第1章 网络关键设备安全概述

第1节 网络关键设备概念

网络关键设备概念的首次提出是在我国网络安全法律《中华人民共和国网络安全法》中，《中华人民共和国网络安全法》第二十三条规定：网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

哪些设备是网络关键设备呢？为了解决网络关键设备的范围问题，2017年6月1日，国家互联网信息办公室、工业和信息化部、公安部和国家认证认可监督管理委员会四部委联合发布公告，明确了第一批《网络关键设备和网络安全专用产品目录》，其中包括路由器、交换机、服务器（机架式）和可编程逻辑控制器（PLC）设备4类网络关键设备。第一批网络关键设备范围如表1-1所示。

表1-1 第一批网络关键设备范围

网络关键设备究竟应该如何定义？应当按照什么标准来判断一个设备是否属于网络关键设备？2021年，我国发布了国家标准GB 40050-2021《网络关键设备安全通用要求》，其中3.7节明确了网络关键设备定义：网络关键设备是支持联网功能，在同类网络设备中具有较高性能的设备，通常应用于重要网络节点、重要部位或重要系统中，一旦遭到破坏，可能引发重大网络安全风险。同时，在标准注解中进一步提示，具有较高性能是指设备的性能指标或规格符合《网络关键设备和网络安全专用产品目录》中规定的范围。

每一类网络关键设备有其特定的定义。在GB/T 41269-2022《网络设备安全技术要求 路由器设备》中的3.1节给出了路由器的定义，路由器是用来建立和控制不同网络间数据流的网络设备，附注中解释了路由器基于路由协议机制和算法来选择路径或路由以实现建立和控制网络间的数据流，网络自身可以基于不同的网络协议。在GB/T 41267-2022《网络设备安全技术要求 交换机设备》中的3.1节给出了交换机的定义，交换机是利用内部交换机制来提供联网设备之间连通性的设备，附注中解释了交换机中的交换机制通常在OSI参考模型的第2层或第3层实现。在OSI参考模型的第2层实现的交换机通常叫以太网交换机，在OSI参考模型的第3层实现的交换机通常叫三层交换机。关于服务器的定义，有多项标准可供参考。GB/T 9813.3-2017《计算机通用规范 第3部分：服务器》中的3.1节对服务器的定义是：服务器是信息系统的重要组成部分，是信息系统中为客户端计算机提供特定应用服务的计算机系统，由硬件系统（处理器、存储设备、网络连接设备等）和软件系统（操作系统、数据库管理系统、应用系统）组成。而在GB/T 39680-2020《信息安全技术 服务器安全技术要求和测评准则》中的3.1.1节对服务器的定义是网络环境下为客户端计算机提供特定应用服务的计算机系统。同时附注说明了计算机系统是指服务器硬件系统，主要包括独立计算单元、存储单元、网络传输单元、监控管理单元、供电单元及驱动程序。可编程逻辑控制器（PLC）的定义可参考GB/T 33008.1-2016《工业自动化和控制系统网络安全 可编程序控制器（PLC）第1部分：系统》的3.1.1节，可编程序（逻辑）控制器（PLC）是一种用于工业环境的数字式操作的电子系统。这种系统用可编程的存储器作为面向用户指令的内部寄存器，完成规定的功能，如逻辑、顺序、定时、技术、运算等，通过数字或模拟的输入/输出，控制各种类型的机械或过程。可编程序控制器及其相关外围设备的设计，使它能够非常方便地集成到工业控制系统中，并能很容易地实现所期望的所有功能。