跟着信息和通讯技能的进化和全范畴的数字化转型，公共组织、企业、个人运用的网络产品和信息服务日益增多，网络设备在政务、通讯、卫生、动力、金融和运送等重要部分范畴中发挥的中心效果也不断增强。数字化和衔接性是万物互联年代的网络设备根本特点，也让整个社会更简单遭受网络安全要挟；单个网络设备的缝隙或许成为影响网络系统安全的薄弱环节而被运用，网络要害设备则成为网络危险的首要来历和网络进犯的要点方针，将网络要害设备归入要点办理方针成为国内外的遍及做法。我国2016年11月发布的《网络安全法》第二十三条提出了网络要害设备安全认证和安全检测准则，欧盟在2019年4月发布的《欧洲网络安全法》和美国在2020年12月发布的《物联网网络安全改进法》也树立了相似的网络安全认证准则。为了执行我国《网络安全法》，国家互联网信息办公室和谐多部委打开了一系列遵循执行作业，网络要害设备的第一批安全认证和安全检测效果近来一致发布，该准则的法令施行效果将日益闪现。

  网络进犯正在添加，更简单遭到网络要挟和进犯的要害范畴需求更强壮的防护。网络要害设备采用依标出产、安全认证和安全检测准则，在流转出售之前进行产品质量办理，以假定网络进犯发生而在规划和开发的开始阶段采用战略将影响降到最低，然后削减歹意运用构成的损害危险并保证我国网络安全要害范畴的安稳有序。根据《网络安全法》《暗码法》等法规，网络要害设备现已被列为专门方针进行办理。在《网络安全法》第二十三条中，网络要害设备和网络安全专用产品应当依照相关国家规范的强制性要求，由具有资历的组织安全认证合格或许安全检测契合要求后，方可出售或许供给。在《暗码法》第二十六条中，触及国家安全、国计民生、社会公共利益的商用暗码产品，应当依法列入网络要害设备和网络安全专用产品目录，由具有资历的组织检测认证合格后，方可出售或许供给。

  2017年6月，国家互联网信息办公室会同工业和信息化部、公安部和国家认证认可监督办理委员会发布了《网络要害设备和网络安全专用产品目录（第一批）》，将4类网络要害设备（路由器、交流机、机架式服务器、PLC设备）和11类网络安全专用产品（数据备份一体机、硬件防火墙、侵略检测、防护系统、安全阻隔与信息交流产品、安全数据库等）归入安全认证和安全检测方针，列入目录的设备和产品需求依照相关国家规范的强制性要求，由具有资历的组织安全认证合格或许安全检测契合要求后，方可出售或许供给。全体而言，第一批产品目录首要会集在系统组网所有必要的IT根底硬件设备，归于国家安全和社会办理的根本需求，也是保证工业互联网安全的首要方针。

  网络要害设备和网络安全专用产品目录在现在只发布了第一批，后续还应当新增其它牵涉国家安全和社会办理的根本需求的产品，这也是各国坚持网络安全办理弹性的根本做法。为了实行安全责任，相关方应当盯梢《网络要害设备和网络安全专用产品目录》的更新状况。与此一起，无论是关于网络设备的出产者仍是相关范畴的用户，都应当对自己出产或运用的产品进行整理，判别是否有产品落入《网络要害设备和网络安全专用产品目录》的规模，对此类产品打开专项合规作业。

  技能规范是安全认证和安全检测的评判根据，《欧洲网络安全法》就提出，在预备欧洲网络安全认证方案时，欧盟网络安大局（ENISA）应定时咨询规范化组织，特别是欧洲规范化组织。我国《网络安全法》第二十三条也规矩，对网络要害设备和网络安全专用产品根据国家规范强制性要求打开安全认证和安全检测。网络要害设备有标可循，可以划定网络安全的底线，将为执行《网络安全法》关于网络要害设备安全认证和安全检测作业供给重要技能根据、清晰网络要害设备应具有的根本安全才干、为各类网络要害设备制修订引荐性规范供给安全要求结构和辅导，终究构成产品出产出售根据和消费购买的区分攻略。

  2021年2月20日，国家商场监督办理总局（国家规范化办理委员会）发布2021年第1号公告，同意了《网络要害设备安全通用要求》（GB 40050-2021），这是我国网络安全范畴为数不多的强制性规范之一，将成为网络要害设备安全认证和安全检测的一致规范。

  《网络要害设备安全通用要求》为不同类型的网络要害设备树立一致的安全技能要求，可适用于当时和未来的各类网络要害设备，一起也有利于树立一致的安全办理系统。该强制性规范的首要内容包含安全功用要求和安全保证要求两个部分。其一，安全功用要求聚集于保证和进步设备的安全技能才干，首要包含设备标识安全、冗余备份康复与反常检测、缝隙和歹意程序防备、预装软件发动及更新安全、用户身份标识与辨别、拜访操控安全、日志审计安全、通讯安全、数据安全以及暗码要求10个部分。其二，安全保证要求聚集于规范网络要害设备供给者在设备全生命周期的安全保证才干，首要包含规划和开发、出产和交给、运转和维护三个环节的要求。以上安全要求构成了网络要害硬件产品的安全办理系统。在智能网联轿车、电子医疗设备、工业自动化操控系统和智能电网等范畴，网络要害设备的一致要求还将对下流产品开发和运用供给明显的便当，为集成运用的开发者供给出产便当。

  认证检测在进步数字世界重要产品和服务的信赖度和安全性方面发挥着至关重要的效果，只要大众和各类用户遍及信赖此网络要害设备可以供给必要的网络安全，可以以第三方监督的方法弥合买卖双方的信息不对称，以合格鉴定的方法树立社会公信力，数字经济和物联网才干蓬勃打开。在自愿性检测和认证的阶段，企业经过第三方合格鉴定来展现安全服务才干或许产品的安全质量。根据《网络安全法》的要求，未来没有经过安全认证或安全检测的设备和产品将不能在国内商场出售。近期，国家互联网信息办公室和谐多个部分根据《网络要害设备安全通用要求》打开了第一批安全认证和安全检测，这标志着网络要害设备的安全认证和安全检测正式开花效果。

  2018年3月，国家认证认可监督办理委员会、工业和信息化部、公安部、国家互联网信息办公室就联合发布了《关于发布承当网络要害设备和网络安全专用产品安全认证和安全检测使命组织名录（第一批）的公告》，确立了16家认证和检测组织。企业可自主挑选施行一种第三方鉴定方法，也即由委托人自行挑选具有资历的组织进行安全认证或许安全检测。根据办理责任分工，挑选认证方法的网络要害设备和网络安全专用产品，安全认证合格后，由认证组织报国家认证认可监督办理委员会；挑选检测方法的网络要害设备，安全检测契合要求后，由检测组织报工业和信息化部；挑选检测方法的网络安全专用产品，安全检测契合要求后，由检测组织报公安部。为了整合各部委责任，完成归口办理，终究效果由国家互联网信息办公室汇总三方一致发布。事实上，检测、查验、认证、认可均归于《合格鉴定 词汇和通用准则》（ISO/IEC17000）所认可的合格鉴定方式，其间的检测（Testing）是“依照程序确认合格鉴定方针一个或多个特性的活动”。换而言之，便是根据技能规范和规范，运用仪器设备，进行点评的活动，其点评效果为测试数据。认证（Certification）是“与产品、进程、系统或人员有关的第三方证明”；换而言之，便是指由具有第三方性质的认证组织证明产品、服务、办理系统、人员契合相关规范和技能规范的合格鉴定活动。为了支撑认证作业的打开，国家认证认可监督办理委员会在2018年还发布了《网络要害设备和网络安全专用产品安全认证施行规矩》（CNCA-CCIS-2018），规矩了打开网络要害设备和网络安全专用产品安全认证的根本准则和要求。

  在《网络安全法》立法进程中，立法部分留意到我国有多个政府部分根据各自责任打开网络相关设备和产品的安全认证和安全检测，产品规模有重复，认证检测的项目有穿插，要求和规范也不一致，致使需求重复认证、检测，构成资源糟蹋，添加企业担负。一致的商场需求一致的认证机制，网络安全认证也需求对出产者和全社会构成一致的适用口径。针对这种状况，《网络安全法》第二十三条规矩，国家网信部分会同国务院有关部分拟定、发布网络要害设备和网络安全专用产品目录，并推动安全认证和安全检测效果互认，防止重复认证、检测。一起，依照《关于发布〈网络要害设备和网络安全专用产品目录（第一批）〉的公告》（国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督办理委员会公告 2017年第1号）和《关于一致发布网络要害设备和网络安全专用产品安全认证和安全检测效果的公告》（国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督办理委员会公告 2022年第1号）要求，国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督办理委员会一致发布网络要害设备和网络安全专用产品的安全认证和安全检测效果，有利于掌握、监督和和谐各部分之间的责任区分，对社会构成一个威望的信息获取途径。

  面向未来，越来越多的产品和服务将在全国和全球规模内发生数量极多的衔接性数字设备，万物互联、数字孪生的数字空间将关系到个人利益、组织利益和国家利益的方方面面，构建以网络要害设备和网络安全专用产品的安全认证和安全检测为代表的安全监督机制，将成为维护网络安全的根本盘的柱石。

  近期，国家互联网信息办公室发布第一批经过网络要害设备和网络安全专用产品安全认证和安全检测的设备和产品名单，是国家全面推动国家网络安全认证检测作业，执行《中华人民共和国网络安全法》第二十三条以及《关于发布〈网络要害设备和网络安全专用产品目录（第一批）〉的公告》（国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督办理委员会公告 2017年第1号）相关要求的重要标志。

  2017年6月1日，《中华人民共和国网络安全法》正式施行，清晰了网络要害设备和网络安全专用产品应当依照相关国家规范的强制性要求，由具有资历的组织安全认证合格或许安全检测契合要求后，方可出售或许供给。将网络要害设备和网络安全专用产品安全认证和安全检测作业进步到了国家法令层面，奠定了作业根底。同期，国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督办理委员会联合发布了《网络要害设备和网络安全专用产品目录（第一批）》的公告，为网络要害设备和网络安全专用产品安全认证和安全检测作业供给了作业根据。

  网络要害设备和网络安全专用产品作为国家网络安全建造的根底中心设备，其认证和检测作业是服务国家经济打开、保证国家网络安全全体质量、完成国家网络安全监管的重要手法。一起，也对加强质量安全、促进工业打开、维护顾客合法权益、精确掌握产品生态环境起着明显效果。首要表现在：

  网络要害设备和网络安全专用产品安全认证和安全检测选用的规范是我国自主拟定的针对详细产品的国家规范，经过认证检测的反馈效果，引导消费和收购，构成有用的挑选机制，维护了用户的合法权益，向顾客、企业、政府、社会传递信赖。推动认证检测，可以激起商场自主挑选的活力，调集网络要害设备和网络安全专用产品职业“敢为抢先”的主动性。认证、检测组织安身经济社会打开需求，发挥专业技能优势，在进步产品质量、推动工业晋级、促进经济社会立异打开等方面作出了活跃奉献。

  认证检测是商场经济条件下加强质量办理、进步商场功率的根底性准则，是商场经济活动的必要环节，不走弯路，指路引航。可以在商场中起到源头把关、净化商场的效果，紧扣“高质量”这一要害词，解放思想、开阔视野，愈加科学地算好“加法”和“减法”。传递威望牢靠信息，树立商场信赖机制，完成互信互任，有用下降商场危险。继续推动企业研制产品的力度、全面进步产品规划的高度、不断拓展产品联动的宽度、推动耐久产品品牌沉淀的厚度，促进企业进步本身的竞赛力，完善本身办理水平、服务认识，紧跟年代，精准发力。愈加利于企业间的良性竞赛，稳步激起网络要害设备和网络安全专用产品职业的无限活力。

  认证检测为监管部分供给了法令法规和完成公共政策方针的手法，优化商场准入，规范商场秩序，使监管部分可以运筹帷幄，总览大局。政府部分在进行监管时，采用第三方认证检测组织专业化的评测效果，做到有理可依、有据可循，表现监管进程的严谨性、科学性、公正性，一起大大下降了潜在的监管本钱，到达事半功倍的效果。

  本次网络要害设备和网络安全专用产品安全认证和安全检测效果发布之后，国家可经过打开安全认证和安全检测的网络要害设备和网络安全专用产品继续监管，不断稳固国家网络安全认证检测作业取得的效果。经过认证检测作业，推动网络要害设备和网络安全专用产品企业继续做好产品和服务，促进职业的蓬勃打开。

  作者：吴沈括北京师范大学互联网打开研究院院长助理、博导，我国互联网协会研究中心副主任

  放眼今天我国，新一代网络信息技能的运用出现广泛遍及和快速迭代的明显态势，社会运转和经济打开的各个方面现已遍及驶入全要素数字化转型的前史快车道，由此催生新的技能架构、新的事务形式和新的运用场景，让各方拥抱着更为多样的打开机会；一起也引发新的技能要素危险、组织办理危险和信息内容危险，使大众面对着更为广泛的安全要挟。

  我国现已全面进入高质量打开新阶段，特别是在网络强国和数字我国等战略的引领下，做强做优数字经济的重要前提条件是构筑高效可用的根底设备、建造安全可信的网络空间，而保证网络要害设备和网络安全专用产品的安全特点自是题中应有之义，也成为法令法规和法令作业中的重要出题。

  一方面，立法上，作为顶层准则规划的《中华人民共和国网络安全法》第二十三条清晰规矩，网络要害设备和网络安全专用产品应当依照相关国家规范的强制性要求，由具有资历的组织安全认证合格或许安全检测契合要求后，方可出售或许供给。国家网信部分会同国务院有关部分拟定、发布网络要害设备和网络安全专用产品目录，并推动安全认证和安全检测效果互认，防止重复认证、检测。

  另一方面，法令上，为执行《中华人民共和国网络安全法》的准则要求，加强网络要害设备和网络安全专用产品安全办理，国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督办理委员会等部分于2017年6月1日拟定发布了《网络要害设备和网络安全专用产品目录（第一批）》。与此相应地，2021年2月20日，国家商场监督办理总局（国家规范化办理委员会）发布2021年第1号公告，正式推出网络安全范畴强制性国家规范《网络要害设备安全通用要求》（GB 40050-2021）。

  而此次由国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督办理委员会一致发布第一批网络要害设备安全认证和安全检测效果，具有重要的准则含义、实务含义和生态含义：

  其一，就准则建造而言，第一批网络要害设备安全认证和安全检测效果的发布意味着完成了从法令到目录、从规范到清单的准则闭环，是推动法令规范的各项规矩要求实在落地的重要行动，进一步进步了我国网络安全法治水平。

  其二，就法令实务而言，网络要害设备安全认证和安全检测作业的常态化打开，是强化网络要害设备和网络安全专用产品安全的日常办理作业的必要配套，特别是可以有用助力于缓解实务中存在的重复认证、重复检测现象，进步网络安全法令作业的威望性、一致性和适用性，也有助于下降企业单位的运营本钱与合规担负。

  其三，就生态培养而言，跟着网络要害设备和网络安全专用产品安全认证和安全检测作业的继续推动，一批优异的设备产品出产商、供货商将会凭仗本身实力锋芒毕露，并在商场环境中发生广泛的演示、引领和带动效应，招引更多的利益相关方向先进规范看齐，拉高工业链和供应链的全体安全水准，从而构成可继续的良性数字安全生态。

  做好网络要害设备和网络安全专用产品安全认证和安全检测作业 促进网络安全工业高质量打开

  近期，国家互联网信息办公室发布第一批经过网络要害设备和网络安全专用产品安全认证和安全检测的设备和产品名单，是国家全面推动网络安全认证检测作业，执行《中华人民共和国网络安全法》第二十三条以及《关于发布〈网络要害设备和网络安全专用产品目录（第一批）〉的公告》（国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督办理委员会公告 2017年第1号）相关要求的重要标志。认证和检测是合格鉴定的重要内容，也是国家质量根底设备（NQI）中不可或缺的重要组成部分，在国民经济和社会打开中发挥着重要的效果。运用认证和检测的手法对网络要害设备和网络安全专用产品的安全性施行点评，是习惯工业打开需求，保证重要信息系统安全的一项具有重要含义的准则组织。

  根据《中华人民共和国网络安全法》第二十三条要求，“网络要害设备和网络安全专用产品应当依照相关国家规范的强制性要求，由具有资历的组织安全认证合格或许安全检测契合要求后，方可出售或许供给”。安全认证和安全检测的执行要具有三个要害要素，即施行规模、施行主体和施行根据。2017年6月，国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督办理委员会四部委发布《网络要害设备和网络安全专用产品目录（第一批）》，确认对4类网络要害设备和11类网络安全专用产品施行安全认证和安全检测，清晰了准则施行规模。2018年3月，发布了《关于发布承当网络要害设备和网络安全专用产品安全认证和安全检测使命组织名录（第一批）的公告》，清晰了施行主体。同年5月，国家认证认可监督办理委员会和国家互联网信息办公室联合发布的《关于网络要害设备和网络安全专用产品安全认证施行要求的公告》中，进一步清晰了为安全认证组织供给检测服务的实验室名录。2018年发布的《网络要害设备和网络安全专用产品安全认证施行规矩》（CNCA-CCIS-2018），为安全认证的施行供给了根据。2021年，《网络要害设备安全通用要求》（GB 40050-2021）的发布，为网络要害设备安全认证和安全检测的落地，供给了技能规范。

  网络要害设备和网络安全专用产品安全认证和安全检测准则的树立，是我国在网络安全范畴，依法树立产品认证准则，建造认证系统的行之有用的测验。首要表现在以下方面：

  网络要害设备和网络安全专用产品安全认证和安全检测，相关办理部分触及工业和信息化部、公安部、国家认证认可监督办理委员会，在现有相关行政批阅、安全认证准则项下，为习惯相应范畴办理要求，构成了不同的产品规范。在国家互联网信息办公室的和谐下，安全认证和安全检测各施行组织运用一致的技能规范对网络要害设备和网络安全专用产品进行安全性点评，为推动安全认证和安全检测效果互认，防止重复认证、检测奠定了根底。

  安全认证和安全检测准则选取了现有相关办理准则项下的认证和检测组织作为施行单位，既充分发挥了专业组织的技能优势，有用运用现有认证和检测资源，又防止了网络安全范畴合格鉴定才干低水平重复建造，为网络要害设备和网络安全专用产品安全认证和安全检测与现有办理准则的协同推动发明了条件。

  网络要害设备和网络安全专用产品安全认证的施行，在产品合规性继续监管方面发挥了重要效果。根据《网络要害设备和网络安全专用产品安全认证施行规矩》，认证形式为“型式实验+工厂查看+获证后监督”的认证形式。在型式实验阶段，检测组织对企业供给的样品进行检测，以判别其是否契合规范要求；在工厂查看阶段，认证组织对制造商和出产企业的安全保证才干和质量保证才干进行审阅，以判别其是否具有继续出产出契合规范要求的产品的才干；在企业取得认证证书后，证书有用期内，认证组织经过继续的盯梢查看，对获证产品契合性进行监督。

  认证作为世界通行的合格鉴定手法，在产品合规性办理及质量进步方面正发挥着日益重要的效果。对信息技能产品施行安全认证现已成为欧洲、美国等国家和地区网络安全和隐私维护的重要内容。网络要害设备和网络安全专用产品安全认证的施行，为国家对产品的质量监管供给了有力的抓手和重要支撑。