
该《标准》是工信部网络安全管理局为落实《中华人民共和国网络安全法》中有关网络关键设备安全的要求,组织相关研究机构编制的一项重要标准。网安法第二十三条明确规定:
网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
由于《标准》最终发布版尚未公开,安全419通过查阅《标准》报批稿,网络关键设备 critical network device是指支持联网功能,在同类网络设备中具有较高性能的设备,通常应用于重要网络节点、重要部位或重要系统中,一旦遭到破坏,可能引发重大网络安全风险。具有较高性能是指设备的性能指标或规格符合《网络关键设备和网络安全专用产品目录》中规定的范围。
《网络关键设备和网络安全专用产品目录(第一批)》已于2017年发布,路由器、交换机、服务器(机架式)、可编程逻辑控制器(PLC设备)被纳入网络关键设备范畴,具体见下:

因此,《标准》将覆盖上述第一批全部四类设备。
《标准》报批稿规定了网络关键设备应满足的通用安全功能要求和安全保障要求。通用安全功能要求包含设备标识安全,冗余、备份恢复与异常检测,漏洞和恶意程序防范,预装软件启动及更新安全,用户身份标识与鉴别,访问控制安全,日志审计安全,通信安全,数据安全,密码要求十大方面;安全保障要求涉及设计和开发、生产和交付、运行和维护三大环节。重点内容内容见下:

眼下,各网络关键设备厂商需要积极落实《标准》及相关政策的主体责任,提升设备安全技术能力,加强设备安全管理,客户方在网络关键设备选型时也应参照《标准》及相关政策做出严格判断与把控。主管部门、设备生产厂商、安全检测机构、设备使用企业等多方合力提升网络关键设备安全性,才能全面保障国家安全、公共利益和用户信息安全,助力新基建更高质量发展。