网络安全法适用指南
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

第三节 网络安全社会化服务体系

适用要点

1.网络安全认证

2.网络安全检测

3.网络安全风险评估


网络安全社会化服务主要包括网络安全认证、检测和风险评估等业务。网络安全认证、检测和风险评估等业务在提升网络产品和服务质量以及网络安全性保护水平等方面发挥着越来越重要的作用。《网络安全法》旨在建立的网络安全社会服务体系包括网络安全认证服务、网络安全检测服务以及网络安全风险评估服务。《网络安全法》第十七条规定:“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。”此外,《网络安全法》第二十三条规定了网络关键设备和网络安全专用产品的认证检测服务;第三十八条、第三十九条规定了关键信息基础设施的检测评估服务;第十七条为推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全服务作出了原则性的规定,为将来具体政策和措施的出台提供了依据。

一、网络安全认证

(一)网络安全认证的概念

根据《认证认可条例》第二条的规定,认证是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。与此相应,网络安全认证是指认证机构对与网络安全有关的产品、服务以及管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动,具体包括网络安全产品认证、网络安全服务认证和网络安全管理体系认证。

1.网络安全产品认证

我国已经建立了信息安全产品认证制度。信息安全产品认证包括强制性产品认证和自愿性产品认证。其中,强制性产品认证是一种法定强制性安全认证制度,通过制定强制性产品认证目录和实施强制性产品认证程序,对列入目录中的产品实施强制检测和审核。凡列入强制性产品认证目录的产品,没有获得指定认证机构的认证证书,没有按规定加施认证标志,一律不得进口、不得出厂销售和在经营服务场所使用。2008年,国家质检总局、国家认监委发布的《关于部分信息安全产品实施强制性认证的公告》中提出,要对部分信息安全产品实施强制性认证,并发布了《第一批信息安全产品强制性认证目录》。《第一批信息安全产品强制性认证目录》涵盖了边界安全、通信安全、身份鉴别与访问控制等类,包括防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换产品、安全路由器、智能卡COS、数据备份与恢复产品、安全操作系统、安全数据库系统、反垃圾邮件产品、入侵检测系统、网络脆弱性扫描产品、安全审计产品、网络恢复产品等。2016年,国家认监委在《关于加快发展自愿性产品认证工作的指导意见》中提出,要重点围绕网络安全等公共安全体系提供认证服务。http://www.cnca.gov.cn/xxgk/zxtz/2015/201512/t20151230_44202.shtml.2017年,国家互联网信息办公室、工业和信息化部、公安部、国家认监委联合发布了《网络关键设备和网络安全专用产品目录(第一批)》,明确列入《网络关键设备和网络安全专用产品目录》的设备和产品,应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。其中,网络关键设备包括路由器、交换机、服务器等。网络安全专用产品包括数据备份一体机、入侵防御系统、Web应用防火墙等。与强制性产品认证相对应的是自愿性产品认证。

2.网络安全服务认证

随着信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用也日益突显。从我国目前已经开展的认证服务来看,网络安全服务认证包括电信服务认证、信息检索和提供服务认证。信息来源:http://cx.cnca.cn/rjwcx/pub/web/institutionCommonInfoView/index.do?progId=3010&title=%E8%AE%A4%E8%AF%81%E6%9C%BA%E6%9E%84%E7%9B%AE%E5%BD%95#。此外,网络安全服务认证还包括信息安全服务资质认证。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。目前,信息安全服务资质认证包括应急处理服务资质认证、风险评估服务资质认证、灾难备份与恢复服务资质认证等。

3.网络安全管理体系认证

网络安全管理体系认证包括信息安全管理体系认证和信息技术服务管理体系认证。信息来源:http://cx.cnca.cn/rjwcx/pub/web/institutionCommonInfoView/index.do?progId=3010&title=%E8%AE%A4%E8%AF%81%E6%9C%BA%E6%9E%84%E7%9B%AE%E5%BD%95#。信息安全管理体系是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动,是组织在整体或特定范围内建立信息安全方针和目标以及完成这些目标所用的方法的体系。http://www.isccc.gov.cn/zxyw/txrz/ismsrz/08/870549.shtml.信息技术—服务管理体系的目标是以合适的成本提供满足客户质量要求的IT服务,从流程、人员和技术三方面提升IT的效率和效用,强调将企业的运营目标、业务需求与IT服务提供相协调一致。http://www.isccc.gov.cn/zxyw/txrz/itsmrz/08/870551.shtml.

(二)网络安全认证规范体系

目前,我国已经颁布了一些与网络安全认证相关的规范。

法律法规层面,2009年修正的《产品质量法》第十四条《产品质量法》第十四条规定:国家根据国际通用的质量管理标准,推行企业质量体系认证制度。企业根据自愿原则可以向国务院产品质量监督部门认可的或者国务院产品质量监督部门授权的部门认可的认证机构申请企业质量体系认证。经认证合格的,由认证机构颁发企业质量体系认证证书。国家参照国际先进的产品标准和技术要求,推行产品质量认证制度。企业根据自愿原则可以向国务院产品质量监督部门认可的或者国务院产品质量监督部门授权的部门认可的认证机构申请产品质量认证。经认证合格的,由认证机构颁发产品质量认证证书,准许企业在产品或者其包装上使用产品质量认证标志。规定了企业质量体系认证制度和产品质量认证制度,并规定主管机构为国务院产品质量监督部门认可的或者国务院产品质量监督部门授权的部门。行政法规方面,2016年修正的《认证认可条例》对于认证认可作了专门的规定。该条例对于认证机构的资质要求、认证工作的开展和监督管理均进行了规范。部门规范性文件方面,2008年,国家质检总局、国家认监委《关于部分信息安全产品实施强制性认证的公告》决定对部分信息安全产品实施强制性认证,并发布了《第一批信息安全产品强制性认证目录》。2009年,国家质检总局、财政部、国家认监委《关于调整信息安全产品强制性认证实施要求的公告》(2009年第33号)将强制实施时间延至2010年5月1日,在《政府采购法》规定的范围内强制实施,并公布了针对13种信息安全产品强制性认证实施规则。

国家标准层面,对于网络安全产品、服务和管理体系认证依据主要是一些网络安全方面的国家标准,包括《信息安全技术 网络入侵检测系统技术要求和测试评价方法》(GB/T 20275—2013)、《信息安全技术 网络脆弱性扫描产品安全技术要求》(GB/T 20278—2013)、《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》(GB/T 20945—2013)、《信息安全技术 防火墙安全技术要求和测试评价方法》(GB/T 20281—2015)和《信息安全技术 网络和终端隔离产品安全技术要求》(GB/T 20279—2015)、《信息技术 安全技术 信息安全管理体系审核和认证机构要求》(GB/T 25067—2016)、《信息安全技术 数据备份与恢复产品技术要求与测试评价方法》(GB/T 29765—2013)、《信息安全技术 网站数据恢复产品技术要求与测试评价方法》(GB/T 29766—2013)以及《信息安全技术 反垃圾邮件产品技术要求和测试评价方法》(GB/T 30282—2013)、《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007)。

《网络安全法》颁布之后,《国务院关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》指出,要完善网络安全标准体系,建设标准验证平台,支持第三方专业机构开展安全评估和认证工作,并进一步指出负责机构为中央网信办、工业和信息化部、公安部、新闻出版广电总局、质检总局等。2017年,国家认监委在其《认证认可检验检测信息化“十三五”建设任务与行动计划》中提出要强化信息安全认证,建立完善全面覆盖信息技术产品、系统服务、管理和人员的信息安全认证评价体系。

(三)网络安全认证业务机构

网络安全认证的业务机构是指具有相关资质,能够提供网络安全相关认证服务的第三方机构。根据《认证认可条例》的规定,取得认证机构资质,应当经国务院认证认可监督管理部门批准,并在批准范围内从事认证活动,未经批准,任何单位和个人不得从事认证活动。国务院认证认可监督管理部门应当公布依法取得认证机构资质的企业名录。截至2017年9月16日,在国家认监委网站上查询可知目前我国网络安全认证的业务机构情况如下。

信息安全产品认证方面,中国信息安全认证中心是唯一一家具有信息安全产品认证资质的机构,负责实施国家信息安全产品认证。其业务范围包括防火墙产品、网络安全隔离卡与线路选择器产品、安全隔离与信息交换产品、安全路由器产品、智能卡COS产品、数据备份与恢复产品、安全操作系统产品、安全数据库系统产品、反垃圾邮件产品、入侵检测系统产品、网络脆弱性扫描产品、安全审计产品、网站恢复产品。

在网络安全服务认证方面,具有相关认证资质的机构有中国信息安全认证中心、北京赛迪认证中心有限公司、中军联合(北京)认证有限公司、放心联合认证中心(北京)有限公司4家。

在网络安全管理体系方面,从事信息安全管理体系认证以及信息技术服务管理体系认证的机构有中国质量认证中心、上海质量体系审核中心、北京中大华远认证中心等15家。

二、网络安全检测

(一)网络安全检测的内涵

网络安全检测包括与网络安全有关的产品测评和网络安全等级保护测评。其中产品测评包括信息安全产品认证测评、信息安全产品选型测试、信息技术产品测评、网络设备性能测试、智能卡及读卡器安全测评等。网络安全等级保护测评是指测评机构依据相关技术标准,检测评估定级对象安全等级保护状况是否符合相应等级基本要求的过程,是落实信息(网络)安全等级保护制度的重要环节。

(二)网络安全检测的规范体系

1.政策法规

1994年,国务院颁布的《计算机信息系统安全保护条例》第十六条规定,国家对计算机信息系统安全专用产品的销售实行许可证制度。1997年,公安部颁布《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部令第32号)第四条规定,安全专用产品的生产者申领销售许可证,必须对其产品进行安全功能检测和认定。2000年,公安部颁布的《计算机病毒防治管理办法》第十三条规定,任何单位和个人销售、附赠的计算机病毒防治产品,应当具有计算机信息系统安全专用产品销售许可证。《网络安全法》第二十三条规定,国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。2017年,国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合发布了《网络关键设备和网络安全专用产品目录(第一批)》。

2.国家标准

我国已颁布一系列的网络安全等级测评标准,如《信息安全技术 信息系统安全等级保护测评要求》(GB/T 28448—2012)、《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T 28449—2012)等。《网络安全法》出台后,等级测评相关的国家标准相继进行修订和完善。目前,全国信息安全标准化技术委员会已经发布了一系列征求意见稿,包括《信息安全技术 网络安全等级保护测评要求 第1部分:安全通用要求(征求意见稿)》《信息安全技术 网络安全等级测评机构能力要求和评估规范(征求意见稿)》等(详见本章第1节)。

(三)网络安全检测业务机构

1.承担信息安全产品强制性认证检测任务的实验室

《关于信息安全产品强制性认证指定认证机构和实验室》(国家认监委2009年第25号公告)对承担信息安全产品强制性认证检测任务的实验室及其业务范围作了明确规定,具体内容见表2-2。

表2-2 承担信息安全产品强制性认证检测任务的实验室及其业务范围

续表

2.网络安全等级测评机构

网络安全等级测评机构是指依据国家网络安全等级保护制度规定,具备《信息安全等级保护测评机构管理办法》规定的基本条件,经能力评估和审核推荐,从事等级测评等信息安全服务的机构。2017年9月,中国信息安全等级保护网公布了全国等级保护测评机构推荐目录http://www.djbh.net/webdev/web/HomeWebAction.do?p=getZxdt&id=402885cb35d11a540135d168e41e000c&xx=b119edd7e8fd93b6599def8b273b2701.,其中包括公安部信息安全等级保护评估中心、国家信息技术安全研究中心、中国信息安全测评中心等。

三、网络安全风险评估

(一)网络安全风险评估的概念

网络安全风险,是指人为或自然的威胁利用网络信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。网络安全风险评估是指依据有关网络安全技术与管理标准,对网络信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。网络安全风险评估作为网络安全保障工作的基础性工作和重要环节,要贯穿于网络信息系统的规划、设计、实施、运行维护及废弃各个阶段。

(二)网络安全风险评估规范体系

运用风险评估识别网络安全风险,解决网络信息安全问题得到了广泛的认同。2003年,《国家信息化工作领导小组关于加强信息安全保障工作的意见》提出了加强信息安全保障工作的总体要求和主要原则,在工作部署中将信息安全风险评估作为一项重要举措。为贯彻落实上述意见的要求,国务院信息化工作办公室于2003年委托国家信息中心组建成立“信息安全风险评估课题组”,协调公安部、安全部、信息产业部、国家保密局、国家密码管理局、国家认监委、国家标准委等相关单位参与,对信息安全风险评估工作的现状进行全面深入了解,提出我国开展信息安全风险评估的对策和办法,形成了《信息安全风险评估指南》和《信息安全风险管理指南》标准草案。2004年1月召开的全国信息安全保障会议提出了要抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。2005年,由国务院信息办组织北京市、上海市、黑龙江省、云南省、国家税务总局、国家电力总公司、国家信息中心等部门开展了风险评估试点工作,在现有基础信息网络和重要信息系统的管理体制下,对如何推进开展信息安全风险评估工作进行了有效的探索。经过试点工作对风险评估标准草案的实际检验,《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007)于2007年正式成为国家标准,从而为全国范围内开展信息安全风险评估工作提供了参考依据。经过近几年的发展,网络安全风险评估体系已经逐步建立和完善。

法律法规层面,《网络安全法》第十七条首次从基本法层面明确规定了网络安全风险评估服务,并在第二十六条、第二十九条、第三十八条、第三十九条、第五十四条作出了进一步的规定。国家互联网信息办公室于2017年7月11日发布的《关键信息基础设施安全保护条例(征求意见稿)》第二十八条、第三十五条、第四十条、第四十一条、第四十二条、第四十三条、第四十四条对关键信息基础设施的网络安全风险评估作了进一步细化规定。

国家标准层面,目前关于网络安全风险评估的国家标准主要包括《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007)、《信息安全技术 信息安全风险评估实施》(GB/T 31509—2015)等。

法条链接目录

1.中华人民共和国标准化法(1988年)

2.中华人民共和国标准化法(2017年修订)

3.中华人民共和国国家安全法

4.中华人民共和国计算机信息系统安全保护条例

5.中华人民共和国认证认可条例

6.公安部计算机信息系统安全专用产品检测和销售许可证管理办法

7.计算机病毒防治管理办法

8.关键信息基础设施安全保护条例(征求意见稿)

9.网络关键设备和网络安全专用产品目录(第一批)

10.关于部分信息安全产品实施强制性认证的公告

11.关于调整信息安全产品强制性认证实施要求的公告

12.第一批信息安全产品强制性认证目录

13.认证认可检验检测信息化“十三五”建设任务与行动计划

上一章目录下一章