隨著信息和通信技術(shù)的進(jìn)化和全領(lǐng)域的數(shù)字化轉(zhuǎn)型，公共機(jī)構(gòu)、企業(yè)、個(gè)人使用的網(wǎng)絡(luò)產(chǎn)品和信息服務(wù)日益增多，網(wǎng)絡(luò)設(shè)備在政務(wù)、通信、衛(wèi)生、能源、金融和運(yùn)輸?shù)戎匾块T(mén)領(lǐng)域中發(fā)揮的核心作用也不斷增強(qiáng)。數(shù)字化和連接性是萬(wàn)物互聯(lián)時(shí)代的網(wǎng)絡(luò)設(shè)備基本屬性，也讓整個(gè)社會(huì)更容易遭受網(wǎng)絡(luò)安全威脅；個(gè)別網(wǎng)絡(luò)設(shè)備的漏洞可能成為影響網(wǎng)絡(luò)系統(tǒng)安全的薄弱環(huán)節(jié)而被利用，網(wǎng)絡(luò)關(guān)鍵設(shè)備則成為網(wǎng)絡(luò)風(fēng)險(xiǎn)的主要來(lái)源和網(wǎng)絡(luò)攻擊的重點(diǎn)對(duì)象，將網(wǎng)絡(luò)關(guān)鍵設(shè)備納入重點(diǎn)管理對(duì)象成為國(guó)內(nèi)外的普遍做法。我國(guó)2016年11月頒布的《網(wǎng)絡(luò)安全法》第二十三條提出了網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測(cè)制度，歐盟在2019年4月頒布的《歐洲網(wǎng)絡(luò)安全法》和美國(guó)在2020年12月頒布的《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》也建立了類似的網(wǎng)絡(luò)安全認(rèn)證制度。為了落實(shí)我國(guó)《網(wǎng)絡(luò)安全法》，國(guó)家互聯(lián)網(wǎng)信息辦公室協(xié)調(diào)多部委開(kāi)展了一系列貫徹落實(shí)工作，網(wǎng)絡(luò)關(guān)鍵設(shè)備的首批安全認(rèn)證和安全檢測(cè)結(jié)果近日統(tǒng)一公布，該制度的法律實(shí)施效果將日益顯現(xiàn)。

一、劃定網(wǎng)絡(luò)關(guān)鍵設(shè)備的識(shí)別范圍，抓住關(guān)鍵領(lǐng)域

網(wǎng)絡(luò)攻擊正在增加，更容易受到網(wǎng)絡(luò)威脅和攻擊的關(guān)鍵領(lǐng)域需要更強(qiáng)大的防御。網(wǎng)絡(luò)關(guān)鍵設(shè)備采取依標(biāo)生產(chǎn)、安全認(rèn)證和安全檢測(cè)制度，在流通銷(xiāo)售之前進(jìn)行產(chǎn)品質(zhì)量管理，以假定網(wǎng)絡(luò)攻擊發(fā)生而在設(shè)計(jì)和開(kāi)發(fā)的最初階段采取策略將影響降到最低，從而減少惡意利用造成的危害風(fēng)險(xiǎn)并確保我國(guó)網(wǎng)絡(luò)安全關(guān)鍵領(lǐng)域的穩(wěn)定有序。根據(jù)《網(wǎng)絡(luò)安全法》《密碼法》等法規(guī)，網(wǎng)絡(luò)關(guān)鍵設(shè)備已經(jīng)被列為專門(mén)對(duì)象進(jìn)行管理。在《網(wǎng)絡(luò)安全法》第二十三條中，網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后，方可銷(xiāo)售或者提供。在《密碼法》第二十六條中，涉及國(guó)家安全、國(guó)計(jì)民生、社會(huì)公共利益的商用密碼產(chǎn)品，應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，由具備資格的機(jī)構(gòu)檢測(cè)認(rèn)證合格后，方可銷(xiāo)售或者提供。

2017年6月，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同工業(yè)和信息化部、公安部和國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》，將4類網(wǎng)絡(luò)關(guān)鍵設(shè)備（路由器、交換機(jī)、機(jī)架式服務(wù)器、PLC設(shè)備）和11類網(wǎng)絡(luò)安全專用產(chǎn)品（數(shù)據(jù)備份一體機(jī)、硬件防火墻、入侵檢測(cè)、防御系統(tǒng)、安全隔離與信息交換產(chǎn)品、安全數(shù)據(jù)庫(kù)等）納入安全認(rèn)證和安全檢測(cè)對(duì)象，列入目錄的設(shè)備和產(chǎn)品需要按照相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后，方可銷(xiāo)售或者提供?？傮w而言，第一批產(chǎn)品目錄主要集中在系統(tǒng)組網(wǎng)所必須的IT基礎(chǔ)硬件設(shè)施，屬于國(guó)家安全和社會(huì)管理的基本需要，也是保障工業(yè)互聯(lián)網(wǎng)安全的主要對(duì)象。

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄在目前只發(fā)布了第一批，后續(xù)還應(yīng)當(dāng)新增其它關(guān)涉國(guó)家安全和社會(huì)管理的基本需要的產(chǎn)品，這也是各國(guó)保持網(wǎng)絡(luò)安全管理彈性的基本做法。為了履行安全義務(wù)，相關(guān)方應(yīng)當(dāng)跟蹤《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的更新情況。與此同時(shí)，無(wú)論是對(duì)于網(wǎng)絡(luò)設(shè)備的生產(chǎn)者還是相關(guān)領(lǐng)域的用戶，都應(yīng)當(dāng)對(duì)自己生產(chǎn)或使用的產(chǎn)品進(jìn)行梳理，判斷是否有產(chǎn)品落入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的范圍，對(duì)此類產(chǎn)品開(kāi)展專項(xiàng)合規(guī)工作。

二、制定網(wǎng)絡(luò)關(guān)鍵設(shè)備的技術(shù)標(biāo)準(zhǔn)，形成統(tǒng)一規(guī)范

技術(shù)標(biāo)準(zhǔn)是安全認(rèn)證和安全檢測(cè)的評(píng)判依據(jù)，《歐洲網(wǎng)絡(luò)安全法》就提出，在準(zhǔn)備歐洲網(wǎng)絡(luò)安全認(rèn)證計(jì)劃時(shí)，歐盟網(wǎng)絡(luò)安全局（ENISA）應(yīng)定期咨詢標(biāo)準(zhǔn)化組織，特別是歐洲標(biāo)準(zhǔn)化組織。我國(guó)《網(wǎng)絡(luò)安全法》第二十三條也規(guī)定，對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品依據(jù)國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求開(kāi)展安全認(rèn)證和安全檢測(cè)。網(wǎng)絡(luò)關(guān)鍵設(shè)備有標(biāo)可循，可以劃定網(wǎng)絡(luò)安全的底線，將為落實(shí)《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測(cè)工作提供重要技術(shù)依據(jù)、明確網(wǎng)絡(luò)關(guān)鍵設(shè)備應(yīng)具備的基本安全能力、為各類網(wǎng)絡(luò)關(guān)鍵設(shè)備制修訂推薦性標(biāo)準(zhǔn)提供安全要求框架和指導(dǎo)，最終形成產(chǎn)品生產(chǎn)銷(xiāo)售依據(jù)和消費(fèi)購(gòu)買(mǎi)的辨別指南。

2021年2月20日，國(guó)家市場(chǎng)監(jiān)督管理總局（國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)）發(fā)布2021年第1號(hào)公告，批準(zhǔn)了《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》（GB 40050-2021），這是我國(guó)網(wǎng)絡(luò)安全領(lǐng)域?yàn)閿?shù)不多的強(qiáng)制性標(biāo)準(zhǔn)之一，將成為網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測(cè)的統(tǒng)一規(guī)范。

《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》為不同類型的網(wǎng)絡(luò)關(guān)鍵設(shè)備建立統(tǒng)一的安全技術(shù)要求，可適用于當(dāng)前和未來(lái)的各類網(wǎng)絡(luò)關(guān)鍵設(shè)備，同時(shí)也有利于建立統(tǒng)一的安全管理體系。該強(qiáng)制性標(biāo)準(zhǔn)的主要內(nèi)容包括安全功能要求和安全保障要求兩個(gè)部分。其一，安全功能要求聚焦于保障和提升設(shè)備的安全技術(shù)能力，主要包括設(shè)備標(biāo)識(shí)安全、冗余備份恢復(fù)與異常檢測(cè)、漏洞和惡意程序防范、預(yù)裝軟件啟動(dòng)及更新安全、用戶身份標(biāo)識(shí)與鑒別、訪問(wèn)控制安全、日志審計(jì)安全、通信安全、數(shù)據(jù)安全以及密碼要求10個(gè)部分。其二，安全保障要求聚焦于規(guī)范網(wǎng)絡(luò)關(guān)鍵設(shè)備提供者在設(shè)備全生命周期的安全保障能力，主要包括設(shè)計(jì)和開(kāi)發(fā)、生產(chǎn)和交付、運(yùn)行和維護(hù)三個(gè)環(huán)節(jié)的要求。以上安全要求形成了網(wǎng)絡(luò)關(guān)鍵硬件產(chǎn)品的安全治理體系。在智能網(wǎng)聯(lián)汽車(chē)、電子醫(yī)療設(shè)備、工業(yè)自動(dòng)化控制系統(tǒng)和智能電網(wǎng)等領(lǐng)域，網(wǎng)絡(luò)關(guān)鍵設(shè)備的統(tǒng)一要求還將對(duì)下游產(chǎn)品開(kāi)發(fā)和應(yīng)用提供顯著的便利，為集成應(yīng)用的開(kāi)發(fā)者提供生產(chǎn)便利。

三、開(kāi)展網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全認(rèn)證和安全檢測(cè)，樹(shù)立社會(huì)公信

認(rèn)證檢測(cè)在提高數(shù)字世界重要產(chǎn)品和服務(wù)的信任度和安全性方面發(fā)揮著至關(guān)重要的作用，只有公眾和各類用戶普遍相信此網(wǎng)絡(luò)關(guān)鍵設(shè)備能夠提供必要的網(wǎng)絡(luò)安全，能夠以第三方監(jiān)督的方式彌合買(mǎi)賣(mài)雙方的信息不對(duì)稱，以合格評(píng)定的方式樹(shù)立社會(huì)公信力，數(shù)字經(jīng)濟(jì)和物聯(lián)網(wǎng)才能蓬勃發(fā)展。在自愿性檢測(cè)和認(rèn)證的階段，企業(yè)通過(guò)第三方合格評(píng)定來(lái)展示安全服務(wù)能力或者產(chǎn)品的安全質(zhì)量。根據(jù)《網(wǎng)絡(luò)安全法》的要求，未來(lái)沒(méi)有通過(guò)安全認(rèn)證或安全檢測(cè)的設(shè)備和產(chǎn)品將不能在國(guó)內(nèi)市場(chǎng)銷(xiāo)售。近期，國(guó)家互聯(lián)網(wǎng)信息辦公室協(xié)調(diào)多個(gè)部門(mén)根據(jù)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》開(kāi)展了首批安全認(rèn)證和安全檢測(cè)，這標(biāo)志著網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全認(rèn)證和安全檢測(cè)正式開(kāi)花結(jié)果。

2018年3月，國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、工業(yè)和信息化部、公安部、國(guó)家互聯(lián)網(wǎng)信息辦公室就聯(lián)合發(fā)布了《關(guān)于發(fā)布承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測(cè)任務(wù)機(jī)構(gòu)名錄（第一批）的公告》，確立了16家認(rèn)證和檢測(cè)機(jī)構(gòu)。企業(yè)可自主選擇實(shí)施一種第三方評(píng)定方式，也即由委托人自行選擇具備資格的機(jī)構(gòu)進(jìn)行安全認(rèn)證或者安全檢測(cè)。根據(jù)管理職責(zé)分工，選擇認(rèn)證方式的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品，安全認(rèn)證合格后，由認(rèn)證機(jī)構(gòu)報(bào)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)；選擇檢測(cè)方式的網(wǎng)絡(luò)關(guān)鍵設(shè)備，安全檢測(cè)符合要求后，由檢測(cè)機(jī)構(gòu)報(bào)工業(yè)和信息化部；選擇檢測(cè)方式的網(wǎng)絡(luò)安全專用產(chǎn)品，安全檢測(cè)符合要求后，由檢測(cè)機(jī)構(gòu)報(bào)公安部。為了整合各部委職責(zé)，實(shí)現(xiàn)歸口管理，最終結(jié)果由國(guó)家互聯(lián)網(wǎng)信息辦公室匯總?cè)浇y(tǒng)一公布。事實(shí)上，檢測(cè)、檢驗(yàn)、認(rèn)證、認(rèn)可均屬于《合格評(píng)定 詞匯和通用原則》（ISO/IEC17000）所認(rèn)可的合格評(píng)定形式，其中的檢測(cè)（Testing）是“按照程序確定合格評(píng)定對(duì)象一個(gè)或多個(gè)特性的活動(dòng)”。換而言之，就是依據(jù)技術(shù)標(biāo)準(zhǔn)和規(guī)范，使用儀器設(shè)備，進(jìn)行評(píng)價(jià)的活動(dòng)，其評(píng)價(jià)結(jié)果為測(cè)試數(shù)據(jù)。認(rèn)證（Certification）是“與產(chǎn)品、過(guò)程、體系或人員有關(guān)的第三方證明”；換而言之，就是指由具備第三方性質(zhì)的認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系、人員符合相關(guān)標(biāo)準(zhǔn)和技術(shù)規(guī)范的合格評(píng)定活動(dòng)。為了支撐認(rèn)證工作的開(kāi)展，國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)在2018年還發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實(shí)施規(guī)則》（CNCA-CCIS-2018），規(guī)定了開(kāi)展網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證的基本原則和要求。

在《網(wǎng)絡(luò)安全法》立法過(guò)程中，立法部門(mén)注意到我國(guó)有多個(gè)政府部門(mén)依據(jù)各自職責(zé)開(kāi)展網(wǎng)絡(luò)相關(guān)設(shè)備和產(chǎn)品的安全認(rèn)證和安全檢測(cè)，產(chǎn)品范圍有重復(fù)，認(rèn)證檢測(cè)的項(xiàng)目有交叉，要求和標(biāo)準(zhǔn)也不統(tǒng)一，致使需要重復(fù)認(rèn)證、檢測(cè)，造成資源浪費(fèi)，增加企業(yè)負(fù)擔(dān)。統(tǒng)一的市場(chǎng)需要統(tǒng)一的認(rèn)證機(jī)制，網(wǎng)絡(luò)安全認(rèn)證也需要對(duì)生產(chǎn)者和全社會(huì)形成統(tǒng)一的適用口徑。針對(duì)這種情況，《網(wǎng)絡(luò)安全法》第二十三條規(guī)定，國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，并推動(dòng)安全認(rèn)證和安全檢測(cè)結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測(cè)。同時(shí)，按照《關(guān)于發(fā)布〈網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）〉的公告》（國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)公告 2017年第1號(hào)）和《關(guān)于統(tǒng)一發(fā)布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測(cè)結(jié)果的公告》（國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)公告 2022年第1號(hào)）要求，國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同工業(yè)和信息化部、公安部、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)統(tǒng)一發(fā)布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全認(rèn)證和安全檢測(cè)結(jié)果，有利于掌握、監(jiān)督和協(xié)調(diào)各部門(mén)之間的職責(zé)劃分，對(duì)社會(huì)形成一個(gè)權(quán)威的信息獲取渠道。

面向未來(lái)，越來(lái)越多的產(chǎn)品和服務(wù)將在全國(guó)和全球范圍內(nèi)產(chǎn)生數(shù)量極多的連接性數(shù)字設(shè)備，萬(wàn)物互聯(lián)、數(shù)字孿生的數(shù)字空間將關(guān)系到個(gè)人利益、組織利益和國(guó)家利益的方方面面，構(gòu)建以網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全認(rèn)證和安全檢測(cè)為代表的安全監(jiān)督機(jī)制，將成為維護(hù)網(wǎng)絡(luò)安全的基本盤(pán)的基石。（作者：劉云，清華大學(xué)智能法治研究院院長(zhǎng)助理、助理研究員）