絡關(guān)鍵設備安全通用要求》,還需要通過安全認證。早在2018年6月,國家認證認可監(jiān)督管理委員會就發(fā)布了《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證實施規(guī)則》。該規(guī)則將認證模式分為型式試驗、工廠檢查與獲證后監(jiān)督三個階段: 型式試驗采取抽檢模式,一般每種產(chǎn)品抽樣2套,如有特殊需求會增加樣品數(shù)量。 工廠檢查一般每個場所為2至6個人日,會重點關(guān)注:(1)標注的一致性;(2)生產(chǎn)場所產(chǎn)品與型式試驗產(chǎn)品的一致性;以及(3)是否違規(guī)使用認證標識。 獲證后監(jiān)督通常會以每年一次的頻率進行,并且可能采取“飛行檢查”的模式在不提前通知的情況下進行抽檢。 設備通過安全認證以后,可以獲得認證證書,有效期為5年。在通過認證產(chǎn)品的本體銘牌應加施認證標志,如果是軟件產(chǎn)品,則應當在軟件外包裝或《許可協(xié)議》中顯著加施使用標注:
根據(jù)2018年6月發(fā)布的《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證和安全檢測任務的機構(gòu)名錄(第一批)》,目前可以承擔網(wǎng)絡關(guān)鍵設備安全認證和安全檢測任務機構(gòu)包括:
五、合規(guī)步驟與要點根據(jù)我們的經(jīng)驗,網(wǎng)絡關(guān)鍵設備合規(guī)工作可以從以下幾方面入手: 1.梳理產(chǎn)品目錄無論是對于網(wǎng)絡設備的生產(chǎn)者還是相關(guān)領(lǐng)域的用戶,都應當對自己生產(chǎn)或使用的產(chǎn)品進行梳理,判斷是否有產(chǎn)品落入《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的范圍,對此類產(chǎn)品開展專項合規(guī)工作。 在此基礎上,跟蹤《網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的更新情況,一旦目錄更新,及時調(diào)整自身的合規(guī)目錄。 2.產(chǎn)品合規(guī)對于網(wǎng)絡關(guān)鍵設備生產(chǎn)者,需要從設計環(huán)節(jié)伊始,就將國家標準的要求嵌入產(chǎn)品中。在功能與形式上達到國家標準的要求,并且通過文件讓產(chǎn)品的合規(guī)性可以被驗證。 對于網(wǎng)絡關(guān)鍵設備的用戶,也需要采購部門及時更新供應商名錄,對網(wǎng)絡關(guān)鍵設備的采購僅針對通過認證的產(chǎn)品開放。此外也需要網(wǎng)絡關(guān)鍵設備用戶的法務部門將國家標準《網(wǎng)絡關(guān)鍵設備安全通用要求》落實到采購協(xié)議內(nèi)產(chǎn)品質(zhì)量相關(guān)的條款中。 3.安全認證對于網(wǎng)絡關(guān)鍵設備生產(chǎn)者,通過安全認證是不可或缺的環(huán)節(jié),需要及時申請、完成認證。在完成認證后,還應當在產(chǎn)品銘牌、包裝或用戶協(xié)議等合適位置準確進行標識。 除了應當完成安全認證并準確標識,網(wǎng)絡關(guān)鍵設備生產(chǎn)者還應當做好安全認證通過后應對“飛行檢查”的準備工作。網(wǎng)絡關(guān)鍵設備生產(chǎn)者可以通過演練模擬飛行檢查,幫助從前臺接待到生產(chǎn)現(xiàn)場的每個環(huán)節(jié)做好準備,形成預案。 史宇航:法學博士,執(zhí)業(yè)律師,注冊信息安全專業(yè)人員(CISP),注冊信息隱私管理人員(CIPM),匯業(yè)律師事務所顧問律師。主要執(zhí)業(yè)方向是網(wǎng)絡安全與數(shù)據(jù)保護。
|
||||||||||||||||||||||||||||||||||||
下一篇:2021年3月4日聚銘安全速遞 |