2017年6月9日,国家互联网信息办公室、中华人民共和国工业和信息化部、中华人民共和国公安部与中国国家认证认可监督管理委员会共同发布了2017年第1号公告:关于发布《网络关键设备和网络安全专用产品目录(第一批)》的公告。
审查名单都有谁?
6月1日,《中华人民共和国网络安全法》正式开始施行,该法案共分为七大章,七十个条文,是我国首部有关网络安全的法律,也是一部基础性法律。从法律内容来看,改法对网络空间主权、明确了网络产品和服务提供者的安全义务、个人信息保护规则和关键信息基础设施重要数据跨境传输提出了规则和标准。
当然一部基础性法律自然需要不断的完善,而6月9日发布的《网络关键设备和网络安全专用产品目录(第一批)》的公告就是组合拳的第一招。对应了《网络安全法》中第三十五条 "关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查"。那么哪些网络设备必须接受安全审查呢?
在第一批"产品名单"中,主要分为两大类:网络关键设备和网络安全专用产品,15个细分产品,如机架式服务器、数据备份一体机、路由器、交换机等,这些产品在销售或者供货之前需要接受具备资格的机构安全认证合格或者安全监测服务要求。同时,对这些产品画出了需要审查的具体范围。
名单有何特别之处?
接下来我们以服务器为例,看一下这些产品有什么特别之处需要特别审查呢?我们还是以服务器为例。
如表格中所述,机架式服务器范围划定为:CPU数量≥8个,单个CPU内核数≥14个,内存容量≥256GB。那么这三个标准都代表了什么意思呢?为什么是这三条标准入选?
CPU数量≥8个,即满配八路服务器。一般来讲,八路服务器是一个高端服务器与中低端服务器的分界点,八路及更高路服务器更多应用在关键业务系统中。仅这一条就充分体现了审查的良苦用心。
单个CPU内核数≥14个。众所周知,服务器一般采用至强处理器,所以我们以至强E5 v4处理器为例。CPU内核数大于等于14个意味着高于至强E5 2650L v4和至强E5 2660 v4的处理器均在审查范围内。
内存容量≥256GB。意味着如果采用8GB DDR4规格的内存,拥有32条内存就在审查范围内(或16条16GB内存或8条32GB内存)。实际上,大多数八路服务器都满足满配内存容量大于等于256GB的配置。
维护国家网络安全主权
通过上面的解读,我们会发现,针对服务器的三条范围均是针对高配置、高性能,部署关键业务系统的服务器配置。比如金融、证券等大型数据库、数据仓库、大型ERP、CRM、数据检索与挖掘、商业智能(BI)等关键应用和国家高精尖项目工程。路由器、交换机、防火墙等设备也具备类似的特点。
这种具体生产设备的审查规定,能够更好地保证国家信息安全,有利于对我国关键信息基础设施进行保护,维护网络空间主权。当然,《网络关键设备和网络安全专用产品目录(第一批)》的发布并不意味着结束,据了解,更多的网络安全相关规定也在制定过程当中,一套愈加完善的《网络安全法》逐步呈现在我们面前。