随着《网络安全法》的实施, 全国各地相关主管部门在对各类违反《网络安全法》行为进行严厉查处,《网络安全法》实施的一年多来,各地各部门整体对网络安全的认识更深刻,对网络安全的重视程度明显提高。现在很多用户单位都知道需要及时开展等级保护工作,那么在开展等级保护工作的过程中或多或少都要进行安全整改工作,安全整改工作里面可能就会牵涉到安全产品的购买问题。那么如何购买一个合规有保障的安全产品呢?
我们首先看看《信息安全等级保护管理办法》里面对安全产品相关的要求。在管理办法里的:“第十六条 办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:(四)系统使用的信息安全产品清单及其认证、销售许可证明;”,这里是明确要求提供信息安全产品清单及其认证、销售许可证明,销售许可证很明确的就是公安部的《计算机信息系统安全专用产品销售许可证》。那么及其认证到底是哪些认证呢?在管理办法21条给出了明确说明:
【第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;(五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。】
21条总结下主要要求有:1、要求国内控股且在国内有独立法人资格的单位;2、核心技术、关键部件具有我国自主知识产品;3、单位及主要人员无犯罪记录;4、已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。前三个要求相对比较容易理解,第四个信息安全认证目录的要经过认证。首先看看哪些信息安全产品需要经过认证,根据国家质检总局 国家认监委2008年第7号公告《关于部分信息安全产品实施强制性认证的公告》公布的:
第一批信息安全产品强制性认证目录
|
产品类别 |
产品名称 |
产品的定义和适用范围 |
|
1、边界安全 |
1)防火墙 |
防火墙产品是指一个或一组在不同安全策略的网络或安全域之间实施网络访问控制的系统。 适用的产品范围为:(1)以防火墙功能为主体的软件或软硬件组合;(2)其它网络产品中的防火墙模块;不适用个人防火墙产品。 |
|
2)网络安全隔离卡与线路选择器 |
网络安全隔离卡是指安装在计算机内部,能够使连接该计算机的多个独立的网络之间仍然保持物理隔离的设备。安全隔离线路选择器是与配套的安全隔离卡一起使用,适用于单网布线环境下,使同一计算机能够访问多个独立的网络,并且各网络仍然保持物理隔离的设备。 适用的产品范围为:(1)安全隔离计算机;(2)安全隔离卡;(3)安全隔离线路选择器。 |
|
|
3)安全隔离与信息交换产品 |
安全隔离与信息交换产品是指能够保证不同网络之间在网络协议终止的基础上,通过安全通道在实现网络隔离的同时进行安全数据交换的软硬件组合。 适用的产品范围为:(1)安全隔离与信息交换产品;(2)安全隔离与文件单向传输产品。 |
|
|
2、 通信安全 |
4)安全路由器 |
安全路由器是指为保障所传输数据完整性、机密性、可用性,应用于重要信息系统的,具备IKE密钥协商能力,端口IPSec硬件线速加密能力的路由器。 适用的产品范围为分:集成了IPSec/SSL,以及防火墙、入侵检测、安全审计等一种或多种安全模块的路由器,仅接入公用电信网的路由器除外。 |
|
3、身份鉴别与访问控制 |
5)智能卡COS |
智能卡芯片操作系统(COS-Chip Operating System)是指在智能卡芯片中存储和运行的、以保护存储在非易失性存储器中的应用数据或程序的机密性和完整性、控制智能卡芯片与外界信息交换为目的的嵌入式软件。 适用的产品范围为:(1)采用接触或/和非接触工作方式的智能卡的COS;(2)其它被集成或内置了的COS。 |
|
4、数据安全 |
6)数据备份与恢复产品 |
数据备份与恢复产品是指实现和管理信息系统数据的备份和恢复过程的软件。 适用的产品范围为:独立的数据备份与恢复管理软件产品,不包括数据复制产品和持续数据保护产品。 |
|
5、基础平台
|
7)安全操作系统 |
安全操作系统是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略,并实现了GB 17859-1999 《计算机信息系统等级保护划分准则》所确定的安全等级三级(含)以上的操作系统。 适用的产品范围为:(1)独立的安全操作系统软件产品;(2)集成或内置了安全操作系统的产品。 |
|
8)安全数据库系统 |
安全数据库系统是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略,并实现GB 17859-1999 《计算机信息系统等级保护划分准则》所确定的安全等级三级(含)以上的数据库系统。 适用的产品范围为:(1)独立的安全数据库系统软件产品;(2)集成或内置了安全数据库系统的产品。 |
|
|
6、内容安全 |
9)反垃圾邮件产品 |
反垃圾邮件产品是指对按照电子邮件标准协议实现的电子邮件系统中传递的垃圾邮件进行识别、过滤的软件或软硬件组合。 适用的产品范围为:(1)透明的反垃圾邮件网关;(2)基于转发的反垃圾邮件系统;(3)与邮件服务器一体的反垃圾邮件的邮件服务器;(4) 安装于已有邮件服务器上反垃圾邮件软件。 |
|
7、评估审计与监控 |
10)入侵检测系统(IDS) |
入侵检测系统指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,发现违反安全策略的行为和被攻击迹象的软件或软硬件组合。 适用的产品范围为:(1)网络型入侵检测系统;(2)主机型入侵检测系统。 |
|
11)网络脆弱性扫描产品 |
网络脆弱性扫描产品指利用扫描手段检测目标网络系统中可能被入侵者利用的脆弱性的软件或软硬件组合。 适用的产品范围为:网络型脆弱性扫描产品;不适用:主机型脆弱性扫描产品;数据库的脆弱性扫描产品;WEB应用的脆弱性扫描产品。 |
|
|
12)安全审计产品 |
安全审计产品指能够对网络应用行为或信息系统的各种日志实行采集、分析,形成审计记录的软件或软硬件组合。 适用的产品范围为:将主机、服务器、网络、数据库及其它应用系统等一类或多类作为审计对象的产品。 |
|
|
8、应用安全 |
13)网站恢复产品 |
网站恢复产品是对受保护的静态网页文件、动态脚本文件及目录的未授权更改及时地进行自动恢复的软件或软硬件组合。 适用的产品范围为:针对静态网页文件、动态脚本文件及目录进行自动恢复的产品。 |
购买以上这些信息安全产品,一定要有国家信息安全产品认证机构颁发的认证证书,那么哪个认证机构颁发的证书是有效的呢?国家认监委公布了信息安全产品强制性认证1家指定认证机构及首批7家指定实验室名单。国家认监委指定中国信息安全认证中心为信息安全产品强制性认证指定认证机构;信息产业部计算机安全技术检测中心、国家保密局涉密信息系统安全保密测评中心、公安部计算机信息系统安全产品质量监督检验中心、国家密码管理局商用密码检测中心、中国信息安全测评中心信息安全实验室、北京信息安全测评中心、上海市信息安全测评认证中心等7家实验室为信息安全产品强制性认证第一批指定实验室。也就是说通过以上7家认证单位之一认证后的信息安全产品才能在三级及以上信息系统里使用。
最后总结下:三级及以上信息系统的使用信息安全产品必须要具备:1、公安部销售许可证;2、信息安全产品强制性认证证书;3、国产、核心技术、关键部件具有我国知识产权。只有同时具有这两个证书的国产信息安全产品,我们才能购买,不然就是给我们日后的工作留下了一定的安全隐患,要负一定法律责任的。不买有要出事,买错也要出事,请各位网络运营者要注意了,不要迷恋国外的产品,自主可控很重要。
