版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
ICSO40CCSL80中華人民共和國國家標準GB2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求Informationsecuritytechnology—Securitytechnicalrequirementsofspecializedcybersecurityproducts2022-12-29發(fā)布2023-07-01實施發(fā)布GB42250—2022目次前言 I引言 I1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14安全功能要求 24.1訪問控制 24.2入侵防范 24.3安全審計 24.4惡意程序防范 25自身安全要求 35.1標識和鑒別 35.2自身訪問控制 35.3自身安全審計 35.4通信安全 35.5支撐系統(tǒng)安全 35.6產(chǎn)品升級 35.7用戶信息安全 35.8密碼要求 46安全保障要求 46.1供應鏈安全 46.2設(shè)計與開發(fā) 46.3生產(chǎn)和交付 46.4運維服務保障 46.5用戶信息保護 5參考文獻 6IGB42250—2022前言本文件按照GB/T1.1—2020《標準化工作導則第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由中華人民共和國公安部提出并歸口。IGB42250—2022引言為落實《中華人民共和國網(wǎng)絡(luò)安全法》的第二十三條而制定本文件。網(wǎng)絡(luò)安全專用產(chǎn)品按照本文件的安全技術(shù)要求和國家相關(guān)主管部門規(guī)定的其他技術(shù)規(guī)范進行研發(fā)、生產(chǎn)、服務和檢測工作。本文件是所有網(wǎng)絡(luò)安全專用產(chǎn)品和其提供者均需滿足的基線要求。1GB42250—2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求1范圍本文件規(guī)定了網(wǎng)絡(luò)安全專用產(chǎn)品的安全功能要求、自身安全要求與安全保障要求。本文件適用于銷售或提供的網(wǎng)絡(luò)安全專用產(chǎn)品的研發(fā)、生產(chǎn)、服務、檢測。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本標準;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。3.1網(wǎng)絡(luò)安全專用產(chǎn)品specializedcybersecurityproducts用于保護網(wǎng)絡(luò)安全的專用硬件和軟件產(chǎn)品。注:包括以服務形式提供安全防護能力的產(chǎn)品。3.2網(wǎng)絡(luò)安全專用產(chǎn)品提供者specializedcybersecurityproductsprovider網(wǎng)絡(luò)安全專用產(chǎn)品的研發(fā)者、生產(chǎn)者或維護服務提供者。3.3安全域securitydomain遵從共同安全策略的資產(chǎn)和資源的集合。[來源:GB/T25069—2022,3.36]3.4個人信息personalinformation以電子方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。3.5用戶信息userinformation式記錄的信息。注:用戶信息包括網(wǎng)絡(luò)流量信息、安全狀態(tài)信息、安全配置數(shù)據(jù)、運行過程日志等信息,也包括個人信息。2GB42250—20223.6惡意程序maliciousprogram具有破壞網(wǎng)絡(luò)和信息系統(tǒng)、干擾網(wǎng)絡(luò)和信息系統(tǒng)正常使用、竊取或惡意加密網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)等網(wǎng)絡(luò)攻擊功能的程序o注:惡意程序主要包括病毒、蠕蟲、木馬,以及其他影響主機、網(wǎng)絡(luò)或系統(tǒng)安全、穩(wěn)定運行的程序o3.7安全缺陷securityflaw由設(shè)計、開發(fā)、配置、生產(chǎn)、運維等階段中的錯誤引入,可能影響網(wǎng)絡(luò)安全專用產(chǎn)品安全的弱點o3.8漏洞vulnerability網(wǎng)絡(luò)安全專用產(chǎn)品中能夠被威脅利用的弱點o4安全功能要求4.1訪問控制具有訪問控制功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應具備下述功能:a)支持配置訪問控制策略;注:不同類型網(wǎng)絡(luò)安全專用產(chǎn)品的訪問控制策略不同o如:網(wǎng)絡(luò)型防火墻基于源地址、目的地址、源端口、目的端口和網(wǎng)絡(luò)通信協(xié)議等設(shè)置訪問控制策略;虛擬專用網(wǎng)類產(chǎn)品基于用戶安全屬性等設(shè)置訪問控制策略;安全隔離與信息交換類產(chǎn)品基于應用層協(xié)議等設(shè)置訪問控制策略ob)支持根據(jù)訪問控制策略控制對安全域的訪問o4.2入侵防范具有入侵防范功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應具備下述功能:a)支持對收集的信息進行分析,發(fā)現(xiàn)入侵事件;b)在檢測到入侵事件時,支持采取記錄事件、安全警告或阻斷等安全措施o4.3安全審計具有安全審計功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應具備下述功能:a)支持監(jiān)測、記錄審計目標的網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件;注:不同類型網(wǎng)絡(luò)安全專用產(chǎn)品的安全審計目標不同,審計目標通常包括主機、網(wǎng)絡(luò)、數(shù)據(jù)庫、應用等ob)支持對事件進行比較分析以發(fā)現(xiàn)違規(guī)、異常等行為;c)將網(wǎng)絡(luò)運行狀態(tài)日志和網(wǎng)絡(luò)安全事件日志存儲于非易失性存儲介質(zhì)中,日志保存時間不少于六個月o4.4惡意程序防范具有惡意程序防范功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應具備下述功能:a)支持對存儲信息或傳輸信息進行惡意程序檢測;注:存儲信息包括但不限于存儲于主機磁盤、主機內(nèi)存、主機引導區(qū)、移動存儲介質(zhì)中的信息;傳輸信息包括但不限于通過通信協(xié)議傳輸信道傳輸?shù)奈募?shù)據(jù)或程序代碼ob)支持針對一種或多種惡意程序家族類型進行檢測;c)支持對檢測到的惡意程序進行阻止、刪除、修復或隔離等一種或多種形式的處理o3GB42250—20225自身安全要求5.1標識和鑒別網(wǎng)絡(luò)安全專用產(chǎn)品應具備下述功能:a)對用戶身份進行標識和鑒別,身份標識具有唯一性;b)保障身份鑒別信息在傳輸和存儲過程中的保密性和完整性;c)使用口令鑒別方式時,提供身份鑒別信息復雜度驗證功能和定期更換設(shè)置功能,并支持首次管理產(chǎn)品時強制修改默認口令或設(shè)置口令。5.2自身訪問控制網(wǎng)絡(luò)安全專用產(chǎn)品應具備下述功能:a)對用戶分配賬戶和權(quán)限,區(qū)分管理員角色,實現(xiàn)管理權(quán)限相互制約;b)由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則。5.3自身安全審計網(wǎng)絡(luò)安全專用產(chǎn)品應具備下述功能:a)監(jiān)測、記錄產(chǎn)品自身運行狀態(tài)和重要操作;b)對審計日志進行保護,防止受到未預期的刪除、修改、覆蓋或丟失;c)將審計日志存儲于非易失性存儲介質(zhì)中,日志保存時間不少于六個月。5.4通信安全網(wǎng)絡(luò)安全專用產(chǎn)品應提供安全措施保障產(chǎn)品遠程管理網(wǎng)絡(luò)通信數(shù)據(jù)的保密性和完整性。5.5支撐系統(tǒng)安全網(wǎng)絡(luò)安全專用產(chǎn)品不應包含已公開的中、高風險漏洞。注:漏洞風險等級參照國家網(wǎng)絡(luò)安全漏洞分類分級指南(如GB/T30279等標準)等國家有關(guān)規(guī)定。5.6產(chǎn)品升級網(wǎng)絡(luò)安全專用產(chǎn)品應具備下述功能:a)提供升級產(chǎn)品組件的功能,包括但不限于主程序、特征庫、策略庫;b)保障升級安全,避免得到錯誤的、偽造的升級包和補丁程序。5.7用戶信息安全網(wǎng)絡(luò)安全專用產(chǎn)品應具備下述功能:a)僅收集實現(xiàn)產(chǎn)品功能所必需的用戶信息;b)在涉及個人信息處理時提供相關(guān)授權(quán)功能,在獲得授權(quán)后方能處理個人信息;注1:個人信息處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。授權(quán)功能包括但不限于個人信息收集前的授權(quán)同意、個人信息收集的授權(quán)撤回等。c)在未獲得或撤回個人信息收集授權(quán)的情況下提供與個人信息無關(guān)的安全功能;d)在涉及個人信息傳輸和存儲的過程中保障個人信息的保密性和完整性;e)在涉及個人信息存儲時提供對超出保存期限個人信息的處理功能。4GB42250—2022注2:對超出保存期限個人信息的處理方式應與用戶授權(quán)的處理方式一致,如采取刪除或匿名化處理措施o5.8密碼要求本文件凡涉及密碼使用和管理的相關(guān)內(nèi)容,按有關(guān)標準的規(guī)定o6安全保障要求6.1供應鏈安全網(wǎng)絡(luò)安全專用產(chǎn)品提供者應滿足以下安全保障要求:a)制定供應商選擇、評定和日常管理的程序,對供應商的開發(fā)環(huán)境、規(guī)范和人員、開發(fā)工具、安全測試和安全驗證機制等提出管理要求,以確保其提供的關(guān)鍵部件滿足安全要求,并保存對供應商選擇、評價和日常管理的記錄;b)建立供應鏈各環(huán)節(jié)核心要素的追溯能力,保障核心要素供應穩(wěn)定;注:核心要素包括核心技術(shù)知識產(chǎn)權(quán)、工具及部件等o核心技術(shù)知識產(chǎn)權(quán)如源代碼、軟硬件設(shè)計圖等;工具如開發(fā)軟件、測試軟件、測試儀表、管理軟件、拷機軟件等;部件如硬件機箱、操作系統(tǒng)等oc)持續(xù)開展安全意識和技能培訓o6.2設(shè)計與開發(fā)網(wǎng)絡(luò)安全專用產(chǎn)品提供者應滿足以下安全保障要求:a)識別網(wǎng)絡(luò)安全專用產(chǎn)品設(shè)計和開發(fā)環(huán)節(jié)的安全風險,進行威脅建模,制定安全策略,保障開發(fā)環(huán)境安全,制定安全開發(fā)制度和流程;注1:安全開發(fā)制度和流程包括但不限于代碼編寫規(guī)范、研發(fā)環(huán)境安全管理制度、研發(fā)人員安全管理制度、研發(fā)交付制度等ob)制定網(wǎng)絡(luò)安全專用產(chǎn)品安全功能和自身安全功能的設(shè)計文檔,該文檔描述與安全功能和自身安全功能一致;c)為網(wǎng)絡(luò)安全專用產(chǎn)品確定唯一的版本號,為配置項確定唯一標識,建立并維護配置項列表;注2:配置項包括但不限于源代碼、工具、文檔、組件、配置信息等od)不在產(chǎn)品中設(shè)置惡意程序、隱蔽接口或未明示功能模塊等,并通過用戶協(xié)議、產(chǎn)品說明書等途徑將所有功能模塊、接口等告知用戶;e)對網(wǎng)絡(luò)安全專用產(chǎn)品進行安全性測試o注3:安全性測試包括但不限于漏洞掃描、病毒掃描、代碼審計、滲透測試和安全功能驗證等o6.3生產(chǎn)和交付網(wǎng)絡(luò)安全專用產(chǎn)品提供者應滿足以下安全保障要求:a)建立和執(zhí)行規(guī)范的產(chǎn)品完整性檢測流程,采取措施防范自制或采購的組件被篡改、偽造等風險;b)建立內(nèi)部交付和外部交付的控制程序,確保網(wǎng)絡(luò)安全專用產(chǎn)品在交付過程中不被破壞或篡改;c)向用戶明示包含在產(chǎn)品中的所有功能模塊、外部接口和私有協(xié)議,告知用戶產(chǎn)品中預置的所有賬戶和默認口令o6.4運維服務保障網(wǎng)絡(luò)安全專用產(chǎn)品提供者應滿足以下安全保障要求:5GB42250—2022a)在法律法規(guī)規(guī)定或與用戶約定的期限內(nèi),為產(chǎn)品提供持續(xù)的安全維護,不單方面中斷或終止安全維護;b)保護用戶對軟件(包含固件)安裝和升級等的知情權(quán)和選擇權(quán),安裝和升級軟件時明示用戶并獲得用戶同意;c)建立和執(zhí)行針對產(chǎn)品安全缺陷、漏洞的應急響應機制和流程,對發(fā)現(xiàn)的產(chǎn)品安全缺陷和漏洞采取修復或替代方案等補救措施,及時告知用戶安全風險和可用的補救措施,并向有關(guān)主管部門6.5用戶信息保護網(wǎng)絡(luò)安全專用產(chǎn)品提供者應滿足以下安全保障要求:b)建立和執(zhí)行用戶信息管理制度和流程,在產(chǎn)品設(shè)計、生產(chǎn)、升級等各階段保障用戶信息的安全,不超范圍使用用戶信息。6GB42250—2022參考文獻[1]G
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025屆山東菏澤一中數(shù)學高二上期末學業(yè)質(zhì)量監(jiān)測試題含解析
- 2025屆果洛市重點中學生物高一第一學期期末檢測模擬試題含解析
- 2025屆資陽市重點中學高一數(shù)學第一學期期末達標檢測模擬試題含解析
- 2025屆北京市順義一中生物高二上期末質(zhì)量檢測試題含解析
- 2025屆浙江省兩校高三生物第一學期期末復習檢測試題含解析
- 山東省莒南縣大店中學2025屆高三英語第一學期期末考試模擬試題含解析
- 河南省鞏義市市直高中2025屆高三英語第一學期期末學業(yè)質(zhì)量監(jiān)測模擬試題含解析
- 湖南省醴陵二中、四中2025屆生物高一第一學期期末教學質(zhì)量檢測試題含解析
- 山西省忻州一中、臨汾一中、精英中學、鄂爾多斯一中2025屆高三生物第一學期期末復習檢測試題含解析
- 上海閔行區(qū)2025屆生物高三上期末綜合測試試題含解析
- 管道保溫體積面積計算公式
- 2024-2025學年部編版思想政治高一上學期試卷及答案解析
- 2024年江西省“振興杯”工業(yè)機器人系統(tǒng)操作員競賽考試題庫(含答案)
- JGJ196-2010建筑施工塔式起重機安裝、使用、拆卸安全技術(shù)規(guī)程
- 2024-2030年扭力工具行業(yè)市場現(xiàn)狀供需分析及重點企業(yè)投資評估規(guī)劃分析研究報告
- 壓力容器使用單位每周壓力容器安全排查治理報告
- Unit3SportsandFitnessReadingforwriting教學設(shè)計2023-2024學年人教版高中英語必修第一冊
- 100以內(nèi)兩位數(shù)進位加法退位減法計算題-(直接打印版)
- 第五單元 跟作家學寫作 把事情寫清楚 單元任務群整體 教學設(shè)計 -2024-2025學年語文四年級上冊統(tǒng)編版
- 大氣污染控制工程智慧樹知到期末考試答案章節(jié)答案2024年青島理工大學
- 電氣控制與PLC課程設(shè)計教學大綱
評論
0/150
提交評論