隨著信息和通信技術(shù)的進(jìn)化和全領(lǐng)域的數(shù)字化轉(zhuǎn)型，公共機構(gòu)、企業(yè)、個人使用的網(wǎng)絡(luò)產(chǎn)品和信息服務(wù)日益增多，網(wǎng)絡(luò)設(shè)備在政務(wù)、通信、衛(wèi)生、能源、金融和運輸?shù)戎匾块T領(lǐng)域中發(fā)揮的核心作用也不斷增強。數(shù)字化和連接性是萬物互聯(lián)時代的網(wǎng)絡(luò)設(shè)備基本屬性，也讓整個社會更容易遭受網(wǎng)絡(luò)安全威脅；個別網(wǎng)絡(luò)設(shè)備的漏洞可能成為影響網(wǎng)絡(luò)系統(tǒng)安全的薄弱環(huán)節(jié)而被利用，網(wǎng)絡(luò)關(guān)鍵設(shè)備則成為網(wǎng)絡(luò)風(fēng)險的主要來源和網(wǎng)絡(luò)攻擊的重點對象，將網(wǎng)絡(luò)關(guān)鍵設(shè)備納入重點管理對象成為國內(nèi)外的普遍做法。我國2016年11月頒布的《網(wǎng)絡(luò)安全法》第二十三條提出了網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測制度，歐盟在2019年4月頒布的《歐洲網(wǎng)絡(luò)安全法》和美國在2020年12月頒布的《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法》也建立了類似的網(wǎng)絡(luò)安全認(rèn)證制度。為了落實我國《網(wǎng)絡(luò)安全法》，國家互聯(lián)網(wǎng)信息辦公室協(xié)調(diào)多部委開展了一系列貫徹落實工作，網(wǎng)絡(luò)關(guān)鍵設(shè)備的首批安全認(rèn)證和安全檢測結(jié)果近日統(tǒng)一公布，該制度的法律實施效果將日益顯現(xiàn)。

一、劃定網(wǎng)絡(luò)關(guān)鍵設(shè)備的識別范圍，抓住關(guān)鍵領(lǐng)域

網(wǎng)絡(luò)攻擊正在增加，更容易受到網(wǎng)絡(luò)威脅和攻擊的關(guān)鍵領(lǐng)域需要更強大的防御。網(wǎng)絡(luò)關(guān)鍵設(shè)備采取依標(biāo)生產(chǎn)、安全認(rèn)證和安全檢測制度，在流通銷售之前進(jìn)行產(chǎn)品質(zhì)量管理，以假定網(wǎng)絡(luò)攻擊發(fā)生而在設(shè)計和開發(fā)的最初階段采取策略將影響降到最低，從而減少惡意利用造成的危害風(fēng)險并確保我國網(wǎng)絡(luò)安全關(guān)鍵領(lǐng)域的穩(wěn)定有序。根據(jù)《網(wǎng)絡(luò)安全法》《密碼法》等法規(guī)，網(wǎng)絡(luò)關(guān)鍵設(shè)備已經(jīng)被列為專門對象進(jìn)行管理。在《網(wǎng)絡(luò)安全法》第二十三條中，網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強制性要求，由具備資格的機構(gòu)安全認(rèn)證合格或者安全檢測符合要求后，方可銷售或者提供。在《密碼法》第二十六條中，涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品，應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，由具備資格的機構(gòu)檢測認(rèn)證合格后，方可銷售或者提供。

2017年6月，國家互聯(lián)網(wǎng)信息辦公室會同工業(yè)和信息化部、公安部和國家認(rèn)證認(rèn)可監(jiān)督管理委員會發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》，將4類網(wǎng)絡(luò)關(guān)鍵設(shè)備（路由器、交換機、機架式服務(wù)器、PLC設(shè)備）和11類網(wǎng)絡(luò)安全專用產(chǎn)品（數(shù)據(jù)備份一體機、硬件防火墻、入侵檢測、防御系統(tǒng)、安全隔離與信息交換產(chǎn)品、安全數(shù)據(jù)庫等）納入安全認(rèn)證和安全檢測對象，列入目錄的設(shè)備和產(chǎn)品需要按照相關(guān)國家標(biāo)準(zhǔn)的強制性要求，由具備資格的機構(gòu)安全認(rèn)證合格或者安全檢測符合要求后，方可銷售或者提供。總體而言，第一批產(chǎn)品目錄主要集中在系統(tǒng)組網(wǎng)所必須的IT基礎(chǔ)硬件設(shè)施，屬于國家安全和社會管理的基本需要，也是保障工業(yè)互聯(lián)網(wǎng)安全的主要對象。

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄在目前只發(fā)布了第一批，后續(xù)還應(yīng)當(dāng)新增其它關(guān)涉國家安全和社會管理的基本需要的產(chǎn)品，這也是各國保持網(wǎng)絡(luò)安全管理彈性的基本做法。為了履行安全義務(wù)，相關(guān)方應(yīng)當(dāng)跟蹤《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的更新情況。與此同時，無論是對于網(wǎng)絡(luò)設(shè)備的生產(chǎn)者還是相關(guān)領(lǐng)域的用戶，都應(yīng)當(dāng)對自己生產(chǎn)或使用的產(chǎn)品進(jìn)行梳理，判斷是否有產(chǎn)品落入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的范圍，對此類產(chǎn)品開展專項合規(guī)工作。

二、制定網(wǎng)絡(luò)關(guān)鍵設(shè)備的技術(shù)標(biāo)準(zhǔn)，形成統(tǒng)一規(guī)范

技術(shù)標(biāo)準(zhǔn)是安全認(rèn)證和安全檢測的評判依據(jù)，《歐洲網(wǎng)絡(luò)安全法》就提出，在準(zhǔn)備歐洲網(wǎng)絡(luò)安全認(rèn)證計劃時，歐盟網(wǎng)絡(luò)安全局（ENISA）應(yīng)定期咨詢標(biāo)準(zhǔn)化組織，特別是歐洲標(biāo)準(zhǔn)化組織。我國《網(wǎng)絡(luò)安全法》第二十三條也規(guī)定，對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品依據(jù)國家標(biāo)準(zhǔn)強制性要求開展安全認(rèn)證和安全檢測。網(wǎng)絡(luò)關(guān)鍵設(shè)備有標(biāo)可循，可以劃定網(wǎng)絡(luò)安全的底線，將為落實《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測工作提供重要技術(shù)依據(jù)、明確網(wǎng)絡(luò)關(guān)鍵設(shè)備應(yīng)具備的基本安全能力、為各類網(wǎng)絡(luò)關(guān)鍵設(shè)備制修訂推薦性標(biāo)準(zhǔn)提供安全要求框架和指導(dǎo)，最終形成產(chǎn)品生產(chǎn)銷售依據(jù)和消費購買的辨別指南。

2021年2月20日，國家市場監(jiān)督管理總局（國家標(biāo)準(zhǔn)化管理委員會）發(fā)布2021年第1號公告，批準(zhǔn)了《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》（GB 40050-2021），這是我國網(wǎng)絡(luò)安全領(lǐng)域為數(shù)不多的強制性標(biāo)準(zhǔn)之一，將成為網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢測的統(tǒng)一規(guī)范。

《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》為不同類型的網(wǎng)絡(luò)關(guān)鍵設(shè)備建立統(tǒng)一的安全技術(shù)要求，可適用于當(dāng)前和未來的各類網(wǎng)絡(luò)關(guān)鍵設(shè)備，同時也有利于建立統(tǒng)一的安全管理體系。該強制性標(biāo)準(zhǔn)的主要內(nèi)容包括安全功能要求和安全保障要求兩個部分。其一，安全功能要求聚焦于保障和提升設(shè)備的安全技術(shù)能力，主要包括設(shè)備標(biāo)識安全、冗余備份恢復(fù)與異常檢測、漏洞和惡意程序防范、預(yù)裝軟件啟動及更新安全、用戶身份標(biāo)識與鑒別、訪問控制安全、日志審計安全、通信安全、數(shù)據(jù)安全以及密碼要求10個部分。其二，安全保障要求聚焦于規(guī)范網(wǎng)絡(luò)關(guān)鍵設(shè)備提供者在設(shè)備全生命周期的安全保障能力，主要包括設(shè)計和開發(fā)、生產(chǎn)和交付、運行和維護三個環(huán)節(jié)的要求。以上安全要求形成了網(wǎng)絡(luò)關(guān)鍵硬件產(chǎn)品的安全治理體系。在智能網(wǎng)聯(lián)汽車、電子醫(yī)療設(shè)備、工業(yè)自動化控制系統(tǒng)和智能電網(wǎng)等領(lǐng)域，網(wǎng)絡(luò)關(guān)鍵設(shè)備的統(tǒng)一要求還將對下游產(chǎn)品開發(fā)和應(yīng)用提供顯著的便利，為集成應(yīng)用的開發(fā)者提供生產(chǎn)便利。

三、開展網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全認(rèn)證和安全檢測，樹立社會公信

認(rèn)證檢測在提高數(shù)字世界重要產(chǎn)品和服務(wù)的信任度和安全性方面發(fā)揮著至關(guān)重要的作用，只有公眾和各類用戶普遍相信此網(wǎng)絡(luò)關(guān)鍵設(shè)備能夠提供必要的網(wǎng)絡(luò)安全，能夠以第三方監(jiān)督的方式彌合買賣雙方的信息不對稱，以合格評定的方式樹立社會公信力，數(shù)字經(jīng)濟和物聯(lián)網(wǎng)才能蓬勃發(fā)展。在自愿性檢測和認(rèn)證的階段，企業(yè)通過第三方合格評定來展示安全服務(wù)能力或者產(chǎn)品的安全質(zhì)量。根據(jù)《網(wǎng)絡(luò)安全法》的要求，未來沒有通過安全認(rèn)證或安全檢測的設(shè)備和產(chǎn)品將不能在國內(nèi)市場銷售。近期，國家互聯(lián)網(wǎng)信息辦公室協(xié)調(diào)多個部門根據(jù)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》開展了首批安全認(rèn)證和安全檢測，這標(biāo)志著網(wǎng)絡(luò)關(guān)鍵設(shè)備的安全認(rèn)證和安全檢測正式開花結(jié)果。

2018年3月，國家認(rèn)證認(rèn)可監(jiān)督管理委員會、工業(yè)和信息化部、公安部、國家互聯(lián)網(wǎng)信息辦公室就聯(lián)合發(fā)布了《關(guān)于發(fā)布承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測任務(wù)機構(gòu)名錄（第一批）的公告》，確立了16家認(rèn)證和檢測機構(gòu)。企業(yè)可自主選擇實施一種第三方評定方式，也即由委托人自行選擇具備資格的機構(gòu)進(jìn)行安全認(rèn)證或者安全檢測。根據(jù)管理職責(zé)分工，選擇認(rèn)證方式的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品，安全認(rèn)證合格后，由認(rèn)證機構(gòu)報國家認(rèn)證認(rèn)可監(jiān)督管理委員會；選擇檢測方式的網(wǎng)絡(luò)關(guān)鍵設(shè)備，安全檢測符合要求后，由檢測機構(gòu)報工業(yè)和信息化部；選擇檢測方式的網(wǎng)絡(luò)安全專用產(chǎn)品，安全檢測符合要求后，由檢測機構(gòu)報公安部。為了整合各部委職責(zé)，實現(xiàn)歸口管理，最終結(jié)果由國家互聯(lián)網(wǎng)信息辦公室匯總?cè)浇y(tǒng)一公布。事實上，檢測、檢驗、認(rèn)證、認(rèn)可均屬于《合格評定 詞匯和通用原則》（ISO/IEC17000）所認(rèn)可的合格評定形式，其中的檢測（Testing）是“按照程序確定合格評定對象一個或多個特性的活動”。換而言之，就是依據(jù)技術(shù)標(biāo)準(zhǔn)和規(guī)范，使用儀器設(shè)備，進(jìn)行評價的活動，其評價結(jié)果為測試數(shù)據(jù)。認(rèn)證（Certification）是“與產(chǎn)品、過程、體系或人員有關(guān)的第三方證明”；換而言之，就是指由具備第三方性質(zhì)的認(rèn)證機構(gòu)證明產(chǎn)品、服務(wù)、管理體系、人員符合相關(guān)標(biāo)準(zhǔn)和技術(shù)規(guī)范的合格評定活動。為了支撐認(rèn)證工作的開展，國家認(rèn)證認(rèn)可監(jiān)督管理委員會在2018年還發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實施規(guī)則》（CNCA-CCIS-2018），規(guī)定了開展網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證的基本原則和要求。

在《網(wǎng)絡(luò)安全法》立法過程中，立法部門注意到我國有多個政府部門依據(jù)各自職責(zé)開展網(wǎng)絡(luò)相關(guān)設(shè)備和產(chǎn)品的安全認(rèn)證和安全檢測，產(chǎn)品范圍有重復(fù)，認(rèn)證檢測的項目有交叉，要求和標(biāo)準(zhǔn)也不統(tǒng)一，致使需要重復(fù)認(rèn)證、檢測，造成資源浪費，增加企業(yè)負(fù)擔(dān)。統(tǒng)一的市場需要統(tǒng)一的認(rèn)證機制，網(wǎng)絡(luò)安全認(rèn)證也需要對生產(chǎn)者和全社會形成統(tǒng)一的適用口徑。針對這種情況，《網(wǎng)絡(luò)安全法》第二十三條規(guī)定，國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，并推動安全認(rèn)證和安全檢測結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測。同時，按照《關(guān)于發(fā)布〈網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）〉的公告》（國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家認(rèn)證認(rèn)可監(jiān)督管理委員會公告 2017年第1號）和《關(guān)于統(tǒng)一發(fā)布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測結(jié)果的公告》（國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家認(rèn)證認(rèn)可監(jiān)督管理委員會公告 2022年第1號）要求，國家互聯(lián)網(wǎng)信息辦公室會同工業(yè)和信息化部、公安部、國家認(rèn)證認(rèn)可監(jiān)督管理委員會統(tǒng)一發(fā)布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全認(rèn)證和安全檢測結(jié)果，有利于掌握、監(jiān)督和協(xié)調(diào)各部門之間的職責(zé)劃分，對社會形成一個權(quán)威的信息獲取渠道。

面向未來，越來越多的產(chǎn)品和服務(wù)將在全國和全球范圍內(nèi)產(chǎn)生數(shù)量極多的連接性數(shù)字設(shè)備，萬物互聯(lián)、數(shù)字孿生的數(shù)字空間將關(guān)系到個人利益、組織利益和國家利益的方方面面，構(gòu)建以網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全認(rèn)證和安全檢測為代表的安全監(jiān)督機制，將成為維護網(wǎng)絡(luò)安全的基本盤的基石。（作者：劉云，清華大學(xué)智能法治研究院院長助理、助理研究員）