信息來源：Freebuf

近日，強(qiáng)制性國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》（GB 40050-2021）發(fā)布?！毒W(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》是網(wǎng)絡(luò)安全領(lǐng)域少數(shù)強(qiáng)制性標(biāo)準(zhǔn)之一，相對于推薦性國家標(biāo)準(zhǔn)更加值得關(guān)注。

一、網(wǎng)絡(luò)關(guān)鍵設(shè)備的定義與范圍

鑒于網(wǎng)絡(luò)關(guān)鍵設(shè)備的特殊性，識別網(wǎng)絡(luò)產(chǎn)品是否屬于網(wǎng)絡(luò)關(guān)鍵設(shè)備就成為了關(guān)鍵性的第一步。

根據(jù)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》3.7中的定義，網(wǎng)絡(luò)關(guān)鍵設(shè)備（critical network device）是指支持聯(lián)網(wǎng)功能，在同類網(wǎng)絡(luò)設(shè)備中具有較高性能的設(shè)備，通常用于重要網(wǎng)絡(luò)節(jié)點(diǎn)、重要部位或重要系統(tǒng)中，一旦遭到破壞，可能引發(fā)重大網(wǎng)絡(luò)安全風(fēng)險。具體而言是指相關(guān)性能符合《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》中規(guī)定的范圍。

早在2017年6月《網(wǎng)絡(luò)安全法》生效伊始，國家互聯(lián)網(wǎng)信息辦公室、工信部、公安部、國家認(rèn)證認(rèn)可監(jiān)督管理委員會就聯(lián)合發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》：

盡管四部委公布了目錄，但目錄中同一產(chǎn)品范圍項(xiàng)下的不同門檻是“和”還是“或”并不清晰，需要實(shí)踐中逐漸予以明確。另外隨著技術(shù)的發(fā)展，后續(xù)四部委可能還會就網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄進(jìn)行更新或擴(kuò)充。

關(guān)于《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的效力，在“張鑫、陳天明、張朝榮等提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具案”中（（2018）浙0602刑初101號），浙江省紹興市越城區(qū)人民法院進(jìn)行過認(rèn)定：

《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》公布的目的在于加強(qiáng)對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全管理，該目錄項(xiàng)下的網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專用產(chǎn)品類別須經(jīng)過具有相關(guān)資質(zhì)的認(rèn)定機(jī)構(gòu)按照國家標(biāo)準(zhǔn)的強(qiáng)制性要求進(jìn)行安全認(rèn)證后方可對外提供、銷售，該目錄的公布不具有規(guī)定“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品是什么”或“目錄之外均不屬于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品”的內(nèi)在意旨，更非對“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施”作出定義式限定。

因此，在關(guān)于網(wǎng)絡(luò)安全產(chǎn)品銷售的司法實(shí)踐中，對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的認(rèn)定可能會遵循更寬的尺度，需要在具體案件的實(shí)務(wù)中予以特別關(guān)注。

二、法律義務(wù)

網(wǎng)絡(luò)關(guān)鍵設(shè)備遵守國家強(qiáng)制性標(biāo)準(zhǔn)是一項(xiàng)重要的法律義務(wù)，《網(wǎng)絡(luò)安全法》第23條明確規(guī)定：

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測符合要求后，方可銷售或者提供。國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，并推動安全認(rèn)證和安全檢測結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測。

概言之，網(wǎng)絡(luò)關(guān)鍵設(shè)備的銷售需要遵循以下流程：

《密碼法》第26條也規(guī)定：

涉及國家安全、國計(jì)民生、社會公共利益的商用密碼產(chǎn)品，應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，由具備資格的機(jī)構(gòu)檢測認(rèn)證合格后，方可銷售或者提供。商用密碼產(chǎn)品檢測認(rèn)證適用《中華人民共和國網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定，避免重復(fù)檢測認(rèn)證。

商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的，應(yīng)當(dāng)經(jīng)商用密碼認(rèn)證機(jī)構(gòu)對該商用密碼服務(wù)認(rèn)證合格。

可見，后續(xù)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄的更新，可能會將更多的商用密碼產(chǎn)品列入其中。

三、基本要求

在《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》中主要分為“安全功能要求”與“安全保障要求”兩個大類：

在合規(guī)的角度，《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》不僅是開發(fā)工作中的具體要求，也可以作為合規(guī)工作中需要逐一勾選的清單。

在《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》中，尤其值得關(guān)注關(guān)于運(yùn)營和維護(hù)的要求，因?yàn)椴糠滞ㄐ女a(chǎn)品已經(jīng)呈現(xiàn)出運(yùn)維費(fèi)用超過設(shè)備本身費(fèi)用的現(xiàn)象，運(yùn)維的質(zhì)量甚至企業(yè)獲取訂單的關(guān)鍵要素，所以注定網(wǎng)絡(luò)關(guān)鍵設(shè)備的銷售不是“一錘子買賣”，需要關(guān)注網(wǎng)絡(luò)關(guān)鍵設(shè)備運(yùn)維的合規(guī)。而運(yùn)維中最為敏感的就是遠(yuǎn)程運(yùn)維，可能直接涉及到產(chǎn)品“后門”的問題，在《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》中對遠(yuǎn)程運(yùn)維有明確要求：

明示維護(hù)內(nèi)容、風(fēng)險以及應(yīng)對措施；

留存不可更改的遠(yuǎn)程維護(hù)日志記錄；

記錄內(nèi)容至少包括維護(hù)時間、維護(hù)內(nèi)容、維護(hù)人員、遠(yuǎn)程運(yùn)維的方式與工具；

獲得用戶授權(quán)并留存授權(quán)記錄；并且

支持用戶中止遠(yuǎn)程維護(hù)。

四、安全認(rèn)證

網(wǎng)絡(luò)關(guān)鍵設(shè)備的銷售，除了符合強(qiáng)制性國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》，還需要通過安全認(rèn)證。早在2018年6月，國家認(rèn)證認(rèn)可監(jiān)督管理委員會就發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實(shí)施規(guī)則》。該規(guī)則將認(rèn)證模式分為型式試驗(yàn)、工廠檢查與獲證后監(jiān)督三個階段：

型式試驗(yàn)采取抽檢模式，一般每種產(chǎn)品抽樣2套，如有特殊需求會增加樣品數(shù)量。

工廠檢查一般每個場所為2至6個人日，會重點(diǎn)關(guān)注：（1）標(biāo)注的一致性；（2）生產(chǎn)場所產(chǎn)品與型式試驗(yàn)產(chǎn)品的一致性；以及（3）是否違規(guī)使用認(rèn)證標(biāo)識。

獲證后監(jiān)督通常會以每年一次的頻率進(jìn)行，并且可能采取“飛行檢查”的模式在不提前通知的情況下進(jìn)行抽檢。

設(shè)備通過安全認(rèn)證以后，可以獲得認(rèn)證證書，有效期為5年。在通過認(rèn)證產(chǎn)品的本體銘牌應(yīng)加施認(rèn)證標(biāo)志，如果是軟件產(chǎn)品，則應(yīng)當(dāng)在軟件外包裝或《許可協(xié)議》中顯著加施使用標(biāo)注：

根據(jù)2018年6月發(fā)布的《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測任務(wù)的機(jī)構(gòu)名錄（第一批）》，目前可以承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測任務(wù)機(jī)構(gòu)包括：

五、合規(guī)步驟與要點(diǎn)

根據(jù)我們的經(jīng)驗(yàn)，網(wǎng)絡(luò)關(guān)鍵設(shè)備合規(guī)工作可以從以下幾方面入手：

1.梳理產(chǎn)品目錄

無論是對于網(wǎng)絡(luò)設(shè)備的生產(chǎn)者還是相關(guān)領(lǐng)域的用戶，都應(yīng)當(dāng)對自己生產(chǎn)或使用的產(chǎn)品進(jìn)行梳理，判斷是否有產(chǎn)品落入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的范圍，對此類產(chǎn)品開展專項(xiàng)合規(guī)工作。

在此基礎(chǔ)上，跟蹤《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的更新情況，一旦目錄更新，及時調(diào)整自身的合規(guī)目錄。

2.產(chǎn)品合規(guī)

對于網(wǎng)絡(luò)關(guān)鍵設(shè)備生產(chǎn)者，需要從設(shè)計(jì)環(huán)節(jié)伊始，就將國家標(biāo)準(zhǔn)的要求嵌入產(chǎn)品中。在功能與形式上達(dá)到國家標(biāo)準(zhǔn)的要求，并且通過文件讓產(chǎn)品的合規(guī)性可以被驗(yàn)證。

對于網(wǎng)絡(luò)關(guān)鍵設(shè)備的用戶，也需要采購部門及時更新供應(yīng)商名錄，對網(wǎng)絡(luò)關(guān)鍵設(shè)備的采購僅針對通過認(rèn)證的產(chǎn)品開放。此外也需要網(wǎng)絡(luò)關(guān)鍵設(shè)備用戶的法務(wù)部門將國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》落實(shí)到采購協(xié)議內(nèi)產(chǎn)品質(zhì)量相關(guān)的條款中。

3.安全認(rèn)證

對于網(wǎng)絡(luò)關(guān)鍵設(shè)備生產(chǎn)者，通過安全認(rèn)證是不可或缺的環(huán)節(jié)，需要及時申請、完成認(rèn)證。在完成認(rèn)證后，還應(yīng)當(dāng)在產(chǎn)品銘牌、包裝或用戶協(xié)議等合適位置準(zhǔn)確進(jìn)行標(biāo)識。

除了應(yīng)當(dāng)完成安全認(rèn)證并準(zhǔn)確標(biāo)識，網(wǎng)絡(luò)關(guān)鍵設(shè)備生產(chǎn)者還應(yīng)當(dāng)做好安全認(rèn)證通過后應(yīng)對“飛行檢查”的準(zhǔn)備工作。網(wǎng)絡(luò)關(guān)鍵設(shè)備生產(chǎn)者可以通過演練模擬飛行檢查，幫助從前臺接待到生產(chǎn)現(xiàn)場的每個環(huán)節(jié)做好準(zhǔn)備，形成預(yù)案。

史宇航：法學(xué)博士，執(zhí)業(yè)律師，注冊信息安全專業(yè)人員（CISP），注冊信息隱私管理人員（CIPM），匯業(yè)律師事務(wù)所顧問律師。主要執(zhí)業(yè)方向是網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)。