新版网络关键设备和网络安全专用产品目录出炉。7月3日,国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门公布《网络关键设备和网络安全专用产品目录》(以下简称《2023年目录》),与6年前发布的《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(2017年第1号,以下简称《2017年目录》)相比,新增23类网络安全专用产品。此次目录调整,将对政府采购带来什么影响?
网络安全专用产品大幅增加
调整后的《2023年目录》共包括38类网络关键设备和网络安全专用产品,其中网络关键设备仍为4类,包括路由器、交换机、服务器(机架式)和可编程逻辑控制器(PLC设备);网络安全专用产品由之前的11类增至34类,与《2017年目录》相比,除了5类产品没有变化外,其他产品都有调整,并且新增安全操作系统、公钥基础设施、数据泄露防护产品、网络安全态势感知产品等23类产品。
“相较以往,列入目录的网络安全专用产品大幅度增加,说明相关部门加大了网络安全专用产品的管理力度,体现了对于信息安全的高度重视。”评审专家曹卫京认为。
一位业界人士对此也有同感:“随着我国网络安全产品技术不断创新发展,产品门类和产品型号更加丰富,产品认证及检测体系更加规范,信息化建设全面铺开以后,网络安全产品采购需求比以往显著增加,在此背景下对目录进行调整,更有利于采购人灵活开展采购活动。”
在奇安信科技集团副总裁夏伟看来,当前随着大智移云物(即大数据、智能化、移动互联网和云计算、物联网)新技术的飞速发展和应用,数据已成为与土地、劳动力、资本、技术等并列的第五大生产要素。因共享交换及跨境场景日益增多,与此相关的网络安全、数据安全问题也日益凸显。新目录大幅增加网络安全专用产品,可应对更多细分场景的安全可控。随着网络安全新问题不断涌现,后续还将增加相关安全产品。
通过认证或检测方可销售
那么,列入目录的网络关键设备和网络安全专用产品应怎么采购?
国家互联网信息办公室等今年4月发布的《关于调整网络安全专用产品安全管理有关事项的公告》(2023年第1号)规定,自7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品,应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。同时还明确,统一公布和更新符合要求的网络关键设备和网络安全专用产品清单,供社会查询和使用。
记者注意到,6月底一个预算金额为650万元的某平台网络及安全设备采购项目在“落实政府采购政策需满足的资格要求”中规定:按照《2017年目录》要求,列入该目录的设备和产品,应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。此次采购的核心交换机属于《2017年目录》规定范围,投标人须提供具备资格的安全检测机构检测符合要求的结果报告,或者提供具备资格的安全认证机构认证合格的结果报告,或者提供国家网信办会同相关部门统一发布的信息页面。
何谓具备资格的机构?2018年3月,国家认监委等发布第一批承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录,共列入16家机构。其中包括1家网络关键设备和网络安全专用产品安全认证机构,11家网络关键设备认证安全检测机构及4家网络安全专用产品安全检测机构。
根据国家互联网信息办公室网站5月发布的《网络关键设备和网络安全专用产品安全认证和安全检测结果》了解到,目前共326种网络关键设备和网络安全专用产品检测符合要求或认证合格,其中第一份结果为网络关键设备,来自华为技术有限公司一款路由器,有效期为2021年10月26日至2026年10月25日;最后一份结果也是网络关键设备,来自西门子股份公司一款可编程逻辑控制器,有效期为2023年4月2日至2026年4月1日。
“采购人和供应商应落实相关部门规定,在采购和供应网络安全专用产品时须注意两点:一是产品是否列入《网络关键设备和网络安全专用产品目录》;二是如果该产品已列入《网络关键设备和网络安全专用产品目录》,还要经具备资格的机构安全认证合格或者安全检测符合要求,方可采购或供应。”评审专家曹卫京告诉政府采购信息报记者。
夏伟表示,作为一家政府采购网络安全供应商,新目录调整后,会增加一些商业机会。同时,市场将不断扩大,竞争也会更加激烈,对供应商的综合安全能力和技术水平提出了更高要求,而市场将越来越向头部企业集中。
记者在采访中了解到,《2023年目录》中大多数网络关键设备和网络安全专用产品产品此前已获得《计算机信息系统安全专用产品销售许可证》,按照规定在有效期内仍可继续销售或者提供。同时,可向具备资格的机构申请安全认证或安全检测。以网络安全专用产品安全检测为例,检测机构自申请单位完成全部送检手续后三十日内完成检测,安全检测结果有效期为两年。
| 两批网络关键设备和网络安全专用产品目录对比 | ||
| 一、网络关键设备 | ||
| 序号 | 2023年设备类别 | 2017年设备类别 |
| 1 | 路由器 | 路由器 |
| 2 | 交换机 | 交换机 |
| 3 | 服务器(机架式) | 服务器(机架式) |
| 4 | 可编程逻辑控制器 (PLC设备) | 可编程逻辑控制器 (PLC设备) |
| 二、网络安全专用产品 | ||
| 序号 | 2023年产品类别 | 2017年产品类别 |
| 1 | 数据备份与恢复产品 | 数据备份一体机 |
| 2 | 防火墙 | 防火墙(硬件) |
| 3 | 入侵检测系统(IDS) | WEB应用防火墙(WAF) |
| 4 | 入侵防御系统(IPS) | 入侵检测系统(IDS) |
| 5 | 网络和终端隔离产品 | 入侵防御系统(IPS) |
| 6 | 反垃圾邮件产品 | 安全隔离与信息交换产品(网闸) |
| 7 | 网络安全审计产品 | 反垃圾邮件产品 |
| 8 | 网络脆弱性扫描产品 | 网络综合审计系统 |
| 9 | 安全数据库系统 | 网络脆弱性扫描产品 |
| 10 | 网站数据恢复产品 | 安全数据库系统 |
| 11 | 虚拟专用网产品 | 网站恢复产品(硬件) |
| 12 | 防病毒网关 | ——- |
| 13 | 统 一 威胁管理产品 (UTM) | ——- |
| 14 | 病毒防治产品 | ——- |
| 15 | 安全操作系统 | ——- |
| 16 | 安全网络存储 | ——- |
| 17 | 公钥基础设施 | ——- |
| 18 | 网络安全态势 感知产品 | ——- |
| 19 | 信息系统安全管理平台 | ——- |
| 20 | 网络型流量控制产品 | ——- |
| 21 | 负载均衡产品 | ——- |
| 22 | 信息过滤产品 | ——- |
| 23 | 抗拒绝服务攻击产品 | ——- |
| 24 | 终端接入控制产品 | ——- |
| 25 | USB移动存储介质管理系统 | ——- |
| 26 | 文件加密产品 | ——- |
| 27 | 数据泄露防护产品 | ——- |
| 28 | 数据销毁软件产品 | ——- |
| 29 | 安全配置检查产品 | ——- |
| 30 | 运维安全管理产品 | ——- |
| 31 | 日志分析产品 | ——- |
| 32 | 身份鉴别产品 | ——- |
| 33 | 终端安全监测产品 | ——- |
| 34 | 电子文档安全管理产品 | ——- |
分享长微博
分享到微信
