最近碰见很多项目有信息安全产品认证的各种需求,正好借此机会总结梳理下。目前市场上通行的信息安全产品认证有三种,分别是:
1.《网络关键设备和网络安全专用产品安全认证证书》
2.《中国国家信息安全产品认证证书》
3.《IT产品信息安全认证证书》
其中《中国国家信息安全产品认证证书》、《网络关键设备和网络安全专用产品安全认证证书》为强制性认证证书,在产品功能和性能满足条件的情况下,两张证书可以同一产品同时认证同时发证。
《IT产品信息安全认证证书》为自愿性认证证书,在产品功能和性能满足条件的情况下,各证书样本如下:
2017年6月1日,《中华人民共和国网络安全法》正式实施,第二十三条明确了网络关键设备和网络安全专用产品应当按照相关国家标准的 强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。将网络关键设备和网络安全专用产品安全认证和安全检测工作提升到了国家法律层面,奠定了工作基础。同期,国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会联合发布了《网络关键设备和网络安全专用产品目录(第一批)》的公告,该公告确定了对4类网络关键设备和11类网络安全专用产品实施安全认证和安全检测,明确了制度实施范围。为网络关键设备和网络安全专用产品安全认证和安全检测工作提供了工作依据。
也就是说,只有属于《网络关键设备和网络安全专用产品目录(第一批)》的设备和产品才能申请《网络关键设备和网络安全专用产品安全认证》证书。同时,列入《网络关键设备和网络安全专用产品目录(第一批)》的设备和产品,应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
《网络关键设备和网络安全专用产品目录》目前只发布了第一批,后续还应当新增其它关涉国家安全和社会管理的基本需要的产品,这也是各国保持网络安全管理弹性的基本做法。
4类网络关键设备和11类网络安全专用产品安全认证依据标准如下:
由上表可以看出,目前只有4类网络关键设备有GB强制标准作为依据,11类网络安全专用产品截至目前(2022年11月)只有GB/T推荐标准作为依据,没有强制标准,因此目前只有4类网络关键设备具有网络关键设备和网络安全专用产品安全认证和安全检测结果,11类网络安全专用产品安全认证和安全检测结果待相关强制性国家标准发布实施后再行增补。截止发稿,网络关键设备和网络安全专用产品安全认证和安全检测结果(结果会不定期更新)最新的为2022年9月29日发布,共150款网络关键设备,详见http://www.cac.gov.cn/2022-08/04/c_1661236030348260.htm。
2018年3月,国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室就联合发布了《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》,确立了16家认证和检测机构,如下图所示。企业可自主选择实施一种第三方评定方式,也即由委托人自行选择具备资格的机构进行安全认证或者安全检测。
2023年7月1日实行的《商用密码管理条例》中第二十条、第二十一条对二者之间的关系做了说明,见下图。
即:“涉及国家安全、国计民生、社会公共利益的商用密码产品”,应当列入《网络关键设备和网络安全专用产品目录》。可见,随着《商密条例》的实施,现有的《网络关键设备和网络安全专用产品》管理或将在管理机制、对象范围等方面迎来“扩容”。
2008年1月,由国家质检总局、国家认监委联合发布《关于部分信息安全产品实施强制性认证的公告》。该公告根据《产品质量法》、《标准化法》、《进出口商品检验法》、《认证认可条例》、《强制性产品认证管理规定》和《关于建立国家信息安全产品认证认可体系的通知》,将对边界安全、通信安全、身份鉴别与访问控制、数据安全、基础平台、内容安全、评估审计与监控、应用安全 8类13种信息安全产品实施强制性认证。 要求自2009年5月1日起将8类13种信息安全产品实施强制性认证,自2009年5月1日起,凡列入强制性认证目录内的信息安全产品,未获得《中国国家信息安全产品认证证书》,不得出厂、销售、进口或在其他经营活动中使用。
2010年4月,由财政部、工信部、国家质检总局、国家认监委联合发布了《关于信息安全产品实施政府采购的通知》,规定在政府采购活动中,在政府采购活动中,采购人或其委托的采购代理机构按照政府采购的规定,在政府采购招标文件(包括谈判文件、询价文件)中应当载明对产品获得信息安全认证的要求、并要求产品供应商提供由中国信息安全认证中心(2006年由中央机构编制委员会办公室批准成立,2018年5月更名为中国网络安全审查技术与认证中心)按国家标准颁发的有效认证证书。自此,在政府采购领域全面开始推行信息安全产品强制采购政策,其它行业也陆续推行。
中国网络安全审查技术与认证中心开展的IT产品信息安全认证业务,是依据信息技术安全评估准则和相关技术要求,对IT产品的安全性进行评价,旨在保护用户信息安全,维护用户利益。生产企业的IT产品获得信息安全认证证书,表明该产品符合相应的标准和技术要求。
没有列入以上两个目录中的产品,如需依据认证规则进行产品安全性认证,则可申请《IT产品信息安全认证证书》。
加入世界贸易组织后,为了履行加入WTO的承诺,中国质量监督检验检疫总局于2001年12月3日发布了CCC认证,用强制性产品认证制度(CCC)取代了原来的进口商品安全质量许可制度(CCIB标志)、电气产品安全认证(长城认证)、国家安全认证(CCEE),实现了三证合一。
CCC认证的全称是强制性产品认证制度,是各国政府为保护消费者人身安全和国家安全,加强产品质量管理,依照法律法规实施的产品合格评价制度。3C认证,即中国强制性产品认证体系(CCC,China Compulsory Certification)。
3C认证执行和监督由中国认证监督管理委员会CNCA执行,其授权的15个认证机构和152个实验室具体执行,规定自2002年8月1日起受理第一批列入强制性产品目录的19类132种产品的认证申请,目录中的这些产品必须通过CCC认证并贴上CCC标志才能在市场上销售。
其中信息安全产品有13种。
1.安全操作系统包。
2.隔离、安全和交流信息的组织制度。
3.安全网络布线装置。
4.安全监督制度。
5.数据库结构的安全性。
6.垃圾邮件应对程序(麻烦/麻烦)。
7.防火墙安全系统。
8.入侵和检测系统。
9.产品数据备份/恢复。
10.网络安全包括LAN卡和集线器交换。
11.网络漏洞扫描程序。
12.网站恢复产品。
13.安全智能卡和先进智能卡操作系统技术。
《网络关键设备和网络安全专用产品安全认证证书》和《中国国家信息安全产品认证证书》是强制认证的、双向的,即在产品目录里面的产品就必须要取得相应的认证证书,同时只有在目录里面的产品才能申请认证证书。例如IPS,它在网专的目录里面,而不在信安的目录里面,所以IPS只能且必须申请《网络关键设备和网络安全专用产品安全认证证书》,而不能申请《中国国家信息安全产品认证证书》。《IT产品信息安全认证证书》则是自愿认证的,企业可根据需求自愿申请认证证书。
CCC认证则是强制性产品认证制度,其包含的不仅仅是网络设备或信息化设备,还包含我们生活中常见的各种各样产品,圈里面经常有人将《网络关键设备和网络安全专用产品安全认证证书》、《中国国家信息安全产品认证证书》和CCC认证证书混为一谈,个人觉得是不对的,至少是不严谨的。
