




版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
ICS35.040信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求2022-12-29發(fā)布國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì) I Ⅱ 2規(guī)范性引用文件 3術(shù)語和定義 4安全功能要求 24.1訪問控制 24.2入侵防范 24.3安全審計(jì) 24.4惡意程序防范 2 35.1標(biāo)識(shí)和鑒別 35.2自身訪問控制 35.3自身安全審計(jì) 35.4通信安全 3 5.6產(chǎn)品升級 35.7用戶信息安全 35.8密碼要求 46安全保障要求 46.1供應(yīng)鏈安全 46.2設(shè)計(jì)與開發(fā) 46.3生產(chǎn)和交付 6.4運(yùn)維服務(wù)保障 46.5用戶信息保護(hù) 6IGB42250—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中華人民共和國公安部提出并歸口。GB42250—2022為落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》的第二十三條而制定本文件。網(wǎng)絡(luò)安全專用產(chǎn)品按照本文件的安全技術(shù)要求和國家相關(guān)主管部門規(guī)定的其他技術(shù)規(guī)范進(jìn)行研發(fā)、生產(chǎn)、服務(wù)和檢測工作。本文件是所有網(wǎng)絡(luò)安全專用產(chǎn)品和其提供者均需滿足的基線要求。1GB42250—2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求1范圍2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文本文件。GB/T25069信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。用于保護(hù)網(wǎng)絡(luò)安全的專用硬件和軟件產(chǎn)品。注:包括以服務(wù)形式提供安全防護(hù)能力的產(chǎn)品。安全域securitydomain遵從共同安全策略的資產(chǎn)和資源的集合。3.5式記錄的信息。2GB42250—20223.6攻擊功能的程序。3.7安全缺陷securityflaw3.84安全功能要求a)支持配置訪問控制策略;和網(wǎng)絡(luò)通信協(xié)議等設(shè)置訪問控制策略;虛擬專用網(wǎng)類產(chǎn)品基于用戶安全屬性等設(shè)置訪問控制策略;安全隔離與信息交換類產(chǎn)品基于應(yīng)用層協(xié)議等設(shè)置訪問控制策略。b)支持根據(jù)訪問控制策略控制對安全域的訪問。c)將網(wǎng)絡(luò)運(yùn)行狀態(tài)日志和網(wǎng)絡(luò)安全事件日志存儲(chǔ)于非易失性存儲(chǔ)介質(zhì)中,日志保存時(shí)間不少于a)支持對存儲(chǔ)信息或傳輸信息進(jìn)行惡意程序檢測;于通過通信協(xié)議傳輸信道傳輸?shù)奈募?shù)據(jù)或程序代碼。b)支持針對一種或多種惡意程序家族類型進(jìn)行檢測;3GB42250—20225自身安全要求5.1標(biāo)識(shí)和鑒別網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)對用戶身份進(jìn)行標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)具有唯一性;b)保障身份鑒別信息在傳輸和存儲(chǔ)過程中的保密性和完整性;c)使用口令鑒別方式時(shí),提供身份鑒別信息復(fù)雜度驗(yàn)證功能和定期更換設(shè)置功能,并支持首次管理產(chǎn)品時(shí)強(qiáng)制修改默認(rèn)口令或設(shè)置口令。5.2自身訪問控制網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)對用戶分配賬戶和權(quán)限,區(qū)分管理員角色,實(shí)現(xiàn)管理權(quán)限相互制約;b)由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則。5.3自身安全審計(jì)網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)監(jiān)測、記錄產(chǎn)品自身運(yùn)行狀態(tài)和重要操作;c)將審計(jì)日志存儲(chǔ)于非易失性存儲(chǔ)介質(zhì)中,日志保存時(shí)間不少于六個(gè)月。5.4通信安全網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)提供安全措施保障產(chǎn)品遠(yuǎn)程管理網(wǎng)絡(luò)通信數(shù)據(jù)的保密性和完整性。5.5支撐系統(tǒng)安全網(wǎng)絡(luò)安全專用產(chǎn)品不應(yīng)包含已公開的中、高風(fēng)險(xiǎn)漏洞。注:漏洞風(fēng)險(xiǎn)等級參照國家網(wǎng)絡(luò)安全漏洞分類分級指南(如GB/T30279等標(biāo)準(zhǔn))等國家有關(guān)規(guī)定。5.6產(chǎn)品升級網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:b)保障升級安全,避免得到錯(cuò)誤的、偽造的升級包和補(bǔ)丁程序。5.7用戶信息安全網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)僅收集實(shí)現(xiàn)產(chǎn)品功能所必需的用戶信息;b)在涉及個(gè)人信息處理時(shí)提供相關(guān)授權(quán)功能,在獲得授權(quán)后方能處理個(gè)人信息;信息收集前的授權(quán)同意、個(gè)人信息收集的授權(quán)撤回等。c)在未獲得或撤回個(gè)人信息收集授權(quán)的情況下提供與個(gè)人信息無關(guān)的安全功能;d)在涉及個(gè)人信息傳輸和存儲(chǔ)的過程中保障個(gè)人信息的保密性和完整性;e)在涉及個(gè)人信息存儲(chǔ)時(shí)提供對超出保存期限個(gè)人信息的處理功能。4GB42250—2022注2:對超出保存期限個(gè)人信息的處理方式應(yīng)與用戶授權(quán)的處理方式一致,如采取刪除或匿名化處理措施。6安全保障要求網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:注:核心要素包括核心技術(shù)知識(shí)產(chǎn)權(quán)、工具及部件等。核心技術(shù)知識(shí)產(chǎn)權(quán)如源代碼、軟硬件設(shè)計(jì)圖等;工具如開發(fā)c)持續(xù)開展安全意識(shí)和技能培訓(xùn)。網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:注1:安全開發(fā)制度和流程包括但不限于代碼編寫規(guī)范、研發(fā)環(huán)境安全管理制度、研發(fā)人員安全管理制度、研發(fā)交付制度等。b)制定網(wǎng)絡(luò)安全專用產(chǎn)品安全功能和自身安全功能的設(shè)計(jì)文檔,該文檔描述與安全功能和自身安全功能一致;e)對網(wǎng)絡(luò)安全專用產(chǎn)品進(jìn)行安全性測試。注3:安全性測試包括但不限于漏洞掃描、病毒掃描、代碼審計(jì)、滲透測試和安全功能驗(yàn)證等。網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:a)建立和執(zhí)行規(guī)范的產(chǎn)品完整性檢測流程,采取措施防范自制或采購的組件被篡改、偽造等b)建立內(nèi)部交付和外部交付的控制程序,確保網(wǎng)絡(luò)安全專用產(chǎn)品在交付過程中不被破壞或篡改;賬戶和默認(rèn)口令。網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:5GB42250—2022b)保護(hù)用戶對軟件(包含固件)安裝和升級等的知情權(quán)和選擇權(quán),安裝和升級軟件時(shí)明示用戶并報(bào)告。網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:b)建立和執(zhí)行用戶信息管理制度和流程,在產(chǎn)品設(shè)計(jì)、生產(chǎn)、升級等各階段保障用戶信息的安6GB42250—2022[1]GB17859—1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則[2]GB/T30279信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南[3]中華人民共和國網(wǎng)絡(luò)安全法[4]中華人民共和國密碼法[5]中華人民共和國數(shù)據(jù)安全法[6]
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025山東日照城投集團(tuán)有限公司招聘6人筆試參考題庫附帶答案詳解
- 運(yùn)維工程師個(gè)人年終工作總結(jié)2025(7篇)
- 中國科協(xié)創(chuàng)新戰(zhàn)略研究院招聘考試真題2024
- 古代寓言故事的現(xiàn)實(shí)意義試題及答案
- 國網(wǎng)中興有限公司招聘調(diào)劑考試真題2024
- 2025四川長虹電源股份有限公司招聘試驗(yàn)技術(shù)主辦崗位32人筆試參考題庫附帶答案詳解
- 給寵物選擇合適食物的原則試題及答案
- 四年級上冊信息技術(shù)教學(xué)設(shè)計(jì)-制作封面和封底(2)|北京版
- 二年級下冊道德與法治教學(xué)設(shè)計(jì)-4我會(huì)愛惜 第1課時(shí) 粵教版
- 長方體和正方體的體積(教學(xué)設(shè)計(jì))-2023-2024學(xué)年五年級下冊數(shù)學(xué)人教版
- 2024年電子商務(wù)師真題試題及答案
- 園藝植物遺傳育種 課件全套 第1-10章 緒論-新品種的審定與推廣繁育+實(shí)訓(xùn)
- 2025-2030中國免洗護(hù)發(fā)素行業(yè)市場發(fā)展趨勢與前景展望戰(zhàn)略研究報(bào)告
- 《智能優(yōu)化算法解析》 課件 第6章-基于群智能的智能優(yōu)化算法
- 《紅巖》中考試題(截至2024年)
- 華為IAD132E(T)開局指導(dǎo)書
- (2025)二十大知識(shí)競賽題庫(含答案)
- 2025年華北電力大學(xué)輔導(dǎo)員及其他崗位招考聘用54人高頻重點(diǎn)提升(共500題)附帶答案詳解
- 2022《信訪工作條例》學(xué)習(xí)課件
- 2025年高考政治一輪復(fù)習(xí)知識(shí)清單選擇性必修一《當(dāng)代國際政治與經(jīng)濟(jì)》重難點(diǎn)知識(shí)
- 兒童青少年肥胖食養(yǎng)指南(2024年版)
評論
0/150
提交評論