网络安全审查认证

网络安全审查认证

一、概述

网络安全审查认证是指由国家认可的专业机构依据相关法律法规和技术标准，对关键信息基础设施运营者、网络产品和服务提供者进行的系统性安全评估与认证活动。随着数字化转型的深入推进和《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规的实施，网络安全审查认证已成为保障国家网络安全的重要制度性安排。

网络安全审查认证旨在通过科学、规范的检测评估手段，识别网络产品和服务可能存在的安全风险，评估其对国家安全、公共利益的影响，为采购决策提供依据，同时促进网络产品和服务提供者提升安全水平。该认证涵盖供应链安全、数据安全、个人信息保护等多个维度，是构建网络安全保障体系的核心环节。

在当前网络安全形势日益复杂的背景下，网络安全审查认证不仅关系到企业合规经营，更是维护国家网络空间主权、安全和发展利益的重要举措。通过开展网络安全审查认证，可以有效防范化解重大网络安全风险，保障关键信息基础设施安全稳定运行。

二、检测项目

网络安全审查认证的检测项目涵盖多个层面，主要包括以下核心内容：

1. 安全技术检测项目

• 系统架构安全性评估
• 身份认证与访问控制机制检测
• 密码算法与密钥管理安全性评估
• 边界防护与入侵检测能力测试
• 漏洞扫描与渗透测试
• 恶意代码防范能力检测
• 安全审计与日志管理评估

2. 数据安全检测项目

• 数据分类分级管理评估
• 数据采集合法性审查
• 数据存储安全检测
• 数据传输加密机制评估
• 数据出境安全评估
• 数据备份与恢复能力测试
• 个人信息保护措施评估

3. 供应链安全检测项目

• 供应商资质与背景审查
• 开源组件安全性评估
• 第三方组件漏洞检测
• 软件供应链完整性验证
• 硬件供应链安全评估

4. 管理体系检测项目

• 网络安全管理制度完备性评估
• 安全组织架构审查
• 人员安全管理评估
• 应急响应机制检测
• 安全培训与意识评估

三、检测样品

网络安全审查认证的检测样品范围广泛，根据审查对象的不同，主要包括以下类型：

1. 网络产品类样品

• 网络设备：路由器、交换机、防火墙、入侵检测系统等
• 安全产品：安全网关、Web应用防火墙、安全审计系统等
• 终端设备：计算机终端、移动终端、物联网终端等
• 服务器设备：应用服务器、数据库服务器、存储服务器等

2. 软件系统类样品

• 操作系统：服务器操作系统、桌面操作系统、移动操作系统
• 数据库系统：关系型数据库、非关系型数据库、分布式数据库
• 中间件：应用服务器中间件、消息中间件、数据集成中间件
• 应用软件：业务应用系统、办公软件、移动应用程序

3. 云服务类样品

• 云基础设施服务：计算服务、存储服务、网络服务
• 云平台服务：数据库服务、大数据服务、人工智能服务
• 云软件服务：办公协作服务、企业管理服务、行业应用服务

4. 关键信息基础设施类样品

• 公共通信和信息服务系统
• 能源、交通、水利、金融、公共服务等重要行业系统
• 电子政务网络和系统
• 国防科技工业系统

检测样品的选取应具有代表性，能够全面反映被审查对象的安全状况。对于复杂系统，需提供完整的系统环境、配置文件、源代码、技术文档等相关材料。

四、检测方法

网络安全审查认证采用多种检测方法相结合的方式，确保检测结果的全面性和准确性：

1. 静态检测方法

静态检测主要针对源代码、配置文件、文档资料等进行安全分析。包括源代码安全审计、配置基线核查、安全策略合规性检查等。通过静态分析技术，识别代码中的安全漏洞、后门程序、敏感信息泄露等风险点。

2. 动态检测方法

动态检测在系统运行状态下进行安全测试。包括漏洞扫描测试、渗透测试、模糊测试、协议分析测试等。通过模拟真实攻击场景，验证系统在实际运行环境中的安全防护能力。

3. 人工检测方法

人工检测由专业安全工程师进行深度分析评估。包括安全架构评审、管理制度审查、人员访谈、现场检查等。人工检测能够发现自动化工具难以识别的深层次安全问题。

4. 综合评估方法

综合评估将技术检测结果与管理评估结果相结合，采用风险矩阵法、层次分析法等方法，对被审查对象的整体安全状况进行综合评判，确定安全风险等级。

5. 供应链溯源方法

针对网络产品和服务的供应链安全，采用供应商背景调查、组件成分分析、软件物料清单（SBOM）审查、开源许可证合规性检查等方法，评估供应链安全风险。

五、检测仪器

网络安全审查认证过程中使用的检测仪器和工具主要包括：

1. 漏洞扫描设备

• 专业漏洞扫描器：用于自动化检测系统、网络设备、Web应用中的已知漏洞
• 数据库安全扫描器：专门针对数据库系统进行安全配置和漏洞检测
• Web应用安全扫描器：检测Web应用的SQL注入、XSS、文件包含等漏洞

2. 渗透测试工具

• 渗透测试框架：用于模拟真实攻击行为，验证系统安全防护能力
• 网络协议分析工具：捕获和分析网络流量，识别异常通信行为
• 密码破解工具：评估密码强度和认证机制安全性

3. 代码审计工具

• 静态代码分析工具：对源代码进行安全漏洞扫描
• 二进制分析工具：对可执行程序进行逆向分析和安全检测
• 开源组件扫描工具：识别代码中使用的开源组件及其已知漏洞

4. 安全基线核查工具

• 操作系统安全基线核查工具：检测操作系统的安全配置合规性
• 数据库安全基线核查工具：评估数据库系统的安全设置
• 网络设备安全基线核查工具：检查网络设备的安全配置

5. 专用检测设备

• 恶意代码检测设备：检测系统中的病毒、木马、后门等恶意程序
• 密码产品检测设备：评估密码算法实现和密钥管理的安全性
• 无线安全检测设备：检测无线网络的安全威胁
• 工控安全检测设备：针对工业控制系统的专项安全检测

所有检测仪器均需经过计量校准，确保检测结果的准确性和可追溯性。检测机构应建立完善的仪器设备管理制度，定期进行维护保养和性能验证。

六、检测标准

网络安全审查认证依据的标准体系包括国家标准、行业标准及相关法规要求：

1. 基础性法律法规

• 《中华人民共和国网络安全法》
• 《中华人民共和国数据安全法》
• 《中华人民共和国个人信息保护法》
• 《关键信息基础设施安全保护条例》
• 《网络安全审查办法》

2. 国家标准

• GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
• GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
• GB/T 35273-2020《信息安全技术 个人信息安全规范》
• GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》
• GB/T 39204-2020《信息安全技术 关键信息基础设施安全保护要求》
• GB/T 41479-2022《信息安全技术 网络数据处理安全要求》

3. 行业标准

• T/CCIA 001-2020《网络安全审查要点》
• YD/T 3802-2020《电信网和互联网数据安全通用技术要求》
• JR/T 0197-2020《金融数据安全 数据安全分级指南》

4. 专项标准

• 云计算服务安全能力要求及评估方法
• 工业控制系统安全防护指南
• 移动互联网应用程序安全评估指南
• 网络安全服务资质要求

检测机构应根据被审查对象的类型和特点，选择适用的标准依据，确保检测工作的规范性和权威性。

七、检测流程

网络安全审查认证的检测流程一般包括以下环节：

1. 申请受理阶段

申请人向检测机构提交网络安全审查认证申请，提供相关材料。检测机构对申请材料进行审核，确认是否符合受理条件。材料齐全且符合要求的，予以受理并签订检测合同；材料不完整的，一次性告知需补充的材料。

2. 方案制定阶段

检测机构根据被审查对象的特点和检测需求，制定详细的检测方案。方案内容包括检测范围、检测项目、检测方法、检测依据、人员安排、进度计划等。检测方案需经技术负责人审批后实施。

3. 现场检测阶段

检测人员按照检测方案开展现场检测工作。包括系统调研、技术检测、管理评估、人员访谈等。现场检测过程中，检测人员应如实记录检测情况，收集相关证据材料，对发现的问题进行确认。

4. 分析评估阶段

检测完成后，对检测数据进行汇总分析，识别安全风险和问题。采用风险分析方法评估安全风险等级，对照检测标准进行合规性判定。对于发现的安全问题，提出整改建议。

5. 报告编制阶段

根据检测结果编制检测报告。报告内容包括检测概况、检测依据、检测项目、检测结果、风险分析、整改建议等。报告需经审核人员审核、批准人员批准后正式出具。

6. 结果反馈阶段

向申请方反馈检测结果，对于存在问题的，提出整改要求。申请方完成整改后，可申请复测。复测通过的，进入认证决定环节。

7. 认证决定阶段

认证机构根据检测报告和相关材料，做出认证决定。认证通过的，颁发认证证书；认证不通过的，书面通知申请方并说明理由。

八、检测周期

网络安全审查认证的检测周期受多种因素影响，具体时间安排如下：

1. 常规检测周期

对于一般网络产品和服务的网络安全审查认证，检测周期通常为15-30个工作日。其中，申请材料审核约3-5个工作日，现场检测约5-10个工作日，报告编制和审批约5-10个工作日。

2. 复杂系统检测周期

对于关键信息基础设施、大型云计算平台、复杂业务系统等，检测周期一般为30-60个工作日。此类系统检测范围广、检测项目多，需要更充分的检测时间。

3. 专项审查周期

涉及数据出境安全评估、网络安全审查（国家安全审查）等专项审查，周期可能延长至60-90个工作日。此类审查涉及多部门协调，程序较为复杂。

4. 整改复测周期

检测发现问题需要整改的，整改完成后申请复测。复测周期一般为5-10个工作日。整改时间不计入检测周期。

5. 影响检测周期的因素

• 被审查对象的规模和复杂程度
• 检测项目的数量和难度
• 申请材料的完整性和准确性
• 被审查方的配合程度
• 发现问题的数量和整改难度
• 检测机构的工作安排

申请方应提前规划时间安排，预留充足的检测和整改时间，确保认证工作顺利完成。

九、检测费用

网络安全审查认证的费用根据检测项目、检测规模、检测难度等因素确定：

1. 费用构成

• 申请费：包括申请材料审核、受理等费用
• 检测费：包括技术检测、管理评估、现场检测等费用
• 报告费：包括检测报告编制、审核、批准等费用
• 认证费：包括认证决定、证书颁发等费用
• 差旅费：现场检测产生的交通、住宿等费用

2. 收费标准

检测费用通常按照检测人天数或检测项目计价。一般网络产品检测费用约为3-10万元；中型系统检测费用约为10-30万元；大型关键信息基础设施检测费用约为30-100万元。具体费用需根据实际情况评估确定。

3. 费用影响因素

• 检测范围和检测项目数量
• 被审查对象的规模和复杂程度
• 检测地点和现场检测时间
• 是否需要复测及复测次数
• 检测机构资质和服务水平

4. 费用支付方式

检测费用一般分阶段支付：签订合同后支付预付款（通常为总费用的50%），检测报告出具后支付剩余款项。复测费用根据复测工作量另行收取。

申请方在选择检测机构时，应综合考虑资质能力、服务质量和收费标准，避免单纯以价格为导向。选择不具备资质的机构可能导致检测结果不被认可，造成更大的损失。

十、检测机构

网络安全审查认证应由具备相应资质的检测机构实施：

1. 资质要求

开展网络安全审查认证的机构应具备以下资质：

• 获得中国合格评定国家认可委员会（CNAS）认可
• 获得省级以上市场监督管理部门颁发的检验检测机构资质认定证书（CMA）
• 获得国家网络安全审查办公室指定的审查机构资格
• 具备开展网络安全等级保护测评的资质

2. 能力要求

检测机构应具备以下能力：

• 拥有专业的网络安全技术团队，技术人员应具备相应的职业资格
• 配备完善的检测设备和工具，满足各类检测需求
• 建立完善的质量管理体系，确保检测质量
• 具备丰富的网络安全检测评估经验
• 建立保密管理制度，保护客户信息安全

3. 选择建议

在选择检测机构时，建议考虑以下因素：

• 机构资质是否齐全，是否具备相关领域的检测能力
• 技术团队的专业水平和行业经验
• 检测案例和行业口碑
• 服务响应速度和服务质量
• 收费合理性和透明度
• 是否能够提供后续的技术支持和咨询服务

4. 主要检测机构

目前，国内具备网络安全审查认证能力的机构主要包括：国家计算机网络与信息安全管理中心、中国信息安全测评中心、中国网络安全审查技术与认证中心，以及获得相关资质的第三方网络安全服务机构。申请方可根据自身需求选择合适的检测机构。

网络安全审查认证是保障网络安全的重要制度安排，企业和组织应高度重视，积极配合检测工作，及时整改发现的问题，不断提升网络安全防护水平，为数字经济发展筑牢安全基础。