GB∕T 39276-2020 信息安全技术 网络产品和服务安全通用要求

书书书犐犆犛３５．０４０犔８０!#$%&’’()*犌犅／犜３９２７６—２０２０!#$%&’()*+,-#$./01犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—犌犲狀犲狉犪犾狊犲犮狌狉犻狋狔狉犲狇狌犻狉犲犿犲狀狋狊狅犳狀犲狋狑狅狉犽狆狉狅犱狌犮狋狊犪狀犱狊犲狉狏犻犮犲狊２０２０１１１９23２０２１０６０１45’(+,-./012’()*3/045623目　　次前言Ⅰ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语和定义１………………………………………………………………………………………………４　概述２………………………………………………………………………………………………………５　安全通用要求２……………………………………………………………………………………………　５．１　基本级安全通用要求２………………………………………………………………………………　５．２　增强级安全通用要求４………………………………………………………………………………参考文献７………………………………………………………………………………………………………犌犅／犜３９２７６—２０２０前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口。本标准起草单位：中国电子技术标准化研究院、北京赛西科技发展有限责任公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国电子信息产业发展研究院、中国科学院信息工程研究所、中国信息通信研究院、国家信息中心、国家计算机网络与信息安全管理中心、中电数据服务有限公司、中国软件评测中心、工业和信息化部电子第五研究所、中国电子科技集团公司第十五研究所、中国科学院软件研究所、公安部第一研究所、阿里巴巴（北京）软件服务有限公司、联想（北京）有限公司、阿里云计算有限公司、浪潮电子信息产业股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、中国电力科学研究院有限公司、北京神州绿盟科技有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京威努特技术有限公司、山谷网安科技股份有限公司、国家应用软件产品质量监督检验中心、新华三技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、深信服科技股份有限公司、西门子（中国）有限公司、奇安信科技集团股份有限公司。本标准主要起草人：刘贤刚、李京春、顾健、李斌、李嵩、叶润国、孙彦、谢安明、胡影、王闯、许东阳、高金萍、宋好好、周开波、舒敏、吴迪、刘蓓、何延哲、方进社、崔宁宁、周亚超、张宝峰、布宁、任泽君、申永波、李汝鑫、樊洞阳、雷晓锋、鲍旭华、程广明、郭永振、白晓媛、赵江、杜晓黎、史岗、韩煜、董晶晶、刘玉岭、李凌、李娜、严妍、徐雨晴、张屹、焦玉峰、代威、石凌志、钟建伟、姚金龙、宋铮、闫韬、郭旭、王晖。Ⅰ犌犅／犜３９２７６—２０２０信息安全技术网络产品和服务安全通用要求１　范围本标准规定了网络产品和服务应满足的安全通用要求，包括安全功能要求和安全保障要求。本标准适用于网络产品和服务提供者进行网络产品和服务的安全设计、安全实现和安全运行，也可用于指导第三方测评机构对网络产品和服务进行安全测评。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ２５０６９　信息安全技术　术语３　术语和定义ＧＢ／Ｔ２５０６９界定的以及下列术语和定义适用于本文件。３．１　网络　狀犲狋狑狅狉犽由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。３．２　网络产品　狀犲狋狑狅狉犽狆狉狅犱狌犮狋作为网络组成部分以及实现网络功能的硬件、软件或系统，按照一定的规则和程序实现信息的收集、存储、传输、交换和处理。注：网络产品包括计算机、通信设备、信息终端、工控网络设备、系统软件和应用软件等。３．３　用户信息　狌狊犲狉犻狀犳狅狉犿犪狋犻狅狀与个人、法人或其他组织有关的信息，以及定义和描述此类信息的数据。注：用户信息包括个人信息，用户生成的文档、程序、多媒体资料，用户通信的内容、地址、时间，产品的配置、运行及位置数据，系统运行过程产生的日志等。３．４　恶意程序　犿犪犾狑犪狉犲用于实施网络攻击、干扰网络和信息系统正常使用、破坏网络和信息系统、窃取网络和系统数据等行为的程序。注：恶意程序主要包括病毒、蠕虫、木马，以及其他影响主机、网络或系统安全、稳定运行的程序。３．５　安全缺陷　狊犲犮狌狉犻狋狔犳犾犪狑由设计、开发、配置、生产、运维等阶段中的问题引入，可能影响网络产品和服务安全的弱点。１犌犅／犜３９２７６—２０２０３．６　漏洞　狏狌犾狀犲狉犪犫犻犾犻狋狔网络产品和服务中能够被威胁利用的弱点。注：改写ＧＢ／Ｔ２５０６９—２０１０，定义２．３．３０。４　概述网络产品和服务的安全直接影响到其支撑的网络的安全。网络产品和服务在研发、生产、交付、服务提供或运维过程中可能引入安全隐患，导致信息泄露、数据篡改、服务中断、不当控制等安全风险。为了减少网络产品和服务中的常见安全风险，提升用户对网络产品和服务在安全性方面的信心，网络产品和服务提供者应采取相应安全措施，实现以下安全目标：ａ）　防范信息泄露风险：保障网络产品和服务中用户信息不被泄露，降低用户信息泄露的安全风险；ｂ）　防范数据篡改风险：保障网络产品和服务中用户信息不被非授权更改或伪造，降低数据被篡改的安全风险；ｃ）　防范服务中断风险：保障网络产品和服务的持续运行和供应，降低网络产品和服务供应中断的安全风险；ｄ）　防范不当控制风险：保障网络产品和服务运行过程中的风险可控，降低网络产品和服务提供者恶意控制用户的网络产品和服务、非授权获取用户信息，以及利用用户对网络产品和服务的依赖实施不正当竞争或损害用户利益的风险。本标准从安全功能和安全保障两个方面规范网络产品和服务的安全通用要求。安全功能和安全保障均包含基本级和增强级安全要求，其中增强级安全要求用宋体粗体字进行标识。５　安全通用要求５．１　基本级安全通用要求５．１．１　安全功能要求５．１．１．１　身份标识和鉴别具有用户身份标识和鉴别功能的网络产品和服务应：ａ）　对用户身份进行标识和鉴别，身份标识具有唯一性；ｂ）　对用户身份鉴别凭证进行安全保护，防止鉴别凭证的泄露、篡改；ｃ）　告知用户网络产品和服务中与用户相关的所有预置的账户和默认口令，允许用户更改默认口令；ｄ）　在存在默认口令时，提示用户对默认口令进行修改。５．１．１．２　授权与访问控制具有授权与访问控制功能的网络产品和服务应：ａ）　按照最小授权原则，在出厂时预置访问控制策略，需要配置安全策略时，允许用户更改访问控制策略；ｂ）　在用户访问受控资源或功能时，依据设置的访问控制策略进行访问控制，保障访问和操作的安全；ｃ）　不存在加载或运行后会禁用或绕过访问控制机制的组件。２犌犅／犜３９２７６—２０２０５．１．１．３　日志记录与审计具有日志记录与审计功能的网络产品和服务应：ａ）　对用户账户的登录、注销、系统开关机和核心配置变更等操作进行日志记录；ｂ）　在日志记录中包括事件发生的日期和时间、事件的类型、主体身份、事件操作结果等；ｃ）　对日志记录进行安全保护，防止日志记录的损毁或未授权的追加、访问、修改、删除等。５．１．１．４　用户信息安全保护具有用户信息收集、处理等功能的网络产品和服务应：ａ）　除法律法规另有规定外，明确告知收集用户信息的目的、用途、范围和类型，在获得用户同意后，方可收集用户信息；ｂ）　将收集的用户信息仅用于用户同意的目的和用途；ｃ）　在收集实现网络产品和服务功能所需的用户信息时遵循最小化原则；ｄ）　采取安全措施保护个人信息等重要用户信息的安全，防止泄露、篡改、损毁、丢失；ｅ）　未经用户同意，不得向他人提供可精确定位到特定个人的信息；ｆ）　在符合法律法规且技术可行条件下，向用户提供查询、更正个人信息的功能；ｇ）　在报废或终止后，按法律法规、用户要求对用户信息进行处理，或删除用户信息。５．１．１．５　密码使用与管理采用了密码技术的网络产品和服务应符合国家密码管理相关规定。５．１．２　安全保障要求５．１．２．１　设计和开发网络产品和服务的提供者应：ａ）　制定和实施网络产品和服务安全开发流程，减少设计、开发等过程中恶意程序植入、漏洞引入的风险；ｂ）　对设计文档、开发文档等进行配置管理，建立配置管理清单或相应程序，对配置项的变更进行授权和控制；ｃ）　识别网络产品和服务在设计、开发环节的安全风险，制定安全策略，采取安全措施保障关键组件的设计和开发安全；ｄ）　自行、联合或委托第三方对网络产品和服务（包括网络产品和服务中使用的第三方软硬件模块）进行安全测试；ｅ）　在开发阶段对已发现的安全缺陷、漏洞进行修复，对于不能在开发阶段及时修复的安全缺陷、漏洞，制定并实施在用户侧进行紧急修复的安全管理流程。５．１．２．２　生产和交付网络产品和服务提供者应：ａ）　采取完整性保护措施降低网络产品和服务中关键组件、过程和数据被篡改、伪造的风险，包括但不限于对使用的第三方软硬件模块进行安全性检测等；ｂ）　向用户说明包含在网络产品和服务中的所有与用户相关的功能模块和访问接口，包括但不限于人机接口、调试接口等；ｃ）　通过用户协议、产品使用说明书或网站通报等途径，声明所提供的网络产品和服务中没有故意３犌犅／犜３９２７６—２０２０留有或者设置漏洞、后门、木马等程序和功能。５．１．２．３　运行和维护网络产品和服务提供者应：ａ）　建立和执行针对网络产品和服务安全缺陷、漏洞的应急响应机制和流程，对网络产品和服务在运行和维护阶段暴露的安全缺陷、漏洞进行响应；ｂ）　发现网络产品和服务存在安全缺陷、漏洞时，立即采取修复或替代方案等补救措施，按照国家网络安全监测预警和信息通报制度等相关规定，及时告知用户安全风险，并向有关主管部门报告；ｃ）　在法律法规规定或与用户约定的期限内，为网络产品和服务提供持续的安全维护，不因业务变更、产权变更等原因单方面中断或终止安全维护；ｄ）　建立和实施规范的用户信息保护制度，当存在违反法律法规规定或者双方约定收集、使用用户个人信息的情形时，应主动或在用户要求下删除个人信息；ｅ）　保护用户对软件安装、使用、升级、卸载的知情权和选择权，安装和升级软件时应明示告知用户并获得用户同意，允许用户卸载或禁用完成业务目标所必备产品核心功能之外的软件，不得强制或诱导用户安装或升级用户不知情的软件。５．２　增强级安全通用要求５．２．１　安全功能要求５．２．１．１　身份标识和鉴别具有用户身份标识和鉴别功能的网络产品和服务应：ａ）　对用户身份进行标识和鉴别，身份标识具有唯一性；ｂ）　对用户身份鉴别凭证进行安全保护，防止鉴别凭证的泄露、篡改；ｃ）　告知用户网络产品和服务中与用户相关的所有预置的账户和默认口令，允许用户更改默认口令；犱）　在未修改默认口令时，限制核心功能的使用，并提示用户修改口令；犲）　在采用基于口令的身份鉴别机制时，对用户设置的口令进行复杂度检查；犳）　具有登录失败和超时安全处理等机制，包括但不限于连续登录失败后锁定用户账户，当发生用户会话连接超时自动退出用户会话等。５．２．１．２　授权与访问控制具有授权与访问控制功能的网络产品和服务应：ａ）　按照最小授权原则，在出厂时预置访问控制策略，需要配置安全策略时，允许用户更改访问控制策略；ｂ）　在用户访问受控资源或功能时，依据设置的访问控制策略进行访问控制，保障访问和操作的安全；ｃ）　不存在加载或运行后会禁用或绕过访