第3节 网络设备安全法律法规

为保障通信网络设备的安全，我国接连颁布了多项重要的网络安全相关的法律法规，包括《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《中华人民共和国电信条例》《网络安全审查办法》《网络产品安全漏洞管理规定》等，在法律法规层面对网络设备的安全进行了规定。我国网络设备安全监管政策法规如表1-3所示。

《中华人民共和国网络安全法》第二十三条规定：网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

《中华人民共和国电信条例》第五十三条规定，“国家对电信终端设备、无线电通信设备和涉及网间互联的设备实行进网许可制度。”第五十七条规定，“任何组织或者个人不得有下列危害电信网络安全和信息安全的行为：（一）对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改；（二）利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；（三）故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施；（四）危害电信网络安全和信息安全的其他行为。”

《电信设备进网管理办法》第三条规定“国家对接入公用电信网的电信终端设备、无线电通信设备和涉及网间互联的电信设备实行进网许可制度。实行进网许可制度的电信设备必须获得工业和信息化部颁发的进网许可证；未获得进网许可证的，不得接入公用电信网使用和在国内销售。”

《网络安全审查办法》第十条规定，“网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。”

从国际上看，美国、欧洲等国家和地区也存在网络设备安全监管措施。美国加利福尼亚州2018年颁布了针对物联网（IoT）设备的《联网设备信息隐私保护法案》（SB-327 Information Privacy:Connected Devices），该法案于2020年1月1日起实施生效。这一法案规范的对象是联网设备的制造商，联网设备是指能够直接或间接连接到Internet并且被分配了IP地址或蓝牙地址的任何设备或其他物体。法案主要规定了三方面的内容。

其一，要求联网设备的制造商为设备配备合理的安全性能或与设备性质和功能相适应的性能，这里主要是指适合于设备并且适用于设备收集、包含或传输信息的性能。针对这一要求，该法案给出了两种最佳实践。一是为每一个制造的设备设置唯一的预编程口令；二是要求用户在首次授予设备访问权限之前生成新的身份验证方法。

其二，要求企业采取合理的管理和控制措施确保个人信息的安全，并对不再需要保留的个人信息采取相应的手段，做到难以恢复与识别。

其三，要求企业维护信息安全流程与实践，以避免个人信息被未经授权地访问、破坏、使用、修改或披露等。

2019年6月，《欧盟网络安全法案》正式施行。该法案建立了欧盟ICT产品和服务的统一网络安全认证框架，以确保在欧盟销售的ICT产品和服务符合欧盟网络安全标准，加强欧盟对ICT产品和服务的网络安全监管。

《欧盟网络安全法案》规定了欧盟网络安全认证制度的安全目标：

（1）保护ICT产品或服务全生命周期中数据在存储、传输和处理中的安全性，包括避免未授权地访问或者泄露等；

（2）保护ICT产品或服务全生命周期中数据在存储、传输和处理中的安全性，包括避免未授权的销毁、修改或者丢失等；

（3） ICT产品和服务要实现访问控制；

（4）识别和记录已知的脆弱性和依赖性；

（5）支持日志记录功能；

（6）支持日志审计功能；

（7） ICT产品和服务中不存在已知的漏洞；

（8）在安全事件发生时，具备应急恢复功能；

（9） 在设计ICT产品和服务时要考虑安全，同时产品和服务在默认状态下是安全的；

（10） ICT产品和服务具备安全更新机制，其中的软件能够及时更新、硬件中不存在已知漏洞。