强制性国家标准《网络关键设备安全通用要求》获批 八月即将实施

国家市场监督管理总局（国家标准化管理委员会）于近日发布的2021年第1号公告中，批准了1项网络安全领域的强制性国家标准：GB 40050-2021《网络关键设备安全通用要求》（以下简称《标准》），并将于2021年8月1日正式实施。


该《标准》是工信部网络安全管理局为落实《中华人民共和国网络安全法》中有关网络关键设备安全的要求，组织相关研究机构编制的一项重要标准。网安法第二十三条明确规定：

网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

由于《标准》最终发布版尚未公开，安全419通过查阅《标准》报批稿，网络关键设备 critical network device是指支持联网功能，在同类网络设备中具有较高性能的设备，通常应用于重要网络节点、重要部位或重要系统中，一旦遭到破坏，可能引发重大网络安全风险。具有较高性能是指设备的性能指标或规格符合《网络关键设备和网络安全专用产品目录》中规定的范围。

《网络关键设备和网络安全专用产品目录（第一批）》已于2017年发布，路由器、交换机、服务器（机架式）、可编程逻辑控制器（PLC设备）被纳入网络关键设备范畴，具体见下：


因此，《标准》将覆盖上述第一批全部四类设备。

《标准》报批稿规定了网络关键设备应满足的通用安全功能要求和安全保障要求。通用安全功能要求包含设备标识安全，冗余、备份恢复与异常检测，漏洞和恶意程序防范，预装软件启动及更新安全，用户身份标识与鉴别，访问控制安全，日志审计安全，通信安全，数据安全，密码要求十大方面；安全保障要求涉及设计和开发、生产和交付、运行和维护三大环节。重点内容内容见下：
随着国家大力推进新基建，传统产业向网络化、数字化、智能化方向全面铺开，网络关键设备无疑成为了5G、人工智能、工业互联网等新基建各个领域的底层基础设施，承载着海量的数据、通信、交互、处理业务，安全保障的重要性不言而喻。除了《标准》，工信部在2019年6月发布了《网络关键设备安全检测实施办法（征求意见稿）》，对网络关键设备生产企业及检测机构的安全义务作出规定。

眼下，各网络关键设备厂商需要积极落实《标准》及相关政策的主体责任，提升设备安全技术能力，加强设备安全管理，客户方在网络关键设备选型时也应参照《标准》及相关政策做出严格判断与把控。主管部门、设备生产厂商、安全检测机构、设备使用企业等多方合力提升网络关键设备安全性，才能全面保障国家安全、公共利益和用户信息安全，助力新基建更高质量发展。