強(qiáng)制性國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》發(fā)布:網(wǎng)絡(luò)關(guān)鍵設(shè)備合規(guī)要點(diǎn) |
||||||||||||||||||||||||||||||||||||
來(lái)源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2021-03-04 瀏覽次數(shù): | ||||||||||||||||||||||||||||||||||||
信息來(lái)源:Freebuf
近日,強(qiáng)制性國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》(GB 40050-2021)發(fā)布?!毒W(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》是網(wǎng)絡(luò)安全領(lǐng)域少數(shù)強(qiáng)制性標(biāo)準(zhǔn)之一,相對(duì)于推薦性國(guó)家標(biāo)準(zhǔn)更加值得關(guān)注。 一、網(wǎng)絡(luò)關(guān)鍵設(shè)備的定義與范圍鑒于網(wǎng)絡(luò)關(guān)鍵設(shè)備的特殊性,識(shí)別網(wǎng)絡(luò)產(chǎn)品是否屬于網(wǎng)絡(luò)關(guān)鍵設(shè)備就成為了關(guān)鍵性的第一步。 根據(jù)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》3.7中的定義,網(wǎng)絡(luò)關(guān)鍵設(shè)備(critical network device)是指支持聯(lián)網(wǎng)功能,在同類網(wǎng)絡(luò)設(shè)備中具有較高性能的設(shè)備,通常用于重要網(wǎng)絡(luò)節(jié)點(diǎn)、重要部位或重要系統(tǒng)中,一旦遭到破壞,可能引發(fā)重大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。具體而言是指相關(guān)性能符合《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》中規(guī)定的范圍。 早在2017年6月《網(wǎng)絡(luò)安全法》生效伊始,國(guó)家互聯(lián)網(wǎng)信息辦公室、工信部、公安部、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)就聯(lián)合發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)》:
盡管四部委公布了目錄,但目錄中同一產(chǎn)品范圍項(xiàng)下的不同門檻是“和”還是“或”并不清晰,需要實(shí)踐中逐漸予以明確。另外隨著技術(shù)的發(fā)展,后續(xù)四部委可能還會(huì)就網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄進(jìn)行更新或擴(kuò)充。 關(guān)于《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的效力,在“張?chǎng)?、陳天明、張朝榮等提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具案”中((2018)浙0602刑初101號(hào)),浙江省紹興市越城區(qū)人民法院進(jìn)行過認(rèn)定: 《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》公布的目的在于加強(qiáng)對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全管理,該目錄項(xiàng)下的網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專用產(chǎn)品類別須經(jīng)過具有相關(guān)資質(zhì)的認(rèn)定機(jī)構(gòu)按照國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求進(jìn)行安全認(rèn)證后方可對(duì)外提供、銷售,該目錄的公布不具有規(guī)定“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品是什么”或“目錄之外均不屬于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品”的內(nèi)在意旨,更非對(duì)“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施”作出定義式限定。 因此,在關(guān)于網(wǎng)絡(luò)安全產(chǎn)品銷售的司法實(shí)踐中,對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的認(rèn)定可能會(huì)遵循更寬的尺度,需要在具體案件的實(shí)務(wù)中予以特別關(guān)注。 二、法律義務(wù)網(wǎng)絡(luò)關(guān)鍵設(shè)備遵守國(guó)家強(qiáng)制性標(biāo)準(zhǔn)是一項(xiàng)重要的法律義務(wù),《網(wǎng)絡(luò)安全法》第23條明確規(guī)定: 網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求,由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷售或者提供。國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn),避免重復(fù)認(rèn)證、檢測(cè)。 概言之,網(wǎng)絡(luò)關(guān)鍵設(shè)備的銷售需要遵循以下流程:
《密碼法》第26條也規(guī)定: 涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的商用密碼產(chǎn)品,應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,由具備資格的機(jī)構(gòu)檢測(cè)認(rèn)證合格后,方可銷售或者提供。商用密碼產(chǎn)品檢測(cè)認(rèn)證適用《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定,避免重復(fù)檢測(cè)認(rèn)證。 商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的,應(yīng)當(dāng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)對(duì)該商用密碼服務(wù)認(rèn)證合格。 可見,后續(xù)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄的更新,可能會(huì)將更多的商用密碼產(chǎn)品列入其中。 三、基本要求在《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》中主要分為“安全功能要求”與“安全保障要求”兩個(gè)大類:
在合規(guī)的角度,《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》不僅是開發(fā)工作中的具體要求,也可以作為合規(guī)工作中需要逐一勾選的清單。 在《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》中,尤其值得關(guān)注關(guān)于運(yùn)營(yíng)和維護(hù)的要求,因?yàn)椴糠滞ㄐ女a(chǎn)品已經(jīng)呈現(xiàn)出運(yùn)維費(fèi)用超過設(shè)備本身費(fèi)用的現(xiàn)象,運(yùn)維的質(zhì)量甚至企業(yè)獲取訂單的關(guān)鍵要素,所以注定網(wǎng)絡(luò)關(guān)鍵設(shè)備的銷售不是“一錘子買賣”,需要關(guān)注網(wǎng)絡(luò)關(guān)鍵設(shè)備運(yùn)維的合規(guī)。而運(yùn)維中最為敏感的就是遠(yuǎn)程運(yùn)維,可能直接涉及到產(chǎn)品“后門”的問題,在《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》中對(duì)遠(yuǎn)程運(yùn)維有明確要求: 明示維護(hù)內(nèi)容、風(fēng)險(xiǎn)以及應(yīng)對(duì)措施; 留存不可更改的遠(yuǎn)程維護(hù)日志記錄; 記錄內(nèi)容至少包括維護(hù)時(shí)間、維護(hù)內(nèi)容、維護(hù)人員、遠(yuǎn)程運(yùn)維的方式與工具; 獲得用戶授權(quán)并留存授權(quán)記錄;并且 支持用戶中止遠(yuǎn)程維護(hù)。 四、安全認(rèn)證網(wǎng)絡(luò)關(guān)鍵設(shè)備的銷售,除了符合強(qiáng)制性國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》,還需要通過安全認(rèn)證。早在2018年6月,國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)就發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實(shí)施規(guī)則》。該規(guī)則將認(rèn)證模式分為型式試驗(yàn)、工廠檢查與獲證后監(jiān)督三個(gè)階段: 型式試驗(yàn)采取抽檢模式,一般每種產(chǎn)品抽樣2套,如有特殊需求會(huì)增加樣品數(shù)量。 工廠檢查一般每個(gè)場(chǎng)所為2至6個(gè)人日,會(huì)重點(diǎn)關(guān)注:(1)標(biāo)注的一致性;(2)生產(chǎn)場(chǎng)所產(chǎn)品與型式試驗(yàn)產(chǎn)品的一致性;以及(3)是否違規(guī)使用認(rèn)證標(biāo)識(shí)。 獲證后監(jiān)督通常會(huì)以每年一次的頻率進(jìn)行,并且可能采取“飛行檢查”的模式在不提前通知的情況下進(jìn)行抽檢。 設(shè)備通過安全認(rèn)證以后,可以獲得認(rèn)證證書,有效期為5年。在通過認(rèn)證產(chǎn)品的本體銘牌應(yīng)加施認(rèn)證標(biāo)志,如果是軟件產(chǎn)品,則應(yīng)當(dāng)在軟件外包裝或《許可協(xié)議》中顯著加施使用標(biāo)注:
根據(jù)2018年6月發(fā)布的《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測(cè)任務(wù)的機(jī)構(gòu)名錄(第一批)》,目前可以承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測(cè)任務(wù)機(jī)構(gòu)包括:
五、合規(guī)步驟與要點(diǎn)根據(jù)我們的經(jīng)驗(yàn),網(wǎng)絡(luò)關(guān)鍵設(shè)備合規(guī)工作可以從以下幾方面入手: 1.梳理產(chǎn)品目錄無(wú)論是對(duì)于網(wǎng)絡(luò)設(shè)備的生產(chǎn)者還是相關(guān)領(lǐng)域的用戶,都應(yīng)當(dāng)對(duì)自己生產(chǎn)或使用的產(chǎn)品進(jìn)行梳理,判斷是否有產(chǎn)品落入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的范圍,對(duì)此類產(chǎn)品開展專項(xiàng)合規(guī)工作。 在此基礎(chǔ)上,跟蹤《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的更新情況,一旦目錄更新,及時(shí)調(diào)整自身的合規(guī)目錄。 2.產(chǎn)品合規(guī)對(duì)于網(wǎng)絡(luò)關(guān)鍵設(shè)備生產(chǎn)者,需要從設(shè)計(jì)環(huán)節(jié)伊始,就將國(guó)家標(biāo)準(zhǔn)的要求嵌入產(chǎn)品中。在功能與形式上達(dá)到國(guó)家標(biāo)準(zhǔn)的要求,并且通過文件讓產(chǎn)品的合規(guī)性可以被驗(yàn)證。 對(duì)于網(wǎng)絡(luò)關(guān)鍵設(shè)備的用戶,也需要采購(gòu)部門及時(shí)更新供應(yīng)商名錄,對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備的采購(gòu)僅針對(duì)通過認(rèn)證的產(chǎn)品開放。此外也需要網(wǎng)絡(luò)關(guān)鍵設(shè)備用戶的法務(wù)部門將國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》落實(shí)到采購(gòu)協(xié)議內(nèi)產(chǎn)品質(zhì)量相關(guān)的條款中。 3.安全認(rèn)證對(duì)于網(wǎng)絡(luò)關(guān)鍵設(shè)備生產(chǎn)者,通過安全認(rèn)證是不可或缺的環(huán)節(jié),需要及時(shí)申請(qǐng)、完成認(rèn)證。在完成認(rèn)證后,還應(yīng)當(dāng)在產(chǎn)品銘牌、包裝或用戶協(xié)議等合適位置準(zhǔn)確進(jìn)行標(biāo)識(shí)。 除了應(yīng)當(dāng)完成安全認(rèn)證并準(zhǔn)確標(biāo)識(shí),網(wǎng)絡(luò)關(guān)鍵設(shè)備生產(chǎn)者還應(yīng)當(dāng)做好安全認(rèn)證通過后應(yīng)對(duì)“飛行檢查”的準(zhǔn)備工作。網(wǎng)絡(luò)關(guān)鍵設(shè)備生產(chǎn)者可以通過演練模擬飛行檢查,幫助從前臺(tái)接待到生產(chǎn)現(xiàn)場(chǎng)的每個(gè)環(huán)節(jié)做好準(zhǔn)備,形成預(yù)案。 史宇航:法學(xué)博士,執(zhí)業(yè)律師,注冊(cè)信息安全專業(yè)人員(CISP),注冊(cè)信息隱私管理人員(CIPM),匯業(yè)律師事務(wù)所顧問律師。主要執(zhí)業(yè)方向是網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)。
|
||||||||||||||||||||||||||||||||||||
上一篇:用戶賬戶被劫持,微軟披露價(jià)值50000美金的新漏洞 下一篇:2021年3月4日聚銘安全速遞 |