国家标准计划《网络关键设备安全技术要求 通用要求 》由 339-2(工业和信息化部(通信))提出,委托TC485(全国通信标准化技术委员会)执行 。
主要起草单位 中国信息通信研究院牵头 。
33 电信、音频和视频工程 |
33.040 电信系统 |
33.040.01 电信系统综合 |
《网络安全法》第二十三条提出“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
”网络关键设备是指具备按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的功能,一旦遭受攻击,可能严重危害国家安全、国计民生和公共利益的设备。
为贯彻和落实网络安全法相关法条的要求,防范或降低设备安全风险,提升我国网络关键设备和关键信息基础设施的安全保障水平,有必要开展网络关键设备强制性安全标准的研究和制定工作。
。
本标准规定了网络关键设备在标识与鉴别、访问控制安全、审计安全、通信安全、软硬件漏洞安全等方面应满足的安全要求。 本标准适用于在我国境内销售或提供的网络关键设备,也可为网络运营者采购网络关键设备时提供依据,还适用于指导网络关键设备的研发、测试等工作。
本标准拟提出网络关键设备通用的安全技术要求,根据网信办、工信部、公安部、认监委发布的《关于发布《网络关键设备和网络安全专用产品目录(第一批)》的公告》,本标准项目中的网络关键设备涉及的产品包括路由器、交换机、服务器和可编程逻辑控制器(PLC设备)等。
本标准全文强制,主要强制的内容有标识与鉴别、访问控制安全、审计安全、通信安全、软硬件漏洞安全等方面。
强制理由: 《网络安全法》第二十三条提出,“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供”。关键信息基础设施是网络安全的重中之重,需要切实做好安全防护。路由器、交换机等网络关键设备作为关键信息基础设施的重要组成,在基础通信网络中大量使用,需要确保安全性。为落实网络安全法的要求,尽快实现对网络关键设备安全的监管目标,提出此强制性国家标准项目。
依据网络安全法第二十三条规定,网络关键设备应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。 目前尚未出台网络关键设备安全技术要求的强制性标准。