入网安全测评

很多企业在软件产品上市前都会问同一个问题：我的产品需要做入网安评吗？

答案是：不是所有产品都需要，但如果你的软件产品恰好在国家目录里，那就不是"要不要做"的问题，而是"不做就不能卖"的问题。

根据《网络安全法》第二十三条的明确规定：网络关键设备和网络安全专用产品，必须由具备资格的机构安全认证合格或安全检测符合要求后，方可销售或提供。 违反这一条，产品不仅会被平台下架，企业还可能面临行政处罚。

那么，到底哪些软件产品在这个"必须做"的范围内？合规要求具体是什么？又该如何判断自己的产品是否需要做？下面逐一讲透。

一、哪些产品必须做入网安评？

答案很明确：凡是被列入《网络关键设备和网络安全专用产品目录》的产品，都必须做入网安评。

根据国家网信办会同工信部、公安部、国家认监委发布的目录（第一批），目前共有11类网络安全专用产品必须做入网安评，具体包括以下产品：

第一类是数据备份一体机，即专用备份存储设备。

第二类是防火墙，包括硬件防火墙和下一代防火墙（NGFW）。

第三类是WEB应用防火墙（WAF），即网站防护网关。

第四类是入侵检测系统（IDS），即网络入侵检测设备。

第五类是入侵防御系统（IPS），即网络入侵防御设备。

第六类是安全隔离与信息交换产品，包括网闸和数据交换系统。

第七类是反垃圾邮件产品，即邮件安全网关。

第八类是网络综合审计系统，包括上网行为管理和日志审计系统。

第九类是网络脆弱性扫描产品，即漏洞扫描器。

第十类是安全数据库系统，包括数据库防火墙和数据库审计系统。

第十一类是网站恢复产品，即网页防篡改系统。

此外，网络关键设备也在必须做的范围内，主要包括路由器、交换机等核心网络设备。

需要特别注意的是，2023年7月1日起，旧的《计算机信息系统安全专用产品销售许可证》已停止颁发。列入目录的产品，现在只需完成安全认证或安全检测其中一项即可，两种方式具有同等市场准入效力，不必重复申请。

二、入网安评的合规要求是什么？

入网安评不是随便找个机构测一下就行，对机构资质、人员资质、技术能力都有严格要求。

1. 机构资质要求（三证缺一不可）

入网安评对测评机构的资质有三项硬性要求：

第一项是CCRC（信息安全风险评估服务资质），由中国网络安全审查技术与认证中心颁发，属于强制性资质，没有这项资质的机构无权开展入网安评。

第二项是CMA（检验检测机构资质认定），由国家认监委颁发，同样属于强制性资质，测评报告上必须加盖CMA章，否则报告不具备法律效力。

第三项是CNAS（实验室认可），由中国合格评定国家认可委员会颁发，属于推荐性资质，有则更好，但不是强制要求。

三项资质中，CMA是底线，CNAS是加分项。没有CMA章的报告，在招投标和政府采购中不被认可。

2. 人员资质要求

评估团队需配备以下专业人员：注册信息安全专业人员（CISP）、认证信息安全经理（CISM）、认证信息系统安全专家（CISSP），以及网络安全等级保护测评师。

3. 执行标准要求

每类产品都有对应的国家标准，必须依据这些强制性国家标准执行评估，不能随意简化。例如：防火墙需依据GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》执行；入侵检测系统需依据GB/T 20275-2021《信息安全技术 网络入侵检测系统技术要求和测试评价方法》执行；入侵防御系统需依据GB/T 28451-2012《信息安全技术 网络型入侵防御产品技术要求和测试评价方法》执行；反垃圾邮件需依据GB/T 30282-2013《信息安全技术 反垃圾邮件产品技术要求和测试评价方法》执行；漏洞扫描需依据GB/T 20278-2022《信息安全技术 网络脆弱性扫描产品安全技术要求》执行。

三、如何判断你的产品是否需要做入网安评？

判断逻辑非常清晰，按以下三步走即可。

第一步：查目录

登录国家网信办官网，查看最新版《网络关键设备和网络安全专用产品目录》。如果你的产品名称或型号在目录中，直接进入第二步。

第二步：对性能指标

目录中的每类产品都有明确的性能指标界定范围。例如防火墙，目录会规定"吞吐量不低于XX Gbps、并发连接数不低于XX万"等门槛。只有性能指标在范围内的产品才需要做入网安评，性能未达标的同类型产品不强制要求。

举个例子：你做了一款软件防火墙，但吞吐量只有100Mbps，远低于目录规定的门槛，那么这款产品可能不在强制范围内。但如果你的硬件防火墙吞吐量达到了目录标准，就必须做入网安评。

第三步：看是否有特殊法规要求

即使产品不在目录中，如果属于以下情形，仍可能需要做安全评估：

一是关键信息基础设施运营者使用的网络产品，涵盖金融、能源、交通、医疗等行业。

二是具有舆论属性或社会动员能力的互联网信息服务，例如短视频平台、社交平台、算法推荐服务等。依据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》，上线新功能、新技术时必须开展安全评估。

三是政府采购项目中使用的网络安全产品。虽然2023年7月1日起不再强制要求同时满足认证和检测，但仍需至少满足其中一项，否则投标无效。

用一段话来总结判断流程：首先看你的产品是否在《网络关键设备和网络安全专用产品目录》中。如果在，再看性能指标是否达到目录界定范围——达到了就必须做入网安评，安全认证和安全检测二选一即可；没达到则不强制，但建议自愿做。如果不在目录中，再看是否属于关键信息基础设施、舆论属性平台或政府采购场景——属于则建议做，部分场景为硬性要求；不属于则无法律强制要求，按市场需求销售即可。

入网安评的本质，是国家为网络产品设立的一道"安全门槛"。它不是额外负担，而是产品质量和企业信誉的背书。

对于产品厂商来说，判断逻辑很简单：先查目录，再对指标，最后看场景。 在目录内且达标的，必须做；不在目录内但涉及关键行业或舆论属性的，强烈建议做。

标签：入网安评、入网安全评估