GB 42250-2022 信息安全技術 網絡安全專用產品安全技術要求

ICS35.040信息安全技術網絡安全專用產品安全技術要求2022-12-29發(fā)布國家市場監(jiān)督管理總局國家標準化管理委員會 I Ⅱ 2規(guī)范性引用文件 3術語和定義 4安全功能要求 24.1訪問控制 24.2入侵防范 24.3安全審計 24.4惡意程序防范 2 35.1標識和鑒別 35.2自身訪問控制 35.3自身安全審計 35.4通信安全 3 5.6產品升級 35.7用戶信息安全 35.8密碼要求 46安全保障要求 46.1供應鏈安全 46.2設計與開發(fā) 46.3生產和交付 6.4運維服務保障 46.5用戶信息保護 6IGB42250—2022本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由中華人民共和國公安部提出并歸口。GB42250—2022為落實《中華人民共和國網絡安全法》的第二十三條而制定本文件。網絡安全專用產品按照本文件的安全技術要求和國家相關主管部門規(guī)定的其他技術規(guī)范進行研發(fā)、生產、服務和檢測工作。本文件是所有網絡安全專用產品和其提供者均需滿足的基線要求。1GB42250—2022信息安全技術網絡安全專用產品安全技術要求1范圍2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文本文件。GB/T25069信息安全技術術語3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。用于保護網絡安全的專用硬件和軟件產品。注：包括以服務形式提供安全防護能力的產品。安全域securitydomain遵從共同安全策略的資產和資源的集合。3.5式記錄的信息。2GB42250—20223.6攻擊功能的程序。3.7安全缺陷securityflaw3.84安全功能要求a)支持配置訪問控制策略；和網絡通信協(xié)議等設置訪問控制策略；虛擬專用網類產品基于用戶安全屬性等設置訪問控制策略；安全隔離與信息交換類產品基于應用層協(xié)議等設置訪問控制策略。b)支持根據訪問控制策略控制對安全域的訪問。c)將網絡運行狀態(tài)日志和網絡安全事件日志存儲于非易失性存儲介質中，日志保存時間不少于a)支持對存儲信息或傳輸信息進行惡意程序檢測；于通過通信協(xié)議傳輸信道傳輸的文件數據或程序代碼。b)支持針對一種或多種惡意程序家族類型進行檢測；3GB42250—20225自身安全要求5.1標識和鑒別網絡安全專用產品應具備下述功能：a)對用戶身份進行標識和鑒別，身份標識具有唯一性；b)保障身份鑒別信息在傳輸和存儲過程中的保密性和完整性；c)使用口令鑒別方式時，提供身份鑒別信息復雜度驗證功能和定期更換設置功能，并支持首次管理產品時強制修改默認口令或設置口令。5.2自身訪問控制網絡安全專用產品應具備下述功能：a)對用戶分配賬戶和權限，區(qū)分管理員角色，實現(xiàn)管理權限相互制約；b)由授權主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。5.3自身安全審計網絡安全專用產品應具備下述功能：a)監(jiān)測、記錄產品自身運行狀態(tài)和重要操作；c)將審計日志存儲于非易失性存儲介質中，日志保存時間不少于六個月。5.4通信安全網絡安全專用產品應提供安全措施保障產品遠程管理網絡通信數據的保密性和完整性。5.5支撐系統(tǒng)安全網絡安全專用產品不應包含已公開的中、高風險漏洞。注：漏洞風險等級參照國家網絡安全漏洞分類分級指南(如GB/T30279等標準)等國家有關規(guī)定。5.6產品升級網絡安全專用產品應具備下述功能：b)保障升級安全，避免得到錯誤的、偽造的升級包和補丁程序。5.7用戶信息安全網絡安全專用產品應具備下述功能：a)僅收集實現(xiàn)產品功能所必需的用戶信息；b)在涉及個人信息處理時提供相關授權功能，在獲得授權后方能處理個人信息；信息收集前的授權同意、個人信息收集的授權撤回等。c)在未獲得或撤回個人信息收集授權的情況下提供與個人信息無關的安全功能；d)在涉及個人信息傳輸和存儲的過程中保障個人信息的保密性和完整性；e)在涉及個人信息存儲時提供對超出保存期限個人信息的處理功能。4GB42250—2022注2:對超出保存期限個人信息的處理方式應與用戶授權的處理方式一致，如采取刪除或匿名化處理措施。6安全保障要求網絡安全專用產品提供者應滿足以下安全保障要求：注：核心要素包括核心技術知識產權、工具及部件等。核心技術知識產權如源代碼、軟硬件設計圖等；工具如開發(fā)c)持續(xù)開展安全意識和技能培訓。網絡安全專用產品提供者應滿足以下安全保障要求：注1:安全開發(fā)制度和流程包括但不限于代碼編寫規(guī)范、研發(fā)環(huán)境安全管理制度、研發(fā)人員安全管理制度、研發(fā)交付制度等。b)制定網絡安全專用產品安全功能和自身安全功能的設計文檔，該文檔描述與安全功能和自身安全功能一致；e)對網絡安全專用產品進行安全性測試。注3:安全性測試包括但不限于漏洞掃描、病毒掃描、代碼審計、滲透測試和安全功能驗證等。網絡安全專用產品提供者應滿足以下安全保障要求：a)建立和執(zhí)行規(guī)范的產品完整性檢測流程，采取措施防范自制或采購的組件被篡改、偽造等b)建立內部交付和外部交付的控制程序，確保網絡安全專用產品在交付過程中不被破壞或篡改；賬戶和默認口令。網絡安全專用產品提供者應滿足以下安全保障要求：5GB42250—2022b)保護用戶對軟件(包含固件)安裝和升級等的知情權和選擇權，安裝和升級軟件時明示用戶并報告。網絡安全專用產品提供者應滿足以下安全保障要求：b)建立和執(zhí)行用戶信息管理制度和流程，在產品設計、生產、升級等各階段保障用戶信息的安6GB42250—2022[1]GB17859—1999計算機信息系統(tǒng)安全保護等級劃分準則[2]GB/T30279信息安全技術網絡安全漏洞分類分級指南[3]中華人民共和國網絡安全法[4]中華人民共和國密碼法[5]中華人民共和國數據安全法[6]