隨著《網路安全法》的實施， 全國各地相關主管部門在對各類違反《網路安全法》行為進行嚴厲查處，《網路安全法》實施的一年多來，各地各部門整體對網路安全的認識更深刻，對網路安全的重視程度明顯提高。現在很多使用者單位都知道需要及時開展等級保護工作，那麼在開展等級保護工作的過程中或多或少都要進行安全整改工作，安全整改工作裡面可能就會牽涉到安全產品的購買問題。那麼如何購買一個合規有保障的安全產品呢？

我們首先看看《資訊保安等級保護管理辦法》裡面對安全產品相關的要求。在管理辦法裡的：“第十六條 辦理資訊系統安全保護等級備案手續時，應當填寫《資訊系統安全等級保護備案表》，第三級以上資訊系統應當同時提供以下材料：（四）系統使用的資訊保安產品清單及其認證、銷售許可證明；”，這裡是明確要求提供資訊保安產品清單及其認證、銷售許可證明，銷售許可證很明確的就是公安部的《計算機資訊系統安全專用產品銷售許可證》。那麼及其認證到底是哪些認證呢？在管理辦法21條給出了明確說明：

第二十一條 第三級以上資訊系統應當選擇使用符合以下條件的資訊保安產品：（一）產品研製、生產單位是由中國公民、法人投資或者國家投資或者控股的，在中華人民共和國境內具有獨立的法人資格；（二）產品的核心技術、關鍵部件具有我國自主智慧財產權；（三）產品研製、生產單位及其主要業務、技術人員無犯罪記錄； （四）產品研製、生產單位宣告沒有故意留有或者設定漏洞、後門、木馬等程式和功能；（五）對國家安全、社會秩序、公共利益不構成危害；（六）對已列入資訊保安產品認證目錄的，應當取得國家資訊保安產品認證機構頒發的認證證書。

21條總結下主要要求有：1、要求國內控股且在國內有獨立法人資格的單位；2、核心技術、關鍵部件具有我國自主知識產品；3、單位及主要人員無犯罪記錄；4、已列入資訊保安產品認證目錄的，應當取得國家資訊保安產品認證機構頒發的認證證書。前三個要求相對比較容易理解，第四個資訊保安認證目錄的要經過認證。首先看看哪些資訊保安產品需要經過認證，根據國家質檢總局 國家認監委2008年第7號公告《關於部分資訊保安產品實施強制性認證的公告》公佈的：

第一批資訊保安產品強制性認證目錄

購買以上這些資訊保安產品，一定要有國家資訊保安產品認證機構頒發的認證證書，那麼哪個認證機構頒發的證書是有效的呢？國家認監委公佈了資訊保安產品強制性認證1家指定認證機構及首批7家指定實驗室名單。國家認監委指定中國資訊保安認證中心為資訊保安產品強制性認證指定認證機構；資訊產業部電腦保安技術檢測中心、國家保密局涉密資訊系統安全保密測評中心、公安部計算機資訊系統安全產品質量監督檢驗中心、國家密碼管理局商用密碼檢測中心、中國資訊保安測評中心資訊保安實驗室、北京資訊保安測評中心、上海市資訊保安測評認證中心等7家實驗室為資訊保安產品強制性認證第一批指定實驗室。也就是說通過以上7家認證單位之一認證後的資訊保安產品才能在三級及以上資訊系統裡使用。

最後總結下：三級及以上資訊系統的使用資訊保安產品必須要具備：1、公安部銷售許可證；2、資訊保安產品強制性認證證書；3、國產、核心技術、關鍵部件具有我國智慧財產權。

只有同時具有這兩個證書的國產資訊保安產品，我們才能購買，不然就是給我們日後的工作留下了一定的安全隱患，要負一定法律責任的。不買有要出事，買錯也要出事，請各位網路運營者要注意了，不要迷戀國外的產品，自主可控很重要。

本文來源：等級測評保護

獲取更多網路安全行業資訊，請關注e安線上微信給公眾號：