第2章 概述

第1节 编制背景

标准条款

前言

条款解读

一、目的和意图

GB 40050-2021的前言部分给出了文件起草的依据和有关专利的说明，以及文件的提出和归口单位。

二、条款释义

《网络安全法》第二十三条规定：“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。”

从规定中可以看出，开展网络关键设备的安全检测或安全认证必须同时满足3个要素后才能进行。

要素一：确定哪些网络设备是网络关键设备。《网络安全法》第二十三条并没有指明哪些网络设备是关键设备，也没有给出“关键”的定义。《网络安全法》第二十三条是在总结实践经验的基础上提出来的。目前关于安全相关的实践经验有3个。

（1）电信设备进网许可制度，其制定的主要依据是《中华人民共和国电信条例》，涉及电信终端设备、无线电通信设备和网间互联设备。上述设备接入公众通信网需要取得工业和信息化部的进网许可证。

（2）信息安全专用产品销售许可制度，其制定的主要依据是《中华人民共和国计算机信息系统保护条例》，涉及的产品是两大类：安全专用硬件、安全专用软件。

（3）信息安全产品认证制度，其制定的主要依据是《中华人民共和国认证认可条例》，由国家市场监督管理总局（原国家质量监督检验检疫总局）下属的中国网络安全审查技术与认证中心（原信息安全认证中心）具体执行，涉及的主要产品分为八大类（边界安全等）13种（防火墙等）。

从实践的基础上看，电信设备进网许可制度主要是针对网络设备，信息安全专用产品销售许可制度和信息安全产品认证制度主要是针对网络安全专用产品。

网络关键设备中的“关键”二字可以从两个方面理解，一方面是设备位于网络的核心，其处理的数据流量很大，一旦出现问题，造成的安全影响广泛；另一方面是设备用量大，一旦出现问题，影响的范围大。

对于各类设备定义，相关国家标准中给出了定义，可供参考。路由器定义可参考GB/T 25069的2.2.1.86节，交换机定义可参考GB/T 25069的2.2.4.5节，服务器定义可参考GB/T 39680的3.1.1节，PLC定义可参考GB/T 15969.1的3.1.1节。

在实际的执行过程中，对于哪些网络设备属于网络关键设备，可以采用目录的方式进行管理，也可以认为是采用白名单的方式进行管理。采用目录管理的方式，包含两个层面的考虑。一是目录是动态的，不是一成不变的，目录中的产品类型、名称可以随着网络设备的技术发展进行调整；二是对于同样类型的产品，其列入目录的性能参数门槛是可以调整的。具体目录的制定由国家互联网信息办公室牵头，工业和信息化部、公安部、国家认证认可监督管理委员会共同参与制定。

2017年6月1日，国家互联网信息办公室、工业和信息化部、公安部和国家认证认可监督管理委员会四部委发布了1号公告。公告中列出了4种网络关键设备和11种网络安全专用产品的目录。针对每一种类型的设备/产品，在性能方面提出了明确的要求。只有符合这些性能要求的网络设备才能称为网络关键设备，在销售之前需要满足《网络安全法》第二十三条的要求，通过安全检测或安全认证，否则不得销售或提供。

网络关键设备第一批目录和对应的性能指标要求如表2-1所示，网络安全专用产品第一批目录和对应的性能指标要求如表2-2所示。

要素二：明确相应的国家标准的强制性要求。根据《中华人民共和国标准化法》的规定，国内的标准可以分为国家标准、行业标准、团体标准和企业标准。国家标准强制性要求有两个方面的来源。第一个来源是强制性的国家标准，其编号的形式是GB XXXXX-YYYY，其中XXXXX为标准编号，YYYY为年号。网络关键设备必须符合强制性国家标准的要求。第二个来源是推荐性的国家标准，其编号的形式是GB/T XXXXX-YYYY，其中“T”是推荐的意思。通常，推荐性的国家标准中的要求不是强制性的，但当推荐性的国家标准的相关条款在国家发布的规章中引用之后，就成为国家标准的强制性要求，此时，网络关键设备必须满足被引用的推荐性标准条款要求。

《网络安全法》发布之时，并无对应的网络关键设备的国家标准存在，既没有强制性的国家标准，也没有推荐性的国家标准存在。在工业和信息化部网络安全管理局的组织下，网络关键设备对应的强制性国家标准历经立项、征求意见、技术验证、意见处理、技术审查和报批公示6个阶段，用时2年6个月， GB 40050-2021《网络关键设备安全通用要求》于2021年2月20日发布，2021年8月1日正式实施。

要素三：具备资格的机构。2018年3月15日，国家认证认可监督管理委员会、工业和信息化部、公安部和国家互联网信息办公室共同发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录（第一批）的公告【2018年 第12号】，明确了首批承担网络关键设备和网络安全专用产品安全认证和安全检测任务的机构。具体如表2-3所示。

为了保证检测的质量，网络关键设备安全检测的机构除满足《检验检测机构资质认定评审准则》基本条件，具备运转良好的质量体系、相应的人员、基本能力和场地的基础外，在检测经历、能力、人员、环境等方面也需要满足一定的要求。例如：

（1）在能力和经历方面。检测机构应当至少具备对某类或多类网络关键设备标准所规定的检测项目进行检测的能力，且从事相关设备的检测经历较为丰富，例如检测经历时长应当不少于两年，相关设备的测试任务数不少于20个。

（2）检测机构应当具备网络关键设备标准的研制能力和检测工具自主开发能力。

① 具备主流的漏洞扫描专业工具，能对设备和产品进行全面扫描，对扫描结果进行相互印证。

② 具备对IP层协议、路由协议、管理协议进行模糊测试的专业化工具。

③ 具备系统软件分析工具，能够从系统软件中提取关键的模块进行安全分析。

④ 具备代码分析调试能力，能基于模糊测试、已知漏洞测试结果，对系统关键代码进行分析。

⑤ 具备协议分析工具，能够对网络协议、通信协议、应用协议的规范性、一致性、安全性进行检测。

⑥ 具备与所检测设备性能相适应的网络性能测试工具，能够验证网络层、传输层和应用层吞吐量等关键性能参数。检测机构所选用的设备应是具有可追溯性的商用软件和硬件。

⑦ 具备与所检测设备相适应的漏洞库和攻击库，且支持持续同步更新。

⑧ 具备硬件电路非侵入式和半侵入式检测工具，可开展侧信道和半侵入式检测分析。

（3）检测机构应当具备充足的技术人员，其数量、专业技术背景、工作经历、检测能力等应当与所开展的检测活动相匹配。

① 技术人员应当熟悉《网络安全法》及其相关法律法规以及有关安全标准和检测方法的原理，掌握实验室网络安全与防护知识，并应当经过安全相关法律法规和有关专业技术的培训和考核。

② 技术负责人、授权签字人应当熟悉业务，具有网络安全、通信、电子等相关专业的中级及以上技术职称或者同等能力。网络安全、通信、电子等相关专业博士研究生毕业，从事安全检测工作1年及以上；网络安全、通信、电子等相关专业硕士研究生毕业，从事安全检测工作3年及以上；网络安全、通信、电子等相关专业大学本科毕业，从事安全检测工作5年及以上；网络安全、通信、电子等相关专业大学专科毕业，从事安全检测工作8年及以上，可视为具有同等能力。

③ 检测人员应当具有网络安全、通信、电子等相关专业专科及以上学历并具有1年及以上安全检测工作经历，或者具有5年及以上安全检测工作经历。具有中级及以上技术职称或同等能力的人员数量应当不少于从事安全检测活动的人员总数的50%。

④ 检测人员应当具备对设备和产品安全检测相关的研究开发能力，具备发现、分析和定位网络设备安全缺陷的能力，具备对设备和产品渗透攻击测试的能力。

（4）检测机构应当具备开展安全检测活动所必需的且能够独立调配使用的固定工作场所，工作环境应当满足安全检测的功能要求。

① 检测机构应建立稳压、防静电和防范恶意程序的检测环境。

② 检测网络应与其他网络采取隔离措施。如果同时进行多个检测项目，检测机构应保持检测环境的有效分离。当检测活动在检测机构以外场所进行时，其检测环境也应满足要求，并确保检测活动在受控环境下执行。

（5）开展网络关键设备安全检测的实验室，应具备模拟实验环境，试验环境包含固定和移动用户端、接入网、传送网、数据交换网、核心网等各个网络节点设备。

（6）检测机构在运用计算机与信息技术或自动设备系统对检测数据和相关信息进行管理时，应当具有保障其安全性、完整性的措施，并验证有效。

① 检测机构应建立数据（尤其是涉及客户敏感数据、知识产权、安全缺陷等的检测数据、电子和纸质记录以及其他的材料）保护程序，以防止非授权人员的访问；

② 当检测结束后，检测机构应妥善删除检测过程中在被测对象上生成的测试数据（如端口、策略、账号、口令等）。

按照国家市场监督管理总局发布的《强制性国家标准管理办法》，国务院有关行政主管部门依据职责负责强制性国家标准的项目提出、组织起草、征求意见和技术审查。GB 40050-2021由工业和信息化部提出并归口。