2023年7月1日起,我国网络安全专用产品管理迎来重要调整。根据国家互联网信息办公室、工业和信息化部、公安部等部门联合发布的规定,列入《网络关键设备和网络安全专用产品目录》的相关产品,必须经过具备资格的机构安全认证或安全检测,方可销售或提供。这一强制性要求的落地,不仅标志着我国网络安全监管的进一步规范化和法治化,也对政府采购活动及互联网安全服务产业带来了深远影响。
一、新规核心要点解读
此次调整的核心在于“强制认证/检测”制度的全面实施。这意味着,目录内的网络安全专用产品(如防火墙、入侵检测系统、安全审计系统等)在进入市场前,必须通过国家指定的第三方机构的安全评估,取得相应证书。此举旨在从源头提升网络安全产品的安全性与可靠性,防范产品自身漏洞可能带来的风险,筑牢国家网络空间安全的基础防线。
二、对政府采购(政采)的直接影响
政府采购作为网络安全产品和服务的重要消费市场,将首当其冲地感受到新规带来的变化:
- 采购门槛明确化与合规性要求提升:新规为政府采购相关产品设立了清晰的准入门槛。各级政府采购单位在编制采购需求、设定供应商资格条件以及评审标准时,必须将“产品是否已通过强制性安全认证或检测”作为核心且刚性的合规要求。未获认证的产品将无法进入政府采购清单,这将直接过滤掉不符合国家安全标准的产品与供应商。
- 采购流程需相应调整:采购文件(包括招标文件、谈判文件等)需增加对产品认证证书的查验要求。评审环节中,证书的真实性、有效性将成为符合性审查的关键。合同履行阶段,验收标准也必须包含对认证状态的确认。这要求采购人、采购代理机构以及评审专家更新知识储备,熟悉认证流程与证书样式。
- 供应商格局可能重塑:强制认证涉及时间与成本,一些技术实力较弱、无法通过认证的中小企业可能暂时退出政府采购市场。相反,那些技术过硬、提前布局认证的头部厂商和品牌产品将获得更显著的优势,市场集中度可能有所提高。长期看,将激励所有厂商加大研发投入,提升产品安全质量。
- 采购成本与价值考量:通过认证的产品因增加了合规成本,其市场价格可能有所体现。但政府采购不能仅仅关注价格,更应注重产品的安全价值与全生命周期成本。新规促使采购方从“价格导向”更多地向“安全价值与合规导向”转变,符合国家关于在政府采购中优先采购安全可信网络产品和服务的精神。
三、对互联网安全服务产业的影响
新规不仅影响产品本身,也对以这些产品为基础或提供相关服务的互联网安全服务产业产生连锁反应:
- 服务基础更加坚实:安全服务(如安全运维、托管安全服务、应急响应等)依赖于底层安全产品的有效性与可靠性。经过强制认证的产品,其基础安全功能更有保障,这使得基于这些产品所构建的安全防护体系和服务交付质量有了统一的“起跑线”,降低了因产品自身缺陷导致服务失败的风险。
- 服务内容与标准升级:服务提供商需要深入理解新规对产品的要求,并将其融入服务体系。例如,在提供解决方案时,必须优先配置并熟练使用已认证产品;在安全评估服务中,需增加对客户所用产品合规状态的检查项。产业的服务标准将自然而然地与国家产品安全标准对齐。
- 驱动服务模式创新:面对产品认证带来的市场变化,安全服务商可能推出更多围绕“认证产品”的增值服务,如认证咨询、合规集成服务、针对认证产品的专项培训与运维等。以SaaS化、订阅制为特点的云安全服务,其底层平台与核心组件的合规性也将成为客户关注的重点,驱动云服务商加快自身合规步伐。
- 提升产业整体信誉与国际竞争力:强制性国家认证相当于为国内网络安全产品贴上了“安全可信”的标签,有助于提升用户信心,特别是对安全性要求极高的党政军和关键信息基础设施领域。从长远看,建立严格、统一的国家标准体系,是培育具有国际竞争力的网络安全企业和产业的必经之路。
四、应对建议
对于政府采购部门:应尽快组织学习新规,更新内部采购指引和合同范本;在采购活动中严格落实认证要求,并加强对采购人员的培训;可考虑建立优质认证产品供应商名录,提高采购效率。
对于网络安全产品供应商与服务商:应立即核查自身产品是否在目录内,并积极启动或加快推进认证检测流程;调整市场策略,突出产品的合规优势;服务商需优化服务方案,确保其基于认证产品构建,并加强技术服务团队对新规及认证产品的理解。
对于广大用户单位:在自建系统或购买服务时,应主动询问并要求供应商提供产品的安全认证证书,将其作为安全建设的首要前提,从源头管控安全风险。
7月1日起实施的网络安全专用产品强制认证新规,是我国强化网络安全治理、构建清朗网络空间的关键一步。它通过抬高产品安全底线,不仅直接规范了政府采购行为,使其更加安全、合规,也倒逼整个互联网安全服务产业链进行升级,推动产业从“量”的扩张向“质”的提升转变。虽然短期内可能带来市场调整与合规成本,但长期必将促进我国网络安全产业更加健康、有序、高水平的发展,为数字中国建设筑牢坚实的安全底座。
