Deprecated: Creation of dynamic property db::$querynum is deprecated in /www/wwwroot/www.fengheyule.com/inc/func.php on line 1413

Deprecated: Creation of dynamic property db::$database is deprecated in /www/wwwroot/www.fengheyule.com/inc/func.php on line 1414

Deprecated: Creation of dynamic property db::$Stmt is deprecated in /www/wwwroot/www.fengheyule.com/inc/func.php on line 1453

Deprecated: Creation of dynamic property db::$Sql is deprecated in /www/wwwroot/www.fengheyule.com/inc/func.php on line 1454
专家解读|以网络关键设施安全认证和安全检测维护网络的基本盘_bat365体育官网平台在线登录入口地址
服务热线全国服务热线:

18953388586

新闻资讯

专家解读|以网络关键设施安全认证和安全检测维护网络的基本盘

发布时间:2024-11-27 12:57:28 新闻来源:bat365官网登录入口体育


小型磨面机

  随着信息和通信技术的进化和全领域的数字化转型,公共机构、企业、个人使用的网络产品和信息服务日益增多,网络设备在政务、通信、卫生、能源、金融和运输等重要部门领域中发挥的核心作用也慢慢地加强。数字化和连接性是万物互联时代的网络设备基本属性,也让整个社会更容易遭受网络安全威胁;个别网络设备的漏洞有几率会成为影响网络系统安全的薄弱环节而被利用,网络关键设备则成为网络风险的大多数来自和网络攻击的重点对象,将网络关键设备纳入重点管理对象成为国内外的普遍做法。我国2016年11月颁布的《网络安全法》第二十三条提出了网络关键设施安全认证和安全检测制度,欧盟在2019年4月颁布的《欧洲网络安全法》和美国在2020年12月颁布的《物联网网络安全改进法》也建立了类似的网络安全认证制度。为了落实我国《网络安全法》,国家互联网信息办公室协调多部委开展了一系列贯彻落实工作,网络关键设备的首批安全认证和安全检测结果近日统一公布,该制度的法律实施效果将日益显现。

  网络攻击正在增加,更容易受到网络威胁和攻击的关键领域需要更强大的防御。网络关键设备采取依标生产、安全认证和安全检测制度,在流通销售之前进行产品质量管理,以假定网络攻击发生而在设计和开发的最初阶段采取策略将影响降到最低,由此减少恶意利用造成的危害风险并确保我国网络安全关键领域的稳定有序。根据《网络安全法》《密码法》等法规,网络关键设备已经被列为专门对象来管理。在《网络安全法》第二十三条中,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检查符合标准要求后,方可销售或者提供。在《密码法》第二十六条中,涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检验测试认证合格后,方可销售或者提供。

  2017年6月,国家互联网信息办公室会同工业与信息化部、公安部和国家认证认可监督管理委员会发布了《网络关键设备和网络安全专用产品目录(第一批)》,将4类网络关键设备(路由器、交换机、机架式服务器、PLC设备)和11类网络安全专用产品(数据备份一体机、硬件防火墙、入侵检测、防御系统、安全隔离与信息交换产品、安全数据库等)纳入安全认证和安全检验测试对象,列入目录的设备和产品需要按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检查符合标准要求后,方可销售或者提供。总体而言,第一批产品目录大多分布在在系统组网所必须的IT基础硬件设施,属于国家安全和社会管理的基本需要,也是保障工业互联网安全的主要对象。

  网络关键设备和网络安全专用产品目录在目前只发布了第一批,后续还应当新增其它关涉国家安全和社会管理的基本需要的产品,这也是各国保持网络安全管理弹性的基本做法。为了履行安全义务,相关方应当跟踪《网络关键设备和网络安全专用产品目录》的更新情况。与此同时,无论是对于网络设备的生产者还是相关领域的用户,都应当对自己生产或使用的产品做梳理,判断是否有产品落入《网络关键设备和网络安全专用产品目录》的范围,对此类产品开展专项合规工作。

  技术标准是安全认证和安全检测的评判依据,《欧洲网络安全法》就提出,在准备欧洲网络安全认证计划时,欧盟网络安全局(ENISA)应定期咨询标准化组织,特别是欧洲标准化组织。我国《网络安全法》第二十三条也规定,对网络关键设备和网络安全专用产品依据国家标准强制性要求开展安全认证和安全检测。网络关键设备有标可循,可以划定网络安全的底线,将为落实《网络安全法》关于网络关键设施安全认证和安全检测工作提供重要技术是依据、明确网络关键设备应具备的基本安全能力、为各类网络关键设备制修订推荐性标准提供安全要求框架和指导,最终形成产品生产销售依据和消费购买的辨别指南。

  2021年2月20日,国家市场监督管理总局(国家标准化管理委员会)发布2021年第1号公告,批准了《网络关键设施安全通用要求》(GB 40050-2021),这是我国网络安全领域为数不多的强制性标准之一,将成为网络关键设施安全认证和安全检测的统一规范。

  《网络关键设施安全通用要求》为不一样的网络关键设备建立统一的安全技术方面的要求,可适用于当前和未来的各类网络关键设备,同时更有助于建立统一的安全管理体系。该强制性标准的主要内容有安全功能要求和安全保障要求两个部分。其一,安全功能要求聚焦于保障和提升设备的安全技术能力,最重要的包含设备标识安全、冗余备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全以及密码要求10个部分。其二,安全保障要求聚焦于规范网络关键设备提供者在设备全生命周期的安全保障能力,最重要的包含设计和开发、生产和交付、运行和维护三个环节的要求。以上安全要求形成了网络关键硬件产品的安全治理体系。在智能网联汽车、电子医疗设施、工业自动化控制管理系统和智能电网等领域,网络关键设备的统一要求还将对下游产品研究开发和应用提供显著的便利,为集成应用的开发者提供生产便利。

  认证检测在提高数字世界重要产品和服务的信任度和安全性方面发挥着至关重要的作用,只有公众和各类用户普遍相信此网络关键设备可提供必要的网络安全,能够以第三方监督的方式弥合买卖双方的信息不对称,以合格评定的方式树立社会公信力,数字化的经济和物联网才能蒸蒸日上。在自愿性检测和认证的阶段,企业通过第三方合格评定来展示安全服务能力或者产品的安全质量。根据《网络安全法》的要求,未来没有通过安全认证或安全检查的设备和产品将不能在国内市场销售。近期,国家互联网信息办公室协调多个部门依据《网络关键设施安全通用要求》开展了首批安全认证和安全检测,这标志着网络关键设备的安全认证和安全检测正式开花结果。

  2018年3月,国家认证认可监督管理委员会、工业与信息化部、公安部、国家互联网信息办公室就联合发布了《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》,确立了16家认证和检验测试的机构。企业可自主选择实施一种第三方评定方式,也即由委托人自行选择具备资格的机构进行安全认证或者安全检查。根据管理职责分工,选择认证方式的网络关键设备和网络安全专用产品,安全认证合格后,由认证机构报国家认证认可监督管理委员会;选择检测方式的网络关键设备,安全检测符合标准要求后,由检验测试的机构报工业与信息化部;选择检测方式的网络安全专用产品,安全检查符合标准要求后,由检验测试的机构报公安部。为了整合各部委职责,实现归口管理,最终结果由国家互联网信息办公室汇总三方统一公布。事实上,检测、检验、认证、认可均属于《合格评定 词汇和通用原则》(ISO/IEC17000)所认可的合格评定形式,其中的检测(Testing)是“按照程序确定合格评定对象一个或多个特性的活动”。换而言之,就是依据技术标准和规范,使用仪器设施,进行评价的活动,其评价结果为测试数据。认证(Certification)是“与产品、过程、体系或人员有关的第三方证明”;换而言之,就是指由具备第三方性质的认证机构证明产品、服务、管理体系、人员符合有关标准和技术规范的合格评定活动。为了支撑认证工作的开展,国家认证认可监督管理委员会在2018年还发布了《网络关键设备和网络安全专用产品安全认证实施规则》(CNCA-CCIS-2018),规定了开展网络关键设备和网络安全专用产品安全认证的根本原则和要求。

  在《网络安全法》立法过程中,立法部门注意到我国有多个政府部门依据各自职责开展网络相关设备和产品的安全认证和安全检测,产品范围有重复,认证检测的项目有交叉,要求和标准也不统一,致使需要重复认证、检测,造成资源浪费,增加企业负担。统一的市场需要统一的认证机制,网络安全认证也需要对生产者和全社会形成统一的适用口径。针对这样的一种情况,《网络安全法》第二十三条规定,国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。同时,按照《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(国家互联网信息办公室、工业与信息化部、公安部、国家认证认可监督管理委员会公告 2017年第1号)和《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》(国家互联网信息办公室、工业与信息化部、公安部、国家认证认可监督管理委员会公告 2022年第1号)要求,国家互联网信息办公室会同工业与信息化部、公安部、国家认证认可监督管理委员会统一发布网络关键设备和网络安全专用产品的安全认证和安全检测结果,有利于掌握、监督和协调各部门之间的职责划分,对社会形成一个权威的信息获取渠道。

  面向未来,慢慢的变多的产品和服务将在全国和全世界内产生数量极多的连接性数字设备,万物互联、数字孪生的数字空间将关系到个人利益、组织利益和国家利益的方方面面,构建以网络关键设备和网络安全专用产品的安全认证和安全检测为代表的安全监督机制,将成为维护网络安全的基本盘的基石。(作者:刘云,清华大学智能法治研究院院长助理、助理研究员)

上一篇:强能力 壮链条——“三夏”小麦加工产业探访

下一篇:5000元预算买哪款笔记本?2024性价比前五的笔记本引荐

  • bat365在线平台官网地址 联系人:沈经理 手机:18953388586 地址:山东省山东省