网络关键设备和网络安全专用产品安全认证实施规则(编号:CNCA-CCIS-2018)
安全路由器强制认证实施规则.doc
文件编码:ISCCC-SV-003:2014信息系统安全集成服务资质认证实施规则2014-07-03发布2014-08-01实施中国信息安全认证中心发布目录1.适用范围 (3)2.规范性引用文件 (3)3.术语与定义 (3)3.1.信息系统集成 (3)3.2.信息系统安全集成服务 (3)4.安全集成资质认证要求 (3)4.1.总则 (3)4.2.资信要求 (3)4.2.1.三级资信要求 (3)4.2.1.1.法律地位要求 (3)4.2.1.2.财务资信要求 (4)4.2.1.3.办公场所要求 (4)4.2.1.4.人员素质要求 (4)4.2.1.5.人员资质要求 (4)4.2.1.6.业绩要求 (4)4.2.1.7.服务管理要求 (4)4.2.2.二级资信要求 (4)4.2.2.1.法律地位要求 (4)4.2.2.2.财务资信要求 (4)4.2.2.3.办公场所要求 (4)4.2.2.4.人员素质要求 (5)4.2.2.5.人员资质要求 (5)4.2.2.6.业绩要求 (5)4.2.2.7.服务管理要求 (5)4.2.3.一级资信要求 (5)4.2.3.1.申请条件 (5)4.2.3.2.法律地位要求 (5)4.2.3.3.财务资信要求 (5)4.2.3.4.办公场所要求 (5)4.2.3.5.人员素质要求 (5)4.2.3.6.人员资质要求 (6)4.2.3.7.业绩要求 (6)4.2.3.8.服务管理要求 (6)4.3.能力要求 (6)4.3.1.总则 (6)4.3.2.三级能力要求 (6)4.3.2.1.集成准备阶段 (6)4.3.2.2.方案设计阶段 (7)4.3.2.3.建设实施阶段 (7)4.3.2.4.安全保障阶段 (7)4.3.3.二级能力要求 (7)4.3.3.1.集成准备阶段 (7)4.3.3.2.方案设计阶段 (7)4.3.3.3.建设实施阶段 (8)4.3.3.4.安全保障阶段 (8)4.3.4.一级能力要求 (8)4.3.4.1.集成准备阶段 (8)4.3.4.2.方案设计阶段 (8)4.3.4.3.建设实施阶段 (8)4.3.4.4.安全保障阶段 (9)5.安全集成资质认证程序 (9)5.1.申请 (9)5.2.文档审核 (9)5.3.现场审核 (9)5.4.认证决定 (10)5.5.证后监督 (10)5.5.1.证后监督频次和方式 (10)5.5.2.证后监督内容 (10)5.5.3.证后监督结论 (10)5.5.4.信息通报 (10)5.6.认证周期 (11)5.7.认证证书管理 (11)5.7.1.证书有效期 (11)5.7.2.暂停认证证书 (11)5.7.3.撤销认证证书 (11)5.7.4.注销认证证书 (11)5.7.5.证书变更 (11)6.参考文献 (12)1.适用范围信息系统安全集成服务资质认证是依据国家认证认可法律法规、相关技术标准和规范,对信息系统安全集成服务提供者的资质进行评价的合格评定活动。
网络关键设备和网络安全专用产品安全认证实施规则(编号:CNCA-CCIS-2018)
编号:CNCA-CCIS-2018网络关键设备和网络安全专用产品安全认证实施规则国家认证认可监督管理委员会发布目录1. 适用范围 (4)2. 认证模式 (4)3.认证的基本环节 (4)3.1认证申请及受理 (4)3.2文档审核 (4)3.3型式试验委托及实施 (4)3.4工厂检查 (4)3.5认证结果评价与批准 (4)3.6获证后监督 (4)4.认证实施 (4)4.1认证流程 (4)4.2认证申请及受理 (5)4.3文档审核 (7)4.4型式试验委托及实施 (7)4.5工厂检查 (8)4.6认证结果评价与批准 (9)4.7获证后监督 (9)5.认证时限 (10)6.认证证书 (11)6.1证书的有效性 (11)6.2认证证书的变更 (11)6.3认证证书覆盖产品的扩展 (11)6.4认证证书的暂停、注销和撤销 (12)7.认证标志的使用 (12)7.1认证标志的样式 (12)7.2认证标志的使用 (12)7.3加施方式 (12)7.4标志位置 (13)附件1: (14)附件2: (16)附件3: (17)1.适用范围本规则依据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》制定,规定了开展网络关键设备和网络安全专用产品安全认证的基本原则和要求。
本规则适用的网络关键设备和网络安全专用产品,应符合《国家互联网信息办公室、工业和信息化部、公安部、国家认监委关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》(联合公告2017年第1号)中相应的范围要求描述(详见附件1)。
安全认证用标准依据有关主管部门的要求执行。
2.认证模式型式试验+ 工厂检查+ 获证后监督3.认证的基本环节3.1认证申请及受理3.2文档审核3.3型式试验委托及实施3.4工厂检查3.5认证结果评价与批准3.6获证后监督4.认证实施4.1认证流程— 4 —认证委托人向认证机构申请认证,认证机构在接收到认证委托人的认证申请后,审查申请资料,确认合格后向认证委托人选择的实验室安排检测任务,并通知认证委托人根据要求抽样检测。
网络关键设备和网络安全专用产品认证申请书(编号:CCRC-QOT-0356-B-1 )
申请编号:网络关键设备和网络安全专用产品安全认证申请书产品名称:型号:若产品为纯软件此处为:“/”版本号:申请级别:申请方名称(盖章):申请日期:中国网络安全审查技术与认证中心制目录申请须知 (1)1.申请方 (2)2.制造商 (2)3.生产厂 (2)4.申请认证的产品信息 (3)5.检测实验室的选择 (3)6.申请认证需要提交的资料 (3)申请方声明 (5)附件1 (7)附件2 (8)附件3 (9)附件4 (10)附件5 (11)附件6 (12)申请须知1、本申请书适用于网络关键设备和网络安全专用产品安全认证。
2、我中心及相关检测实验室不承担由于产品设计缺陷导致的型式试验样品损坏(非人为物理损坏)的责任。
3、产品获得认证证书仅表明产品符合特定标准的要求。
4、申请方应对产品中所涉及的知识产权/专利负责,我中心不承担此类鉴别责任。
5、申请方在填写申请书的时候,不能对申请书现有文字进行任何修改。
6、申请方提交纸版资料1份,电子版1份。
1.申请方申请方名称(中文):申请方名称(英文):注册地址(中文):省市区(县)注册地址(英文):法人代表:联系人:电话(含区号):手机:传真: E-mail:邮编:组织机构代码(统一社会信用代码):组织性质:□ 01政府机关□ 02事业单位□ 03社会团体□ 04企业组织□ 0401有限责任公司□ 0402股份有限公司□ 0403股份合作制企业□ 0404全民所有制企业□0405集体所有制企业□ 0406合伙企业□ 0407个人独资企业□ 05其他组织组织注册资金:万元(币种:)组织员工人数:与该产品相关人数:进口商(境外企业填写):申请方属性:□生产开发者□产品用户□第三方2.制造商(若与申请方不同,则填写该项)制造商名称(中文):制造商名称(英文):地址(中文):省市区(县)地址(英文):联系人:电话(含区号):手机:传真: E-mail:邮编:3.生产厂(若与申请方不同,则填写该项)生产厂名称(中文):生产厂名称(英文):地址(中文):省市区(县)地址(英文):联系人:电话(含区号):手机:传真: E-mail:邮编:4.申请认证的产品信息产品名称(中文):产品名称(英文):型号:版本号:申请认证级别:使用商标:设计开发依据的标准:其他需要说明的情况:如:防火墙如需测试高性能或IPV6在此处说明;如无其他说明此项填写“无”。
网络安全技术标准与认证
网络安全技术标准与认证网络安全已经成为当前社会发展中的重要议题之一,随着互联网的快速发展和普及,各类网络攻击和安全威胁也日益增多。
为了提高网络安全水平、保障网络信息安全,各国纷纷制定了相应的网络安全技术标准和认证机制。
本文将介绍网络安全技术标准与认证的概念、作用以及国际上主流的网络安全技术标准与认证体系。
一、概念和作用网络安全技术标准是指对网络安全相关技术的规范、方法和要求进行系统性的总结和归纳,以便于网络安全工作者在实践中遵循和应用。
网络安全技术认证是指对企业或个人的网络安全技术水平进行评估和认证,以便于用户在选择合作伙伴时有一个可靠的参考。
网络安全技术标准和认证的作用主要有以下几个方面:1. 提供统一的技术规范:网络安全技术标准的制定可以提供统一的技术规范,使得网络安全技术工作者在实践中有一个共同的基础。
这有助于确保网络系统在设计、部署和维护过程中能够满足一定的安全性要求。
2. 保障网络信息安全:网络安全技术标准和认证的实施能够提高网络系统和网络设备的安全性,减少网络攻击和安全威胁的发生。
这有助于保护网络用户的隐私和敏感信息,维护网络的稳定运行。
3. 提升网络安全技术水平:网络安全技术认证能够评估和认证企业或个人的安全技术能力,这有利于提升网络安全从业人员的专业水平,促进网络安全行业的发展和成熟。
4. 促进国际间的技术交流与合作:各国制定和实施网络安全技术标准和认证,可以为国际间的技术交流和合作提供一个共同的基础。
这有助于促进各国之间在网络安全领域的合作与共享,增强国际间的网络安全能力。
二、国际网络安全技术标准与认证体系目前,国际上有许多知名的网络安全技术标准和认证体系,其中包括ISO 27000系列标准、CC认证、CMMI认证等。
ISO 27000系列标准是目前国际上最为广泛应用的网络安全技术标准体系。
这个标准系列主要包括ISO 27001信息安全管理体系和ISO 27002信息安全管理实施指南,它们提供了一套完整的信息安全管理框架和最佳实践,被广泛应用于各类组织和企业。
网络关键设备和网络安全专用产品目录(第一批)
满检速率≥15Gbps
最大并发连接数≥500万
9.入侵防御系统(IPS)
满检速率≥20Gbps
最大并发连接数≥500万
10.安全隔离与信息交换产品(网闸)
吞吐量≥1Gbps
系统延时≤5ms
11.反垃圾邮件产品
连接处理速率(连接/秒)>100
平均延迟时间<100ms
12.网络综合审计系统
网络关键设备和网络安全专用产品目录(第一批)
设备或产品类别
范围
网络关键设备
1.路由器
整系统吞吐量(双向)≥12Tbps
整系统路由表容量≥55万条
2.交换机
整系统吞吐量(双向)≥30Tbps
整系统包转发率≥10Gpps
3.服务器(机架式)
CPU数量≥8个
单CPU内核数≥14个
内存容量≥256GB
4.可编程逻辑控制器(PLC设备)
抓包速度≥5Gbps
记录事件能力≥5万条/秒
13.网络脆弱性扫描产品
最大并行扫描IP数量≥60个
14.安全数据库系统
TPC-E tpsE(每秒可交易数量)≥4500个
15.网站恢复产品级
控制器指令执行时间≤0.08微秒
网络安全
专用产品
5.数据备份一体机
备份容量≥20T
备份速度≥60MB/s
备份时间间隔≤1小时
6.防火墙(硬件)
整机吞吐量≥80Gbps
最大并发连接数≥300万
每秒新建连接数≥25万
7.WEB应用防火墙(WAF)
整机应用吞吐量≥6Gbps
最大HTTP并发连接数≥200万
网络安全产品认证
网络安全产品认证
网络安全产品认证是指通过一系列测试和评估,对网络安全产品的安全性能和功能进行验证和认可的过程。
这些认证通常由独立的第三方机构进行,旨在保证网络安全产品的可靠性和高质量。
网络安全产品认证的主要目的是为用户提供准确、可靠的信息,帮助用户选择适合自己需求的网络安全产品。
通过认证,用户可以更有信心地使用网络安全产品,降低系统遭受网络攻击、数据泄露等风险的可能性。
网络安全产品认证通常包括以下几个方面的测试和评估:
1. 安全性能测试:对网络安全产品的各个安全功能进行测试,包括防火墙、入侵检测系统、恶意代码检测等。
通过模拟真实的攻击场景,评估产品的抵御能力和响应速度。
2. 关键功能验证:验证网络安全产品的关键功能是否符合规范和标准要求。
例如,是否支持数据加密、访问控制、身份认证等。
3. 兼容性测试:测试网络安全产品与其他软件和硬件的兼容性,确保其能够正常运行并有效保护用户的系统和数据。
4. 综合评估:对网络安全产品进行全面的评估,包括性能、功能、易用性等方面的考量。
评估结果将作为用户选择网络安全产品的重要参考依据。
网络安全产品认证不仅有利于用户选择合适的产品,也对网络安全行业的发展起到推动作用。
认证过程的严格性和独立性,可以促使网络安全产品提升品质和竞争力,推动行业技术水平的提高。
在选择网络安全产品时,用户应该关注产品是否获得了可信的认证,并结合自身需求和实际情况进行评估。
同时,随着技术的不断发展和威胁的不断变化,网络安全产品也需要不断进行更新和改进,以应对新的安全挑战。
《网络关键设备和网络安全专用产品安全认证实施规则》公布
26 / 2018.07
urrent Affairs
网际时政
C
《网络关键设备和网络安全专用产品安全认证实施规则》公布
络安全工作在建章立制、防护体系、安全防护、态势感知等方面取得的丰硕成果。
同时举办“互联网+”智慧能源、网络安全自主可控技术、关键信息
安全测评中心总工程师王军等出席并致辞,中国工程院院士倪光南等5位专家作主题演讲。
近日,国家认监委发布《网络关键设备和网络安全专用产品安全认证实施规则》,并于发布之日起实施。
《规则》要求,目录内产品生产企业选择安全认证方式的,应向经确认的认证机构提出安全认证申请,认证机构依据《网络关键设备和网络安全专用产品安全认证实施规则》(由已获得经确认的认证机构颁发的产品认证证书且在有效期内的,相关生产企业可直接向该机构申请换发安全认证证书。
认证机构将认证结果(含本公告发布之前已经本机构安全认证合格、且在有效期内的设备与产品)依照相关规定报国家认证认可监督管理委员会。
发布方式按照2017年第1《工业和信息化蓝皮书(2017-2018)》。
发布会上,国家工业信息安
全发展研究中心主任尹丽波以“共享数字经济发展生态体系正加速完善。
四、合作升级:数字丝绸之路成为“一带一路”合作新方向,我信息技术企业国际化发展迎来新契机。
五、安全加强:全球工业信息安全风险呈现增势,我国工业信息安全保障体。
网络关键设备和网络安全专用产品安全认证简述
全认证体系建立的情况,介绍了认证模式、采用标准及认证实施的现状,阐述了该项认证制度在我国网络安全保障体系中的重
要作用。
关键词: 网络安全; 产品认证; Hale Waihona Puke 全认证中图分类号: TP309
文献标识码: A
DOI: 10. 19358 / j. issn. 2096-5133. 2019. 03. 004
2017 年 6 月 1 日,国家网信办、工业和信息化部、公 安部、国家认监委联合发布了《关于发布 < 网络关键设 备和网络安全专用产品目录( 第一批) > 的公告》( 2017 年第 1 号,以下简称“1 号公告”) ,路由器、交换机等 4 类 网络关键设备,以及数据备份一体机、防火墙( 硬件) 等 11 类网络安全专用产品列入目录。1 号公告目录中对网
网络关键设备和网络安全专用产品安全认证简述*
刘思蓉,申永波,崔 颖
( 中国网络安全审查技术与认证中心,北京 100020)
摘 要: 网络关键设备和网络安全专用产品安全认证是依据《中华人民共和国网络安全法》,为提升国家网络安全保障能力而实
施的一项认证制度。本文从认证体系的产品目录、实施机构、实施要求等方面系统梳理了网络关键设备和网络安全专用产品安
0 引言 网络关键设备和网络安全专用产品安全认证是我
安全路由器产品强制性认证实施规则
编号:CNCA-11C-078:2009信息安全产品强制性认证实施规则安全路由器产品2009-04-27发布 2009-05-01实施 中国国家认证认可监督管理委员会发布目 录1.适用范围 (1)2.认证模式 (1)3.认证的基本环节 (1)3.1认证申请及受理 (1)3.2型式试验委托及实施 (1)3.3初始工厂检查 (1)3.4认证结果评价与批准 (1)3.5获证后监督 (1)4.认证实施 (1)4.1认证程序 (1)4.2认证申请及受理 (2)4.3型式试验委托及实施 (3)4.4初始工厂检查 (4)4.5认证结果评价与批准 (5)4.6获证后监督 (5)5.认证证书 (7)5.1认证证书的保持 (7)5.2认证证书覆盖产品的扩展 (7)5.3认证证书的暂停、注销和撤消 (8)6.强制性产品认证标志的使用 (8)6.1准许使用的标志样式 (8)6.2变形认证标志的使用 (8)6.3加施方式 (8)6.4标志位置 (8)7.收费 (9)附件1: (10)附件2: (11)附件3: (13)附件4: (14)附件5: (15)1.适用范围本规则所指的安全路由器是指为保障所传输数据完整性、机密性、可用性,应用于重要信息系统的,具备IKE密钥协商能力,端口IPSec硬件线速加密能力的路由器。
本规则适用的产品范围为:具备IKE密钥协商能力,端口IPSec硬件线速加密能力的,集成了IPSec/SSL,以及防火墙、入侵检测、安全审计等一种或多种安全模块的路由器,仅接入公用电信网的路由器除外。
拟用于涉密信息系统的上述产品,按照国家有关保密规定和标准执行,不适用本规则。
2.认证模式型式试验 + 初始工厂检查 + 获证后监督3.认证的基本环节3.1认证申请及受理3.2型式试验委托及实施3.3初始工厂检查3.4认证结果评价与批准3.5获证后监督4.认证实施4.1认证程序申请方可选择集中受理或分段受理两种方式中任意一种进行认证证书申请,两种方式下获得的证书是等效的。
第二版医疗器械网络安全指导原则内容2021
21
94
网络安全描述文档调整
• 将网络安全描述文档更名为自研软件网络安全研究报告 • 内容参照第二版软件指导原则,分为基本信息、实现过程、漏洞评估、结论四
部分,并基于软件安全性级别区别要求 • 补充数据架构、网络安全能力、网络安全补丁、需求规范、网络安全事件应急
响应、远程维护、漏洞评估等要求 • 强化可追溯性分析要求 • 将现成软件要求调至现成软件网络安全研究资料 • 增加结论,体现企业主体责任
• 基本考量
– 计划与准备、探测与报告、评估与决策、应急响应实施、总结与改进 – 根据严重程度、紧迫程度、广泛程度等因素进行分类分级管理 – 建立网络安全事件应急响应团队,根据工作职能形成管理、规划、监测、响
应、实施、分析等工作小组,必要时成立专家小组
器审中心版权所有,未经许可不得使用
13
86
漏洞扫描
– 现成软件 – 医疗数据出境 – 远程维护 – 遗留设备
• 医疗器械网络安全研究资料 • 注册申报资料补充说明 • 编写单位 • 参考文献
器审中心版权所有,未经许可不得使用
3
76
两版主要差异
• 内容更为全面
– 网络安全事件应急响应 – 网络安全可追溯分析 – 远程维护 – 医疗数据出境 – 遗留设备 – 漏洞评估 – 重大网络安全更新判定原则
11
84
网络安全可追溯分析
• 定位
– 软件可追溯性分析的重要组成部分
• 基本考量
– 追溯网络安全需求、网络安全设计、源代码、网络安全测试、网络安全风险 管理的关系
– 不再要求追溯网络安全能力
器审中心版权所有,未经许可不得使用
12
85
网络安全事件应急响应
cisco网络安全认证
cisco网络安全认证Cisco网络安全认证(Cisco Certified Network Associate Security,简称CCNA Security)是由思科官方提供的网络安全认证。
该认证是针对拥有一定的网络知识和技能的网络工程师、网络管理员和网络技术支持人员设计的,旨在通过培养掌握网络安全基本概念、了解安全技术和解决方案的专业人才,提高网络安全防护能力。
CCNA Security认证的主要内容包括网络安全原则、安全威胁和防范措施、安全设备和技术、安全策略和管理等方面的知识。
认证的核心内容包括:1. 网络安全基础知识:了解网络安全的基本概念、原则和方法,包括网络攻击类型、安全威胁、攻击检测与防御等。
2. 安全设备和技术:掌握常用的网络安全设备和技术,如防火墙、入侵检测系统(IDS)、防病毒软件和虚拟专用网络(VPN)等。
3. 安全策略和管理:学习制定和实施有效的安全策略,包括安全策略制定、安全策略的执行和管理、安全事件和风险管理等。
CCNA Security认证考试采用单项选择题和实验题相结合的形式,考察考生在实际应用中对安全技术的理解和应用能力。
除了通过考试,考生还需要参加实验室实践,验证和应用所学的知识和技能。
获得CCNA Security认证后,考生能够独立进行网络安全的评估和保护工作,具备构建安全网络的能力,能够掌握安全配置、安全策略和安全管理等技能,提高网络的安全性,保护网络免受各种网络攻击。
总结起来,CCNA Security认证是一种权威的网络安全认证,对于网络工程师、网络管理员和网络技术支持人员来说,具有重要的意义。
除了拥有CCNA Security认证,还可以进一步深入学习和研究网络安全领域的知识,从事网络安全相关的工作,为企业和组织提供更加安全可靠的网络环境。
《电信设备类强制性认证实施规则》(电信终端设备)
编号:CNCA—08C—031:2001 电信设备类强制性认证实施规则电信终端设备2001-12-07发布 2002-05-01实施中国国家认证认可监督管理委员会发布目录1.适用范围 (3)2.认证模式 (3)3.认证的基本环节 (3)3.1认证的申请 (3)3.2型式试验 (3)3.3初始工厂审查 (3)3.4认证结果评价与批准 (3)3.5获证后的监督 (3)4.认证实施 (3)4.1认证申请 (3)4.2型式试验 (4)4.3初始工厂审查 (8)4.4认证结果评价与批准 (10)4.5获证后的监督 (10)5.认证证书 (12)5.1认证证书的保持 (12)5.2认证证书覆盖产品的扩展 (13)5.3认证证书的暂停、注销和撤消 (13)6.认证标志使用的规定 (13)7.收费 (13)附件1 (14)附件2 (16)附件3 (17)附件4 (18)附件5 (19)电信设备类强制性认证实施规则电信终端设备1.适用范围本实施规则适用于电信终端设备的强制性认证。
电信终端设备是指连接在公用电信网末端,为用户提供发送和接收信息功能的电信设备。
本实施细则中的电信终端设备包括:固定电话终端、无绳电话终端、集团电话、传真机、调制解调器(含卡)、移动用户终端、ISDN 终端、数据终端(含卡)、多媒体终端设备。
2.认证模式型式试验 + 初始工厂审查 + 获证后监督3.认证的基本环节3.1认证的申请3.2型式试验3.3初始工厂审查3.4认证结果评价与批准3.5获证后的监督4.认证实施4.1认证申请4.1.1申请单元划分4.1.1.1 原则上按产品型号申请认证。
同一制造商、同一型号但生产厂不同的产品应分为不同的申请单元,但型式试验仅在一个工厂的样品上进行。
4.1.1.2 产品的电气结构、产品的安全件和对产品电磁兼容性能有重要影响的零部件(附件3中带*号的零部件)相同的可作为一个单元申请认证。
认证时具体产品申请单元划分说明见附件1。
网络智能家用电器信息技术安全认证实施规则说明书
自愿性产品认证实施规则编号:CHCT-02-109-2021网络智能家用电器信息技术安全认证实施规则Information Technique SecurityCertification Rules for Smart Household Appliances with NetworkFunction2021年10月26日发布 2021年10月26日实施中家院(北京)检测认证有限公司前言本规则由中家院(北京)检测认证有限公司(以下简称:认证中心)发布,版权归认证中心所有,任何组织及个人未经认证中心许可,不得以任何形式全部或部分使用。
制定单位:中家院(北京)检测认证有限公司参与起草单位:中国家用电器研究院中国家用电器检测所主要起草人:冯长卿、焦利敏、胡亚欣、尚洁、穆婕目录1.适用范围 (1)2.认证模式、获证条件 (1)3.认证的基本环节 (1)4.认证实施的基本要求 (1)4.1认证申请 (1)4.2型式试验 (2)4.3认证结果评价与批准 (4)4.4获证后的监督 (4)5. 认证证书 (6)5.1认证证书的有效性 (6)5.2认证变更 (6)5.3认证扩展 (6)5.4认证证书的暂停、注销和撤销 (7)6. 认证标志的使用 (7)6.1 准许使用的标志样式 (7)6.2认证标志的加施 (7)7.收费 (8)附件1:智能家电信息安全保障等级附件2: 关键零部件清单附件3:型式试验费用网络智能家用电器信息技术安全认证实施规则1.适用范围本规则适用于具备网络功能的智能家用电器(简称网络智能家电)的信息技术安全认证,且具备网络功能的智能家用电器须取得国家强制性产品认证证书或者其他国家市场准入资格。
2.认证模式、获证条件认证模式:型式试验+获证后监督。
获证条件:a. 须取得国家强制性产品认证证书或者其他国家市场准入资格;b. 产品符合本规则规定的相关要求。
3.认证的基本环节包括:a. 认证的申请b. 型式试验c. 认证结果评价与批准d. 获证后的监督获证后监督是指获证后的跟踪检查、生产现场抽取样品检测或者检查、市场抽样检测或者检查三种方式之一或组合。
(完整word版)移动互联网应用程序(App)安全认证实施规则最终版2019-03-13发布
市场监管总局中央网信办关于开展App安全认证工作的公告为规范移动互联网应用程序(以下称App)收集、使用用户信息特别是个人信息的行为,加强个人信息安全保护,根据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》,市场监管总局、中央网信办决定开展App安全认证工作。
现将有关事项公告如下:一、App安全认证活动依据《移动互联网应用程序(App)安全认证实施规则》(见附件)开展。
二、从事App安全认证的认证机构为中国网络安全审查技术与认证中心,检测机构由认证机构根据认证业务需要和技术能力确定。
三、认证机构和检测机构应按有关规定,客观、公正地开展认证和检测活动,并对认证和检测结果负责。
四、国家鼓励App运营者自愿通过App安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App附件编号:CNCA-App-001移动互联网应用程序(App)安全认证实施规则2019-03-13发布2019-03-15实施国家认证认可监督管理委员会发布目录1适用范围 (1)2认证依据 (1)3认证模式 (1)4认证程序 (1)4.1认证申请 (1)4.2 认证受理 (1)4.3 技术验证 (2)4.4 现场审核 (2)4.5 认证决定 (2)4.6 对认证决定的申诉 (2)4.7 获证后监督 (3)5认证时限 (4)6认证证书 (4)6.1证书的保持 (4)6.2证书的变更 (4)6.3认证的暂停、撤销和注销 (4)7认证证书和认证标志的使用和管理 (5)7.1认证证书的使用 (5)7.2认证标志及其使用 (5)8认证责任 (6)1适用范围本规则适用于对移动互联网应用程序(以下称“App”)的数据安全认证。
2认证依据App安全认证的认证依据为 GB/T 35273《信息安全技术个人信息安全规范》及相关标准、规范。
上述标准原则上应执行国家标准化行政主管部门发布的最新版本。
3认证模式App安全认证的认证模式为:技术验证+现场核查+获证后监督。
国家网络安全用品标准
国家网络安全用品标准国家网络安全用品标准近年来,随着互联网的普及与发展,网络安全问题日益凸显。
为了保障国家网络安全,维护用户的合法权益,国家需要制定一系列网络安全用品标准,以规范网络安全产品的生产、销售和使用。
首先,网络安全用品标准应包括网络安全设备和网络安全软件两个方面。
针对网络安全设备,标准应明确要求设备的安全性能和功能,确保其能够有效防护网络安全威胁。
标准应规定设备需要具备防火墙、入侵检测系统、反病毒软件等功能,以及支持最新的网络安全协议和加密算法。
此外,标准还应要求设备具备远程管理和监控功能,以方便系统管理员对设备进行及时管理和维护。
对于网络安全软件,标准应明确要求软件的安全性能和功能,确保其能够有效检测和清除各类网络安全威胁。
标准应规定软件需要具备实时监测、自动拦截和病毒防护等功能,以及支持最新的恶意代码库和黑名单更新。
此外,标准还应要求软件具备用户身份验证和权限管理功能,以确保只有授权用户才能使用软件进行网络操作。
其次,网络安全用品标准应规范网络安全用品的生产和销售环节。
标准应要求生产企业建立和落实质量管理体系,包括原材料采购、产品设计、生产加工、成品检测等环节。
生产企业应将产品质量作为企业的首要任务,保证产品符合标准要求。
标准还应规定销售企业应将网络安全用品的生产和销售信息报备给相关部门,以便监督和管理。
最后,网络安全用品标准应规范用户使用网络安全用品的行为。
标准应提醒用户合法使用网络安全用品,不得利用网络安全用品进行非法活动。
标准应要求用户定期更新网络安全用品的软件版本和病毒库,以确保网络安全用品能够及时应对新的安全威胁。
标准还应规定用户需妥善保管网络安全用品的密码和许可证等重要信息,防止被他人盗取并进行非法操作。
综上所述,国家网络安全用品标准是确保网络安全用品质量和合法使用的重要保障。
标准应规范网络安全设备和软件的性能和功能,规范生产企业的质量管理体系,规范销售企业的经营行为,规范用户的使用行为。
网络安全 国标
网络安全国标网络安全指的是通过技术手段保障网络系统和数据的安全性。
随着互联网的快速发展,网络安全问题日益突出,非常重要。
为了加强国家网络安全管理,我国制定了一系列网络安全国家标准,下面将介绍其中几个国标。
国标《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2008),规定了对网络安全等级保护的基本要求。
根据不同的网络应用,将网络划分为不同的安全等级,通过确定的安全保护等级,采取相应的安全防护措施,提高网络系统的安全性。
国标《信息安全技术网络攻击分类》(GB/T 28258-2012),通过对网络攻击进行分类,有助于了解各种网络攻击的特点和威胁方式,为网络安全防护提供重要的参考依据。
该国标定义了18种常见的网络攻击类型,并指导相关的安全防范工作。
国标《信息安全技术网络安全等级防护技术要求》(GB/T 22239-2019),对不同安全等级的网络系统提出了具体的安全防护技术要求。
该国标根据不同的网络等级,对网络设备、网络通信、网络管理等方面的安全措施提出了要求,帮助网络系统管理者合理选择和配置安全防护措施。
国标《信息安全技术个人信息安全规范》(GB/T 35273-2020),主要规定了个人信息收集、储存、使用、传输和销毁过程中的安全管理要求。
个人信息是网络时代重要的资产,保护个人信息安全,不仅是用户的权益,也是网络系统管理者的责任。
该国标指导个人信息的安全管理,并对个人信息泄露、滥用等行为提出了相应的防范要求。
网络安全国标的实施,对于网络系统和数据的安全保护起到了重要的作用。
通过遵守相关的国家标准,可以制定科学合理的网络安全策略,提高网络系统的整体安全性。
然而,网络安全问题是长期而复杂的任务,仅仅依靠国标还远远不够。
需要企业和个人进一步加强网络安全意识,加强技术防护措施,不断提升网络安全能力,共同构建和谐稳定的网络环境。
网络安全标准与合规性认证指南
网络安全标准与合规性认证指南随着互联网的快速发展和普及,网络安全问题日益凸显。
网络攻击、数据泄露、信息窃取等事件频繁发生,给个人和企业带来了巨大的损失。
为了保护网络安全,各国纷纷制定了网络安全标准,并提出了合规性认证要求。
本文将介绍网络安全标准的概念、重要性以及合规性认证的意义和方法。
一、网络安全标准的概念和重要性网络安全标准是指为保护网络系统和数据安全而制定的一系列规范和准则。
它包括了网络系统的硬件、软件、网络通信等方面的安全要求,旨在确保网络的机密性、完整性和可用性。
网络安全标准的重要性不言而喻。
首先,网络安全标准可以帮助组织和企业建立健全的网络安全管理体系,明确安全责任和权限,提高网络安全意识。
其次,网络安全标准可以规范网络系统的设计、开发和运维,提供技术指导和参考,降低网络安全风险。
最后,网络安全标准可以为企业和组织提供合规性认证的基础,增加信任度,提升竞争力。
二、合规性认证的意义和方法合规性认证是指企业或组织按照网络安全标准的要求进行自查、评估和审核,以验证其网络安全措施是否符合标准的规定。
通过合规性认证,企业和组织可以证明其网络安全措施的有效性和合法性,增强对外界的信任。
合规性认证的意义在于提供了一个客观、权威的评估标准,帮助企业和组织发现和解决网络安全问题,提高网络安全水平。
同时,合规性认证也是一种自我保护的手段,可以降低企业和组织在网络安全事件中的法律和经济风险。
合规性认证的方法主要包括自查、评估和审核三个步骤。
首先,企业或组织需要对自身的网络安全措施进行自查,了解自己的网络安全状况,发现潜在的问题。
其次,根据网络安全标准的要求,进行网络安全评估,评估其网络安全措施的有效性和合规性。
最后,由第三方机构进行审核,验证企业或组织的网络安全措施是否符合标准的要求,给予认证结果。
三、常见的网络安全标准和合规性认证在全球范围内,有许多网络安全标准和合规性认证可供企业和组织参考和选择。
下面介绍一些常见的网络安全标准和合规性认证。
2022年职业考证-通信工程师-初级通信工程师考试全真模拟易错、难点剖析AB卷(带答案)试题号:55
【答案】D
【解析】强化关键信息基础设施的运行安全。
第二十一条规定,国家实行网络安全等级保护制度。
第二十二条规定,网络产品、服务应当符合相关国家标准的强制性要求。
第二十三条规定,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
The new 5G system promises more of the same.It is expected to permit more users to do more things -- at a faster rate. Wireless industry groups say 5G will help fuel future "smart cities" by connecting sensor networks. Such networks will be able to control vehicle traffic and quickly identify streetlight outages. 5G is also expected to connect self-driving cars and support new technologies involving virtual reality. Higher 5G speeds could also permit doctors to commonly perform remote medical operations. Factories and businesses could use 5G technology to increase automation and improve the collection of information.]
网络关键设备安全检测实施办法
网络关键设备安全检测实施办法(征求意见稿)第一章总则第一条为加强网络关键设备安全管理,维护网络安全,保护网络运营者和用户的合法权益,根据《中华人民共和国网络安全法》《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会公告2017年第1号,以下简称四部委1号文),制定本办法。
第二条本办法所称网络关键设备是指列入国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会发布的《网络关键设备和网络安全专用产品目录》的网络关键设备。
第三条企业对其生产的网络关键设备选择安全检测方式的,适用本办法。
第四条网络关键设备安全检测遵循独立、公正、科学、诚信的原则。
第五条工业和信息化部负责组织实施网络关键设备安全检测工作。
工业和信息化部网络关键设备安全检测服务窗口(以下简称服务窗口)统一接收网络关键设备安全检测相关材料。
第二章管理流程第六条生产企业选择网络关键设备安全检测的,应在服务窗口进行登记,并提交下列材料:(一)网络关键设备安全检测登记表。
登记表应由生产企业法定代表人或其授权人签字。
境外生产企业应委托中国境内的分支机构或代理机构提交登记表,并出具委托书;(二)生产企业基本信息,包括企业主营业务情况介绍和企业法人营业执照(复印件)。
境内生产企业应提供企业法人营业执照。
受境外生产企业委托的分支机构或代理机构,应提供分支机构或代理机构有效执照;(三)网络关键设备基本信息,包括安全特性(如身份鉴别、访问控制、数据加密、安全审计、冗余备份等)、主要部件信息、设备照片等内容;(四)设备性能参数符合网络关键设备技术指标的声明;(五)企业安全保证能力相关材料,包括质量保证体系证书(复印件),以及生产企业在制度和组织、设计和开发、测试、生产和交付、运行和维护等环节与设备相关的安全保证能力说明材料。
前列材料均应加盖公章,除证书、执照类材料外,其它材料应使用中文。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编号:CNCA-CCIS-2018网络关键设备和网络安全专用产品安全认证实施规则国家认证认可监督管理委员会发布目录1. 适用范围 (4)2. 认证模式 (4)3.认证的基本环节 (4)3.1认证申请及受理 (4)3.2文档审核 (4)3.3型式试验委托及实施 (4)3.4工厂检查 (4)3.5认证结果评价与批准 (4)3.6获证后监督 (4)4.认证实施 (4)4.1认证流程 (4)4.2认证申请及受理 (5)4.3文档审核 (7)4.4型式试验委托及实施 (7)4.5工厂检查 (8)4.6认证结果评价与批准 (9)4.7获证后监督 (9)5.认证时限 (10)6.认证证书 (11)6.1证书的有效性 (11)6.2认证证书的变更 (11)6.3认证证书覆盖产品的扩展 (11)6.4认证证书的暂停、注销和撤销 (12)7.认证标志的使用 (12)7.1认证标志的样式 (12)7.2认证标志的使用 (12)7.3加施方式 (12)7.4标志位置 (13)附件1: (14)附件2: (16)附件3: (17)1.适用范围本规则依据《中华人民共和国网络安全法》《中华人民共和国认证认可条例》制定,规定了开展网络关键设备和网络安全专用产品安全认证的基本原则和要求。
本规则适用的网络关键设备和网络安全专用产品,应符合《国家互联网信息办公室、工业和信息化部、公安部、国家认监委关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》(联合公告2017年第1号)中相应的范围要求描述(详见附件1)。
安全认证用标准依据有关主管部门的要求执行。
2.认证模式型式试验+ 工厂检查+ 获证后监督3.认证的基本环节3.1认证申请及受理3.2文档审核3.3型式试验委托及实施3.4工厂检查3.5认证结果评价与批准3.6获证后监督4.认证实施4.1认证流程— 4 —认证委托人向认证机构申请认证,认证机构在接收到认证委托人的认证申请后,审查申请资料,确认合格后向认证委托人选择的实验室安排检测任务,并通知认证委托人根据要求抽样检测。
实验室依据相关标准和/或技术规范进行检测,并在完成检测后向认证机构提交检测报告。
认证机构对检测报告审查合格后,需要时由认证机构组织进行工厂检查。
认证机构对型式试验、工厂检查结果进行认证决定,并在认证决定评价合格后向认证委托人颁发认证证书。
认证机构组织对获证后的产品进行定期的监督。
4.2认证申请及受理认证委托人向认证机构递交认证申请,并按要求提交相关资料,认证机构对资料进行初审,确定认证委托人提交资料满足要求后,受理该申请。
4.2.1认证的单元划分按产品型号/版本申请认证,若产品的关键件相同的可作为一个单元申请认证,由认证机构根据认证要求对产品关键件做出规定。
以多于一个型号/版本的产品为同一认证单元申请认证时,认证委托人应提交同一认证单元中型号/版本间的差异说明及相关测试报告。
4.2.2申请资料要求— 5 —认证委托人在申请安全认证时,应至少提交以下资料:1)申请基本信息:●认证申请书;●认证委托人声明;●相关法律地位证明材料(复印件);●质量体系方面有关的文件。
2)有关技术指标参数声明及支撑材料(依据附件1“范围”中的内容)。
3)产品相关说明:●中文产品功能说明书和/或使用手册;●认证标准的适用性说明;●产品研制主要技术人员情况表;●产品测试技术人员情况表;●产品测试使用的主要设备表;●中文铭牌和警告标记;●同一认证单元中型号/版本间的差异说明及相关测试报告(如适用);●产品密码检测合格证书(如适用)。
4)安全保障要求方面的文档:●配置管理;●交付与运行;— 6 —●开发;●指导性文档;●测试。
5)安全功能相关说明文件。
6)认证机构要求的其他资料。
4.3文档审核对认证委托人提交的资料和文档,根据相关标准和/或该产品的技术规范进行审核。
4.4型式试验委托及实施4.4.1型式试验抽样4.4.1.1抽样要求由认证机构安排对申请认证的产品按型号/版本进行抽样,样品应在生产企业生产的产品中(包括生产线、仓库、市场)随机抽取。
一般每种产品抽样2套,如有特殊需求可增加样品数量。
认证委托人将样品递送至实验室,并对样品负责。
认证委托人应根据型式试验的要求,提供相应的说明及辅助设备。
4.4.1.2样品及相关资料的处置认证结束后,认证委托人可向实验室申请取回型式试验样品,相关申请资料由认证机构、实验室妥善处置。
— 7 —4.4.2型式试验依据按相应产品有关国家标准的要求执行。
4.4.3型式试验报告的提交型式试验完成后,实验室根据认证机构的要求出具型式试验报告并提交给认证机构。
4.5工厂检查4.5.1审核内容工厂检查的内容为信息安全保障能力、质量保证能力、产品一致性检查。
4.5.1.1信息安全保障能力由认证机构派检查员对制造商、生产企业按照附件2(信息安全保障能力基本要求)实施审核(当认证依据的国家标准涵盖安全保障能力要求时,则按相应国家标准实施)。
4.5.1.2质量保证能力由认证机构派检查员对生产企业按照附件3(质量保证能力基本要求)及认证机构制定的补充检查要求进行检查。
4.5.1.3产品一致性工厂检查时,应在生产现场对申请认证的产品进行一致性检查。
重点检查以下内容:1)认证产品的铭牌、包装上所标明的及运行时所显示的产品名称、型号/版本号与型式试验报告上所标明的内容是否一致;— 8 —2)认证产品所用的软件、硬件应与型式试验合格的样品一致;3)非认证的产品是否违规标贴了认证标识。
4.5.2工厂检查时间由认证机构根据认证实施需要安排工厂检查。
人日数根据所申请认证产品的单元数量确定,并适当考虑制造商、生产企业的规模及产品的安全级别,一般每个场所为2至6个人日。
4.6认证结果评价与批准认证机构负责对型式试验、工厂检查结果等进行综合评价,做出认证决定,通过认证决定的,由认证机构对认证委托人颁发认证证书(每一个认证单元颁发一张认证证书)。
如认证决定过程中发现不符合认证要求项,允许限期(不超过3个月)整改,如期完成整改后,认证机构采取适当方式对整改结果进行确认,重新执行认证决定过程。
4.7获证后监督4.7.1监督的频次监督频次一般为一年一次,当有特别规定时,认证机构可调整监督频次。
必要时,认证机构可采取事先不通知的方式进行监督。
如果发生下述情况之一可增加监督频次:1)获证产品出现严重质量问题时,或者用户提出投诉并经查— 9 —实为证书持有者责任时;2)认证机构有足够理由对获证产品与规定的标准要求的符合性提出质疑时;3)有足够信息表明制造商、生产企业因组织机构、生产条件、质量管理体系等发生变更,从而可能影响产品质量时。
4.7.2监督的内容获证后监督采用工厂检查的方式进行,主要针对信息安全保障能力、认证产品一致性和质量保证能力进行检查。
必要时可以抽取样品送实验室检测,需要进行抽样检测时,按4.4.1.1要求实施抽样。
初次认证申请时的检测项目都可以作为监督时的检测项目,认证机构可根据具体情况进行部分或全部项目的检测。
样品的检测一般由认证机构指定的检测实验室在20个工作日内完成。
4.7.3获证后监督结果的评价监督复查合格后,可以继续保持认证证书、使用认证标志。
对监督复查时发现的不符合项应在3个月内完成纠正措施。
逾期将撤销认证证书、停止使用认证标志,并对外公告。
5.认证时限认证时限是指自申请被正式受理之日起至颁发认证证书时止所实际发生的工作日,一般在90个工作日内。
整改时间不计算在内。
— 10 —6.认证证书6.1证书的有效性证书有效期5年。
在有效期内,通过每年对获证后的产品进行监督确保认证证书的有效性。
6.2认证证书的变更6.2.1变更的申请获证后的产品,如果其制造商、生产企业、证书持有者等发生变化时,应向认证机构提出变更申请。
6.2.2变更申请的评价与批准认证机构根据变更的内容和提供的资料进行文件审核,需要时安排型式试验和/或工厂检查,认证评价通过后予以变更证书。
6.2.3证书的有效期证书在进行变更后,其有效期与原证书一致。
6.3认证证书覆盖产品的扩展6.3.1认证证书覆盖产品扩展申请认证证书持有者需要增加已经获得认证产品的认证范围时,应向认证机构提出扩展申请,并提交扩展产品和原认证产品之间的差异说明。
6.3.2认证证书覆盖产品扩展的评价与批准认证机构应核查扩展产品与原认证产品的一致性,确认原认证结果对扩展产品的有效性,需要时应针对差异做补充型式试验和/或工厂检查,并根据认证证书持有者的要求单独颁发认证证书或换发认证证书。
6.3.3证书的有效期证书在进行扩展后,其有效期与原证书一致。
6.4认证证书的暂停、注销和撤销参照《强制性产品认证证书注销、暂停、撤销实施规则》的要求执行。
在认证证书暂停期间及认证证书注销和撤销后,获证机构不得继续使用证书。
7.认证标志的使用7.1认证标志的样式7.2认证标志的使用认证标志在使用时可以等比例的放大或缩小。
但是,不允许变形或变色。
7.3加施方式可以采用统一印制的标准规格标志、模压、铭牌印刷、软件加施等方式。
7.4标志位置应在产品本体的铭牌附近加施认证标志。
软件产品应在其软件包装/载体上加施认证标志,如该软件产品不使用包装/载体,则应在软件使用的《许可协议》中的显著位置明确该产品已获认证机构认证。
附件1网络关键设备和网络安全专用产品目录附件2信息安全保障能力基本要求附件3质量保证能力基本要求为保证批量生产的认证产品与型式试验样品的一致性,生产企业应满足本文件规定的质量保证能力基本要求。
1.职责和资源1.1职责生产企业应规定与质量活动有关的各类人员职责及相互关系,且生产企业应在组织内指定一名质量负责人,无论该成员在其他方面的职责如何,应具有以下方面的职责和权限:a)负责建立满足本文件要求的质量体系,并确保其实施和保持;b)确保加贴认证标志的产品符合认证标准的要求;c)建立文件化的程序,确保认证标志的妥善保管和使用;d)建立文件化的程序,确保不合格品和获证产品变更后未经认证机构确认,不加贴认证标志。
质量负责人应具有充分的能力胜任本职工作。
1.2资源生产企业应配备必须的生产设备和检测设备以满足稳定生产符合本规则中规定的标准要求的产品;应配备相应的人力资源,确保从事对产品质量有影响工作的人员具备必要的能力;建立并保持适宜产品生产、试验、储存等必备的环境。
2.认证产品一致性a)生产企业应对现场的产品与型式试验样品的一致性进行控制,以使认证产品持续符合规定的要求;b)生产企业应建立产品变更控制程序,认证产品的变更在实施前应向认证机构申报并获得批准后方可执行。
3.认证产品外购部件或外包软件模块管理3.1外购部件供应商或软件模块的外包商的控制a)生产企业应制定外购部件供应商或软件模块外包商的选择、评定和日常管理的程序,以确保供应商提供的部件或软件外包商提供的软件模块满足要求;b)生产企业应保存对供应商或软件外包商的选择评价和日常管理记录。