ICS35.040L80中華人民共和國國家標準信息安全技術網絡產品和服務安全通用要求I—Gv國家市場監督管理總局國家標準化管理委員會GB／T39276—2020 2規范性引用文件 3術語和定義 4概述 5安全通用要求 5.1基本級安全通用要求 5.2增強級安全通用要求 參考文獻 ⅠGB／T39276—2020本標準按照GB/T1.1—2009給出的規則起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。本標準由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本標準起草單位：中國電子技術標準化研究院、北京賽西科技發展有限責任公司、公安部第三研究所、中國信息安全測評中心、中國網絡安全審查技術與認證中心、國家信息技術安全研究中心、中國電子信息產業發展研究院、中國科學院信息工程研究所、中國信息通信研究院、國家信息中心、國家計算機網絡與信息安全管理中心、中電數據服務有限公司、中國軟件評測中心、工業和信息化部電子第五研究所、中國電子科技集團公司第十五研究所、中國科學院軟件研究所、公安部第一研究所、阿里巴巴（北京）軟件服務有限公司、聯想（北京）有限公司、阿里云計算有限公司、浪潮電子信息產業股份有限公司、北京天融信網絡安全技術有限公司、華為技術有限公司、啟明星辰信息技術集團股份有限公司、中國電力科學研究院有限公司、北京神州綠盟科技有限公司、深圳市騰訊計算機系統有限公司、北京奇虎科技有限公司、北京威努特技術有限公司、山谷網安科技股份有限公司、國家應用軟件產品質量監督檢驗中心、新華三技術有限公司、浙江螞蟻小微金融服務集團股份有限公司、深信服科技股份有限公司、西門子（中國）有限公司、奇安信科技集團股份有限公司。本標準主要起草人：劉賢剛、李京春、顧健、李斌、李嵩、葉潤國、孫彥、謝安明、胡影、王闖、許東陽、高金萍、宋好好、周開波、舒敏、吳迪、劉蓓、何延哲、方進社、崔寧寧、周亞超、張寶峰、布寧、任澤君、申永波、李汝鑫、樊洞陽、雷曉鋒、鮑旭華、程廣明、郭永振、白曉媛、趙江、杜曉黎、史崗、韓煜、董晶晶、1GB／T39276—2020信息安全技術網絡產品和服務安全通用要求本標準規定了網絡產品和服務應滿足的安全通用要求，包括安全功能要求和安全保障要求。本標準適用于網絡產品和服務提供者進行網絡產品和服務的安全設計、安全實現和安全運行，也可用于指導第三方測評機構對網絡產品和服務進行安全測評。2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術術語3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。3.1由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。3.2作為網絡組成部分以及實現網絡功能的硬件、軟件或系統，按照一定的規則和程序實現信息的收集、存儲、傳輸、交換和處理。注：網絡產品包括計算機、通信設備、信息終端、工控網絡設備、系統軟件和應用軟件等。3.3與個人、法人或其他組織有關的信息，以及定義和描述此類信息的數據。注：用戶信息包括個人信息，用戶生成的文檔、程序、多媒體資料，用戶通信的內容、地址、時間，產品的配置、運行及位置數據，系統運行過程產生的日志等。3.4用于實施網絡攻擊、干擾網絡和信息系統正常使用、破壞網絡和信息系統、竊取網絡和系統數據等行為的程序。注：惡意程序主要包括病毒、蠕蟲、木馬，以及其他影響主機、網絡或系統安全、穩定運行的程序。3.5由設計、開發、配置、生產、運維等階段中的問題引入，可能影響網絡產品和服務安全的弱點。2GB／T39276—20203.6網絡產品和服務中能夠被威脅利用的弱點。注：改寫GB/T25069—2010,定義2.3.30。網絡產品和服務的安全直接影響到其支撐的網絡的安全。網絡產品和服務在研發、生產、交付、服務提供或運維過程中可能引入安全隱患，導致信息泄露、數據篡改、服務中斷、不當控制等安全風險。為了減少網絡產品和服務中的常見安全風險，提升用戶對網絡產品和服務在安全性方面的信心，網絡產品和服務提供者應采取相應安全措施，實現以下安全目標：風險；的安全風險；安全風險；惡意控制用戶的網絡產品和服務、非授權獲取用戶信息，以及利用用戶對網絡產品和服務的依賴實施不正當競爭或損害用戶利益的風險。本標準從安全功能和安全保障兩個方面規范網絡產品和服務的安全通用要求。安全功能和安全保5安全通用要求5.1基本級安全通用要求具有用戶身份標識和鑒別功能的網絡產品和服務應：；c口令；具有授權與訪問控制功能的網絡產品和服務應：制策略；安全；c3GB／T39276—2020具有日志記錄與審計功能的網絡產品和服務應：具有用戶信息收集、處理等功能的網絡產品和服務應：后，方可收集用戶信息；采用了密碼技術的網絡產品和服務應符合國家密碼管理相關規定。網絡產品和服務的提供者應：的風險；授權和控制；件的設計和開發安全；塊）進行安全測試；漏洞，制定并實施在用戶側進行緊急修復的安全管理流程。網絡產品和服務提供者應：但不限于對使用的第三方軟硬件模塊進行安全性檢測等；于人機接口、調試接口等；4GB／T39276—2020留有或者設置漏洞、后門、木馬等程序和功能。網絡產品和服務提供者應：運行和維護階段暴露的安全缺陷、漏洞進行響應；網絡安全監測預警和信息通報制度等相關規定，及時告知用戶安全風險，并向有關主管部門報告；更、產權變更等原因單方面中斷或終止安全維護；個人信息的情形時，應主動或在用戶要求下刪除個人信息；制或誘導用戶安裝或升級用戶不知情的軟件。5.2增強級安全通用要求具有用戶身份標識和鑒別功能的網絡產品和服務應：；c口令；戶會話連接超時自動退出用戶會話等。具有授權與訪問控制功能的網絡產品和服務應：制策略；安全；c具有日志記錄與審計功能的網絡產品和服務應：5GB／T39276—2020具有信息通信安全保護功能的網絡產品和服務應：具有用戶信息收集、處理等功能的網絡產品和服務應：后，方可收集用戶信息；采用了密碼技術的網絡產品和服務應符合國家密碼管理相關規定。5.2.2安全保障要求網絡產品和服務的提供者應：的風險；授權和控制；件的設計和開發安全；塊）進行安全測試；漏洞，制定并實施在用戶側進行緊急修復的安全管理流程；網絡產品和服務提供者應：6GB／T39276—2020但不限于對使用的第三方軟硬件模塊進行安全性檢測等；于人機接口、調試接口等；留有或者設置漏洞、后門、木馬等程序和功能；和服務交付過程中的安全風險；過程中涉及的各用戶角色和安全責任，給出風險提示和應急響應措施。網絡產品和服務提供者應：運行和維護階段暴露的安全缺陷、漏洞進行響應。網絡安全監測預警和信息通報制度等相關規定，及時告知用戶安全風險，并向有關主管部門報告。更、產權變更等原因單方面中斷或終止安全維護。個人信息的情形時，應主動或在用戶要求下刪除個人信息。并獲得用戶同意，允許用戶卸載或禁用完成業務目標所必備產品核心功能之外的軟件，不得強制或誘導用戶安裝或升級用戶不知情的軟件。影響。信息。提供中止網絡產品遠程維護的方式。遠程維護中止或結束時，遠程維護權限自動撤銷。用戶查閱。等，獲得用戶授權同意后方可實施升級，允許用戶選擇不接受升級。法或工具。GB／T39276—2020[1]GB/T18336.1—2015信息技術安全技術信息技術安全評估準則第1部分：簡介和一般模型[2]GB/T18336.2—2015信息技術安全技術信息技術安全評估準則第2部分：安全功能組件[3]GB/T18336.3—2015信息技術安全技術信息技術安全評估準則第3部分：安全保障組件[4]GB/T28827.1—2012信息技術服務運行維護第1部分：通用要求[5]GB/T28827.2—2012信息技術服務運行維護第2部分：交付規范[6]G