“信息安全产品”的昨天、今天和明天

让我们先来看看什么是“信息安全产品”。

应该说，信息安全等级保护制度的确立，第一次正式将“信息安全产品”的概念推到了前台。

2007年，《信息安全等级保护管理办法》由公安部、国家保密局、国家密码管理局和国务院信息化办公室发布。从此，基于此办法的信息安全等级保护工作轰轰烈烈地开展起来，至今已经形成涵盖规章制度、文件通知、技术标准、实施指南、认证许可、检测评估、备案检查、教育培训、研究开发等方面的完整管理体系，并已经具备浩大的、颇具实力的从业人员队伍。

《信息安全等级保护管理办法》：第十六条 办理信息系统安全保护等级备案手续时……提供以下材料：（四）系统使用的信息安全产品清单及其认证、销售许可证；第十八条 ……公安机关、国家指定的专门部门应当对下列事项进行检查：……（五）信息安全产品使用是否符合要求；第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品：……（六）对已列入信息安全产品认证目录的，应当取得国家信息安全产品认证机构颁发的认证证书。

《信息安全技术 信息系统安全等级保护体系框架》（GA/T 708-2007）：“信息安全产品 information security production：具有确定安全强度／等级，用于构建安全信息系统的信息产品。信息安全产品分为信息技术安全产品和信息安全专用产品。信息技术安全产品是对信息技术产品附加相应的安全技术和机制组成的产品（如安全路由器）；信息安全专用产品是专门为增强信息系统的安全性而开发的信息安全产品（如防火墙）。”

比较全面定义信息安全产品的来自于《信息安全技术信息安全产品类别与代码》（GB/T 25066-2010）：“信息安全产品 information security product：保障信息安全的一个IT软件、固件和硬件及其组合体，它提供相关功能且可用于或组合到多种系统中。”该标准将信息安全产品分为7个一级分类以及二级分类和三级分类，计54种产品，并分别给以代码。如防火墙产品的代码为D301，安全数据库产品的代码为F101。

每一种网络安全产品都有对应的技术要求标准和检测标准，都必须通过有关机构的检测并取得公安部门颁发的销售许可证方可在市场上销售。但是，发放的许可证并不是“信息安全产品销售许可证”，而是“计算机信息系统安全专用产品销售许可证”。为什么会这样呢？我们来看看法规的规定：

《计算机信息系统安全保护条例》（1994年）规定：“计算机信息系统安全专用产品，是指用于保护计算机信息系统安全的专用硬件和软件产品”。“第十六条国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定”。

《计算机信息系统安全专用产品检测和销售许可证管理办法》（1997年）：第二条本办法所称计算机信息系统安全专用产品，是指用于保护计算机信息系统安全的专用硬件和软件产品。第三条 中华人民共和国境内的安全专用产品进入市场销售，实行销售许可证制度。安全专用产品的生产者在其产品进入市场销售之前，必须申领《计算机信息系统安全专用产品销售许可证》。

《公安机关信息安全等级保护检查工作规范》（2008年）：“要求产品研制、生产单位提供相关材料。包括……计算机信息系统安全专用产品销售许可证等。”

《信息安全等级保护管理办法》应该是《计算机信息系统安全保护条例》的下位法（部门规章）：《计算机信息系统安全保护条例》第九条规定：“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。”这样看来，《信息安全等级保护管理办法》中规定了“信息安全产品”而不是“计算机信息系统安全专用产品”，也许或多或少“违反”了上位法。

信息安全产品的技术标准中往往对产品按安全功能的强弱高度进行了分级，有的产品分为五级（如安全数据库），有的产品分为三级（如防火墙）。我们知道，信息安全等级保护制度是对信息系统进行分级保护的，分为一至五级。既然“信息安全产品”来源于《信息安全等级保护管理办法》，那么信息安全产品的分级与等级保护的分级有什么关系呢？应该说，起码在设计/起草信息安全产品技术要求标准时，特别对于产品分五级的情况，在提出某一级的要求时，一般是对照了等级保护对相应等级信息系统要求的指标，该等级的信息安全产品应该能满足相同等级信息系统对相应安全功能的要求。但是，等级保护制度对信息系统安全评估通常把整个系统看成一个整体来判断，并不一定某个信息安全产品达到相同等级才能满足信息系统的安全要求，实际上可以用不同的措施来整体上达到等级保护对整个系统的安全要求。不管怎样，一些信息系统等级保护的规定和标准还是有信息安全产品的等级与信息系统的等级保护等级相对应的要求，如：

《关于信息安全等级保护工作的实施意见》（2004年）：“国家对信息安全产品的使用实行分等级管理”，“采购和使用相应等级的信息安全产品”。

《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006）：“安全产品使用要求……信息系统使用的信息安全产品应按照相应的安全保护等级的要求选择相应等级的产品。”

《信息安全技术 信息系统安全工程管理要求》（GB/T 20282-2006 ）：“信息安全产品要求：信息安全产品应具有在国内生产、经营、销售的许可证，并符合相应的等级。”

除了由公安部门颁发销售许可证的制度外，咱们国家还有另一个“信息安全产品”检测认证制度，称为强制性认证，俗称CCCi：

《关于建立国家信息安全产品认证认可体系的通知》（2004年）和《关于部分信息安全产品实施强制性认证的公告》（2008）对信息安全产品提出要求，并列出了“第一批信息安全产品强制性认证目录”，将信息安全产品分为8大类13种（与《信息安全技术 信息安全产品类别与代码》标准中的分类部分重合），规定“凡列入本强制性认证目录内的信息安全产品，未获得强制性产品认证证书和未加施中国强制性认证标志的，不得出厂、销售、进口或在其他经营活动中使用。”目前，信息安全产品强制性认证制度主要用于政府采购，由“中国信息安全认证中心”(ISCCC)实施检测认证。

2016年11月发布的《网络安全法》没有提到“信息安全产品”，但有了新的说法：

《网络安全法》第二十三条  网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

这里用的是“网络安全专用产品”，实行的也是市场准入制度，即必须通过检测认证后（估计还是“销售许可证”）才准予在市场上销售。一般理解，“网络安全专用产品”将要取代“信息安全产品”，就像“网络安全等级保护”已经取代“信息安全等级保护”一样，并且很有可能公安部门进行的信息安全产品检测认证与中国信息安全认证中心进行的信息安全产品检测认证将统一为网络安全专用产品的检测认证（《网络安全法》：“推动安全认证和安全检测结果互认，避免重复认证、检测”）。目前，全国信息安全标准化技术委员会正在安排对国家标准《信息安全技术 信息安全产品类别与代码》（GB/T 25066-2010）的修订工作，尚不清楚由网信办会同国务院有关部门正在制定的“网络安全专用产品目录”与该标准是什么关系；从技术角度看，两者所定义的网络安全专用产品应该是一致的，理论上应该统一。

值得特别关注的是，《网络安全法》第二十三条新规定了“网络关键设备”，并且监管措施上完全等同于网络安全专用产品。“网络关键设备”中的“网络”是传统意义上的网络（networking），包含如交换机和路由器等，还是《网络安全法》定义的“网络”（cyber）那样也包括传统意义的“信息设备”如服务器和存储设备等？从法律意义上讲，可能是后者。再者，按网络安全专用产品/信息安全的监管制度，每一种网络关键设备都应该制订相应的安全技术要求标准和对应的检测标准，可能还需要制订网络关键设备的分类标准（需厘清其与“网络关键设备目录”的关系），当然还有配套的检测、认证和销售许可证流程等。

这些未确定事项对于政府部门、检测认证机构、提供产品的厂商以及广大的用户都至关重要，希望“国家网信部门会同国务院有关部门”统筹考虑，制定合理可行的统一监管方案。