强制性国家标准《网络关键设备安全通用要求》解读：网络关键设备合规要点

近日，强制性国家标准《网络关键设备安全通用要求》（GB 40050-2021）发布。《网络关键设备安全通用要求》是网络安全领域少数强制性标准之一，相对于推荐性国家标准更加值得关注。

鉴于网络关键设备的特殊性，识别网络产品是否属于网络关键设备就成为了关键性的第一步。

根据《网络关键设备安全通用要求》3.7中的定义，网络关键设备（critical network device）是指支持联网功能，在同类网络设备中具有较高性能的设备，通常用于重要网络节点、重要部位或重要系统中，一旦遭到破坏，可能引发重大网络安全风险。具体而言是指相关性能符合《网络关键设备和网络安全专用产品目录》中规定的范围。

早在2017年6月《网络安全法》生效伊始，国家互联网信息办公室、工信部、公安部、国家认证认可监督管理委员会就联合发布了《网络关键设备和网络安全专用产品目录（第一批）》：

尽管四部委公布了目录，但目录中同一产品范围项下的不同门槛是“和”还是“或”并不清晰，需要实践中逐渐予以明确。另外随着技术的发展，后续四部委可能还会就网络关键设备和网络安全专用产品目录进行更新或扩充。

关于《网络关键设备和网络安全专用产品目录》的效力，在“张鑫、陈天明、张朝荣等提供侵入、非法控制计算机信息系统程序、工具案”中（（2018）浙0602刑初101号），浙江省绍兴市越城区人民法院进行过认定：

因此，在关于网络安全产品销售的司法实践中，对网络关键设备和网络安全专用产品的认定可能会遵循更宽的尺度，需要在具体案件的实务中予以特别关注。

网络关键设备遵守国家强制性标准是一项重要的法律义务，《网络安全法》第23条明确规定：

概言之，网络关键设备的销售需要遵循以下流程：

《密码法》第26条也规定：

可见，后续网络关键设备和网络安全专用产品目录的更新，可能会将更多的商用密码产品列入其中。

在《网络关键设备安全通用要求》中主要分为“安全功能要求”与“安全保障要求”两个大类：

在合规的角度，《网络关键设备安全通用要求》不仅是开发工作中的具体要求，也可以作为合规工作中需要逐一勾选的清单。

在《网络关键设备安全通用要求》中，尤其值得关注关于运营和维护的要求，因为部分通信产品已经呈现出运维费用超过设备本身费用的现象，运维的质量甚至企业获取订单的关键要素，所以注定网络关键设备的销售不是“一锤子买卖”，需要关注网络关键设备运维的合规。而运维中最为敏感的就是远程运维，可能直接涉及到产品“后门”的问题，在《网络关键设备安全通用要求》中对远程运维有明确要求：

网络关键设备的销售，除了符合强制性国家标准《网络关键设备安全通用要求》，还需要通过安全认证。早在2018年6月，国家认证认可监督管理委员会就发布了《网络关键设备和网络安全专用产品安全认证实施规则》。该规则将认证模式分为型式试验、工厂检查与获证后监督三个阶段：

设备通过安全认证以后，可以获得认证证书，有效期为5年。在通过认证产品的本体铭牌应加施认证标志，如果是软件产品，则应当在软件外包装或《许可协议》中显著加施使用标注：

根据2018年6月发布的《网络关键设备和网络安全专用产品安全认证和安全检测任务的机构名录（第一批）》，目前可以承担网络关键设备安全认证和安全检测任务机构包括：

根据我们的经验，网络关键设备合规工作可以从以下几方面入手：

无论是对于网络设备的生产者还是相关领域的用户，都应当对自己生产或使用的产品进行梳理，判断是否有产品落入《网络关键设备和网络安全专用产品目录》的范围，对此类产品开展专项合规工作。

在此基础上，跟踪《网络关键设备和网络安全专用产品目录》的更新情况，一旦目录更新，及时调整自身的合规目录。

对于网络关键设备生产者，需要从设计环节伊始，就将国家标准的要求嵌入产品中。在功能与形式上达到国家标准的要求，并且通过文件让产品的合规性可以被验证。

对于网络关键设备的用户，也需要采购部门及时更新供应商名录，对网络关键设备的采购仅针对通过认证的产品开放。此外也需要网络关键设备用户的法务部门将国家标准《网络关键设备安全通用要求》落实到采购协议内产品质量相关的条款中。

对于网络关键设备生产者，通过安全认证是不可或缺的环节，需要及时申请、完成认证。在完成认证后，还应当在产品铭牌、包装或用户协议等合适位置准确进行标识。

除了应当完成安全认证并准确标识，网络关键设备生产者还应当做好安全认证通过后应对“飞行检查”的准备工作。网络关键设备生产者可以通过演练模拟飞行检查，帮助从前台接待到生产现场的每个环节做好准备，形成预案。

史宇航：法学博士，执业律师，注册信息安全专业人员（CISP），注册信息隐私管理人员（CIPM），汇业律师事务所顾问律师。主要执业方向是网络安全与数据保护。