网络关键设备和网络安全专用产品的安全技术要求

网络关键设备和网络安全专用产品是信息通信网络的重点组成部分，网络关键设备和网络安全专用产品与高效宽带传输路由构成了现代信息通信网络，为信息、数据的采集、传输、存储、处理、利用提供了强有力的支撑。然而，我们知道，现代信息通信网络是在主要以互联网等网络的基础上发展起来的，而早期的互联网在安全上是基于尽力而为的。也就是说，信息通信网络的安全显得至关重要，而网络关键设备和网络安全专用产品的安全性对信息通信网络的安全起到了极大的、关键的安全保证作用。为此，《中华人民共和国网络安全法》提出要求：网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。由此，国家专门编制并发布了国家强制性标准GB 40050-2021《网络关键设备安全通用要求》和GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》。标准对进入国家信息通信网的网络关键设备和网络安全专用产品的安全技术提出了强制性要求。

一、网络关键设备的安全技术要求

强制性国家标准GB 40050-2021《网络关键设备安全通用要求》规定了网络关键设备的通用安全功能要求和安全保障要求，适用于网络关键设备，为网络运营者采购网络关键设备时提供依据，还适用于指导网络关键设备的研发、测试、服务等工作。GB 40050标准明确了网络关键设备的安全基线要求，产品推出时其安全性能必须满足其标准要求，这是强制性要求。若要详细了解该标准具体内容的请查阅下附件1。

附件 1：GB 40050-2021《网络关键设备安全通用要求》

1、网络关键设备的概念

网络关键设备（critical network device）是指：支持联网功能，在同类网络设备中具有较高性能的设备，通常应用于重要网络节点、重要部位或重要系统中，一旦遭到破坏可能引发重大网络安全风险。

2、网络关键设备的范围

根据国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门，在2023年7月3日发布的“关于调整《网络关键设备和网络安全专用产品目录》的公告”（2023年第2号），目前在目录中列出了四类网络关键设备，它们是：路由器、交换机、服务器和可编程逻辑控制器（PLC设备）；目录中同时给出了这四类网络关键设备的主要性能指标范围，详见下表1-2。

表 1-2：网络关键设备的主要性能指标范围

欲详细了解《网络关键设备和网络安全专用产品目录》及管理要求的请进入。

3、网络关键设备的安全功能要求

GB 40050-2021标准对网络关键设备提出了十项安全功能要求，下表1-3列出了这十项功能的名称，其功能具体要求请详见标准原文，即本文的附件。

表 1-3：网络关键设备具有的安全功能名称

4、网络关键设备的安全保障要求

GB 40050-2021标准对网络关键设备提出了三项安全保障要求：设计与开发的安全保障、生产和交付的安全保障、运行和维护的安全保障。网络关键设备提供者应在网络关键设备的这三个环节满足其具体安全保障要求，具体要求内容详见标准原文，即本文的附件。

综上，GB 40050 标准强调设备在设计和开发阶段需遵循安全原则，推动厂商在硬件和软件层面集成安全功能，从而提升网络关键设备的整体安全性。标准要求网络关键设备供应商提供详细的供应链信息，确保设备从生产到部署的各个环节均符合安全规范，减少潜在风险。GB 40050 的实施将促使相关企业加强内部安全管理，建立完善的安全评估和认证机制，推动网络安全行业向标准化和合规化方向迈进。

另外，在2025年国家专门发布了国家标准GB/T 45406-2025《网络关键设备安全技术要求 可编程逻辑控制器（PLC）》，对可编程逻辑控制器（PLC设备）提出了安全技术要求，同样包括其安全功能要求和安全保障要求。

欲详细了解GB/T 45406-2025关于PLC设备安全技术要求的请进入。

二、网络安全专用产品的安全技术要求

GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》规定了网络安全专用产品的安全功能要求，包括基本的安全功能、自身安全要求与安全保障要求。适用于销售或提供的网络安全专用产品的研发、生产、服务、检测。GB 42250-2022标准明确了网络安全专用产品的安全基线要求，产品推出时其安全性能必须满足其标准要求，这是强制性要求。若要详细了解该标准具体内容的请查阅下附件2。

附件 2：GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》

1、网络安全专用产品的概念

网络安全专用产品（specialized cybersecurity products）是指用于保护网络安全的专用硬件和软件产品。包括以服务形式提供安全防护能力的产品。

2、网络安全专用产品的范围

根据国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门，在2023年7月3日发布的“关于调整《网络关键设备和网络安全专用产品目录》的公告”（2023年第2号），目前在目录中列出了34类网络安全专用产品，目录中同时给出了它们的产品描述，具体详见下表2-2。

表 2-2：网络安全专用产品的类型及其具有的特征描述

3、网络安全专用产品的安全技术要求

GB 42250-2022标准规定了网络安全专用产品的安全功能要求、自身安全要求和安全保障要求。下表2-3汇总了各项安全要求中包含的项目名称，具体安全要求详见该标准原文，即本文的附件。

表 2-3：网络安全专用产品各项安全要求中包含的项目名称

综上，GB 42250-2022标准的实施将提高网络安全专用产品的技术水平，进而提升国家网络安全整体防护能力。标准的实施将规范网络安全专用产品的生产和销售行为，促进市场良性竞争。标准的实施将确保用户能够购买到符合国家安全技术要求的网络安全专用产品，保障用户合法权益。

GB 40050与GB 42250-2022标准，是为落实《中华人民共和国网络安全法》的第二十三条要求而制定，而实施。网络关键设备和网络安全专用产品应按照标准的安全技术要求和国家相关主管部门规定的其他技术规范开展研发、生产、服务和检测工作。

欲进一步了解《中华人民共和国网络安全法》要求的请进入。