




版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
ICSO40CCSL80中華人民共和國國家標準GB2022信息安全技術網絡安全專用產品安全技術要求Informationsecuritytechnology—Securitytechnicalrequirementsofspecializedcybersecurityproducts2022-12-29發(fā)布2023-07-01實施發(fā)布GB42250—2022目次前言 I引言 I1范圍 12規(guī)范性引用文件 13術語和定義 14安全功能要求 24.1訪問控制 24.2入侵防范 24.3安全審計 24.4惡意程序防范 25自身安全要求 35.1標識和鑒別 35.2自身訪問控制 35.3自身安全審計 35.4通信安全 35.5支撐系統(tǒng)安全 35.6產品升級 35.7用戶信息安全 35.8密碼要求 46安全保障要求 46.1供應鏈安全 46.2設計與開發(fā) 46.3生產和交付 46.4運維服務保障 46.5用戶信息保護 5參考文獻 6IGB42250—2022前言本文件按照GB/T1.1—2020《標準化工作導則第1部分:標準化文件的結構和起草規(guī)則》的規(guī)定請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由中華人民共和國公安部提出并歸口。IGB42250—2022引言為落實《中華人民共和國網絡安全法》的第二十三條而制定本文件。網絡安全專用產品按照本文件的安全技術要求和國家相關主管部門規(guī)定的其他技術規(guī)范進行研發(fā)、生產、服務和檢測工作。本文件是所有網絡安全專用產品和其提供者均需滿足的基線要求。1GB42250—2022信息安全技術網絡安全專用產品安全技術要求1范圍本文件規(guī)定了網絡安全專用產品的安全功能要求、自身安全要求與安全保障要求。本文件適用于銷售或提供的網絡安全專用產品的研發(fā)、生產、服務、檢測。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本標準;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術術語3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。3.1網絡安全專用產品specializedcybersecurityproducts用于保護網絡安全的專用硬件和軟件產品。注:包括以服務形式提供安全防護能力的產品。3.2網絡安全專用產品提供者specializedcybersecurityproductsprovider網絡安全專用產品的研發(fā)者、生產者或維護服務提供者。3.3安全域securitydomain遵從共同安全策略的資產和資源的集合。[來源:GB/T25069—2022,3.36]3.4個人信息personalinformation以電子方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。3.5用戶信息userinformation式記錄的信息。注:用戶信息包括網絡流量信息、安全狀態(tài)信息、安全配置數據、運行過程日志等信息,也包括個人信息。2GB42250—20223.6惡意程序maliciousprogram具有破壞網絡和信息系統(tǒng)、干擾網絡和信息系統(tǒng)正常使用、竊取或惡意加密網絡和系統(tǒng)數據等網絡攻擊功能的程序o注:惡意程序主要包括病毒、蠕蟲、木馬,以及其他影響主機、網絡或系統(tǒng)安全、穩(wěn)定運行的程序o3.7安全缺陷securityflaw由設計、開發(fā)、配置、生產、運維等階段中的錯誤引入,可能影響網絡安全專用產品安全的弱點o3.8漏洞vulnerability網絡安全專用產品中能夠被威脅利用的弱點o4安全功能要求4.1訪問控制具有訪問控制功能的網絡安全專用產品,應具備下述功能:a)支持配置訪問控制策略;注:不同類型網絡安全專用產品的訪問控制策略不同o如:網絡型防火墻基于源地址、目的地址、源端口、目的端口和網絡通信協(xié)議等設置訪問控制策略;虛擬專用網類產品基于用戶安全屬性等設置訪問控制策略;安全隔離與信息交換類產品基于應用層協(xié)議等設置訪問控制策略ob)支持根據訪問控制策略控制對安全域的訪問o4.2入侵防范具有入侵防范功能的網絡安全專用產品,應具備下述功能:a)支持對收集的信息進行分析,發(fā)現(xiàn)入侵事件;b)在檢測到入侵事件時,支持采取記錄事件、安全警告或阻斷等安全措施o4.3安全審計具有安全審計功能的網絡安全專用產品,應具備下述功能:a)支持監(jiān)測、記錄審計目標的網絡運行狀態(tài)、網絡安全事件;注:不同類型網絡安全專用產品的安全審計目標不同,審計目標通常包括主機、網絡、數據庫、應用等ob)支持對事件進行比較分析以發(fā)現(xiàn)違規(guī)、異常等行為;c)將網絡運行狀態(tài)日志和網絡安全事件日志存儲于非易失性存儲介質中,日志保存時間不少于六個月o4.4惡意程序防范具有惡意程序防范功能的網絡安全專用產品,應具備下述功能:a)支持對存儲信息或傳輸信息進行惡意程序檢測;注:存儲信息包括但不限于存儲于主機磁盤、主機內存、主機引導區(qū)、移動存儲介質中的信息;傳輸信息包括但不限于通過通信協(xié)議傳輸信道傳輸的文件數據或程序代碼ob)支持針對一種或多種惡意程序家族類型進行檢測;c)支持對檢測到的惡意程序進行阻止、刪除、修復或隔離等一種或多種形式的處理o3GB42250—20225自身安全要求5.1標識和鑒別網絡安全專用產品應具備下述功能:a)對用戶身份進行標識和鑒別,身份標識具有唯一性;b)保障身份鑒別信息在傳輸和存儲過程中的保密性和完整性;c)使用口令鑒別方式時,提供身份鑒別信息復雜度驗證功能和定期更換設置功能,并支持首次管理產品時強制修改默認口令或設置口令。5.2自身訪問控制網絡安全專用產品應具備下述功能:a)對用戶分配賬戶和權限,區(qū)分管理員角色,實現(xiàn)管理權限相互制約;b)由授權主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則。5.3自身安全審計網絡安全專用產品應具備下述功能:a)監(jiān)測、記錄產品自身運行狀態(tài)和重要操作;b)對審計日志進行保護,防止受到未預期的刪除、修改、覆蓋或丟失;c)將審計日志存儲于非易失性存儲介質中,日志保存時間不少于六個月。5.4通信安全網絡安全專用產品應提供安全措施保障產品遠程管理網絡通信數據的保密性和完整性。5.5支撐系統(tǒng)安全網絡安全專用產品不應包含已公開的中、高風險漏洞。注:漏洞風險等級參照國家網絡安全漏洞分類分級指南(如GB/T30279等標準)等國家有關規(guī)定。5.6產品升級網絡安全專用產品應具備下述功能:a)提供升級產品組件的功能,包括但不限于主程序、特征庫、策略庫;b)保障升級安全,避免得到錯誤的、偽造的升級包和補丁程序。5.7用戶信息安全網絡安全專用產品應具備下述功能:a)僅收集實現(xiàn)產品功能所必需的用戶信息;b)在涉及個人信息處理時提供相關授權功能,在獲得授權后方能處理個人信息;注1:個人信息處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。授權功能包括但不限于個人信息收集前的授權同意、個人信息收集的授權撤回等。c)在未獲得或撤回個人信息收集授權的情況下提供與個人信息無關的安全功能;d)在涉及個人信息傳輸和存儲的過程中保障個人信息的保密性和完整性;e)在涉及個人信息存儲時提供對超出保存期限個人信息的處理功能。4GB42250—2022注2:對超出保存期限個人信息的處理方式應與用戶授權的處理方式一致,如采取刪除或匿名化處理措施o5.8密碼要求本文件凡涉及密碼使用和管理的相關內容,按有關標準的規(guī)定o6安全保障要求6.1供應鏈安全網絡安全專用產品提供者應滿足以下安全保障要求:a)制定供應商選擇、評定和日常管理的程序,對供應商的開發(fā)環(huán)境、規(guī)范和人員、開發(fā)工具、安全測試和安全驗證機制等提出管理要求,以確保其提供的關鍵部件滿足安全要求,并保存對供應商選擇、評價和日常管理的記錄;b)建立供應鏈各環(huán)節(jié)核心要素的追溯能力,保障核心要素供應穩(wěn)定;注:核心要素包括核心技術知識產權、工具及部件等o核心技術知識產權如源代碼、軟硬件設計圖等;工具如開發(fā)軟件、測試軟件、測試儀表、管理軟件、拷機軟件等;部件如硬件機箱、操作系統(tǒng)等oc)持續(xù)開展安全意識和技能培訓o6.2設計與開發(fā)網絡安全專用產品提供者應滿足以下安全保障要求:a)識別網絡安全專用產品設計和開發(fā)環(huán)節(jié)的安全風險,進行威脅建模,制定安全策略,保障開發(fā)環(huán)境安全,制定安全開發(fā)制度和流程;注1:安全開發(fā)制度和流程包括但不限于代碼編寫規(guī)范、研發(fā)環(huán)境安全管理制度、研發(fā)人員安全管理制度、研發(fā)交付制度等ob)制定網絡安全專用產品安全功能和自身安全功能的設計文檔,該文檔描述與安全功能和自身安全功能一致;c)為網絡安全專用產品確定唯一的版本號,為配置項確定唯一標識,建立并維護配置項列表;注2:配置項包括但不限于源代碼、工具、文檔、組件、配置信息等od)不在產品中設置惡意程序、隱蔽接口或未明示功能模塊等,并通過用戶協(xié)議、產品說明書等途徑將所有功能模塊、接口等告知用戶;e)對網絡安全專用產品進行安全性測試o注3:安全性測試包括但不限于漏洞掃描、病毒掃描、代碼審計、滲透測試和安全功能驗證等o6.3生產和交付網絡安全專用產品提供者應滿足以下安全保障要求:a)建立和執(zhí)行規(guī)范的產品完整性檢測流程,采取措施防范自制或采購的組件被篡改、偽造等風險;b)建立內部交付和外部交付的控制程序,確保網絡安全專用產品在交付過程中不被破壞或篡改;c)向用戶明示包含在產品中的所有功能模塊、外部接口和私有協(xié)議,告知用戶產品中預置的所有賬戶和默認口令o6.4運維服務保障網絡安全專用產品提供者應滿足以下安全保障要求:5GB42250—2022a)在法律法規(guī)規(guī)定或與用戶約定的期限內,為產品提供持續(xù)的安全維護,不單方面中斷或終止安全維護;b)保護用戶對軟件(包含固件)安裝和升級等的知情權和選擇權,安裝和升級軟件時明示用戶并獲得用戶同意;c)建立和執(zhí)行針對產品安全缺陷、漏洞的應急響應機制和流程,對發(fā)現(xiàn)的產品安全缺陷和漏洞采取修復或替代方案等補救措施,及時告知用戶安全風險和可用的補救措施,并向有關主管部門6.5用戶信息保護網絡安全專用產品提供者應滿足以下安全保障要求:b)建立和執(zhí)行用戶信息管理制度和流程,在產品設計、生產、升級等各階段保障用戶信息的安全,不超范圍使用用戶信息。6GB42250—2022參考文獻[1]G
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年度股權抵押證券化投資協(xié)議書
- 集體勞動合同范本2025年度(文化產業(yè)員工)
- 農村公路養(yǎng)護管理合同(含交通安全設施維護)
- 婦產科醫(yī)師培訓計劃及內容
- Unit 4 Drawing in the park Period 3 詞匯與語法過關 同步練習(含答案含聽力原文無音頻)
- 家長會學生主持發(fā)言稿
- 上海市業(yè)主總包分包合同
- 2024年公司勞動合同
- 2025年江西貨運從業(yè)資格證考試模擬考試題庫答案大全
- IT支持與服務記錄表格
- 2025年河南交通職業(yè)技術學院單招職業(yè)適應性測試題庫參考答案
- 《中小學科學教育工作指南》解讀與培訓
- 跨學科主題學習的意義與設計思路
- 2025年浙江國企臺州黃巖站場管理服務有限公司招聘筆試參考題庫附帶答案詳解
- 2025年中國土木工程集團有限公司招聘筆試參考題庫含答案解析
- 2025廣西壯族自治區(qū)考試錄用公務員(4368人)高頻重點提升(共500題)附帶答案詳解
- -人教版四年級下冊英語全冊教案-
- 教科版三年級下冊科學全冊單元教材分析
- 2025年國家鐵路局工程質量監(jiān)督中心招聘歷年高頻重點提升(共500題)附帶答案詳解
- 2024年03月浙江南潯銀行春季招考筆試歷年參考題庫附帶答案詳解
- 部編版教科版三年級科學下冊全冊教案【統(tǒng)編教材】
評論
0/150
提交評論