网络关键设备和网络安全专用产品安全认证简述*

刘思蓉，申永波，崔 颖

(中国网络安全审查技术与认证中心，北京 100020)

0 引言

网络关键设备和网络安全专用产品安全认证是我国网络安全保障体系的一项基础性工作，也是落实《中华人民共和国网络安全法》相关要求的一项重要工作。实施网络关键设备和网络安全专用产品安全认证，将为新时代建设有中国特色网络安全保障体系，有效提升国家网络安全保障能力起到重要作用。

1 认证体系的建立

1.1 产品目录

2017年6月1日，国家网信办、工业和信息化部、公安部、国家认监委联合发布了《关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》(2017年第1号，以下简称“1号公告”)，路由器、交换机等4类网络关键设备，以及数据备份一体机、防火墙(硬件)等11类网络安全专用产品列入目录。1号公告目录中对网络关键设备和网络安全专用产品的界定包括类别和范围，其中，“范围”中列出了部分技术指标参数。

1.2 实施机构

2018年3月15日，国家认监委、工业和信息化部、公安部、国家网信办联合发布了《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》(2018年第12号)，指定中国信息安全认证中心(现已更名为“中国网络安全审查技术与认证中心”，以下简称“网安中心”)承担网络关键设备和网络安全专用产品安全认证工作。

根据国家认监委和国家网信办于2018年5月30日发布的《关于网络关键设备和网络安全专用产品安全认证实施要求的公告》(2018年第24号，以下简称“24号公告”)，安全认证相关检测工作由信息产业信息安全测评中心、国家保密科技测评中心、公安部计算机信息系统安全产品质量监督检验中心、国家密码管理局商用密码检测中心、中国信息安全测评中心信息安全实验室、北京信息安全测评中心、上海市信息安全测评认证中心、国家信息技术安全研究中心信息安全特种技术检测实验室等8家实验室承担。

1.3 实施要求

根据24号公告，安全认证由认证机构(即网安中心)依据《网络关键设备和网络安全专用产品安全认证实施规则》(CNCA-CCIS-2018，以下简称“实施规则”)实施，1号公告目录内产品如已获得认证机构颁发的产品认证证书且在有效期内的，相关生产企业可直接申请换发安全认证证书。认证机构将认证结果依照相关规定报国家认监委。

实施规则由国家认监委于2018年6月27日发布，自发布之日起实施。

2 认证的实施

2.1 认证模式

网络关键设备和网络安全专用产品安全认证沿用了现有认证制度的认证模式，即“型式试验+工厂检查+获证后监督”。

2.2 采用标准

安全认证采用的标准是我国自主制定的针对具体产品的国家标准。部分产品依据的国家标准如表1所示。

表1 部分产品依据的国家标准

2.3 实施现状

2018年8月2日，网安中心颁发了第一张“网络关键设备和网络安全专用产品安全认证证书”，截至2018年底，共颁发证书30张。覆盖了防火墙、入侵检测系统、安全审计、网闸等产品类别。

网络关键设备和网络安全专用产品安全认证体系建立在现有国家信息安全产品认证制度基础上，在认证模式、认证流程、依据标准、认证标志等方面保持一致和同步。同时符合1号公告目录及国家信息安全产品认证目录界定范围的产品，通过统一的认证平台提交认证申请，通过认证评价后，即可获得带有“网络关键设备和网络安全专用产品安全认证”及“中国国家信息安全产品认证”标识的认证证书，并加施统一的认证标志。相关产品如已获得认证机构颁发的有效产品认证证书，可直接申请换发安全认证证书。这样的认证体系安排既有助于认证制度顺利衔接过渡，又能有效减少重复检测认证，减轻企业负担。

3 结语

《网络安全法》的颁布实施，将网络安全认证制度上升到法律的层面，为网络安全认证认可体系的有效运行和持续完善提出了更高的要求。做好网络关键设备和网络安全专用产品安全认证的实施工作，有助于推进完善统一的国家网络安全认证体系建设，逐步消除重复评价、重复发证，不断巩固网络安全认证认可工作在我国网络安全保障体系中的基础性技术支撑地位。