原创邓亚林
随着全领域数字化转型深入推进,政府采购网络产品和信息服务日益增多。与此同时,与网络设备和安全产品相关的采购也越来越多。
我国网络安全领域的基本法——《中华人民共和国网络安全法》(以下简称《网络安全法》)于2017年实施。《网络安全法》第23条明确提出网络关键设备和网络安全专用产品执行强制认证和检测制度。2022年1月,随着第一批网络关键设备和网络安全专用产品认证和检测结果发布,该制度正式落地,为国家网络安全产业蓬勃发展提供了有力的保障。
网络关键设备和网络安全专用产品认证和检测制度成功落地运行后,网络关键设备和安全专用产品生产和销售都有了明确可行的强制性标准。采购符合《网络安全法》第二十三条规定的网络关键设备和网络安全专用产品,发挥采购调控功能,督促网络关键设备和网络安全专用产品企业持续做好产品和服务,引领国家网络安全产业高质量发展,是政府采购的重要职能。
政府采购涉及相关产品时该如何采购?如何按照《网络安全法》第23条的规定,在采购相应的产品时提出明确的实质性要求?这需要我们深入了解《网络安全法》并在理解的基础上,在政府采购活动中进一步落实。
何为网络关键设备和网络安全专用产品
为了厘清网络关键设备和网络安全专用产品的概念,笔者对网络关键设备和网络安全专用产品认证和检测制度的发展过程进行了梳理。
2016年11月,《网络安全法》颁布,从系统安全、产品和服务安全、数据安全以及网络安全监测评估等方面出台了近二十项配套制度,其第23条规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
网络关键设备和网络安全专用产品是国家网络安全建设的基础核心设备,其安全性至关重要。从法律层面建立强制安全认证和安全检测制度,是国家保障网络安全总体质量、实现网络安全监管的必要手段。但要落实这一制度,还需具备三个关键要素:实施范围、实施主体和实施依据。
明确制度实施范围、实施主体及实施依据
2017年6月,国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等(以下简称四部门)部门联合制定并发布了《网络关键设备和网络安全专用产品目录(第一批)》,将4类网络关键设备和11类网络安全专用产品纳入安全认证和安全检测对象。4类网络关键设备包括指定参数范围内的路由器、交换机、服务器(机架式)、可编辑逻辑控制器(PLC设备),11类网络安全专用产品包括指定参数范围内的数据备份一体机、防火墙(硬件)、WEB应用防火墙(WAF)、入侵检测系统(IDS)、入侵防御系统(IPS)、安全隔离与信息交换产品(网闸)、反垃圾邮件产品、网络综合审计系统、网络脆弱性扫描产品、安全数据库系统、网站恢复产品(硬件)。
总体而言,第一批目录内产品主要涵盖系统组网所必须的信息技术基础设施,是实现国家安全和社会管理的基本需要,也是保障工业互联网安全的主要对象。该目录目前只发布了第一批,后续还会新增其他关系国家安全和社会管理的基本需要的网络产品。
2018年3月,四部门公布了《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》,确定了第一批有资格承担安全认证和安全检测任务的机构。
同年5月,国家认证认可监督管理委员会和国家互联网信息办公室联合发布《关于网络关键设备和网络安全专用产品安全认证实施要求的公告》,进一步明确了为安全认证机构提供检测服务的实验室名录。
2018年7月,中国国家认证认可监督管理委员会发布《网络关键设备和网络安全专用产品安全认证实施规则(CNCA-CCIS-2018)》,为安全认证的实施提供了依据。
2021年8月,国家市场监督管理总局(国家标准化管理委员会)发布《网络关键设备安全通用要求》(GB 40050-2021),为网络关键设备安全认证和安全检测提供了统一规范。
截至笔者发稿,经在全国标准信息公共服务平台查询,网络安全专用产品强制性国家标准《信息安全技术 网络安全专用产品安全技术要求》已进入批准流程,发布时间指日可待。
2022年1月,为解决网络安全重复检测、重复认证问题,实现安全认证和安全检测结果互认。四部门联合发布《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》。该公告还附上了首批网络关键设备和网络安全专用产品安全认证和安全检测结果,该结果的发布,意味着强制认证和检测制度从制度设立到配套建设到成果落地,实现了制度闭环。
截至目前,最新的网络关键设备和网络安全专用产品安全认证和安全检测结果2022年在9月29日发布。网络关键设备和网络安全专用产品认证和检测制度已经有效运行,为国家全面推进国家网络安全认证检测工作,促进网络安全产业高质量发展起到了有力的推动作用。
在政府采购活动中如何落实
回到政府采购实务中,如何落实《网络安全法》第23条的强制性规定呢?
笔者认为,首先,若采购标的属于《网络关键设备和网络安全专用产品目录》中的设备或产品,则应在政府采购文件中将产品具备安全认证或安全检测作为实质性要求。需要提醒的是,根据《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》的规定,所有认证和检测结果均会统一在网上发布,基于优化营商环境及优化政府采购活动办事程序的要求,采购文件可要求提供认证或检测结果的查询网址作为替代,以便评审委员会评审时在线查询。
其次,根据《中华人民共和国计算机信息系统安全保护条例》第十六条和《计算机信息系统安全专用产品检测和销售许可证管理办法》规定,网络关键设备和网络安全专用产品同时也属于计算机信息系统安全专用产品,因此还需将产品具备《计算机信息系统安全专用产品》作为实质性条款。
最后,《网络关键设备和网络安全专用产品目录》中的多个产品同时也属于实行强制性认证的国家信息安全专用产品,如服务器安全隔离与信息交换产品、网络脆弱性扫描产品、入侵检测系统等。根据《关于信息安全产品实施政府采购的通知》的要求,还应当将产品具备有效的国家信息安全产品认证作为实质性条款。
当然,以上要求仅针对采购网络关键设备和网络安全专用产品,若采购项目中还涉及其他国家强制性的规定,还应同步执行。