信息來源：Freebuf

近日，強制性國家標準《網(wǎng)絡關鍵設備安全通用要求》（GB 40050-2021）發(fā)布?！毒W(wǎng)絡關鍵設備安全通用要求》是網(wǎng)絡安全領域少數(shù)強制性標準之一，相對于推薦性國家標準更加值得關注。

一、網(wǎng)絡關鍵設備的定義與范圍

鑒于網(wǎng)絡關鍵設備的特殊性，識別網(wǎng)絡產(chǎn)品是否屬于網(wǎng)絡關鍵設備就成為了關鍵性的第一步。

根據(jù)《網(wǎng)絡關鍵設備安全通用要求》3.7中的定義，網(wǎng)絡關鍵設備（critical network device）是指支持聯(lián)網(wǎng)功能，在同類網(wǎng)絡設備中具有較高性能的設備，通常用于重要網(wǎng)絡節(jié)點、重要部位或重要系統(tǒng)中，一旦遭到破壞，可能引發(fā)重大網(wǎng)絡安全風險。具體而言是指相關性能符合《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》中規(guī)定的范圍。

早在2017年6月《網(wǎng)絡安全法》生效伊始，國家互聯(lián)網(wǎng)信息辦公室、工信部、公安部、國家認證認可監(jiān)督管理委員會就聯(lián)合發(fā)布了《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄（第一批）》：

設備或產(chǎn)品類別	范圍
1.路由器	整系統(tǒng)吞吐量（雙向）≥12Tbps 整系統(tǒng)路由表容量≥55萬條
2.交換機	整系統(tǒng)吞吐量（雙向）≥30Tbps 整系統(tǒng)包轉發(fā)率大于等于10Gpps
3.服務器（機架式）	CPU數(shù)量≥8個 單CPU內(nèi)核數(shù)≥14個 內(nèi)存容量≥256GB
4.可編程邏輯控制器（PLC設備）	控制器指令執(zhí)行時間≤0.08微秒

盡管四部委公布了目錄，但目錄中同一產(chǎn)品范圍項下的不同門檻是“和”還是“或”并不清晰，需要實踐中逐漸予以明確。另外隨著技術的發(fā)展，后續(xù)四部委可能還會就網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄進行更新或擴充。

關于《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的效力，在“張鑫、陳天明、張朝榮等提供侵入、非法控制計算機信息系統(tǒng)程序、工具案”中（（2018）浙0602刑初101號），浙江省紹興市越城區(qū)人民法院進行過認定：

《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》公布的目的在于加強對網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的安全管理，該目錄項下的網(wǎng)絡關鍵設備、網(wǎng)絡安全專用產(chǎn)品類別須經(jīng)過具有相關資質(zhì)的認定機構按照國家標準的強制性要求進行安全認證后方可對外提供、銷售，該目錄的公布不具有規(guī)定“網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品是什么”或“目錄之外均不屬于網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品”的內(nèi)在意旨，更非對“計算機信息系統(tǒng)安全保護措施”作出定義式限定。

因此，在關于網(wǎng)絡安全產(chǎn)品銷售的司法實踐中，對網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的認定可能會遵循更寬的尺度，需要在具體案件的實務中予以特別關注。

二、法律義務

網(wǎng)絡關鍵設備遵守國家強制性標準是一項重要的法律義務，《網(wǎng)絡安全法》第23條明確規(guī)定：

網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網(wǎng)信部門會同國務院有關部門制定、公布網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。

概言之，網(wǎng)絡關鍵設備的銷售需要遵循以下流程：

《密碼法》第26條也規(guī)定：

涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品，應當依法列入網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄，由具備資格的機構檢測認證合格后，方可銷售或者提供。商用密碼產(chǎn)品檢測認證適用《中華人民共和國網(wǎng)絡安全法》的有關規(guī)定，避免重復檢測認證。

商用密碼服務使用網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品的，應當經(jīng)商用密碼認證機構對該商用密碼服務認證合格。

可見，后續(xù)網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄的更新，可能會將更多的商用密碼產(chǎn)品列入其中。

三、基本要求

在《網(wǎng)絡關鍵設備安全通用要求》中主要分為“安全功能要求”與“安全保障要求”兩個大類：

在合規(guī)的角度，《網(wǎng)絡關鍵設備安全通用要求》不僅是開發(fā)工作中的具體要求，也可以作為合規(guī)工作中需要逐一勾選的清單。

在《網(wǎng)絡關鍵設備安全通用要求》中，尤其值得關注關于運營和維護的要求，因為部分通信產(chǎn)品已經(jīng)呈現(xiàn)出運維費用超過設備本身費用的現(xiàn)象，運維的質(zhì)量甚至企業(yè)獲取訂單的關鍵要素，所以注定網(wǎng)絡關鍵設備的銷售不是“一錘子買賣”，需要關注網(wǎng)絡關鍵設備運維的合規(guī)。而運維中最為敏感的就是遠程運維，可能直接涉及到產(chǎn)品“后門”的問題，在《網(wǎng)絡關鍵設備安全通用要求》中對遠程運維有明確要求：

明示維護內(nèi)容、風險以及應對措施；

留存不可更改的遠程維護日志記錄；

記錄內(nèi)容至少包括維護時間、維護內(nèi)容、維護人員、遠程運維的方式與工具；

獲得用戶授權并留存授權記錄；并且

支持用戶中止遠程維護。

四、安全認證

網(wǎng)絡關鍵設備的銷售，除了符合強制性國家標準《網(wǎng)絡關鍵設備安全通用要求》，還需要通過安全認證。早在2018年6月，國家認證認可監(jiān)督管理委員會就發(fā)布了《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證實施規(guī)則》。該規(guī)則將認證模式分為型式試驗、工廠檢查與獲證后監(jiān)督三個階段：

型式試驗采取抽檢模式，一般每種產(chǎn)品抽樣2套，如有特殊需求會增加樣品數(shù)量。

工廠檢查一般每個場所為2至6個人日，會重點關注：（1）標注的一致性；（2）生產(chǎn)場所產(chǎn)品與型式試驗產(chǎn)品的一致性；以及（3）是否違規(guī)使用認證標識。

獲證后監(jiān)督通常會以每年一次的頻率進行，并且可能采取“飛行檢查”的模式在不提前通知的情況下進行抽檢。

設備通過安全認證以后，可以獲得認證證書，有效期為5年。在通過認證產(chǎn)品的本體銘牌應加施認證標志，如果是軟件產(chǎn)品，則應當在軟件外包裝或《許可協(xié)議》中顯著加施使用標注：

根據(jù)2018年6月發(fā)布的《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品安全認證和安全檢測任務的機構名錄（第一批）》，目前可以承擔網(wǎng)絡關鍵設備安全認證和安全檢測任務機構包括：

機構名稱	網(wǎng)址
中國信息安全認證中心	www.isccc.gov.cn
中國信息通信研究院/中國泰爾實驗室	www.caict.ac.cn
國家計算機網(wǎng)絡與信息安全管理中心	www.cert.org.cn
國家工業(yè)控制系統(tǒng)與產(chǎn)品安全質(zhì)量監(jiān)督檢驗中心	www.etiri.org.cn
中國電子技術標準化研究院賽西實驗室	www.cesi.cn
工業(yè)和信息化部電子第五研究所	www.ceprei.com
信息產(chǎn)業(yè)數(shù)據(jù)通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心	www.chinawllc.com
國家電話交換機質(zhì)量監(jiān)督檢驗中心	www.fritt.com.cn
信息產(chǎn)業(yè)無線通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心	www.radio-qtc.com
信息產(chǎn)業(yè)有線通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心	www.cdtr-lab.cn
信息產(chǎn)業(yè)光通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心	lab.wri.com.cn
信息產(chǎn)業(yè)廣州電話交換設備質(zhì)量監(jiān)督檢驗中心	www.mctc.org.cn

五、合規(guī)步驟與要點

根據(jù)我們的經(jīng)驗，網(wǎng)絡關鍵設備合規(guī)工作可以從以下幾方面入手：

1.梳理產(chǎn)品目錄

無論是對于網(wǎng)絡設備的生產(chǎn)者還是相關領域的用戶，都應當對自己生產(chǎn)或使用的產(chǎn)品進行梳理，判斷是否有產(chǎn)品落入《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的范圍，對此類產(chǎn)品開展專項合規(guī)工作。

在此基礎上，跟蹤《網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄》的更新情況，一旦目錄更新，及時調(diào)整自身的合規(guī)目錄。

2.產(chǎn)品合規(guī)

對于網(wǎng)絡關鍵設備生產(chǎn)者，需要從設計環(huán)節(jié)伊始，就將國家標準的要求嵌入產(chǎn)品中。在功能與形式上達到國家標準的要求，并且通過文件讓產(chǎn)品的合規(guī)性可以被驗證。

對于網(wǎng)絡關鍵設備的用戶，也需要采購部門及時更新供應商名錄，對網(wǎng)絡關鍵設備的采購僅針對通過認證的產(chǎn)品開放。此外也需要網(wǎng)絡關鍵設備用戶的法務部門將國家標準《網(wǎng)絡關鍵設備安全通用要求》落實到采購協(xié)議內(nèi)產(chǎn)品質(zhì)量相關的條款中。

3.安全認證

對于網(wǎng)絡關鍵設備生產(chǎn)者，通過安全認證是不可或缺的環(huán)節(jié)，需要及時申請、完成認證。在完成認證后，還應當在產(chǎn)品銘牌、包裝或用戶協(xié)議等合適位置準確進行標識。

除了應當完成安全認證并準確標識，網(wǎng)絡關鍵設備生產(chǎn)者還應當做好安全認證通過后應對“飛行檢查”的準備工作。網(wǎng)絡關鍵設備生產(chǎn)者可以通過演練模擬飛行檢查，幫助從前臺接待到生產(chǎn)現(xiàn)場的每個環(huán)節(jié)做好準備，形成預案。

史宇航：法學博士，執(zhí)業(yè)律師，注冊信息安全專業(yè)人員（CISP），注冊信息隱私管理人員（CIPM），匯業(yè)律師事務所顧問律師。主要執(zhí)業(yè)方向是網(wǎng)絡安全與數(shù)據(jù)保護。