企业管理咨询|LA劳安认证咨询|CMA认证咨询|CNAS认证咨询|生产许可证证咨询-恩湛咨询
电话/传真:020-38849876
手机:13066329278
QQ:120478621
邮箱:120478621@qq.com
公司地址:上海市青浦区振盈路四维尔时代广场87号502室
根据《中华人民共和国网络安全法》《中华人民共和国认证咨询认可条例》《关于网络关键设备和网络安全专用产品安全认证咨询实施要求的公告》(认监委、国家互联网信息办公室2018年第24号公告)有关要求,我委编制完成了《网络关键设备和网络安全专用产品安全认证咨询实施规则》,现予发布。
本规则自发布之日起实施。
附件:《网络关键设备和网络安全专用产品安全认证咨询实施规则》(编号:CNCA-CCIS-2018)
认监委
2018年6月27日
编号:CNCA-CCIS-2018
网络关键设备和网络安全专用产品
安全认证咨询实施规则
国家认证咨询认可监督管理委员会发布
目 录
1. 适用范围.. 1
2. 认证咨询模式.. 1
3.认证咨询的基本环节.. 1
3.1认证咨询申请及受理.. 1
3.2文档审核.. 1
3.3型式试验委托及实施.. 1
3.4工厂检查.. 1
3.5认证咨询结果评价与批准.. 1
3.6获证后监督.. 1
4.认证咨询实施.. 1
4.1认证咨询流程.. 1
4.2认证咨询申请及受理.. 2
4.3文档审核.. 4
4.4型式试验委托及实施.. 4
4.5工厂检查.. 4
4.6认证咨询结果评价与批准.. 5
4.7获证后监督.. 6
5.认证咨询时限.. 7
6.认证咨询证书.. 7
6.1证书的有效性.. 7
6.2认证咨询证书的变更.. 7
6.3认证咨询证书覆盖产品的扩展.. 8
6.4认证咨询证书的暂停、注销和撤销.. 8
7.认证咨询标志的使用.. 8
7.1认证咨询标志的样式.. 8
7.2认证咨询标志的使用.. 9
7.3加施方式.. 9
7.4标志位置.. 9
附件1:.. 10
附件2:.. 12
附件3:.. 13
1.适用范围
本规则依据《中华人民共和国网络安全法》《中华人民共和国认证咨询认可条例》制定,规定了开展网络关键设备和网络安全专用产品安全认证咨询的基本原则和要求。
本规则适用的网络关键设备和网络安全专用产品,应符合《国家互联网信息办公室、工业和信息化部、公安部、国家认监委关于发布<网络关键设备和网络安全专用产品目录(第一批)>的公告》(联合公告2017年第1号)中相应的范围要求描述(详见附件1)。
安全认证咨询用标准依据有关主管部门的要求执行。
2.认证咨询模式
型式试验 + 工厂检查 + 获证后监督
3.认证咨询的基本环节
3.1认证咨询申请及受理
3.2文档审核
3.3型式试验委托及实施
3.4工厂检查
3.5认证咨询结果评价与批准
3.6获证后监督
4.认证咨询实施
4.1认证咨询流程
认证咨询委托人向认证咨询机构申请认证咨询,认证咨询机构在接收到认证咨询委托人的认证咨询申请后,审查申请资料,确认合格后向认证咨询委托人选择的实验室安排检测任务,并通知认证咨询委托人根据要求抽样检测。实验室依据相关标准和/或技术规范进行检测,并在完成检测后向认证咨询机构提交检测报告。认证咨询机构对检测报告审查合格后,需要时由认证咨询机构组织进行工厂检查。认证咨询机构对型式试验、工厂检查结果进行认证咨询决定,并在认证咨询决定评价合格后向认证咨询委托人颁发认证咨询证书。认证咨询机构组织对获证后的产品进行定期的监督。
4.2认证咨询申请及受理
认证咨询委托人向认证咨询机构递交认证咨询申请,并按要求提交相关资料,认证咨询机构对资料进行初审,确定认证咨询委托人提交资料满足要求后,受理该申请。
4.2.1认证咨询的单元划分
按产品型号/版本申请认证咨询,若产品的关键件相同的可作为一个单元申请认证咨询,由认证咨询机构根据认证咨询要求对产品关键件做出规定。
以多于一个型号/版本的产品为同一认证咨询单元申请认证咨询时,认证咨询委托人应提交同一认证咨询单元中型号/版本间的差异说明及相关测试报告。
4.2.2申请资料要求
认证咨询委托人在申请安全认证咨询时,应至少提交以下资料:
1)申请基本信息:
l认证咨询申请书;
l认证咨询委托人声明;
l相关法律地位证明材料(复印件);
l质量体系方面有关的文件。
2)有关技术指标参数声明及支撑材料(依据附件1“范围”中的内容)。
3)产品相关说明:
l中文产品功能说明书和/或使用手册;
l认证咨询标准的适用性说明;
l产品研制主要技术人员情况表;
l产品测试技术人员情况表;
l产品测试使用的主要设备表;
l中文铭牌和警告标记;
l同一认证咨询单元中型号/版本间的差异说明及相关测试报告(如适用);
l产品密码检测合格证书(如适用)。
4)安全保障要求方面的文档:
l配置管理;
l交付与运行;
l开发;
l指导性文档;
l测试。
5)安全功能相关说明文件。
6)认证咨询机构要求的其他资料。
4.3文档审核
对认证咨询委托人提交的资料和文档,根据相关标准和/或该产品的技术规范进行审核。
4.4型式试验委托及实施
4.4.1型式试验抽样
4.4.1.1抽样要求
由认证咨询机构安排对申请认证咨询的产品按型号/版本进行抽样,样品应在生产企业生产的产品中(包括生产线、仓库、市场)随机抽取。一般每种产品抽样2套,如有特殊需求可增加样品数量。
认证咨询委托人将样品递送至实验室,并对样品负责。
认证咨询委托人应根据型式试验的要求,提供相应的说明及辅助设备。
4.4.1.2样品及相关资料的处置
认证咨询结束后,认证咨询委托人可向实验室申请取回型式试验样品,相关申请资料由认证咨询机构、实验室妥善处置。
4.4.2型式试验依据
按相应产品有关国家标准的要求执行。
4.4.3型式试验报告的提交
型式试验完成后,实验室根据认证咨询机构的要求出具型式试验报告并提交给认证咨询机构。
4.5工厂检查
4.5.1审核内容
工厂检查的内容为信息安全保障能力、质量保证能力、产品一致性检查。
4.5.1.1信息安全保障能力
由认证咨询机构派检查员对制造商、生产企业按照附件2(信息安全保障能力基本要求)实施审核(当认证咨询依据的国家标准涵盖安全保障能力要求时,则按相应国家标准实施)。
4.5.1.2质量保证能力
由认证咨询机构派检查员对生产企业按照附件3(质量保证能力基本要求)及认证咨询机构制定的补充检查要求进行检查。
4.5.1.3产品一致性
工厂检查时,应在生产现场对申请认证咨询的产品进行一致性检查。重点检查以下内容:
1)认证咨询产品的铭牌、包装上所标明的及运行时所显示的产品名称、型号/版本号与型式试验报告上所标明的内容是否一致;
2)认证咨询产品所用的软件、硬件应与型式试验合格的样品一致;
3)非认证咨询的产品是否违规标贴了认证咨询标识。
4.5.2工厂检查时间
由认证咨询机构根据认证咨询实施需要安排工厂检查。人日数根据所申请认证咨询产品的单元数量确定,并适当考虑制造商、生产企业的规模及产品的安全级别,一般每个场所为2至6个人日。
4.6认证咨询结果评价与批准
认证咨询机构负责对型式试验、工厂检查结果等进行综合评价,做出认证咨询决定,通过认证咨询决定的,由认证咨询机构对认证咨询委托人颁发认证咨询证书(每一个认证咨询单元颁发一张认证咨询证书)。如认证咨询决定过程中发现不符合认证咨询要求项,允许限期(不超过3个月)整改,如期完成整改后,认证咨询机构采取适当方式对整改结果进行确认,重新执行认证咨询决定过程。
4.7获证后监督
4.7.1监督的频次
监督频次一般为一年一次,当有特别规定时,认证咨询机构可调整监督频次。必要时,认证咨询机构可采取事先不通知的方式进行监督。
如果发生下述情况之一可增加监督频次:
1)获证产品出现严重质量问题时,或者用户提出投诉并经查实为证书持有者责任时;
2)认证咨询机构有足够理由对获证产品与规定的标准要求的符合性提出质疑时;
3)有足够信息表明制造商、生产企业因组织机构、生产条件、质量管理体系等发生变更,从而可能影响产品质量时。
4.7.2监督的内容
获证后监督采用工厂检查的方式进行,主要针对信息安全保障能力、认证咨询产品一致性和质量保证能力进行检查。必要时可以抽取样品送实验室检测,需要进行抽样检测时,按4.4.1.1要求实施抽样。初次认证咨询申请时的检测项目都可以作为监督时的检测项目,认证咨询机构可根据具体情况进行部分或全部项目的检测。样品的检测一般由认证咨询机构指定的检测实验室在20个工作日内完成。
4.7.3获证后监督结果的评价
监督复查合格后,可以继续保持认证咨询证书、使用认证咨询标志。对监督复查时发现的不符合项应在3个月内完成纠正措施。逾期将撤销认证咨询证书、停止使用认证咨询标志,并对外公告。
5.认证咨询时限
认证咨询时限是指自申请被正式受理之日起至颁发认证咨询证书时止所实际发生的工作日,一般在90个工作日内。整改时间不计算在内。
6.认证咨询证书
6.1证书的有效性
证书有效期5年。在有效期内,通过每年对获证后的产品进行监督确保认证咨询证书的有效性。
6.2认证咨询证书的变更
6.2.1变更的申请
获证后的产品,如果其制造商、生产企业、证书持有者等发生变化时,应向认证咨询机构提出变更申请。
6.2.2变更申请的评价与批准
认证咨询机构根据变更的内容和提供的资料进行文件审核,需要时安排型式试验和/或工厂检查,认证咨询评价通过后予以变更证书。
6.2.3证书的有效期
证书在进行变更后,其有效期与原证书一致。
6.3认证咨询证书覆盖产品的扩展
6.3.1认证咨询证书覆盖产品扩展申请
认证咨询证书持有者需要增加已经获得认证咨询产品的认证咨询范围时,应向认证咨询机构提出扩展申请,并提交扩展产品和原认证咨询产品之间的差异说明。
6.3.2认证咨询证书覆盖产品扩展的评价与批准
认证咨询机构应核查扩展产品与原认证咨询产品的一致性,确认原认证咨询结果对扩展产品的有效性,需要时应针对差异做补充型式试验和/或工厂检查,并根据认证咨询证书持有者的要求单独颁发认证咨询证书或换发认证咨询证书。
6.3.3证书的有效期
证书在进行扩展后,其有效期与原证书一致。
6.4认证咨询证书的暂停、注销和撤销
参照《强制性产品认证咨询证书注销、暂停、撤销实施规则》的要求执行。在认证咨询证书暂停期间及认证咨询证书注销和撤销后,获证机构不得继续使用证书。
7.认证咨询标志的使用
7.1认证咨询标志的样式
7.2认证咨询标志的使用
认证咨询标志在使用时可以等比例的放大或缩小。但是,不允许变形或变色。
7.3加施方式
可以采用统一印制的标准规格标志、模压、铭牌印刷、软件加施等方式。
7.4标志位置
应在产品本体的铭牌附近加施认证咨询标志。
软件产品应在其软件包装/载体上加施认证咨询标志,如该软件产品不使用包装/载体,则应在软件使用的《许可协议》中的显著位置明确该产品已获认证咨询机构认证咨询。
附件1:
网络关键设备和网络安全专用产品目录
设备或产品类别 |
范围 |
|
网络关键设备 |
1. 路由器 |
整系统吞吐量(双向)≥12Tbps 整系统路由表容量≥55万条 |
2. 交换机 |
整系统吞吐量(双向)≥30Tbps 整系统包转发率≥10Gpps |
|
3. 服务器(机架式) |
CPU数量≥8个 单CPU内核数≥14个 内存容量≥256GB |
|
4. 可编程逻辑控制器(PLC设备) |
控制器指令执行时间≤0.08微秒 |
|
网络安全专用产品 |
5. 数据备份一体机 |
备份容量≥20T 备份速度≥60MB/s 备份时间间隔≤1小时 |
6. 防火墙(硬件) |
整机吞吐量≥80Gbps 最大并发连接数≥300万 每秒新建连接数≥25万 |
|
7. WEB应用防火墙(WAF) |
整机应用吞吐量≥6Gbps 最大HTTP并发连接数≥200万 |
|
8. 入侵检测系统(IDS) |
满检速率≥15Gbps 最大并发连接数≥500万 |
|
9. 入侵防御系统(IPS) |
满检速率≥20Gbps 最大并发连接数≥500万 |
|
10. 安全隔离与信息交换产品(网闸) |
吞吐量≥1Gbps 系统延时≤5ms |
|
11. 反垃圾邮件产品 |
连接处理速率(连接/秒)>100 平均延迟时间<100ms |
|
12. 网络综合审计系统 |
抓包速度≥5Gbps 记录事件能力≥5万条/秒 |
|
13. 网络脆弱性扫描产品 |
最大并行扫描IP数量≥60个 |
|
14. 安全数据库系统 |
TPC-E tpsE(每秒可交易数量)≥4500个 |
|
15 网站恢复产品(硬件) |
恢复时间≤2ms 站点的最长路径≥10级 |
附件2:
信息安全保障能力基本要求
保障类 |
保障组件 |
ADV:开发 |
ADV_ARC.1 安全架构描述 |
ADV_FSP.2 安全执行功能规范 |
|
ADV_TDS.1 基础设计 |
|
AGD:指导性文档 |
AGD_OPE.1 操作用户指南 |
AGD_PRE.1 准备程序 |
|
ALC:生命周期支持 |
ALC_CMC.2 CM系统的使用 |
ALC_CMS.2 部分TOE CM覆盖 |
|
ALC_DEL.1 交付程序 |
附件3:
质量保证能力基本要求
为保证批量生产的认证咨询产品与型式试验样品的一致性,生产企业应满足本文件规定的质量保证能力基本要求。
1.职责和资源
1.1职责
生产企业应规定与质量活动有关的各类人员职责及相互关系,且生产企业应在组织内指定一名质量负责人,无论该成员在其他方面的职责如何,应具有以下方面的职责和权限:
a)负责建立满足本文件要求的质量体系,并确保其实施和保持;
b)确保加贴认证咨询标志的产品符合认证咨询标准的要求;
c)建立文件化的程序,确保认证咨询标志的妥善保管和使用;
d)建立文件化的程序,确保不合格品和获证产品变更后未经认证咨询机构确认,不加贴认证咨询标志。
质量负责人应具有充分的能力胜任本职工作。
1.2资源
生产企业应配备必须的生产设备和检测设备以满足稳定生产符合本规则中规定的标准要求的产品;应配备相应的人力资源,确保从事对产品质量有影响工作的人员具备必要的能力;建立并保持适宜产品生产、试验、储存等必备的环境。
2.认证咨询产品一致性
a)生产企业应对现场的产品与型式试验样品的一致性进行控制,以使认证咨询产品持续符合规定的要求;
b)生产企业应建立产品变更控制程序,认证咨询产品的变更在实施前应向认证咨询机构申报并获得批准后方可执行。
3.认证咨询产品外购部件或外包软件模块管理
3.1外购部件供应商或软件模块的外包商的控制
a)生产企业应制定外购部件供应商或软件模块外包商的选择、评定和日常管理的程序,以确保供应商提供的部件或软件外包商提供的软件模块满足要求;
b)生产企业应保存对供应商或软件外包商的选择评价和日常管理记录。
3.2外购部件或外包软件模块的验证
a)生产企业应建立并保持对供应商提供的部件或软件外包商提供的软件模块的验证程序及定期确认程序,以确保部件或软件模块满足认证咨询所规定的要求;
b)生产企业应保存部件或外包软件模块,或者它们的验证记录、确认记录及供应商或软件外包商提供的合格证明及有关数据等。