www.cciss.com.cn

需求為本，客戶至上。 需求為本，客戶至上。

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 技術(shù)領(lǐng)先，專業(yè)服務(wù)。

需求為本，客戶至上。

技術(shù)領(lǐng)先，專業(yè)服務(wù)。

主 辦：中認(rèn)信安 （四川）技術(shù)服務(wù)有限公司

總 編 輯：羅小兵

執(zhí)行總編：萬里冰

主 編：趙 平

副 主 編：王 秋

內(nèi)容支持：羅俊海、鄧瑜紅、張會平、張徐亮、錢偉中

發(fā)行范圍：公司內(nèi)部、客戶

出版日期：每季度首月1日

地 址：四川省成都市一環(huán)路東一段159號

電子信息產(chǎn)業(yè)大廈13樓

電 話：028-83204138

網(wǎng) 站：www.cciss.com.cn

關(guān)注微博二維碼

獲取最新信息安全動態(tài)

關(guān)注CISAW微信公共號

獲取最新信息安全動態(tài)

引

言

產(chǎn)品認(rèn)證是對產(chǎn)品滿足規(guī)定要求的評價和公正的第三方證明。產(chǎn)

品認(rèn)證由產(chǎn)品認(rèn)證機構(gòu)實施，機構(gòu)應(yīng)滿足GB/T 27065-2015的要求。

產(chǎn)品的規(guī)定要求一般包含在標(biāo)準(zhǔn)或其他規(guī)范性文件中。產(chǎn)品認(rèn)證是一

種合格評定活動，它為消費者、監(jiān)管機構(gòu)、行業(yè)和其他相關(guān)方提供產(chǎn)

品符合規(guī)定要求的信心，這些規(guī)定要求包括產(chǎn)品的性能、安全、互換

性和可持續(xù)性等。產(chǎn)品認(rèn)證能在國家、區(qū)域和國際層面促進產(chǎn)品貿(mào)

易、市場準(zhǔn)入、公平競爭和消費者認(rèn)可。國際標(biāo)準(zhǔn)化組織（ISO）將

產(chǎn)品認(rèn)證定義“是由第三方通過檢驗評定企業(yè)的質(zhì)量管理體系和樣品

型式試驗來確認(rèn)企業(yè)的產(chǎn)品、過程或服務(wù)是否符合特定要求，是否具

備持續(xù)穩(wěn)定地生產(chǎn)符合標(biāo)準(zhǔn)要求產(chǎn)品的能力，并給予書面證明的程

序。”

信息安全產(chǎn)品和技術(shù)是保障信息安全的重要支撐。在信息安全領(lǐng)

域，建立統(tǒng)一的信息安全認(rèn)證認(rèn)可體系可以有效應(yīng)對信息全球化和經(jīng)

濟全球化所帶來的安全風(fēng)險。依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第

二十三條要求，“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國

家標(biāo)準(zhǔn)的強制性要求，由具備資格的機構(gòu)安全認(rèn)證合格或者安全檢測

符合要求后，方可銷售或者提供”，以及《關(guān)于發(fā)布〈網(wǎng)絡(luò)關(guān)鍵設(shè)備

和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）〉的公告》（國家互聯(lián)網(wǎng)信息辦

公室、工業(yè)和信息化部、公安部、國家認(rèn)證認(rèn)可監(jiān)督管理委員會公告

2017年第1號）是國家全面推進網(wǎng)絡(luò)安全認(rèn)證檢測工作的重要標(biāo)志。

認(rèn)證和檢測是合格評定的重要內(nèi)容，也是國家質(zhì)量基礎(chǔ)設(shè)施（NQI）

中不可或缺的重要組成部分，在國民經(jīng)濟和社會發(fā)展中發(fā)揮著重要的

作用。運用認(rèn)證和檢測的手段對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的

安全性實施評價，是順應(yīng)產(chǎn)業(yè)發(fā)展需要，保障重要信息系統(tǒng)安全的一

項具有重要意義的制度安排。

目錄 CONTENTS

03 實時新聞

深入貫徹黨中央關(guān)于網(wǎng)絡(luò)強國的重要思想 大力推動網(wǎng)信事業(yè)高質(zhì)量發(fā)展

市監(jiān)總局答澎湃：將繼續(xù)在家居產(chǎn)品標(biāo)準(zhǔn)、認(rèn)證、質(zhì)量安全及價格監(jiān)管等方面加大工作力度

8月1日開始！鋰電池、充電寶將實施CCC強制認(rèn)證管理

行業(yè)首家！小米自研TEEOS獲得CCRC最高認(rèn)證等級EAL5+安全認(rèn)證

“清朗·成都大運會網(wǎng)絡(luò)環(huán)境整治”專項行動查處一批違法違規(guī)網(wǎng)絡(luò)賬號

關(guān)于調(diào)整《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的公告

CNAS順利通過亞太認(rèn)可合作組織(APAC)國際同行評審

國家網(wǎng)信辦就《關(guān)于調(diào)整網(wǎng)絡(luò)安全專用產(chǎn)品安全管理有關(guān)事項的公告》答記者問

13 知識分項

IT產(chǎn)品信息安全認(rèn)證關(guān)鍵技術(shù)研究的研究報告

IT信息技術(shù)企業(yè)可以做哪些認(rèn)證？

白話說CC-信息安全通用標(biāo)準(zhǔn)CC是什么？評估保障級EAL有是什么？如何獲得信息安全

認(rèn)證證書

產(chǎn)品認(rèn)證Vs體系認(rèn)證，你能分清楚嗎？

工業(yè)控制產(chǎn)品信息安全認(rèn)證現(xiàn)狀與展望

快收藏！各國出口產(chǎn)品認(rèn)證大全

最新!強制性產(chǎn)品認(rèn)證實施規(guī)則匯總

34 專家專欄

專家解讀｜做好網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測工作促進網(wǎng)絡(luò)安全

產(chǎn)業(yè)高質(zhì)量發(fā)展

ICT技術(shù)如何更好賦能產(chǎn)品認(rèn)證

強制性國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》解讀：網(wǎng)絡(luò)關(guān)鍵設(shè)備合規(guī)要點

5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)安全保障體系研究

41 通知公告

IT產(chǎn)品信息安全認(rèn)證

北斗基礎(chǔ)產(chǎn)品認(rèn)證

國家信息安全產(chǎn)品認(rèn)證

金融科技產(chǎn)品認(rèn)證

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證

金融科技產(chǎn)品認(rèn)證

移動互聯(lián)網(wǎng)應(yīng)用程序（App）安全認(rèn)證

中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心數(shù)據(jù)合規(guī)官（CCRC-DCO）認(rèn)證培訓(xùn)

網(wǎng)絡(luò)安全知識小問答

深入貫徹黨中央關(guān)于網(wǎng)絡(luò)強國的重要思想

大力推動網(wǎng)信事業(yè)高質(zhì)量發(fā)展

強化統(tǒng)籌協(xié)調(diào)，確保黨中央關(guān)于網(wǎng)信工作決策部署落到

實處；各級網(wǎng)信部門要忠于黨和人民，勇于擔(dān)當(dāng)作為，

善于開拓創(chuàng)新，敢于斗爭亮劍，甘于拼搏奉獻，為推動

網(wǎng)信事業(yè)高質(zhì)量發(fā)展提供堅強保證。

全國網(wǎng)絡(luò)安全和信息化工作會議7月14日至15日在京

召開。中共中央政治局常委、中央書記處書記蔡奇出席

會議并講話，中共中央政治局常委、國務(wù)院副總理丁薛

祥出席會議并傳達了習(xí)近平重要指示。

蔡奇在講話中指出，習(xí)近平總書記重要指示鮮明提

出網(wǎng)信工作的使命任務(wù)，明確“十個堅持”重要原則，

并對網(wǎng)信工作提出要求，具有很強的政治性、戰(zhàn)略性、

指導(dǎo)性，為做好新時代新征程網(wǎng)信工作指明了方向，我

們要堅決貫徹落實。

蔡奇強調(diào)，黨的十八大以來網(wǎng)信事業(yè)取得重大成

就，最根本在于有習(xí)近平總書記領(lǐng)航掌舵，有習(xí)近平新

時代中國特色社會主義思想科學(xué)指引。習(xí)近平總書記關(guān)

于網(wǎng)絡(luò)強國的重要思想，科學(xué)回答了網(wǎng)信事業(yè)發(fā)展的一

系列重大理論和實踐問題，把黨對網(wǎng)信工作的規(guī)律性認(rèn)

識提升到全新高度，是新時代新征程引領(lǐng)網(wǎng)信事業(yè)高質(zhì)

量發(fā)展、建設(shè)網(wǎng)絡(luò)強國的行動指南，我們要深入學(xué)習(xí)領(lǐng)

會，更加深刻領(lǐng)悟“兩個確立”的決定性意義，堅決做

到“兩個維護”，切實貫徹到網(wǎng)信工作全過程。

新華社北京7月15日電。中共中央總書記、國家主

席、中央軍委主席習(xí)近平近日對網(wǎng)絡(luò)安全和信息化工作

作出重要指示指出，黨的十八大以來，我國網(wǎng)絡(luò)安全和

信息化事業(yè)取得重大成就，黨對網(wǎng)信工作的領(lǐng)導(dǎo)全面加

強，網(wǎng)絡(luò)空間主流思想輿論鞏固壯大，網(wǎng)絡(luò)綜合治理體

系基本建成，網(wǎng)絡(luò)安全保障體系和能力持續(xù)提升，網(wǎng)信

領(lǐng)域科技自立自強步伐加快，信息化驅(qū)動引領(lǐng)作用有效

發(fā)揮，網(wǎng)絡(luò)空間法治化程度不斷提高，網(wǎng)絡(luò)空間國際話

語權(quán)和影響力明顯增強，網(wǎng)絡(luò)強國建設(shè)邁出新步伐。

習(xí)近平強調(diào)，新時代新征程，網(wǎng)信事業(yè)的重要地位

作用日益凸顯。要以新時代中國特色社會主義思想為指

導(dǎo)，全面貫徹落實黨的二十大精神，深入貫徹黨中央關(guān)

于網(wǎng)絡(luò)強國的重要思想，切實肩負(fù)起舉旗幟聚民心、防

風(fēng)險保安全、強治理惠民生、增動能促發(fā)展、謀合作圖

共贏的使命任務(wù)，堅持黨管互聯(lián)網(wǎng)，堅持網(wǎng)信為民，堅

持走中國特色治網(wǎng)之道，堅持統(tǒng)籌發(fā)展和安全，堅持正

能量是總要求、管得住是硬道理、用得好是真本事，堅

持筑牢國家網(wǎng)絡(luò)安全屏障，堅持發(fā)揮信息化驅(qū)動引領(lǐng)作

用，堅持依法管網(wǎng)、依法辦網(wǎng)、依法上網(wǎng)，堅持推動構(gòu)

建網(wǎng)絡(luò)空間命運共同體，堅持建設(shè)忠誠干凈擔(dān)當(dāng)?shù)木W(wǎng)信

工作隊伍，大力推動網(wǎng)信事業(yè)高質(zhì)量發(fā)展，以網(wǎng)絡(luò)強國

建設(shè)新成效為全面建設(shè)社會主義現(xiàn)代化國家、全面推進

中華民族偉大復(fù)興作出新貢獻。

習(xí)近平強調(diào)，各級黨委（黨組）要加強組織領(lǐng)導(dǎo)、 來源：《成都商報》

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 實時新聞

www.cciss.com.cn Technology Leading， Professional Services.

02-03

今年將“住宅裝飾和裝修”“建筑幕墻裝飾和裝修”納

入了“年度企業(yè)標(biāo)準(zhǔn)‘領(lǐng)跑者’重點領(lǐng)域清單”，這個

“領(lǐng)跑者”制度，就是通過這種重要產(chǎn)品領(lǐng)域清單來引

領(lǐng)家居產(chǎn)品質(zhì)量標(biāo)準(zhǔn)提升。

二是加強家居產(chǎn)品質(zhì)量安全監(jiān)管。2022年，市場監(jiān)

管總局針對家電、家具、家紡、家裝等重點家居產(chǎn)品組

織開展產(chǎn)品質(zhì)量國家監(jiān)督抽查。涉及空調(diào)、冰箱、木質(zhì)

家具、沙發(fā)、智能坐便器等21種產(chǎn)品，抽查檢驗企業(yè)

2600多家，抽查檢驗產(chǎn)品2800多批次，發(fā)現(xiàn)并查處不合

格產(chǎn)品435批次。今年上半年，全國市場監(jiān)管部門共查處

家具及建筑裝飾裝修材料類、家用電器及電器配件類產(chǎn)

品質(zhì)量違法案件6600多件，罰沒3500多萬元，移送司法

機關(guān)的案件12件。

三是強化綠色家居產(chǎn)品認(rèn)證監(jiān)管。一是不斷推動統(tǒng)

一的綠色產(chǎn)品標(biāo)準(zhǔn)、認(rèn)證、標(biāo)識體系建設(shè)。已發(fā)布4批18

種統(tǒng)一的綠色產(chǎn)品標(biāo)準(zhǔn)評價清單和認(rèn)證目錄，涵蓋綠色

建材、家具、冰箱、廚衛(wèi)五金等家居產(chǎn)品。已頒發(fā)統(tǒng)一

的綠色產(chǎn)品證書23000多張，獲證企業(yè)4600多家。二是推

動認(rèn)證結(jié)果采信。今年我們聯(lián)合商務(wù)部、工業(yè)和信息化

部等多部門印發(fā)有關(guān)促進綠色智能家電消費和綠色建材

下鄉(xiāng)活動的通知，鼓勵選購獲得認(rèn)證的產(chǎn)品。三是加大

宣傳推廣力度。結(jié)合世界認(rèn)可日等活動，組織各地市場

監(jiān)管部門、認(rèn)證機構(gòu)等加大對綠色產(chǎn)品認(rèn)證的宣傳力

度，提高綠色產(chǎn)品認(rèn)證的知名度和美譽度。

王勝利表示，下一步，將繼續(xù)在家居產(chǎn)品標(biāo)準(zhǔn)、認(rèn)

證、質(zhì)量安全及價格監(jiān)管等方面加大工作力度，著力保

障家居產(chǎn)品質(zhì)量，維護市場秩序，保護消費者合法權(quán)

益，積極配合有關(guān)部門推進《關(guān)于促進家居消費的若干

措施》的落地實施，持續(xù)增強消費對經(jīng)濟發(fā)展的基礎(chǔ)性

作用。

國家市場監(jiān)督管理總局質(zhì)量監(jiān)督司負(fù)責(zé)人王勝利澎

湃新聞記者周頔攝7月18日，在國務(wù)院新聞辦舉行的“促

進家居消費著力擴大內(nèi)需”國務(wù)院政策例行吹風(fēng)會上，

澎湃新聞（www.thepaper.cn）記者提問：隨著我國經(jīng)濟

社會的不斷發(fā)展和人民生活質(zhì)量的不斷提高，消費者在

家居消費中，對產(chǎn)品的質(zhì)量要求越來越高。請問市場監(jiān)

管總局如何在保障家居產(chǎn)品質(zhì)量方面開展工作？對此，

國家市場監(jiān)督管理總局質(zhì)量監(jiān)督司負(fù)責(zé)人王勝利表示，

家居消費是居民消費的重要組成部分，家居產(chǎn)品質(zhì)量與

居民生活質(zhì)量密切相關(guān)。近年來，市場監(jiān)管總局立足職

能，主動作為，強化監(jiān)管，為消費者營造放心、安全的

家居消費質(zhì)量環(huán)境。

一是完善家居產(chǎn)品質(zhì)量標(biāo)準(zhǔn)體系。今年5月，我們與

工業(yè)和信息化部、商務(wù)部聯(lián)合印發(fā)《加強消費品標(biāo)準(zhǔn)化

建設(shè)行動方案》，對包括家居裝飾裝修產(chǎn)品在內(nèi)的9個重

點領(lǐng)域主要消費品的標(biāo)準(zhǔn)化工作作出專門部署。我們還

積極推動適老化家具等產(chǎn)品標(biāo)準(zhǔn)的制修訂工作，已發(fā)布

適用于老年人的家用電器等7項適老用品國家標(biāo)準(zhǔn)，正在

研制家居產(chǎn)品適老化設(shè)計指南等適老用品國家標(biāo)準(zhǔn)。目

前，相關(guān)部門已出臺備案家居相關(guān)行業(yè)標(biāo)準(zhǔn)23項，部分

地方，比如浙江、江蘇、山東等地出臺備案家居地方標(biāo)

準(zhǔn)20項。同時，還持續(xù)開展企業(yè)標(biāo)準(zhǔn)“領(lǐng)跑者”工作，

市監(jiān)總局答澎湃：將繼續(xù)在家居產(chǎn)品標(biāo)準(zhǔn)、

認(rèn)證、質(zhì)量安全及價格監(jiān)管等方面加大工作力度

來源：《澎湃新聞》

8月1日開始！

鋰電池、充電寶將實施CCC強制認(rèn)證管理

市場監(jiān)管總局此前發(fā)布公告，自2023年8月1日起對

鋰離子電池和電池組、移動電源實施CCC認(rèn)證管理。同

時自2024年8月1日起，未獲得CCC認(rèn)證證書和標(biāo)注認(rèn)證

標(biāo)志的，不得出廠、銷售、進口或者在其他經(jīng)營活動中

使用。

3C認(rèn)證的全稱為\"中國強制性產(chǎn)品認(rèn)證\"，英文名稱

China Compulsory Certification，英文縮寫CCC。書寫呈現(xiàn)

方式有三種\"3C認(rèn)證，CCC認(rèn)證，三C認(rèn)證\"，它是我國為

保護消費者人身安全和國家安全、加強產(chǎn)品質(zhì)量管理、

依照法律法規(guī)實施的一種產(chǎn)品合格評定制度。

所有那些應(yīng)該經(jīng)過3C認(rèn)證的產(chǎn)品，如果未經(jīng)認(rèn)證就

私自出廠銷售，都是屬于犯法行為，要承擔(dān)相應(yīng)的行政

處罰后果和法律風(fēng)險。

隨著移動互聯(lián)網(wǎng)時代的到來，手機、平板、筆記本

電腦已經(jīng)成為人們?nèi)粘Ｉ钪械闹匾M成部分。鋰電

池、充電寶等為暢享移動生活提供了極大的便利。

雖然鋰電池、電池組、移動電源很方便，但它的制

作原料不穩(wěn)定，還是存在一定的潛在危險。

在運輸、存儲、使用、回收等過程中有可能會因為

高溫、過充、短路等外部因素引發(fā)過熱、起火、甚至爆

炸等事故。

市場監(jiān)管總局相關(guān)負(fù)責(zé)人表示，根據(jù)產(chǎn)品質(zhì)量國家

監(jiān)督抽查結(jié)果顯示，移動電話用鋰離子電池合格率不足

90%，移動電源的合格率則一直徘徊在60%-80%之間。

從這個合格率可以看出，市面上不合格產(chǎn)品還有很多，

本身電池就不是很穩(wěn)定，如果買到的是不合格產(chǎn)品的

話，那隨時隨地都有可能引發(fā)安全問題，非常危險。

強制性產(chǎn)品認(rèn)證，也就是消費者熟知的CCC認(rèn)證，

是我國根據(jù)有關(guān)法律法規(guī)要求和國際通行做法，按照市

場化、國際化的原則對涉及人身健康安全的產(chǎn)品實施的

市場準(zhǔn)入制度。

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 實時新聞

www.cciss.com.cn Technology Leading， Professional Services.

04-05

行業(yè)首家！小米自研TEEOS

獲得CCRC最高認(rèn)證等級EAL5+安全認(rèn)證

近日，中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC）

向小米智能終端可信執(zhí)行環(huán)境操作系統(tǒng) 2.0（MiTEE OS

2.0）頒發(fā)國內(nèi)首張最高安全認(rèn)證等級 EAL5+ 證書。通

過認(rèn)證，表明 MiTEE OS 的信息安全保障能力已達到行

業(yè)領(lǐng)先水平，體現(xiàn)了小米以用戶為中心的發(fā)展理念以及

引領(lǐng)行業(yè)合規(guī)穩(wěn)健發(fā)展的使命感。

中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心為國家市場監(jiān)督

管理總局直屬正司局級事業(yè)單位。依據(jù)《網(wǎng)絡(luò)安全法》《網(wǎng)

絡(luò)安全審查辦法》及國家有關(guān)強制性產(chǎn)品認(rèn)證法律法規(guī)，

承擔(dān)網(wǎng)絡(luò)安全審查技術(shù)支撐和認(rèn)證工作，是國內(nèi)最權(quán)威

的安全認(rèn)證機構(gòu)。EAL（Evaluation Assurance Level）評

估保障級是一個完全遵循 Common Criteria 準(zhǔn)則制定的用

來評估 IT 產(chǎn)品或系統(tǒng)安全的數(shù)字級別。通過對 IT 產(chǎn)品

的安全性進行獨立評估后所取得的安全保證等級，表明

產(chǎn)品的安全性及可信度。獲得的認(rèn)證級別越高，安全性

來源：《ZAKER資訊》

產(chǎn)品種類

及代碼

電源

（0807、0907）

移動電源

（0914）

對產(chǎn)品種類

的描述 適用范圍

質(zhì)量不超過18kg，包含鋰離子電池

和/或電池組，具有交直流輸入/輸出

的可移動式電源。

依靠鋰電子在正極和負(fù)極之間移動

實現(xiàn)化學(xué)能與電能互相轉(zhuǎn)化的裝

置，并被設(shè)計成可充電;包含有保護

電路的任意數(shù)量的鋰離子電池組合

而成準(zhǔn)備使用的組合體。

電信終端設(shè)備配

套的電源適配器/

充電器

移動電源

便攜式電子產(chǎn)品用鋰

離子電池和電池組

對產(chǎn)品適用范圍

的描述或列舉 備注

直接與電網(wǎng)電源連接，輸出可配接

電信終端設(shè)備產(chǎn)加，具有電壓轉(zhuǎn)換

功能的設(shè)備。包括供電性質(zhì)和電氣

參數(shù)轉(zhuǎn)換。（0907）

電信終端設(shè)備配套的電源

適配器、充電器、電源轉(zhuǎn)

換器等。

適用標(biāo)準(zhǔn)：

GB4943.1

GB/T9254.1

GB17625.1

充電寶、便攜式儲能電

源、露營用移動電源等。

適用標(biāo)準(zhǔn)：

GB4943.1

GB31241

便攜式辦公產(chǎn)品、移動通

信產(chǎn)品、便攜式音視頻產(chǎn)

品等便攜式電子產(chǎn)品用鋰

離子電池和電池組。

1.適用標(biāo)準(zhǔn)：

GB31241

2.不包括電子煙用鋰

離子電池和電池組

鋰離子電池和

電池組

（0915）

據(jù)介紹，截至目前，3C認(rèn)證制度共覆蓋16大類96種

產(chǎn)品，包括家用電子電器、汽車、玩具等涉及社會大眾

日常生活的消費類工業(yè)產(chǎn)品。3C認(rèn)證在促進產(chǎn)品安全質(zhì)

量提升、保護消費者權(quán)益等方面發(fā)揮了重要作用。

隨著認(rèn)證工作的深入有效實施，燈具產(chǎn)品的合格率由

32%提高到94%，汽車兒童安全座椅的合格率由不足10%

提高到97%，獲證產(chǎn)品平均合格率穩(wěn)定在90%以上。

市場監(jiān)管總局提醒廣大消費者，在選購鋰電池、充

電寶時，一定要認(rèn)準(zhǔn)3C標(biāo)志才能有更好的保障。

新納入產(chǎn)品的CCC認(rèn)證范圍界定：

與可信度越高，產(chǎn)品可對抗更高級別的威脅，適用于較

高風(fēng)險的環(huán)境。

可信執(zhí)行環(huán)境（TEE OS）是智能終端雙系統(tǒng)解決方

案的一部分，它在同一個智能終端下，除了主操作系統(tǒng)

（如Android）外，還提供一個隔離的安全操作系統(tǒng)。這

一運行在隔離的硬件之上的隔離安全操作系統(tǒng)用來專門

處理敏感信息以保證信息的安全。

MiTEE OS 2.0作為一款小米自研的TEE OS，支持密

碼解鎖、電容和屏下指紋、支付寶指紋支付、微信指紋

支付、FIDO指紋支付、Mipay指紋支付，以及數(shù)字版權(quán)

管理WideVine L1等功能，是保障小米手機用戶信息安全

的核心組件。通過認(rèn)證，證明了小米在手機終端信息安

全保障能力的領(lǐng)先地位，用戶在使用終端產(chǎn)品時，將能

夠獲得更大的安全保障。

一直以來，小米都將用戶的信息安全與隱私保護作

為第一優(yōu)先級的事情來對待，秉承“企業(yè)責(zé)任、用戶可

控、公開透明、安全保障、法律合規(guī)”五大隱私保護原 來源：《央廣網(wǎng)》

則，獲得全球安全檢測與認(rèn)證機構(gòu)的廣泛認(rèn)可。2016年

小米成為國內(nèi)首家通過國際知名機構(gòu)TrustArc隱私認(rèn)證

的企業(yè)。2018年小米順利通過了外部咨詢公司的歐盟

GDPR合規(guī)評估。2019年小米獲得了三項國際ISO安全與

隱私認(rèn)證，并發(fā)布了MIUI安全與隱私白皮書。2020年小

米MIUI成為全球首家獲得德國萊茵TV《安卓系統(tǒng)增強隱

私保護測試》的手機操作系統(tǒng)。2021年獲得中國信通院

泰爾實驗室“移動智能終端操作系統(tǒng)個人信息保護能

力”五星證書。2022年獲得中國信通院移動智能終端五

級安全認(rèn)證。

未來，小米公司也將在安全與隱私保護領(lǐng)域持續(xù)投

入，繼續(xù)秉承“將用戶的信息安全和隱私保護視為我們

的生存之本”的理念，始終堅持做“感動人心，價格厚

道”的好產(chǎn)品，讓全球每個人都能享受科技帶來的美好

生活。

“清朗·成都大運會網(wǎng)絡(luò)環(huán)境整治”

專項行動查處一批違法違規(guī)網(wǎng)絡(luò)賬號

“清朗·成都大運會網(wǎng)絡(luò)環(huán)境整治”專項行動啟動

以來，各地網(wǎng)信部門督促網(wǎng)站平臺切實履行主體責(zé)任，

深入開展自查自清，截至目前，微博、抖音、快手、今

日頭條、百度、微信、搜狐、淘寶、閑魚等重點平臺累

計處置違法違規(guī)賬號633個，清理相關(guān)信息4200余條。部

分典型處置案例如下。

1、傳播大運會謠言信息?！皊unyujun112”、“用

戶7807042144862”、“不安分的饅頭”等網(wǎng)絡(luò)賬號發(fā)布

大運會籌備相關(guān)謠言，編造志愿者虛假招募信息，惡意

翻炒舊聞舊事關(guān)聯(lián)大運會，欺騙誤導(dǎo)網(wǎng)民。已依法對上

述賬號作禁言、關(guān)閉處置，并暫停相關(guān)賬號營利權(quán)限。

2、利用“偽公益”惡意營銷炒作?！皥F隊2”、

“農(nóng)村記錄生活@車干”、“大愛無疆青哥正能量”等網(wǎng)

絡(luò)賬號，以幫扶救助、記錄日常等名義，擺拍發(fā)布多條涉

大運會相關(guān)地區(qū)留守兒童、老人等“貧困”生活視頻信

息，惡意賣慘、騙取流量，造成惡劣影響。已依法對上述

賬號作禁言、關(guān)閉處置，并抹除相關(guān)賬號新增粉絲。

3、煽動地域歧視、群體歧視?！癓U_LU_f”、“山

丘灬之王”等網(wǎng)絡(luò)賬號借討論大運會有關(guān)話題，對特定

地域、特定群體進行惡意貶低歧視，挑撥攻擊對立情

緒。已依法對上述賬號作禁言處置。

4、假冒仿冒賬號發(fā)布信息?！叭谽行天府通”、

“淮州新城”、“看見瀘州”等網(wǎng)絡(luò)賬號擅自使用含有

行政區(qū)劃的名稱，發(fā)布涉大運會相關(guān)地區(qū)通報、公示、

泛資訊等信息，故意混淆視聽、誤導(dǎo)公眾。已依法對上

述賬號作禁言處置。

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 實時新聞

www.cciss.com.cn Technology Leading， Professional Services.

06-07

關(guān)于調(diào)整

《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的公告

依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》，國家互聯(lián)網(wǎng)

信息辦公室會同工業(yè)和信息化部、公安部、國家認(rèn)證認(rèn)

可監(jiān)督管理委員會等部門更新了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)

安全專用產(chǎn)品目錄》，現(xiàn)予以公布，自印發(fā)之日起施

行。

2017年國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、

公安部、國家認(rèn)證認(rèn)可監(jiān)督管理委員會聯(lián)合發(fā)布的《關(guān)

于發(fā)布〈網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一

批）〉的公告》（2017年第1號）中的網(wǎng)絡(luò)關(guān)鍵設(shè)備和

網(wǎng)絡(luò)安全專用產(chǎn)品目錄同步廢止。

特此公告。

國家互聯(lián)網(wǎng)信息辦公室

工業(yè)和信息化部

公安部

國家認(rèn)證認(rèn)可監(jiān)督管理委員會

2023年7月3日

來源：《中國網(wǎng)信網(wǎng)》

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄

一、網(wǎng)絡(luò)關(guān)鍵設(shè)備

二、網(wǎng)絡(luò)安全專用產(chǎn)品

序號 設(shè)備類別 范圍

1 路由器 整系統(tǒng)吞吐量（雙向）≥12Tbps

整系統(tǒng)路由表容量 ≥55萬條

2 交換機 整系統(tǒng)吞吐量（雙向） ≥30Tbps

整系統(tǒng)包轉(zhuǎn)發(fā)率 ≥10Gpps

3 服務(wù)器（機架式） 單CPU內(nèi)核數(shù) ≥14個

內(nèi)存容量 ≥256GB

4 可編程邏輯控

制器（PLC設(shè)備） 控制器指令執(zhí)行時間≤0.08微秒

CPU數(shù)量 ≥8個

序號 產(chǎn)品類別 產(chǎn)品描述

1 數(shù)據(jù)備份與

恢復(fù)產(chǎn)品

能夠?qū)π畔⑾到y(tǒng)數(shù)據(jù)進行備份和恢復(fù)，

且對備份與恢復(fù)過程進行管理的產(chǎn)品。

2 防火墻 對經(jīng)過的數(shù)據(jù)流進行解析，并實現(xiàn)訪問

控制及安全防護功能的產(chǎn)品。

3

4

5

入侵檢測系統(tǒng)

（IDS）

入侵防御系統(tǒng)

（IPS）

網(wǎng)絡(luò)和終端

隔離產(chǎn)品

以網(wǎng)絡(luò)上的數(shù)據(jù)包作為數(shù)據(jù)源，監(jiān)聽所

保護網(wǎng)絡(luò)節(jié)點的所有數(shù)據(jù)包并進行分析，

從而發(fā)現(xiàn)異常行為的產(chǎn)品。

以網(wǎng)橋或網(wǎng)關(guān)形式部署在網(wǎng)絡(luò)通路上，

通過分析網(wǎng)絡(luò)流量發(fā)現(xiàn)具有入侵特征的

網(wǎng)絡(luò)行為，在其傳入被保護網(wǎng)絡(luò)前進行

攔截的產(chǎn)品。

在不同的網(wǎng)絡(luò)終端和網(wǎng)絡(luò)安全域之間建

立安全控制點，實現(xiàn)在不同的網(wǎng)絡(luò)終端

和網(wǎng)絡(luò)安全域之間提供訪問可控服務(wù)的

產(chǎn)品。

6

7

8

9

10

11

反垃圾郵件產(chǎn)品

網(wǎng)絡(luò)安全審計

產(chǎn)品

網(wǎng)絡(luò)脆弱性掃描

產(chǎn)品

安全數(shù)據(jù)庫系統(tǒng)

網(wǎng)站數(shù)據(jù)恢復(fù)

產(chǎn)品

虛擬專用網(wǎng)產(chǎn)品

能夠?qū)]件進行識別和處理的軟件

或軟硬件組合，包括但不限于反垃圾郵

件網(wǎng)關(guān)、反垃圾郵件系統(tǒng)、安裝于郵件

服務(wù)器的反垃圾郵件軟件、以及與郵件

服務(wù)器集成的反垃圾郵件產(chǎn)品等。

采集網(wǎng)絡(luò)、信息系統(tǒng)及其組件的記錄與

活動數(shù)據(jù)，并對這些數(shù)據(jù)進行存儲和分

析，以實現(xiàn)事件追溯、發(fā)現(xiàn)安全違規(guī)或

異常的產(chǎn)品。

從系統(tǒng)設(shè)計、實現(xiàn)、使用和管理等各個

階段都遵循一套完整的系統(tǒng)安全策略的

數(shù)據(jù)庫系統(tǒng)，目的是在數(shù)據(jù)庫層面保障

數(shù)據(jù)安全。

利用掃描手段檢測目標(biāo)網(wǎng)絡(luò)系統(tǒng)中可能

存在的安全弱點的軟件或軟硬件組合的

產(chǎn)品。

提供對網(wǎng)站數(shù)據(jù)的監(jiān)測、防篡改，并實

現(xiàn)數(shù)據(jù)備份和恢復(fù)等安全功能的產(chǎn)品。

在互聯(lián)網(wǎng)鏈路等公共通信基礎(chǔ)網(wǎng)絡(luò)上建

立專用安全傳輸通道的產(chǎn)品。

5、對參賽運動員惡意揣測攻擊?！鞍⒅举w

壇”、“毒蛇愛體育”、“志聊體育”等網(wǎng)絡(luò)賬號，針

對運動員參加大運會有關(guān)情況，發(fā)布惡意揣測、質(zhì)疑攻

擊等言論。已依法對上述賬號作禁言處置。

6、發(fā)布涉大運會違規(guī)售賣信息?！澳覆嗜亍薄?/p>

“kylinliyoumei”、“zeroliuml”等網(wǎng)絡(luò)賬號發(fā)布違規(guī)售

賣大運會賽事門票等信息，還有部分電商平臺店鋪發(fā)布

涉大運會吉祥物“蓉寶”的違規(guī)售賣信息。已依法對上

述賬號作禁言處置。

中央網(wǎng)信辦有關(guān)部門將會同大運會執(zhí)委會，繼續(xù)嚴(yán)

厲打擊干擾大運會順利舉辦的網(wǎng)上突出問題，及時清理

查處違法違規(guī)信息和賬號，切實為大運會營造良好網(wǎng)絡(luò)

環(huán)境。同時，歡迎廣大網(wǎng)民積極參與舉報，共同維護清

朗網(wǎng)絡(luò)空間。

序號 產(chǎn)品類別 產(chǎn)品描述

12

13

14

15

16

17

18

19

20

21

22

23

防病毒網(wǎng)關(guān)

統(tǒng)一威脅管理產(chǎn)

品（UTM）

病毒防治產(chǎn)品

安全操作系統(tǒng)

安全網(wǎng)絡(luò)存儲

公鑰基礎(chǔ)設(shè)施

網(wǎng)絡(luò)安全態(tài)勢感

知產(chǎn)品

信息系統(tǒng)安全管

理平臺

網(wǎng)絡(luò)型流量控制

產(chǎn)品

負(fù)載均衡產(chǎn)品

信息過濾產(chǎn)品

抗拒絕服務(wù)攻擊

產(chǎn)品 部署于網(wǎng)絡(luò)和網(wǎng)絡(luò)之間，通過分析網(wǎng)絡(luò)

層和應(yīng)用層的通信，根據(jù)預(yù)先定義的過

濾規(guī)則和防護策略實現(xiàn)對網(wǎng)絡(luò)內(nèi)病毒防

護的產(chǎn)品。

通過統(tǒng)一部署的安全策略、融合多種安

全功能，針對面向網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的安

全威脅進行綜合防御的網(wǎng)關(guān)型設(shè)備或系

統(tǒng)。

通過采集網(wǎng)絡(luò)流量、資產(chǎn)信息、日志、漏

洞信息、告警信息、威脅信息等數(shù)據(jù)，分

析和處理網(wǎng)絡(luò)行為及用戶行為等因素，掌

握網(wǎng)絡(luò)安全狀態(tài)，預(yù)測網(wǎng)絡(luò)安全趨勢，并

進行展示和監(jiān)測預(yù)警的產(chǎn)品。

從系統(tǒng)設(shè)計、實現(xiàn)到使用等各個階段都

遵循了一套完整的安全策略的操作系

統(tǒng)，目的是在操作系統(tǒng)層面保障系統(tǒng)安

全。

對信息系統(tǒng)的安全策略以及執(zhí)行該策略

的安全計算環(huán)境、安全區(qū)域邊界和安全

通信網(wǎng)絡(luò)等方面的安全機制實施統(tǒng)一管

理的平臺。

用于識別和攔截拒絕服務(wù)攻擊、保障系

統(tǒng)可用性的產(chǎn)品。

對安全域的網(wǎng)絡(luò)進行流量監(jiān)測和帶寬控

制的流量管理系統(tǒng)。

對文本、圖片等網(wǎng)絡(luò)信息進行篩選控制

的產(chǎn)品。

提供鏈路負(fù)載均衡、服務(wù)器負(fù)載均衡、

網(wǎng)絡(luò)流量優(yōu)化和智能處理等功能的產(chǎn)

品。

用于檢測發(fā)現(xiàn)或阻止惡意代碼的傳播以

及對主機操作系統(tǒng)應(yīng)用軟件和用戶文件

的篡改、竊取和破壞等的產(chǎn)品。

通過網(wǎng)絡(luò)基于不同協(xié)議連接到服務(wù)器的

專用存儲設(shè)備。

支持公鑰管理體制，提供鑒別、加密、

完整性和不可否認(rèn)服務(wù)的基礎(chǔ)設(shè)施。

序號 產(chǎn)品類別 產(chǎn)品描述

24

25

26

27

28

29

終端接入控制

產(chǎn)品

USB移動存儲介

質(zhì)管理系統(tǒng)

文件加密產(chǎn)品

數(shù)據(jù)泄露防護

產(chǎn)品

數(shù)據(jù)銷毀軟件

產(chǎn)品

安全配置檢查

產(chǎn)品

用于識別和攔截拒絕服務(wù)攻擊、保障系

統(tǒng)可用性的產(chǎn)品。

對移動存儲設(shè)備采取身份認(rèn)證、訪問控

制、審計機制等管理手段，實現(xiàn)移動存儲

設(shè)備與主機設(shè)備之間可信訪問的產(chǎn)品。

通過對安全域內(nèi)部敏感信息輸出的主要

途徑進行控制和審計，防止安全域內(nèi)部

敏感信息被非授權(quán)泄露的產(chǎn)品。

用于防御攻擊者竊取以文件等形式存儲

的數(shù)據(jù)、保障存儲數(shù)據(jù)安全的產(chǎn)品。

采用信息技術(shù)進行邏輯級底層數(shù)據(jù)清除，

徹底銷毀存儲介質(zhì)所承載數(shù)據(jù)的產(chǎn)品。

基于安全配置要求實現(xiàn)對資產(chǎn)的安全配

置檢測和合規(guī)性分析，生成安全配置建

議和合規(guī)性報告的產(chǎn)品。

30

31

32

33

34

運維安全管理

產(chǎn)品

日志分析產(chǎn)品

身份鑒別產(chǎn)品

終端安全監(jiān)測

產(chǎn)品

電子文檔安全

管理產(chǎn)品

對信息系統(tǒng)重要資產(chǎn)維護過程實現(xiàn)單點登

錄、集中授權(quán)、集中管理和審計的產(chǎn)品。

采集信息系統(tǒng)中的日志數(shù)據(jù)，并進行集

中存儲和分析的安全產(chǎn)品。

對終端進行安全性監(jiān)測和控制，發(fā)現(xiàn)和阻

止系統(tǒng)和網(wǎng)絡(luò)資源非授權(quán)使用的產(chǎn)品。

要求用戶提供以電子信息或生物信息為

載體的身份鑒別信息，確認(rèn)應(yīng)用系統(tǒng)使

用者身份的產(chǎn)品。

通過制作安全電子文檔或?qū)㈦娮游臋n轉(zhuǎn)

換為安全電子文檔，對安全電子文檔進

行統(tǒng)一管理、監(jiān)控和審計的產(chǎn)品。

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 實時新聞

www.cciss.com.cn Technology Leading， Professional Services.

08-09

來源：《市場監(jiān)管總局》

辦公室評審現(xiàn)場

CNAS順利通過亞太認(rèn)可合作組織（APAC）

國際同行評審

CNAS積極應(yīng)對遠程評審的諸多復(fù)雜情況，在迎審策劃、

溝通聯(lián)絡(luò)、技術(shù)保障等方面作出了周密細(xì)致的安排。

CNAS將以本次同行評審為契機，認(rèn)真研究評審發(fā)現(xiàn)，做

好原因分析，不斷夯實基礎(chǔ)，及時將糾正措施和糾正措

施計劃反饋給同行評審組，扎實推進認(rèn)可工作和認(rèn)可服

務(wù)的持續(xù)改進。

2023年7月10日至21日，中國合格評定國家認(rèn)可委員

會（CNAS）接受了亞太認(rèn)可合作組織（APAC）四年一

度的國際同行評審。來自12個國家認(rèn)可機構(gòu)的15位國際

同行評審員對CNAS進行了為期10天的遠程評審。經(jīng)過全

面細(xì)致地評審，CNAS順利通過APAC國際同行評審。

四年一度的國際同行評審對于維持認(rèn)可機構(gòu)的國際

互認(rèn)地位具有決定性作用。按照國際認(rèn)可合作組織IAF

和ILAC互認(rèn)規(guī)則，國際同行評審由區(qū)域認(rèn)可合作組織實

施，認(rèn)可機構(gòu)通過維持區(qū)域認(rèn)可合作組織的互認(rèn)資格而

維持IAF和ILAC國際互認(rèn)資格。

經(jīng)過評審，APAC同行評審組決定推薦CNAS繼續(xù)保

持14項認(rèn)可制度的互認(rèn)資格。同行評審組認(rèn)為，CNAS的

總體運作符合ISO/IEC 17011:2017要求，對CNAS工作人

員和評審組的專業(yè)能力和工作態(tài)度表示高度贊賞，尤其

印象深刻的是，CNAS實施了“評審員管理系統(tǒng)”“認(rèn)可

業(yè)務(wù)管理平臺”等多個信息化系統(tǒng)，在推廣無紙化辦

公、優(yōu)化認(rèn)可流程方面作出了不懈努力。

APAC國際同行評審組以ISO/IEC 17011：2017《合格

評定 認(rèn)可機構(gòu)要求》為依據(jù)，聚焦認(rèn)可機構(gòu)資源、過

程、管理體系、信息公開等要求，評價CNAS的14項認(rèn)可

制度能否繼續(xù)維持國際互認(rèn)資格，包括：校準(zhǔn)實驗室認(rèn)

可、檢測實驗室認(rèn)可、醫(yī)學(xué)實驗室認(rèn)可、檢驗機構(gòu)認(rèn)可、

能力驗證提供者認(rèn)可、標(biāo)準(zhǔn)物質(zhì)/標(biāo)準(zhǔn)樣品生產(chǎn)者認(rèn)可、

質(zhì)量管理體系認(rèn)可、環(huán)境管理體系認(rèn)可、信息安全管理體

系認(rèn)可、食品安全管理體系認(rèn)可、職業(yè)健康安全管理體系

認(rèn)可、產(chǎn)品認(rèn)證機構(gòu)認(rèn)可（含全球良好農(nóng)業(yè)規(guī)范）、溫室

氣體（GHG）審定與核查機構(gòu)認(rèn)可（ISO 14065:2013，含

CORSIA航空領(lǐng)域溫室氣體核查機構(gòu)認(rèn)可）、審定與核查

機構(gòu)認(rèn)可（ISO/IEC 17029:2019、ISO 14065:2020）。在完

成對CNAS的辦公室評審后，同行評審組還對CNAS派出的

19個認(rèn)可評審組的現(xiàn)場評審活動實施了遠程見證，覆蓋北

京、成都、重慶、廣州等12個城市。

APAC于2019年由太平洋認(rèn)可合作組織和亞太實驗室

認(rèn)可合作組織合并而成，是亞太經(jīng)濟合作組織（APEC）

區(qū)域內(nèi)的認(rèn)可機構(gòu)及其利益相關(guān)方的合作組織，現(xiàn)有各

類成員81個。截至目前，CNAS簽署的國際多邊互認(rèn)協(xié)議

范圍覆蓋116個國家/經(jīng)濟體，占全球經(jīng)濟總量的96%以

上。依托認(rèn)可國際互認(rèn)，CNAS為國內(nèi)合格評定機構(gòu)拓展

國際業(yè)務(wù)和對外貿(mào)易便利化創(chuàng)造了有利條件。

這是CNAS第一次以遠程方式接受國際同行評審。

首次會現(xiàn)場

國家網(wǎng)信辦就《關(guān)于調(diào)整網(wǎng)絡(luò)安全專用

產(chǎn)品安全管理有關(guān)事項的公告》答記者問

近日，國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、

公安部、財政部、國家認(rèn)證認(rèn)可監(jiān)督管理委員會聯(lián)合發(fā)

布《關(guān)于調(diào)整網(wǎng)絡(luò)安全專用產(chǎn)品安全管理有關(guān)事項的公

告》（以下簡稱《公告》）。國家互聯(lián)網(wǎng)信息辦公室有

關(guān)負(fù)責(zé)人就《公告》相關(guān)問題回答了記者提問。

問：請介紹一下《公告》發(fā)布的背景? 問：請介紹一下《公告》發(fā)布的背景?

答：1994年，《計算機信息系統(tǒng)安全保護條例》規(guī)

定國家對計算機信息系統(tǒng)安全專用產(chǎn)品的銷售實行許可

證制度，公安部自1997年開始實施產(chǎn)品銷售許可行政審

批工作。2008年，原國家質(zhì)檢總局、國家認(rèn)監(jiān)委發(fā)布

《關(guān)于部分信息安全產(chǎn)品實施強制性認(rèn)證的公告》，將

13種信息安全產(chǎn)品納入強制性認(rèn)證管理范圍;2009年，又

聯(lián)合財政部發(fā)布《關(guān)于調(diào)整信息安全產(chǎn)品強制性認(rèn)證實

施要求的公告》，將信息安全產(chǎn)品強制性認(rèn)證要求調(diào)整

為在政府采購法范圍內(nèi)實施。2010年，財政部、工業(yè)和

信息化部、原國家質(zhì)檢總局、國家認(rèn)監(jiān)委聯(lián)合印發(fā)《關(guān)

于信息安全產(chǎn)品實施政府采購的通知》，再次明確使用

財政性資金采購信息安全產(chǎn)品的，應(yīng)當(dāng)采購經(jīng)國家認(rèn)證

的產(chǎn)品。這兩項制度對規(guī)范管理網(wǎng)絡(luò)安全產(chǎn)品發(fā)揮了重

要作用，但管理內(nèi)容有交叉，在一定程度上存在重復(fù)認(rèn)

證檢測情況。

2017年6月實施的《網(wǎng)絡(luò)安全法》明確規(guī)定“網(wǎng)絡(luò)關(guān)

鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強

制性要求，由具備資格的機構(gòu)安全認(rèn)證合格或者安全檢

測符合要求后，方可銷售或者提供。國家網(wǎng)信部門會同

國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專

用產(chǎn)品目錄，并推動安全認(rèn)證和安全檢測結(jié)果互認(rèn)，避

免重復(fù)認(rèn)證、檢測”。為落實《網(wǎng)絡(luò)安全法》有關(guān)規(guī)

定，國家網(wǎng)信辦會同工業(yè)和信息化部、公安部、國家認(rèn)

監(jiān)委等部門相繼發(fā)布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品

目錄，確定承擔(dān)安全認(rèn)證和安全檢測任務(wù)的機構(gòu)，明確

認(rèn)證檢測結(jié)果統(tǒng)一發(fā)布流程，制定《信息安全技術(shù)網(wǎng)絡(luò)

安全專用產(chǎn)品安全技術(shù)要求》強制性國家標(biāo)準(zhǔn)。

這次五部門聯(lián)合發(fā)布《公告》，統(tǒng)一網(wǎng)絡(luò)安全專用

產(chǎn)品認(rèn)證檢測制度，停止頒發(fā)《計算機信息系統(tǒng)安全專

用產(chǎn)品銷售許可證》，停止執(zhí)行政府采購領(lǐng)域信息安全

產(chǎn)品強制認(rèn)證要求，是落實《網(wǎng)絡(luò)安全法》關(guān)于推動安

全認(rèn)證和安全檢測結(jié)果互認(rèn)規(guī)定的重要舉措，對統(tǒng)一網(wǎng)

絡(luò)安全產(chǎn)品安全要求、提升產(chǎn)品整體安全防護能力，減

輕網(wǎng)絡(luò)安全企業(yè)負(fù)擔(dān)、營造良好產(chǎn)業(yè)發(fā)展環(huán)境，發(fā)展強

大網(wǎng)絡(luò)安全產(chǎn)業(yè)、增強國家網(wǎng)絡(luò)安全能力具有重要意

義。

問：哪些網(wǎng)絡(luò)安全專用產(chǎn)品需要按照《公告》要求 ：哪些網(wǎng)絡(luò)安全專用產(chǎn)品需要按照《公告》要求

開展安全認(rèn)證或者安全檢測? 開展安全認(rèn)證或者安全檢測?

答：2017年，國家網(wǎng)信辦會同相關(guān)部門發(fā)布了《網(wǎng)

絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》，包

括數(shù)據(jù)備份一體機、防火墻、WEB應(yīng)用防火墻、入侵檢

測系統(tǒng)、入侵防御系統(tǒng)、安全隔離與信息交換產(chǎn)品、反

垃圾郵件產(chǎn)品、網(wǎng)絡(luò)綜合審計系統(tǒng)、網(wǎng)絡(luò)脆弱性掃描產(chǎn)

品、安全數(shù)據(jù)庫系統(tǒng)、網(wǎng)站恢復(fù)產(chǎn)品等11類網(wǎng)絡(luò)安全專

用產(chǎn)品，并通過性能指標(biāo)界定了范圍。列入這個目錄且

在性能指標(biāo)要求范圍內(nèi)的網(wǎng)絡(luò)安全專用產(chǎn)品，需要按照

《公告》要求進行安全認(rèn)證或安全檢測。

目前，國家網(wǎng)信辦正會同工業(yè)和信息化部、公安

部、國家認(rèn)監(jiān)委等部門，根據(jù)技術(shù)發(fā)展情況和監(jiān)管要

求，參考有關(guān)國家標(biāo)準(zhǔn)，動態(tài)調(diào)整《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)

絡(luò)安全專用產(chǎn)品目錄》。請大家密切關(guān)注國家網(wǎng)信辦后

續(xù)發(fā)布的有關(guān)公告。

問：哪些認(rèn)證檢測機構(gòu)是具備資格的機構(gòu)? ：哪些認(rèn)證檢測機構(gòu)是具備資格的機構(gòu)?

答：具備資格的認(rèn)證檢測機構(gòu)是指《國家認(rèn)監(jiān)委工

業(yè)和信息化部公安部國家互聯(lián)網(wǎng)信息辦公室關(guān)于發(fā)布承

擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢

測任務(wù)機構(gòu)名錄（第一批）的公告》中認(rèn)證檢測范圍包

含網(wǎng)絡(luò)安全專用產(chǎn)品的機構(gòu)。

國家網(wǎng)信辦將會同相關(guān)部門建立健全認(rèn)證檢測機構(gòu)

監(jiān)督管理制度，對認(rèn)證檢測機構(gòu)定期開展評估，不符合

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 實時新聞

www.cciss.com.cn Technology Leading， Professional Services.

10-11

來源：《湖南日報》

工作要求的，依法依規(guī)進行處罰。各認(rèn)證檢測機構(gòu)不得

要求企業(yè)對多種檢測項目開展捆綁檢測。企業(yè)發(fā)現(xiàn)認(rèn)證

檢測機構(gòu)違規(guī)行為的，可以向國家網(wǎng)信辦舉報。

問：安全認(rèn)證和安全檢測依據(jù)什么標(biāo)準(zhǔn)? 問：安全認(rèn)證和安全檢測依據(jù)什么標(biāo)準(zhǔn)?

答：網(wǎng)絡(luò)安全專用產(chǎn)品依據(jù)GB42250《信息安全技

術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求》強制性國家標(biāo)準(zhǔn)開

展安全認(rèn)證和安全檢測。

認(rèn)證檢測過程中也將參考與之相配套的、針對具體

產(chǎn)品類別的國家標(biāo)準(zhǔn)。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會

已發(fā)布一系列具體產(chǎn)品類別的國家標(biāo)準(zhǔn)，如GB/T

20281-2020《信息安全技術(shù)防火墻安全技術(shù)要求和測試

評價方法》、GB/T 20275-2021《信息安全技術(shù)網(wǎng)絡(luò)入侵

檢測系統(tǒng)技術(shù)要求和測試評價方法》、GB/T 28451-2012

《信息安全技術(shù)網(wǎng)絡(luò)型入侵防御產(chǎn)品技術(shù)要求和測試評

價方法》、GB/T 30282-2013《信息安全技術(shù)反垃圾郵件

產(chǎn)品技術(shù)要求和測試評價方法》、GB/T 20278-2022《信

息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求和測試評

價方法》等。

問：產(chǎn)品生產(chǎn)者是否還需要申請《計算機信息系統(tǒng) ：產(chǎn)品生產(chǎn)者是否還需要申請《計算機信息系統(tǒng)

安全專用產(chǎn)品銷售許可證》? 安全專用產(chǎn)品銷售許可證》?

答：自2023年7月1日起，《計算機信息系統(tǒng)安全專

用產(chǎn)品銷售許可證》停止頒發(fā)，產(chǎn)品生產(chǎn)者無需申領(lǐng)。

問：政府采購領(lǐng)域如何執(zhí)行《公告》要求? 問：政府采購領(lǐng)域如何執(zhí)行《公告》要求?

答：2023年7月1日之前，在政府采購活動中采購網(wǎng)

絡(luò)安全產(chǎn)品的，仍然執(zhí)行原規(guī)定，即國家信息安全產(chǎn)品

認(rèn)證在政府采購法規(guī)定的范圍內(nèi)強制實施，各級國家機

關(guān)、事業(yè)單位和團體組織使用財政性資金采購信息安全

產(chǎn)品的，應(yīng)當(dāng)采購經(jīng)國家認(rèn)證的信息安全產(chǎn)品。

2023年7月1日起，在政府采購活動中采購網(wǎng)絡(luò)安全

產(chǎn)品的，不需產(chǎn)品提供國家信息安全產(chǎn)品認(rèn)證證書。政

府采購活動中不得要求或者采取加分等措施變相要求投

標(biāo)產(chǎn)品同時滿足安全認(rèn)證合格和安全檢測符合要求。

問：安全認(rèn)證和安全檢測結(jié)果如何發(fā)布? 問：安全認(rèn)證和安全檢測結(jié)果如何發(fā)布?

答：認(rèn)證檢測機構(gòu)會直接通過網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)

安全專用產(chǎn)品認(rèn)證檢測結(jié)果發(fā)布系統(tǒng)報送安全認(rèn)證合格

或者安全檢測符合要求的網(wǎng)絡(luò)安全專用產(chǎn)品清單，有關(guān)

主管部門審核后，由國家網(wǎng)信部門會同工業(yè)和信息化

部、公安部、國家認(rèn)監(jiān)委統(tǒng)一公布，供社會查詢和使

用。

問：2023年7月1日起，產(chǎn)品生產(chǎn)者是否需要同時進 ：2023年7月1日起，產(chǎn)品生產(chǎn)者是否需要同時進

行安全認(rèn)證和安全檢測? 行安全認(rèn)證和安全檢測?

答：不需要。安全認(rèn)證合格或者安全檢測符合要

求，具有同等市場準(zhǔn)入效力，產(chǎn)品生產(chǎn)者不必重復(fù)申

請。同一款產(chǎn)品在有效期內(nèi)重復(fù)申請的，國家網(wǎng)信辦不

再公布認(rèn)證檢測結(jié)果。

2023年7月1日起，列入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全

專用產(chǎn)品目錄》的網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)至少符合以下條

件之一，方可銷售或者提供：一是依據(jù)《公告》要求，

按照《信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求》

等相關(guān)國家標(biāo)準(zhǔn)強制性要求，由具備資格的機構(gòu)安全認(rèn)

證合格或安全檢測符合要求的;二是此前已經(jīng)獲得《計算

機信息系統(tǒng)安全專用產(chǎn)品銷售許可證》，且在有效期內(nèi)

的。

未列入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》

的其它相關(guān)產(chǎn)品，如法律法規(guī)沒有特殊規(guī)定，可按照市

場需求銷售或者提供。

IT產(chǎn)品信息安全認(rèn)證關(guān)鍵技術(shù)研究的研究報告

綜上所述，在IT產(chǎn)品信息安全認(rèn)證過程中，應(yīng)針對

其安全性能關(guān)鍵技術(shù)進行科學(xué)研究，以保障IT產(chǎn)品的安

全可信度。通過漏洞評估技術(shù)、密碼學(xué)技術(shù)和安全審計

技術(shù)等關(guān)鍵技術(shù)的研究和應(yīng)用，可以有效提高信息系統(tǒng)

安全性水平，降低信息泄露風(fēng)險，為用戶的安全與可靠

使用提供堅實保障。近年來，互聯(lián)網(wǎng)技術(shù)與信息化的快

速發(fā)展推動了IT產(chǎn)品的廣泛應(yīng)用，同時也引發(fā)了信息安

全問題的關(guān)注。根據(jù)相關(guān)數(shù)據(jù)分析，在IT產(chǎn)品信息安全

領(lǐng)域仍存在著可觀的安全風(fēng)險，其中網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄

露及違規(guī)安全操作等問題較為突出。

據(jù)權(quán)威統(tǒng)計數(shù)據(jù)顯示，截至2021年，全球網(wǎng)絡(luò)攻擊

事件持續(xù)上升，其中勒索軟件攻擊更是增長迅猛。2020

年全球發(fā)生網(wǎng)絡(luò)安全事件近2億次，占全球所有惡意攻擊

的75%。具體來看，勒索軟件攻擊次數(shù)、網(wǎng)絡(luò)釣魚事

件、惡意軟件和勒索軟件的數(shù)量、賬號密碼泄露和身份

信息泄露等問題十分突出。網(wǎng)絡(luò)攻擊事件的增多，給人

們的網(wǎng)絡(luò)安全帶來了很大的威脅。

同時，據(jù)有關(guān)調(diào)查表明，企業(yè)數(shù)據(jù)泄露問題也有所

升級。從2018年到2021年，全球數(shù)據(jù)泄露數(shù)量的增長趨

勢呈逐年上升，其中敏感數(shù)據(jù)泄露占主導(dǎo)。2020年上半

年，全球數(shù)據(jù)泄露事件達到2434起，累計影響數(shù)量高達

367億條用戶數(shù)據(jù)，尤以美國、巴西、印度、澳大利亞、

英國等國居多。數(shù)據(jù)泄露一旦發(fā)生，不僅直接損害了用

戶的利益和隱私，同時也會損害企業(yè)的聲譽和信譽。

此外，違規(guī)安全操作也成為當(dāng)前IT產(chǎn)品信息安全中

的另一個突出問題。違規(guī)操作是指人為因素造成的安全

問題，如密碼不安全、硬件設(shè)備不規(guī)范、控制不嚴(yán)等問

題。根據(jù)調(diào)查報告，約有70%的信息安全問題與人員因

素有關(guān)，員工或管理者的不規(guī)范操作居多。因此，使用

者的信息安全意識也成為保障產(chǎn)品信息安全的重要環(huán)

節(jié)。

綜上所述，當(dāng)前IT產(chǎn)品信息安全領(lǐng)域面臨著許多挑

戰(zhàn)。網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露及違規(guī)操作等問題都可能導(dǎo)致

信息安全認(rèn)證是對IT產(chǎn)品安全性能進行判斷、評估

相關(guān)指標(biāo)并最終給予證明的過程。在當(dāng)前網(wǎng)絡(luò)化、互聯(lián)

網(wǎng)化的IT環(huán)境中，越來越多的IT產(chǎn)品被廣泛應(yīng)用，并且

IT產(chǎn)品的安全性成為了用戶與生產(chǎn)廠商均必須高度重視

的問題。IT產(chǎn)品的開發(fā)過程中應(yīng)當(dāng)對其進行信息安全認(rèn)

證，以確保其在使用過程中的安全可信度。針對IT產(chǎn)品

信息安全認(rèn)證中的關(guān)鍵技術(shù)進行研究可以有效提升相關(guān)

人員的安全意識，有助于提高信息安全水平，保障用戶

的信息安全。

一、漏洞評估關(guān)鍵技術(shù)

漏洞評估技術(shù)作為信息安全評價的核心技術(shù)之一，

在整個IT產(chǎn)品信息安全認(rèn)證的過程中占有重要地位。漏

洞評估技術(shù)的應(yīng)用可使得安全評估更具可信度和有效

性。制定細(xì)致的測試計劃和測試用例，采用常見漏洞掃

描工具、手工測試以及安全代碼審查等方法，進一步檢

驗IT產(chǎn)品防御能力、是否有漏洞等，從而在產(chǎn)品設(shè)計、

開發(fā)、運營等過程中及時發(fā)現(xiàn)和解決問題。

二、密碼學(xué)關(guān)鍵技術(shù)

密碼學(xué)技術(shù)對信息安全備受重視，尤其在信息傳輸

過程中扮演著安全加密的角色。選取強度足夠的加密算

法和密鑰長度，避免被攻擊者暴力破解，確保保護數(shù)據(jù)

的私密性和完整性。同時，對密鑰管理和分發(fā)進行規(guī)范

化，確保各環(huán)節(jié)安全。最后，在IT產(chǎn)品的密碼學(xué)設(shè)計中

合理選擇加解密算法，使其更加難以被破解。

三、安全審計關(guān)鍵技術(shù)

IT產(chǎn)品的操作日志是安全審計的關(guān)鍵點。安全審計

主要針對各種安全事件，分析并追溯安全事件的起源，

找出問題，并采取相應(yīng)措施。安全審計需要自動遍歷龐

大的系統(tǒng)記錄，只有借助信息安全事件的全面溯源才能

確保安全狀態(tài)可靠性，并獲得有效的安全防范反饋。而

在實踐過程中，可以采用自動化審計工具，收集操作數(shù)

據(jù)，安全審計人員使用工具進行數(shù)據(jù)分析和安全事件檢

測。

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 www.cciss.com.cn Technology Leading， Professional Services. 知識分項 12-13

數(shù)據(jù)財產(chǎn)、客戶信任與企業(yè)聲譽受損。針對這些問題，

需加強IT安全管理和技術(shù)研發(fā)，提高用戶和從業(yè)人員的

信息安全意識，改變軟件開發(fā)生態(tài)，建立和完善信息安

全保障體系。只有這些方面同步發(fā)力，才能夠更為有效

地防范各種安全威脅。隨著云計算、人工智能、大數(shù)據(jù)

等新興技術(shù)的持續(xù)發(fā)展，IT產(chǎn)品安全問題也面臨了更多

的挑戰(zhàn)。其中，物聯(lián)網(wǎng)、移動支付、無線電子商務(wù)等領(lǐng)

域的興起，促進了信息交換和數(shù)字化服務(wù)的便捷化，但

同時也加劇了信息安全隱患。

在物聯(lián)網(wǎng)領(lǐng)域，隨著智能家居、智能汽車等智能設(shè)

備的普及，與網(wǎng)絡(luò)相關(guān)的安全威脅和漏洞也逐漸變得普

遍。物聯(lián)網(wǎng)中設(shè)備共享的安全漏洞、未加密的通信等問

題，會對數(shù)據(jù)的隱私性帶來很大的風(fēng)險。特別是在智能

制造領(lǐng)域，不僅資產(chǎn)安全、產(chǎn)能安全、質(zhì)量安全受到挑

戰(zhàn)，還可能導(dǎo)致產(chǎn)業(yè)鏈金字塔在管理運作上的問題，導(dǎo)

致物聯(lián)網(wǎng)的安全問題趨于復(fù)雜化。

在移動支付領(lǐng)域，移動支付搭載在移動終端上，用

戶在使用支付功能時需要綁定銀行卡信息，同時也必須

經(jīng)過手機應(yīng)用或網(wǎng)頁端的認(rèn)證才能完成支付操作。但移

動終端本身更容易被黑客攻擊，泄露用戶密碼和支付信

息，從而造成資金的安全風(fēng)險。此外，移動支付的信息

傳輸中也存在著竊聽、偽裝等風(fēng)險，如果未能得到妥善

處理，會對支付安全構(gòu)成較大威脅。

無線電子商務(wù)領(lǐng)域也存在著不少安全問題。無線通

訊的廣泛應(yīng)用帶來了更多的安全挑戰(zhàn)，如電子郵件、移

動端短信、即時通訊等都存在著劫持、偽造、惡意代碼

等問題。無線電子商務(wù)在傳輸、存儲、支付等環(huán)節(jié)中需

要處理大量的信息，安全漏洞會導(dǎo)致用戶支付信息、客

戶聯(lián)系方式等隱私泄露，給消費者帶來實質(zhì)性的財產(chǎn)損

失。

針對這些問題，需要加強技術(shù)研發(fā)和安全管理，建

立完善的監(jiān)測和防御機制，同時還需要借鑒國際信息安

全標(biāo)準(zhǔn)，注重信息安全意識和技能的培養(yǎng)，提高用戶和

從業(yè)者的信息安全素養(yǎng)。此外，應(yīng)加強跨行業(yè)、跨領(lǐng)域

的信息安全合作，加強對信息安全最前沿研究成果的匯

聚和整合，共同維護互聯(lián)網(wǎng)的安全與發(fā)展。安全問題是

當(dāng)前數(shù)字化時代面臨的一個重要挑戰(zhàn)。以下是一些真實

的安全事件案例，對其進行了分析和總結(jié)。

2017年5月，一名黑客攻擊了數(shù)百萬臺電腦，通過

勒索軟件對受害者進行勒索。這次攻擊成為了史上最大

規(guī)模的挾持勒索事件之一，導(dǎo)致數(shù)十億美元的損失。這

個案例表明，網(wǎng)絡(luò)攻擊已經(jīng)成為一項重要的安全挑戰(zhàn)。

攻擊者可以通過不斷發(fā)展的技術(shù)手段，快速地傷害成千

上萬的受害人。企業(yè)必須采取措施保護自己的客戶和員

工，加強網(wǎng)絡(luò)安全投入，發(fā)展先進的安全策略和技術(shù)，

以保護其網(wǎng)絡(luò)資產(chǎn)以及與客戶和供應(yīng)商的關(guān)系。

2018年1月，美國移動運營商AT&T被曝出在數(shù)十萬

個客戶賬戶中曾存在一些安全漏洞。這些漏洞使得攻擊

者有可能獲取用戶登錄信息、購物、賬單等敏感信息。

此外，攻擊者還可以通過這些漏洞進行網(wǎng)絡(luò)釣魚攻擊，

操作客戶的賬戶，從而導(dǎo)致經(jīng)濟損失。這個案例表明，

企業(yè)必須十分重視用戶數(shù)據(jù)的保護。他們必須確保他們

的客戶數(shù)據(jù)安全，并采取適當(dāng)?shù)拇胧源_保不會暴露

敏感信息。

2019年7月，高通公司和英特爾公司在出現(xiàn)某些令

人擔(dān)憂的漏洞之后，被迫撤回了合作電腦芯片。這個案

例突顯了IT行業(yè)內(nèi)設(shè)備安全的重要性?，F(xiàn)今，許多公司

的核心技術(shù)都依賴于IT設(shè)備，設(shè)備的安全問題會對企業(yè)

帶來巨大的財務(wù)損失和聲譽損失。企業(yè)可以通過設(shè)立安

全運營中心、采用聚合風(fēng)險評估、培訓(xùn)員工等措施來加

強機構(gòu)內(nèi)部安全管理。

總的來說，安全是當(dāng)前數(shù)字時代的重要挑戰(zhàn)。雖然

安全漏洞的形式多樣，但企業(yè)可以采取一系列措施來保

護自己的系統(tǒng)、資產(chǎn)和員工。這些措施包括發(fā)展安全策

略和技術(shù)、加強客戶和員工數(shù)據(jù)保護、確保設(shè)備和供應(yīng)

鏈安全等。安全意識和行為在企業(yè)內(nèi)部的重要性也不言

而喻。捍衛(wèi)安全需要各方合作，行業(yè)間內(nèi)部及國際間通

力合作，以確保所有參與者的數(shù)字化體驗安全和舒適。

來源：《百度文庫》

IT信息技術(shù)企業(yè)可以做哪些認(rèn)證？

國際上興起的現(xiàn)代安全生產(chǎn)管理模式，它與ISO9000

和ISO14000等標(biāo)準(zhǔn)體系一并被稱為“后工業(yè)化時代的管

理方法”。職業(yè)健康安全管理體系產(chǎn)生的主要原因是企

業(yè)自身發(fā)展的要求。隨著企業(yè)規(guī)模擴大和生產(chǎn)集約化程

度的提高，對企業(yè)的質(zhì)量管理和經(jīng)營模式提出了更高的

要求。企業(yè)必須采用現(xiàn)代化的管理模式，使包括安全生

產(chǎn)管理在內(nèi)的所有生產(chǎn)經(jīng)營活動科學(xué)化、規(guī)范化和法制

化。

ITSS信息技術(shù)服務(wù)標(biāo)準(zhǔn)

ITSS是Information TechnologyService Standards的縮

寫，中文意思是信息技術(shù)服務(wù)標(biāo)準(zhǔn)，是在工業(yè)和信息化

部、國家標(biāo)準(zhǔn)化委的領(lǐng)導(dǎo)和支持下，由ITSS工作組研制

的一套IT服務(wù)領(lǐng)域的標(biāo)準(zhǔn)庫和一套提供IT服務(wù)的方法

論。

ITSS的生命周期主要包含五個階段，第一個階段是

規(guī)劃設(shè)計階段，主要是負(fù)責(zé)對IT服務(wù)進行全方位的規(guī)劃

與設(shè)計，第二個階段是部署實施階段，即根據(jù)第一階段

的規(guī)劃設(shè)計建立相應(yīng)的管理體系，對IT服務(wù)的構(gòu)成元素

進行合理分配，并且提出服務(wù)解決措施，第三個階段是

服務(wù)運營階段，即通過全方位的過程管理，確保業(yè)務(wù)具

備持續(xù)性，讓客戶的運營與IT服務(wù)的運營結(jié)合到一起，

第四個階段是持續(xù)改進階段，即定期進行檢查和評審，

及時發(fā)現(xiàn)IT服務(wù)過程當(dāng)中出現(xiàn)的問題，及時進行改進，

以便于提升IT服務(wù)質(zhì)量，第五個階段是監(jiān)督管理階段，

即按照ITSS相關(guān)質(zhì)量評價標(biāo)準(zhǔn)，進行相關(guān)服務(wù)的考核，

評價在IT服務(wù)過程中的服務(wù)質(zhì)量情況，監(jiān)督服務(wù)交付的

過程與結(jié)果，并且進行考核與評估。

CMMI軟件能力成熟度模型集成模型

CMMI能力成熟度模型集成是全套世界級的績效改進

框架，是以指引那些在競爭中希望獲得績效表現(xiàn)的組

織。建立在組織的業(yè)務(wù)績效目標(biāo)的基礎(chǔ)之上，CMMI提供

互聯(lián)網(wǎng)技術(shù)通過計算機網(wǎng)絡(luò)使不同的設(shè)備相互連

接，加快信息的傳輸速度和拓寬信息的獲取渠道，促進

各種不同的軟件應(yīng)用的開發(fā)，改變了人們的生活和學(xué)習(xí)

方式。互聯(lián)網(wǎng)技術(shù)的普遍應(yīng)用，是進入信息社會的標(biāo)

志。 越來越多的政府機構(gòu)、事業(yè)單位、大型企業(yè)都在利

用互聯(lián)網(wǎng)技術(shù)改造升級，來提高管理水平和辦事效率，

做到更好的為民服務(wù)。

那么IT信息技術(shù)企業(yè)可以通過哪些認(rèn)證來證明自己

的技術(shù)優(yōu)勢，提高自己的市場競爭力，獲取更多的訂單

呢？

ISO9001質(zhì)量管理體系

質(zhì)量是取得成功的關(guān)鍵。由不同的國家政府，國際

組織和工業(yè)協(xié)會所做的研究表明，企業(yè)的生存，發(fā)展和

不斷進步都要依靠質(zhì)量保證體系的有效實施。ISO9000系

列質(zhì)量體系被世界上110多個國家廣泛采用，既包括發(fā)達

國家，也包括發(fā)展中國家，使市場競爭更加激烈，產(chǎn)品

和服務(wù)質(zhì)量得到精益提升。事實證明，有效的質(zhì)量管理

是在激烈的市場競爭中取勝的必備條件。

ISO14001環(huán)境管理體系

ISO14001認(rèn)證全稱是ISO14001環(huán)境管理體系認(rèn)證，

是指依據(jù)ISO14001標(biāo)準(zhǔn)由第三方認(rèn)證機構(gòu)實施的合格評

定活動。ISO14001是由國際標(biāo)準(zhǔn)化組織發(fā)布的一份標(biāo)

準(zhǔn)，是ISO14000族標(biāo)準(zhǔn)中的一份標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)于1996年

進行首次發(fā)布，2004年分別由ISO國際標(biāo)準(zhǔn)化組織對該標(biāo)

準(zhǔn)進行了修訂，目前最新版本為ISO14001-2015。

ISO14001認(rèn)證適用于任何組織，包括企業(yè)，事業(yè)及相關(guān)

政府單位，通過認(rèn)證后可證明該組織在環(huán)境管理方面達

到了國際水平，能夠確保對企業(yè)各過程、產(chǎn)品及活動中

的各類污染物控制達到相關(guān)要求，有助于企業(yè)樹立良好

的社會形象。

ISO45001職業(yè)健康安全管理體系

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 www.cciss.com.cn Technology Leading， Professional Services. 知識分項 14-15

完整套過程改進實踐，并最終建立整套績效改進體系，

這套體系為組織更好的運行和實現(xiàn)更好的績效表現(xiàn)掃清

障礙。與其他方法不同的是，CMMI不僅可以幫助提升組

織的過程，而且CMMI內(nèi)置的實踐還能幫助提升組織既有

的績效改進方法，使組織獲得良好的投資回報。

CCRC信息安全服務(wù)資質(zhì)

信息安全服務(wù)資質(zhì)是信息安全服務(wù)機構(gòu)提供安全服

務(wù)的一種資格，包括法律地位、資源狀況、管理水平、

技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)

國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，按照

認(rèn)證基本規(guī)范及認(rèn)證規(guī)則，對提供信息安全服務(wù)機構(gòu)的

信息安全服務(wù)資質(zhì)進行評價。

CS信息系統(tǒng)建設(shè)和服務(wù)能力評估

“信息系統(tǒng)建設(shè)和服務(wù)”是指通過結(jié)構(gòu)化的綜合布

線系統(tǒng)，運用計算機網(wǎng)絡(luò)技術(shù)和軟件技術(shù)，將各個分離

的設(shè)備、功能和信息等集成到相互關(guān)聯(lián)的、統(tǒng)一和協(xié)調(diào)

的系統(tǒng)之中，以及為信息系統(tǒng)正常運行提供支持的服

務(wù)，包括信息技術(shù)咨詢、軟件開發(fā)、數(shù)據(jù)處理，及信息

系統(tǒng)的設(shè)計、開發(fā)、集成實施、運行維護和運營服務(wù)

等。

ISO27001信息安全管理體系認(rèn)證

ISO27001認(rèn)證是關(guān)于信息安全管理體系認(rèn)證，

ISO27001將有效保證企業(yè)在信息安全領(lǐng)域的可靠性，降

低企業(yè)泄密風(fēng)險，更好的保存核對數(shù)據(jù)。

ISO20000信息技術(shù)服務(wù)管理體系

ISO/IEC 20000是世界上第一部針對信息技術(shù)服務(wù)管

理（IT Service Management）領(lǐng)域的國際標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)代

表了廣泛認(rèn)可的評估IT服務(wù)管理流程的原則的基礎(chǔ)。

ISO27701隱私管理體系

是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安

全控制的隱私擴展。它是一項國際管理系統(tǒng)標(biāo)準(zhǔn)體系，

為保護個別隱私提供指導(dǎo)，包括組織應(yīng)如何管理個別信

息，并協(xié)助證明遵守了世界各地的隱私法規(guī)。

ISO27017云服務(wù)信息安全管理體系認(rèn)證

ISO27017是保護云服務(wù)安全的國際標(biāo)準(zhǔn)，2015年12

月15日正式發(fā)布是適用于云服務(wù)提供商和云服務(wù)客戶，

該標(biāo)準(zhǔn)主要是為這兩種類型客戶而設(shè)立。是專門針對云

計算服務(wù)的信息安全控制措施實用標(biāo)準(zhǔn)，為云服務(wù)行業(yè)

提供了ISO/IEC 27002的指南，與ISO/IEC 27001標(biāo)準(zhǔn)配合

使用，將有效加強對云服務(wù)提供商及云服務(wù)客戶的管理

能力。

ISO 27018云隱保護認(rèn)證

ISO27018認(rèn)證是首個專注于云中個人數(shù)據(jù)保護的國

際行為準(zhǔn)則。它基于ISO信息安全標(biāo)準(zhǔn)27002，并針對適

用于公有云個人可識別信息（PII）的ISO 27002控制體系

提供了實施指南，以確保個人身份信息（PII）資料在經(jīng)

由云個人身份信息處理者處理時得到適當(dāng)保護，從而為

在多國市場運營的云服務(wù)提供商提供一個共同合規(guī)框

架。

ISO27018認(rèn)證又稱“云隱保護認(rèn)證”，主要針對云

服務(wù)商對云中個人數(shù)據(jù)的安全防護的國際標(biāo)準(zhǔn)認(rèn)證，旨

在為云個人身份信息處理者提供一套實務(wù)守則，以保護

公共云中的個人身份信息（PII）不受侵犯，是目前國際

上最權(quán)威、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安

全體系認(rèn)證。

ISO22301業(yè)務(wù)連續(xù)性管理體系

ISO 22301適用于所有工業(yè)中的大、中、小型公有及

私有組織，并且特別適用于處于高風(fēng)險和高度監(jiān)管環(huán)境

下的金融業(yè)、IT通信業(yè)、制造業(yè)等。各行各業(yè)的企業(yè)對

國際及中國地區(qū)不斷頻發(fā)的自然災(zāi)害及人為事故，其業(yè)

務(wù)運作的不確定性和風(fēng)險都被大幅度增加，而加強企業(yè)

業(yè)務(wù)連續(xù)性管理則成為了打造最佳企業(yè)應(yīng)急預(yù)案的必備

選擇。

涉密系統(tǒng)集成資質(zhì)

是指從事涉密系統(tǒng)業(yè)務(wù)的單位所需要具備的從事涉

及國家秘密活動的資格和保守國家秘密的能力。這種的

“涉密系統(tǒng)集成”，包括涉密系統(tǒng)工程的規(guī)劃、設(shè)計、

開發(fā)、實施、服務(wù)及保障等工作。

AAA級企業(yè)信用

協(xié)會以市場第三方認(rèn)證機構(gòu)的名義，依照國際慣例

和法律規(guī)定，采用市場監(jiān)測手段，對企業(yè)的講誠信守合

同重質(zhì)量典范企業(yè)進行全面的監(jiān)測、研究和判斷;并在媒

體發(fā)布科學(xué)、客觀的評價信息，向社會公開推薦和展示

獲此殊榮的企業(yè)，指導(dǎo)采購人員有目的地選購產(chǎn)品或接

受服務(wù)，有利于官方對講誠信守合同重質(zhì)量典范企業(yè)的

了解，開展招標(biāo)采購活動，有利于企業(yè)國際形象的提

升。

售后服務(wù)認(rèn)證

商品售后服務(wù)認(rèn)證是依據(jù)《商國務(wù)院2014年26號文

件《國務(wù)院關(guān)于加快發(fā)展生產(chǎn)性服務(wù)業(yè)促進產(chǎn)業(yè)結(jié)構(gòu)調(diào)

整升級的指導(dǎo)意見》中要求：“鼓勵企業(yè)將售后服務(wù)作

為開拓市場、提高競爭力的重要途徑，增強服務(wù)功能，

健全服務(wù)網(wǎng)絡(luò)，提升服務(wù)質(zhì)量，完善服務(wù)體系。

完善產(chǎn)品“三包”制度，積極運用互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、

大數(shù)據(jù)等信息技術(shù)，發(fā)展遠程檢測診斷、運營維護、技

術(shù)支持等售后服務(wù)新業(yè)態(tài)。商品售后服務(wù)認(rèn)證是依據(jù)《商

品售后服務(wù)評價體系》標(biāo)準(zhǔn)（GB/T27922-2011），對企

業(yè)的服務(wù)能力進行審核，對服務(wù)水平做出評價。越來越

多的企業(yè)認(rèn)識到售后服務(wù)是企業(yè)市場競爭的最后一張王

牌，只要是在中華人民共和國內(nèi)合法經(jīng)營的企業(yè)都可以

申請認(rèn)證，包括制造有形商品的企業(yè)、銷售有形商品的

企業(yè)、提供無形商品（服務(wù)）的企業(yè)。

企業(yè)誠信管理體系

《企業(yè)誠信管理體系GB/T31950-2015》認(rèn)證是十九

大提出推進社會誠信體系建設(shè)的重要組成部分，是企業(yè)

白話說CC-信息安全通用標(biāo)準(zhǔn)CC是什么？

評估保障級EAL有是什么？如何獲得信息安全認(rèn)證證書

品賣往不同國家，跨國企業(yè)不得不在各個國家分別進行

認(rèn)證。每個認(rèn)證需要人力物力不說，這些認(rèn)證還存在相

同之處，企業(yè)還得重復(fù)勞動。此外，由于各個認(rèn)證之間

沒有可比性，消費者在購買商品時需要花費大量時間去

比較產(chǎn)品，這無形的增加消費者負(fù)擔(dān)。有道是，天下大

勢合久必分，分久必合。終于大家坐不住了，在1993

年，以美英為首的6國7集團決定聯(lián)合制定一個通用標(biāo)準(zhǔn)

Common Criteria，也就是CC，還成立了CC互認(rèn)組織

（CCRA）。

CC可厲害了！首先，CC適用于所有IT產(chǎn)品的檢測，

不管是硬件、軟件還是固件，都能在同一個框架下評

估；其次，CC融合了TCSEC、ITSEC、CTCPEC等標(biāo)準(zhǔn)，

站在巨人肩膀上又超越了這些標(biāo)準(zhǔn)，更能適應(yīng)信息技術(shù)

的發(fā)展，這就為CC標(biāo)準(zhǔn)通用性提供了技術(shù)支撐；最厲害

的是，CC評估結(jié)果在CCRA中互相認(rèn)可。

CC自1995年建立以來，歷經(jīng)了多次演變。目前最新

版是CC3.1版本，CC4.0版本正在修訂中，預(yù)計2021年發(fā)

布。20多年來，CC不改初心，一直朝著減少標(biāo)準(zhǔn)復(fù)雜

性、適應(yīng)新型產(chǎn)品需求，在保證安全性的同時降低評估

成本方向發(fā)展。

小黑：小白，小白聽說了嗎，中國金融認(rèn)證中心

（CFCA）信息安全實驗室檢測的一款芯片獲得了EAL5+

認(rèn)證證書！

小白：聽說啦，這可是行業(yè)內(nèi)的大新聞呢。EAL5+

級別可是CC體系中較高的評估保障級。以前咱們國家這

個領(lǐng)域證書最多到EAL4+級別，現(xiàn)在終于有EAL5+的

了，這可意味著國家在這個領(lǐng)域技術(shù)向著國際先進水平

邁出了堅實的一步。

小黑：嗯嗯，聽起來蠻振奮人心。說到CC還挺迷糊

的，有道是以史為鑒可以知興替，要不你先給我講講CC

的背景吧。

小白：可以說CC順著商業(yè)全球化的“運”，終結(jié)了

標(biāo)準(zhǔn)各自為政的時代。自打上世紀(jì)70年代信息時代的到

來，信息產(chǎn)品得到了普遍且廣泛的應(yīng)用，安全問題也隨

之成為了焦點。但是安全往往很敏感，跟政治關(guān)系密

切。所以在CC出現(xiàn)之前，每個國家各自為政制定自己的

產(chǎn)品安全評估的標(biāo)準(zhǔn)。3個代表性的標(biāo)準(zhǔn)是1983年美國發(fā)

布的TCSEC、1991年由英法德荷歐洲四國制定的ITSEC，

以及1993年加大拿制定的CTCPEC。

但是呢，分散的標(biāo)準(zhǔn)不利于全球化的商業(yè)活動。產(chǎn)

形象和品牌的重要標(biāo)志，更是企業(yè)的無形資產(chǎn)。為更好

地加強政務(wù)誠信、商務(wù)誠信、社會誠信和司法公信建

設(shè)，依據(jù)國家頒布的《企業(yè)誠信管理體系》標(biāo)準(zhǔn)建立誠

信管理體系，有效控制誠信風(fēng)險，經(jīng)營百年基業(yè)。企業(yè)

誠信管理體系認(rèn)證是由國家認(rèn)證認(rèn)可監(jiān)督管理委員會批

準(zhǔn)的認(rèn)證機構(gòu)，依據(jù)國家標(biāo)準(zhǔn)：《GB/T 31950-2015 企

業(yè)誠信管理體系》對企業(yè)信用風(fēng)險防范、控制和轉(zhuǎn)移的

管理技術(shù)、業(yè)務(wù)操作及相關(guān)的制度安排進行審核的一種

認(rèn)證服務(wù)。

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 www.cciss.com.cn Technology Leading， Professional Services. 知識分項 16-17

小黑：CC發(fā)展有點像秦始皇統(tǒng)一度量衡的意思呀。

聽著還挺有意思的，再說說，CC具體都包括啥內(nèi)容呀？

小白：目前的CC3.1版本包含三個內(nèi)容，第一部分簡

介和一般模型，描述了CC體系中所使用的基本概念以及

對PP（保護輪廓）和ST（產(chǎn)品的安全目標(biāo)）的評估要

求。第二部分是安全功能要求（SFR），用標(biāo)準(zhǔn)化方式

描述IT產(chǎn)品可以提供的安全功能的特征。第三部分是安

全保障要求（SAR），定義了為保證IT產(chǎn)品安全功能實

現(xiàn)的正確性，開發(fā)者和評估者所需要活動。聽著有點抽

象吧，先聽個大概，具體細(xì)節(jié)我們以后再解釋。

小黑：哦，確實有點暈。那EAL5+是怎么回事，與

CC三部分什么關(guān)系？

小白：EAL是評估保障級的縮寫啦。把保障級看作

置信度就好啦，信任的對象是：產(chǎn)品已經(jīng)正確實現(xiàn)了其

聲稱的安全措施。保障級的高低這樣來理解吧，越高的

保障級說明開發(fā)過程越規(guī)范化，送檢方給評估者提供越

多信息，評估的內(nèi)容也越豐富，獲證之后消費者就會越

放心使用這款產(chǎn)品。一言以蔽之，通過高保障級的產(chǎn)品

能讓消費者更相信這款產(chǎn)品的確實現(xiàn)了其所聲稱的安全

措施。

再多說一句吧，CC預(yù)定義了7個保障級，每個保障

級由一些安全保障要求組成。滿足了保障級相應(yīng)的安全

保障要求，就達到了相應(yīng)的保障級。高保障級從深度和

廣度兩方面擴展低保障級，以此增加消費者信心。舉個

小栗子，EAL5+在EAL4+基礎(chǔ)上提高了要求，開發(fā)者需

要用半形式化描述設(shè)計文檔。

小黑：那CC的評估框架是啥呢？為啥CC適用于所有

IT產(chǎn)品呢？

小白：CC之所以適用所有IT產(chǎn)品，因為CC找到了IT

產(chǎn)品共通點，無論什么產(chǎn)品形式，最終的目的是保護IT

產(chǎn)品內(nèi)部的資產(chǎn)，比如用戶數(shù)據(jù)是芯片所保護的資產(chǎn)之

一。

因此CC框架要求產(chǎn)品開發(fā)者從資產(chǎn)出發(fā)，明確IT產(chǎn)

品保護的資產(chǎn)，分析資產(chǎn)所有的安全問題（主要是來自

外部的威脅，例如側(cè)信道攻擊導(dǎo)致信息泄露），然后根

據(jù)安全問題提出保護資產(chǎn)的安全措施。然后CC從兩個方

向評估安全措施，一個是安全措施的充分性，即正確運

行所有的安全措施可以抵御對資產(chǎn)的威脅；另一方面是

確保所聲稱的安全措施實現(xiàn)的正確性。

充分性的評估，可以分析產(chǎn)品的安全目標(biāo)中安全功

能要求是否能解決所有的安全問題。正確性評估則需要

根據(jù)安全保障要求定義的活動檢查產(chǎn)品從研發(fā)、測試到

交付過程中的各個環(huán)節(jié)，保證產(chǎn)品實現(xiàn)的正確性，避免

在各個環(huán)節(jié)引入脆弱性。評估活動包括測試產(chǎn)品、檢測

產(chǎn)品的各種設(shè)計表示，檢查產(chǎn)品開發(fā)環(huán)境的物理安全

等。

小黑：說白了就是CC關(guān)注安全措施的正確性和充分

性，SFR負(fù)責(zé)充分性，SAR負(fù)責(zé)正確性唄？

小白：機智~，無圖無真相，看圖：

1983 TCSEC,US

1991 ITSEC,EU

1993 CTCPES,CAN

1999 2005 2009 2021

CC2.1 CC2.3 CC3.1 CC4.0

CC演變

CC

Part1：

簡介和一般模型

Part2：

安全功能要求（SFR)

Part3：

安全保障要求（SAR)

消費者信心

EAL7：形式化驗證的設(shè)計和測試

EAL6：半形式化驗證的設(shè)計和測試

EAL5：半形式化設(shè)計和測試

EAL4：系統(tǒng)地設(shè)計、測試和復(fù)查

EAL3：系統(tǒng)地測試和檢查

EAL2：結(jié)構(gòu)測試

EAL1：功能測試

Threats Assest

Countermeasures

Sufficient

Security

objective

STR

Corretness

SAR

其他證據(jù)文檔

TOE評估

ST

小黑：前面說到評估需要每個產(chǎn)品有一個安全目

標(biāo)，反映其安全措施是否充分是吧？其實一類產(chǎn)品會面

對同樣的安全問題，每個產(chǎn)品都重復(fù)定義一遍好麻煩

呀。如果兩個相同類型的產(chǎn)品定義了不同的資產(chǎn)、安全

問題怎么評估呢？對于這些問題CC有解決辦法嗎？

小白：沒錯，每個產(chǎn)品都需要有一個安全目標(biāo)，因

為產(chǎn)品的安全目標(biāo)描述產(chǎn)品具體實現(xiàn)的安全功能，與實

現(xiàn)緊密相連。對于一類產(chǎn)品的評估方法，CC的解決辦法

是一堆業(yè)界專家坐下來，對于某個類型產(chǎn)品定制一個PP

（Protection Profile）。由PP定義此類產(chǎn)品需要保護的資

產(chǎn)，所面臨的安全問題，以及與實現(xiàn)無關(guān)的安全需求。

因為業(yè)界專家共同編的PP嘛，所以定義的內(nèi)容還是蠻有

普適性的。目前國際上評估芯片產(chǎn)品用的是PP0084。簡

單說，產(chǎn)品的安全目標(biāo)約等于pp內(nèi)容+實現(xiàn)相關(guān)內(nèi)容，

這就完美回避了你說的同類型產(chǎn)品定義了不同資產(chǎn)這種

問題啦。說這么多，其實都可以理解為PP可以作為該類

產(chǎn)品的檢測依據(jù)啦。

小黑：對了，為啥老說國際CC和國內(nèi)CC呢？他倆有

啥區(qū)別？

小白：之前也說過，CC的評估結(jié)果在CCRA中互

認(rèn)，但是中國并不包括在CCRA之內(nèi)。所以國內(nèi)專家就

參考ISO15408（也就是CC的國際化版）框架編寫，同時

加入了一些本土化的部分，就成為了國內(nèi)的CC。本次

EAL5+認(rèn)證檢測的依據(jù)GB/T 22186-2016也是參考了國際

CC中芯片類PP，PP0035（PP0084的前一版）編寫而

成。是不是頗有點本是同根生的意味呢。

小黑：CC標(biāo)準(zhǔn)不錯，那怎么保證標(biāo)準(zhǔn)的執(zhí)行呢？誰

去監(jiān)督和檢查呢？國內(nèi)CC怎么認(rèn)證的呢？

小白：好問題，國內(nèi)外CC都使用的認(rèn)證+檢測的方

式，來保證評估結(jié)果的客觀性的。認(rèn)證機構(gòu)會定義一套

專門的實施規(guī)則指導(dǎo)CC評估的實施。在國內(nèi)，CCRC是

IT產(chǎn)品信息安全認(rèn)證中心，能夠為通過認(rèn)證的產(chǎn)品發(fā)

證。CCRC的實施規(guī)則中采用國際最通用的認(rèn)證模式：型

式試驗+工廠檢查+獲證監(jiān)督這種模式。

認(rèn)證參與者主要包括認(rèn)證機構(gòu)、送檢企業(yè)和檢測機

構(gòu)三方。送檢企業(yè)提交產(chǎn)品資料，檢測機構(gòu)實施檢測，

認(rèn)證機構(gòu)對檢測機構(gòu)的檢測活動進行監(jiān)督和管理，審核

檢測機構(gòu)出具的報告，審核通過后為送檢企業(yè)頒發(fā)認(rèn)證

證書。具體問題可以咨詢CFCA信息安全實驗室，他們可

是CCRC授權(quán)的檢測實驗室。

來源：《百度文庫》

小黑：:今天講的內(nèi)容太多了，我要回去消化一下，

下次再和你聊啦

小白：好的。See you

ISO/IEC15408-1:2009

《Information

technology-Security

techniques-Evaluation

criteria for lT security 》

GB/T 18336-2015

《信息技術(shù)安全技術(shù)信息

技術(shù)安全評估準(zhǔn)則》

BSI-PP-0035

Eurosmart Smartcard

lCPlatform Protection

Profile》

GB/T 22186-2016

《信息技術(shù)具有中央處理

器的IC卡芯片安全技術(shù)

要求》

認(rèn)證機構(gòu)

工廠檢查、

證后監(jiān)督

送檢企業(yè)

送樣、檢測

監(jiān)督管理 檢測機構(gòu)

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 www.cciss.com.cn Technology Leading， Professional Services. 知識分項 18-19

產(chǎn)品認(rèn)證Vs體系認(rèn)證，你能分清楚嗎？

四、產(chǎn)品質(zhì)量認(rèn)證和質(zhì)量管理體系認(rèn)證的不同之處

1、認(rèn)證對象不同

產(chǎn)品質(zhì)量認(rèn)證的對象是批量生產(chǎn)的定型產(chǎn)品。如各

品種等級的水泥產(chǎn)品。水泥產(chǎn)品質(zhì)量認(rèn)證可以進行等級

品認(rèn)證，如優(yōu)等品認(rèn)證、一等品認(rèn)證、合格品認(rèn)證。

質(zhì)量管理體系認(rèn)證的對象是申請認(rèn)證方組織的質(zhì)量

管理體系，不考慮產(chǎn)品的等級品。

2、獲準(zhǔn)認(rèn)證的條件不同

《中華人民共和國質(zhì)量認(rèn)證管理條例》第三章第十

條規(guī)定：“提出申請認(rèn)證的企業(yè)應(yīng)當(dāng)具備以下條件：

（一）產(chǎn)品質(zhì)量符合國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)要求；

（二）產(chǎn)品質(zhì)量穩(wěn)定，能正常批量生產(chǎn)；

（三）生產(chǎn)企業(yè)的質(zhì)量體系符合國家質(zhì)量管理和質(zhì)

量保證標(biāo)準(zhǔn)及補充要求?！彼喈a(chǎn)品質(zhì)量獲準(zhǔn)認(rèn)證至少

應(yīng)滿足以下四個條件：

1）產(chǎn)品質(zhì)量符合國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)要求；

2）產(chǎn)品質(zhì)量符合《水泥產(chǎn)品認(rèn)證補充技術(shù)條件》要

求；

3）產(chǎn)品質(zhì)量穩(wěn)定，能正常批量生產(chǎn)；

4）質(zhì)量管理體系符合《水泥產(chǎn)品質(zhì)量保證要求》。

水泥企業(yè)質(zhì)量管理體系認(rèn)證獲準(zhǔn)認(rèn)證至少要滿足以下三

個條件：

①產(chǎn)品質(zhì)量符合國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)要求；

②產(chǎn)品質(zhì)量穩(wěn)定，能正常批量生產(chǎn)；

③、質(zhì)量管理體系符合GB\\T19001-2016（ISO

9001：2015）標(biāo)準(zhǔn)要求。

3、產(chǎn)品檢驗要求不同

產(chǎn)品質(zhì)量認(rèn)證要求在受審核方現(xiàn)場，按國家規(guī)定的

抽樣方法對認(rèn)證產(chǎn)品進行抽樣，送認(rèn)證機構(gòu)指定的檢驗

機構(gòu)對產(chǎn)品進行型式檢驗。水泥產(chǎn)品質(zhì)量認(rèn)證要求：對

于初次認(rèn)證產(chǎn)品，每一認(rèn)證單元抽取一個混合樣，任選

一認(rèn)證單元抽取十個分割樣，任選一認(rèn)證單元抽查袋

重，對于監(jiān)督檢查、擴大和復(fù)評（現(xiàn)稱到期確認(rèn)）認(rèn)證

只抽一個混合樣并抽查袋重。

質(zhì)量管理體系認(rèn)證不論初次認(rèn)證、監(jiān)督檢查、擴大

和復(fù)評認(rèn)證都不抽樣，不做產(chǎn)品型式檢驗。

4、認(rèn)證的性質(zhì)不同

產(chǎn)品質(zhì)量認(rèn)證分為強制性認(rèn)證和自愿認(rèn)證兩類。凡

涉及人類健康和安全，動植物生命和健康，以及環(huán)境保

護和公共安全的產(chǎn)品必須按國家規(guī)定要求進行強制性產(chǎn)

品認(rèn)證。否則，不得出廠銷售、進口和在經(jīng)營性活動中

認(rèn)證是市場經(jīng)濟條件下加強質(zhì)量管理、提高市場交

率的基礎(chǔ)性制度，是由國家認(rèn)監(jiān)委批準(zhǔn)的具有專業(yè)能力

的第三方認(rèn)證機構(gòu)，通過評審，頒發(fā)公示證書，以證明

其產(chǎn)品質(zhì)量、服務(wù)質(zhì)量、管理績效、人力資源等相應(yīng)的

地方符合相關(guān)標(biāo)準(zhǔn)和技術(shù)規(guī)范的程度。

一、關(guān)于我國目前認(rèn)證的類型

我國目前認(rèn)證的類型主要分為：產(chǎn)品質(zhì)量認(rèn)證和管

理體系認(rèn)證。

產(chǎn)品質(zhì)量認(rèn)證分為：CCC國家強制性認(rèn)證；有機產(chǎn)

品認(rèn)證；CQC自愿認(rèn)證。

管理體系認(rèn)證有：ISO9000質(zhì)量管理體系認(rèn)證；

ISO14000環(huán)境管理體系認(rèn)證；OHSMS職業(yè)健康安全管理

體系認(rèn)證；SA8000社會道德責(zé)任認(rèn)證；HACCP食品安全

控制體系認(rèn)證等。不同行業(yè)的企業(yè)可以做不同的管理體

系認(rèn)證，如：水泥企業(yè)的認(rèn)證主要有：水泥產(chǎn)品質(zhì)量認(rèn)

證、ISO9000質(zhì)量管理體系認(rèn)證、ISO14000環(huán)境管理體系

認(rèn)證、OHSMS職業(yè)健康安全管理體系認(rèn)證。

二、產(chǎn)品質(zhì)量認(rèn)證和質(zhì)量管理體系認(rèn)證的概念

1、關(guān)于認(rèn)證

ISO\\IEC指南2中關(guān)于“認(rèn)證”的定義是：“第三方

依據(jù)程序?qū)Ξa(chǎn)品、過程或服務(wù)符合規(guī)定的要求給予書面

保證（合格證書）”。

2、關(guān)于產(chǎn)品質(zhì)量認(rèn)證

《中華人民共和國產(chǎn)品質(zhì)量認(rèn)證管理條例》第一章

第二條的定義是：“產(chǎn)品質(zhì)量認(rèn)證是依據(jù)產(chǎn)品標(biāo)準(zhǔn)和相

應(yīng)技術(shù)要求，以認(rèn)證機構(gòu)確認(rèn)并通過頒發(fā)認(rèn)證證書和認(rèn)

證標(biāo)志來證明某一產(chǎn)品符合相應(yīng)標(biāo)準(zhǔn)和相應(yīng)技術(shù)要求的

活動”。

3、關(guān)于質(zhì)量管理體系認(rèn)證

質(zhì)量管理體系認(rèn)證是指經(jīng)認(rèn)證機構(gòu)依據(jù)質(zhì)量管理體

系標(biāo)準(zhǔn)對組織的質(zhì)量管理體系進行檢查、評定、確認(rèn)并

頒發(fā)體系認(rèn)證證書來證明該組織的質(zhì)量管理體系符合相

應(yīng)標(biāo)準(zhǔn)要求的活動。

三、產(chǎn)品質(zhì)量認(rèn)證和質(zhì)量管理體系認(rèn)證的相同之處

通過上述定義可以看出，產(chǎn)品質(zhì)量認(rèn)證和質(zhì)量管理

體系認(rèn)證最大的共同點就是兩者同屬認(rèn)證的范疇，都具

有獨立的第三方質(zhì)量認(rèn)證的特征。具體地講相同之處：

1、產(chǎn)品質(zhì)量認(rèn)證和質(zhì)量管理體系認(rèn)證都具有獨立的

第三方質(zhì)量認(rèn)證的相同認(rèn)證特征。

2、申請認(rèn)證方都必須具有提供滿足顧客和適用的法

律法規(guī)要求的產(chǎn)品的能力。

使用。國家規(guī)定，凡是不屬于強制性認(rèn)證范圍的產(chǎn)品，

實行產(chǎn)品質(zhì)量認(rèn)證自愿的原則。水泥產(chǎn)品目前尚屬于自

愿認(rèn)證的范圍。

質(zhì)量管理體系認(rèn)證全部實行自愿的原則。

5、證明的方式不同

產(chǎn)品質(zhì)量認(rèn)證的證明方式是產(chǎn)品認(rèn)證證書和產(chǎn)品認(rèn)

證標(biāo)志，證書和標(biāo)志證明該產(chǎn)品符合產(chǎn)品標(biāo)準(zhǔn)和認(rèn)證條

件的要求。證書中允許標(biāo)明產(chǎn)品的質(zhì)量等級，如優(yōu)等

品、一等品、合格品等，而且只能一品一證，即一個產(chǎn)

品只能發(fā)一張證書，該產(chǎn)品的認(rèn)證證書對其他產(chǎn)品無覆

蓋性。

質(zhì)量管理體系認(rèn)證的證明方式是質(zhì)量管理體系認(rèn)證

證書和認(rèn)證標(biāo)記。證書和標(biāo)記只證明該組織的質(zhì)量管理

體系符合質(zhì)量管理體系標(biāo)準(zhǔn)的要求，證書中也不標(biāo)明產(chǎn)

品的質(zhì)量等級，僅證明該組織有能力穩(wěn)定地提供滿足顧

客和使用的法律法規(guī)要求的產(chǎn)品。質(zhì)量管理體系認(rèn)證證

書可以多品一證，即經(jīng)認(rèn)證機構(gòu)確認(rèn)符合要求的多個產(chǎn)

品填寫在一張證書上，它具有一證覆蓋多個產(chǎn)品的屬

性。

6、證明的使用不同

產(chǎn)品質(zhì)量認(rèn)證證書不能在產(chǎn)品上使用，認(rèn)證標(biāo)志可

用于獲準(zhǔn)認(rèn)證的產(chǎn)品上。質(zhì)量管理體系認(rèn)證證書和認(rèn)證

標(biāo)志都不能在產(chǎn)品上使用。

7、認(rèn)證證書的有效期不同

產(chǎn)品質(zhì)量認(rèn)證證書有效期為五年。質(zhì)量管理體系認(rèn)

證證書有效期為三年。

來源：《質(zhì)量派》

工業(yè)控制產(chǎn)品信息安全認(rèn)證現(xiàn)狀與展望

產(chǎn)品認(rèn)證制度在產(chǎn)品生產(chǎn)、銷售以及使用中具有重

要作用。企業(yè)生產(chǎn)的產(chǎn)品獲得產(chǎn)品認(rèn)證證書，表明該產(chǎn)

品符合相應(yīng)的標(biāo)準(zhǔn)和技術(shù)要求。第三方測評機構(gòu)依據(jù)產(chǎn)

品評估準(zhǔn)則和相關(guān)技術(shù)要求，對產(chǎn)品的性能進行評價，

旨在保護用戶信息安全，維護用戶利益。同時，產(chǎn)品認(rèn)

證標(biāo)志也是企業(yè)通向市場的鑰匙。信息安全認(rèn)證是為了

證明某一種產(chǎn)品具備信息安全方面的能力及技術(shù)要求。

在傳統(tǒng)信息安全領(lǐng)域，大多數(shù)著名廠商都已經(jīng)通過相關(guān)

產(chǎn)品認(rèn)證，如公安部計算機系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗

中心的銷售許可證，部分廠商還已經(jīng)獲得由中國網(wǎng)絡(luò)安

全審查技術(shù)與認(rèn)證中心（CCRC）頒發(fā)的IT產(chǎn)品信息安

全認(rèn)證，表明其具備更高一級的信息安全保護能力。目

前，和利時、匡恩、海天煒業(yè)、珠海鴻瑞等國內(nèi)工控安

全廠商的工業(yè)防火墻、工業(yè)隔離網(wǎng)關(guān)等工業(yè)信息安全產(chǎn)

品均已獲得該認(rèn)證。中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心

的IT產(chǎn)品信息安全認(rèn)證也包括工業(yè)控制產(chǎn)品的部分，據(jù)

悉，目前國內(nèi)僅有中電聯(lián)宇裝備科技（北京）有限公司

的超御N系列PLC產(chǎn)品通過了這一認(rèn)證。

一、美國工業(yè)控制產(chǎn)品信息安全認(rèn)證

美國工業(yè)控制產(chǎn)品信息安全認(rèn)證主要是 ISASecure

認(rèn)證。ISA 是國際自動化學(xué)會的簡稱，其為工業(yè)和關(guān)鍵

基礎(chǔ)設(shè)施中使用的自動控制系統(tǒng)提供改善管理、安全和

網(wǎng)絡(luò)安全工程技術(shù)標(biāo)準(zhǔn)。ISASecure 認(rèn)證是 ISCI 基于

IEC62443 標(biāo)準(zhǔn)開發(fā)的合規(guī)性認(rèn)證，是目前工業(yè)控制領(lǐng)域

最具權(quán)威安全認(rèn)證。ISASecure 認(rèn)證包括嵌入設(shè)備安全

保障認(rèn)證、系統(tǒng)安全保障認(rèn)證和安全開發(fā)生命周期保障

認(rèn)證三大類。嵌入設(shè)備安全保障認(rèn)證（Embedded Device

Security Assurance，EDSA），側(cè)重設(shè)備級別的安全性保障，

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 www.cciss.com.cn Technology Leading， Professional Services. 知識分項 20-21

來源：《電子技術(shù)應(yīng)用》

認(rèn)證對象是獨立的工控設(shè)備，比如 PLC 等。系統(tǒng)安全保

障認(rèn)證（System Security Assurance，SSA），側(cè)重系統(tǒng)級

別的安全性保障，認(rèn)證對象是工控系統(tǒng)，比如 DCS、

SCADA、SIS 等。安全開發(fā)生命周期保障認(rèn)證（Security

Development Lifecycle Assurance，SDLA），側(cè)重安全開發(fā)

過程的保障，確保安全被正確地設(shè)計和落地，認(rèn)證對象

是研發(fā)團隊。目前 EDSA 認(rèn)證推廣得比較好，有 9 個廠

商 的 19 款 產(chǎn) 品 獲 得 EDSA 認(rèn) 證，包 括：Honeywell、

Schneider、Yokogawa、TOSHIBA、RTP、Hitachi、

HIMA、Azbil、Beijing Consen。ISASecure 為每一類認(rèn)證

都定義了一套詳細(xì)的規(guī)范文檔及測試用例，方便廠家對

照規(guī)范進行自檢。所有經(jīng)過認(rèn)證的產(chǎn)品或系統(tǒng)，都在

ISASecure 的官網(wǎng)（www.isasecure.org）有公布，這也方

便最終工業(yè)廠商參考該列表進行工控設(shè)備選型，可以有

效提升整個工控產(chǎn)業(yè)的安全保障。

二、歐洲工業(yè)控制產(chǎn)品信息安全認(rèn)證

全球領(lǐng)先的第三方檢測認(rèn)證機構(gòu)TüV南德意志集團

（以下簡稱“TüV南德”）根據(jù)IEC 62443系列標(biāo)準(zhǔn)為

西門子過程控制系統(tǒng)——Simatic PCS 7頒發(fā)證書，這是

世界范圍內(nèi)首個產(chǎn)品獲得此類TüV證書。該證書的頒發(fā)

證明西門子產(chǎn)品符合IEC 62443-4-1及IEC 62443-3-3安

全標(biāo)準(zhǔn)的要求。Simatic PCS 7是一個可對持續(xù)制造過程

進行監(jiān)控的過程控制系統(tǒng)，必須具備功能安全和工業(yè)信

息安全的高要求。國際標(biāo)準(zhǔn)IEC 62443的出臺首次為工業(yè)

自動化和控制系統(tǒng)方面的工業(yè)信息安全認(rèn)證提供了基

礎(chǔ)，該系列標(biāo)準(zhǔn)針對工廠/系統(tǒng)，集成商/服務(wù)提供商以

及制造商的工業(yè)信息安全提出了嚴(yán)格要求，其中，對制

造商的認(rèn)證基于IEC 62443-4-1，對系統(tǒng)集成商的認(rèn)證基

于62443-2-4，而對系統(tǒng)安全功能的評估則依據(jù)IEC

62443-3-3。西門子此次獲得的基于IEC 62443-4-1及

63443-3-3標(biāo)準(zhǔn)的認(rèn)證，表明TüV南德專家確認(rèn)Simatic

PCS 7過程控制系統(tǒng)符合IEC 62443-4-1及63443-3-3標(biāo)準(zhǔn)

的 相 關(guān) 要 求 。 同 時 ， T ü V 南 德 專 家 也 根 據(jù) I E C

62443-3-3標(biāo)準(zhǔn)，對Simatic PCS 7已實現(xiàn)的安全功能進行

了評估。之后定期進行的審查則將確保Simatic PCS 7在

未來仍滿足工業(yè)信息安全的相關(guān)要求。通過IEC 62443認(rèn)

證過程，西門子對其工業(yè)自動化產(chǎn)品的安全方法進行了

文檔記錄，為集成商和運營商提供關(guān)于工業(yè)安全措施方

面的指導(dǎo)。

三、我國工業(yè)控制產(chǎn)品信息安全認(rèn)證

在工業(yè)信息安全產(chǎn)品，如工業(yè)防火墻、工業(yè)隔離網(wǎng)

關(guān)等方面，我國目前比較通用性的證書有CCC產(chǎn)品認(rèn)

證，計算機信息安全產(chǎn)品銷售許可證、中國網(wǎng)絡(luò)安全審

查技術(shù)與認(rèn)證中心頒發(fā)的IT信息產(chǎn)品安全認(rèn)證，其他比

較具有行業(yè)特殊性的如電力行業(yè)中國電科院頒發(fā)的電力

行業(yè)信息安全產(chǎn)品認(rèn)證、國家保密科技測評中心頒發(fā)的

涉密系統(tǒng)信息安全產(chǎn)品認(rèn)證、解放軍信息安全測評認(rèn)證

中心頒發(fā)的《軍用信息安全產(chǎn)品認(rèn)證證書》等，但是以

上均為針對信息安全產(chǎn)品的測評認(rèn)證，目前為止，除中

國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心外，均無對于工業(yè)控制

產(chǎn)品的信息安全認(rèn)證。

四、我國工業(yè)控制產(chǎn)品信息安全認(rèn)證展望

我國在工業(yè)信息安全領(lǐng)域起步較晚，但是發(fā)展較

快，這在很大程度上得益于政策支持。隨著《網(wǎng)絡(luò)安全

法》的實施，2017年6月，國家互聯(lián)網(wǎng)信息辦公室、工

信部、公安部、認(rèn)監(jiān)委四部門聯(lián)合出臺了《關(guān)于發(fā)布<

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）>的

公告》，PLC作為名錄中唯一的工業(yè)控制產(chǎn)品榜上有

名，據(jù)此推測，在不久的將來，工業(yè)控制產(chǎn)品的信息安

全認(rèn)證市場將會迎來快速增長。

美國和歐洲的認(rèn)證制度以及認(rèn)證方式對我國產(chǎn)品認(rèn)

證具有重要借鑒意義，但是我們需要結(jié)合目前我國產(chǎn)品

認(rèn)證的現(xiàn)狀，制定針對我國市場的認(rèn)證體系。筆者結(jié)合

自身的經(jīng)驗，對未來產(chǎn)品認(rèn)證提出以下幾點注意事項：

第一，充分認(rèn)識標(biāo)準(zhǔn)在產(chǎn)品認(rèn)證中的作用。

標(biāo)準(zhǔn)作為產(chǎn)品認(rèn)證的主要依據(jù)，在產(chǎn)品認(rèn)證體系中

具有基礎(chǔ)性和標(biāo)桿性作用?！爱a(chǎn)品認(rèn)證，標(biāo)準(zhǔn)先行”，

只有具有比較可靠的標(biāo)準(zhǔn)，才能在實際檢測認(rèn)證過程中

具有影響力和說服力。目前國外工控安全領(lǐng)域比較著名

的標(biāo)準(zhǔn)如NIST SP 800-82以及IEC62443系列標(biāo)準(zhǔn)，國內(nèi)

的如全國信息安全技術(shù)標(biāo)準(zhǔn)化委員會（TC260）發(fā)布的

《GB/T 32919-2016 信息安全技術(shù)工業(yè)控制系統(tǒng)安全控

制應(yīng)用指南》等均可以進行借鑒。

第二，加強產(chǎn)品認(rèn)證能力及隊伍建設(shè)。

產(chǎn)品認(rèn)證能力作為政府部門以及第三方測評機構(gòu)提

供社會公信力的一個有效手段，代表著國家在此方面的

總體技術(shù)實力。此外我們還要加強產(chǎn)品認(rèn)證隊伍建設(shè)，

保證認(rèn)證過程以及認(rèn)證結(jié)果的可信性。

第三，推進產(chǎn)品認(rèn)證培訓(xùn)。使生產(chǎn)者、銷售者及使

用者廣泛了解相關(guān)的認(rèn)證制度及認(rèn)證體系。產(chǎn)品認(rèn)證的

最終受益者是產(chǎn)品的使用者、銷售者以及生產(chǎn)者，在認(rèn)

證初期，要加大宣傳力度，對產(chǎn)品使用者以及生產(chǎn)者加

強引導(dǎo)，提高其對產(chǎn)品認(rèn)證的目的以及意義的認(rèn)識。

快收藏！各國出口產(chǎn)品認(rèn)證大全

產(chǎn)品安全的人為因素進行分析，確定加工過程中的關(guān)鍵

環(huán)節(jié)，建立、完善監(jiān)控程序和監(jiān)控標(biāo)準(zhǔn)，采取規(guī)范的糾

正措施。

國際標(biāo)準(zhǔn)CAC/RCP-1《食品衛(wèi)生通則1997修訂3

版》對HACCP的定義為：鑒別、評價和控制對食品安全

至關(guān)重要的危害的一種體系。

5、EMC

電子、電器產(chǎn)品的電磁兼容性（EMC）是一項非常

重要的質(zhì)量指標(biāo)，它不僅關(guān)系到產(chǎn)品本身的工作可靠性

和使用安全性，而且還可能影響到其他設(shè)備和系統(tǒng)的正

常工作，關(guān)系到電磁環(huán)境的保護問題。

歐共體政府規(guī)定，從1996年1月1起，所有電氣電子

產(chǎn)品必須通過EMC認(rèn)證，加貼CE標(biāo)志后才能在歐共體市

場上銷售。此舉在世界上引起廣泛影響，各國政府紛紛

采取措施，對電氣電子產(chǎn)品的RMC性能實行強制性管

理。國際上比較有影響的，例如歐盟89/336/EEC等。

6、IPPC

IPPC標(biāo)識，即國際木質(zhì)包裝檢疫措施標(biāo)準(zhǔn)。IPPC標(biāo)

識用以識別符合IPPC標(biāo)準(zhǔn)的木質(zhì)包裝，表示該木質(zhì)包裝

已經(jīng)經(jīng)過IPPC檢疫標(biāo)準(zhǔn)處理。

2002年3月國際植物保護公約發(fā)布了國際植物檢疫措

施標(biāo)準(zhǔn)第15號出版物《國際貿(mào)易中木質(zhì)包裝材料管理準(zhǔn)

則》，簡稱第15號國際標(biāo)準(zhǔn)，即為國際木質(zhì)包裝檢疫措

施標(biāo)準(zhǔn)。IPPC標(biāo)識用以識別符合IPPC標(biāo)準(zhǔn)的木質(zhì)包裝，

表示該目標(biāo)裝已經(jīng)經(jīng)過IPPC檢疫標(biāo)準(zhǔn)處理。

二、歐洲認(rèn)證

1、CE

CE 代表歐洲統(tǒng)一（CONFORMITE EUROPEENNE），

是一種安全認(rèn)證標(biāo)識，被視為制造商打開并進入歐洲市

場的護照。凡貼有 CE 標(biāo)識的產(chǎn)品可以在歐盟各成員國

內(nèi)銷售，實現(xiàn)了商品在歐盟成員國范圍內(nèi)的自由流通。

在歐盟市場中銷售，需要加貼CE標(biāo)識的產(chǎn)品包括如

下：

出口認(rèn)證是一種貿(mào)易信任背書，對許多外貿(mào)從業(yè)者

而言，產(chǎn)品的出口認(rèn)證和當(dāng)前的國際貿(mào)易環(huán)境一樣復(fù)雜

多變，不同的目標(biāo)市場、不同的產(chǎn)品類別，所需要的認(rèn)

證及標(biāo)準(zhǔn)也不同。

一、國際認(rèn)證

1、IECEE-CB

IECEE-CB體系的中文含義是“關(guān)于電工產(chǎn)品測試

證書的相互認(rèn)可體系”。該體系是以參加CB體系的各成

員之間相互認(rèn)可（雙向接受）測試結(jié)果來獲得國家級認(rèn)

證或批準(zhǔn)，從而達到促進國際貿(mào)易目的的體系。目前有

54個成員國和60多個國家認(rèn)證機構(gòu)成員參與了CB體系。

2、ISO9000

國際標(biāo)準(zhǔn)化組織是世界上最大的非政府性標(biāo)準(zhǔn)化專

門機構(gòu)，它在國際標(biāo)準(zhǔn)化中占主導(dǎo)地位。ISO9000標(biāo)準(zhǔn)為

國際標(biāo)準(zhǔn)化組織（ISO）發(fā)布，貫徹實施GB/T19000—

ISO9000族標(biāo)準(zhǔn)，開展質(zhì)量認(rèn)證，協(xié)調(diào)世界范圍內(nèi)的標(biāo)準(zhǔn)

化工作，組織各成員國和技術(shù)委員會進行情報交流，以

及與其他國際性組織進行合作，共同研究有關(guān)標(biāo)準(zhǔn)化問

題。

3、GMP

GMP 是 良 好 生 產(chǎn) 操 作 規(guī) 范（Good Manufacturing

Practice）的縮寫，是一種特別注重在生產(chǎn)過程實施對食

品衛(wèi)生安全的管理。簡要的說，GMP 要求食品生產(chǎn)企業(yè)

應(yīng)具備良好的生產(chǎn)設(shè)備，合理的生產(chǎn)過程，完善的質(zhì)量

管理和嚴(yán)格的檢測系統(tǒng)，確保最終產(chǎn)品的質(zhì)量（包括食

品安全衛(wèi)生）符合法規(guī)要求。

GMP 所規(guī)定的內(nèi)容，是食品加工企業(yè)必須達到的最

基本的條件。

4、HACCP

HACCP體系被認(rèn)為是控制食品安全和風(fēng)味品質(zhì)的最

好、最有效的管理體系。國家標(biāo)準(zhǔn)GB/T15091-1994《食

品工業(yè)基本術(shù)語》對HACCP的定義為：生產(chǎn)（加工）安

全食品的一種控制手段；對原料、關(guān)鍵生產(chǎn)工序及影響

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 www.cciss.com.cn Technology Leading， Professional Services. 知識分項 22-23

1、電氣類產(chǎn)品

2、機械類產(chǎn)品

3、玩具類產(chǎn)品

4、無線電和電信終端設(shè)備

5、冷藏﹑冷凍設(shè)備

6、人身保護設(shè)備

7、簡單壓力容器

8、熱水鍋爐

9、壓力設(shè)備

10、游樂船

11、建筑產(chǎn)品

12、體外診斷醫(yī)療器械

13、植入式醫(yī)療器械

14、醫(yī)療電器設(shè)備

15、升降設(shè)備

16、燃?xì)庠O(shè)備

17、非自動衡器

2、RoHS認(rèn)證（歐盟電子電器）

RoHS是歐盟立法制定的強制性標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)于2006

年7月1日正式實施，主要用于規(guī)范電子電器產(chǎn)品的材料

和工藝標(biāo)準(zhǔn)，使之利于人類健康及環(huán)境保護。

適用產(chǎn)品及地區(qū)包括歐盟27個成員國：英國（2020

年退出歐盟）、法國、德國、意大利、荷蘭、比利時、

盧森堡、丹麥、愛爾蘭、希臘、西班牙、葡萄牙、奧地

利、瑞典、芬蘭、塞浦路斯、匈牙利、捷克共和國、愛

沙尼亞、拉脫維亞、立陶宛、馬耳他、波蘭、斯洛伐

克、斯洛文尼亞、保加利亞、羅馬尼亞。

RoHS指令涵蓋范圍，AC1000V和DC1500V所列的電

子電器產(chǎn)品：

1、大型家用電器：冰箱、洗衣機、微波爐、空調(diào)

等。

2、小家電：吸塵器、電熨斗、吹風(fēng)機、烤箱、鐘表

等。

3、電腦及通訊設(shè)備：電腦、傳真機、電話、手機

等。

4、民用設(shè)備：收音機、電視機、錄像機、樂器等。

5、照明設(shè)備：家用照明以外的熒光燈等，照明控制

裝置

6、電動工具：電鉆、車床、電焊機、噴霧器等。

7、玩具/娛樂、運動器材：電動車、游戲機、自動

游戲機等。

8、醫(yī)療設(shè)備：放療設(shè)備、心電圖儀、分析儀器等。

9、監(jiān)控/控制裝置：煙霧探測器、孵化器、工廠監(jiān)

控機等。

10、自動售貨機

11、半導(dǎo)體設(shè)備。它不僅包括完整的產(chǎn)品，還包括

用于生產(chǎn)整機的零部件，原材料和包裝都關(guān)系到整個生

產(chǎn)鏈。

3、UKCA認(rèn)證（英國）

UKCA是英國合格認(rèn)定（UK Conformity Assessed）的

簡稱。

2019年2月2日，英國政府公布了在無協(xié)議脫歐的情

況下將會采用UKCA標(biāo)識方案，3月29日之后，對英國的

貿(mào)易將根據(jù)世界貿(mào)易組織（WTO）的規(guī)則進行。UKCA

標(biāo)識和CE標(biāo)識一樣，都是由制造商負(fù)責(zé)確保產(chǎn)品符合法

令規(guī)定的標(biāo)準(zhǔn)，并按照規(guī)定程序進行自我聲明后，在產(chǎn)

品上做相應(yīng)的標(biāo)識。

大多數(shù)目前在CE標(biāo)志管控范圍內(nèi)的產(chǎn)品將來如果要

出口到英國市場（英格蘭，威爾士以及蘇格蘭），都必

須加貼UKCA標(biāo)識，UKCA標(biāo)識不適用于進入北愛爾蘭的

產(chǎn)品。

4、GS認(rèn)證（德國）

GS（Geprufte Sicherheit）標(biāo)志是德國勞工部授權(quán)

TUV、VDE等機構(gòu)頒發(fā)的安全認(rèn)證標(biāo)志，是被歐洲廣大

顧客接受的安全標(biāo)志，通常GS認(rèn)證產(chǎn)品銷售單價更高而

且更加暢銷。

需要申請GS認(rèn)證的產(chǎn)品有：

1、家用電器，如電冰箱、洗衣機、廚房用具等；

2、家用機械；

3、體育運動用品；

4、家用電子設(shè)備，如視聽設(shè)備；

5、電氣及電子辦公設(shè)備，如復(fù)印機、傳真機、碎紙

機、電腦、打印機等；

6、工業(yè)機械、實驗測量設(shè)備；

7、其它與安全有關(guān)的產(chǎn)品，如自行車、頭盔、爬

梯、家具等。

5、TUV認(rèn)證（德國元器件）

TUV標(biāo)志是TUV德國為組件產(chǎn)品定制的安全認(rèn)證標(biāo)

志，在德國和歐洲被廣泛接受。企業(yè)在申請TUV標(biāo)志

時，可以一起申請CB證書，通過轉(zhuǎn)換獲得其他國家的證

書。此外，產(chǎn)品通過認(rèn)證后，該協(xié)會會向通過該協(xié)會查

詢產(chǎn)品者推薦這些產(chǎn)品；在整機認(rèn)證過程中，所有獲得

TUV標(biāo)志的部件均免除檢查。

6、VDE認(rèn)證（德國電氣）

作為國際公認(rèn)的電子設(shè)備及其零部件安全檢測認(rèn)證

機構(gòu)，VDE在歐洲乃至國際上享有盛譽。評估的產(chǎn)品范

圍包括家用和商用電器、計算機設(shè)備、工業(yè)和醫(yī)療技術(shù)

設(shè)備、安裝材料和電子元件、電線和電纜。

適用產(chǎn)品：

1、電子設(shè)備、機械

2、玩具

3、與人體接觸（廚具、美容護理）

4、光學(xué)產(chǎn)品（太陽鏡/3D/VR、激光、紅外線型）

5、具有保健功能的產(chǎn)品（護膝、足墊、腹部膠、腰

帶、止鼾帶、好背、按摩器、輪椅、電動輪椅等）

6、藍牙類

7、光盤、書籍等文化音像制品

三、美洲認(rèn)證

1、FCC（美國）

美國聯(lián)邦通信委員會通過控制無線電廣播、電視、

電信、衛(wèi)星和電纜來協(xié)調(diào)國內(nèi)和國際的通信。涉及美國

50多個州、哥倫比亞以及美國所屬地區(qū)。許多無線電應(yīng)

用產(chǎn)品、通訊產(chǎn)品和數(shù)字產(chǎn)品要進入美國市場，都要求

FCC的認(rèn)可。

強制性認(rèn)證，出口美國的電子電器產(chǎn)品必須要通過

FCC認(rèn)證。常見產(chǎn)品范圍：家電、燈具、音頻產(chǎn)品、通

訊產(chǎn)品、IT設(shè)備、安防產(chǎn)品、機械產(chǎn)品、玩具等。該證

書長期有效。

2、FDA（美國）

美國食品和藥物管理局簡稱FDA，其職責(zé)是確保美

國本國生產(chǎn)或進口的食品、化妝品、藥物、生物制劑、

醫(yī)療設(shè)備和放射產(chǎn)品的安全。強制性認(rèn)證，產(chǎn)品須完成

FDA注冊或是FDA檢測，方可出口美國。

常見產(chǎn)品范圍：食品、醫(yī)療器械產(chǎn)品、化妝品、輻

射、激光類電子產(chǎn)品（NTEK）、營養(yǎng)保健品、中草藥及

成藥、及護理保健器材等。

證書有效期根據(jù)不同產(chǎn)品類別有所區(qū)別。

3、UL（美國）

美國保險商試驗所作出的認(rèn)證的簡寫。UL安全試驗

所是美國最有權(quán)威的，也是世界上從事安全試驗和鑒定

的較大的民間機構(gòu)。它是一個獨立的、營利的、為公共

安全做試驗的專業(yè)機構(gòu)。非強制性認(rèn)證，主要是產(chǎn)品安

全性能方面的檢測和認(rèn)證，其認(rèn)證范圍不包含產(chǎn)品的

EMC（電磁兼容）特性。

常見產(chǎn)品范圍：食品及飲料、醫(yī)藥、營養(yǎng)品、個人

護理產(chǎn)品、玩具、日用商品、日用化學(xué)用品、廚房用

品、電子電器產(chǎn)品、家具、服裝與紡織品、及鞋類和皮

具等；

工廠檢查每年1-4次左右的證書有效性，企業(yè)需接

受并繳納審核費用或檔案維護費。

4、CPC（美國）

CPC證書就類似于國內(nèi)的質(zhì)檢報告，在通過相關(guān)檢

測、出具報告后同時可出具的一紙證書，證書列明進/出

口商信息，商品信息、以及已做過的相關(guān)檢測項目及其

依據(jù)的法規(guī)標(biāo)準(zhǔn)。強制性認(rèn)證，亞馬遜平臺在上線一些

類別的產(chǎn)品（如兒童玩具、嬰童用品等）時會要求商家

同時上傳CPC證書，沒有CPC證書的相關(guān)兒童產(chǎn)品不得

在線銷售。

常見產(chǎn)品范圍：兒童產(chǎn)品（為12歲或以下兒童設(shè)

計、或者12歲或以下作為主要使用者的消費品）。

如果持續(xù)性生產(chǎn)，沒有材料改變必須至少1年進行1

次周期性測試，檢測證書有效性。

5、DOE（美國）

DOE，美國能源部，是依據(jù)美國相關(guān)的電子電器法

規(guī)頒布的能效認(rèn)證。DOE認(rèn)證頒布的主要的作用是提高

電子電器產(chǎn)品的使用效率、節(jié)約能源、減少能源的浪

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 www.cciss.com.cn Technology Leading， Professional Services. 知識分項 24-25

費，從而達到降低能耗需求、減少溫室效應(yīng)等。強制性

認(rèn)證（美國能源部），在清單中的產(chǎn)品必須要做DOE認(rèn)

證，比如充電器，電源適配器，電視機，冰箱，空調(diào)

等。

常見產(chǎn)品范圍：所有直接工作的外置電源，如手機

充電器、USB插線板、藍牙設(shè)備等帶小容量電池的產(chǎn)

品、家電電器、廚房電器等。

電池充電器在市場上銷售前，需要注冊，證書有效

期為1年。1年有效期后，如制造商或進口商想要繼續(xù)銷

售此款產(chǎn)品，則需重新為該產(chǎn)品注冊。

6、DOT（美國）

DOT認(rèn)證是美國為了確保國家與公民的安全，針對

交通運輸工具及其零部件實施的一種強制性認(rèn)證制度。

根據(jù)聯(lián)邦機動車輛安全標(biāo)準(zhǔn)（FMVSS）規(guī)定，凡是要進

入美國市場的車輛及主要零部件產(chǎn)品，必須通過美國

DOT認(rèn)證，并在產(chǎn)品上印刻相應(yīng)的標(biāo)識。

7、CSA（加拿大）

是加拿大標(biāo)準(zhǔn)協(xié)會的簡稱它成立于1919年，是加拿

大首家專為制定工業(yè)標(biāo)準(zhǔn)的非盈利性機構(gòu)。

在北美市場上銷售的電子、電器等產(chǎn)品都需要取得

安全方面的認(rèn)證。目前CSA是加拿大最大的安全認(rèn)證機

構(gòu)，也是世界上最著名的安全認(rèn)證機構(gòu)之一。

8、INMETRO（巴西）

是巴西的國家認(rèn)可機構(gòu)，負(fù)責(zé)制定巴西國家標(biāo)準(zhǔn)。

巴西的產(chǎn)品標(biāo)準(zhǔn)大部分以IEC和ISO標(biāo)準(zhǔn)為基礎(chǔ)，需要把

產(chǎn)品出口到巴西的制造商在設(shè)計產(chǎn)品時應(yīng)該參考這兩套

標(biāo)準(zhǔn)。凡符合巴西標(biāo)準(zhǔn)及其他技術(shù)性要求的產(chǎn)品，必須

加上強制性的INMETRO標(biāo)志及經(jīng)認(rèn)可的第三方認(rèn)證機構(gòu)

的標(biāo)志，才能進入巴西市場。

四、亞洲認(rèn)證

1、CCC（中國）

根據(jù)中國入世承諾和體現(xiàn)國民待遇的原則，國家對

強制性產(chǎn)品認(rèn)證使用統(tǒng)一的標(biāo)志。新的國家強制性認(rèn)證

標(biāo)志名稱為“中國強制認(rèn)證。

中國對22大類149種產(chǎn)品使用強制性產(chǎn)品認(rèn)證。中國

強制認(rèn)證標(biāo)志實施以后，將逐步取代原來實行的“長

城”標(biāo)志和“CCIB”標(biāo)志。

2、CB（中國）

CB是1991年6月中國電工產(chǎn)品認(rèn)證委員會被國際電

工委員會電工產(chǎn)品安全認(rèn)證組織（iEcEE）管理委員會

（Mc）接受為認(rèn)可和頒發(fā)CB證書的國家認(rèn)證機構(gòu)。

下屬的9個檢測站接受為CB試驗室（認(rèn)證機構(gòu)試驗

室），所有有關(guān)電氣產(chǎn)品，只要企業(yè)取得了委員會出具

的CB證書和測試報告，IECEE一ccB體系內(nèi)的30個成員國

將予以認(rèn)可，基本上免去再送樣到進口國測試，這樣既

省費用又省時地獲得該國的認(rèn)證合格證書，對出口產(chǎn)品

極為有利。

3、PSE（日本）

日本電氣用品的強制性市場準(zhǔn)入制度，也是日本

《電氣用品安全法》中規(guī)定的一項重要內(nèi)容。

目前，日本政府根據(jù)日本《電氣用品安全法》中規(guī)

定，將電氣用品分為“特定電氣用品”和“非特定電氣

用品”，其中“特定電器用品”包括115種產(chǎn)品；“非特

定電氣用品”包括338種產(chǎn)品。

PSE包括EMC和安全兩部分的要求，凡屬于“特定

電氣用品”目錄內(nèi)的產(chǎn)品，進入日本市場，必須通過日

本經(jīng)濟產(chǎn)業(yè)省授權(quán)的第三方認(rèn)證機構(gòu)認(rèn)證，取得認(rèn)證合

格證書，并在標(biāo)簽上有菱形的PSE標(biāo)志。

CQC是中國境內(nèi)惟一申請日本PSE認(rèn)證授權(quán)的認(rèn)證

機構(gòu)。目前，CQC獲得的日本PSE產(chǎn)品認(rèn)證的產(chǎn)品類別

范圍為三大類：電線電纜（包括20種產(chǎn)品）、配線器具

（電器附件、照明電器等，包括38種產(chǎn)品）、電動力應(yīng)

用機械器具（家用電器，包括12種產(chǎn)品）等。

4、KCmark（韓國）

KC Mark Certification Products List（KC認(rèn)證產(chǎn)品目

錄）根據(jù)《韓國電氣用品安全管理法》規(guī)定，自2009年1

月1日起電氣產(chǎn)品安全認(rèn)證分為強制性認(rèn)證及自律（自

愿）性認(rèn)證兩種。

強制性認(rèn)證指屬于強制性產(chǎn)品中的所有電子類產(chǎn)

品，必須獲得KC Mark認(rèn)證后才可以在韓國市場上銷

售。每年需要接受工廠審查和產(chǎn)品抽檢測試。自律（自

愿）性認(rèn)證指屬于自愿性產(chǎn)品中的所有電子類產(chǎn)品只需

測試獲得證書，不需要接受工廠審查。

證書有效期為5年。

五、其他地區(qū)認(rèn)證

1、 C/A-tick（澳大利亞）

是 由 澳 大 利 亞 通 訊 局（Australian Communications

Authority，簡 稱 ACA）為 了 通信設(shè)備發(fā)的認(rèn)證標(biāo)志，

C-tick 認(rèn)證周期：1-2 周。

產(chǎn)品執(zhí)行 ACAQ 技術(shù)標(biāo)準(zhǔn)測試，向 ACA 登記使用

A/C-Tick，填寫“符合聲明表”（Declaration of Conformity

Form），并和產(chǎn)品符合記錄保存一起，在通信產(chǎn)品或設(shè)

備上貼上有 A/C-Tick 標(biāo)志的標(biāo)識（label），銷售給消費

者 A-Tick 僅適用于通信產(chǎn)品，電子產(chǎn)品多半是申請

C-Tick，不過電子產(chǎn)品如果申請 A-Tick，則不需另外申

請 C-Tick。自 2001 年 11 月起，澳大利亞 / 新西蘭的

EMI 申請合并；如果產(chǎn)品要在這二國銷售，下列文件在

行銷前必備齊，以備 ACA 或新西蘭當(dāng)局隨時抽查。

澳大利亞的EMC體系把產(chǎn)品劃分為三個級別，供應(yīng)

商在銷售級別二、級別三產(chǎn)品前，必須在ACA注冊，申

來源：《出海燕外貿(mào)數(shù)字化營銷中臺》

請使用C-Tick標(biāo)志。

2、SAA（澳大利亞）

SAA認(rèn)證為澳大利亞的標(biāo)準(zhǔn)機構(gòu)為Standards

Association of Australian旗下認(rèn)證，所以很多朋友把澳大

利亞認(rèn)證稱為SAA。

SAA是進入澳大利亞市場的電器產(chǎn)品須符合當(dāng)?shù)氐?/p>

安全法規(guī)，即業(yè)界經(jīng)常面對的認(rèn)證。由于澳大利亞和新

西蘭兩國的互認(rèn)協(xié)議，所有取得澳大利亞認(rèn)證的產(chǎn)品，

均可順利地進入新西蘭市場銷售。所有電器產(chǎn)品均要做

安全認(rèn)證（SAA）。

SAA的標(biāo)志主要有兩種，一種是形式認(rèn)可，一種是

標(biāo)準(zhǔn)標(biāo)志。形式認(rèn)證是只能樣品負(fù)責(zé)，而標(biāo)準(zhǔn)標(biāo)志是需

每個進行工廠審查的。

目前國內(nèi)申請SAA認(rèn)證有兩種方式，一種是通過CB

測試報告轉(zhuǎn)，若沒有CB測試報告，則也可以直接申請。

一般情況下，ITAV燈具小家電類常見產(chǎn)品申請澳大利亞

SAA認(rèn)證的周期是3-4周，如果產(chǎn)品質(zhì)量不達標(biāo)，可能日

期會有所延長。提交報告到澳州審核時，需要提供產(chǎn)品

插頭的SAA證書（主要是針對帶插頭的產(chǎn)品），不然不

給予辦理。產(chǎn)品里面的重要的元器件SAA證，像燈具需

要提供燈具里面變壓器SAA證書，不然澳州審核資料不

通過。

3、SASO（沙特阿拉伯）

沙特阿拉伯標(biāo)準(zhǔn)組織的簡寫。SASO負(fù)責(zé)為所有的日

用品及產(chǎn)品制定國家標(biāo)準(zhǔn)，標(biāo)準(zhǔn)中還涉及度量制度、標(biāo)

識等。

最新！強制性產(chǎn)品認(rèn)證實施規(guī)則匯總

據(jù)認(rèn)監(jiān)委官網(wǎng)消息，認(rèn)監(jiān)委近日更新了強制性產(chǎn)品

認(rèn)證實施規(guī)則匯總表，如下表：

強制性產(chǎn)品認(rèn)證實施規(guī)則匯總（更新日期：2023年8

月）

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 www.cciss.com.cn Technology Leading， Professional Services. 知識分項 26-27

專家解讀｜做好網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全

認(rèn)證和安全檢測工作促進網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展

類網(wǎng)絡(luò)安全專用產(chǎn)品實施安全認(rèn)證和安全檢測，明確了

制度實施范圍。2018年3月，發(fā)布了《關(guān)于發(fā)布承擔(dān)網(wǎng)絡(luò)

關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測任務(wù)

機構(gòu)名錄（第一批）的公告》，明確了實施主體。同年5

月，國家認(rèn)證認(rèn)可監(jiān)督管理委員會和國家互聯(lián)網(wǎng)信息辦

公室聯(lián)合發(fā)布的《關(guān)于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)

品安全認(rèn)證實施要求的公告》中，進一步明確了為安全

認(rèn)證機構(gòu)提供檢測服務(wù)的實驗室名錄。2018年發(fā)布的

《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實施規(guī)

則》（CNCA-CCIS-2018），為安全認(rèn)證的實施提供了

依據(jù)。2021年，《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》

（GB40050-2021）的發(fā)布，為網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和

安全檢測的落地，提供了技術(shù)標(biāo)準(zhǔn)。

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全

檢測制度的建立，是我國在網(wǎng)絡(luò)安全領(lǐng)域，依法建立產(chǎn)

品認(rèn)證制度，建設(shè)認(rèn)證體系的卓有成效的嘗試。主要體

現(xiàn)在以下方面：

一是統(tǒng)一技術(shù)標(biāo)準(zhǔn)

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全

檢測，相關(guān)管理部門涉及工業(yè)和信息化部、公安部、國

家認(rèn)證認(rèn)可監(jiān)督管理委員會，在現(xiàn)有相關(guān)行政審批、安

全認(rèn)證制度項下，為適應(yīng)相應(yīng)領(lǐng)域管理要求，形成了不

同的產(chǎn)品標(biāo)準(zhǔn)。在國家互聯(lián)網(wǎng)信息辦公室的協(xié)調(diào)下，安

近期，國家互聯(lián)網(wǎng)信息辦公室發(fā)布首批通過網(wǎng)絡(luò)關(guān)

鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測的設(shè)備

和產(chǎn)品名單，是國家全面推進網(wǎng)絡(luò)安全認(rèn)證檢測工作，

落實《中華人民共和國網(wǎng)絡(luò)安全法》第二十三條以及

《關(guān)于發(fā)布〈網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄

（第一批）〉的公告》（國家互聯(lián)網(wǎng)信息辦公室、工業(yè)

和信息化部、公安部、國家認(rèn)證認(rèn)可監(jiān)督管理委員會公

告2017年第1號）相關(guān)要求的重要標(biāo)志。認(rèn)證和檢測是合

格評定的重要內(nèi)容，也是國家質(zhì)量基礎(chǔ)設(shè)施（NQI）中

不可或缺的重要組成部分，在國民經(jīng)濟和社會發(fā)展中發(fā)

揮著重要的作用。運用認(rèn)證和檢測的手段對網(wǎng)絡(luò)關(guān)鍵設(shè)

備和網(wǎng)絡(luò)安全專用產(chǎn)品的安全性實施評價，是順應(yīng)產(chǎn)業(yè)

發(fā)展需要，保障重要信息系統(tǒng)安全的一項具有重要意義

的制度安排。

依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十三條要

求，“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)

國家標(biāo)準(zhǔn)的強制性要求，由具備資格的機構(gòu)安全認(rèn)證合

格或者安全檢測符合要求后，方可銷售或者提供”。安

全認(rèn)證和安全檢測的落實要具備三個關(guān)鍵要素，即實施

范圍、實施主體和實施依據(jù)。2017年6月，國家互聯(lián)網(wǎng)信

息辦公室、工業(yè)和信息化部、公安部、國家認(rèn)證認(rèn)可監(jiān)

督管理委員會四部委發(fā)布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專

用產(chǎn)品目錄（第一批）》，確定對4類網(wǎng)絡(luò)關(guān)鍵設(shè)備和11

來源：《中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心》

ICT技術(shù)如何更好賦能產(chǎn)品認(rèn)證

為了更好地向社會、公眾傳遞信任，認(rèn)證機構(gòu)一直

以來堅持進入工廠的實際工作地點，觀察工廠實際運作

情況，以確保全面、真實地記錄工廠的情況。即使IAF

論壇出臺了一些遠程審核有關(guān)的認(rèn)證技術(shù)文件，以及

5G、互聯(lián)網(wǎng)、移動終端、通訊軟件等基礎(chǔ)設(shè)施、設(shè)備、

工具已普及，但從整個認(rèn)證行業(yè)來看，相比于遠程審

核，進入工廠現(xiàn)場審核仍是認(rèn)證機構(gòu)最優(yōu)先、最主要的

選擇方式，而這種方式在2020年初被突發(fā)的新冠疫情所

打破。

一、遠程審核的概念和依據(jù)

遠程審核指當(dāng)“面對面”的方法不現(xiàn)實或不理想

時，使用信息和通信技術(shù)（ICT）收集信息、訪問受審

核方等（見ISO 19011）。由此可知，遠程審核是否可以

達到認(rèn)證目的是取決于所選定的ICT技術(shù)應(yīng)用及組合。

2020年初，市場監(jiān)管總局（認(rèn)監(jiān)委）在《市場監(jiān)管

總局辦公廳關(guān)于在新型冠狀病毒感染肺炎疫情防控期間

實施好質(zhì)量認(rèn)證相關(guān)工作的通知》中明確：認(rèn)證機構(gòu)可

根據(jù)疫情發(fā)展及認(rèn)證企業(yè)實際情況，選擇適宜方式完成

審核/工廠檢查（包括初次認(rèn)證審核/工廠檢查、監(jiān)督審

核/檢查、再認(rèn)證審核等）相關(guān)程序，待疫情解除后對相

關(guān)結(jié)果予以評價確認(rèn)或補充進行現(xiàn)場審核/工廠檢查。這

是監(jiān)管層面首次明確釋放出可以采用現(xiàn)場審核之外審核

方式的信號。

中國合格評定國家認(rèn)可委員會（CNAS）陸續(xù)發(fā)

布、指導(dǎo)認(rèn)證機構(gòu)使用相關(guān)IAF文件開展認(rèn)證。

CNASCC14：2019《信息和通信技術(shù)（ICT）在審核中應(yīng)

用》，明確應(yīng)用ICT技術(shù)的選取、應(yīng)用范圍、人員能

力、審核時長、審核文件等特定要求。CNAS CC105：

2020《確定管理體系審核時間》，規(guī)定OHSMS領(lǐng)域中不

可安排遠程審核的要求?！禝SO 19011：2018管理體系審

核指南》、《ISO 9001審核實踐小組指南：遠程審核》

（2020-4-16，第一版）中涉及遠程審核在審核方案、

審核策劃、審核實現(xiàn)、審核結(jié)論方面的內(nèi)容。在新冠疫

情暴發(fā)期間IAF常見的問題中，提到認(rèn)證機構(gòu)在認(rèn)證過

全認(rèn)證和安全檢測各實施機構(gòu)使用統(tǒng)一的技術(shù)標(biāo)準(zhǔn)對網(wǎng)

絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品進行安全性評價，為推

動安全認(rèn)證和安全檢測結(jié)果互認(rèn)，避免重復(fù)認(rèn)證、檢測

奠定了基礎(chǔ)。

二是有效利用現(xiàn)有認(rèn)證和檢測資源

安全認(rèn)證和安全檢測制度選取了現(xiàn)有相關(guān)管理制度

項下的認(rèn)證和檢測機構(gòu)作為實施單位，既充分發(fā)揮了專

業(yè)機構(gòu)的技術(shù)優(yōu)勢，有效利用現(xiàn)有認(rèn)證和檢測資源，又

避免了網(wǎng)絡(luò)安全領(lǐng)域合格評定能力低水平重復(fù)建設(shè)，為

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證和安全檢測

與現(xiàn)有管理制度的協(xié)同推進創(chuàng)造了條件。

三是扎實推進安全認(rèn)證，發(fā)揮持續(xù)監(jiān)管作用

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證的實

施，在產(chǎn)品合規(guī)性持續(xù)監(jiān)管方面發(fā)揮了重要作用。依據(jù)

《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實施規(guī)

則》，認(rèn)證模式為“型式試驗+工廠檢查+獲證后監(jiān)督”

的認(rèn)證模式。在型式試驗階段，檢測機構(gòu)對企業(yè)提供的

樣品進行檢測，以判斷其是否符合標(biāo)準(zhǔn)要求；在工廠檢

查階段，認(rèn)證機構(gòu)對制造商和生產(chǎn)企業(yè)的安全保障能力

和質(zhì)量保證能力進行審核，以判斷其是否具備持續(xù)生產(chǎn)

出符合標(biāo)準(zhǔn)要求的產(chǎn)品的能力；在企業(yè)獲得認(rèn)證證書

后，證書有效期內(nèi)，認(rèn)證機構(gòu)通過持續(xù)的跟蹤檢查，對

獲證產(chǎn)品符合性進行監(jiān)督。

認(rèn)證作為國際通行的合格評定手段，在產(chǎn)品合規(guī)性

管理及質(zhì)量提升方面正發(fā)揮著日益重要的作用。對信息

技術(shù)產(chǎn)品實施安全認(rèn)證已經(jīng)成為歐洲、美國等國家和地

區(qū)網(wǎng)絡(luò)安全和隱私保護的重要內(nèi)容。網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)

絡(luò)安全專用產(chǎn)品安全認(rèn)證的實施，為國家對產(chǎn)品的質(zhì)量

監(jiān)管提供了有力的抓手和重要支撐。

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 知識分項專家專欄 www.cciss.com.cn Technology Leading， Professional Services.

28-29

程中使用遠程審核的尺度。

中國認(rèn)證認(rèn)可協(xié)會在2021年組織編寫、發(fā)布了國內(nèi)

第一個與遠程審核相關(guān)的團體標(biāo)準(zhǔn)《認(rèn)證機構(gòu)遠程審核

指南》，并在2022年6月發(fā)布了修訂版。

二、工廠檢查的關(guān)鍵活動

在GB/T 27067-2017《合格評定 產(chǎn)品認(rèn)證基礎(chǔ)和產(chǎn)

品認(rèn)證方案指南》中，產(chǎn)品認(rèn)證的評價活動可包括：檢

測、檢查、設(shè)計評估、對服務(wù)或過程的評價、驗證等。

但從目前國內(nèi)一般工業(yè)產(chǎn)品的產(chǎn)品認(rèn)證方案來看，工廠

檢查和檢測還是主流的評價活動。

《強制性產(chǎn)品認(rèn)證實施規(guī)則工廠檢查通用要求》

（CNCA-00C-006）中對于工廠檢查的定義為：對工廠

質(zhì)量保證能力、產(chǎn)品一致性和產(chǎn)品和標(biāo)準(zhǔn)的符合性所進

行的評價活動。而現(xiàn)場檢查則是工廠檢查活動的核心內(nèi)

容，也是影響認(rèn)證有效性的重要環(huán)節(jié)。

“工廠質(zhì)量保證能力”的檢查是檢查組在工廠現(xiàn)場

對工廠是否能滿足規(guī)定的各項要求，驗證工廠生產(chǎn)和各

產(chǎn)品能力的評價活動。檢查活動重點關(guān)注的是工廠對各

類資源的管理能力，如重要文件和信息、采購與關(guān)鍵件

控制、生產(chǎn)過程和控制、產(chǎn)品質(zhì)量檢驗、檢驗試驗儀器

設(shè)備等。

“產(chǎn)品一致性”檢查是指對產(chǎn)品實物的一致性檢查

和對工廠產(chǎn)品一致性控制的檢查兩個方面。產(chǎn)品一致性

控制的檢查會貫穿工廠對產(chǎn)品認(rèn)證特性有關(guān)的各過程控

制。產(chǎn)品實物一致性檢查則是通過檢查員在現(xiàn)場抽取認(rèn)

證產(chǎn)品的關(guān)鍵件、半成品和成品，依據(jù)檢查準(zhǔn)則進行核

查或現(xiàn)場試驗，確保工廠批量生產(chǎn)的認(rèn)證產(chǎn)品與型式試

驗合格樣品的符合程度。

“產(chǎn)品和標(biāo)準(zhǔn)的符合性”檢查一般采用指定試驗。

指定試驗是產(chǎn)品實物一致性檢查的重要補充手段，也是

考察工廠質(zhì)量保證能力的重要環(huán)節(jié)。指定試驗一般分為

樣品的抽樣、試驗項目的確定、試驗3個環(huán)節(jié)。

三、ICT技術(shù)的風(fēng)險及應(yīng)用實踐

（一）常見ICT技術(shù)

ICT技術(shù)應(yīng)用于工廠檢查中，需要同時具備設(shè)備、

軟件和網(wǎng)絡(luò)。

設(shè)備：指的是檢查員和工廠雙方都應(yīng)配備可以連接

網(wǎng)絡(luò)、互相通訊的硬件，如電腦、移動終端、攝像機、

相機、攝像頭等。通過這些設(shè)備，可以觀察工廠、錄制

視頻、拍照、查閱文件等。目前，從設(shè)備層面來看，應(yīng)

用ICT技術(shù)的障礙極小。

軟件：指的是安裝在設(shè)備上，可以傳遞文件、觀察

現(xiàn)場、交流訪問的工具。目前，分為即時通訊類軟件、

會議類軟件、位置類軟件。即時通訊類軟件主要是點對

點傳遞文件、點對點短時長語音交流和觀察。會議類軟

件主要是利于群體交流或長時間觀察，也包括錄制功

能。位置類軟件主要指具有定位功能的電子地圖或其他

軟件。從App應(yīng)用市場來看，即時通訊、會議視頻、定

位這些功能已漸漸在App上成融合之勢，只不過在優(yōu)勢

上各有側(cè)重。如微信雖然也具有視頻交流、實時位置共

享的功能，但多人交流時受限于人數(shù)，并且不具有在視

頻交流時直接錄屏的功能。會議類軟件如騰訊會議，雖

然可以在觀察時錄屏，但當(dāng)點對點交流時又多有不便。

網(wǎng)絡(luò)：主要是指工廠內(nèi)的Internet網(wǎng)絡(luò)、移動網(wǎng)絡(luò)

等。工廠區(qū)內(nèi)的Internet網(wǎng)絡(luò)部署的密集程度、移動網(wǎng)絡(luò)

信號好壞直接影響著ICT技術(shù)可以適用的范圍和應(yīng)用程

度。Internet網(wǎng)絡(luò)是布線式網(wǎng)絡(luò)，網(wǎng)絡(luò)帶寬相對穩(wěn)定，不

會出現(xiàn)網(wǎng)絡(luò)阻塞問題。但需要按照前期的網(wǎng)絡(luò)設(shè)計圖，

預(yù)留固定的上網(wǎng)位置，這就對觀察工廠等活動造成了限

制，檢查員無法隨機選擇所觀察的區(qū)域。而移動網(wǎng)絡(luò)主

要的載體設(shè)備是移動終端、筆記本電腦。相比于Internet

網(wǎng)絡(luò)來說，有極大的便捷性和靈活性。但也有明顯的缺

點，就是移動網(wǎng)絡(luò)的優(yōu)劣取決于覆蓋工廠的基站信號強

度，可能出現(xiàn)信號不穩(wěn)定、網(wǎng)速慢的情況。另外，移動

網(wǎng)絡(luò)以流量計費，長時間使用的費用會較高。

（二）ICT技術(shù)應(yīng)用風(fēng)險

根據(jù)IAF的相關(guān)認(rèn)證技術(shù)文件中的要求可知，應(yīng)用

ICT技術(shù)具有風(fēng)險性，這種風(fēng)險來自局限性、保密性、

安全和數(shù)據(jù)保護。

1、局限性（失真）

現(xiàn)場檢查時，檢查員可以采用“看、聽、聞、觸

摸”等多種方式對工廠進行觀察，利用檢查員的經(jīng)驗，

對工廠整體運作情況做出綜合評價。但由于使用ICT技

術(shù)，只能采用“看”這種單一的方式。

當(dāng)下，更多中小型工廠遠程觀察的設(shè)備主要是個人

移動終端。受限于移動終端的視野，極大可能無法感知

工廠的全貌，從而做出錯誤的判斷。

2、保密性、安全和數(shù)據(jù)保護（CSDP）

檢查員需要通過查閱電子文件、使用網(wǎng)絡(luò)來觀察工

廠的活動方式，完成評價活動。觀察過程、文件傳遞過

程后所保留的各種視頻、圖片都有可能造成工廠內(nèi)部信

息的泄露。

（三）ICT技術(shù)應(yīng)用實踐

根據(jù)前文分析，現(xiàn)場檢查一般包括文件查閱、工廠

觀察、產(chǎn)品抽樣、產(chǎn)品試驗、產(chǎn)品實物檢查等。在這些

活動中，從位置、人、活動3個維度考慮如何合理應(yīng)用

ICT技術(shù)。

1、文件查閱

文件查閱是現(xiàn)場檢查的必要活動。文件查閱對工廠

位置、工廠活動的關(guān)聯(lián)性相對較少，檢查員主要通過查

看工廠文件和與工廠人員交流來實現(xiàn)檢查目的。工廠可

以通過電子郵箱、云盤等方式將文件發(fā)給檢查員，出于

信息安全考慮，可以采用文件加密方式或通過會議類軟

件的共享文件方式，但這種方式會對檢查員的工作效率

造成一定的影響。所以，在前期和工廠做好文件傳遞的

對接、交流最關(guān)鍵。

2、工廠觀察

工廠觀察是現(xiàn)場檢查的最重要部分。一般包括工廠

整體巡視，對工廠生產(chǎn)、檢驗活動的觀察，以及對工廠

產(chǎn)品一致性控制的觀察。

首先要通過工廠人員移動終端中所安裝的定位類軟

件和電子地圖對工廠位置確認(rèn)，也可以將定位與視頻觀

看結(jié)合實施。其次，通過實時在線視頻方式觀看工廠活

動的情況，觀看的起始點可以從企業(yè)大門處開始。在視

頻過程中，檢查員應(yīng)與工廠人員進行充分交流，從而迅

速發(fā)現(xiàn)關(guān)注點，同時有意識地引導(dǎo)工廠人員對工廠全面

情況進行介紹。

實時在線方式進行觀察，可以比較真實地反映工廠

在檢查時的情況。當(dāng)然，有些企業(yè)內(nèi)部設(shè)有日常監(jiān)控，

但這些監(jiān)控錄像是否可以被調(diào)用，涉及部門權(quán)限管理、

數(shù)據(jù)保護等多方面的問題，實施起來相對較難。

3、產(chǎn)品抽樣

產(chǎn)品抽樣是現(xiàn)場檢查時，對產(chǎn)品進行實物一致性檢

查、現(xiàn)場見證試驗、產(chǎn)品抽樣檢測的必備步驟。

首先，對工廠人員的身份進行識別，可以通過工廠

負(fù)責(zé)人介紹、查看上崗證等方式，確認(rèn)其身份，尤其所

抽取的產(chǎn)品將被用于見證試驗、產(chǎn)品檢測等環(huán)節(jié)，因為

這些環(huán)節(jié)的結(jié)果可能會直接影響產(chǎn)品證書的狀態(tài)，所以

對工廠人員身份要明確、清晰，檢查員應(yīng)留存身份證明

或身份確認(rèn)的視頻；其次，要通過工廠人員移動終端中

所安裝的定位類軟件和電子地圖對產(chǎn)品位置進行確認(rèn)；

第三，對于整個抽樣過程，應(yīng)采用實時在線方式查看、

確認(rèn)抽測產(chǎn)品名稱、型號規(guī)格、與認(rèn)證相關(guān)的特性，并

通過視頻、圖片保留上述關(guān)鍵信息。

4、見證試驗

見證試驗是檢查員見證工廠人員對產(chǎn)品測試的過

程。根據(jù)前述產(chǎn)品抽樣的方式產(chǎn)生被測產(chǎn)品。測試人員

的身份同樣要予以識別，以確保是工廠的檢驗人員。在

見證試驗時，可以采用完整實時在線觀看、實時在線觀

看與拍照組合或觀看錄制視頻的方式。如有些產(chǎn)品需要

較長的測試準(zhǔn)備時間，考慮到經(jīng)濟性、可操作性，可以

采用拍照方式，將測試準(zhǔn)備過程中的工作進行拍照記

錄，在正式測試環(huán)節(jié)再采取實時在線觀看，如處在境外

的工廠，考慮時差情況可以采用觀看錄制視頻的方式，

但需要制作詳細(xì)的視頻標(biāo)準(zhǔn)化方案給工廠，以確保檢查

員在觀看視頻時可以得到全部的關(guān)注信息。

在見證試驗過程中，被測產(chǎn)品的正確性、測試儀表

設(shè)備的有效性以及測試數(shù)據(jù)的真實性最重要。所以，被

測產(chǎn)品的合格證明、產(chǎn)品型號規(guī)格、測試儀表設(shè)備的校

準(zhǔn)情況，測試時都要保留相關(guān)圖片，以確保二次核查。

四、ICT技術(shù)應(yīng)用的問題和建議

本文中所提到的ICT技術(shù)還是目前比較常見的方

式，當(dāng)工業(yè)互聯(lián)網(wǎng)、區(qū)塊鏈、人工智能逐步推廣，出現(xiàn)

更多的智能工廠、智能車間時，在工廠檢查中借助ICT

技術(shù)將成為一種趨勢。當(dāng)然，目前ICT技術(shù)應(yīng)用還面臨

著很多亟待解決的問題。

首先，在整個ICT技術(shù)應(yīng)用的系統(tǒng)中，造成實施困

難的是軟件。即使現(xiàn)在各類軟件已經(jīng)比較多，但都受限

于各自的側(cè)重點，還沒有一個融合定位、通訊、會議、

拍照視頻等多功能的專業(yè)軟件可以直接被用于工廠檢查

中。這樣就造成了檢查員和工廠人員都要不斷試用各種

軟件，這種時間成本投入也阻礙了ICT技術(shù)在工廠檢查

中的使用。

其次，雖然IAF論壇的技術(shù)文件在理論上支撐ICT技

術(shù)可以近乎100%地被使用在工廠檢查中，但是監(jiān)管層面

的態(tài)度對這種方式的推廣使用有更大的影響。在工廠檢

查中頻繁使用ICT技術(shù)會給機構(gòu)帶來監(jiān)管方面的風(fēng)險，

這就需要認(rèn)證機構(gòu)不斷和監(jiān)管部門進行溝通。

第三，在認(rèn)證行業(yè)中對ICT技術(shù)應(yīng)用在工廠檢查還

處于初級階段，實踐理論指導(dǎo)還沒有形成體系，各認(rèn)證

機構(gòu)都在自我摸索實踐中。由于管理體系審核方式較為

簡單且統(tǒng)一，在應(yīng)用ICT技術(shù)方面，認(rèn)證機構(gòu)有比較成

（下轉(zhuǎn)53頁）

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 知識分項專家專欄 www.cciss.com.cn Technology Leading， Professional Services.

30-31

強制性國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》

解讀：網(wǎng)絡(luò)關(guān)鍵設(shè)備合規(guī)要點

近日，強制性國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要

求》（GB 40050-2021）發(fā)布。《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通

用要求》是網(wǎng)絡(luò)安全領(lǐng)域少數(shù)強制性標(biāo)準(zhǔn)之一，相對于

推薦性國家標(biāo)準(zhǔn)更加值得關(guān)注。

一、網(wǎng)絡(luò)關(guān)鍵設(shè)備的定義與范圍

鑒于網(wǎng)絡(luò)關(guān)鍵設(shè)備的特殊性，識別網(wǎng)絡(luò)產(chǎn)品是否屬

于網(wǎng)絡(luò)關(guān)鍵設(shè)備就成為了關(guān)鍵性的第一步。

根據(jù)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》3.7中的定義，

網(wǎng)絡(luò)關(guān)鍵設(shè)備（critical network device）是指支持聯(lián)網(wǎng)功

能，在同類網(wǎng)絡(luò)設(shè)備中具有較高性能的設(shè)備，通常用于

重要網(wǎng)絡(luò)節(jié)點、重要部位或重要系統(tǒng)中，一旦遭到破

壞，可能引發(fā)重大網(wǎng)絡(luò)安全風(fēng)險。具體而言是指相關(guān)性

能符合《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》中規(guī)

定的范圍。

早在2017年6月《網(wǎng)絡(luò)安全法》生效伊始，國家互

聯(lián)網(wǎng)信息辦公室、工信部、公安部、國家認(rèn)證認(rèn)可監(jiān)督

管理委員會就聯(lián)合發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專

用產(chǎn)品目錄（第一批）》：

盡管四部委公布了目錄，但目錄中同一產(chǎn)品范圍項

下的不同門檻是“和”還是“或”并不清晰，需要實踐

中逐漸予以明確。另外隨著技術(shù)的發(fā)展，后續(xù)四部委可

能還會就網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄進行更

新或擴充。

關(guān)于《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》的

效力，在“張鑫、陳天明、張朝榮等提供侵入、非法控

制計算機信息系統(tǒng)程序、工具案”中（（2018）浙0602

刑初101號），浙江省紹興市越城區(qū)人民法院進行過認(rèn)

定：

《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》公布的

目的在于加強對網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的安

全管理，該目錄項下的網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專用產(chǎn)

品類別須經(jīng)過具有相關(guān)資質(zhì)的認(rèn)定機構(gòu)按照國家標(biāo)準(zhǔn)的

強制性要求進行安全認(rèn)證后方可對外提供、銷售，該目

錄的公布不具有規(guī)定“網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)

品是什么”或“目錄之外均不屬于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)

安全專用產(chǎn)品”的內(nèi)在意旨，更非對“計算機信息系統(tǒng)

安全保護措施”作出定義式限定。

因此，在關(guān)于網(wǎng)絡(luò)安全產(chǎn)品銷售的司法實踐中，對

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的認(rèn)定可能會遵循更

寬的尺度，需要在具體案件的實務(wù)中予以特別關(guān)注。

1.路由器

3.服務(wù)器（機架式）

2.交換器

4.可編輯邏輯控制器（PLC設(shè)備）

整系統(tǒng)吞吐里(雙向)≥12Tbps

整系統(tǒng)路由表容里≥55萬條

整系統(tǒng)吞吐里（雙向）≥30Tbps

整系統(tǒng)包轉(zhuǎn)發(fā)率≥10Gpps

CPU數(shù)里≥8個

單CPU內(nèi)核數(shù)≥14個

內(nèi)存容里≥256GB

控制器指令執(zhí)行時間≤0.08微秒

設(shè)備或產(chǎn)品類別 范圍 達到國家標(biāo)準(zhǔn)的

強制性要求

認(rèn)證合格或符合

安全檢查要求 銷售

二、法律義務(wù)

網(wǎng)絡(luò)關(guān)鍵設(shè)備遵守國家強制性標(biāo)準(zhǔn)是一項重要的法

律義務(wù)，《網(wǎng)絡(luò)安全法》第23條明確規(guī)定：

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國

家標(biāo)準(zhǔn)的強制性要求，由具備資格的機構(gòu)安全認(rèn)證合格

或者安全檢測符合要求后，方可銷售或者提供。國家網(wǎng)

信部門會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和

網(wǎng)絡(luò)安全專用產(chǎn)品目錄，并推動安全認(rèn)證和安全檢測結(jié)

果互認(rèn)，避免重復(fù)認(rèn)證、檢測。

在合規(guī)的角度，《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》不

僅是開發(fā)工作中的具體要求，也可以作為合規(guī)工作中需

要逐一勾選的清單。

在《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》中，尤其值得關(guān)

注關(guān)于運營和維護的要求，因為部分通信產(chǎn)品已經(jīng)呈現(xiàn)

出運維費用超過設(shè)備本身費用的現(xiàn)象，運維的質(zhì)量甚至

企業(yè)獲取訂單的關(guān)鍵要素，所以注定網(wǎng)絡(luò)關(guān)鍵設(shè)備的銷

售不是“一錘子買賣”，需要關(guān)注網(wǎng)絡(luò)關(guān)鍵設(shè)備運維的

合規(guī)。而運維中最為敏感的就是遠程運維，可能直接涉

及到產(chǎn)品“后門”的問題，在《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用

要求》中對遠程運維有明確要求：

明示維護內(nèi)容、風(fēng)險以及應(yīng)對措施；

留存不可更改的遠程維護日志記錄；

記錄內(nèi)容至少包括維護時間、維護內(nèi)容、維護人

員、遠程運維的方式與工具；

獲得用戶授權(quán)并留存授權(quán)記錄；并且

支持用戶中止遠程維護。

四、安全認(rèn)證

網(wǎng)絡(luò)關(guān)鍵設(shè)備的銷售，除了符合強制性國家標(biāo)準(zhǔn)

《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》，還需要通過安全認(rèn)

證。早在2018年6月，國家認(rèn)證認(rèn)可監(jiān)督管理委員會就

發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證實

施規(guī)則》。該規(guī)則將認(rèn)證模式分為型式試驗、工廠檢查

與獲證后監(jiān)督三個階段：

型式試驗采取抽檢模式，一般每種產(chǎn)品抽樣2套，

如有特殊需求會增加樣品數(shù)量。

工廠檢查一般每個場所為2至6個人日，會重點關(guān)

注：（1）標(biāo)注的一致性；（2）生產(chǎn)場所產(chǎn)品與型式試

驗產(chǎn)品的一致性；以及（3）是否違規(guī)使用認(rèn)證標(biāo)識。

獲證后監(jiān)督通常會以每年一次的頻率進行，并且可

能采取“飛行檢查”的模式在不提前通知的情況下進行

抽檢。

設(shè)備通過安全認(rèn)證以后，可以獲得認(rèn)證證書，有效

期為5年。在通過認(rèn)證產(chǎn)品的本體銘牌應(yīng)加施認(rèn)證標(biāo)

志，如果是軟件產(chǎn)品，則應(yīng)當(dāng)在軟件外包裝或《許可協(xié)

議》中顯著加施使用標(biāo)注：

設(shè)備標(biāo)識安全

冗余。備份恢復(fù)與異常檢測

漏洞和惡意程序防范

預(yù)裝軟件啟動及更新安全

用戶身份標(biāo)識與鑒別

訪問控制安全

日志審計安全

通信安全

數(shù)據(jù)安全

密碼要求

設(shè)計和開發(fā)

生產(chǎn)和交付

運行和維護

網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求

安全功能要求 安全保障要求

概言之，網(wǎng)絡(luò)關(guān)鍵設(shè)備的銷售需要遵循以下流程：

《密碼法》第26條也規(guī)定：

涉及國家安全、國計民生、社會公共利益的商用密

碼產(chǎn)品，應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)

品目錄，由具備資格的機構(gòu)檢測認(rèn)證合格后，方可銷售

或者提供。商用密碼產(chǎn)品檢測認(rèn)證適用《中華人民共和

國網(wǎng)絡(luò)安全法》的有關(guān)規(guī)定，避免重復(fù)檢測認(rèn)證。

商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)

品的，應(yīng)當(dāng)經(jīng)商用密碼認(rèn)證機構(gòu)對該商用密碼服務(wù)認(rèn)證

合格。

可見，后續(xù)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄

的更新，可能會將更多的商用密碼產(chǎn)品列入其中。

三、基本要求

在《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》中主要分為“安

全功能要求”與“安全保障要求”兩個大類：

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 知識分項專家專欄 www.cciss.com.cn Technology Leading， Professional Services.

32-33

來源：《中國認(rèn)證認(rèn)可》雜志 2023年第4期

來源：《FreeBuf.COM》

根據(jù)2018年6月發(fā)布的《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全

專用產(chǎn)品安全認(rèn)證和安全檢測任務(wù)的機構(gòu)名錄（第一

批）》，目前可以承擔(dān)網(wǎng)絡(luò)關(guān)鍵設(shè)備安全認(rèn)證和安全檢

測任務(wù)機構(gòu)包括：

五、合規(guī)步驟與要點

根據(jù)我們的經(jīng)驗，網(wǎng)絡(luò)關(guān)鍵設(shè)備合規(guī)工作可以從以

下幾方面入手：

1、梳理產(chǎn)品目錄

無論是對于網(wǎng)絡(luò)設(shè)備的生產(chǎn)者還是相關(guān)領(lǐng)域的用

戶，都應(yīng)當(dāng)對自己生產(chǎn)或使用的產(chǎn)品進行梳理，判斷是

否有產(chǎn)品落入《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目

錄》的范圍，對此類產(chǎn)品開展專項合規(guī)工作。

在此基礎(chǔ)上，跟蹤《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用

產(chǎn)品目錄》的更新情況，一旦目錄更新，及時調(diào)整自身

的合規(guī)目錄。

2、產(chǎn)品合規(guī)

對于網(wǎng)絡(luò)關(guān)鍵設(shè)備生產(chǎn)者，需要從設(shè)計環(huán)節(jié)伊始，

就將國家標(biāo)準(zhǔn)的要求嵌入產(chǎn)品中。在功能與形式上達到

國家標(biāo)準(zhǔn)的要求，并且通過文件讓產(chǎn)品的合規(guī)性可以被

驗證。

對于網(wǎng)絡(luò)關(guān)鍵設(shè)備的用戶，也需要采購部門及時更

新供應(yīng)商名錄，對網(wǎng)絡(luò)關(guān)鍵設(shè)備的采購僅針對通過認(rèn)證

的產(chǎn)品開放。此外也需要網(wǎng)絡(luò)關(guān)鍵設(shè)備用戶的法務(wù)部門

將國家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》落實到采購

協(xié)議內(nèi)產(chǎn)品質(zhì)量相關(guān)的條款中。

3、安全認(rèn)證

對于網(wǎng)絡(luò)關(guān)鍵設(shè)備生產(chǎn)者，通過安全認(rèn)證是不可或

缺的環(huán)節(jié)，需要及時申請、完成認(rèn)證。在完成認(rèn)證后，

還應(yīng)當(dāng)在產(chǎn)品銘牌、包裝或用戶協(xié)議等合適位置準(zhǔn)確進

行標(biāo)識。

除了應(yīng)當(dāng)完成安全認(rèn)證并準(zhǔn)確標(biāo)識，網(wǎng)絡(luò)關(guān)鍵設(shè)備

生產(chǎn)者還應(yīng)當(dāng)做好安全認(rèn)證通過后應(yīng)對“飛行檢查”的

準(zhǔn)備工作。網(wǎng)絡(luò)關(guān)鍵設(shè)備生產(chǎn)者可以通過演練模擬飛行

檢查，幫助從前臺接待到生產(chǎn)現(xiàn)場的每個環(huán)節(jié)做好準(zhǔn)

備，形成預(yù)案。

機構(gòu)名稱

中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心

中國信息通信研究院/中國泰爾實驗室

國家計算機網(wǎng)絡(luò)與信息安全管理中心

國家工業(yè)控制系統(tǒng)與產(chǎn)品安全質(zhì)量監(jiān)督檢

驗中心

中國電子技術(shù)標(biāo)準(zhǔn)化研究院賽西實驗室

工業(yè)和信息化部電子第五研究所

信息產(chǎn)業(yè)數(shù)據(jù)通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心

國家電話交換機質(zhì)量監(jiān)督檢驗中心

信息產(chǎn)業(yè)無線通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心

信息產(chǎn)業(yè)有線通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心

信息產(chǎn)業(yè)光通信產(chǎn)品質(zhì)量監(jiān)督檢驗中心

信息產(chǎn)業(yè)廣州電話交換設(shè)備質(zhì)量監(jiān)督檢驗

中心

網(wǎng)址

www.ccrc.gov.cn

www.caict.ac.cn

www.cert.org.cn

www.etiri.org.cn

www.cesi.cn

www.ceprei.com

www.chinawllc.com

www.fritt.com.cn

www.radio-qtc.com

www.cdtr-lab.cn

lab.wri.com.cn

www.mctc.org.cn

熟的思路。但是對于產(chǎn)品認(rèn)證，行業(yè)差別比較大，造成

工廠檢查涉及的活動差異也比較大，沒有統(tǒng)一的標(biāo)準(zhǔn)

化。

筆者建議，可以在行業(yè)層面對產(chǎn)品認(rèn)證應(yīng)用ICT技

術(shù)的場景多做研討。同時，多和監(jiān)管層面交流，形成相

（上接45頁）

對統(tǒng)一且符合監(jiān)管要求的ICT技術(shù)應(yīng)用實踐案例，以指

導(dǎo)更多的認(rèn)證機構(gòu)在這方面開展應(yīng)用。

5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)安全保障體系研究

一、引言

5G作為最新一代蜂窩移動通信技術(shù)，稱為研究、應(yīng)

用和推廣的熱點。2019年是5G商用的元年，隨之而來的

是5G網(wǎng)絡(luò)的快速建設(shè)和5G應(yīng)用的廣泛推行。在這樣的背

景下，5G安全問題也成為人們關(guān)注的重點，5G安全問題

開始凸顯出來。

二、5G技術(shù)綜述

5G的性能目標(biāo)是高數(shù)據(jù)速率、減少延遲、節(jié)省能

源、降低成本、提高系統(tǒng)容量和大規(guī)模設(shè)備連接。5G采

用了超密集異構(gòu)網(wǎng)絡(luò)、自組織網(wǎng)絡(luò)、內(nèi)容分發(fā)網(wǎng)絡(luò)、

D2D通信、M2M通信和信息中心網(wǎng)絡(luò)等關(guān)鍵技術(shù)。

2019年以來，在國家總體戰(zhàn)略部署下，各地紛紛推

出了各自的政策，推進5G產(chǎn)業(yè)快速發(fā)展。5G網(wǎng)絡(luò)建設(shè)和

應(yīng)用系統(tǒng)建設(shè)得到了迅猛發(fā)展，與此同時，5G安全問題

也逐漸凸顯出來。一方面，5G網(wǎng)絡(luò)的新特性，給5G信息

系統(tǒng)在不同應(yīng)用場景帶來了千差萬別的挑戰(zhàn)和安全威

脅；另一方面，5G網(wǎng)絡(luò)系統(tǒng)暴露出的安全問題，也直接

威脅著5G信息系統(tǒng)的安全；最后，信息系統(tǒng)自身的安全

問題，也會反過來給5G通信網(wǎng)絡(luò)帶來沖擊，威脅著5G通

信網(wǎng)絡(luò)的安全穩(wěn)定。

從統(tǒng)計數(shù)據(jù)上來看，目前5G網(wǎng)絡(luò)和信息系統(tǒng)暴露出

的安全問題還較少，但隨著5G在各個領(lǐng)域的應(yīng)用建設(shè)，

安全問題必然會出現(xiàn)非線性增長的局面。

總體上來看，目前的5G應(yīng)用系統(tǒng)建設(shè)都針對系統(tǒng)的

各個層面從技術(shù)上采取了安全措施，給出了具體的安全

解決方案。但尚未建立全面的安全保障體系，這一保障

體系包括了國家戰(zhàn)略、政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、人力資

源、認(rèn)證認(rèn)可與質(zhì)量監(jiān)督、產(chǎn)品測評、技術(shù)與信息等保

障要素。目前，我們面臨的問題包括：

1、各方面標(biāo)準(zhǔn)規(guī)范（包括5G通信的標(biāo)準(zhǔn)）尚不完

善；

2、5G人才匱乏，人才培養(yǎng)體系尚未建立；

3、認(rèn)證認(rèn)可、質(zhì)量監(jiān)督、產(chǎn)品測評尚未開展；

4、5G技術(shù)與信息保障體系尚不完善。

三、 5G安全風(fēng)險與需求

2019年以來，5G網(wǎng)絡(luò)逐步得到應(yīng)用。5G網(wǎng)絡(luò)與傳統(tǒng)

網(wǎng)絡(luò)一樣面臨著來自各方面威脅和風(fēng)險，同時，這些風(fēng)

險也會引入到5G環(huán)境下信息系統(tǒng)中來。分析了解5G安全

風(fēng)險對5G環(huán)境下信息系統(tǒng)建設(shè)，乃至信息與網(wǎng)絡(luò)安全保

障具有重要意義。

1、5G安全風(fēng)險與影響

5G的安全風(fēng)險與影響可以從國家、社會層面，以及

網(wǎng)絡(luò)與信息安全兩個方面進行分析。

（1）對國家與社會公共安全帶來的安全風(fēng)險及影

響

5G開啟的萬物互聯(lián)時代，將使5G網(wǎng)絡(luò)成為構(gòu)筑社會

經(jīng)濟的基礎(chǔ)設(shè)施，并締造出規(guī)?？涨暗男屡d產(chǎn)業(yè)，承載

涉及社會、經(jīng)濟、公眾的重要信息，可能對國家與社會

公共安全帶來影響。

1）攻擊破壞關(guān)鍵基礎(chǔ)設(shè)施，導(dǎo)致運行停滯或癱

瘓。

2）入侵重要控制系統(tǒng)，侵?jǐn)_社會秩序。

3）大規(guī)模監(jiān)控、竊取關(guān)乎國計民生的重要基礎(chǔ)信

息，危及產(chǎn)業(yè)、人員甚至國家安全。

4）篡改監(jiān)測數(shù)據(jù)，引發(fā)公共安全事件。

5）散播惡意信息，擾亂社會秩序。

（2）對網(wǎng)絡(luò)與信息安全帶來的安全風(fēng)險及影響

5G具有超大帶寬、海量連接、超低時延等特性，基

礎(chǔ)設(shè)施采用軟件定義網(wǎng)絡(luò)（SDN）/網(wǎng)絡(luò)功能虛擬化

（NFV）、服務(wù)化架構(gòu)等云化、IT化技術(shù)，并引入或增

強網(wǎng)絡(luò)切片、移動邊緣計算（MEC）、小基站、設(shè)備對

設(shè)備（D2D）通信、服務(wù)能力開放等技術(shù)和業(yè)務(wù)模式。

新技術(shù)、新業(yè)務(wù)模式對網(wǎng)絡(luò)與信息安全帶來的安全風(fēng)險

及影響，主要包括：

1）超大流量大大提升了基于流量檢測、內(nèi)容識

別、加解密等技術(shù)的安全防護難度。

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 專家專欄 www.cciss.com.cn Technology Leading， Professional Services.

34-35

2）弱終端易成為受攻擊對象。

3）超大連接易引發(fā)全網(wǎng)或局部規(guī)模攻擊。

4）基礎(chǔ)設(shè)施云化、IT化進一步打破網(wǎng)絡(luò)封閉狀

態(tài)。

5）邊緣云、D2D通信模式的引入繞過現(xiàn)有中心化的

監(jiān)測體系。

6）偽基站、身份泄漏問題得以解決，小基站安全

性易受威脅。

（3）5G對應(yīng)用領(lǐng)域信息系統(tǒng)的沖擊和影響

5G與信息技術(shù)及各行業(yè)的深度融合、數(shù)據(jù)量的爆炸

式增長、海量終端連接等特點，也將大大增加安全監(jiān)管

的難度。

1）海量數(shù)據(jù)與輿情監(jiān)測；

2）海量終端的溯源與取證。

四、5G環(huán)境下信息系統(tǒng)安全架構(gòu)設(shè)計

目前，針對5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)安全保障尚無統(tǒng)

一的安全架構(gòu)和框架。值得參考的是5G推進組IMT提出

的安全框架、5G醫(yī)療行業(yè)應(yīng)用安全架構(gòu)以及中國移動在

《5G智慧城市白皮書》中給出的安全架構(gòu)，具體如下。

（1）IMT安全框架

5G 安全既包括由終端和網(wǎng)絡(luò)組成的 5G 網(wǎng)絡(luò)本身通

信安全，也包括 5G 網(wǎng)絡(luò)承載的上層應(yīng)用安全。移動通

信網(wǎng)絡(luò)標(biāo)準(zhǔn)在設(shè)計之初，就充分考慮了網(wǎng)絡(luò)的可靠性和

安全性，經(jīng)過全球通信行業(yè)幾十年的共同努力，移動通

信網(wǎng)絡(luò)安全架構(gòu)日臻完善。5G 繼承了 4G 網(wǎng)絡(luò)分層分域

的安全架構(gòu)，在 3GPP 5G 安全標(biāo)準(zhǔn)《5G 系統(tǒng)安全架構(gòu)

和流程》3 中規(guī)定：在安全分層方面，5G 與 4G 完全一樣，

分為傳送層、歸屬層 / 服務(wù)層和應(yīng)用層，各層間相互隔離；

在安全分域方面，5G 安全框架分為接入域安全、網(wǎng)絡(luò)

域安全、用戶域安全、應(yīng)用域安全、服務(wù)域安全、安全

可視化和配置安全六個域，與 4G 網(wǎng)絡(luò)安全架構(gòu)相比，

增加了服務(wù)域安全。 5G 提供了比 4G 更強的安全能力，

包括：

1）服務(wù)域安全；

2）增強的用戶隱私保護；

3）增強的完整性保護；

4）增強的網(wǎng)間漫游安全；

5）統(tǒng)一認(rèn)證框架。

1、醫(yī)療行業(yè)安全架構(gòu)

5G通信安全的總體設(shè)計目標(biāo)是保障用戶與網(wǎng)絡(luò)自身

安全，為醫(yī)療行業(yè)與應(yīng) 用提供基礎(chǔ)的網(wǎng)絡(luò)安全防護能

力。 在5G網(wǎng)絡(luò)安全防護技術(shù)的基礎(chǔ)之上，依賴網(wǎng)絡(luò)切片

技術(shù)實現(xiàn)醫(yī)療場景中醫(yī)務(wù)人員、患者、醫(yī)療設(shè)備等無線

接入對接入網(wǎng)、網(wǎng)絡(luò)傳送、安全隔離、加密傳輸?shù)葌€性

化的安全服務(wù)需要。同時通過設(shè)置不同切片之間的安全

防護等級，保證切片之間的安全耦合性盡可能小，甚至

同一切片內(nèi)不同功能網(wǎng)元之間也應(yīng)保持隔離以保證安全

風(fēng)險局部化、影響最小化，同時在物理或虛擬網(wǎng)絡(luò)邊界

部署硬件或虛擬防火墻完成訪問控制，保護切片內(nèi)網(wǎng)與

外網(wǎng)的安全。

（2）5G智慧城市安全架構(gòu)

GB/T37971-2019《信息安全技術(shù) 智慧城市安全體系

框架》提出了智慧城市安全體系框架。中國移動《5G智

慧城市白皮書》參考該架構(gòu)，結(jié)合5G智慧城市架構(gòu)，提

出5G智慧城市安全參考框架，如圖2所示。

圖中，包括終端安全、邊緣計算層安全、網(wǎng)絡(luò)層安

全、行業(yè)平臺/技術(shù)中臺層安全、應(yīng)用層安全，以及跨各

層的安全運營管理。

上述框架中，IMT安全架構(gòu)針對5G通信網(wǎng)絡(luò)；5G醫(yī)

療行業(yè)安全架構(gòu)針對5G醫(yī)療系統(tǒng)的具體問題給出安全措

施；5G智慧城市安全參考框架給出了覆蓋云、管、邊、

端的安全措施和運營管理相結(jié)合架構(gòu)。上述模型都未對

保障問題進行闡述和深入分析，僅針對安全風(fēng)險和問

題，給出了具體的技術(shù)措施和管理措施。

（3）CISAW安全模型

CISAW（Certification of Information Security Assurance

Worker，信息安全保障人員認(rèn)證）信息安全保障模型，

是中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC）張劍博

士于2015年，在我國863專家組的WPDRRC安全模型的

基礎(chǔ)上提出的。

圖1 基于切片+MEC的醫(yī)療行業(yè)安全解決方案系統(tǒng)示意圖

圖2 5G智慧城市安全參考框架

關(guān)于電力大數(shù)據(jù)應(yīng)用中存在的問題探討

CISAW信息安全保障模型通過實現(xiàn)數(shù)據(jù)、載體、環(huán)

境與邊界4個實體對象全生命周期的可用性、完整性、

真實性、機密性、不可否認(rèn)性等若干安全屬性來支撐

“業(yè)務(wù)”的正常進行。并在實現(xiàn)安全屬性的過程中采取

了預(yù)警、保護、檢測、響應(yīng)、恢復(fù)和反擊6個動態(tài)安全

環(huán)節(jié)的技術(shù)手段與措施。模型中為實現(xiàn)上述對象的安全

屬性及6個環(huán)節(jié)需要充足的人力、財務(wù)、技術(shù)、信息資

源提供保障。而以上的各類對象、環(huán)節(jié)、資源都必須進

行綜合有效的管理。

五、5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)安全保障體系

本文CISAW安全保障模型與5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)

安全保障相結(jié)合，提出5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)安全保障

模型，如下圖所示。

本質(zhì)對象：5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)安全保障的最終

目的還是為了保障該信息系統(tǒng)所支撐5G應(yīng)用業(yè)務(wù)的正常

開展。這些業(yè)務(wù)包括5G應(yīng)用的千行百業(yè)的應(yīng)用系統(tǒng)。保

障工作的開展，從管理和技術(shù)角度而言需從具體實體對

象入手。

實體對象：5G環(huán)境下信息系統(tǒng)實體對象可從業(yè)務(wù)數(shù)

據(jù)，以及構(gòu)成系統(tǒng)的云、網(wǎng)、端入手，確保其全生命周

期安全屬性的實現(xiàn)，以支撐業(yè)務(wù)的正常開展。“云”指

與應(yīng)用系統(tǒng)相關(guān)的云計算、數(shù)據(jù)中心、機房等軟硬件設(shè)

備設(shè)施；“網(wǎng)”指與該信息系統(tǒng)相關(guān)的5G網(wǎng)絡(luò)、專網(wǎng)、

局域網(wǎng)等不同類型的傳輸環(huán)境；“端”指5G網(wǎng)絡(luò)接入終

端及相關(guān)應(yīng)用系統(tǒng)。

保障環(huán)節(jié)：為了實現(xiàn)實體對象的安全屬性，需要在

合規(guī)要求、風(fēng)險評估、建設(shè)實施、安全運維、應(yīng)急處理

和持續(xù)改進環(huán)節(jié)，采取相關(guān)的安全措施和管理。

保障資源：5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)安全的保障需要

提供充足的資源，這些資源包括人力資源、財務(wù)資源、

技術(shù)資源和信息資源。人力資源涉及到5G環(huán)境下信息系

統(tǒng)建設(shè)各個環(huán)節(jié)的人才，包括架構(gòu)師、設(shè)計師、工程

師、分析師等；技術(shù)資源涉及到安全保障產(chǎn)品、技術(shù)研

發(fā)、技能培訓(xùn)等；信息資源涉及到信息共享平臺、知識

庫等。

管理：5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)安全保障體系建立在

管理之上，5G業(yè)務(wù)連續(xù)性，數(shù)據(jù)、云、網(wǎng)、端等實體對

象，保障環(huán)節(jié)的安全措施乃至5G信息系統(tǒng)網(wǎng)絡(luò)安全保障

資源都需要有效、高效的管理。

六、5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)安全保障體系建設(shè)路線

通過對5G醫(yī)療、智慧城市典型信息系統(tǒng)建設(shè)的分

析，我們發(fā)現(xiàn)在整體的安全架構(gòu)方面缺少保障的概念，

未能從全生命周期、時空結(jié)合、動靜結(jié)合的角度綜合構(gòu)

建保障體系。

因此，我們建議結(jié)合上述模型，從以下幾個方面加

強5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)安全保障。

（1）加強5G環(huán)境下信息系統(tǒng)安全的合規(guī)管理

5G環(huán)境下信息系統(tǒng)合規(guī)管理，需從兩個方面入手。

一是加強5G環(huán)境下信息系統(tǒng)安全保障的法律法規(guī)、標(biāo)準(zhǔn)

規(guī)范和行業(yè)部門相關(guān)規(guī)范的出臺。國家相關(guān)部門應(yīng)當(dāng)出

圖3 CISAW信息安全保障模型

圖4 5G環(huán)境下信息系統(tǒng)網(wǎng)絡(luò)安全保障模型

政策·標(biāo)準(zhǔn)

技術(shù)領(lǐng)先，專業(yè)服務(wù)。 專家專欄 www.cciss.com.cn Technology Leading， Professional Services.

36-37

臺專門針對5G環(huán)境下信息系統(tǒng)安全保障方面的具有操作

指導(dǎo)意義的法律規(guī)范。二是通過各項措施保證5G應(yīng)用領(lǐng)

域相關(guān)部門的合規(guī)操作。除了制定相應(yīng)的法律規(guī)定以

外，各相關(guān)主體還應(yīng)積極響應(yīng)，從風(fēng)險預(yù)防、技術(shù)進

步、完善體系等方面進行強化。

（2）注重5G環(huán)境下信息系統(tǒng)安全風(fēng)險評估

建立5G環(huán)境下信息系統(tǒng)安全治理組織結(jié)構(gòu)，包括治

理委員會、管理委員會、業(yè)務(wù)組、技術(shù)組、評估組，以

及相應(yīng)的組成人員；實施5G環(huán)境下信息系統(tǒng)安全及網(wǎng)絡(luò)

安全人才隊伍建設(shè)工程，完善相關(guān)政策，培養(yǎng)和引進網(wǎng)

絡(luò)安全專業(yè)人才；定期組織人員參與信息安全培訓(xùn)，提

高安全防控意識及權(quán)責(zé)意識，做好信息安全風(fēng)險評估，

有效預(yù)防可能出現(xiàn)的安全風(fēng)險。

（3）制定5G環(huán)境下信息系統(tǒng)安全保障策略，增強

技術(shù)支撐

加強5G環(huán)境下信息系統(tǒng)的全生命周期管理，從5G環(huán)

境下信息系統(tǒng)的全生命周期出發(fā)制定相應(yīng)的保障策略，

并以安全保障技術(shù)加持。從關(guān)鍵系統(tǒng)入手，比如，建設(shè)

全國統(tǒng)一標(biāo)識的可信數(shù)字身份、電子實名認(rèn)證、數(shù)據(jù)訪

問控制信息系統(tǒng)、電子簽名技術(shù)、加密技術(shù)等，加強

“事前防護”“事中加密”“事后保障”，為5G環(huán)境下

信息系統(tǒng)的全生命周期安全保駕護航。5G環(huán)境下信息系

統(tǒng)安全保障應(yīng)緊緊抓住“可信數(shù)字身份”和“電子簽名

技術(shù)、加密技術(shù)”兩大安全保證技術(shù)武器，保障5G環(huán)境

下信息系統(tǒng)安全的全生命周期安全：“事前”，采用身

份認(rèn)證、授權(quán)控制，保證數(shù)據(jù)的控制身份真實、權(quán)限合

理；“事中”，采用傳輸加密、存儲加密，保證數(shù)據(jù)的

機密性、隱私的保密性；“事后”，采用電子簽名、安

全審計，保證數(shù)據(jù)的完整性、真實性及行為的不可抵賴

性。

（4）完善5G環(huán)境下信息系統(tǒng)標(biāo)準(zhǔn)化體系建設(shè)

制定統(tǒng)一的5G環(huán)境下信息系統(tǒng)安全標(biāo)準(zhǔn)。建議參照

國際國內(nèi)標(biāo)準(zhǔn)制定有可操作性的信息系統(tǒng)安全保障標(biāo)準(zhǔn)

和規(guī)范體系，有效保證各業(yè)務(wù)部門、系統(tǒng)間5G應(yīng)用系統(tǒng)

數(shù)據(jù)的規(guī)范性、融合性、流通性、共享性、安全性。同

時，鼓勵和支持有條件的機構(gòu)、學(xué)會、協(xié)會和相關(guān)企業(yè)

參與研究5G環(huán)境下信息系統(tǒng)安全保障標(biāo)準(zhǔn)及規(guī)范，制定

數(shù)據(jù)標(biāo)準(zhǔn)符合性測試規(guī)范及標(biāo)準(zhǔn)測評指標(biāo)體系，進行標(biāo)

準(zhǔn)化測試并予以認(rèn)證，以完善共享電子文檔規(guī)范與衛(wèi)生

信息數(shù)據(jù)集標(biāo)準(zhǔn)。

（5）實施安全監(jiān)控，構(gòu)建可信的信息安全體系

大力推動構(gòu)建可信的信息安全體系，建立起統(tǒng)一權(quán)

威、互聯(lián)互通的5G環(huán)境下信息系統(tǒng)安全保障平臺，保證

行業(yè)信息安全可控；運用DES、3DES、RSA、AES等常

用的加密算法的源代碼，對敏感的數(shù)據(jù)信息進行加密保

護，使經(jīng)過加密處理的隱私信息只有獲得權(quán)限后才能進

行安全瀏覽；供應(yīng)商要不斷檢測物聯(lián)網(wǎng)設(shè)備和應(yīng)用程序

的安全，如發(fā)現(xiàn)系統(tǒng)漏洞應(yīng)及時通知相關(guān)機構(gòu)，快速響

應(yīng)修復(fù)漏洞。

（6）重視5G環(huán)境下信息系統(tǒng)安全的人才保障

5G環(huán)境下信息系統(tǒng)安全保障建設(shè)是一項具體的龐大

工程，在這項工程建設(shè)中，許多專業(yè)性較強的事務(wù)需要

大量的專業(yè)性人才來完成。當(dāng)前，大部分單位嚴(yán)重缺少

5G環(huán)境下信息系統(tǒng)安全保障人才，更缺少即懂安全又懂

專業(yè)知識的高素質(zhì)復(fù)合型信息技術(shù)人才。以此，需要加

強5G環(huán)境下信息系統(tǒng)安全保障復(fù)合型人才培養(yǎng)。其具體

要求可從兩個層面展開。在微觀層面，5G環(huán)境下信息系

統(tǒng)安全保障須具備計算機科學(xué)與技術(shù)、信息管理與信息

系統(tǒng)等方面的知識技能，故而要注重這些不同專業(yè)之間

的融通；從宏觀層面來說，可通過重構(gòu)基層組織，整合

專業(yè)知識、數(shù)學(xué)、物理、統(tǒng)計、計算機、圖書管理、網(wǎng)

絡(luò)管理和管理科學(xué)等人才隊伍，以完善信息采集、處

理、應(yīng)用三大環(huán)節(jié)進行安全保障的研究隊伍結(jié)構(gòu)建設(shè)。

七、結(jié)束語

本文通過研究5G技術(shù)新特性，并結(jié)合對5G安全威脅

與需求，乃至安全架構(gòu)的分析提出了5G環(huán)境下信息系統(tǒng)

網(wǎng)絡(luò)安全保障模型，但該模型僅限于建立完善信息系統(tǒng)

及其網(wǎng)絡(luò)安全的保障體系，不能覆蓋所有5G環(huán)境下所有

安全問題和所有安全保障環(huán)節(jié)。針對具體5G應(yīng)用案例在

模型的落地執(zhí)行過程中還需不斷修正和完善。

IT產(chǎn)品信息安全認(rèn)證

一、簡介

《IT產(chǎn)品信息安全認(rèn)證》是依據(jù)信息技術(shù)安全評估

準(zhǔn)則和相關(guān)技術(shù)要求，對IT產(chǎn)品的安全性進行評價，包

括基于GB/T18336提供不同登記EAL認(rèn)證。旨在保護用

戶信息安全，維護用戶利益。生產(chǎn)企業(yè)的IT產(chǎn)品獲得信

息安全認(rèn)證證書，表明該產(chǎn)品符合相應(yīng)的標(biāo)準(zhǔn)和技術(shù)要

求。

二、認(rèn)證模式和有效期

模式1：型式試驗+獲證后監(jiān)督

模式2：型式試驗+初始工廠檢+獲證后監(jiān)督

說明：當(dāng)認(rèn)證產(chǎn)品的安全保障要求級別為EAL3級及

以上級別時，認(rèn)證模式為模式2。

有效期：證書有效期3年。在有效期內(nèi)，通過每年

對獲證后的產(chǎn)品進行監(jiān)督確保認(rèn)證證書的有效性。

三、認(rèn)證級別

評估保障級（EAL）認(rèn)證，是依據(jù)GB/T 18336（等

同采用ISO/IEC 15408，即CC）和相關(guān)安全技術(shù)要求，對

IT產(chǎn)品完整生命周期過程的安全保障措施進行綜合評

價，旨在保護用戶信息安全，維護用戶利益。基于通用

評估準(zhǔn)則開展的安全認(rèn)證是目前世界各國應(yīng)用最為廣泛

的認(rèn)證制度，其在信息安全保障方面的價值和意義被整

個產(chǎn)業(yè)普遍接受和認(rèn)可。該認(rèn)證將產(chǎn)品信息安全保障能

力從低到高分為7個評估保障等級，即EAL1至EAL7，通

過風(fēng)險分析、測試驗證、安全保障措施評估、文檔審查

及現(xiàn)場核查等方式來評價產(chǎn)品提供的安全保障能力，判

定其是否滿足標(biāo)準(zhǔn)中相應(yīng)級別的要求。

四、產(chǎn)品目錄

五、申報需提供資料

六、發(fā)證機關(guān)

由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)

七、申報流程

八、證書模板

工控產(chǎn)品認(rèn)證 物聯(lián)網(wǎng)終端產(chǎn)品認(rèn)證

云計算安全防護產(chǎn)品認(rèn)證 智能卡類產(chǎn)品認(rèn)證

評估保障級（EAL)認(rèn)證 其他IT產(chǎn)品認(rèn)證

申請基本信息：

▲ 認(rèn)證申請書

▲ 申請方申明

▲ 相關(guān)法律地位證明材料（復(fù)印件）

產(chǎn)品相關(guān)說明：

▲ 中文產(chǎn)品功能說明書和/或使用手冊

▲ 產(chǎn)品研制主要技術(shù)人員情況表

▲ 產(chǎn)品測試技術(shù)人員情況表

▲ 產(chǎn)品測試使用的主要設(shè)備表（如適用）

▲ 中文銘牌和警告標(biāo)記（如適用）

▲ 產(chǎn)品密碼檢驗合格證書（如適用）

安全保障要求方面的文檔：

▲ 安全目標(biāo)文檔（ST）

▲ 生命周期支持文檔

▲ 開發(fā)文檔

▲ 指導(dǎo)性文檔

▲ 測試文檔

▲ 脆弱性評定 文檔

認(rèn)證申請及受理

文檔審核

型式實驗委托及實施

工廠檢查

認(rèn)證結(jié)果評價與批準(zhǔn)

獲證后監(jiān)督

通知公告 www.cciss.com.cn

技術(shù)領(lǐng)先，專業(yè)服務(wù)。

Technology Leading， Professional Services. 38-39

北斗基礎(chǔ)產(chǎn)品認(rèn)證

序號 產(chǎn)品類別 產(chǎn)品描述 認(rèn)證依據(jù)

芯片類產(chǎn)品

雙頻多系統(tǒng)高

精度射頻基帶

一體化芯片

BDS-JSsCS-2021-002《北

斗衛(wèi)星導(dǎo)航系統(tǒng)民用全球信號雙

頻多系統(tǒng)高精度射頻基帶一體化

芯片產(chǎn)品技術(shù)要求和測試方法》

該產(chǎn)品為面向各類低成本高精度應(yīng)用的射頻基帶一體化

集 成 芯 片，支 持 BDS B1I/B1C/B2a、GPSL 1/L5、

GalileoE1/ES 等導(dǎo)航信號，具有一定的抗多徑、抗干擾

能力，可實現(xiàn)雙頻多模高精度聯(lián)合定位。

該產(chǎn)品為面向各類低成本普通導(dǎo)航應(yīng)用的射頻基帶一體

化集成芯片，支持 BDS B11/B1C、GPS LICI/A 等導(dǎo)

航信號，支持差分增強、組合導(dǎo)航、多音干擾消除等功能，

可實現(xiàn)單系統(tǒng)定位和多系統(tǒng)聯(lián)合定位。

該產(chǎn)品為面向各類高精度導(dǎo)航應(yīng)用的多模多頻寬帶射頻

芯片，可支持 BDS、GPS.Galileo、GLONASS 等系

統(tǒng)所有民用頻點信號的寬帶接收 , 具有集成度高、帶寬和

中心頻點可靈活配置等特點。

該產(chǎn)品為面向北斗短報文通信終端入網(wǎng)認(rèn)證應(yīng)用的 SIM

卡產(chǎn)品，支持北斗衛(wèi)星導(dǎo)航系統(tǒng)民用短報文終端進行接

入北斗網(wǎng)絡(luò)的用戶身份鑒權(quán)認(rèn)證和信息加解密功能 , 包含

芯片和片內(nèi)操作系統(tǒng) (COs)。

該產(chǎn)品為面向各類低成本高精度應(yīng)用的小型化多模多頻

高精度天線，支持 BDS、GPS、Galileo、GLONASS

等系統(tǒng)所有民用頻點信號的接收﹐在較小的外形尺寸下

提供良好的相位中心穩(wěn)定性和增益性能。

該產(chǎn)品為面向各類低成本高精度應(yīng)用的小型化多模多頻

導(dǎo)航模塊，支持 BDS、GPS、Galileo、GLONASS 等

系統(tǒng)所有民用頻點導(dǎo)航信號，具備 RTK 和 PPP 高精度

定位功能，具有小尺寸、易集成的優(yōu)點。

該產(chǎn)品為面向各類高精度應(yīng)用的多模多頻高精度板卡，

支持 BDS、GPS、Galileo、GLONASS 等系統(tǒng)所有民

用頻點導(dǎo)航信號，可輸出高質(zhì)量載波相位和偽距觀測量，

具備 RTK、PPP 高精度定位和星基增強功能。

BDS-JsCS-2021-004 《北 斗

衛(wèi)星導(dǎo)航系統(tǒng)民用全球信號多模

多頻高精度天線產(chǎn)品技術(shù)要求和

測試方法》

BDS-JSCs-2021-006《北 斗

衛(wèi)星導(dǎo)航系統(tǒng)民用全球信號多模

多頻導(dǎo)航模塊產(chǎn)品技術(shù)要求和測

試方法》

BDS-JsCS-2021-005《北 斗

衛(wèi)星導(dǎo)航系統(tǒng)民用全球信號多模

多頻高精度板卡產(chǎn)品技術(shù)要求和

測試方法》

BDS-JSCS-2021-001《北 斗

衛(wèi)星導(dǎo)航系統(tǒng)民用全球信號

RNSS 射頻基帶一體化芯片產(chǎn)品

技術(shù)要求和測試方法》

BDS-JSCS-2021-003《北 斗

衛(wèi)星導(dǎo)航系統(tǒng)民用全球信號多模

多頻寬帶射頻芯片產(chǎn)品技術(shù)要求

和測試方法》

GB/T 22186《信息安全技術(shù)具

有中央處理器的 IC 卡芯片安全

技 術(shù) 要 求》GB/T 20276《信 息

安全技術(shù)具有中央處理器的 C 卡

嵌入式軟件安全技術(shù)要求》

RNSS射頻基

帶一體化芯片

天線類產(chǎn)品 多模多頻高精

度天線

模塊類產(chǎn)品 多模多頻導(dǎo)航

模塊

板卡類產(chǎn)品 多模多頻高精

度板卡

多模多頻寬帶

射頻芯片

北斗三號短報

文通信SIM卡

1

2

3

4

5

6

7

一、簡介

北斗衛(wèi)星導(dǎo)航系統(tǒng)是我國自主建設(shè)運行的全球衛(wèi)星

導(dǎo)航系統(tǒng)，是為全球用戶提供全天候、全天時、高精度

的定位、導(dǎo)航和授時服務(wù)的國家重要時空基礎(chǔ)設(shè)施。

為進一步提升芯片、模塊、天線、板卡等北斗基礎(chǔ)

產(chǎn)品質(zhì)量，保障北斗衛(wèi)星導(dǎo)航系統(tǒng)在各領(lǐng)域各行業(yè)的廣

泛應(yīng)用，市場監(jiān)管總局近日印發(fā)《關(guān)于開展北斗基礎(chǔ)產(chǎn)

品認(rèn)證工作的實施意見》，通過在北斗行業(yè)建立實施質(zhì)

量認(rèn)證制度，營造有利于北斗基礎(chǔ)產(chǎn)品發(fā)展的良好環(huán)

境，推出《北斗基礎(chǔ)產(chǎn)品認(rèn)證》。

二、產(chǎn)品目錄

國家信息安全產(chǎn)品認(rèn)證

七、證書模板

一、簡介

由國家質(zhì)檢總局、國家認(rèn)監(jiān)委聯(lián)合發(fā)布《關(guān)于部分

信息安全產(chǎn)品實施強制性認(rèn)證的公告》，要求自2009年

5月1日起將8類13種信息安全產(chǎn)品實施強制性認(rèn)證。

2010年4月，由財政部、工信部、國家質(zhì)檢總局、國家

認(rèn)監(jiān)委聯(lián)合發(fā)布了《關(guān)于信息安全產(chǎn)品實施政府采購的

通知》，規(guī)定在政府采購活動中，采購人或其委托的采

購代理機構(gòu)按照政府采購的規(guī)定，在政府采購招標(biāo)文件

(包括談判文件、詢價文件)中應(yīng)當(dāng)載明對產(chǎn)品獲得信息

安全認(rèn)證的要求、并要求產(chǎn)品供應(yīng)商提供由中國網(wǎng)絡(luò)安

全審查技術(shù)與認(rèn)證中心按國家標(biāo)準(zhǔn)頒發(fā)的有效認(rèn)證證

書。

自此，在政府采購領(lǐng)域全面開始推行信息安全產(chǎn)品

強制采購政策，在信息安全產(chǎn)品相關(guān)政府采購項目中，

通常要求提供的產(chǎn)品屬于信息安全產(chǎn)品的，供應(yīng)商應(yīng)當(dāng)

選擇經(jīng)國家認(rèn)證的信息安全產(chǎn)品投標(biāo)，并提供有效的認(rèn)

證證書，因此屬于上述產(chǎn)品的必須進行《國家信息安全

產(chǎn)品認(rèn)證》

二、產(chǎn)品目錄

認(rèn)證申請及受理

文檔審核

型式實驗委托及實施

工廠檢查

認(rèn)證結(jié)果評價與批準(zhǔn)

獲證后監(jiān)督

三、認(rèn)證模式和有效期

認(rèn)證模式：型式試驗+初始工廠檢查+獲證后監(jiān)督。

認(rèn)證單元劃分：認(rèn)證機構(gòu)按產(chǎn)品型號/版本的不同

劃分認(rèn)證單元。同一認(rèn)證單元內(nèi)有多個型號/版本的產(chǎn)

品時，需要認(rèn)證委托人提交型號/版本間的差異說明，

必要時還應(yīng)對差異部分補充型式試驗。

認(rèn)證證書有效期為5年。在有效期內(nèi)，通過認(rèn)證機

構(gòu)的獲證后監(jiān)督，保持認(rèn)證證書的有效性。證書到期需

延續(xù)使用的，認(rèn)證委托人應(yīng)在有效期屆滿前6個月內(nèi)提

出認(rèn)證委托。認(rèn)證機構(gòu)應(yīng)采用獲證后監(jiān)督的方式對符合

認(rèn)證要求的委托換發(fā)新證書。

四、申報資料

認(rèn)證機構(gòu)應(yīng)根據(jù)法律法規(guī)、標(biāo)準(zhǔn)及認(rèn)證實施的需要

在認(rèn)證細(xì)則中明確申請資料清單（應(yīng)至少包括認(rèn)證申請

書、合同或認(rèn)證委托方/生產(chǎn)者/生產(chǎn)企業(yè)的注冊證明

等）。

五、發(fā)證機關(guān)

由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)

六、申報流程

人才保障人才保障 通知公告 www.cciss.com.cn

技術(shù)領(lǐng)先，專業(yè)服務(wù)。

Technology Leading， Professional Services. 40-41

七、證書模板

（1）邊界

安全

（2）通信

安全

（3）身份

鑒別與訪

問控制

網(wǎng)絡(luò)安全

隔離卡與

線路選擇

器

安全隔離

與信息交

換產(chǎn)品

安全路由

器

智能卡COS

網(wǎng)絡(luò)安全隔離卡是指安裝在計算機內(nèi)部，能夠使

連接該計算機的多個獨立的網(wǎng)絡(luò)之間仍然保持物理隔

離的設(shè)備。安全隔離線路選擇弱是與配套的安全隔離

卡一起使用。適用于單網(wǎng)布線環(huán)境下，使同一計算機

能夠訪問多個獨立的網(wǎng)絡(luò)，并且各網(wǎng)絡(luò)仍然保持物理

隔離的設(shè)條。

適用的產(chǎn)品范圍為：（1）安全隔離計算機；

（2）安全隔離卡；（3）安全隔離線路選擇器。

安全隔離與信息交換產(chǎn)品是指能夠保證不同網(wǎng)絡(luò)

之間在網(wǎng)絡(luò)協(xié)議終止的基礎(chǔ)上.通過安全通道在實現(xiàn)網(wǎng)

絡(luò)隔離的同時進行安全數(shù)據(jù)交換的軟硬件組合。

適用的產(chǎn)品范圍為：（1）安全隔離與信息交換

產(chǎn)品；（2）安全隔離與文件單向傳翰產(chǎn)品。

安全路由器是指為保潦所傳輸數(shù)據(jù)充整性、機密

性、可用性，應(yīng)用于重要信息系統(tǒng)的。只備IKE密鑰

協(xié)商能力，端口IPSes硬件線速加密能力的路由器。

適用的產(chǎn)品范圍為分:集成了1PSeg'sSL，以及防火

墻、入侵檢測、安全審計等一種或多種安全模塊的路

由器，僅接入公用電信網(wǎng)的路由器除外。

智能卡芯片操作系統(tǒng)(COS-Chip Operating System)

是指在智能卡芯片中存儲和運行的、以保護存儲在非

易失性存佬器中的應(yīng)用數(shù)據(jù)或程序的機密性和完整

性、控制智能卡芯片與外界信息交換為目的的嵌入式

軟件。

適用的產(chǎn)品范圍為：（1）采用接e或/和非接觸工

作方式的智能卡的COS；（2）其它被案成或內(nèi)置了的

COS。

防火墻

防火培產(chǎn)品是指一個或一組在不同安全策咯的網(wǎng)

絡(luò)或安全域之間實施網(wǎng)絡(luò)訪問控制的系統(tǒng)。

適用的產(chǎn)品范圍為：（1）以防火墻功能為主體

的軟件或軟硬件組合；（2）其它網(wǎng)絡(luò)產(chǎn)品中的防火

場模塊:不適用個人防火場產(chǎn)品。

產(chǎn)品類別 產(chǎn)品名稱 產(chǎn)品的定義和適用范圍

安全操作系統(tǒng)是指從系統(tǒng)設(shè)計、實現(xiàn)、使用和管

理等各個階段都遵循一套充整的系統(tǒng)安全策略,并實現(xiàn)

了GB 17859-1999《計算機信息系統(tǒng)等級保護劃分準(zhǔn)

則》所確定的安全等級三級（含)以上的操作系統(tǒng)。

適用的產(chǎn)品范圍為：（1）獨立的安全操作系統(tǒng)

軟件產(chǎn)品；（2）集成或內(nèi)置了安全操作系統(tǒng)的產(chǎn)品。

安全數(shù)據(jù)庫系統(tǒng)足指從系統(tǒng)設(shè)計、實現(xiàn)、使用和

管理等各個階段都遵循一套充整的系統(tǒng)安全策略。并

實現(xiàn)GB 17859-1999《計算機信息系統(tǒng)等級保護劃分

準(zhǔn)則》所確定的安全等級三級(含）以上的數(shù)據(jù)庫系

統(tǒng)。

適用的產(chǎn)品范圍為：（1）獨立的安全數(shù)據(jù)庫系

統(tǒng)軟件產(chǎn)品；（2）案成或內(nèi)且了安全數(shù)據(jù)庫系統(tǒng)的

產(chǎn)品。

（4）數(shù)據(jù)

安全

（5）基礎(chǔ)

平臺

數(shù)據(jù)備份

與恢復(fù)產(chǎn)

品

安全操作

系統(tǒng)

安全數(shù)據(jù)

庫系統(tǒng)

數(shù)據(jù)各份與恢復(fù)產(chǎn)品是指實現(xiàn)和管理信息系統(tǒng)數(shù)

據(jù)的備份和恢復(fù)過程的軟件.適用的產(chǎn)品范圍為:獨立

的數(shù)據(jù)備份與恢復(fù)管理軟件產(chǎn)品，不包括數(shù)據(jù)復(fù)制產(chǎn)

品和持繪數(shù)據(jù)保護產(chǎn)品。

（6）內(nèi)容

安全

（7）評

估審計與

監(jiān)控

反垃圾郵

件產(chǎn)品

網(wǎng)絡(luò)脆弱

性掃描產(chǎn)

品

入侵檢測

系統(tǒng)（IDS）

安全審計

產(chǎn)品

反垃圾郵件產(chǎn)品是指對按照電子郵件標(biāo)準(zhǔn)協(xié)議實

現(xiàn)的電子郵件系統(tǒng)中傳遞的垃圾郵件進行識別、過濾

的軟件或軟硬件組合。

適用的產(chǎn)品范圍為：（1）透明的反垃圾郵件網(wǎng)

關(guān)；（2）基于轉(zhuǎn)發(fā)的反垃圾郵件系統(tǒng)；（3）與郵件

服務(wù)器一體的反垃圾郵件的郵件服務(wù)器；（4）安裝

于已有郵件服務(wù)器上反垃圾郵件軟件。

入侵檢測系統(tǒng)指通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)

中的若干關(guān)鍵點收集信息并對其進行分析．發(fā)現(xiàn)違反

安全策曉的行為和被攻擊跡象的軟件或軟硬件組合。

適用的產(chǎn)品范圍為：（1）網(wǎng)絡(luò)型入侵檢測系

統(tǒng)；（2）主機型入侵檢測系統(tǒng)。

網(wǎng)絡(luò)脆弱性掃描產(chǎn)品指利用掃描手段檢測目標(biāo)網(wǎng)

絡(luò)系統(tǒng)中可能被入侵者利用的脆弱性的軟件或軟硬件

組合。

適用的產(chǎn)品范圍為：網(wǎng)絡(luò)型脆弱性掃描產(chǎn)品；不

適用；主機型脆弱性掃描產(chǎn)品；數(shù)據(jù)庫的脆弱性掃描

產(chǎn)品；WEB應(yīng)用的脆弱性掃描產(chǎn)品。

安全審計產(chǎn)品指能夠?qū)W(wǎng)絡(luò)應(yīng)用行為或信息系統(tǒng)

的各種日志實行采集、分析，形成審計記錄的軟件或

軟硬件組合。

適用的產(chǎn)品范圍為：將主機、服務(wù)器、網(wǎng)絡(luò)、數(shù)

據(jù)庫及其它應(yīng)用系統(tǒng)等一類或多類作為審計對象的產(chǎn)

品。

產(chǎn)品類別 產(chǎn)品名稱 產(chǎn)品的定義和適用范圍

（8）應(yīng)用

安全

網(wǎng)站恢復(fù)

產(chǎn)品

網(wǎng)站恢復(fù)產(chǎn)品是對受保護的靜態(tài)網(wǎng)頁文件、動態(tài)

腳本文件及目錄的未投權(quán)更改及時地進行自動恢復(fù)的

軟件或軟硬件組合。

適用的產(chǎn)品范圍為：針對靜態(tài)網(wǎng)頁文件、動態(tài)腳

本文件及目錄進行自動恢復(fù)的產(chǎn)品。

三、認(rèn)證模式和有效期

認(rèn)證模式：型式試驗+工廠檢查+獲證后監(jiān)督

有效期：證書有效期5年。在有效期內(nèi)，通過每年對

獲證后的產(chǎn)品進行監(jiān)督確保認(rèn)證證書的有效性

四、申報需提供資料

申請方向CCRC遞交申請資料（詳見1.2）

申請資料審查

CCRC發(fā)出送樣通知單

申請方向?qū)嶒炇宜蜆樱ㄔ斠?.3）

型式試驗

CCRC發(fā)出繳費通知單

申請方向CCRC繳費（詳見1.4）

初始工廠檢查（詳見1.5）

綜合評價、認(rèn)證決定

頒發(fā)證書（詳見1.6）

真厚監(jiān)督（詳見1.7）

（1）基本情況介紹；（2）相關(guān)資質(zhì)證明材料（復(fù)印件）；

（3）質(zhì)量體系方面有關(guān)的文件；（4）申請方聲明。

申請方情

況

國家信息安全產(chǎn)品認(rèn)證實施規(guī)則中有關(guān)保障要求相關(guān)文檔。 信息安全

保障要求

產(chǎn)品相關(guān)

說明

（1）中文產(chǎn)品功能說明書和/或使用手冊；

（2）認(rèn)證標(biāo)準(zhǔn)的適應(yīng)性說明；

（3）產(chǎn)品主要開發(fā)人員列表；

（4）產(chǎn)品主要測試人員列表；

（5）產(chǎn)品測試使用的主要設(shè)備表（如適用）；

（6）中文銘牌和警告標(biāo)記（如適用）；

（7）同一認(rèn)證單元中型號/版本間的差異說明及相關(guān)自測報告

（如適用）；

（8）關(guān)鍵件清單及說明；

（9）產(chǎn)品密碼檢測證書；

（如適用，具體參見相關(guān)國家標(biāo)準(zhǔn)）。

五、發(fā)證機關(guān)

由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)

六、申報流程

七、證書模板

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品認(rèn)證

一、簡介

網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證是依據(jù)

《中華人民共和國網(wǎng)絡(luò)安全法》,為提升國家網(wǎng)絡(luò)安全保

障能力而實施的一項認(rèn)證制度。本文從認(rèn)證體系的產(chǎn)品

目錄、實施機構(gòu)、實施要求等方面系統(tǒng)梳理了網(wǎng)絡(luò)關(guān)鍵

設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品安全認(rèn)證體系建立的情況,介紹

了認(rèn)證模式、采用標(biāo)準(zhǔn)及認(rèn)證實施的現(xiàn)狀,闡述了該項認(rèn)

證制度在我國網(wǎng)絡(luò)安全保障體系中的重要作用。

二、產(chǎn)品目錄

網(wǎng)絡(luò)關(guān)鍵

設(shè)備

1.路由器

3.服務(wù)器（機架式）

2.交換器

4.可編輯邏輯控制器（PLC設(shè)備）

整系統(tǒng)吞吐里(雙向)≥12Tbps

整系統(tǒng)路由表容里≥55萬條

整系統(tǒng)吞吐里（雙向）≥30Tbps

整系統(tǒng)包轉(zhuǎn)發(fā)率≥10Gpps

CPU數(shù)里≥8個

單CPU內(nèi)核數(shù)≥14個

內(nèi)存容里≥256GB

控制器指令執(zhí)行時間≤0.08微秒

設(shè)備或產(chǎn)品類別 范圍

網(wǎng)絡(luò)安全

專用產(chǎn)品

網(wǎng)絡(luò)安全

專用產(chǎn)品

5.數(shù)據(jù)備份一體機

6.防火墻（硬件）

備份容里≥20T

備份速度≥60MB/s

備份時間間隔≤1小時

整機吞吐里≥80Gbps

最大并發(fā)連接數(shù)≥300萬

每秒新建連接數(shù)≥25萬

7.WEB應(yīng)用防火墻（WAF） 整機應(yīng)用吞吐里≥6Gbps

最大HTTP并發(fā)連接數(shù)≥200萬

8.入侵檢測系統(tǒng)（IDS） 滿檢速率≥15Gbps

最大并發(fā)連接教≥500萬

9.入侵防御系統(tǒng)（IPS） 滿檢速率≥20Gbps

最大并發(fā)連接數(shù)≥500萬

10. 安全隔離與信息交換產(chǎn)品

（網(wǎng)閘）

吞吐里≥1Gbps

系統(tǒng)延時≤5ms

11.反垃圾郵件產(chǎn)品

連接處理速率(連接/秒）>100

平均延遲時間<100ms

12.網(wǎng)絡(luò)綜合審計系統(tǒng) 抓包速度≥5Gbps

記錄事件能力≥5萬條/秒

13.網(wǎng)絡(luò)脆弱性掃描產(chǎn)品 最大并行掃描頂數(shù)里≥60個

14.安全數(shù)據(jù)庫系統(tǒng) TPC-E tpsE(每秒可交易教里)≥4500個

15.網(wǎng)站恢復(fù)產(chǎn)品（硬件） 恢復(fù)時間≤2ms

站點的最長路徑≥10級

三、認(rèn)證模式和有效期

認(rèn)證模式：型式試驗+工廠檢查+獲證后監(jiān)督

有效期：證書有效期5年。在有效期內(nèi)，通過每年

對獲證后的產(chǎn)品進行監(jiān)督確保認(rèn)證證書的有效性

四、申報需提供資料

五、發(fā)證機關(guān)

由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)

六、申報流程

認(rèn)證委托人情況：

1）申請基本信息：

▲ 認(rèn)證申請書；

▲ 認(rèn)證委托人聲明；

▲ 相關(guān)法律地位證明材料（復(fù)印件）；

▲ 質(zhì)量體系方面有關(guān)文件。

2）有關(guān)技術(shù)指標(biāo)參數(shù)聲明及支撐材料

產(chǎn)品相關(guān)說明：

▲ 中文產(chǎn)品功能說明書和/或使用手冊；

▲ 產(chǎn)品研制主要技術(shù)人員情況表；

▲ 產(chǎn)品測試使用的主要設(shè)備表；

▲ 同一單元中型號/版本間的差異說明名及相關(guān)測試報告（如適用）；

▲ 產(chǎn)品密碼檢驗合格證書（如適用。具體參考相關(guān)國家標(biāo)準(zhǔn)）

▲ 認(rèn)證標(biāo)準(zhǔn)的適用性說明；

▲ 產(chǎn)品測試技術(shù)人員情況表；

▲ 中文銘牌和警告標(biāo)記；

信息安全保障要求：

▲ 配置管理；

▲ 交付與運行；

▲ 開發(fā)；

▲ 指導(dǎo)性文檔

▲ 測試。

認(rèn)證申請及受理

文檔審核

型式實驗委托及實施

工廠檢查

認(rèn)證結(jié)果評價與批準(zhǔn)

獲證后監(jiān)督

人才保障人才保障 通知公告 www.cciss.com.cn

技術(shù)領(lǐng)先，專業(yè)服務(wù)。

Technology Leading， Professional Services. 42-43

金融科技產(chǎn)品認(rèn)證

一、簡介

為貫徹國務(wù)院《關(guān)于加強質(zhì)量認(rèn)證體系建設(shè)促進全

面質(zhì)量管理的意見》精神，落實國家認(rèn)證認(rèn)可監(jiān)督管理

委員會、中國人民銀行《關(guān)于開展支付技術(shù)產(chǎn)品認(rèn)證工

作的實施意見》和《關(guān)于加強支付技術(shù)產(chǎn)品標(biāo)準(zhǔn)實施與

安全管理的通知》要求，更好滿足金融行業(yè)發(fā)展與監(jiān)管

需要，市場監(jiān)管總局、人民銀行決定將支付技術(shù)產(chǎn)品認(rèn)

證擴展為《金融科技產(chǎn)品認(rèn)證》。

二、產(chǎn)品目錄

三、認(rèn)證模式和有效期

認(rèn)證模式：型式試驗+獲證后監(jiān)督；

上述獲證后監(jiān)督是指獲證后的跟蹤檢查、生產(chǎn)現(xiàn)場

七、證書模板

認(rèn)證申請及受理

文檔審核

型式實驗委托及實施

工廠檢查

認(rèn)證結(jié)果評價與批準(zhǔn)

獲證后監(jiān)督

序號 產(chǎn)品類別 依據(jù)標(biāo)準(zhǔn)

1 客戶端軟件 JR/T 0092移動金融客戶端應(yīng)用軟件安全管理規(guī)范

JR/T 0098.3中國金融移動支付檢測規(guī)范第三部分:客戶端軟件

T/PCAC0006條碼支付移動客戶端軟件檢測規(guī)范〔適用時)

2 安全芯片

JR/T 0089.1中國金融移動支付安全單元第1部分:通用技術(shù)要求

JR/T 0089.2中國金融移動支付安全單元第2部分:多應(yīng)用管理規(guī)范

JR/T 0098.2中國金融移動支付檢測規(guī)范第2部分:安全芯片

3

4

5

安全載體

嵌入式應(yīng)用軟件

銀行卡自動柜員機

(ATM)終端

JR/T 0095 中國金融移動支付應(yīng)用安全規(guī)范

JR/T 0098.5中國金融移動支付檢測規(guī)范第5部分:安全單元(SE)

嵌入式軟件安全

JR/T 0089.1中國金融移動支付安全單元第1部分:通用技術(shù)要求

JR/T 0089.2中國金融移動支付安全單元第2部分:多應(yīng)用管理規(guī)范

JR/T 0098.5中國金融移動支付檢測規(guī)范第5部分:安全單元(SE)嵌

入式軟件安全

JR/T 0002銀行卡自動柜員機(ATM）終端技術(shù)規(guī)范

JR/T 0120.3銀行卡受理終端安全規(guī)范第3部分:自助終端

JR/T 0120.5銀行卡受理終端安全規(guī)范第5部分:PIN輸入設(shè)備

T/PCAC00004銀行卡自動柜員機(ATM）終端檢測規(guī)范

6

7

8

9

10

11

支付銷售點(POS)終

端

移動終端可信執(zhí)行

環(huán)境(TEE)

可信應(yīng)用程序(TA)

支忖受理終端(含顯

碼設(shè)備、掃碼設(shè)備)

聲紋識別系統(tǒng)品

云計算平臺

JR/T 0001銀行卡銷售點(POS）終端技術(shù)規(guī)范

JR/T 0120.1銀行卡受理終端安全規(guī)范第1部分:銷售點(POS）終端

JR/T 0120.5銀行卡受理終端安全規(guī)范第5部分:PIN輸入設(shè)備

T/PCAC 0003銀行卡銷售點(POS）終端檢測規(guī)范

JR/T 0156移動終端支付可信環(huán)境技術(shù)規(guī)范

《條碼支付安全技術(shù)規(guī)范〔試行)》〔銀辦發(fā)〔2017]242號)

《條碼支付受理終端技術(shù)規(guī)范《試行)》(銀辦發(fā)〔[2017]242號)

T/PCAC 0005條碼支付受理終端檢測規(guī)范

JR/T 0156移動終端支付可信環(huán)境技術(shù)規(guī)范

JR/T 0164移動金融基于聲紋識別的安全應(yīng)用技術(shù)規(guī)范

JR/T 0166云計算技術(shù)金融應(yīng)用規(guī)范技術(shù)框架

JR/T 0167云計算技術(shù)金融應(yīng)用規(guī)范安全技術(shù)要求

JR/T 0168云計算技術(shù)金融應(yīng)用規(guī)范容災(zāi)

抽取樣品檢測、市場抽樣檢測三種方式之一或組合。

認(rèn)證機構(gòu)可根據(jù)實際情況確定認(rèn)證委托方所能適用

的認(rèn)證模式。

認(rèn)證單元劃分：原則上應(yīng)按產(chǎn)品型號、規(guī)格、版本

的不同劃分認(rèn)證單元，當(dāng)以多個型號、規(guī)格、版本的產(chǎn)

品作為一個認(rèn)證單元時，認(rèn)證委托方應(yīng)提交各型號、規(guī)

格、版本產(chǎn)品間的差異說明

認(rèn)證證書有效期為3年。在有效期內(nèi)，通過認(rèn)證機

構(gòu)的獲證后監(jiān)督確保認(rèn)證證書的有效性。期滿后進行監(jiān)

督審查，合格即可續(xù)期。

四、申報資料

認(rèn)證機構(gòu)應(yīng)根據(jù)法律法規(guī)、標(biāo)準(zhǔn)及認(rèn)證實施的需要

在認(rèn)證細(xì)則中明確申請資料清單（應(yīng)至少包括認(rèn)證申請

書、合同或認(rèn)證委托方/生產(chǎn)者/生產(chǎn)企業(yè)的注冊證明

等）。

五、發(fā)證機關(guān)

由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)

六、申報流程

移動互聯(lián)網(wǎng)應(yīng)用程序（App）安全認(rèn)證

一、簡介

App認(rèn)證全稱叫移動互聯(lián)網(wǎng)應(yīng)用程序（App）安全認(rèn)

證，針對具有收集、存儲、傳輸和使用個人信息行為的

App進行的數(shù)據(jù)安全認(rèn)證，是中央網(wǎng)信辦、工業(yè)和信息

化部、公安部、市場監(jiān)管總局，為保障個人信息安全，

維護廣大網(wǎng)民合法權(quán)益而推出的安全認(rèn)證，并鼓勵A(yù)pp

運營者自愿通過App安全認(rèn)證。

二、適用范圍

針對具有收集、存儲、傳輸和使用個人信息行為的

移動互聯(lián)網(wǎng)應(yīng)用程序（以下稱“App”）進行的數(shù)據(jù)安

全認(rèn)證。

三、認(rèn)證價值

（1）作為一種常態(tài)化機制，能減少各行業(yè)管理部

門的重復(fù)檢測和評估，降低企業(yè)負(fù)擔(dān)；

（2）搜索引擎以及應(yīng)用商店優(yōu)先推薦，大大增加

App的曝光率，提升企業(yè)效益；

（3）安全認(rèn)證明確標(biāo)識，引導(dǎo)用戶選用獲證App，

減少用戶下載顧慮，提升App下載量。

四、認(rèn)證模式和有效期

App安全認(rèn)證的認(rèn)證模式為：技術(shù)驗證+現(xiàn)場核查+

獲證后監(jiān)督

認(rèn)證證書的有效期為三年。證書有效期內(nèi)，通過獲

證后的監(jiān)督確保證書的有效性。當(dāng)認(rèn)證要求）發(fā)生變化

時，應(yīng)按規(guī)定期限換證，超過規(guī)定期限未換發(fā)的認(rèn)證證

書自行失效。

五、申報條件和資料

認(rèn)證申請主體為通過App向用戶提供服務(wù)的網(wǎng)絡(luò)運

營者，且取得市場監(jiān)督管理部門或有關(guān)機構(gòu)注冊登記的

法人資格。且需提供以下資料：

（1）認(rèn)證申請書；

（2）法人資格證明材料；

（3）App版本控制說明；

（4）對認(rèn)證要求符合性的自評價結(jié)果及相關(guān)證明

文檔；

（5）對App符合相關(guān)安全技術(shù)標(biāo)準(zhǔn)的證明文件；

（6）不同發(fā)布渠道的版本差異性說明；

（7）其他需要的文件。

六、發(fā)證機關(guān)

由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)

人才保障人才保障 通知公告 www.cciss.com.cn

技術(shù)領(lǐng)先，專業(yè)服務(wù)。

Technology Leading， Professional Services. 44-45

八、證書模板

七、申報流程

中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心數(shù)據(jù)合規(guī)官

（CCRC-DCO）認(rèn)證培訓(xùn)

中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心數(shù)據(jù)合規(guī)官

（CCRC-DCO）認(rèn)證培訓(xùn)（線上）即日啟動報名：面向

北京、上海、杭州、深圳、廣州、南京、重慶、成都、

太原、鄭州、西安等全國各大城市。

一、CCRC-DCO證書頒發(fā)單位是什么？

數(shù)據(jù)合規(guī)官（CCRC-DCO）證書的頒發(fā)單位是中國

網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（英文縮寫為CCRC，原

為中國信息安全認(rèn)證中心）。中心于2006年由中央機構(gòu)

編制委員會辦公室批準(zhǔn)成立，為國家市場監(jiān)督管理總局

直屬事業(yè)單位。中心依據(jù)《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審

查辦法》及國家有關(guān)強制性產(chǎn)品認(rèn)證法律法規(guī)，承擔(dān)網(wǎng)

絡(luò)安全審查技術(shù)支撐和認(rèn)證工作，在批準(zhǔn)范圍內(nèi)開展與

網(wǎng)絡(luò)安全相關(guān)的產(chǎn)品、管理體系、服務(wù)、人員認(rèn)證和培

訓(xùn)等工作。

二、CCRC-DCO證書有什么作用價值？

數(shù)據(jù)合規(guī)官（CCRC-DCO）認(rèn)證培訓(xùn)主要面向政府

機構(gòu)、司法機關(guān)、央企國企和龍頭公司、科技企業(yè)和創(chuàng)

新企業(yè)、律師會計咨詢機構(gòu)、測評機構(gòu)、社會組織團

體、各級院校以及其他單位中從事個人信息保護、數(shù)據(jù)

安全、網(wǎng)絡(luò)安全、信息安全、合規(guī)風(fēng)控、數(shù)字審計、技

術(shù)研發(fā)、應(yīng)急管理以及安全監(jiān)管等業(yè)務(wù)的專業(yè)人員。數(shù)

據(jù)合規(guī)官（CCRC-DCO）持證人員具備數(shù)據(jù)治理與數(shù)據(jù)

合規(guī)方向的高度理論水平和實踐能力，將在人才遴選、

職務(wù)晉升、業(yè)務(wù)發(fā)展等諸多方面脫穎而出，有效提升自

身競爭力和所在團隊及單位的業(yè)務(wù)實力，提高數(shù)據(jù)治理

合規(guī)風(fēng)控水平及品牌優(yōu)勢。在中國《網(wǎng)絡(luò)安全法》《數(shù)

據(jù)安全法》《個人信息保護法》全面施行之際，數(shù)據(jù)合

規(guī)官（CCRC-DCO）成為甄選高級人才和業(yè)務(wù)伙伴的重

要評判指標(biāo)。

三、CCRC-DCO考試要學(xué)習(xí)什么內(nèi)容？

數(shù)據(jù)合規(guī)官（CCRC-DCO）認(rèn)證培訓(xùn)時間為4個全

天（線上），總計8課：

第一課 數(shù)據(jù)合規(guī)的政策戰(zhàn)略與法律法規(guī)

第二課 網(wǎng)絡(luò)安全和個人信息保護的體系架構(gòu)

第三課 數(shù)據(jù)安全管理與工程

第四課 數(shù)據(jù)安全法及合規(guī)落地路徑

第五課 個人信息保護法與合規(guī)實現(xiàn)

第六課 數(shù)據(jù)治理的監(jiān)管司法合規(guī)應(yīng)對

第七課 數(shù)據(jù)合規(guī)中的技術(shù)應(yīng)用方案

第八課 跨國公司數(shù)據(jù)安全與個人信息保護合規(guī)

考試形式為閉卷考試（線上考試系統(tǒng)），滿分100

分，得分70分以上為考試通過。憑借資深名師的精心講

授和學(xué)員自身的努力投入，能夠取得理想的考試結(jié)果。

四、CCRC-DCO考試報名手續(xù)怎么辦？

聯(lián)系人：盧老師

聯(lián)系郵箱：595854796@qq.com

聯(lián)系微信：18583988758

人才保障人才保障 通知公告 www.cciss.com.cn

技術(shù)領(lǐng)先，專業(yè)服務(wù)。

Technology Leading， Professional Services. 46-47

使用微信時可能存在安全隱患的行為是?( )

A、允許“回復(fù)陌生人自動添加為朋友”

B、取消“允許陌生人查看10張照片”功能

C、設(shè)置微信獨立帳號和密碼，不共用其他帳號和

密碼

D、安裝防病毒軟件，從官方網(wǎng)站下載正版微信

下面哪些行為可能會導(dǎo)致電腦被安裝木馬程序( )

A、上安全網(wǎng)站瀏覽資訊

B、發(fā)現(xiàn)郵箱中有一封陌生郵件，殺毒后下載郵件

中的附件

C、下載資源時，優(yōu)先考慮安全性較高的綠色網(wǎng)站

D、搜索下載可免費看全部集數(shù)《長安十二時辰》

的播放器

在某電子商務(wù)網(wǎng)站購物時，賣家突然說交易出現(xiàn)異

常，并推薦處理異常的客服人員。以下最恰當(dāng)?shù)淖龇?/p>

是?( )

A、直接和推薦的客服人員聯(lián)系

B、如果對方是信用比較好的賣家，可以相信

C、通過電子商務(wù)官網(wǎng)上尋找正規(guī)的客服電話或聯(lián)

系方式，并進行核實

D、如果對方是經(jīng)常交易的老賣家，可以相信

ATM機是我們?nèi)粘４嫒‖F(xiàn)金都會接觸的設(shè)備，以

下關(guān)于ATM機的說法正確的是?( )

A、所有ATM機運行的都是專業(yè)操作系統(tǒng)，無法利

用公開漏洞進行攻擊，非常安全

B、ATM機可能遭遇病毒侵襲

C、ATM機無法被黑客通過網(wǎng)絡(luò)進行攻擊

D、ATM機只有在進行系統(tǒng)升級時才無法運行，其

他時間不會出現(xiàn)藍屏等問題

我們在日常生活和工作中，為什么需要定期修改電

腦、郵箱、網(wǎng)站的各類密碼?( )

A、遵循國家的安全法律

B、降低電腦受損的幾率

C、確保不會忘掉密碼

D、確保個人數(shù)據(jù)和隱私安全

以下哪種不屬于個人信息范疇內(nèi)( )

A、個人身份證件

B、電話號碼

C、個人書籍

D、家庭住址

關(guān)于注銷App的機制，不正確的是( )

A、注銷渠道開放且可以使用，有較為明顯的注銷

入口

B、賬號注銷機制應(yīng)當(dāng)有簡潔易懂的說明

C、核驗把關(guān)環(huán)節(jié)要適度、合理，操作應(yīng)便捷

D、找不到注銷入口，聯(lián)系客服注銷不給予回復(fù)

為了避免個人信息泄露，以下做法正確的是( )

A、撕毀快遞箱上的面單

B、把快遞箱子放進可回收垃圾里

C、把快遞面單撕下來再放進干垃圾分類中

D、以上做法都可以

關(guān)于個人生物特征識別信息，以下哪種是合理的處

理方式( )

A、在隱私政策文本中告知收集目的

B、向合作伙伴共享個人生物識別信息

C、公開披露個人生物識別信息

D、僅保留個人生物識別信息的摘要信息

你的QQ好友給你在QQ留言，說他最近通過網(wǎng)絡(luò)

兼職賺了不少錢，讓你也去一個網(wǎng)站注冊申請兼職。但

你打開該網(wǎng)站后發(fā)現(xiàn)注冊需要提交手機號碼并發(fā)送驗證

短信。以下做法中最合理的是?( )

A、提交手機號碼并且發(fā)送驗證短信

B、在QQ上詢問朋友事情的具體情況

C、不予理會，提交手機號碼泄露個人隱私，發(fā)送

網(wǎng)絡(luò)安全知識小問答

1

2

3

4

5

10

9

8

7

6