Expert Interpretation: Safeguarding Cybersecurity Fundamentals through Security Certification and Testing of Critical Network Equipment

随着信息和通信技术的进化和全领域的数字化转型，公共机构、企业、个人使用的网络产品和信息服务日益增多，网络设备在政务、通信、卫生、能源、金融和运输等重要部门领域中发挥的核心作用也不断增强。数字化和连接性是万物互联时代的网络设备基本属性，也让整个社会更容易遭受网络安全威胁；个别网络设备的漏洞可能成为影响网络系统安全的薄弱环节而被利用，网络关键设备则成为网络风险的主要来源和网络攻击的重点对象，将网络关键设备纳入重点管理对象成为国内外的普遍做法。我国2016年11月颁布的《网络安全法》第二十三条提出了网络关键设备安全认证和安全检测制度，欧盟在2019年4月颁布的《欧洲网络安全法》和美国在2020年12月颁布的《物联网网络安全改进法》也建立了类似的网络安全认证制度。为了落实我国《网络安全法》，国家互联网信息办公室协调多部委开展了一系列贯彻落实工作，网络关键设备的首批安全认证和安全检测结果近日统一公布，该制度的法律实施效果将日益显现。<br> 一、划定网络关键设备的识别范围，抓住关键领域<br> 网络攻击正在增加，更容易受到网络威胁和攻击的关键领域需要更强大的防御。网络关键设备采取依标生产、安全认证和安全检测制度，在流通销售之前进行产品质量管理，以假定网络攻击发生而在设计和开发的最初阶段采取策略将影响降到最低，从而减少恶意利用造成的危害风险并确保我国网络安全关键领域的稳定有序。根据《网络安全法》《密码法》等法规，网络关键设备已经被列为专门对象进行管理。在《网络安全法》第二十三条中，网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。在《密码法》第二十六条中，涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。<br> 2017年6月，国家互联网信息办公室会同工业和信息化部、公安部和国家认证认可监督管理委员会发布了《网络关键设备和网络安全专用产品目录（第一批）》，将4类网络关键设备（路由器、交换机、机架式服务器、PLC设备）和11类网络安全专用产品（数据备份一体机、硬件防火墙、入侵检测、防御系统、安全隔离与信息交换产品、安全数据库等）纳入安全认证和安全检测对象，列入目录的设备和产品需要按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。总体而言，第一批产品目录主要集中在系统组网所必须的IT基础硬件设施，属于国家安全和社会管理的基本需要，也是保障工业互联网安全的主要对象。<br> 网络关键设备和网络安全专用产品目录在目前只发布了第一批，后续还应当新增其它关涉国家安全和社会管理的基本需要的产品，这也是各国保持网络安全管理弹性的基本做法。为了履行安全义务，相关方应当跟踪《网络关键设备和网络安全专用产品目录》的更新情况。与此同时，无论是对于网络设备的生产者还是相关领域的用户，都应当对自己生产或使用的产品进行梳理，判断是否有产品落入《网络关键设备和网络安全专用产品目录》的范围，对此类产品开展专项合规工作。<br> 二、制定网络关键设备的技术标准，形成统一规范<br> 技术标准是安全认证和安全检测的评判依据，《欧洲网络安全法》就提出，在准备欧洲网络安全认证计划时，欧盟网络安全局（ENISA）应定期咨询标准化组织，特别是欧洲标准化组织。我国《网络安全法》第二十三条也规定，对网络关键设备和网络安全专用产品依据国家标准强制性要求开展安全认证和安全检测。网络关键设备有标可循，可以划定网络安全的底线，将为落实《网络安全法》关于网络关键设备安全认证和安全检测工作提供重要技术依据、明确网络关键设备应具备的基本安全能力、为各类网络关键设备制修订推荐性标准提供安全要求框架和指导，最终形成产品生产销售依据和消费购买的辨别指南。<br> 2021年2月20日，国家市场监督管理总局（国家标准化管理委员会）发布2021年第1号公告，批准了《网络关键设备安全通用要求》（GB 40050-2021），这是我国网络安全领域为数不多的强制性标准之一，将成为网络关键设备安全认证和安全检测的统一规范。<br> 《网络关键设备安全通用要求》为不同类型的网络关键设备建立统一的安全技术要求，可适用于当前和未来的各类网络关键设备，同时也有利于建立统一的安全管理体系。该强制性标准的主要内容包括安全功能要求和安全保障要求两个部分。其一，安全功能要求聚焦于保障和提升设备的安全技术能力，主要包括设备标识安全、冗余备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全以及密码要求10个部分。其二，安全保障要求聚焦于规范网络关键设备提供者在设备全生命周期的安全保障能力，主要包括设计和开发、生产和交付、运行和维护三个环节的要求。以上安全要求形成了网络关键硬件产品的安全治理体系。在智能网联汽车、电子医疗设备、工业自动化控制系统和智能电网等领域，网络关键设备的统一要求还将对下游产品开发和应用提供显著的便利，为集成应用的开发者提供生产便利。<br> 三、开展网络关键设备的安全认证和安全检测，树立社会公信<br> 认证检测在提高数字世界重要产品和服务的信任度和安全性方面发挥着至关重要的作用，只有公众和各类用户普遍相信此网络关键设备能够提供必要的网络安全，能够以第三方监督的方式弥合买卖双方的信息不对称，以合格评定的方式树立社会公信力，数字经济和物联网才能蓬勃发展。在自愿性检测和认证的阶段，企业通过第三方合格评定来展示安全服务能力或者产品的安全质量。根据《网络安全法》的要求，未来没有通过安全认证或安全检测的设备和产品将不能在国内市场销售。近期，国家互联网信息办公室协调多个部门根据《网络关键设备安全通用要求》开展了首批安全认证和安全检测，这标志着网络关键设备的安全认证和安全检测正式开花结果。<br> 2018年3月，国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室就联合发布了《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录（第一批）的公告》，确立了16家认证和检测机构。企业可自主选择实施一种第三方评定方式，也即由委托人自行选择具备资格的机构进行安全认证或者安全检测。根据管理职责分工，选择认证方式的网络关键设备和网络安全专用产品，安全认证合格后，由认证机构报国家认证认可监督管理委员会；选择检测方式的网络关键设备，安全检测符合要求后，由检测机构报工业和信息化部；选择检测方式的网络安全专用产品，安全检测符合要求后，由检测机构报公安部。为了整合各部委职责，实现归口管理，最终结果由国家互联网信息办公室汇总三方统一公布。事实上，检测、检验、认证、认可均属于《合格评定 词汇和通用原则》（ISO/IEC17000）所认可的合格评定形式，其中的检测（Testing）是“按照程序确定合格评定对象一个或多个特性的活动”。换而言之，就是依据技术标准和规范，使用仪器设备，进行评价的活动，其评价结果为测试数据。认证（Certification）是“与产品、过程、体系或人员有关的第三方证明”；换而言之，就是指由具备第三方性质的认证机构证明产品、服务、管理体系、人员符合相关标准和技术规范的合格评定活动。为了支撑认证工作的开展，国家认证认可监督管理委员会在2018年还发布了《网络关键设备和网络安全专用产品安全认证实施规则》（CNCA-CCIS-2018），规定了开展网络关键设备和网络安全专用产品安全认证的基本原则和要求。<br> 在《网络安全法》立法过程中，立法部门注意到我国有多个政府部门依据各自职责开展网络相关设备和产品的安全认证和安全检测，产品范围有重复，认证检测的项目有交叉，要求和标准也不统一，致使需要重复认证、检测，造成资源浪费，增加企业负担。统一的市场需要统一的认证机制，网络安全认证也需要对生产者和全社会形成统一的适用口径。针对这种情况，《网络安全法》第二十三条规定，国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。同时，按照《关于发布〈网络关键设备和网络安全专用产品目录（第一批）〉的公告》（国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会公告 2017年第1号）和《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》（国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会公告 2022年第1号）要求，国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会统一发布网络关键设备和网络安全专用产品的安全认证和安全检测结果，有利于掌握、监督和协调各部门之间的职责划分，对社会形成一个权威的信息获取渠道。<br> 面向未来，越来越多的产品和服务将在全国和全球范围内产生数量极多的连接性数字设备，万物互联、数字孪生的数字空间将关系到个人利益、组织利益和国家利益的方方面面，构建以网络关键设备和网络安全专用产品的安全认证和安全检测为代表的安全监督机制，将成为维护网络安全的基本盘的基石。（作者：刘云，清华大学智能法治研究院院长助理、助理研究员）