隨著信息和通信技術的進化和全領域的數字化轉型，公共機構、企業、個人使用的網絡產品和信息服務日益增多，網絡設備在政務、通信、衛生、能源、金融和運輸等重要部門領域中發揮的核心作用也不斷增強。數字化和連接性是萬物互聯時代的網絡設備基本屬性，也讓整個社會更容易遭受網絡安全威脅；個別網絡設備的漏洞可能成為影響網絡系統安全的薄弱環節而被利用，網絡關鍵設備則成為網絡風險的主要來源和網絡攻擊的重點對象，將網絡關鍵設備納入重點管理對象成為國內外的普遍做法。我國2016年11月頒布的《網絡安全法》第二十三條提出了網絡關鍵設備安全認證和安全檢測制度，歐盟在2019年4月頒布的《歐洲網絡安全法》和美國在2020年12月頒布的《物聯網網絡安全改進法》也建立了類似的網絡安全認證制度。為了落實我國《網絡安全法》，國家互聯網信息辦公室協調多部委開展了一系列貫徹落實工作，網絡關鍵設備的首批安全認證和安全檢測結果近日統一公布，該制度的法律實施效果將日益顯現。

一、劃定網絡關鍵設備的識別范圍，抓住關鍵領域

網絡攻擊正在增加，更容易受到網絡威脅和攻擊的關鍵領域需要更強大的防御。網絡關鍵設備采取依標生產、安全認證和安全檢測制度，在流通銷售之前進行產品質量管理，以假定網絡攻擊發生而在設計和開發的最初階段采取策略將影響降到最低，從而減少惡意利用造成的危害風險并確保我國網絡安全關鍵領域的穩定有序。根據《網絡安全法》《密碼法》等法規，網絡關鍵設備已經被列為專門對象進行管理。在《網絡安全法》第二十三條中，網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。在《密碼法》第二十六條中，涉及國家安全、國計民生、社會公共利益的商用密碼產品，應當依法列入網絡關鍵設備和網絡安全專用產品目錄，由具備資格的機構檢測認證合格后，方可銷售或者提供。

2017年6月，國家互聯網信息辦公室會同工業和信息化部、公安部和國家認證認可監督管理委員會發布了《網絡關鍵設備和網絡安全專用產品目錄（第一批）》，將4類網絡關鍵設備（路由器、交換機、機架式服務器、PLC設備）和11類網絡安全專用產品（數據備份一體機、硬件防火墻、入侵檢測、防御系統、安全隔離與信息交換產品、安全數據庫等）納入安全認證和安全檢測對象，列入目錄的設備和產品需要按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供?？傮w而言，第一批產品目錄主要集中在系統組網所必須的IT基礎硬件設施，屬于國家安全和社會管理的基本需要，也是保障工業互聯網安全的主要對象。

網絡關鍵設備和網絡安全專用產品目錄在目前只發布了第一批，后續還應當新增其它關涉國家安全和社會管理的基本需要的產品，這也是各國保持網絡安全管理彈性的基本做法。為了履行安全義務，相關方應當跟蹤《網絡關鍵設備和網絡安全專用產品目錄》的更新情況。與此同時，無論是對于網絡設備的生產者還是相關領域的用戶，都應當對自己生產或使用的產品進行梳理，判斷是否有產品落入《網絡關鍵設備和網絡安全專用產品目錄》的范圍，對此類產品開展專項合規工作。

二、制定網絡關鍵設備的技術標準，形成統一規范

技術標準是安全認證和安全檢測的評判依據，《歐洲網絡安全法》就提出，在準備歐洲網絡安全認證計劃時，歐盟網絡安全局（ENISA）應定期咨詢標準化組織，特別是歐洲標準化組織。我國《網絡安全法》第二十三條也規定，對網絡關鍵設備和網絡安全專用產品依據國家標準強制性要求開展安全認證和安全檢測。網絡關鍵設備有標可循，可以劃定網絡安全的底線，將為落實《網絡安全法》關于網絡關鍵設備安全認證和安全檢測工作提供重要技術依據、明確網絡關鍵設備應具備的基本安全能力、為各類網絡關鍵設備制修訂推薦性標準提供安全要求框架和指導，最終形成產品生產銷售依據和消費購買的辨別指南。

2021年2月20日，國家市場監督管理總局（國家標準化管理委員會）發布2021年第1號公告，批準了《網絡關鍵設備安全通用要求》（GB 40050-2021），這是我國網絡安全領域為數不多的強制性標準之一，將成為網絡關鍵設備安全認證和安全檢測的統一規范。

《網絡關鍵設備安全通用要求》為不同類型的網絡關鍵設備建立統一的安全技術要求，可適用于當前和未來的各類網絡關鍵設備，同時也有利于建立統一的安全管理體系。該強制性標準的主要內容包括安全功能要求和安全保障要求兩個部分。其一，安全功能要求聚焦于保障和提升設備的安全技術能力，主要包括設備標識安全、冗余備份恢復與異常檢測、漏洞和惡意程序防范、預裝軟件啟動及更新安全、用戶身份標識與鑒別、訪問控制安全、日志審計安全、通信安全、數據安全以及密碼要求10個部分。其二，安全保障要求聚焦于規范網絡關鍵設備提供者在設備全生命周期的安全保障能力，主要包括設計和開發、生產和交付、運行和維護三個環節的要求。以上安全要求形成了網絡關鍵硬件產品的安全治理體系。在智能網聯汽車、電子醫療設備、工業自動化控制系統和智能電網等領域，網絡關鍵設備的統一要求還將對下游產品開發和應用提供顯著的便利，為集成應用的開發者提供生產便利。

三、開展網絡關鍵設備的安全認證和安全檢測，樹立社會公信

認證檢測在提高數字世界重要產品和服務的信任度和安全性方面發揮著至關重要的作用，只有公眾和各類用戶普遍相信此網絡關鍵設備能夠提供必要的網絡安全，能夠以第三方監督的方式彌合買賣雙方的信息不對稱，以合格評定的方式樹立社會公信力，數字經濟和物聯網才能蓬勃發展。在自愿性檢測和認證的階段，企業通過第三方合格評定來展示安全服務能力或者產品的安全質量。根據《網絡安全法》的要求，未來沒有通過安全認證或安全檢測的設備和產品將不能在國內市場銷售。近期，國家互聯網信息辦公室協調多個部門根據《網絡關鍵設備安全通用要求》開展了首批安全認證和安全檢測，這標志著網絡關鍵設備的安全認證和安全檢測正式開花結果。

2018年3月，國家認證認可監督管理委員會、工業和信息化部、公安部、國家互聯網信息辦公室就聯合發布了《關于發布承擔網絡關鍵設備和網絡安全專用產品安全認證和安全檢測任務機構名錄（第一批）的公告》，確立了16家認證和檢測機構。企業可自主選擇實施一種第三方評定方式，也即由委托人自行選擇具備資格的機構進行安全認證或者安全檢測。根據管理職責分工，選擇認證方式的網絡關鍵設備和網絡安全專用產品，安全認證合格后，由認證機構報國家認證認可監督管理委員會；選擇檢測方式的網絡關鍵設備，安全檢測符合要求后，由檢測機構報工業和信息化部；選擇檢測方式的網絡安全專用產品，安全檢測符合要求后，由檢測機構報公安部。為了整合各部委職責，實現歸口管理，最終結果由國家互聯網信息辦公室匯總三方統一公布。事實上，檢測、檢驗、認證、認可均屬于《合格評定 詞匯和通用原則》（ISO/IEC17000）所認可的合格評定形式，其中的檢測（Testing）是“按照程序確定合格評定對象一個或多個特性的活動”。換而言之，就是依據技術標準和規范，使用儀器設備，進行評價的活動，其評價結果為測試數據。認證（Certification）是“與產品、過程、體系或人員有關的第三方證明”；換而言之，就是指由具備第三方性質的認證機構證明產品、服務、管理體系、人員符合相關標準和技術規范的合格評定活動。為了支撐認證工作的開展，國家認證認可監督管理委員會在2018年還發布了《網絡關鍵設備和網絡安全專用產品安全認證實施規則》（CNCA-CCIS-2018），規定了開展網絡關鍵設備和網絡安全專用產品安全認證的基本原則和要求。

在《網絡安全法》立法過程中，立法部門注意到我國有多個政府部門依據各自職責開展網絡相關設備和產品的安全認證和安全檢測，產品范圍有重復，認證檢測的項目有交叉，要求和標準也不統一，致使需要重復認證、檢測，造成資源浪費，增加企業負擔。統一的市場需要統一的認證機制，網絡安全認證也需要對生產者和全社會形成統一的適用口徑。針對這種情況，《網絡安全法》第二十三條規定，國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。同時，按照《關于發布〈網絡關鍵設備和網絡安全專用產品目錄（第一批）〉的公告》（國家互聯網信息辦公室、工業和信息化部、公安部、國家認證認可監督管理委員會公告 2017年第1號）和《關于統一發布網絡關鍵設備和網絡安全專用產品安全認證和安全檢測結果的公告》（國家互聯網信息辦公室、工業和信息化部、公安部、國家認證認可監督管理委員會公告 2022年第1號）要求，國家互聯網信息辦公室會同工業和信息化部、公安部、國家認證認可監督管理委員會統一發布網絡關鍵設備和網絡安全專用產品的安全認證和安全檢測結果，有利于掌握、監督和協調各部門之間的職責劃分，對社會形成一個權威的信息獲取渠道。

面向未來，越來越多的產品和服務將在全國和全球范圍內產生數量極多的連接性數字設備，萬物互聯、數字孿生的數字空間將關系到個人利益、組織利益和國家利益的方方面面，構建以網絡關鍵設備和網絡安全專用產品的安全認證和安全檢測為代表的安全監督機制，將成為維護網絡安全的基本盤的基石。（作者：劉云，清華大學智能法治研究院院長助理、助理研究員 原文標題：專家解讀|以網絡關鍵設備安全認證和安全檢測維護網絡安全的基本盤）