网络安全专用产品·安全管理(安全认证合格和安全检测符合)指南
网络安全专用产品·安全管理
资料来源:《关于调整网络安全专用产品安全管理有关事项的公告》答记者问
问一:请介绍一下《公告》发布的背景。
国家互联网信息办公室、工业和信息化部、公安部、财政部、国家认证认可监督管理委员会,五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》,
统一网络安全专用产品认证检测制度,停止颁发《计算机信息系统安全专用产品销售许可证》,停止执行政府采购领域信息安全产品强制认证要求,
依据:《关于调整网络安全专用产品安全管理有关事项的公告》(2023)
公告发布:链接
文件下载:链接
问二:哪些网络安全专用产品,需要按照《公告》要求开展安全认证或者安全检测?
依据:《网络关键设备和网络安全专用产品目录》(2023), 所列的34类网络安全专用产品。
公告发布:链接
问三:哪些认证检测机构是具备资格的机构?
依据:《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录 (第一批) 的公告》(2018)【国家认监委 工业和信息化部 公安部 国家互联网信息办公室】
公告发布:链接
文件下载:链接
网络安全专用产品,认证与检测机构:
1-【市场监督总局】国家质检总局 中国信息安全认证中心 CCRC-ISCCC ...{2-【工信部】 中国信息通信研究院/中国泰尔实验室 CTTL} ... 13-【公安三所】 公安部计算机信息系统安全产品质量监督检验中心 MSTL ... 16-【信息产业信息安全测评中心】 中国电科15所
问四:产品安全认证实施规则?
依据:《 网络关键设备和网络安全专用产品安全认证实施规则(CNCA-CCIS-2023)》
公告发布:链接
问五:安全认证合格 和 安全检测符合 依据什么标准?
一、安全技术要求的国家强制标准:
网络安全专用产品依据 GB 42250《信息安全技术 网络安全专用产品安全技术要求》强制性国家标准开展安全认证和安全检测。
二、具体产品类别的国家推荐标准:
公安部标准查询:https://ywtb.mps.gov.cn/gabzh/portal/xxcx/std
国家标准局标准下载:https://openstd.samr.gov.cn/bzgk/gb/index
认证检测过程中也将参考与之相配套的、针对具体产品类别的国家标准。全国信息安全标准化技术委员会已发布一系列具体产品类别的国家标准,如下:
| 检测对象 | CCRC - ISCCC 检测标准 | ||
| *1 | 数据备份与恢复产品 | GB/T 29765-2021《信息安全技术 数据备份与恢复产品技术要求与测试评价方法》 | 能够对信息系统数据进行备份和恢复,且对备份与恢复过程进行管理的产品。 |
| 2 | 防火墙(网络型防火墙、数据库防火墙、WEB应用防火墙、主机型防火墙) | GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》 | 对经过的数据流进行解析,并实现访问控制及安全防护功能的产品。 |
| 3 | 入侵检测系统(IDS)(网络入侵检测系统、主机入侵检测系统) | GB/T 20275-2021《信息安全技术 网络入侵检测系统技术要求和测试评价方法》 | 以网络上的数据包作为数据源,监听所保护网络节点的所有数据包并进行分析,从而发现异常行为的产品。 |
| 4 | 入侵防御系统(IPS) | GB/T 28451-2023《信息安全技术 网络入侵防御产品技术规范》 | 以网桥或网关形式部署在网络通路上,通过分析网络流量发现具有入侵特征的网络行为,在其传入被保护网络前进行拦截的产品。 |
| 5 | 网络和终端隔离产品 | GB/T 20279-2024《网络安全技术 网络和终端隔离产品技术规范》 | 在不同的网络终端和网络安全域之间建立安全控制点,实现在不同的网络终端和网络安全域之间提供访问可控服务的产品。 |
| 6 | 反垃圾邮件产品 | GB/T 30282-2023《信息安全技术 反垃圾邮件产品技术规范》 | 能够对垃圾邮件进行识别和处理的软件或软硬件组合,包括但不限于反垃圾邮件网关、反垃圾邮件系统、安装于邮件服务器的反垃圾邮件软件,以及与邮件服务器集成的反垃圾邮件产品等。 |
| 7 | 网络安全审计产品 | GB/T 20945-2023《信息安全技术 网络安全审计产品技术规范》 | 采集网络、信息系统及其组件的记录与活动数据,并对这些数据进行存储和分析,以实现事件追溯、发现安全违规或异常的产品。 |
| 8 | 网络脆弱性扫描产品 | GB/T 20278-2022《信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》 | 利用扫描手段检测目标网络系统中可能存在的安全弱点的软件或软硬件组合的产品。 |
| *9 | 安全数据库系统 | 从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略的数据库系统,目的是在数据库层面保障数据安全。 | |
| 10 | 网站数据恢复产品 | 提供对网站数据的监测、防篡改,并实现数据备份和恢复等安全功能的产品。 | |
| 11 | 虚拟专用网产品 | 在互联网链路等公共通信基础网络上建立专用安全传输通道的产品。 | |
| 12 | 防病毒网关 | 部署于网络和网络之间,通过分析网络层和应用层的通信,根据预先定义的过滤规则和防护策略实现对网络内病毒防护的产品。 | |
| 13 | 统一威胁管理产品(UTM) | 通过统一部署的安全策略,融合多种安全功能,针对面向网络及应用系统的安全威胁进行综合防御的网关型设备或系统。 | |
| 14 | 病毒防治产品 | 用于检测发现或阻止恶意代码的传播以及对主机操作系统应用软件和用户文件的篡改、窃取和破坏等的产品。 | |
| 15 | 安全操作系统 | 从系统设计、实现到使用等各个阶段都遵循了一套完整的安全策略的操作系统,目的是在操作系统层面保障系统安全。 | |
| 16 | 安全网络存储 | 通过网络基于不同协议连接到服务器的专用存储设备。 | |
| 17 | 公钥基础设施 | 支持公钥管理体制,提供鉴别、加密、完整性和不可否认服务的基础设施。 | |
| 18 | 网络安全态势感知产品 | 通过采集网络流量、资产信息、日志、漏洞信息、告警信息、威胁信息等数据,分析和处理网络行为及用户行为等因素,掌握网络安全状态,预测网络安全趋势,并进行展示和监测预警的产品。 | |
| 19 | 信息系统安全管理平台 | 对信息系统的安全策略以及执行该策略的安全计算环境、安全区域边界和安全通信网络等方面的安全机制实施统一管理的平台。 | |
| 20 | 网络型流量控制产品 | 对安全域的网络进行流量监测和带宽控制的流量管理系统。 | |
| 21 | 负载均衡产品 | 提供链路负载均衡、服务器负载均衡、网络流量优化和智能处理等功能的产品。 | |
| 22 | 信息过滤产品 | 对文本、图片等网络信息进行筛选控制的产品。 | |
| 23 | 抗拒绝服务攻击产品 DDoS | 用于识别和拦截拒绝服务攻击、保障系统可用性的产品。 | |
| 24 | 终端接入控制产品 | 提供对接入网络的终端进行访问控制功能的产品。 | |
| 25 | USB移动存储介质管理系统 | 对移动存储设备采取身份认证、访问控制、审计机制等管理手段,实现移动存储设备与主机设备之间可信访问的产品。 | |
| *26 | 文件加密产品 | 用于防御攻击者窃取以文件等形式存储的数据、保障存储数据安全的产品。 | |
| *27 | 数据泄露防护产品 |
GA∕T 912-2018 《信息安全技术 数据泄露防护产品安全技术要求》 |
通过对安全域内部敏感信息输出的主要途径进行控制和审计,防止安全域内部敏感信息被非授权泄露的产品。 |
| *28 | 数据销毁软件产品 | 采用信息技术进行逻辑级底层数据清除,彻底销毁存储介质所承载数据的产品。 | |
| 29 | 安全配置检查产品 | 基于安全配置要求实现对资产的安全配置检测和合规性分析,生成安全配置建议和合规性报告的产品。 | |
| 30 | 运维安全管理产品 | 对信息系统重要资产维护过程实现单点登录、集中授权、集中管理和审计的产品。 | |
| 31 | 日志分析产品 | 采集信息系统中的日志数据,并进行集中存储和分析的安全产品。 | |
| 32 | 身份鉴别产品 | 要求用户提供以电子信息或生物信息为载体的身份鉴别信息,确认应用系统使用者身份的产品。 | |
| 33 | 终端安全监测产品 | 对终端进行安全性监测和控制,发现和阻止系统和网络资源非授权使用的产品。 | |
| *34 | 电子文档安全管理产品 | 通过制作安全电子文档或将电子文档转换为安全电子文档,对安全电子文档进行统一管理、监控和审计的产品。 | |
|
|
问六:政府采购领域如何执行《公告》要求?
答:2023年7月1日之前,在政府采购活动中采购网络安全产品的,仍然执行原规定,即国家信息安全产品认证在政府采购法规定的范围内强制实施,各级国家机关、事业单位和团体组织使用财政性资金采购信息安全产品的,应当采购经国家认证的信息安全产品。
2023年7月1日起,在政府采购活动中采购网络安全产品的,不需产品提供国家信息安全产品认证证书。政府采购活动中不得要求或者采取加分等措施变相要求投标产品同时满足安全认证合格和安全检测符合要求。
问七:安全认证和安全检测结果如何发布?
答:认证检测机构会直接通过网络关键设备和网络安全专用产品认证检测结果发布系统报送安全认证合格或者安全检测符合要求的网络安全专用产品清单,有关主管部门审核后,由国家网信部门会同工业和信息化部、公安部、国家认监委统一公布,供社会查询和使用。
1. 中央网信办检索链接:网络关键设备和网络安全专用产品安全认证和安全检测结果检索
2. 中国网络安全审查认证和市场监管大数据中心(CCRC)(国家信息安全产品质量检验检测中心) 查询专区:链接
问八:2023年7月1日起,产品生产者是否需要同时进行安全认证和安全检测?
答:不需要。安全认证合格或者安全检测符合要求,具有同等市场准入效力,产品生产者不必重复申请。同一款产品在有效期内重复申请的,国家网信办不再公布认证检测结果。
2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应至少符合以下条件之一,方可销售或者提供:
- 一是依据《公告》要求,按照 GB 42250《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准强制性要求,由具备资格的机构安全认证合格或安全检测符合要求的;
- 二是此前已经获得《计算机信息系统安全专用产品销售许可证》,且在有效期内的。
未列入《网络关键设备和网络安全专用产品目录》的其它相关产品,如法律法规没有特殊规定,可按照市场需求销售或者提供。
浙公网安备 33010602011771号