www.cciss.com.cn

需求为本，客户至上。 需求为本，客户至上。

技术领先，专业服务。 技术领先，专业服务。

需求为本，客户至上。

技术领先，专业服务。

主 办：中认信安 （四川）技术服务有限公司

总 编 辑：罗小兵

执行总编：万里冰

主 编：赵 平

副 主 编：王 秋

内容支持：罗俊海、邓瑜红、张会平、张徐亮、钱伟中

发行范围：公司内部、客户

出版日期：每季度首月1日

地 址：四川省成都市一环路东一段159号

电子信息产业大厦13楼

电 话：028-83204138

网 站：www.cciss.com.cn

关注微博二维码

获取最新信息安全动态

关注CISAW微信公共号

获取最新信息安全动态

引

言

产品认证是对产品满足规定要求的评价和公正的第三方证明。产

品认证由产品认证机构实施，机构应满足GB/T 27065-2015的要求。

产品的规定要求一般包含在标准或其他规范性文件中。产品认证是一

种合格评定活动，它为消费者、监管机构、行业和其他相关方提供产

品符合规定要求的信心，这些规定要求包括产品的性能、安全、互换

性和可持续性等。产品认证能在国家、区域和国际层面促进产品贸

易、市场准入、公平竞争和消费者认可。国际标准化组织（ISO）将

产品认证定义“是由第三方通过检验评定企业的质量管理体系和样品

型式试验来确认企业的产品、过程或服务是否符合特定要求，是否具

备持续稳定地生产符合标准要求产品的能力，并给予书面证明的程

序。”

信息安全产品和技术是保障信息安全的重要支撑。在信息安全领

域，建立统一的信息安全认证认可体系可以有效应对信息全球化和经

济全球化所带来的安全风险。依据《中华人民共和国网络安全法》第

二十三条要求，“网络关键设备和网络安全专用产品应当按照相关国

家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测

符合要求后，方可销售或者提供”，以及《关于发布〈网络关键设备

和网络安全专用产品目录（第一批）〉的公告》（国家互联网信息办

公室、工业和信息化部、公安部、国家认证认可监督管理委员会公告

2017年第1号）是国家全面推进网络安全认证检测工作的重要标志。

认证和检测是合格评定的重要内容，也是国家质量基础设施（NQI）

中不可或缺的重要组成部分，在国民经济和社会发展中发挥着重要的

作用。运用认证和检测的手段对网络关键设备和网络安全专用产品的

安全性实施评价，是顺应产业发展需要，保障重要信息系统安全的一

项具有重要意义的制度安排。

目录 CONTENTS

03 实时新闻

深入贯彻党中央关于网络强国的重要思想 大力推动网信事业高质量发展

市监总局答澎湃：将继续在家居产品标准、认证、质量安全及价格监管等方面加大工作力度

8月1日开始！锂电池、充电宝将实施CCC强制认证管理

行业首家！小米自研TEEOS获得CCRC最高认证等级EAL5+安全认证

“清朗·成都大运会网络环境整治”专项行动查处一批违法违规网络账号

关于调整《网络关键设备和网络安全专用产品目录》的公告

CNAS顺利通过亚太认可合作组织(APAC)国际同行评审

国家网信办就《关于调整网络安全专用产品安全管理有关事项的公告》答记者问

13 知识分项

IT产品信息安全认证关键技术研究的研究报告

IT信息技术企业可以做哪些认证？

白话说CC-信息安全通用标准CC是什么？评估保障级EAL有是什么？如何获得信息安全

认证证书

产品认证Vs体系认证，你能分清楚吗？

工业控制产品信息安全认证现状与展望

快收藏！各国出口产品认证大全

最新!强制性产品认证实施规则汇总

34 专家专栏

专家解读｜做好网络关键设备和网络安全专用产品安全认证和安全检测工作促进网络安全

产业高质量发展

ICT技术如何更好赋能产品认证

强制性国家标准《网络关键设备安全通用要求》解读：网络关键设备合规要点

5G环境下信息系统网络安全保障体系研究

41 通知公告

IT产品信息安全认证

北斗基础产品认证

国家信息安全产品认证

金融科技产品认证

网络关键设备和网络安全专用产品安全认证

金融科技产品认证

移动互联网应用程序（App）安全认证

中国网络安全审查技术与认证中心数据合规官（CCRC-DCO）认证培训

网络安全知识小问答

深入贯彻党中央关于网络强国的重要思想

大力推动网信事业高质量发展

强化统筹协调，确保党中央关于网信工作决策部署落到

实处；各级网信部门要忠于党和人民，勇于担当作为，

善于开拓创新，敢于斗争亮剑，甘于拼搏奉献，为推动

网信事业高质量发展提供坚强保证。

全国网络安全和信息化工作会议7月14日至15日在京

召开。中共中央政治局常委、中央书记处书记蔡奇出席

会议并讲话，中共中央政治局常委、国务院副总理丁薛

祥出席会议并传达了习近平重要指示。

蔡奇在讲话中指出，习近平总书记重要指示鲜明提

出网信工作的使命任务，明确“十个坚持”重要原则，

并对网信工作提出要求，具有很强的政治性、战略性、

指导性，为做好新时代新征程网信工作指明了方向，我

们要坚决贯彻落实。

蔡奇强调，党的十八大以来网信事业取得重大成

就，最根本在于有习近平总书记领航掌舵，有习近平新

时代中国特色社会主义思想科学指引。习近平总书记关

于网络强国的重要思想，科学回答了网信事业发展的一

系列重大理论和实践问题，把党对网信工作的规律性认

识提升到全新高度，是新时代新征程引领网信事业高质

量发展、建设网络强国的行动指南，我们要深入学习领

会，更加深刻领悟“两个确立”的决定性意义，坚决做

到“两个维护”，切实贯彻到网信工作全过程。

新华社北京7月15日电。中共中央总书记、国家主

席、中央军委主席习近平近日对网络安全和信息化工作

作出重要指示指出，党的十八大以来，我国网络安全和

信息化事业取得重大成就，党对网信工作的领导全面加

强，网络空间主流思想舆论巩固壮大，网络综合治理体

系基本建成，网络安全保障体系和能力持续提升，网信

领域科技自立自强步伐加快，信息化驱动引领作用有效

发挥，网络空间法治化程度不断提高，网络空间国际话

语权和影响力明显增强，网络强国建设迈出新步伐。

习近平强调，新时代新征程，网信事业的重要地位

作用日益凸显。要以新时代中国特色社会主义思想为指

导，全面贯彻落实党的二十大精神，深入贯彻党中央关

于网络强国的重要思想，切实肩负起举旗帜聚民心、防

风险保安全、强治理惠民生、增动能促发展、谋合作图

共赢的使命任务，坚持党管互联网，坚持网信为民，坚

持走中国特色治网之道，坚持统筹发展和安全，坚持正

能量是总要求、管得住是硬道理、用得好是真本事，坚

持筑牢国家网络安全屏障，坚持发挥信息化驱动引领作

用，坚持依法管网、依法办网、依法上网，坚持推动构

建网络空间命运共同体，坚持建设忠诚干净担当的网信

工作队伍，大力推动网信事业高质量发展，以网络强国

建设新成效为全面建设社会主义现代化国家、全面推进

中华民族伟大复兴作出新贡献。

习近平强调，各级党委（党组）要加强组织领导、 来源：《成都商报》

技术领先，专业服务。 实时新闻

www.cciss.com.cn Technology Leading， Professional Services.

02-03

今年将“住宅装饰和装修”“建筑幕墙装饰和装修”纳

入了“年度企业标准‘领跑者’重点领域清单”，这个

“领跑者”制度，就是通过这种重要产品领域清单来引

领家居产品质量标准提升。

二是加强家居产品质量安全监管。2022年，市场监

管总局针对家电、家具、家纺、家装等重点家居产品组

织开展产品质量国家监督抽查。涉及空调、冰箱、木质

家具、沙发、智能坐便器等21种产品，抽查检验企业

2600多家，抽查检验产品2800多批次，发现并查处不合

格产品435批次。今年上半年，全国市场监管部门共查处

家具及建筑装饰装修材料类、家用电器及电器配件类产

品质量违法案件6600多件，罚没3500多万元，移送司法

机关的案件12件。

三是强化绿色家居产品认证监管。一是不断推动统

一的绿色产品标准、认证、标识体系建设。已发布4批18

种统一的绿色产品标准评价清单和认证目录，涵盖绿色

建材、家具、冰箱、厨卫五金等家居产品。已颁发统一

的绿色产品证书23000多张，获证企业4600多家。二是推

动认证结果采信。今年我们联合商务部、工业和信息化

部等多部门印发有关促进绿色智能家电消费和绿色建材

下乡活动的通知，鼓励选购获得认证的产品。三是加大

宣传推广力度。结合世界认可日等活动，组织各地市场

监管部门、认证机构等加大对绿色产品认证的宣传力

度，提高绿色产品认证的知名度和美誉度。

王胜利表示，下一步，将继续在家居产品标准、认

证、质量安全及价格监管等方面加大工作力度，着力保

障家居产品质量，维护市场秩序，保护消费者合法权

益，积极配合有关部门推进《关于促进家居消费的若干

措施》的落地实施，持续增强消费对经济发展的基础性

作用。

国家市场监督管理总局质量监督司负责人王胜利澎

湃新闻记者周頔摄7月18日，在国务院新闻办举行的“促

进家居消费着力扩大内需”国务院政策例行吹风会上，

澎湃新闻（www.thepaper.cn）记者提问：随着我国经济

社会的不断发展和人民生活质量的不断提高，消费者在

家居消费中，对产品的质量要求越来越高。请问市场监

管总局如何在保障家居产品质量方面开展工作？对此，

国家市场监督管理总局质量监督司负责人王胜利表示，

家居消费是居民消费的重要组成部分，家居产品质量与

居民生活质量密切相关。近年来，市场监管总局立足职

能，主动作为，强化监管，为消费者营造放心、安全的

家居消费质量环境。

一是完善家居产品质量标准体系。今年5月，我们与

工业和信息化部、商务部联合印发《加强消费品标准化

建设行动方案》，对包括家居装饰装修产品在内的9个重

点领域主要消费品的标准化工作作出专门部署。我们还

积极推动适老化家具等产品标准的制修订工作，已发布

适用于老年人的家用电器等7项适老用品国家标准，正在

研制家居产品适老化设计指南等适老用品国家标准。目

前，相关部门已出台备案家居相关行业标准23项，部分

地方，比如浙江、江苏、山东等地出台备案家居地方标

准20项。同时，还持续开展企业标准“领跑者”工作，

市监总局答澎湃：将继续在家居产品标准、

认证、质量安全及价格监管等方面加大工作力度

来源：《澎湃新闻》

8月1日开始！

锂电池、充电宝将实施CCC强制认证管理

市场监管总局此前发布公告，自2023年8月1日起对

锂离子电池和电池组、移动电源实施CCC认证管理。同

时自2024年8月1日起，未获得CCC认证证书和标注认证

标志的，不得出厂、销售、进口或者在其他经营活动中

使用。

3C认证的全称为\"中国强制性产品认证\"，英文名称

China Compulsory Certification，英文缩写CCC。书写呈现

方式有三种\"3C认证，CCC认证，三C认证\"，它是我国为

保护消费者人身安全和国家安全、加强产品质量管理、

依照法律法规实施的一种产品合格评定制度。

所有那些应该经过3C认证的产品，如果未经认证就

私自出厂销售，都是属于犯法行为，要承担相应的行政

处罚后果和法律风险。

随着移动互联网时代的到来，手机、平板、笔记本

电脑已经成为人们日常生活中的重要组成部分。锂电

池、充电宝等为畅享移动生活提供了极大的便利。

虽然锂电池、电池组、移动电源很方便，但它的制

作原料不稳定，还是存在一定的潜在危险。

在运输、存储、使用、回收等过程中有可能会因为

高温、过充、短路等外部因素引发过热、起火、甚至爆

炸等事故。

市场监管总局相关负责人表示，根据产品质量国家

监督抽查结果显示，移动电话用锂离子电池合格率不足

90%，移动电源的合格率则一直徘徊在60%-80%之间。

从这个合格率可以看出，市面上不合格产品还有很多，

本身电池就不是很稳定，如果买到的是不合格产品的

话，那随时随地都有可能引发安全问题，非常危险。

强制性产品认证，也就是消费者熟知的CCC认证，

是我国根据有关法律法规要求和国际通行做法，按照市

场化、国际化的原则对涉及人身健康安全的产品实施的

市场准入制度。

技术领先，专业服务。 实时新闻

www.cciss.com.cn Technology Leading， Professional Services.

04-05

行业首家！小米自研TEEOS

获得CCRC最高认证等级EAL5+安全认证

近日，中国网络安全审查技术与认证中心（CCRC）

向小米智能终端可信执行环境操作系统 2.0（MiTEE OS

2.0）颁发国内首张最高安全认证等级 EAL5+ 证书。通

过认证，表明 MiTEE OS 的信息安全保障能力已达到行

业领先水平，体现了小米以用户为中心的发展理念以及

引领行业合规稳健发展的使命感。

中国网络安全审查技术与认证中心为国家市场监督

管理总局直属正司局级事业单位。依据《网络安全法》《网

络安全审查办法》及国家有关强制性产品认证法律法规，

承担网络安全审查技术支撑和认证工作，是国内最权威

的安全认证机构。EAL（Evaluation Assurance Level）评

估保障级是一个完全遵循 Common Criteria 准则制定的用

来评估 IT 产品或系统安全的数字级别。通过对 IT 产品

的安全性进行独立评估后所取得的安全保证等级，表明

产品的安全性及可信度。获得的认证级别越高，安全性

来源：《ZAKER资讯》

产品种类

及代码

电源

（0807、0907）

移动电源

（0914）

对产品种类

的描述 适用范围

质量不超过18kg，包含锂离子电池

和/或电池组，具有交直流输入/输出

的可移动式电源。

依靠锂电子在正极和负极之间移动

实现化学能与电能互相转化的装

置，并被设计成可充电;包含有保护

电路的任意数量的锂离子电池组合

而成准备使用的组合体。

电信终端设备配

套的电源适配器/

充电器

移动电源

便携式电子产品用锂

离子电池和电池组

对产品适用范围

的描述或列举 备注

直接与电网电源连接，输出可配接

电信终端设备产加，具有电压转换

功能的设备。包括供电性质和电气

参数转换。（0907）

电信终端设备配套的电源

适配器、充电器、电源转

换器等。

适用标准：

GB4943.1

GB/T9254.1

GB17625.1

充电宝、便携式储能电

源、露营用移动电源等。

适用标准：

GB4943.1

GB31241

便携式办公产品、移动通

信产品、便携式音视频产

品等便携式电子产品用锂

离子电池和电池组。

1.适用标准：

GB31241

2.不包括电子烟用锂

离子电池和电池组

锂离子电池和

电池组

（0915）

据介绍，截至目前，3C认证制度共覆盖16大类96种

产品，包括家用电子电器、汽车、玩具等涉及社会大众

日常生活的消费类工业产品。3C认证在促进产品安全质

量提升、保护消费者权益等方面发挥了重要作用。

随着认证工作的深入有效实施，灯具产品的合格率由

32%提高到94%，汽车儿童安全座椅的合格率由不足10%

提高到97%，获证产品平均合格率稳定在90%以上。

市场监管总局提醒广大消费者，在选购锂电池、充

电宝时，一定要认准3C标志才能有更好的保障。

新纳入产品的CCC认证范围界定：

与可信度越高，产品可对抗更高级别的威胁，适用于较

高风险的环境。

可信执行环境（TEE OS）是智能终端双系统解决方

案的一部分，它在同一个智能终端下，除了主操作系统

（如Android）外，还提供一个隔离的安全操作系统。这

一运行在隔离的硬件之上的隔离安全操作系统用来专门

处理敏感信息以保证信息的安全。

MiTEE OS 2.0作为一款小米自研的TEE OS，支持密

码解锁、电容和屏下指纹、支付宝指纹支付、微信指纹

支付、FIDO指纹支付、Mipay指纹支付，以及数字版权

管理WideVine L1等功能，是保障小米手机用户信息安全

的核心组件。通过认证，证明了小米在手机终端信息安

全保障能力的领先地位，用户在使用终端产品时，将能

够获得更大的安全保障。

一直以来，小米都将用户的信息安全与隐私保护作

为第一优先级的事情来对待，秉承“企业责任、用户可

控、公开透明、安全保障、法律合规”五大隐私保护原 来源：《央广网》

则，获得全球安全检测与认证机构的广泛认可。2016年

小米成为国内首家通过国际知名机构TrustArc隐私认证

的企业。2018年小米顺利通过了外部咨询公司的欧盟

GDPR合规评估。2019年小米获得了三项国际ISO安全与

隐私认证，并发布了MIUI安全与隐私白皮书。2020年小

米MIUI成为全球首家获得德国莱茵TV《安卓系统增强隐

私保护测试》的手机操作系统。2021年获得中国信通院

泰尔实验室“移动智能终端操作系统个人信息保护能

力”五星证书。2022年获得中国信通院移动智能终端五

级安全认证。

未来，小米公司也将在安全与隐私保护领域持续投

入，继续秉承“将用户的信息安全和隐私保护视为我们

的生存之本”的理念，始终坚持做“感动人心，价格厚

道”的好产品，让全球每个人都能享受科技带来的美好

生活。

“清朗·成都大运会网络环境整治”

专项行动查处一批违法违规网络账号

“清朗·成都大运会网络环境整治”专项行动启动

以来，各地网信部门督促网站平台切实履行主体责任，

深入开展自查自清，截至目前，微博、抖音、快手、今

日头条、百度、微信、搜狐、淘宝、闲鱼等重点平台累

计处置违法违规账号633个，清理相关信息4200余条。部

分典型处置案例如下。

1、传播大运会谣言信息。“sunyujun112”、“用

户7807042144862”、“不安分的馒头”等网络账号发布

大运会筹备相关谣言，编造志愿者虚假招募信息，恶意

翻炒旧闻旧事关联大运会，欺骗误导网民。已依法对上

述账号作禁言、关闭处置，并暂停相关账号营利权限。

2、利用“伪公益”恶意营销炒作。“团队2”、

“农村记录生活@车干”、“大爱无疆青哥正能量”等网

络账号，以帮扶救助、记录日常等名义，摆拍发布多条涉

大运会相关地区留守儿童、老人等“贫困”生活视频信

息，恶意卖惨、骗取流量，造成恶劣影响。已依法对上述

账号作禁言、关闭处置，并抹除相关账号新增粉丝。

3、煽动地域歧视、群体歧视。“LU_LU_f”、“山

丘灬之王”等网络账号借讨论大运会有关话题，对特定

地域、特定群体进行恶意贬低歧视，挑拨攻击对立情

绪。已依法对上述账号作禁言处置。

4、假冒仿冒账号发布信息。“蓉E行天府通”、

“淮州新城”、“看见泸州”等网络账号擅自使用含有

行政区划的名称，发布涉大运会相关地区通报、公示、

泛资讯等信息，故意混淆视听、误导公众。已依法对上

述账号作禁言处置。

技术领先，专业服务。 实时新闻

www.cciss.com.cn Technology Leading， Professional Services.

06-07

关于调整

《网络关键设备和网络安全专用产品目录》的公告

依据《中华人民共和国网络安全法》，国家互联网

信息办公室会同工业和信息化部、公安部、国家认证认

可监督管理委员会等部门更新了《网络关键设备和网络

安全专用产品目录》，现予以公布，自印发之日起施

行。

2017年国家互联网信息办公室、工业和信息化部、

公安部、国家认证认可监督管理委员会联合发布的《关

于发布〈网络关键设备和网络安全专用产品目录（第一

批）〉的公告》（2017年第1号）中的网络关键设备和

网络安全专用产品目录同步废止。

特此公告。

国家互联网信息办公室

工业和信息化部

公安部

国家认证认可监督管理委员会

2023年7月3日

来源：《中国网信网》

网络关键设备和网络安全专用产品目录

一、网络关键设备

二、网络安全专用产品

序号 设备类别 范围

1 路由器 整系统吞吐量（双向）≥12Tbps

整系统路由表容量 ≥55万条

2 交换机 整系统吞吐量（双向） ≥30Tbps

整系统包转发率 ≥10Gpps

3 服务器（机架式） 单CPU内核数 ≥14个

内存容量 ≥256GB

4 可编程逻辑控

制器（PLC设备） 控制器指令执行时间≤0.08微秒

CPU数量 ≥8个

序号 产品类别 产品描述

1 数据备份与

恢复产品

能够对信息系统数据进行备份和恢复，

且对备份与恢复过程进行管理的产品。

2 防火墙 对经过的数据流进行解析，并实现访问

控制及安全防护功能的产品。

3

4

5

入侵检测系统

（IDS）

入侵防御系统

（IPS）

网络和终端

隔离产品

以网络上的数据包作为数据源，监听所

保护网络节点的所有数据包并进行分析，

从而发现异常行为的产品。

以网桥或网关形式部署在网络通路上，

通过分析网络流量发现具有入侵特征的

网络行为，在其传入被保护网络前进行

拦截的产品。

在不同的网络终端和网络安全域之间建

立安全控制点，实现在不同的网络终端

和网络安全域之间提供访问可控服务的

产品。

6

7

8

9

10

11

反垃圾邮件产品

网络安全审计

产品

网络脆弱性扫描

产品

安全数据库系统

网站数据恢复

产品

虚拟专用网产品

能够对垃圾邮件进行识别和处理的软件

或软硬件组合，包括但不限于反垃圾邮

件网关、反垃圾邮件系统、安装于邮件

服务器的反垃圾邮件软件、以及与邮件

服务器集成的反垃圾邮件产品等。

采集网络、信息系统及其组件的记录与

活动数据，并对这些数据进行存储和分

析，以实现事件追溯、发现安全违规或

异常的产品。

从系统设计、实现、使用和管理等各个

阶段都遵循一套完整的系统安全策略的

数据库系统，目的是在数据库层面保障

数据安全。

利用扫描手段检测目标网络系统中可能

存在的安全弱点的软件或软硬件组合的

产品。

提供对网站数据的监测、防篡改，并实

现数据备份和恢复等安全功能的产品。

在互联网链路等公共通信基础网络上建

立专用安全传输通道的产品。

5、对参赛运动员恶意揣测攻击。“阿志侃体

坛”、“毒蛇爱体育”、“志聊体育”等网络账号，针

对运动员参加大运会有关情况，发布恶意揣测、质疑攻

击等言论。已依法对上述账号作禁言处置。

6、发布涉大运会违规售卖信息。“母彩蓉”、

“kylinliyoumei”、“zeroliuml”等网络账号发布违规售

卖大运会赛事门票等信息，还有部分电商平台店铺发布

涉大运会吉祥物“蓉宝”的违规售卖信息。已依法对上

述账号作禁言处置。

中央网信办有关部门将会同大运会执委会，继续严

厉打击干扰大运会顺利举办的网上突出问题，及时清理

查处违法违规信息和账号，切实为大运会营造良好网络

环境。同时，欢迎广大网民积极参与举报，共同维护清

朗网络空间。

序号 产品类别 产品描述

12

13

14

15

16

17

18

19

20

21

22

23

防病毒网关

统一威胁管理产

品（UTM）

病毒防治产品

安全操作系统

安全网络存储

公钥基础设施

网络安全态势感

知产品

信息系统安全管

理平台

网络型流量控制

产品

负载均衡产品

信息过滤产品

抗拒绝服务攻击

产品 部署于网络和网络之间，通过分析网络

层和应用层的通信，根据预先定义的过

滤规则和防护策略实现对网络内病毒防

护的产品。

通过统一部署的安全策略、融合多种安

全功能，针对面向网络及应用系统的安

全威胁进行综合防御的网关型设备或系

统。

通过采集网络流量、资产信息、日志、漏

洞信息、告警信息、威胁信息等数据，分

析和处理网络行为及用户行为等因素，掌

握网络安全状态，预测网络安全趋势，并

进行展示和监测预警的产品。

从系统设计、实现到使用等各个阶段都

遵循了一套完整的安全策略的操作系

统，目的是在操作系统层面保障系统安

全。

对信息系统的安全策略以及执行该策略

的安全计算环境、安全区域边界和安全

通信网络等方面的安全机制实施统一管

理的平台。

用于识别和拦截拒绝服务攻击、保障系

统可用性的产品。

对安全域的网络进行流量监测和带宽控

制的流量管理系统。

对文本、图片等网络信息进行筛选控制

的产品。

提供链路负载均衡、服务器负载均衡、

网络流量优化和智能处理等功能的产

品。

用于检测发现或阻止恶意代码的传播以

及对主机操作系统应用软件和用户文件

的篡改、窃取和破坏等的产品。

通过网络基于不同协议连接到服务器的

专用存储设备。

支持公钥管理体制，提供鉴别、加密、

完整性和不可否认服务的基础设施。

序号 产品类别 产品描述

24

25

26

27

28

29

终端接入控制

产品

USB移动存储介

质管理系统

文件加密产品

数据泄露防护

产品

数据销毁软件

产品

安全配置检查

产品

用于识别和拦截拒绝服务攻击、保障系

统可用性的产品。

对移动存储设备采取身份认证、访问控

制、审计机制等管理手段，实现移动存储

设备与主机设备之间可信访问的产品。

通过对安全域内部敏感信息输出的主要

途径进行控制和审计，防止安全域内部

敏感信息被非授权泄露的产品。

用于防御攻击者窃取以文件等形式存储

的数据、保障存储数据安全的产品。

采用信息技术进行逻辑级底层数据清除，

彻底销毁存储介质所承载数据的产品。

基于安全配置要求实现对资产的安全配

置检测和合规性分析，生成安全配置建

议和合规性报告的产品。

30

31

32

33

34

运维安全管理

产品

日志分析产品

身份鉴别产品

终端安全监测

产品

电子文档安全

管理产品

对信息系统重要资产维护过程实现单点登

录、集中授权、集中管理和审计的产品。

采集信息系统中的日志数据，并进行集

中存储和分析的安全产品。

对终端进行安全性监测和控制，发现和阻

止系统和网络资源非授权使用的产品。

要求用户提供以电子信息或生物信息为

载体的身份鉴别信息，确认应用系统使

用者身份的产品。

通过制作安全电子文档或将电子文档转

换为安全电子文档，对安全电子文档进

行统一管理、监控和审计的产品。

技术领先，专业服务。 实时新闻

www.cciss.com.cn Technology Leading， Professional Services.

08-09

来源：《市场监管总局》

办公室评审现场

CNAS顺利通过亚太认可合作组织（APAC）

国际同行评审

CNAS积极应对远程评审的诸多复杂情况，在迎审策划、

沟通联络、技术保障等方面作出了周密细致的安排。

CNAS将以本次同行评审为契机，认真研究评审发现，做

好原因分析，不断夯实基础，及时将纠正措施和纠正措

施计划反馈给同行评审组，扎实推进认可工作和认可服

务的持续改进。

2023年7月10日至21日，中国合格评定国家认可委员

会（CNAS）接受了亚太认可合作组织（APAC）四年一

度的国际同行评审。来自12个国家认可机构的15位国际

同行评审员对CNAS进行了为期10天的远程评审。经过全

面细致地评审，CNAS顺利通过APAC国际同行评审。

四年一度的国际同行评审对于维持认可机构的国际

互认地位具有决定性作用。按照国际认可合作组织IAF

和ILAC互认规则，国际同行评审由区域认可合作组织实

施，认可机构通过维持区域认可合作组织的互认资格而

维持IAF和ILAC国际互认资格。

经过评审，APAC同行评审组决定推荐CNAS继续保

持14项认可制度的互认资格。同行评审组认为，CNAS的

总体运作符合ISO/IEC 17011:2017要求，对CNAS工作人

员和评审组的专业能力和工作态度表示高度赞赏，尤其

印象深刻的是，CNAS实施了“评审员管理系统”“认可

业务管理平台”等多个信息化系统，在推广无纸化办

公、优化认可流程方面作出了不懈努力。

APAC国际同行评审组以ISO/IEC 17011：2017《合格

评定 认可机构要求》为依据，聚焦认可机构资源、过

程、管理体系、信息公开等要求，评价CNAS的14项认可

制度能否继续维持国际互认资格，包括：校准实验室认

可、检测实验室认可、医学实验室认可、检验机构认可、

能力验证提供者认可、标准物质/标准样品生产者认可、

质量管理体系认可、环境管理体系认可、信息安全管理体

系认可、食品安全管理体系认可、职业健康安全管理体系

认可、产品认证机构认可（含全球良好农业规范）、温室

气体（GHG）审定与核查机构认可（ISO 14065:2013，含

CORSIA航空领域温室气体核查机构认可）、审定与核查

机构认可（ISO/IEC 17029:2019、ISO 14065:2020）。在完

成对CNAS的办公室评审后，同行评审组还对CNAS派出的

19个认可评审组的现场评审活动实施了远程见证，覆盖北

京、成都、重庆、广州等12个城市。

APAC于2019年由太平洋认可合作组织和亚太实验室

认可合作组织合并而成，是亚太经济合作组织（APEC）

区域内的认可机构及其利益相关方的合作组织，现有各

类成员81个。截至目前，CNAS签署的国际多边互认协议

范围覆盖116个国家/经济体，占全球经济总量的96%以

上。依托认可国际互认，CNAS为国内合格评定机构拓展

国际业务和对外贸易便利化创造了有利条件。

这是CNAS第一次以远程方式接受国际同行评审。

首次会现场

国家网信办就《关于调整网络安全专用

产品安全管理有关事项的公告》答记者问

近日，国家互联网信息办公室、工业和信息化部、

公安部、财政部、国家认证认可监督管理委员会联合发

布《关于调整网络安全专用产品安全管理有关事项的公

告》（以下简称《公告》）。国家互联网信息办公室有

关负责人就《公告》相关问题回答了记者提问。

问：请介绍一下《公告》发布的背景? 问：请介绍一下《公告》发布的背景?

答：1994年，《计算机信息系统安全保护条例》规

定国家对计算机信息系统安全专用产品的销售实行许可

证制度，公安部自1997年开始实施产品销售许可行政审

批工作。2008年，原国家质检总局、国家认监委发布

《关于部分信息安全产品实施强制性认证的公告》，将

13种信息安全产品纳入强制性认证管理范围;2009年，又

联合财政部发布《关于调整信息安全产品强制性认证实

施要求的公告》，将信息安全产品强制性认证要求调整

为在政府采购法范围内实施。2010年，财政部、工业和

信息化部、原国家质检总局、国家认监委联合印发《关

于信息安全产品实施政府采购的通知》，再次明确使用

财政性资金采购信息安全产品的，应当采购经国家认证

的产品。这两项制度对规范管理网络安全产品发挥了重

要作用，但管理内容有交叉，在一定程度上存在重复认

证检测情况。

2017年6月实施的《网络安全法》明确规定“网络关

键设备和网络安全专用产品应当按照相关国家标准的强

制性要求，由具备资格的机构安全认证合格或者安全检

测符合要求后，方可销售或者提供。国家网信部门会同

国务院有关部门制定、公布网络关键设备和网络安全专

用产品目录，并推动安全认证和安全检测结果互认，避

免重复认证、检测”。为落实《网络安全法》有关规

定，国家网信办会同工业和信息化部、公安部、国家认

监委等部门相继发布网络关键设备和网络安全专用产品

目录，确定承担安全认证和安全检测任务的机构，明确

认证检测结果统一发布流程，制定《信息安全技术网络

安全专用产品安全技术要求》强制性国家标准。

这次五部门联合发布《公告》，统一网络安全专用

产品认证检测制度，停止颁发《计算机信息系统安全专

用产品销售许可证》，停止执行政府采购领域信息安全

产品强制认证要求，是落实《网络安全法》关于推动安

全认证和安全检测结果互认规定的重要举措，对统一网

络安全产品安全要求、提升产品整体安全防护能力，减

轻网络安全企业负担、营造良好产业发展环境，发展强

大网络安全产业、增强国家网络安全能力具有重要意

义。

问：哪些网络安全专用产品需要按照《公告》要求 ：哪些网络安全专用产品需要按照《公告》要求

开展安全认证或者安全检测? 开展安全认证或者安全检测?

答：2017年，国家网信办会同相关部门发布了《网

络关键设备和网络安全专用产品目录（第一批）》，包

括数据备份一体机、防火墙、WEB应用防火墙、入侵检

测系统、入侵防御系统、安全隔离与信息交换产品、反

垃圾邮件产品、网络综合审计系统、网络脆弱性扫描产

品、安全数据库系统、网站恢复产品等11类网络安全专

用产品，并通过性能指标界定了范围。列入这个目录且

在性能指标要求范围内的网络安全专用产品，需要按照

《公告》要求进行安全认证或安全检测。

目前，国家网信办正会同工业和信息化部、公安

部、国家认监委等部门，根据技术发展情况和监管要

求，参考有关国家标准，动态调整《网络关键设备和网

络安全专用产品目录》。请大家密切关注国家网信办后

续发布的有关公告。

问：哪些认证检测机构是具备资格的机构? ：哪些认证检测机构是具备资格的机构?

答：具备资格的认证检测机构是指《国家认监委工

业和信息化部公安部国家互联网信息办公室关于发布承

担网络关键设备和网络安全专用产品安全认证和安全检

测任务机构名录（第一批）的公告》中认证检测范围包

含网络安全专用产品的机构。

国家网信办将会同相关部门建立健全认证检测机构

监督管理制度，对认证检测机构定期开展评估，不符合

技术领先，专业服务。 实时新闻

www.cciss.com.cn Technology Leading， Professional Services.

10-11

来源：《湖南日报》

工作要求的，依法依规进行处罚。各认证检测机构不得

要求企业对多种检测项目开展捆绑检测。企业发现认证

检测机构违规行为的，可以向国家网信办举报。

问：安全认证和安全检测依据什么标准? 问：安全认证和安全检测依据什么标准?

答：网络安全专用产品依据GB42250《信息安全技

术网络安全专用产品安全技术要求》强制性国家标准开

展安全认证和安全检测。

认证检测过程中也将参考与之相配套的、针对具体

产品类别的国家标准。全国信息安全标准化技术委员会

已发布一系列具体产品类别的国家标准，如GB/T

20281-2020《信息安全技术防火墙安全技术要求和测试

评价方法》、GB/T 20275-2021《信息安全技术网络入侵

检测系统技术要求和测试评价方法》、GB/T 28451-2012

《信息安全技术网络型入侵防御产品技术要求和测试评

价方法》、GB/T 30282-2013《信息安全技术反垃圾邮件

产品技术要求和测试评价方法》、GB/T 20278-2022《信

息安全技术网络脆弱性扫描产品安全技术要求和测试评

价方法》等。

问：产品生产者是否还需要申请《计算机信息系统 ：产品生产者是否还需要申请《计算机信息系统

安全专用产品销售许可证》? 安全专用产品销售许可证》?

答：自2023年7月1日起，《计算机信息系统安全专

用产品销售许可证》停止颁发，产品生产者无需申领。

问：政府采购领域如何执行《公告》要求? 问：政府采购领域如何执行《公告》要求?

答：2023年7月1日之前，在政府采购活动中采购网

络安全产品的，仍然执行原规定，即国家信息安全产品

认证在政府采购法规定的范围内强制实施，各级国家机

关、事业单位和团体组织使用财政性资金采购信息安全

产品的，应当采购经国家认证的信息安全产品。

2023年7月1日起，在政府采购活动中采购网络安全

产品的，不需产品提供国家信息安全产品认证证书。政

府采购活动中不得要求或者采取加分等措施变相要求投

标产品同时满足安全认证合格和安全检测符合要求。

问：安全认证和安全检测结果如何发布? 问：安全认证和安全检测结果如何发布?

答：认证检测机构会直接通过网络关键设备和网络

安全专用产品认证检测结果发布系统报送安全认证合格

或者安全检测符合要求的网络安全专用产品清单，有关

主管部门审核后，由国家网信部门会同工业和信息化

部、公安部、国家认监委统一公布，供社会查询和使

用。

问：2023年7月1日起，产品生产者是否需要同时进 ：2023年7月1日起，产品生产者是否需要同时进

行安全认证和安全检测? 行安全认证和安全检测?

答：不需要。安全认证合格或者安全检测符合要

求，具有同等市场准入效力，产品生产者不必重复申

请。同一款产品在有效期内重复申请的，国家网信办不

再公布认证检测结果。

2023年7月1日起，列入《网络关键设备和网络安全

专用产品目录》的网络安全专用产品应至少符合以下条

件之一，方可销售或者提供：一是依据《公告》要求，

按照《信息安全技术网络安全专用产品安全技术要求》

等相关国家标准强制性要求，由具备资格的机构安全认

证合格或安全检测符合要求的;二是此前已经获得《计算

机信息系统安全专用产品销售许可证》，且在有效期内

的。

未列入《网络关键设备和网络安全专用产品目录》

的其它相关产品，如法律法规没有特殊规定，可按照市

场需求销售或者提供。

IT产品信息安全认证关键技术研究的研究报告

综上所述，在IT产品信息安全认证过程中，应针对

其安全性能关键技术进行科学研究，以保障IT产品的安

全可信度。通过漏洞评估技术、密码学技术和安全审计

技术等关键技术的研究和应用，可以有效提高信息系统

安全性水平，降低信息泄露风险，为用户的安全与可靠

使用提供坚实保障。近年来，互联网技术与信息化的快

速发展推动了IT产品的广泛应用，同时也引发了信息安

全问题的关注。根据相关数据分析，在IT产品信息安全

领域仍存在着可观的安全风险，其中网络攻击、数据泄

露及违规安全操作等问题较为突出。

据权威统计数据显示，截至2021年，全球网络攻击

事件持续上升，其中勒索软件攻击更是增长迅猛。2020

年全球发生网络安全事件近2亿次，占全球所有恶意攻击

的75%。具体来看，勒索软件攻击次数、网络钓鱼事

件、恶意软件和勒索软件的数量、账号密码泄露和身份

信息泄露等问题十分突出。网络攻击事件的增多，给人

们的网络安全带来了很大的威胁。

同时，据有关调查表明，企业数据泄露问题也有所

升级。从2018年到2021年，全球数据泄露数量的增长趋

势呈逐年上升，其中敏感数据泄露占主导。2020年上半

年，全球数据泄露事件达到2434起，累计影响数量高达

367亿条用户数据，尤以美国、巴西、印度、澳大利亚、

英国等国居多。数据泄露一旦发生，不仅直接损害了用

户的利益和隐私，同时也会损害企业的声誉和信誉。

此外，违规安全操作也成为当前IT产品信息安全中

的另一个突出问题。违规操作是指人为因素造成的安全

问题，如密码不安全、硬件设备不规范、控制不严等问

题。根据调查报告，约有70%的信息安全问题与人员因

素有关，员工或管理者的不规范操作居多。因此，使用

者的信息安全意识也成为保障产品信息安全的重要环

节。

综上所述，当前IT产品信息安全领域面临着许多挑

战。网络攻击、数据泄露及违规操作等问题都可能导致

信息安全认证是对IT产品安全性能进行判断、评估

相关指标并最终给予证明的过程。在当前网络化、互联

网化的IT环境中，越来越多的IT产品被广泛应用，并且

IT产品的安全性成为了用户与生产厂商均必须高度重视

的问题。IT产品的开发过程中应当对其进行信息安全认

证，以确保其在使用过程中的安全可信度。针对IT产品

信息安全认证中的关键技术进行研究可以有效提升相关

人员的安全意识，有助于提高信息安全水平，保障用户

的信息安全。

一、漏洞评估关键技术

漏洞评估技术作为信息安全评价的核心技术之一，

在整个IT产品信息安全认证的过程中占有重要地位。漏

洞评估技术的应用可使得安全评估更具可信度和有效

性。制定细致的测试计划和测试用例，采用常见漏洞扫

描工具、手工测试以及安全代码审查等方法，进一步检

验IT产品防御能力、是否有漏洞等，从而在产品设计、

开发、运营等过程中及时发现和解决问题。

二、密码学关键技术

密码学技术对信息安全备受重视，尤其在信息传输

过程中扮演着安全加密的角色。选取强度足够的加密算

法和密钥长度，避免被攻击者暴力破解，确保保护数据

的私密性和完整性。同时，对密钥管理和分发进行规范

化，确保各环节安全。最后，在IT产品的密码学设计中

合理选择加解密算法，使其更加难以被破解。

三、安全审计关键技术

IT产品的操作日志是安全审计的关键点。安全审计

主要针对各种安全事件，分析并追溯安全事件的起源，

找出问题，并采取相应措施。安全审计需要自动遍历庞

大的系统记录，只有借助信息安全事件的全面溯源才能

确保安全状态可靠性，并获得有效的安全防范反馈。而

在实践过程中，可以采用自动化审计工具，收集操作数

据，安全审计人员使用工具进行数据分析和安全事件检

测。

技术领先，专业服务。 www.cciss.com.cn Technology Leading， Professional Services. 知识分项 12-13

数据财产、客户信任与企业声誉受损。针对这些问题，

需加强IT安全管理和技术研发，提高用户和从业人员的

信息安全意识，改变软件开发生态，建立和完善信息安

全保障体系。只有这些方面同步发力，才能够更为有效

地防范各种安全威胁。随着云计算、人工智能、大数据

等新兴技术的持续发展，IT产品安全问题也面临了更多

的挑战。其中，物联网、移动支付、无线电子商务等领

域的兴起，促进了信息交换和数字化服务的便捷化，但

同时也加剧了信息安全隐患。

在物联网领域，随着智能家居、智能汽车等智能设

备的普及，与网络相关的安全威胁和漏洞也逐渐变得普

遍。物联网中设备共享的安全漏洞、未加密的通信等问

题，会对数据的隐私性带来很大的风险。特别是在智能

制造领域，不仅资产安全、产能安全、质量安全受到挑

战，还可能导致产业链金字塔在管理运作上的问题，导

致物联网的安全问题趋于复杂化。

在移动支付领域，移动支付搭载在移动终端上，用

户在使用支付功能时需要绑定银行卡信息，同时也必须

经过手机应用或网页端的认证才能完成支付操作。但移

动终端本身更容易被黑客攻击，泄露用户密码和支付信

息，从而造成资金的安全风险。此外，移动支付的信息

传输中也存在着窃听、伪装等风险，如果未能得到妥善

处理，会对支付安全构成较大威胁。

无线电子商务领域也存在着不少安全问题。无线通

讯的广泛应用带来了更多的安全挑战，如电子邮件、移

动端短信、即时通讯等都存在着劫持、伪造、恶意代码

等问题。无线电子商务在传输、存储、支付等环节中需

要处理大量的信息，安全漏洞会导致用户支付信息、客

户联系方式等隐私泄露，给消费者带来实质性的财产损

失。

针对这些问题，需要加强技术研发和安全管理，建

立完善的监测和防御机制，同时还需要借鉴国际信息安

全标准，注重信息安全意识和技能的培养，提高用户和

从业者的信息安全素养。此外，应加强跨行业、跨领域

的信息安全合作，加强对信息安全最前沿研究成果的汇

聚和整合，共同维护互联网的安全与发展。安全问题是

当前数字化时代面临的一个重要挑战。以下是一些真实

的安全事件案例，对其进行了分析和总结。

2017年5月，一名黑客攻击了数百万台电脑，通过

勒索软件对受害者进行勒索。这次攻击成为了史上最大

规模的挟持勒索事件之一，导致数十亿美元的损失。这

个案例表明，网络攻击已经成为一项重要的安全挑战。

攻击者可以通过不断发展的技术手段，快速地伤害成千

上万的受害人。企业必须采取措施保护自己的客户和员

工，加强网络安全投入，发展先进的安全策略和技术，

以保护其网络资产以及与客户和供应商的关系。

2018年1月，美国移动运营商AT&T被曝出在数十万

个客户账户中曾存在一些安全漏洞。这些漏洞使得攻击

者有可能获取用户登录信息、购物、账单等敏感信息。

此外，攻击者还可以通过这些漏洞进行网络钓鱼攻击，

操作客户的账户，从而导致经济损失。这个案例表明，

企业必须十分重视用户数据的保护。他们必须确保他们

的客户数据安全，并采取适当的措施，以确保不会暴露

敏感信息。

2019年7月，高通公司和英特尔公司在出现某些令

人担忧的漏洞之后，被迫撤回了合作电脑芯片。这个案

例突显了IT行业内设备安全的重要性。现今，许多公司

的核心技术都依赖于IT设备，设备的安全问题会对企业

带来巨大的财务损失和声誉损失。企业可以通过设立安

全运营中心、采用聚合风险评估、培训员工等措施来加

强机构内部安全管理。

总的来说，安全是当前数字时代的重要挑战。虽然

安全漏洞的形式多样，但企业可以采取一系列措施来保

护自己的系统、资产和员工。这些措施包括发展安全策

略和技术、加强客户和员工数据保护、确保设备和供应

链安全等。安全意识和行为在企业内部的重要性也不言

而喻。捍卫安全需要各方合作，行业间内部及国际间通

力合作，以确保所有参与者的数字化体验安全和舒适。

来源：《百度文库》

IT信息技术企业可以做哪些认证？

国际上兴起的现代安全生产管理模式，它与ISO9000

和ISO14000等标准体系一并被称为“后工业化时代的管

理方法”。职业健康安全管理体系产生的主要原因是企

业自身发展的要求。随着企业规模扩大和生产集约化程

度的提高，对企业的质量管理和经营模式提出了更高的

要求。企业必须采用现代化的管理模式，使包括安全生

产管理在内的所有生产经营活动科学化、规范化和法制

化。

ITSS信息技术服务标准

ITSS是Information TechnologyService Standards的缩

写，中文意思是信息技术服务标准，是在工业和信息化

部、国家标准化委的领导和支持下，由ITSS工作组研制

的一套IT服务领域的标准库和一套提供IT服务的方法

论。

ITSS的生命周期主要包含五个阶段，第一个阶段是

规划设计阶段，主要是负责对IT服务进行全方位的规划

与设计，第二个阶段是部署实施阶段，即根据第一阶段

的规划设计建立相应的管理体系，对IT服务的构成元素

进行合理分配，并且提出服务解决措施，第三个阶段是

服务运营阶段，即通过全方位的过程管理，确保业务具

备持续性，让客户的运营与IT服务的运营结合到一起，

第四个阶段是持续改进阶段，即定期进行检查和评审，

及时发现IT服务过程当中出现的问题，及时进行改进，

以便于提升IT服务质量，第五个阶段是监督管理阶段，

即按照ITSS相关质量评价标准，进行相关服务的考核，

评价在IT服务过程中的服务质量情况，监督服务交付的

过程与结果，并且进行考核与评估。

CMMI软件能力成熟度模型集成模型

CMMI能力成熟度模型集成是全套世界级的绩效改进

框架，是以指引那些在竞争中希望获得绩效表现的组

织。建立在组织的业务绩效目标的基础之上，CMMI提供

互联网技术通过计算机网络使不同的设备相互连

接，加快信息的传输速度和拓宽信息的获取渠道，促进

各种不同的软件应用的开发，改变了人们的生活和学习

方式。互联网技术的普遍应用，是进入信息社会的标

志。 越来越多的政府机构、事业单位、大型企业都在利

用互联网技术改造升级，来提高管理水平和办事效率，

做到更好的为民服务。

那么IT信息技术企业可以通过哪些认证来证明自己

的技术优势，提高自己的市场竞争力，获取更多的订单

呢？

ISO9001质量管理体系

质量是取得成功的关键。由不同的国家政府，国际

组织和工业协会所做的研究表明，企业的生存，发展和

不断进步都要依靠质量保证体系的有效实施。ISO9000系

列质量体系被世界上110多个国家广泛采用，既包括发达

国家，也包括发展中国家，使市场竞争更加激烈，产品

和服务质量得到精益提升。事实证明，有效的质量管理

是在激烈的市场竞争中取胜的必备条件。

ISO14001环境管理体系

ISO14001认证全称是ISO14001环境管理体系认证，

是指依据ISO14001标准由第三方认证机构实施的合格评

定活动。ISO14001是由国际标准化组织发布的一份标

准，是ISO14000族标准中的一份标准，该标准于1996年

进行首次发布，2004年分别由ISO国际标准化组织对该标

准进行了修订，目前最新版本为ISO14001-2015。

ISO14001认证适用于任何组织，包括企业，事业及相关

政府单位，通过认证后可证明该组织在环境管理方面达

到了国际水平，能够确保对企业各过程、产品及活动中

的各类污染物控制达到相关要求，有助于企业树立良好

的社会形象。

ISO45001职业健康安全管理体系

技术领先，专业服务。 www.cciss.com.cn Technology Leading， Professional Services. 知识分项 14-15

完整套过程改进实践，并最终建立整套绩效改进体系，

这套体系为组织更好的运行和实现更好的绩效表现扫清

障碍。与其他方法不同的是，CMMI不仅可以帮助提升组

织的过程，而且CMMI内置的实践还能帮助提升组织既有

的绩效改进方法，使组织获得良好的投资回报。

CCRC信息安全服务资质

信息安全服务资质是信息安全服务机构提供安全服

务的一种资格，包括法律地位、资源状况、管理水平、

技术能力等方面的要求。信息安全服务资质认证是依据

国家法律法规、国家标准、行业标准和技术规范，按照

认证基本规范及认证规则，对提供信息安全服务机构的

信息安全服务资质进行评价。

CS信息系统建设和服务能力评估

“信息系统建设和服务”是指通过结构化的综合布

线系统，运用计算机网络技术和软件技术，将各个分离

的设备、功能和信息等集成到相互关联的、统一和协调

的系统之中，以及为信息系统正常运行提供支持的服

务，包括信息技术咨询、软件开发、数据处理，及信息

系统的设计、开发、集成实施、运行维护和运营服务

等。

ISO27001信息安全管理体系认证

ISO27001认证是关于信息安全管理体系认证，

ISO27001将有效保证企业在信息安全领域的可靠性，降

低企业泄密风险，更好的保存核对数据。

ISO20000信息技术服务管理体系

ISO/IEC 20000是世界上第一部针对信息技术服务管

理（IT Service Management）领域的国际标准，该标准代

表了广泛认可的评估IT服务管理流程的原则的基础。

ISO27701隐私管理体系

是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安

全控制的隐私扩展。它是一项国际管理系统标准体系，

为保护个别隐私提供指导，包括组织应如何管理个别信

息，并协助证明遵守了世界各地的隐私法规。

ISO27017云服务信息安全管理体系认证

ISO27017是保护云服务安全的国际标准，2015年12

月15日正式发布是适用于云服务提供商和云服务客户，

该标准主要是为这两种类型客户而设立。是专门针对云

计算服务的信息安全控制措施实用标准，为云服务行业

提供了ISO/IEC 27002的指南，与ISO/IEC 27001标准配合

使用，将有效加强对云服务提供商及云服务客户的管理

能力。

ISO 27018云隐保护认证

ISO27018认证是首个专注于云中个人数据保护的国

际行为准则。它基于ISO信息安全标准27002，并针对适

用于公有云个人可识别信息（PII）的ISO 27002控制体系

提供了实施指南，以确保个人身份信息（PII）资料在经

由云个人身份信息处理者处理时得到适当保护，从而为

在多国市场运营的云服务提供商提供一个共同合规框

架。

ISO27018认证又称“云隐保护认证”，主要针对云

服务商对云中个人数据的安全防护的国际标准认证，旨

在为云个人身份信息处理者提供一套实务守则，以保护

公共云中的个人身份信息（PII）不受侵犯，是目前国际

上最权威、最严格、也是最被广泛接受和应用的信息安

全体系认证。

ISO22301业务连续性管理体系

ISO 22301适用于所有工业中的大、中、小型公有及

私有组织，并且特别适用于处于高风险和高度监管环境

下的金融业、IT通信业、制造业等。各行各业的企业对

国际及中国地区不断频发的自然灾害及人为事故，其业

务运作的不确定性和风险都被大幅度增加，而加强企业

业务连续性管理则成为了打造最佳企业应急预案的必备

选择。

涉密系统集成资质

是指从事涉密系统业务的单位所需要具备的从事涉

及国家秘密活动的资格和保守国家秘密的能力。这种的

“涉密系统集成”，包括涉密系统工程的规划、设计、

开发、实施、服务及保障等工作。

AAA级企业信用

协会以市场第三方认证机构的名义，依照国际惯例

和法律规定，采用市场监测手段，对企业的讲诚信守合

同重质量典范企业进行全面的监测、研究和判断;并在媒

体发布科学、客观的评价信息，向社会公开推荐和展示

获此殊荣的企业，指导采购人员有目的地选购产品或接

受服务，有利于官方对讲诚信守合同重质量典范企业的

了解，开展招标采购活动，有利于企业国际形象的提

升。

售后服务认证

商品售后服务认证是依据《商国务院2014年26号文

件《国务院关于加快发展生产性服务业促进产业结构调

整升级的指导意见》中要求：“鼓励企业将售后服务作

为开拓市场、提高竞争力的重要途径，增强服务功能，

健全服务网络，提升服务质量，完善服务体系。

完善产品“三包”制度，积极运用互联网、物联网、

大数据等信息技术，发展远程检测诊断、运营维护、技

术支持等售后服务新业态。商品售后服务认证是依据《商

品售后服务评价体系》标准（GB/T27922-2011），对企

业的服务能力进行审核，对服务水平做出评价。越来越

多的企业认识到售后服务是企业市场竞争的最后一张王

牌，只要是在中华人民共和国内合法经营的企业都可以

申请认证，包括制造有形商品的企业、销售有形商品的

企业、提供无形商品（服务）的企业。

企业诚信管理体系

《企业诚信管理体系GB/T31950-2015》认证是十九

大提出推进社会诚信体系建设的重要组成部分，是企业

白话说CC-信息安全通用标准CC是什么？

评估保障级EAL有是什么？如何获得信息安全认证证书

品卖往不同国家，跨国企业不得不在各个国家分别进行

认证。每个认证需要人力物力不说，这些认证还存在相

同之处，企业还得重复劳动。此外，由于各个认证之间

没有可比性，消费者在购买商品时需要花费大量时间去

比较产品，这无形的增加消费者负担。有道是，天下大

势合久必分，分久必合。终于大家坐不住了，在1993

年，以美英为首的6国7集团决定联合制定一个通用标准

Common Criteria，也就是CC，还成立了CC互认组织

（CCRA）。

CC可厉害了！首先，CC适用于所有IT产品的检测，

不管是硬件、软件还是固件，都能在同一个框架下评

估；其次，CC融合了TCSEC、ITSEC、CTCPEC等标准，

站在巨人肩膀上又超越了这些标准，更能适应信息技术

的发展，这就为CC标准通用性提供了技术支撑；最厉害

的是，CC评估结果在CCRA中互相认可。

CC自1995年建立以来，历经了多次演变。目前最新

版是CC3.1版本，CC4.0版本正在修订中，预计2021年发

布。20多年来，CC不改初心，一直朝着减少标准复杂

性、适应新型产品需求，在保证安全性的同时降低评估

成本方向发展。

小黑：小白，小白听说了吗，中国金融认证中心

（CFCA）信息安全实验室检测的一款芯片获得了EAL5+

认证证书！

小白：听说啦，这可是行业内的大新闻呢。EAL5+

级别可是CC体系中较高的评估保障级。以前咱们国家这

个领域证书最多到EAL4+级别，现在终于有EAL5+的

了，这可意味着国家在这个领域技术向着国际先进水平

迈出了坚实的一步。

小黑：嗯嗯，听起来蛮振奋人心。说到CC还挺迷糊

的，有道是以史为鉴可以知兴替，要不你先给我讲讲CC

的背景吧。

小白：可以说CC顺着商业全球化的“运”，终结了

标准各自为政的时代。自打上世纪70年代信息时代的到

来，信息产品得到了普遍且广泛的应用，安全问题也随

之成为了焦点。但是安全往往很敏感，跟政治关系密

切。所以在CC出现之前，每个国家各自为政制定自己的

产品安全评估的标准。3个代表性的标准是1983年美国发

布的TCSEC、1991年由英法德荷欧洲四国制定的ITSEC，

以及1993年加大拿制定的CTCPEC。

但是呢，分散的标准不利于全球化的商业活动。产

形象和品牌的重要标志，更是企业的无形资产。为更好

地加强政务诚信、商务诚信、社会诚信和司法公信建

设，依据国家颁布的《企业诚信管理体系》标准建立诚

信管理体系，有效控制诚信风险，经营百年基业。企业

诚信管理体系认证是由国家认证认可监督管理委员会批

准的认证机构，依据国家标准：《GB/T 31950-2015 企

业诚信管理体系》对企业信用风险防范、控制和转移的

管理技术、业务操作及相关的制度安排进行审核的一种

认证服务。

技术领先，专业服务。 www.cciss.com.cn Technology Leading， Professional Services. 知识分项 16-17

小黑：CC发展有点像秦始皇统一度量衡的意思呀。

听着还挺有意思的，再说说，CC具体都包括啥内容呀？

小白：目前的CC3.1版本包含三个内容，第一部分简

介和一般模型，描述了CC体系中所使用的基本概念以及

对PP（保护轮廓）和ST（产品的安全目标）的评估要

求。第二部分是安全功能要求（SFR），用标准化方式

描述IT产品可以提供的安全功能的特征。第三部分是安

全保障要求（SAR），定义了为保证IT产品安全功能实

现的正确性，开发者和评估者所需要活动。听着有点抽

象吧，先听个大概，具体细节我们以后再解释。

小黑：哦，确实有点晕。那EAL5+是怎么回事，与

CC三部分什么关系？

小白：EAL是评估保障级的缩写啦。把保障级看作

置信度就好啦，信任的对象是：产品已经正确实现了其

声称的安全措施。保障级的高低这样来理解吧，越高的

保障级说明开发过程越规范化，送检方给评估者提供越

多信息，评估的内容也越丰富，获证之后消费者就会越

放心使用这款产品。一言以蔽之，通过高保障级的产品

能让消费者更相信这款产品的确实现了其所声称的安全

措施。

再多说一句吧，CC预定义了7个保障级，每个保障

级由一些安全保障要求组成。满足了保障级相应的安全

保障要求，就达到了相应的保障级。高保障级从深度和

广度两方面扩展低保障级，以此增加消费者信心。举个

小栗子，EAL5+在EAL4+基础上提高了要求，开发者需

要用半形式化描述设计文档。

小黑：那CC的评估框架是啥呢？为啥CC适用于所有

IT产品呢？

小白：CC之所以适用所有IT产品，因为CC找到了IT

产品共通点，无论什么产品形式，最终的目的是保护IT

产品内部的资产，比如用户数据是芯片所保护的资产之

一。

因此CC框架要求产品开发者从资产出发，明确IT产

品保护的资产，分析资产所有的安全问题（主要是来自

外部的威胁，例如侧信道攻击导致信息泄露），然后根

据安全问题提出保护资产的安全措施。然后CC从两个方

向评估安全措施，一个是安全措施的充分性，即正确运

行所有的安全措施可以抵御对资产的威胁；另一方面是

确保所声称的安全措施实现的正确性。

充分性的评估，可以分析产品的安全目标中安全功

能要求是否能解决所有的安全问题。正确性评估则需要

根据安全保障要求定义的活动检查产品从研发、测试到

交付过程中的各个环节，保证产品实现的正确性，避免

在各个环节引入脆弱性。评估活动包括测试产品、检测

产品的各种设计表示，检查产品开发环境的物理安全

等。

小黑：说白了就是CC关注安全措施的正确性和充分

性，SFR负责充分性，SAR负责正确性呗？

小白：机智~，无图无真相，看图：

1983 TCSEC,US

1991 ITSEC,EU

1993 CTCPES,CAN

1999 2005 2009 2021

CC2.1 CC2.3 CC3.1 CC4.0

CC演变

CC

Part1：

简介和一般模型

Part2：

安全功能要求（SFR)

Part3：

安全保障要求（SAR)

消费者信心

EAL7：形式化验证的设计和测试

EAL6：半形式化验证的设计和测试

EAL5：半形式化设计和测试

EAL4：系统地设计、测试和复查

EAL3：系统地测试和检查

EAL2：结构测试

EAL1：功能测试

Threats Assest

Countermeasures

Sufficient

Security

objective

STR

Corretness

SAR

其他证据文档

TOE评估

ST

小黑：前面说到评估需要每个产品有一个安全目

标，反映其安全措施是否充分是吧？其实一类产品会面

对同样的安全问题，每个产品都重复定义一遍好麻烦

呀。如果两个相同类型的产品定义了不同的资产、安全

问题怎么评估呢？对于这些问题CC有解决办法吗？

小白：没错，每个产品都需要有一个安全目标，因

为产品的安全目标描述产品具体实现的安全功能，与实

现紧密相连。对于一类产品的评估方法，CC的解决办法

是一堆业界专家坐下来，对于某个类型产品定制一个PP

（Protection Profile）。由PP定义此类产品需要保护的资

产，所面临的安全问题，以及与实现无关的安全需求。

因为业界专家共同编的PP嘛，所以定义的内容还是蛮有

普适性的。目前国际上评估芯片产品用的是PP0084。简

单说，产品的安全目标约等于pp内容+实现相关内容，

这就完美回避了你说的同类型产品定义了不同资产这种

问题啦。说这么多，其实都可以理解为PP可以作为该类

产品的检测依据啦。

小黑：对了，为啥老说国际CC和国内CC呢？他俩有

啥区别？

小白：之前也说过，CC的评估结果在CCRA中互

认，但是中国并不包括在CCRA之内。所以国内专家就

参考ISO15408（也就是CC的国际化版）框架编写，同时

加入了一些本土化的部分，就成为了国内的CC。本次

EAL5+认证检测的依据GB/T 22186-2016也是参考了国际

CC中芯片类PP，PP0035（PP0084的前一版）编写而

成。是不是颇有点本是同根生的意味呢。

小黑：CC标准不错，那怎么保证标准的执行呢？谁

去监督和检查呢？国内CC怎么认证的呢？

小白：好问题，国内外CC都使用的认证+检测的方

式，来保证评估结果的客观性的。认证机构会定义一套

专门的实施规则指导CC评估的实施。在国内，CCRC是

IT产品信息安全认证中心，能够为通过认证的产品发

证。CCRC的实施规则中采用国际最通用的认证模式：型

式试验+工厂检查+获证监督这种模式。

认证参与者主要包括认证机构、送检企业和检测机

构三方。送检企业提交产品资料，检测机构实施检测，

认证机构对检测机构的检测活动进行监督和管理，审核

检测机构出具的报告，审核通过后为送检企业颁发认证

证书。具体问题可以咨询CFCA信息安全实验室，他们可

是CCRC授权的检测实验室。

来源：《百度文库》

小黑：:今天讲的内容太多了，我要回去消化一下，

下次再和你聊啦

小白：好的。See you

ISO/IEC15408-1:2009

《Information

technology-Security

techniques-Evaluation

criteria for lT security 》

GB/T 18336-2015

《信息技术安全技术信息

技术安全评估准则》

BSI-PP-0035

Eurosmart Smartcard

lCPlatform Protection

Profile》

GB/T 22186-2016

《信息技术具有中央处理

器的IC卡芯片安全技术

要求》

认证机构

工厂检查、

证后监督

送检企业

送样、检测

监督管理 检测机构

技术领先，专业服务。 www.cciss.com.cn Technology Leading， Professional Services. 知识分项 18-19

产品认证Vs体系认证，你能分清楚吗？

四、产品质量认证和质量管理体系认证的不同之处

1、认证对象不同

产品质量认证的对象是批量生产的定型产品。如各

品种等级的水泥产品。水泥产品质量认证可以进行等级

品认证，如优等品认证、一等品认证、合格品认证。

质量管理体系认证的对象是申请认证方组织的质量

管理体系，不考虑产品的等级品。

2、获准认证的条件不同

《中华人民共和国质量认证管理条例》第三章第十

条规定：“提出申请认证的企业应当具备以下条件：

（一）产品质量符合国家标准或行业标准要求；

（二）产品质量稳定，能正常批量生产；

（三）生产企业的质量体系符合国家质量管理和质

量保证标准及补充要求。”水泥产品质量获准认证至少

应满足以下四个条件：

1）产品质量符合国家标准和行业标准要求；

2）产品质量符合《水泥产品认证补充技术条件》要

求；

3）产品质量稳定，能正常批量生产；

4）质量管理体系符合《水泥产品质量保证要求》。

水泥企业质量管理体系认证获准认证至少要满足以下三

个条件：

①产品质量符合国家标准和行业标准要求；

②产品质量稳定，能正常批量生产；

③、质量管理体系符合GB\\T19001-2016（ISO

9001：2015）标准要求。

3、产品检验要求不同

产品质量认证要求在受审核方现场，按国家规定的

抽样方法对认证产品进行抽样，送认证机构指定的检验

机构对产品进行型式检验。水泥产品质量认证要求：对

于初次认证产品，每一认证单元抽取一个混合样，任选

一认证单元抽取十个分割样，任选一认证单元抽查袋

重，对于监督检查、扩大和复评（现称到期确认）认证

只抽一个混合样并抽查袋重。

质量管理体系认证不论初次认证、监督检查、扩大

和复评认证都不抽样，不做产品型式检验。

4、认证的性质不同

产品质量认证分为强制性认证和自愿认证两类。凡

涉及人类健康和安全，动植物生命和健康，以及环境保

护和公共安全的产品必须按国家规定要求进行强制性产

品认证。否则，不得出厂销售、进口和在经营性活动中

认证是市场经济条件下加强质量管理、提高市场交

率的基础性制度，是由国家认监委批准的具有专业能力

的第三方认证机构，通过评审，颁发公示证书，以证明

其产品质量、服务质量、管理绩效、人力资源等相应的

地方符合相关标准和技术规范的程度。

一、关于我国目前认证的类型

我国目前认证的类型主要分为：产品质量认证和管

理体系认证。

产品质量认证分为：CCC国家强制性认证；有机产

品认证；CQC自愿认证。

管理体系认证有：ISO9000质量管理体系认证；

ISO14000环境管理体系认证；OHSMS职业健康安全管理

体系认证；SA8000社会道德责任认证；HACCP食品安全

控制体系认证等。不同行业的企业可以做不同的管理体

系认证，如：水泥企业的认证主要有：水泥产品质量认

证、ISO9000质量管理体系认证、ISO14000环境管理体系

认证、OHSMS职业健康安全管理体系认证。

二、产品质量认证和质量管理体系认证的概念

1、关于认证

ISO\\IEC指南2中关于“认证”的定义是：“第三方

依据程序对产品、过程或服务符合规定的要求给予书面

保证（合格证书）”。

2、关于产品质量认证

《中华人民共和国产品质量认证管理条例》第一章

第二条的定义是：“产品质量认证是依据产品标准和相

应技术要求，以认证机构确认并通过颁发认证证书和认

证标志来证明某一产品符合相应标准和相应技术要求的

活动”。

3、关于质量管理体系认证

质量管理体系认证是指经认证机构依据质量管理体

系标准对组织的质量管理体系进行检查、评定、确认并

颁发体系认证证书来证明该组织的质量管理体系符合相

应标准要求的活动。

三、产品质量认证和质量管理体系认证的相同之处

通过上述定义可以看出，产品质量认证和质量管理

体系认证最大的共同点就是两者同属认证的范畴，都具

有独立的第三方质量认证的特征。具体地讲相同之处：

1、产品质量认证和质量管理体系认证都具有独立的

第三方质量认证的相同认证特征。

2、申请认证方都必须具有提供满足顾客和适用的法

律法规要求的产品的能力。

使用。国家规定，凡是不属于强制性认证范围的产品，

实行产品质量认证自愿的原则。水泥产品目前尚属于自

愿认证的范围。

质量管理体系认证全部实行自愿的原则。

5、证明的方式不同

产品质量认证的证明方式是产品认证证书和产品认

证标志，证书和标志证明该产品符合产品标准和认证条

件的要求。证书中允许标明产品的质量等级，如优等

品、一等品、合格品等，而且只能一品一证，即一个产

品只能发一张证书，该产品的认证证书对其他产品无覆

盖性。

质量管理体系认证的证明方式是质量管理体系认证

证书和认证标记。证书和标记只证明该组织的质量管理

体系符合质量管理体系标准的要求，证书中也不标明产

品的质量等级，仅证明该组织有能力稳定地提供满足顾

客和使用的法律法规要求的产品。质量管理体系认证证

书可以多品一证，即经认证机构确认符合要求的多个产

品填写在一张证书上，它具有一证覆盖多个产品的属

性。

6、证明的使用不同

产品质量认证证书不能在产品上使用，认证标志可

用于获准认证的产品上。质量管理体系认证证书和认证

标志都不能在产品上使用。

7、认证证书的有效期不同

产品质量认证证书有效期为五年。质量管理体系认

证证书有效期为三年。

来源：《质量派》

工业控制产品信息安全认证现状与展望

产品认证制度在产品生产、销售以及使用中具有重

要作用。企业生产的产品获得产品认证证书，表明该产

品符合相应的标准和技术要求。第三方测评机构依据产

品评估准则和相关技术要求，对产品的性能进行评价，

旨在保护用户信息安全，维护用户利益。同时，产品认

证标志也是企业通向市场的钥匙。信息安全认证是为了

证明某一种产品具备信息安全方面的能力及技术要求。

在传统信息安全领域，大多数著名厂商都已经通过相关

产品认证，如公安部计算机系统安全产品质量监督检验

中心的销售许可证，部分厂商还已经获得由中国网络安

全审查技术与认证中心（CCRC）颁发的IT产品信息安

全认证，表明其具备更高一级的信息安全保护能力。目

前，和利时、匡恩、海天炜业、珠海鸿瑞等国内工控安

全厂商的工业防火墙、工业隔离网关等工业信息安全产

品均已获得该认证。中国网络安全审查技术与认证中心

的IT产品信息安全认证也包括工业控制产品的部分，据

悉，目前国内仅有中电联宇装备科技（北京）有限公司

的超御N系列PLC产品通过了这一认证。

一、美国工业控制产品信息安全认证

美国工业控制产品信息安全认证主要是 ISASecure

认证。ISA 是国际自动化学会的简称，其为工业和关键

基础设施中使用的自动控制系统提供改善管理、安全和

网络安全工程技术标准。ISASecure 认证是 ISCI 基于

IEC62443 标准开发的合规性认证，是目前工业控制领域

最具权威安全认证。ISASecure 认证包括嵌入设备安全

保障认证、系统安全保障认证和安全开发生命周期保障

认证三大类。嵌入设备安全保障认证（Embedded Device

Security Assurance，EDSA），侧重设备级别的安全性保障，

技术领先，专业服务。 www.cciss.com.cn Technology Leading， Professional Services. 知识分项 20-21

来源：《电子技术应用》

认证对象是独立的工控设备，比如 PLC 等。系统安全保

障认证（System Security Assurance，SSA），侧重系统级

别的安全性保障，认证对象是工控系统，比如 DCS、

SCADA、SIS 等。安全开发生命周期保障认证（Security

Development Lifecycle Assurance，SDLA），侧重安全开发

过程的保障，确保安全被正确地设计和落地，认证对象

是研发团队。目前 EDSA 认证推广得比较好，有 9 个厂

商 的 19 款 产 品 获 得 EDSA 认 证，包 括：Honeywell、

Schneider、Yokogawa、TOSHIBA、RTP、Hitachi、

HIMA、Azbil、Beijing Consen。ISASecure 为每一类认证

都定义了一套详细的规范文档及测试用例，方便厂家对

照规范进行自检。所有经过认证的产品或系统，都在

ISASecure 的官网（www.isasecure.org）有公布，这也方

便最终工业厂商参考该列表进行工控设备选型，可以有

效提升整个工控产业的安全保障。

二、欧洲工业控制产品信息安全认证

全球领先的第三方检测认证机构TüV南德意志集团

（以下简称“TüV南德”）根据IEC 62443系列标准为

西门子过程控制系统——Simatic PCS 7颁发证书，这是

世界范围内首个产品获得此类TüV证书。该证书的颁发

证明西门子产品符合IEC 62443-4-1及IEC 62443-3-3安

全标准的要求。Simatic PCS 7是一个可对持续制造过程

进行监控的过程控制系统，必须具备功能安全和工业信

息安全的高要求。国际标准IEC 62443的出台首次为工业

自动化和控制系统方面的工业信息安全认证提供了基

础，该系列标准针对工厂/系统，集成商/服务提供商以

及制造商的工业信息安全提出了严格要求，其中，对制

造商的认证基于IEC 62443-4-1，对系统集成商的认证基

于62443-2-4，而对系统安全功能的评估则依据IEC

62443-3-3。西门子此次获得的基于IEC 62443-4-1及

63443-3-3标准的认证，表明TüV南德专家确认Simatic

PCS 7过程控制系统符合IEC 62443-4-1及63443-3-3标准

的 相 关 要 求 。 同 时 ， T ü V 南 德 专 家 也 根 据 I E C

62443-3-3标准，对Simatic PCS 7已实现的安全功能进行

了评估。之后定期进行的审查则将确保Simatic PCS 7在

未来仍满足工业信息安全的相关要求。通过IEC 62443认

证过程，西门子对其工业自动化产品的安全方法进行了

文档记录，为集成商和运营商提供关于工业安全措施方

面的指导。

三、我国工业控制产品信息安全认证

在工业信息安全产品，如工业防火墙、工业隔离网

关等方面，我国目前比较通用性的证书有CCC产品认

证，计算机信息安全产品销售许可证、中国网络安全审

查技术与认证中心颁发的IT信息产品安全认证，其他比

较具有行业特殊性的如电力行业中国电科院颁发的电力

行业信息安全产品认证、国家保密科技测评中心颁发的

涉密系统信息安全产品认证、解放军信息安全测评认证

中心颁发的《军用信息安全产品认证证书》等，但是以

上均为针对信息安全产品的测评认证，目前为止，除中

国网络安全审查技术与认证中心外，均无对于工业控制

产品的信息安全认证。

四、我国工业控制产品信息安全认证展望

我国在工业信息安全领域起步较晚，但是发展较

快，这在很大程度上得益于政策支持。随着《网络安全

法》的实施，2017年6月，国家互联网信息办公室、工

信部、公安部、认监委四部门联合出台了《关于发布<

网络关键设备和网络安全专用产品目录（第一批）>的

公告》，PLC作为名录中唯一的工业控制产品榜上有

名，据此推测，在不久的将来，工业控制产品的信息安

全认证市场将会迎来快速增长。

美国和欧洲的认证制度以及认证方式对我国产品认

证具有重要借鉴意义，但是我们需要结合目前我国产品

认证的现状，制定针对我国市场的认证体系。笔者结合

自身的经验，对未来产品认证提出以下几点注意事项：

第一，充分认识标准在产品认证中的作用。

标准作为产品认证的主要依据，在产品认证体系中

具有基础性和标杆性作用。“产品认证，标准先行”，

只有具有比较可靠的标准，才能在实际检测认证过程中

具有影响力和说服力。目前国外工控安全领域比较著名

的标准如NIST SP 800-82以及IEC62443系列标准，国内

的如全国信息安全技术标准化委员会（TC260）发布的

《GB/T 32919-2016 信息安全技术工业控制系统安全控

制应用指南》等均可以进行借鉴。

第二，加强产品认证能力及队伍建设。

产品认证能力作为政府部门以及第三方测评机构提

供社会公信力的一个有效手段，代表着国家在此方面的

总体技术实力。此外我们还要加强产品认证队伍建设，

保证认证过程以及认证结果的可信性。

第三，推进产品认证培训。使生产者、销售者及使

用者广泛了解相关的认证制度及认证体系。产品认证的

最终受益者是产品的使用者、销售者以及生产者，在认

证初期，要加大宣传力度，对产品使用者以及生产者加

强引导，提高其对产品认证的目的以及意义的认识。

快收藏！各国出口产品认证大全

产品安全的人为因素进行分析，确定加工过程中的关键

环节，建立、完善监控程序和监控标准，采取规范的纠

正措施。

国际标准CAC/RCP-1《食品卫生通则1997修订3

版》对HACCP的定义为：鉴别、评价和控制对食品安全

至关重要的危害的一种体系。

5、EMC

电子、电器产品的电磁兼容性（EMC）是一项非常

重要的质量指标，它不仅关系到产品本身的工作可靠性

和使用安全性，而且还可能影响到其他设备和系统的正

常工作，关系到电磁环境的保护问题。

欧共体政府规定，从1996年1月1起，所有电气电子

产品必须通过EMC认证，加贴CE标志后才能在欧共体市

场上销售。此举在世界上引起广泛影响，各国政府纷纷

采取措施，对电气电子产品的RMC性能实行强制性管

理。国际上比较有影响的，例如欧盟89/336/EEC等。

6、IPPC

IPPC标识，即国际木质包装检疫措施标准。IPPC标

识用以识别符合IPPC标准的木质包装，表示该木质包装

已经经过IPPC检疫标准处理。

2002年3月国际植物保护公约发布了国际植物检疫措

施标准第15号出版物《国际贸易中木质包装材料管理准

则》，简称第15号国际标准，即为国际木质包装检疫措

施标准。IPPC标识用以识别符合IPPC标准的木质包装，

表示该目标装已经经过IPPC检疫标准处理。

二、欧洲认证

1、CE

CE 代表欧洲统一（CONFORMITE EUROPEENNE），

是一种安全认证标识，被视为制造商打开并进入欧洲市

场的护照。凡贴有 CE 标识的产品可以在欧盟各成员国

内销售，实现了商品在欧盟成员国范围内的自由流通。

在欧盟市场中销售，需要加贴CE标识的产品包括如

下：

出口认证是一种贸易信任背书，对许多外贸从业者

而言，产品的出口认证和当前的国际贸易环境一样复杂

多变，不同的目标市场、不同的产品类别，所需要的认

证及标准也不同。

一、国际认证

1、IECEE-CB

IECEE-CB体系的中文含义是“关于电工产品测试

证书的相互认可体系”。该体系是以参加CB体系的各成

员之间相互认可（双向接受）测试结果来获得国家级认

证或批准，从而达到促进国际贸易目的的体系。目前有

54个成员国和60多个国家认证机构成员参与了CB体系。

2、ISO9000

国际标准化组织是世界上最大的非政府性标准化专

门机构，它在国际标准化中占主导地位。ISO9000标准为

国际标准化组织（ISO）发布，贯彻实施GB/T19000—

ISO9000族标准，开展质量认证，协调世界范围内的标准

化工作，组织各成员国和技术委员会进行情报交流，以

及与其他国际性组织进行合作，共同研究有关标准化问

题。

3、GMP

GMP 是 良 好 生 产 操 作 规 范（Good Manufacturing

Practice）的缩写，是一种特别注重在生产过程实施对食

品卫生安全的管理。简要的说，GMP 要求食品生产企业

应具备良好的生产设备，合理的生产过程，完善的质量

管理和严格的检测系统，确保最终产品的质量（包括食

品安全卫生）符合法规要求。

GMP 所规定的内容，是食品加工企业必须达到的最

基本的条件。

4、HACCP

HACCP体系被认为是控制食品安全和风味品质的最

好、最有效的管理体系。国家标准GB/T15091-1994《食

品工业基本术语》对HACCP的定义为：生产（加工）安

全食品的一种控制手段；对原料、关键生产工序及影响

技术领先，专业服务。 www.cciss.com.cn Technology Leading， Professional Services. 知识分项 22-23

1、电气类产品

2、机械类产品

3、玩具类产品

4、无线电和电信终端设备

5、冷藏﹑冷冻设备

6、人身保护设备

7、简单压力容器

8、热水锅炉

9、压力设备

10、游乐船

11、建筑产品

12、体外诊断医疗器械

13、植入式医疗器械

14、医疗电器设备

15、升降设备

16、燃气设备

17、非自动衡器

2、RoHS认证（欧盟电子电器）

RoHS是欧盟立法制定的强制性标准，该标准于2006

年7月1日正式实施，主要用于规范电子电器产品的材料

和工艺标准，使之利于人类健康及环境保护。

适用产品及地区包括欧盟27个成员国：英国（2020

年退出欧盟）、法国、德国、意大利、荷兰、比利时、

卢森堡、丹麦、爱尔兰、希腊、西班牙、葡萄牙、奥地

利、瑞典、芬兰、塞浦路斯、匈牙利、捷克共和国、爱

沙尼亚、拉脱维亚、立陶宛、马耳他、波兰、斯洛伐

克、斯洛文尼亚、保加利亚、罗马尼亚。

RoHS指令涵盖范围，AC1000V和DC1500V所列的电

子电器产品：

1、大型家用电器：冰箱、洗衣机、微波炉、空调

等。

2、小家电：吸尘器、电熨斗、吹风机、烤箱、钟表

等。

3、电脑及通讯设备：电脑、传真机、电话、手机

等。

4、民用设备：收音机、电视机、录像机、乐器等。

5、照明设备：家用照明以外的荧光灯等，照明控制

装置

6、电动工具：电钻、车床、电焊机、喷雾器等。

7、玩具/娱乐、运动器材：电动车、游戏机、自动

游戏机等。

8、医疗设备：放疗设备、心电图仪、分析仪器等。

9、监控/控制装置：烟雾探测器、孵化器、工厂监

控机等。

10、自动售货机

11、半导体设备。它不仅包括完整的产品，还包括

用于生产整机的零部件，原材料和包装都关系到整个生

产链。

3、UKCA认证（英国）

UKCA是英国合格认定（UK Conformity Assessed）的

简称。

2019年2月2日，英国政府公布了在无协议脱欧的情

况下将会采用UKCA标识方案，3月29日之后，对英国的

贸易将根据世界贸易组织（WTO）的规则进行。UKCA

标识和CE标识一样，都是由制造商负责确保产品符合法

令规定的标准，并按照规定程序进行自我声明后，在产

品上做相应的标识。

大多数目前在CE标志管控范围内的产品将来如果要

出口到英国市场（英格兰，威尔士以及苏格兰），都必

须加贴UKCA标识，UKCA标识不适用于进入北爱尔兰的

产品。

4、GS认证（德国）

GS（Geprufte Sicherheit）标志是德国劳工部授权

TUV、VDE等机构颁发的安全认证标志，是被欧洲广大

顾客接受的安全标志，通常GS认证产品销售单价更高而

且更加畅销。

需要申请GS认证的产品有：

1、家用电器，如电冰箱、洗衣机、厨房用具等；

2、家用机械；

3、体育运动用品；

4、家用电子设备，如视听设备；

5、电气及电子办公设备，如复印机、传真机、碎纸

机、电脑、打印机等；

6、工业机械、实验测量设备；

7、其它与安全有关的产品，如自行车、头盔、爬

梯、家具等。

5、TUV认证（德国元器件）

TUV标志是TUV德国为组件产品定制的安全认证标

志，在德国和欧洲被广泛接受。企业在申请TUV标志

时，可以一起申请CB证书，通过转换获得其他国家的证

书。此外，产品通过认证后，该协会会向通过该协会查

询产品者推荐这些产品；在整机认证过程中，所有获得

TUV标志的部件均免除检查。

6、VDE认证（德国电气）

作为国际公认的电子设备及其零部件安全检测认证

机构，VDE在欧洲乃至国际上享有盛誉。评估的产品范

围包括家用和商用电器、计算机设备、工业和医疗技术

设备、安装材料和电子元件、电线和电缆。

适用产品：

1、电子设备、机械

2、玩具

3、与人体接触（厨具、美容护理）

4、光学产品（太阳镜/3D/VR、激光、红外线型）

5、具有保健功能的产品（护膝、足垫、腹部胶、腰

带、止鼾带、好背、按摩器、轮椅、电动轮椅等）

6、蓝牙类

7、光盘、书籍等文化音像制品

三、美洲认证

1、FCC（美国）

美国联邦通信委员会通过控制无线电广播、电视、

电信、卫星和电缆来协调国内和国际的通信。涉及美国

50多个州、哥伦比亚以及美国所属地区。许多无线电应

用产品、通讯产品和数字产品要进入美国市场，都要求

FCC的认可。

强制性认证，出口美国的电子电器产品必须要通过

FCC认证。常见产品范围：家电、灯具、音频产品、通

讯产品、IT设备、安防产品、机械产品、玩具等。该证

书长期有效。

2、FDA（美国）

美国食品和药物管理局简称FDA，其职责是确保美

国本国生产或进口的食品、化妆品、药物、生物制剂、

医疗设备和放射产品的安全。强制性认证，产品须完成

FDA注册或是FDA检测，方可出口美国。

常见产品范围：食品、医疗器械产品、化妆品、辐

射、激光类电子产品（NTEK）、营养保健品、中草药及

成药、及护理保健器材等。

证书有效期根据不同产品类别有所区别。

3、UL（美国）

美国保险商试验所作出的认证的简写。UL安全试验

所是美国最有权威的，也是世界上从事安全试验和鉴定

的较大的民间机构。它是一个独立的、营利的、为公共

安全做试验的专业机构。非强制性认证，主要是产品安

全性能方面的检测和认证，其认证范围不包含产品的

EMC（电磁兼容）特性。

常见产品范围：食品及饮料、医药、营养品、个人

护理产品、玩具、日用商品、日用化学用品、厨房用

品、电子电器产品、家具、服装与纺织品、及鞋类和皮

具等；

工厂检查每年1-4次左右的证书有效性，企业需接

受并缴纳审核费用或档案维护费。

4、CPC（美国）

CPC证书就类似于国内的质检报告，在通过相关检

测、出具报告后同时可出具的一纸证书，证书列明进/出

口商信息，商品信息、以及已做过的相关检测项目及其

依据的法规标准。强制性认证，亚马逊平台在上线一些

类别的产品（如儿童玩具、婴童用品等）时会要求商家

同时上传CPC证书，没有CPC证书的相关儿童产品不得

在线销售。

常见产品范围：儿童产品（为12岁或以下儿童设

计、或者12岁或以下作为主要使用者的消费品）。

如果持续性生产，没有材料改变必须至少1年进行1

次周期性测试，检测证书有效性。

5、DOE（美国）

DOE，美国能源部，是依据美国相关的电子电器法

规颁布的能效认证。DOE认证颁布的主要的作用是提高

电子电器产品的使用效率、节约能源、减少能源的浪

技术领先，专业服务。 www.cciss.com.cn Technology Leading， Professional Services. 知识分项 24-25

费，从而达到降低能耗需求、减少温室效应等。强制性

认证（美国能源部），在清单中的产品必须要做DOE认

证，比如充电器，电源适配器，电视机，冰箱，空调

等。

常见产品范围：所有直接工作的外置电源，如手机

充电器、USB插线板、蓝牙设备等带小容量电池的产

品、家电电器、厨房电器等。

电池充电器在市场上销售前，需要注册，证书有效

期为1年。1年有效期后，如制造商或进口商想要继续销

售此款产品，则需重新为该产品注册。

6、DOT（美国）

DOT认证是美国为了确保国家与公民的安全，针对

交通运输工具及其零部件实施的一种强制性认证制度。

根据联邦机动车辆安全标准（FMVSS）规定，凡是要进

入美国市场的车辆及主要零部件产品，必须通过美国

DOT认证，并在产品上印刻相应的标识。

7、CSA（加拿大）

是加拿大标准协会的简称它成立于1919年，是加拿

大首家专为制定工业标准的非盈利性机构。

在北美市场上销售的电子、电器等产品都需要取得

安全方面的认证。目前CSA是加拿大最大的安全认证机

构，也是世界上最著名的安全认证机构之一。

8、INMETRO（巴西）

是巴西的国家认可机构，负责制定巴西国家标准。

巴西的产品标准大部分以IEC和ISO标准为基础，需要把

产品出口到巴西的制造商在设计产品时应该参考这两套

标准。凡符合巴西标准及其他技术性要求的产品，必须

加上强制性的INMETRO标志及经认可的第三方认证机构

的标志，才能进入巴西市场。

四、亚洲认证

1、CCC（中国）

根据中国入世承诺和体现国民待遇的原则，国家对

强制性产品认证使用统一的标志。新的国家强制性认证

标志名称为“中国强制认证。

中国对22大类149种产品使用强制性产品认证。中国

强制认证标志实施以后，将逐步取代原来实行的“长

城”标志和“CCIB”标志。

2、CB（中国）

CB是1991年6月中国电工产品认证委员会被国际电

工委员会电工产品安全认证组织（iEcEE）管理委员会

（Mc）接受为认可和颁发CB证书的国家认证机构。

下属的9个检测站接受为CB试验室（认证机构试验

室），所有有关电气产品，只要企业取得了委员会出具

的CB证书和测试报告，IECEE一ccB体系内的30个成员国

将予以认可，基本上免去再送样到进口国测试，这样既

省费用又省时地获得该国的认证合格证书，对出口产品

极为有利。

3、PSE（日本）

日本电气用品的强制性市场准入制度，也是日本

《电气用品安全法》中规定的一项重要内容。

目前，日本政府根据日本《电气用品安全法》中规

定，将电气用品分为“特定电气用品”和“非特定电气

用品”，其中“特定电器用品”包括115种产品；“非特

定电气用品”包括338种产品。

PSE包括EMC和安全两部分的要求，凡属于“特定

电气用品”目录内的产品，进入日本市场，必须通过日

本经济产业省授权的第三方认证机构认证，取得认证合

格证书，并在标签上有菱形的PSE标志。

CQC是中国境内惟一申请日本PSE认证授权的认证

机构。目前，CQC获得的日本PSE产品认证的产品类别

范围为三大类：电线电缆（包括20种产品）、配线器具

（电器附件、照明电器等，包括38种产品）、电动力应

用机械器具（家用电器，包括12种产品）等。

4、KCmark（韩国）

KC Mark Certification Products List（KC认证产品目

录）根据《韩国电气用品安全管理法》规定，自2009年1

月1日起电气产品安全认证分为强制性认证及自律（自

愿）性认证两种。

强制性认证指属于强制性产品中的所有电子类产

品，必须获得KC Mark认证后才可以在韩国市场上销

售。每年需要接受工厂审查和产品抽检测试。自律（自

愿）性认证指属于自愿性产品中的所有电子类产品只需

测试获得证书，不需要接受工厂审查。

证书有效期为5年。

五、其他地区认证

1、 C/A-tick（澳大利亚）

是 由 澳 大 利 亚 通 讯 局（Australian Communications

Authority，简 称 ACA）为 了 通信设备发的认证标志，

C-tick 认证周期：1-2 周。

产品执行 ACAQ 技术标准测试，向 ACA 登记使用

A/C-Tick，填写“符合声明表”（Declaration of Conformity

Form），并和产品符合记录保存一起，在通信产品或设

备上贴上有 A/C-Tick 标志的标识（label），销售给消费

者 A-Tick 仅适用于通信产品，电子产品多半是申请

C-Tick，不过电子产品如果申请 A-Tick，则不需另外申

请 C-Tick。自 2001 年 11 月起，澳大利亚 / 新西兰的

EMI 申请合并；如果产品要在这二国销售，下列文件在

行销前必备齐，以备 ACA 或新西兰当局随时抽查。

澳大利亚的EMC体系把产品划分为三个级别，供应

商在销售级别二、级别三产品前，必须在ACA注册，申

来源：《出海燕外贸数字化营销中台》

请使用C-Tick标志。

2、SAA（澳大利亚）

SAA认证为澳大利亚的标准机构为Standards

Association of Australian旗下认证，所以很多朋友把澳大

利亚认证称为SAA。

SAA是进入澳大利亚市场的电器产品须符合当地的

安全法规，即业界经常面对的认证。由于澳大利亚和新

西兰两国的互认协议，所有取得澳大利亚认证的产品，

均可顺利地进入新西兰市场销售。所有电器产品均要做

安全认证（SAA）。

SAA的标志主要有两种，一种是形式认可，一种是

标准标志。形式认证是只能样品负责，而标准标志是需

每个进行工厂审查的。

目前国内申请SAA认证有两种方式，一种是通过CB

测试报告转，若没有CB测试报告，则也可以直接申请。

一般情况下，ITAV灯具小家电类常见产品申请澳大利亚

SAA认证的周期是3-4周，如果产品质量不达标，可能日

期会有所延长。提交报告到澳州审核时，需要提供产品

插头的SAA证书（主要是针对带插头的产品），不然不

给予办理。产品里面的重要的元器件SAA证，像灯具需

要提供灯具里面变压器SAA证书，不然澳州审核资料不

通过。

3、SASO（沙特阿拉伯）

沙特阿拉伯标准组织的简写。SASO负责为所有的日

用品及产品制定国家标准，标准中还涉及度量制度、标

识等。

最新！强制性产品认证实施规则汇总

据认监委官网消息，认监委近日更新了强制性产品

认证实施规则汇总表，如下表：

强制性产品认证实施规则汇总（更新日期：2023年8

月）

技术领先，专业服务。 www.cciss.com.cn Technology Leading， Professional Services. 知识分项 26-27

专家解读｜做好网络关键设备和网络安全专用产品安全

认证和安全检测工作促进网络安全产业高质量发展

类网络安全专用产品实施安全认证和安全检测，明确了

制度实施范围。2018年3月，发布了《关于发布承担网络

关键设备和网络安全专用产品安全认证和安全检测任务

机构名录（第一批）的公告》，明确了实施主体。同年5

月，国家认证认可监督管理委员会和国家互联网信息办

公室联合发布的《关于网络关键设备和网络安全专用产

品安全认证实施要求的公告》中，进一步明确了为安全

认证机构提供检测服务的实验室名录。2018年发布的

《网络关键设备和网络安全专用产品安全认证实施规

则》（CNCA-CCIS-2018），为安全认证的实施提供了

依据。2021年，《网络关键设备安全通用要求》

（GB40050-2021）的发布，为网络关键设备安全认证和

安全检测的落地，提供了技术标准。

网络关键设备和网络安全专用产品安全认证和安全

检测制度的建立，是我国在网络安全领域，依法建立产

品认证制度，建设认证体系的卓有成效的尝试。主要体

现在以下方面：

一是统一技术标准

网络关键设备和网络安全专用产品安全认证和安全

检测，相关管理部门涉及工业和信息化部、公安部、国

家认证认可监督管理委员会，在现有相关行政审批、安

全认证制度项下，为适应相应领域管理要求，形成了不

同的产品标准。在国家互联网信息办公室的协调下，安

近期，国家互联网信息办公室发布首批通过网络关

键设备和网络安全专用产品安全认证和安全检测的设备

和产品名单，是国家全面推进网络安全认证检测工作，

落实《中华人民共和国网络安全法》第二十三条以及

《关于发布〈网络关键设备和网络安全专用产品目录

（第一批）〉的公告》（国家互联网信息办公室、工业

和信息化部、公安部、国家认证认可监督管理委员会公

告2017年第1号）相关要求的重要标志。认证和检测是合

格评定的重要内容，也是国家质量基础设施（NQI）中

不可或缺的重要组成部分，在国民经济和社会发展中发

挥着重要的作用。运用认证和检测的手段对网络关键设

备和网络安全专用产品的安全性实施评价，是顺应产业

发展需要，保障重要信息系统安全的一项具有重要意义

的制度安排。

依据《中华人民共和国网络安全法》第二十三条要

求，“网络关键设备和网络安全专用产品应当按照相关

国家标准的强制性要求，由具备资格的机构安全认证合

格或者安全检测符合要求后，方可销售或者提供”。安

全认证和安全检测的落实要具备三个关键要素，即实施

范围、实施主体和实施依据。2017年6月，国家互联网信

息办公室、工业和信息化部、公安部、国家认证认可监

督管理委员会四部委发布《网络关键设备和网络安全专

用产品目录（第一批）》，确定对4类网络关键设备和11

来源：《中国网络安全审查技术与认证中心》

ICT技术如何更好赋能产品认证

为了更好地向社会、公众传递信任，认证机构一直

以来坚持进入工厂的实际工作地点，观察工厂实际运作

情况，以确保全面、真实地记录工厂的情况。即使IAF

论坛出台了一些远程审核有关的认证技术文件，以及

5G、互联网、移动终端、通讯软件等基础设施、设备、

工具已普及，但从整个认证行业来看，相比于远程审

核，进入工厂现场审核仍是认证机构最优先、最主要的

选择方式，而这种方式在2020年初被突发的新冠疫情所

打破。

一、远程审核的概念和依据

远程审核指当“面对面”的方法不现实或不理想

时，使用信息和通信技术（ICT）收集信息、访问受审

核方等（见ISO 19011）。由此可知，远程审核是否可以

达到认证目的是取决于所选定的ICT技术应用及组合。

2020年初，市场监管总局（认监委）在《市场监管

总局办公厅关于在新型冠状病毒感染肺炎疫情防控期间

实施好质量认证相关工作的通知》中明确：认证机构可

根据疫情发展及认证企业实际情况，选择适宜方式完成

审核/工厂检查（包括初次认证审核/工厂检查、监督审

核/检查、再认证审核等）相关程序，待疫情解除后对相

关结果予以评价确认或补充进行现场审核/工厂检查。这

是监管层面首次明确释放出可以采用现场审核之外审核

方式的信号。

中国合格评定国家认可委员会（CNAS）陆续发

布、指导认证机构使用相关IAF文件开展认证。

CNASCC14：2019《信息和通信技术（ICT）在审核中应

用》，明确应用ICT技术的选取、应用范围、人员能

力、审核时长、审核文件等特定要求。CNAS CC105：

2020《确定管理体系审核时间》，规定OHSMS领域中不

可安排远程审核的要求。《ISO 19011：2018管理体系审

核指南》、《ISO 9001审核实践小组指南：远程审核》

（2020-4-16，第一版）中涉及远程审核在审核方案、

审核策划、审核实现、审核结论方面的内容。在新冠疫

情暴发期间IAF常见的问题中，提到认证机构在认证过

全认证和安全检测各实施机构使用统一的技术标准对网

络关键设备和网络安全专用产品进行安全性评价，为推

动安全认证和安全检测结果互认，避免重复认证、检测

奠定了基础。

二是有效利用现有认证和检测资源

安全认证和安全检测制度选取了现有相关管理制度

项下的认证和检测机构作为实施单位，既充分发挥了专

业机构的技术优势，有效利用现有认证和检测资源，又

避免了网络安全领域合格评定能力低水平重复建设，为

网络关键设备和网络安全专用产品安全认证和安全检测

与现有管理制度的协同推进创造了条件。

三是扎实推进安全认证，发挥持续监管作用

网络关键设备和网络安全专用产品安全认证的实

施，在产品合规性持续监管方面发挥了重要作用。依据

《网络关键设备和网络安全专用产品安全认证实施规

则》，认证模式为“型式试验+工厂检查+获证后监督”

的认证模式。在型式试验阶段，检测机构对企业提供的

样品进行检测，以判断其是否符合标准要求；在工厂检

查阶段，认证机构对制造商和生产企业的安全保障能力

和质量保证能力进行审核，以判断其是否具备持续生产

出符合标准要求的产品的能力；在企业获得认证证书

后，证书有效期内，认证机构通过持续的跟踪检查，对

获证产品符合性进行监督。

认证作为国际通行的合格评定手段，在产品合规性

管理及质量提升方面正发挥着日益重要的作用。对信息

技术产品实施安全认证已经成为欧洲、美国等国家和地

区网络安全和隐私保护的重要内容。网络关键设备和网

络安全专用产品安全认证的实施，为国家对产品的质量

监管提供了有力的抓手和重要支撑。

技术领先，专业服务。 知识分项专家专栏 www.cciss.com.cn Technology Leading， Professional Services.

28-29

程中使用远程审核的尺度。

中国认证认可协会在2021年组织编写、发布了国内

第一个与远程审核相关的团体标准《认证机构远程审核

指南》，并在2022年6月发布了修订版。

二、工厂检查的关键活动

在GB/T 27067-2017《合格评定 产品认证基础和产

品认证方案指南》中，产品认证的评价活动可包括：检

测、检查、设计评估、对服务或过程的评价、验证等。

但从目前国内一般工业产品的产品认证方案来看，工厂

检查和检测还是主流的评价活动。

《强制性产品认证实施规则工厂检查通用要求》

（CNCA-00C-006）中对于工厂检查的定义为：对工厂

质量保证能力、产品一致性和产品和标准的符合性所进

行的评价活动。而现场检查则是工厂检查活动的核心内

容，也是影响认证有效性的重要环节。

“工厂质量保证能力”的检查是检查组在工厂现场

对工厂是否能满足规定的各项要求，验证工厂生产和各

产品能力的评价活动。检查活动重点关注的是工厂对各

类资源的管理能力，如重要文件和信息、采购与关键件

控制、生产过程和控制、产品质量检验、检验试验仪器

设备等。

“产品一致性”检查是指对产品实物的一致性检查

和对工厂产品一致性控制的检查两个方面。产品一致性

控制的检查会贯穿工厂对产品认证特性有关的各过程控

制。产品实物一致性检查则是通过检查员在现场抽取认

证产品的关键件、半成品和成品，依据检查准则进行核

查或现场试验，确保工厂批量生产的认证产品与型式试

验合格样品的符合程度。

“产品和标准的符合性”检查一般采用指定试验。

指定试验是产品实物一致性检查的重要补充手段，也是

考察工厂质量保证能力的重要环节。指定试验一般分为

样品的抽样、试验项目的确定、试验3个环节。

三、ICT技术的风险及应用实践

（一）常见ICT技术

ICT技术应用于工厂检查中，需要同时具备设备、

软件和网络。

设备：指的是检查员和工厂双方都应配备可以连接

网络、互相通讯的硬件，如电脑、移动终端、摄像机、

相机、摄像头等。通过这些设备，可以观察工厂、录制

视频、拍照、查阅文件等。目前，从设备层面来看，应

用ICT技术的障碍极小。

软件：指的是安装在设备上，可以传递文件、观察

现场、交流访问的工具。目前，分为即时通讯类软件、

会议类软件、位置类软件。即时通讯类软件主要是点对

点传递文件、点对点短时长语音交流和观察。会议类软

件主要是利于群体交流或长时间观察，也包括录制功

能。位置类软件主要指具有定位功能的电子地图或其他

软件。从App应用市场来看，即时通讯、会议视频、定

位这些功能已渐渐在App上成融合之势，只不过在优势

上各有侧重。如微信虽然也具有视频交流、实时位置共

享的功能，但多人交流时受限于人数，并且不具有在视

频交流时直接录屏的功能。会议类软件如腾讯会议，虽

然可以在观察时录屏，但当点对点交流时又多有不便。

网络：主要是指工厂内的Internet网络、移动网络

等。工厂区内的Internet网络部署的密集程度、移动网络

信号好坏直接影响着ICT技术可以适用的范围和应用程

度。Internet网络是布线式网络，网络带宽相对稳定，不

会出现网络阻塞问题。但需要按照前期的网络设计图，

预留固定的上网位置，这就对观察工厂等活动造成了限

制，检查员无法随机选择所观察的区域。而移动网络主

要的载体设备是移动终端、笔记本电脑。相比于Internet

网络来说，有极大的便捷性和灵活性。但也有明显的缺

点，就是移动网络的优劣取决于覆盖工厂的基站信号强

度，可能出现信号不稳定、网速慢的情况。另外，移动

网络以流量计费，长时间使用的费用会较高。

（二）ICT技术应用风险

根据IAF的相关认证技术文件中的要求可知，应用

ICT技术具有风险性，这种风险来自局限性、保密性、

安全和数据保护。

1、局限性（失真）

现场检查时，检查员可以采用“看、听、闻、触

摸”等多种方式对工厂进行观察，利用检查员的经验，

对工厂整体运作情况做出综合评价。但由于使用ICT技

术，只能采用“看”这种单一的方式。

当下，更多中小型工厂远程观察的设备主要是个人

移动终端。受限于移动终端的视野，极大可能无法感知

工厂的全貌，从而做出错误的判断。

2、保密性、安全和数据保护（CSDP）

检查员需要通过查阅电子文件、使用网络来观察工

厂的活动方式，完成评价活动。观察过程、文件传递过

程后所保留的各种视频、图片都有可能造成工厂内部信

息的泄露。

（三）ICT技术应用实践

根据前文分析，现场检查一般包括文件查阅、工厂

观察、产品抽样、产品试验、产品实物检查等。在这些

活动中，从位置、人、活动3个维度考虑如何合理应用

ICT技术。

1、文件查阅

文件查阅是现场检查的必要活动。文件查阅对工厂

位置、工厂活动的关联性相对较少，检查员主要通过查

看工厂文件和与工厂人员交流来实现检查目的。工厂可

以通过电子邮箱、云盘等方式将文件发给检查员，出于

信息安全考虑，可以采用文件加密方式或通过会议类软

件的共享文件方式，但这种方式会对检查员的工作效率

造成一定的影响。所以，在前期和工厂做好文件传递的

对接、交流最关键。

2、工厂观察

工厂观察是现场检查的最重要部分。一般包括工厂

整体巡视，对工厂生产、检验活动的观察，以及对工厂

产品一致性控制的观察。

首先要通过工厂人员移动终端中所安装的定位类软

件和电子地图对工厂位置确认，也可以将定位与视频观

看结合实施。其次，通过实时在线视频方式观看工厂活

动的情况，观看的起始点可以从企业大门处开始。在视

频过程中，检查员应与工厂人员进行充分交流，从而迅

速发现关注点，同时有意识地引导工厂人员对工厂全面

情况进行介绍。

实时在线方式进行观察，可以比较真实地反映工厂

在检查时的情况。当然，有些企业内部设有日常监控，

但这些监控录像是否可以被调用，涉及部门权限管理、

数据保护等多方面的问题，实施起来相对较难。

3、产品抽样

产品抽样是现场检查时，对产品进行实物一致性检

查、现场见证试验、产品抽样检测的必备步骤。

首先，对工厂人员的身份进行识别，可以通过工厂

负责人介绍、查看上岗证等方式，确认其身份，尤其所

抽取的产品将被用于见证试验、产品检测等环节，因为

这些环节的结果可能会直接影响产品证书的状态，所以

对工厂人员身份要明确、清晰，检查员应留存身份证明

或身份确认的视频；其次，要通过工厂人员移动终端中

所安装的定位类软件和电子地图对产品位置进行确认；

第三，对于整个抽样过程，应采用实时在线方式查看、

确认抽测产品名称、型号规格、与认证相关的特性，并

通过视频、图片保留上述关键信息。

4、见证试验

见证试验是检查员见证工厂人员对产品测试的过

程。根据前述产品抽样的方式产生被测产品。测试人员

的身份同样要予以识别，以确保是工厂的检验人员。在

见证试验时，可以采用完整实时在线观看、实时在线观

看与拍照组合或观看录制视频的方式。如有些产品需要

较长的测试准备时间，考虑到经济性、可操作性，可以

采用拍照方式，将测试准备过程中的工作进行拍照记

录，在正式测试环节再采取实时在线观看，如处在境外

的工厂，考虑时差情况可以采用观看录制视频的方式，

但需要制作详细的视频标准化方案给工厂，以确保检查

员在观看视频时可以得到全部的关注信息。

在见证试验过程中，被测产品的正确性、测试仪表

设备的有效性以及测试数据的真实性最重要。所以，被

测产品的合格证明、产品型号规格、测试仪表设备的校

准情况，测试时都要保留相关图片，以确保二次核查。

四、ICT技术应用的问题和建议

本文中所提到的ICT技术还是目前比较常见的方

式，当工业互联网、区块链、人工智能逐步推广，出现

更多的智能工厂、智能车间时，在工厂检查中借助ICT

技术将成为一种趋势。当然，目前ICT技术应用还面临

着很多亟待解决的问题。

首先，在整个ICT技术应用的系统中，造成实施困

难的是软件。即使现在各类软件已经比较多，但都受限

于各自的侧重点，还没有一个融合定位、通讯、会议、

拍照视频等多功能的专业软件可以直接被用于工厂检查

中。这样就造成了检查员和工厂人员都要不断试用各种

软件，这种时间成本投入也阻碍了ICT技术在工厂检查

中的使用。

其次，虽然IAF论坛的技术文件在理论上支撑ICT技

术可以近乎100%地被使用在工厂检查中，但是监管层面

的态度对这种方式的推广使用有更大的影响。在工厂检

查中频繁使用ICT技术会给机构带来监管方面的风险，

这就需要认证机构不断和监管部门进行沟通。

第三，在认证行业中对ICT技术应用在工厂检查还

处于初级阶段，实践理论指导还没有形成体系，各认证

机构都在自我摸索实践中。由于管理体系审核方式较为

简单且统一，在应用ICT技术方面，认证机构有比较成

（下转53页）

技术领先，专业服务。 知识分项专家专栏 www.cciss.com.cn Technology Leading， Professional Services.

30-31

强制性国家标准《网络关键设备安全通用要求》

解读：网络关键设备合规要点

近日，强制性国家标准《网络关键设备安全通用要

求》（GB 40050-2021）发布。《网络关键设备安全通

用要求》是网络安全领域少数强制性标准之一，相对于

推荐性国家标准更加值得关注。

一、网络关键设备的定义与范围

鉴于网络关键设备的特殊性，识别网络产品是否属

于网络关键设备就成为了关键性的第一步。

根据《网络关键设备安全通用要求》3.7中的定义，

网络关键设备（critical network device）是指支持联网功

能，在同类网络设备中具有较高性能的设备，通常用于

重要网络节点、重要部位或重要系统中，一旦遭到破

坏，可能引发重大网络安全风险。具体而言是指相关性

能符合《网络关键设备和网络安全专用产品目录》中规

定的范围。

早在2017年6月《网络安全法》生效伊始，国家互

联网信息办公室、工信部、公安部、国家认证认可监督

管理委员会就联合发布了《网络关键设备和网络安全专

用产品目录（第一批）》：

尽管四部委公布了目录，但目录中同一产品范围项

下的不同门槛是“和”还是“或”并不清晰，需要实践

中逐渐予以明确。另外随着技术的发展，后续四部委可

能还会就网络关键设备和网络安全专用产品目录进行更

新或扩充。

关于《网络关键设备和网络安全专用产品目录》的

效力，在“张鑫、陈天明、张朝荣等提供侵入、非法控

制计算机信息系统程序、工具案”中（（2018）浙0602

刑初101号），浙江省绍兴市越城区人民法院进行过认

定：

《网络关键设备和网络安全专用产品目录》公布的

目的在于加强对网络关键设备和网络安全专用产品的安

全管理，该目录项下的网络关键设备、网络安全专用产

品类别须经过具有相关资质的认定机构按照国家标准的

强制性要求进行安全认证后方可对外提供、销售，该目

录的公布不具有规定“网络关键设备和网络安全专用产

品是什么”或“目录之外均不属于网络关键设备和网络

安全专用产品”的内在意旨，更非对“计算机信息系统

安全保护措施”作出定义式限定。

因此，在关于网络安全产品销售的司法实践中，对

网络关键设备和网络安全专用产品的认定可能会遵循更

宽的尺度，需要在具体案件的实务中予以特别关注。

1.路由器

3.服务器（机架式）

2.交换器

4.可编辑逻辑控制器（PLC设备）

整系统吞吐里(双向)≥12Tbps

整系统路由表容里≥55万条

整系统吞吐里（双向）≥30Tbps

整系统包转发率≥10Gpps

CPU数里≥8个

单CPU内核数≥14个

内存容里≥256GB

控制器指令执行时间≤0.08微秒

设备或产品类别 范围 达到国家标准的

强制性要求

认证合格或符合

安全检查要求 销售

二、法律义务

网络关键设备遵守国家强制性标准是一项重要的法

律义务，《网络安全法》第23条明确规定：

网络关键设备和网络安全专用产品应当按照相关国

家标准的强制性要求，由具备资格的机构安全认证合格

或者安全检测符合要求后，方可销售或者提供。国家网

信部门会同国务院有关部门制定、公布网络关键设备和

网络安全专用产品目录，并推动安全认证和安全检测结

果互认，避免重复认证、检测。

在合规的角度，《网络关键设备安全通用要求》不

仅是开发工作中的具体要求，也可以作为合规工作中需

要逐一勾选的清单。

在《网络关键设备安全通用要求》中，尤其值得关

注关于运营和维护的要求，因为部分通信产品已经呈现

出运维费用超过设备本身费用的现象，运维的质量甚至

企业获取订单的关键要素，所以注定网络关键设备的销

售不是“一锤子买卖”，需要关注网络关键设备运维的

合规。而运维中最为敏感的就是远程运维，可能直接涉

及到产品“后门”的问题，在《网络关键设备安全通用

要求》中对远程运维有明确要求：

明示维护内容、风险以及应对措施；

留存不可更改的远程维护日志记录；

记录内容至少包括维护时间、维护内容、维护人

员、远程运维的方式与工具；

获得用户授权并留存授权记录；并且

支持用户中止远程维护。

四、安全认证

网络关键设备的销售，除了符合强制性国家标准

《网络关键设备安全通用要求》，还需要通过安全认

证。早在2018年6月，国家认证认可监督管理委员会就

发布了《网络关键设备和网络安全专用产品安全认证实

施规则》。该规则将认证模式分为型式试验、工厂检查

与获证后监督三个阶段：

型式试验采取抽检模式，一般每种产品抽样2套，

如有特殊需求会增加样品数量。

工厂检查一般每个场所为2至6个人日，会重点关

注：（1）标注的一致性；（2）生产场所产品与型式试

验产品的一致性；以及（3）是否违规使用认证标识。

获证后监督通常会以每年一次的频率进行，并且可

能采取“飞行检查”的模式在不提前通知的情况下进行

抽检。

设备通过安全认证以后，可以获得认证证书，有效

期为5年。在通过认证产品的本体铭牌应加施认证标

志，如果是软件产品，则应当在软件外包装或《许可协

议》中显著加施使用标注：

设备标识安全

冗余。备份恢复与异常检测

漏洞和恶意程序防范

预装软件启动及更新安全

用户身份标识与鉴别

访问控制安全

日志审计安全

通信安全

数据安全

密码要求

设计和开发

生产和交付

运行和维护

网络关键设备安全通用要求

安全功能要求 安全保障要求

概言之，网络关键设备的销售需要遵循以下流程：

《密码法》第26条也规定：

涉及国家安全、国计民生、社会公共利益的商用密

码产品，应当依法列入网络关键设备和网络安全专用产

品目录，由具备资格的机构检测认证合格后，方可销售

或者提供。商用密码产品检测认证适用《中华人民共和

国网络安全法》的有关规定，避免重复检测认证。

商用密码服务使用网络关键设备和网络安全专用产

品的，应当经商用密码认证机构对该商用密码服务认证

合格。

可见，后续网络关键设备和网络安全专用产品目录

的更新，可能会将更多的商用密码产品列入其中。

三、基本要求

在《网络关键设备安全通用要求》中主要分为“安

全功能要求”与“安全保障要求”两个大类：

技术领先，专业服务。 知识分项专家专栏 www.cciss.com.cn Technology Leading， Professional Services.

32-33

来源：《中国认证认可》杂志 2023年第4期

来源：《FreeBuf.COM》

根据2018年6月发布的《网络关键设备和网络安全

专用产品安全认证和安全检测任务的机构名录（第一

批）》，目前可以承担网络关键设备安全认证和安全检

测任务机构包括：

五、合规步骤与要点

根据我们的经验，网络关键设备合规工作可以从以

下几方面入手：

1、梳理产品目录

无论是对于网络设备的生产者还是相关领域的用

户，都应当对自己生产或使用的产品进行梳理，判断是

否有产品落入《网络关键设备和网络安全专用产品目

录》的范围，对此类产品开展专项合规工作。

在此基础上，跟踪《网络关键设备和网络安全专用

产品目录》的更新情况，一旦目录更新，及时调整自身

的合规目录。

2、产品合规

对于网络关键设备生产者，需要从设计环节伊始，

就将国家标准的要求嵌入产品中。在功能与形式上达到

国家标准的要求，并且通过文件让产品的合规性可以被

验证。

对于网络关键设备的用户，也需要采购部门及时更

新供应商名录，对网络关键设备的采购仅针对通过认证

的产品开放。此外也需要网络关键设备用户的法务部门

将国家标准《网络关键设备安全通用要求》落实到采购

协议内产品质量相关的条款中。

3、安全认证

对于网络关键设备生产者，通过安全认证是不可或

缺的环节，需要及时申请、完成认证。在完成认证后，

还应当在产品铭牌、包装或用户协议等合适位置准确进

行标识。

除了应当完成安全认证并准确标识，网络关键设备

生产者还应当做好安全认证通过后应对“飞行检查”的

准备工作。网络关键设备生产者可以通过演练模拟飞行

检查，帮助从前台接待到生产现场的每个环节做好准

备，形成预案。

机构名称

中国网络安全审查技术与认证中心

中国信息通信研究院/中国泰尔实验室

国家计算机网络与信息安全管理中心

国家工业控制系统与产品安全质量监督检

验中心

中国电子技术标准化研究院赛西实验室

工业和信息化部电子第五研究所

信息产业数据通信产品质量监督检验中心

国家电话交换机质量监督检验中心

信息产业无线通信产品质量监督检验中心

信息产业有线通信产品质量监督检验中心

信息产业光通信产品质量监督检验中心

信息产业广州电话交换设备质量监督检验

中心

网址

www.ccrc.gov.cn

www.caict.ac.cn

www.cert.org.cn

www.etiri.org.cn

www.cesi.cn

www.ceprei.com

www.chinawllc.com

www.fritt.com.cn

www.radio-qtc.com

www.cdtr-lab.cn

lab.wri.com.cn

www.mctc.org.cn

熟的思路。但是对于产品认证，行业差别比较大，造成

工厂检查涉及的活动差异也比较大，没有统一的标准

化。

笔者建议，可以在行业层面对产品认证应用ICT技

术的场景多做研讨。同时，多和监管层面交流，形成相

（上接45页）

对统一且符合监管要求的ICT技术应用实践案例，以指

导更多的认证机构在这方面开展应用。

5G环境下信息系统网络安全保障体系研究

一、引言

5G作为最新一代蜂窝移动通信技术，称为研究、应

用和推广的热点。2019年是5G商用的元年，随之而来的

是5G网络的快速建设和5G应用的广泛推行。在这样的背

景下，5G安全问题也成为人们关注的重点，5G安全问题

开始凸显出来。

二、5G技术综述

5G的性能目标是高数据速率、减少延迟、节省能

源、降低成本、提高系统容量和大规模设备连接。5G采

用了超密集异构网络、自组织网络、内容分发网络、

D2D通信、M2M通信和信息中心网络等关键技术。

2019年以来，在国家总体战略部署下，各地纷纷推

出了各自的政策，推进5G产业快速发展。5G网络建设和

应用系统建设得到了迅猛发展，与此同时，5G安全问题

也逐渐凸显出来。一方面，5G网络的新特性，给5G信息

系统在不同应用场景带来了千差万别的挑战和安全威

胁；另一方面，5G网络系统暴露出的安全问题，也直接

威胁着5G信息系统的安全；最后，信息系统自身的安全

问题，也会反过来给5G通信网络带来冲击，威胁着5G通

信网络的安全稳定。

从统计数据上来看，目前5G网络和信息系统暴露出

的安全问题还较少，但随着5G在各个领域的应用建设，

安全问题必然会出现非线性增长的局面。

总体上来看，目前的5G应用系统建设都针对系统的

各个层面从技术上采取了安全措施，给出了具体的安全

解决方案。但尚未建立全面的安全保障体系，这一保障

体系包括了国家战略、政策法规、标准规范、人力资

源、认证认可与质量监督、产品测评、技术与信息等保

障要素。目前，我们面临的问题包括：

1、各方面标准规范（包括5G通信的标准）尚不完

善；

2、5G人才匮乏，人才培养体系尚未建立；

3、认证认可、质量监督、产品测评尚未开展；

4、5G技术与信息保障体系尚不完善。

三、 5G安全风险与需求

2019年以来，5G网络逐步得到应用。5G网络与传统

网络一样面临着来自各方面威胁和风险，同时，这些风

险也会引入到5G环境下信息系统中来。分析了解5G安全

风险对5G环境下信息系统建设，乃至信息与网络安全保

障具有重要意义。

1、5G安全风险与影响

5G的安全风险与影响可以从国家、社会层面，以及

网络与信息安全两个方面进行分析。

（1）对国家与社会公共安全带来的安全风险及影

响

5G开启的万物互联时代，将使5G网络成为构筑社会

经济的基础设施，并缔造出规模空前的新兴产业，承载

涉及社会、经济、公众的重要信息，可能对国家与社会

公共安全带来影响。

1）攻击破坏关键基础设施，导致运行停滞或瘫

痪。

2）入侵重要控制系统，侵扰社会秩序。

3）大规模监控、窃取关乎国计民生的重要基础信

息，危及产业、人员甚至国家安全。

4）篡改监测数据，引发公共安全事件。

5）散播恶意信息，扰乱社会秩序。

（2）对网络与信息安全带来的安全风险及影响

5G具有超大带宽、海量连接、超低时延等特性，基

础设施采用软件定义网络（SDN）/网络功能虚拟化

（NFV）、服务化架构等云化、IT化技术，并引入或增

强网络切片、移动边缘计算（MEC）、小基站、设备对

设备（D2D）通信、服务能力开放等技术和业务模式。

新技术、新业务模式对网络与信息安全带来的安全风险

及影响，主要包括：

1）超大流量大大提升了基于流量检测、内容识

别、加解密等技术的安全防护难度。

技术领先，专业服务。 专家专栏 www.cciss.com.cn Technology Leading， Professional Services.

34-35

2）弱终端易成为受攻击对象。

3）超大连接易引发全网或局部规模攻击。

4）基础设施云化、IT化进一步打破网络封闭状

态。

5）边缘云、D2D通信模式的引入绕过现有中心化的

监测体系。

6）伪基站、身份泄漏问题得以解决，小基站安全

性易受威胁。

（3）5G对应用领域信息系统的冲击和影响

5G与信息技术及各行业的深度融合、数据量的爆炸

式增长、海量终端连接等特点，也将大大增加安全监管

的难度。

1）海量数据与舆情监测；

2）海量终端的溯源与取证。

四、5G环境下信息系统安全架构设计

目前，针对5G环境下信息系统网络安全保障尚无统

一的安全架构和框架。值得参考的是5G推进组IMT提出

的安全框架、5G医疗行业应用安全架构以及中国移动在

《5G智慧城市白皮书》中给出的安全架构，具体如下。

（1）IMT安全框架

5G 安全既包括由终端和网络组成的 5G 网络本身通

信安全，也包括 5G 网络承载的上层应用安全。移动通

信网络标准在设计之初，就充分考虑了网络的可靠性和

安全性，经过全球通信行业几十年的共同努力，移动通

信网络安全架构日臻完善。5G 继承了 4G 网络分层分域

的安全架构，在 3GPP 5G 安全标准《5G 系统安全架构

和流程》3 中规定：在安全分层方面，5G 与 4G 完全一样，

分为传送层、归属层 / 服务层和应用层，各层间相互隔离；

在安全分域方面，5G 安全框架分为接入域安全、网络

域安全、用户域安全、应用域安全、服务域安全、安全

可视化和配置安全六个域，与 4G 网络安全架构相比，

增加了服务域安全。 5G 提供了比 4G 更强的安全能力，

包括：

1）服务域安全；

2）增强的用户隐私保护；

3）增强的完整性保护；

4）增强的网间漫游安全；

5）统一认证框架。

1、医疗行业安全架构

5G通信安全的总体设计目标是保障用户与网络自身

安全，为医疗行业与应 用提供基础的网络安全防护能

力。 在5G网络安全防护技术的基础之上，依赖网络切片

技术实现医疗场景中医务人员、患者、医疗设备等无线

接入对接入网、网络传送、安全隔离、加密传输等个性

化的安全服务需要。同时通过设置不同切片之间的安全

防护等级，保证切片之间的安全耦合性尽可能小，甚至

同一切片内不同功能网元之间也应保持隔离以保证安全

风险局部化、影响最小化，同时在物理或虚拟网络边界

部署硬件或虚拟防火墙完成访问控制，保护切片内网与

外网的安全。

（2）5G智慧城市安全架构

GB/T37971-2019《信息安全技术 智慧城市安全体系

框架》提出了智慧城市安全体系框架。中国移动《5G智

慧城市白皮书》参考该架构，结合5G智慧城市架构，提

出5G智慧城市安全参考框架，如图2所示。

图中，包括终端安全、边缘计算层安全、网络层安

全、行业平台/技术中台层安全、应用层安全，以及跨各

层的安全运营管理。

上述框架中，IMT安全架构针对5G通信网络；5G医

疗行业安全架构针对5G医疗系统的具体问题给出安全措

施；5G智慧城市安全参考框架给出了覆盖云、管、边、

端的安全措施和运营管理相结合架构。上述模型都未对

保障问题进行阐述和深入分析，仅针对安全风险和问

题，给出了具体的技术措施和管理措施。

（3）CISAW安全模型

CISAW（Certification of Information Security Assurance

Worker，信息安全保障人员认证）信息安全保障模型，

是中国网络安全审查技术与认证中心（CCRC）张剑博

士于2015年，在我国863专家组的WPDRRC安全模型的

基础上提出的。

图1 基于切片+MEC的医疗行业安全解决方案系统示意图

图2 5G智慧城市安全参考框架

关于电力大数据应用中存在的问题探讨

CISAW信息安全保障模型通过实现数据、载体、环

境与边界4个实体对象全生命周期的可用性、完整性、

真实性、机密性、不可否认性等若干安全属性来支撑

“业务”的正常进行。并在实现安全属性的过程中采取

了预警、保护、检测、响应、恢复和反击6个动态安全

环节的技术手段与措施。模型中为实现上述对象的安全

属性及6个环节需要充足的人力、财务、技术、信息资

源提供保障。而以上的各类对象、环节、资源都必须进

行综合有效的管理。

五、5G环境下信息系统网络安全保障体系

本文CISAW安全保障模型与5G环境下信息系统网络

安全保障相结合，提出5G环境下信息系统网络安全保障

模型，如下图所示。

本质对象：5G环境下信息系统网络安全保障的最终

目的还是为了保障该信息系统所支撑5G应用业务的正常

开展。这些业务包括5G应用的千行百业的应用系统。保

障工作的开展，从管理和技术角度而言需从具体实体对

象入手。

实体对象：5G环境下信息系统实体对象可从业务数

据，以及构成系统的云、网、端入手，确保其全生命周

期安全属性的实现，以支撑业务的正常开展。“云”指

与应用系统相关的云计算、数据中心、机房等软硬件设

备设施；“网”指与该信息系统相关的5G网络、专网、

局域网等不同类型的传输环境；“端”指5G网络接入终

端及相关应用系统。

保障环节：为了实现实体对象的安全属性，需要在

合规要求、风险评估、建设实施、安全运维、应急处理

和持续改进环节，采取相关的安全措施和管理。

保障资源：5G环境下信息系统网络安全的保障需要

提供充足的资源，这些资源包括人力资源、财务资源、

技术资源和信息资源。人力资源涉及到5G环境下信息系

统建设各个环节的人才，包括架构师、设计师、工程

师、分析师等；技术资源涉及到安全保障产品、技术研

发、技能培训等；信息资源涉及到信息共享平台、知识

库等。

管理：5G环境下信息系统网络安全保障体系建立在

管理之上，5G业务连续性，数据、云、网、端等实体对

象，保障环节的安全措施乃至5G信息系统网络安全保障

资源都需要有效、高效的管理。

六、5G环境下信息系统网络安全保障体系建设路线

通过对5G医疗、智慧城市典型信息系统建设的分

析，我们发现在整体的安全架构方面缺少保障的概念，

未能从全生命周期、时空结合、动静结合的角度综合构

建保障体系。

因此，我们建议结合上述模型，从以下几个方面加

强5G环境下信息系统网络安全保障。

（1）加强5G环境下信息系统安全的合规管理

5G环境下信息系统合规管理，需从两个方面入手。

一是加强5G环境下信息系统安全保障的法律法规、标准

规范和行业部门相关规范的出台。国家相关部门应当出

图3 CISAW信息安全保障模型

图4 5G环境下信息系统网络安全保障模型

政策·标准

技术领先，专业服务。 专家专栏 www.cciss.com.cn Technology Leading， Professional Services.

36-37

台专门针对5G环境下信息系统安全保障方面的具有操作

指导意义的法律规范。二是通过各项措施保证5G应用领

域相关部门的合规操作。除了制定相应的法律规定以

外，各相关主体还应积极响应，从风险预防、技术进

步、完善体系等方面进行强化。

（2）注重5G环境下信息系统安全风险评估

建立5G环境下信息系统安全治理组织结构，包括治

理委员会、管理委员会、业务组、技术组、评估组，以

及相应的组成人员；实施5G环境下信息系统安全及网络

安全人才队伍建设工程，完善相关政策，培养和引进网

络安全专业人才；定期组织人员参与信息安全培训，提

高安全防控意识及权责意识，做好信息安全风险评估，

有效预防可能出现的安全风险。

（3）制定5G环境下信息系统安全保障策略，增强

技术支撑

加强5G环境下信息系统的全生命周期管理，从5G环

境下信息系统的全生命周期出发制定相应的保障策略，

并以安全保障技术加持。从关键系统入手，比如，建设

全国统一标识的可信数字身份、电子实名认证、数据访

问控制信息系统、电子签名技术、加密技术等，加强

“事前防护”“事中加密”“事后保障”，为5G环境下

信息系统的全生命周期安全保驾护航。5G环境下信息系

统安全保障应紧紧抓住“可信数字身份”和“电子签名

技术、加密技术”两大安全保证技术武器，保障5G环境

下信息系统安全的全生命周期安全：“事前”，采用身

份认证、授权控制，保证数据的控制身份真实、权限合

理；“事中”，采用传输加密、存储加密，保证数据的

机密性、隐私的保密性；“事后”，采用电子签名、安

全审计，保证数据的完整性、真实性及行为的不可抵赖

性。

（4）完善5G环境下信息系统标准化体系建设

制定统一的5G环境下信息系统安全标准。建议参照

国际国内标准制定有可操作性的信息系统安全保障标准

和规范体系，有效保证各业务部门、系统间5G应用系统

数据的规范性、融合性、流通性、共享性、安全性。同

时，鼓励和支持有条件的机构、学会、协会和相关企业

参与研究5G环境下信息系统安全保障标准及规范，制定

数据标准符合性测试规范及标准测评指标体系，进行标

准化测试并予以认证，以完善共享电子文档规范与卫生

信息数据集标准。

（5）实施安全监控，构建可信的信息安全体系

大力推动构建可信的信息安全体系，建立起统一权

威、互联互通的5G环境下信息系统安全保障平台，保证

行业信息安全可控；运用DES、3DES、RSA、AES等常

用的加密算法的源代码，对敏感的数据信息进行加密保

护，使经过加密处理的隐私信息只有获得权限后才能进

行安全浏览；供应商要不断检测物联网设备和应用程序

的安全，如发现系统漏洞应及时通知相关机构，快速响

应修复漏洞。

（6）重视5G环境下信息系统安全的人才保障

5G环境下信息系统安全保障建设是一项具体的庞大

工程，在这项工程建设中，许多专业性较强的事务需要

大量的专业性人才来完成。当前，大部分单位严重缺少

5G环境下信息系统安全保障人才，更缺少即懂安全又懂

专业知识的高素质复合型信息技术人才。以此，需要加

强5G环境下信息系统安全保障复合型人才培养。其具体

要求可从两个层面展开。在微观层面，5G环境下信息系

统安全保障须具备计算机科学与技术、信息管理与信息

系统等方面的知识技能，故而要注重这些不同专业之间

的融通；从宏观层面来说，可通过重构基层组织，整合

专业知识、数学、物理、统计、计算机、图书管理、网

络管理和管理科学等人才队伍，以完善信息采集、处

理、应用三大环节进行安全保障的研究队伍结构建设。

七、结束语

本文通过研究5G技术新特性，并结合对5G安全威胁

与需求，乃至安全架构的分析提出了5G环境下信息系统

网络安全保障模型，但该模型仅限于建立完善信息系统

及其网络安全的保障体系，不能覆盖所有5G环境下所有

安全问题和所有安全保障环节。针对具体5G应用案例在

模型的落地执行过程中还需不断修正和完善。

IT产品信息安全认证

一、简介

《IT产品信息安全认证》是依据信息技术安全评估

准则和相关技术要求，对IT产品的安全性进行评价，包

括基于GB/T18336提供不同登记EAL认证。旨在保护用

户信息安全，维护用户利益。生产企业的IT产品获得信

息安全认证证书，表明该产品符合相应的标准和技术要

求。

二、认证模式和有效期

模式1：型式试验+获证后监督

模式2：型式试验+初始工厂检+获证后监督

说明：当认证产品的安全保障要求级别为EAL3级及

以上级别时，认证模式为模式2。

有效期：证书有效期3年。在有效期内，通过每年

对获证后的产品进行监督确保认证证书的有效性。

三、认证级别

评估保障级（EAL）认证，是依据GB/T 18336（等

同采用ISO/IEC 15408，即CC）和相关安全技术要求，对

IT产品完整生命周期过程的安全保障措施进行综合评

价，旨在保护用户信息安全，维护用户利益。基于通用

评估准则开展的安全认证是目前世界各国应用最为广泛

的认证制度，其在信息安全保障方面的价值和意义被整

个产业普遍接受和认可。该认证将产品信息安全保障能

力从低到高分为7个评估保障等级，即EAL1至EAL7，通

过风险分析、测试验证、安全保障措施评估、文档审查

及现场核查等方式来评价产品提供的安全保障能力，判

定其是否满足标准中相应级别的要求。

四、产品目录

五、申报需提供资料

六、发证机关

由中国网络安全审查技术与认证中心颁发

七、申报流程

八、证书模板

工控产品认证 物联网终端产品认证

云计算安全防护产品认证 智能卡类产品认证

评估保障级（EAL)认证 其他IT产品认证

申请基本信息：

▲ 认证申请书

▲ 申请方申明

▲ 相关法律地位证明材料（复印件）

产品相关说明：

▲ 中文产品功能说明书和/或使用手册

▲ 产品研制主要技术人员情况表

▲ 产品测试技术人员情况表

▲ 产品测试使用的主要设备表（如适用）

▲ 中文铭牌和警告标记（如适用）

▲ 产品密码检验合格证书（如适用）

安全保障要求方面的文档：

▲ 安全目标文档（ST）

▲ 生命周期支持文档

▲ 开发文档

▲ 指导性文档

▲ 测试文档

▲ 脆弱性评定 文档

认证申请及受理

文档审核

型式实验委托及实施

工厂检查

认证结果评价与批准

获证后监督

通知公告 www.cciss.com.cn

技术领先，专业服务。

Technology Leading， Professional Services. 38-39

北斗基础产品认证

序号 产品类别 产品描述 认证依据

芯片类产品

双频多系统高

精度射频基带

一体化芯片

BDS-JSsCS-2021-002《北

斗卫星导航系统民用全球信号双

频多系统高精度射频基带一体化

芯片产品技术要求和测试方法》

该产品为面向各类低成本高精度应用的射频基带一体化

集 成 芯 片，支 持 BDS B1I/B1C/B2a、GPSL 1/L5、

GalileoE1/ES 等导航信号，具有一定的抗多径、抗干扰

能力，可实现双频多模高精度联合定位。

该产品为面向各类低成本普通导航应用的射频基带一体

化集成芯片，支持 BDS B11/B1C、GPS LICI/A 等导

航信号，支持差分增强、组合导航、多音干扰消除等功能，

可实现单系统定位和多系统联合定位。

该产品为面向各类高精度导航应用的多模多频宽带射频

芯片，可支持 BDS、GPS.Galileo、GLONASS 等系

统所有民用频点信号的宽带接收 , 具有集成度高、带宽和

中心频点可灵活配置等特点。

该产品为面向北斗短报文通信终端入网认证应用的 SIM

卡产品，支持北斗卫星导航系统民用短报文终端进行接

入北斗网络的用户身份鉴权认证和信息加解密功能 , 包含

芯片和片内操作系统 (COs)。

该产品为面向各类低成本高精度应用的小型化多模多频

高精度天线，支持 BDS、GPS、Galileo、GLONASS

等系统所有民用频点信号的接收﹐在较小的外形尺寸下

提供良好的相位中心稳定性和增益性能。

该产品为面向各类低成本高精度应用的小型化多模多频

导航模块，支持 BDS、GPS、Galileo、GLONASS 等

系统所有民用频点导航信号，具备 RTK 和 PPP 高精度

定位功能，具有小尺寸、易集成的优点。

该产品为面向各类高精度应用的多模多频高精度板卡，

支持 BDS、GPS、Galileo、GLONASS 等系统所有民

用频点导航信号，可输出高质量载波相位和伪距观测量，

具备 RTK、PPP 高精度定位和星基增强功能。

BDS-JsCS-2021-004 《北 斗

卫星导航系统民用全球信号多模

多频高精度天线产品技术要求和

测试方法》

BDS-JSCs-2021-006《北 斗

卫星导航系统民用全球信号多模

多频导航模块产品技术要求和测

试方法》

BDS-JsCS-2021-005《北 斗

卫星导航系统民用全球信号多模

多频高精度板卡产品技术要求和

测试方法》

BDS-JSCS-2021-001《北 斗

卫星导航系统民用全球信号

RNSS 射频基带一体化芯片产品

技术要求和测试方法》

BDS-JSCS-2021-003《北 斗

卫星导航系统民用全球信号多模

多频宽带射频芯片产品技术要求

和测试方法》

GB/T 22186《信息安全技术具

有中央处理器的 IC 卡芯片安全

技 术 要 求》GB/T 20276《信 息

安全技术具有中央处理器的 C 卡

嵌入式软件安全技术要求》

RNSS射频基

带一体化芯片

天线类产品 多模多频高精

度天线

模块类产品 多模多频导航

模块

板卡类产品 多模多频高精

度板卡

多模多频宽带

射频芯片

北斗三号短报

文通信SIM卡

1

2

3

4

5

6

7

一、简介

北斗卫星导航系统是我国自主建设运行的全球卫星

导航系统，是为全球用户提供全天候、全天时、高精度

的定位、导航和授时服务的国家重要时空基础设施。

为进一步提升芯片、模块、天线、板卡等北斗基础

产品质量，保障北斗卫星导航系统在各领域各行业的广

泛应用，市场监管总局近日印发《关于开展北斗基础产

品认证工作的实施意见》，通过在北斗行业建立实施质

量认证制度，营造有利于北斗基础产品发展的良好环

境，推出《北斗基础产品认证》。

二、产品目录

国家信息安全产品认证

七、证书模板

一、简介

由国家质检总局、国家认监委联合发布《关于部分

信息安全产品实施强制性认证的公告》，要求自2009年

5月1日起将8类13种信息安全产品实施强制性认证。

2010年4月，由财政部、工信部、国家质检总局、国家

认监委联合发布了《关于信息安全产品实施政府采购的

通知》，规定在政府采购活动中，采购人或其委托的采

购代理机构按照政府采购的规定，在政府采购招标文件

(包括谈判文件、询价文件)中应当载明对产品获得信息

安全认证的要求、并要求产品供应商提供由中国网络安

全审查技术与认证中心按国家标准颁发的有效认证证

书。

自此，在政府采购领域全面开始推行信息安全产品

强制采购政策，在信息安全产品相关政府采购项目中，

通常要求提供的产品属于信息安全产品的，供应商应当

选择经国家认证的信息安全产品投标，并提供有效的认

证证书，因此属于上述产品的必须进行《国家信息安全

产品认证》

二、产品目录

认证申请及受理

文档审核

型式实验委托及实施

工厂检查

认证结果评价与批准

获证后监督

三、认证模式和有效期

认证模式：型式试验+初始工厂检查+获证后监督。

认证单元划分：认证机构按产品型号/版本的不同

划分认证单元。同一认证单元内有多个型号/版本的产

品时，需要认证委托人提交型号/版本间的差异说明，

必要时还应对差异部分补充型式试验。

认证证书有效期为5年。在有效期内，通过认证机

构的获证后监督，保持认证证书的有效性。证书到期需

延续使用的，认证委托人应在有效期届满前6个月内提

出认证委托。认证机构应采用获证后监督的方式对符合

认证要求的委托换发新证书。

四、申报资料

认证机构应根据法律法规、标准及认证实施的需要

在认证细则中明确申请资料清单（应至少包括认证申请

书、合同或认证委托方/生产者/生产企业的注册证明

等）。

五、发证机关

由中国网络安全审查技术与认证中心颁发

六、申报流程

人才保障人才保障 通知公告 www.cciss.com.cn

技术领先，专业服务。

Technology Leading， Professional Services. 40-41

七、证书模板

（1）边界

安全

（2）通信

安全

（3）身份

鉴别与访

问控制

网络安全

隔离卡与

线路选择

器

安全隔离

与信息交

换产品

安全路由

器

智能卡COS

网络安全隔离卡是指安装在计算机内部，能够使

连接该计算机的多个独立的网络之间仍然保持物理隔

离的设备。安全隔离线路选择弱是与配套的安全隔离

卡一起使用。适用于单网布线环境下，使同一计算机

能够访问多个独立的网络，并且各网络仍然保持物理

隔离的设条。

适用的产品范围为：（1）安全隔离计算机；

（2）安全隔离卡；（3）安全隔离线路选择器。

安全隔离与信息交换产品是指能够保证不同网络

之间在网络协议终止的基础上.通过安全通道在实现网

络隔离的同时进行安全数据交换的软硬件组合。

适用的产品范围为：（1）安全隔离与信息交换

产品；（2）安全隔离与文件单向传翰产品。

安全路由器是指为保潦所传输数据充整性、机密

性、可用性，应用于重要信息系统的。只备IKE密钥

协商能力，端口IPSes硬件线速加密能力的路由器。

适用的产品范围为分:集成了1PSeg'sSL，以及防火

墙、入侵检测、安全审计等一种或多种安全模块的路

由器，仅接入公用电信网的路由器除外。

智能卡芯片操作系统(COS-Chip Operating System)

是指在智能卡芯片中存储和运行的、以保护存储在非

易失性存佬器中的应用数据或程序的机密性和完整

性、控制智能卡芯片与外界信息交换为目的的嵌入式

软件。

适用的产品范围为：（1）采用接e或/和非接触工

作方式的智能卡的COS；（2）其它被案成或内置了的

COS。

防火墙

防火培产品是指一个或一组在不同安全策咯的网

络或安全域之间实施网络访问控制的系统。

适用的产品范围为：（1）以防火墙功能为主体

的软件或软硬件组合；（2）其它网络产品中的防火

场模块:不适用个人防火场产品。

产品类别 产品名称 产品的定义和适用范围

安全操作系统是指从系统设计、实现、使用和管

理等各个阶段都遵循一套充整的系统安全策略,并实现

了GB 17859-1999《计算机信息系统等级保护划分准

则》所确定的安全等级三级（含)以上的操作系统。

适用的产品范围为：（1）独立的安全操作系统

软件产品；（2）集成或内置了安全操作系统的产品。

安全数据库系统足指从系统设计、实现、使用和

管理等各个阶段都遵循一套充整的系统安全策略。并

实现GB 17859-1999《计算机信息系统等级保护划分

准则》所确定的安全等级三级(含）以上的数据库系

统。

适用的产品范围为：（1）独立的安全数据库系

统软件产品；（2）案成或内且了安全数据库系统的

产品。

（4）数据

安全

（5）基础

平台

数据备份

与恢复产

品

安全操作

系统

安全数据

库系统

数据各份与恢复产品是指实现和管理信息系统数

据的备份和恢复过程的软件.适用的产品范围为:独立

的数据备份与恢复管理软件产品，不包括数据复制产

品和持绘数据保护产品。

（6）内容

安全

（7）评

估审计与

监控

反垃圾邮

件产品

网络脆弱

性扫描产

品

入侵检测

系统（IDS）

安全审计

产品

反垃圾邮件产品是指对按照电子邮件标准协议实

现的电子邮件系统中传递的垃圾邮件进行识别、过滤

的软件或软硬件组合。

适用的产品范围为：（1）透明的反垃圾邮件网

关；（2）基于转发的反垃圾邮件系统；（3）与邮件

服务器一体的反垃圾邮件的邮件服务器；（4）安装

于已有邮件服务器上反垃圾邮件软件。

入侵检测系统指通过对计算机网络或计算机系统

中的若干关键点收集信息并对其进行分析．发现违反

安全策晓的行为和被攻击迹象的软件或软硬件组合。

适用的产品范围为：（1）网络型入侵检测系

统；（2）主机型入侵检测系统。

网络脆弱性扫描产品指利用扫描手段检测目标网

络系统中可能被入侵者利用的脆弱性的软件或软硬件

组合。

适用的产品范围为：网络型脆弱性扫描产品；不

适用；主机型脆弱性扫描产品；数据库的脆弱性扫描

产品；WEB应用的脆弱性扫描产品。

安全审计产品指能够对网络应用行为或信息系统

的各种日志实行采集、分析，形成审计记录的软件或

软硬件组合。

适用的产品范围为：将主机、服务器、网络、数

据库及其它应用系统等一类或多类作为审计对象的产

品。

产品类别 产品名称 产品的定义和适用范围

（8）应用

安全

网站恢复

产品

网站恢复产品是对受保护的静态网页文件、动态

脚本文件及目录的未投权更改及时地进行自动恢复的

软件或软硬件组合。

适用的产品范围为：针对静态网页文件、动态脚

本文件及目录进行自动恢复的产品。

三、认证模式和有效期

认证模式：型式试验+工厂检查+获证后监督

有效期：证书有效期5年。在有效期内，通过每年对

获证后的产品进行监督确保认证证书的有效性

四、申报需提供资料

申请方向CCRC递交申请资料（详见1.2）

申请资料审查

CCRC发出送样通知单

申请方向实验室送样（详见1.3）

型式试验

CCRC发出缴费通知单

申请方向CCRC缴费（详见1.4）

初始工厂检查（详见1.5）

综合评价、认证决定

颁发证书（详见1.6）

真厚监督（详见1.7）

（1）基本情况介绍；（2）相关资质证明材料（复印件）；

（3）质量体系方面有关的文件；（4）申请方声明。

申请方情

况

国家信息安全产品认证实施规则中有关保障要求相关文档。 信息安全

保障要求

产品相关

说明

（1）中文产品功能说明书和/或使用手册；

（2）认证标准的适应性说明；

（3）产品主要开发人员列表；

（4）产品主要测试人员列表；

（5）产品测试使用的主要设备表（如适用）；

（6）中文铭牌和警告标记（如适用）；

（7）同一认证单元中型号/版本间的差异说明及相关自测报告

（如适用）；

（8）关键件清单及说明；

（9）产品密码检测证书；

（如适用，具体参见相关国家标准）。

五、发证机关

由中国网络安全审查技术与认证中心颁发

六、申报流程

七、证书模板

网络关键设备和网络安全专用产品认证

一、简介

网络关键设备和网络安全专用产品安全认证是依据

《中华人民共和国网络安全法》,为提升国家网络安全保

障能力而实施的一项认证制度。本文从认证体系的产品

目录、实施机构、实施要求等方面系统梳理了网络关键

设备和网络安全专用产品安全认证体系建立的情况,介绍

了认证模式、采用标准及认证实施的现状,阐述了该项认

证制度在我国网络安全保障体系中的重要作用。

二、产品目录

网络关键

设备

1.路由器

3.服务器（机架式）

2.交换器

4.可编辑逻辑控制器（PLC设备）

整系统吞吐里(双向)≥12Tbps

整系统路由表容里≥55万条

整系统吞吐里（双向）≥30Tbps

整系统包转发率≥10Gpps

CPU数里≥8个

单CPU内核数≥14个

内存容里≥256GB

控制器指令执行时间≤0.08微秒

设备或产品类别 范围

网络安全

专用产品

网络安全

专用产品

5.数据备份一体机

6.防火墙（硬件）

备份容里≥20T

备份速度≥60MB/s

备份时间间隔≤1小时

整机吞吐里≥80Gbps

最大并发连接数≥300万

每秒新建连接数≥25万

7.WEB应用防火墙（WAF） 整机应用吞吐里≥6Gbps

最大HTTP并发连接数≥200万

8.入侵检测系统（IDS） 满检速率≥15Gbps

最大并发连接教≥500万

9.入侵防御系统（IPS） 满检速率≥20Gbps

最大并发连接数≥500万

10. 安全隔离与信息交换产品

（网闸）

吞吐里≥1Gbps

系统延时≤5ms

11.反垃圾邮件产品

连接处理速率(连接/秒）>100

平均延迟时间<100ms

12.网络综合审计系统 抓包速度≥5Gbps

记录事件能力≥5万条/秒

13.网络脆弱性扫描产品 最大并行扫描顶数里≥60个

14.安全数据库系统 TPC-E tpsE(每秒可交易教里)≥4500个

15.网站恢复产品（硬件） 恢复时间≤2ms

站点的最长路径≥10级

三、认证模式和有效期

认证模式：型式试验+工厂检查+获证后监督

有效期：证书有效期5年。在有效期内，通过每年

对获证后的产品进行监督确保认证证书的有效性

四、申报需提供资料

五、发证机关

由中国网络安全审查技术与认证中心颁发

六、申报流程

认证委托人情况：

1）申请基本信息：

▲ 认证申请书；

▲ 认证委托人声明；

▲ 相关法律地位证明材料（复印件）；

▲ 质量体系方面有关文件。

2）有关技术指标参数声明及支撑材料

产品相关说明：

▲ 中文产品功能说明书和/或使用手册；

▲ 产品研制主要技术人员情况表；

▲ 产品测试使用的主要设备表；

▲ 同一单元中型号/版本间的差异说明名及相关测试报告（如适用）；

▲ 产品密码检验合格证书（如适用。具体参考相关国家标准）

▲ 认证标准的适用性说明；

▲ 产品测试技术人员情况表；

▲ 中文铭牌和警告标记；

信息安全保障要求：

▲ 配置管理；

▲ 交付与运行；

▲ 开发；

▲ 指导性文档

▲ 测试。

认证申请及受理

文档审核

型式实验委托及实施

工厂检查

认证结果评价与批准

获证后监督

人才保障人才保障 通知公告 www.cciss.com.cn

技术领先，专业服务。

Technology Leading， Professional Services. 42-43

金融科技产品认证

一、简介

为贯彻国务院《关于加强质量认证体系建设促进全

面质量管理的意见》精神，落实国家认证认可监督管理

委员会、中国人民银行《关于开展支付技术产品认证工

作的实施意见》和《关于加强支付技术产品标准实施与

安全管理的通知》要求，更好满足金融行业发展与监管

需要，市场监管总局、人民银行决定将支付技术产品认

证扩展为《金融科技产品认证》。

二、产品目录

三、认证模式和有效期

认证模式：型式试验+获证后监督；

上述获证后监督是指获证后的跟踪检查、生产现场

七、证书模板

认证申请及受理

文档审核

型式实验委托及实施

工厂检查

认证结果评价与批准

获证后监督

序号 产品类别 依据标准

1 客户端软件 JR/T 0092移动金融客户端应用软件安全管理规范

JR/T 0098.3中国金融移动支付检测规范第三部分:客户端软件

T/PCAC0006条码支付移动客户端软件检测规范〔适用时)

2 安全芯片

JR/T 0089.1中国金融移动支付安全单元第1部分:通用技术要求

JR/T 0089.2中国金融移动支付安全单元第2部分:多应用管理规范

JR/T 0098.2中国金融移动支付检测规范第2部分:安全芯片

3

4

5

安全载体

嵌入式应用软件

银行卡自动柜员机

(ATM)终端

JR/T 0095 中国金融移动支付应用安全规范

JR/T 0098.5中国金融移动支付检测规范第5部分:安全单元(SE)

嵌入式软件安全

JR/T 0089.1中国金融移动支付安全单元第1部分:通用技术要求

JR/T 0089.2中国金融移动支付安全单元第2部分:多应用管理规范

JR/T 0098.5中国金融移动支付检测规范第5部分:安全单元(SE)嵌

入式软件安全

JR/T 0002银行卡自动柜员机(ATM）终端技术规范

JR/T 0120.3银行卡受理终端安全规范第3部分:自助终端

JR/T 0120.5银行卡受理终端安全规范第5部分:PIN输入设备

T/PCAC00004银行卡自动柜员机(ATM）终端检测规范

6

7

8

9

10

11

支付销售点(POS)终

端

移动终端可信执行

环境(TEE)

可信应用程序(TA)

支忖受理终端(含显

码设备、扫码设备)

声纹识别系统品

云计算平台

JR/T 0001银行卡销售点(POS）终端技术规范

JR/T 0120.1银行卡受理终端安全规范第1部分:销售点(POS）终端

JR/T 0120.5银行卡受理终端安全规范第5部分:PIN输入设备

T/PCAC 0003银行卡销售点(POS）终端检测规范

JR/T 0156移动终端支付可信环境技术规范

《条码支付安全技术规范〔试行)》〔银办发〔2017]242号)

《条码支付受理终端技术规范《试行)》(银办发〔[2017]242号)

T/PCAC 0005条码支付受理终端检测规范

JR/T 0156移动终端支付可信环境技术规范

JR/T 0164移动金融基于声纹识别的安全应用技术规范

JR/T 0166云计算技术金融应用规范技术框架

JR/T 0167云计算技术金融应用规范安全技术要求

JR/T 0168云计算技术金融应用规范容灾

抽取样品检测、市场抽样检测三种方式之一或组合。

认证机构可根据实际情况确定认证委托方所能适用

的认证模式。

认证单元划分：原则上应按产品型号、规格、版本

的不同划分认证单元，当以多个型号、规格、版本的产

品作为一个认证单元时，认证委托方应提交各型号、规

格、版本产品间的差异说明

认证证书有效期为3年。在有效期内，通过认证机

构的获证后监督确保认证证书的有效性。期满后进行监

督审查，合格即可续期。

四、申报资料

认证机构应根据法律法规、标准及认证实施的需要

在认证细则中明确申请资料清单（应至少包括认证申请

书、合同或认证委托方/生产者/生产企业的注册证明

等）。

五、发证机关

由中国网络安全审查技术与认证中心颁发

六、申报流程

移动互联网应用程序（App）安全认证

一、简介

App认证全称叫移动互联网应用程序（App）安全认

证，针对具有收集、存储、传输和使用个人信息行为的

App进行的数据安全认证，是中央网信办、工业和信息

化部、公安部、市场监管总局，为保障个人信息安全，

维护广大网民合法权益而推出的安全认证，并鼓励App

运营者自愿通过App安全认证。

二、适用范围

针对具有收集、存储、传输和使用个人信息行为的

移动互联网应用程序（以下称“App”）进行的数据安

全认证。

三、认证价值

（1）作为一种常态化机制，能减少各行业管理部

门的重复检测和评估，降低企业负担；

（2）搜索引擎以及应用商店优先推荐，大大增加

App的曝光率，提升企业效益；

（3）安全认证明确标识，引导用户选用获证App，

减少用户下载顾虑，提升App下载量。

四、认证模式和有效期

App安全认证的认证模式为：技术验证+现场核查+

获证后监督

认证证书的有效期为三年。证书有效期内，通过获

证后的监督确保证书的有效性。当认证要求）发生变化

时，应按规定期限换证，超过规定期限未换发的认证证

书自行失效。

五、申报条件和资料

认证申请主体为通过App向用户提供服务的网络运

营者，且取得市场监督管理部门或有关机构注册登记的

法人资格。且需提供以下资料：

（1）认证申请书；

（2）法人资格证明材料；

（3）App版本控制说明；

（4）对认证要求符合性的自评价结果及相关证明

文档；

（5）对App符合相关安全技术标准的证明文件；

（6）不同发布渠道的版本差异性说明；

（7）其他需要的文件。

六、发证机关

由中国网络安全审查技术与认证中心颁发

人才保障人才保障 通知公告 www.cciss.com.cn

技术领先，专业服务。

Technology Leading， Professional Services. 44-45

八、证书模板

七、申报流程

中国网络安全审查技术与认证中心数据合规官

（CCRC-DCO）认证培训

中国网络安全审查技术与认证中心数据合规官

（CCRC-DCO）认证培训（线上）即日启动报名：面向

北京、上海、杭州、深圳、广州、南京、重庆、成都、

太原、郑州、西安等全国各大城市。

一、CCRC-DCO证书颁发单位是什么？

数据合规官（CCRC-DCO）证书的颁发单位是中国

网络安全审查技术与认证中心（英文缩写为CCRC，原

为中国信息安全认证中心）。中心于2006年由中央机构

编制委员会办公室批准成立，为国家市场监督管理总局

直属事业单位。中心依据《网络安全法》《网络安全审

查办法》及国家有关强制性产品认证法律法规，承担网

络安全审查技术支撑和认证工作，在批准范围内开展与

网络安全相关的产品、管理体系、服务、人员认证和培

训等工作。

二、CCRC-DCO证书有什么作用价值？

数据合规官（CCRC-DCO）认证培训主要面向政府

机构、司法机关、央企国企和龙头公司、科技企业和创

新企业、律师会计咨询机构、测评机构、社会组织团

体、各级院校以及其他单位中从事个人信息保护、数据

安全、网络安全、信息安全、合规风控、数字审计、技

术研发、应急管理以及安全监管等业务的专业人员。数

据合规官（CCRC-DCO）持证人员具备数据治理与数据

合规方向的高度理论水平和实践能力，将在人才遴选、

职务晋升、业务发展等诸多方面脱颖而出，有效提升自

身竞争力和所在团队及单位的业务实力，提高数据治理

合规风控水平及品牌优势。在中国《网络安全法》《数

据安全法》《个人信息保护法》全面施行之际，数据合

规官（CCRC-DCO）成为甄选高级人才和业务伙伴的重

要评判指标。

三、CCRC-DCO考试要学习什么内容？

数据合规官（CCRC-DCO）认证培训时间为4个全

天（线上），总计8课：

第一课 数据合规的政策战略与法律法规

第二课 网络安全和个人信息保护的体系架构

第三课 数据安全管理与工程

第四课 数据安全法及合规落地路径

第五课 个人信息保护法与合规实现

第六课 数据治理的监管司法合规应对

第七课 数据合规中的技术应用方案

第八课 跨国公司数据安全与个人信息保护合规

考试形式为闭卷考试（线上考试系统），满分100

分，得分70分以上为考试通过。凭借资深名师的精心讲

授和学员自身的努力投入，能够取得理想的考试结果。

四、CCRC-DCO考试报名手续怎么办？

联系人：卢老师

联系邮箱：595854796@qq.com

联系微信：18583988758

人才保障人才保障 通知公告 www.cciss.com.cn

技术领先，专业服务。

Technology Leading， Professional Services. 46-47

使用微信时可能存在安全隐患的行为是?( )

A、允许“回复陌生人自动添加为朋友”

B、取消“允许陌生人查看10张照片”功能

C、设置微信独立帐号和密码，不共用其他帐号和

密码

D、安装防病毒软件，从官方网站下载正版微信

下面哪些行为可能会导致电脑被安装木马程序( )

A、上安全网站浏览资讯

B、发现邮箱中有一封陌生邮件，杀毒后下载邮件

中的附件

C、下载资源时，优先考虑安全性较高的绿色网站

D、搜索下载可免费看全部集数《长安十二时辰》

的播放器

在某电子商务网站购物时，卖家突然说交易出现异

常，并推荐处理异常的客服人员。以下最恰当的做法

是?( )

A、直接和推荐的客服人员联系

B、如果对方是信用比较好的卖家，可以相信

C、通过电子商务官网上寻找正规的客服电话或联

系方式，并进行核实

D、如果对方是经常交易的老卖家，可以相信

ATM机是我们日常存取现金都会接触的设备，以

下关于ATM机的说法正确的是?( )

A、所有ATM机运行的都是专业操作系统，无法利

用公开漏洞进行攻击，非常安全

B、ATM机可能遭遇病毒侵袭

C、ATM机无法被黑客通过网络进行攻击

D、ATM机只有在进行系统升级时才无法运行，其

他时间不会出现蓝屏等问题

我们在日常生活和工作中，为什么需要定期修改电

脑、邮箱、网站的各类密码?( )

A、遵循国家的安全法律

B、降低电脑受损的几率

C、确保不会忘掉密码

D、确保个人数据和隐私安全

以下哪种不属于个人信息范畴内( )

A、个人身份证件

B、电话号码

C、个人书籍

D、家庭住址

关于注销App的机制，不正确的是( )

A、注销渠道开放且可以使用，有较为明显的注销

入口

B、账号注销机制应当有简洁易懂的说明

C、核验把关环节要适度、合理，操作应便捷

D、找不到注销入口，联系客服注销不给予回复

为了避免个人信息泄露，以下做法正确的是( )

A、撕毁快递箱上的面单

B、把快递箱子放进可回收垃圾里

C、把快递面单撕下来再放进干垃圾分类中

D、以上做法都可以

关于个人生物特征识别信息，以下哪种是合理的处

理方式( )

A、在隐私政策文本中告知收集目的

B、向合作伙伴共享个人生物识别信息

C、公开披露个人生物识别信息

D、仅保留个人生物识别信息的摘要信息

你的QQ好友给你在QQ留言，说他最近通过网络

兼职赚了不少钱，让你也去一个网站注册申请兼职。但

你打开该网站后发现注册需要提交手机号码并发送验证

短信。以下做法中最合理的是?( )

A、提交手机号码并且发送验证短信

B、在QQ上询问朋友事情的具体情况

C、不予理会，提交手机号码泄露个人隐私，发送

网络安全知识小问答

1

2

3

4

5

10

9

8

7

6