Expert Interpretation: Ensuring Security Certification and Testing of Critical Network Equipment and Cybersecurity Products to Promote High-Quality Development of the Cybersecurity Industry

近期，国家互联网信息办公室发布首批通过网络关键设备和网络安全专用产品安全认证和安全检测的设备和产品名单，是国家全面推进网络安全认证检测工作，落实《中华人民共和国网络安全法》第二十三条以及《关于发布〈网络关键设备和网络安全专用产品目录（第一批）〉的公告》（国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会公告 2017年第1号）相关要求的重要标志。认证和检测是合格评定的重要内容，也是国家质量基础设施（NQI）中不可或缺的重要组成部分，在国民经济和社会发展中发挥着重要的作用。运用认证和检测的手段对网络关键设备和网络安全专用产品的安全性实施评价，是顺应产业发展需要，保障重要信息系统安全的一项具有重要意义的制度安排。<br> 依据《中华人民共和国网络安全法》第二十三条要求，“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供”。安全认证和安全检测的落实要具备三个关键要素，即实施范围、实施主体和实施依据。2017年6月，国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会四部委发布《网络关键设备和网络安全专用产品目录（第一批）》，确定对4类网络关键设备和11类网络安全专用产品实施安全认证和安全检测，明确了制度实施范围。2018年3月，发布了《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录（第一批）的公告》，明确了实施主体。同年5月，国家认证认可监督管理委员会和国家互联网信息办公室联合发布的《关于网络关键设备和网络安全专用产品安全认证实施要求的公告》中，进一步明确了为安全认证机构提供检测服务的实验室名录。2018年发布的《网络关键设备和网络安全专用产品安全认证实施规则》（CNCA-CCIS-2018），为安全认证的实施提供了依据。2021年，《网络关键设备安全通用要求》（GB 40050-2021）的发布，为网络关键设备安全认证和安全检测的落地，提供了技术标准。<br> 网络关键设备和网络安全专用产品安全认证和安全检测制度的建立，是我国在网络安全领域，依法建立产品认证制度，建设认证体系的卓有成效的尝试。主要体现在以下方面：<br> 一是统一技术标准<br> 网络关键设备和网络安全专用产品安全认证和安全检测，相关管理部门涉及工业和信息化部、公安部、国家认证认可监督管理委员会，在现有相关行政审批、安全认证制度项下，为适应相应领域管理要求，形成了不同的产品标准。在国家互联网信息办公室的协调下，安全认证和安全检测各实施机构使用统一的技术标准对网络关键设备和网络安全专用产品进行安全性评价，为推动安全认证和安全检测结果互认，避免重复认证、检测奠定了基础。<br> 二是有效利用现有认证和检测资源<br> 安全认证和安全检测制度选取了现有相关管理制度项下的认证和检测机构作为实施单位，既充分发挥了专业机构的技术优势，有效利用现有认证和检测资源，又避免了网络安全领域合格评定能力低水平重复建设，为网络关键设备和网络安全专用产品安全认证和安全检测与现有管理制度的协同推进创造了条件。<br> 三是扎实推进安全认证，发挥持续监管作用<br> 网络关键设备和网络安全专用产品安全认证的实施，在产品合规性持续监管方面发挥了重要作用。依据《网络关键设备和网络安全专用产品安全认证实施规则》，认证模式为“型式试验+工厂检查+获证后监督”的认证模式。在型式试验阶段，检测机构对企业提供的样品进行检测，以判断其是否符合标准要求；在工厂检查阶段，认证机构对制造商和生产企业的安全保障能力和质量保证能力进行审核，以判断其是否具备持续生产出符合标准要求的产品的能力；在企业获得认证证书后，证书有效期内，认证机构通过持续的跟踪检查，对获证产品符合性进行监督。<br> 认证作为国际通行的合格评定手段，在产品合规性管理及质量提升方面正发挥着日益重要的作用。对信息技术产品实施安全认证已经成为欧洲、美国等国家和地区网络安全和隐私保护的重要内容。网络关键设备和网络安全专用产品安全认证的实施，为国家对产品的质量监管提供了有力的抓手和重要支撑。（作者：刘思蓉，中国网络安全审查技术与认证中心高级工程师）