國家標準《信息安全技術(shù)辦公設備安全規(guī)范》

（征求意見稿）編制說明

一、工作簡況

1、任務來源

根據(jù)國家標準化管理委員會2023年下達的國家標準制修訂計劃，《信息安全

技術(shù)辦公設備安全規(guī)范》由中國電子技術(shù)標準化研究院負責承辦。該標準由全

國信息安全標準化技術(shù)委員會（簡稱“信安標委”）歸口管理，國標委計劃號為

計劃號20230251-T-469。

2、標準編制的主要成員單位

中國電子技術(shù)標準化研究院負責起草，國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中

心、國家信息技術(shù)安全研究中心、珠海奔圖電子有限公司、北京大學、愛普生（中

國）有限公司、富士膠片商業(yè)創(chuàng)新（中國）有限公司、長揚科技（北京）股份有

限公司、中國惠普有限公司、聯(lián)想（北京）有限公司、啟明星辰信息技術(shù)集團股

份有限公司、柯尼卡美能達（中國）投資有限公司、佳能（中國）有限公司、廣

電計量檢測集團股份有限公司、國家辦公設備及耗材質(zhì)量檢驗檢測中心（天津天

復檢測技術(shù)有限公司）、理想（中國）科學工業(yè)有限公司、北京高德品創(chuàng)科技有

限公司、夏普辦公設備（常熟）有限公司、珠海天威飛馬打印耗材有限公司、兄

弟（中國）商業(yè)有限公司、杭州安恒信息技術(shù)股份有限公司、東芝泰格信息系統(tǒng)

（深圳）有限公司、新華三技術(shù)有限公司、北京數(shù)安行科技有限公司、北京中科

微瀾科技有限公司、天津光電通信技術(shù)有限公司、中國科學院軟件研究所、國網(wǎng)

區(qū)塊鏈科技（北京）有限公司等單位共同參與了該標準的起草工作。

3、主要工作過程

1、2022年10月30日，信安標委發(fā)布“2022年網(wǎng)絡安全國家標準立項通

知”，《信息安全技術(shù)辦公設備安全規(guī)范》國家標準修訂項目立項。

2、2022年11月15日，牽頭單位在信安標委網(wǎng)站公開發(fā)布征集參編單位

的通知，征集編制單位38家。

3、2022年12月9日，牽頭單位組織編制組召開工作會議，38家單位參

1

與，會后共收到編制組內(nèi)部反饋意見建議480條。

4、2023年3月，國標委下達標準修訂計劃，修訂標準名稱為《信息安全

技術(shù)辦公設備安全規(guī)范》，項目周期為16個月，計劃號為：20230251-T-469。

5、2023年5月23日，牽頭單位組織召開工作會議，37家單位參會，對

編制組內(nèi)部反饋意見進行討論。

6、2023年5月30日，牽頭單位組織召開編制組研討會，會上邀請WG5

工作組專家參與編制組討論，14家單位參會，會上對安全技術(shù)要求5項條款的

修改方案形成一致意見。

7、2023年5月31日，牽頭單位在WG5工作組全會匯報標準編制進展。經(jīng)

WG5全會通過，同意推進至征求意見稿階段。

8、2023年6月30日，牽頭單位組織召開編制組研討會，23家單位參會，

會上對安全技術(shù)要求10項條款的修改方案形成一致意見。

9、2023年7月13日，牽頭單位組織召開編制組研討會，24家單位參會，

會上對安全技術(shù)要求15項條款的修改方案形成一致意見。

10、2023年8月25日，牽頭單位組織召開編制組研討會，24家單位參會，

會上對6項安全要求條款和8項測評方法條款形成一致意見。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、編制原則

本標準的編制原則是：

1）通用性

本標準擬提出辦公設備的安全技術(shù)要求和測評方法，適用于指導辦公設備的

安全采購、測評、維護和管理。

2）可行性

本標準研制過程中，廣泛征集辦公設備廠商、測評機構(gòu)參與編制討論，吸取

行業(yè)先進經(jīng)驗，確保條款內(nèi)容的可行性。

3）一致性

符合國家相關法律法規(guī)與政策文件，與現(xiàn)行標準規(guī)范協(xié)調(diào)一致。

2、確定主要內(nèi)容的依據(jù)

標準制定依據(jù)：

a）標準格式按照GB/T1.1—2020要求編寫。

2

b）本標準制定參考以下國家標準：

GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則

GB/T25069信息安全技術(shù)術(shù)語

3、解決的主要問題

1）修訂背景

辦公設備在敏感信息泄露、遠程拒絕服務、跨站腳本漏洞等方面安全風險

突出。CNCERT發(fā)布的聯(lián)網(wǎng)打印機安全態(tài)勢研究報告指出打印機安全漏洞數(shù)量

呈逐年上升趨勢，截止2018年底，CNVD共發(fā)布涉及打印機產(chǎn)品的漏洞信息174

項，中高危漏洞占比超過80%。

目前，美國、歐盟等在立法層面不斷強化對網(wǎng)絡產(chǎn)品、軟件產(chǎn)品的安全性

要求，IEEE、NIST均針對辦公設備提出了相關的安全要求標準，保障辦公設備

安全性。

GB/T29244—2012《信息安全技術(shù)辦公設備基本安全要求》于2012年發(fā)

布，隨著技術(shù)發(fā)展，辦公設備相關安全技術(shù)不斷更新，原標準技術(shù)內(nèi)容難以有效

應對當前辦公設備面臨的安全風險。因此，本標準修訂工作旨在應用辦公設備領

域最新安全技術(shù)，通過明確辦公設備安全功能要求和安全保障要求，強化辦公設

備安全防護能力，有效應對安全風險。

2）標準主要內(nèi)容

本標準主要內(nèi)容如下：

前言

本標準代替GB/T29244—2012《信息安全技術(shù)辦公設備基本安全要求》和

GB/T38558—2020《信息安全技術(shù)辦公設備安全測試方法》，與GB/T29244—

2012和GB/T38558—2020相比，除結(jié)構(gòu)調(diào)整和編輯性改動外，主要技術(shù)變化如

下：

——整合了GB/T29244—2012和GB/T38558—2020兩項標準的內(nèi)容，修

改標準名稱為“信息安全技術(shù)辦公設備安全規(guī)范”

——增加了概述和規(guī)范性附錄，明確了辦公設備安全等級劃分（見第5章、

附錄A、附錄B）

——更改了術(shù)語和定義（見第3章，GB/T29244—2012的第3章）；

3

——增加了“固件安全”相關要求（見6.1.3）和對應測評方法（見7.1.3）；

——增加了“安全保障要求”和對應測評方法（見6.2和7.2）；

——修改“安全審計”為“日志記錄與審計”(見6.1.4，GB/T29244—2012

的4.3)。

——修改“會話”為“通信安全”(見6.1.6，GB/T29244—2012的4.5)。

——修改“數(shù)據(jù)管理”為“用戶數(shù)據(jù)安全”(見6.1.5，GB/T29244—2012

的5.2)。

——修改“安全屬性管理”為“配置安全”(見6.1.8，GB/T29244—2012

的5.1)。

第1章范圍

本標準規(guī)定了辦公設備的安全技術(shù)要求和測評方法。

本標準適用于辦公設備的安全采購、測評、維護和管理。

第2章規(guī)范性引用文件

GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則

GB/T25069信息安全技術(shù)術(shù)語

第3章術(shù)語和定義

GB/T18336和GB/T25069中確定的以及下列術(shù)語和定義適用于本標準。

3.1辦公設備officedevice

用于產(chǎn)生或處理電子或其他媒體文件的設備。

注：本標準所指辦公設備主要是指具有打印、掃描、傳真、復印中的一項或多項功

能的設備產(chǎn)品。

3.2管理員administrator

被授權(quán)管理辦公設備的某些部分或所有部分的用戶，其行為可能影響安全

功能策略。

3.3用戶user

辦公設備之外，與辦公設備進行交互的實體（人或信息技術(shù)實體）。

3.4用戶數(shù)據(jù)userdata

由用戶創(chuàng)建或為用戶而創(chuàng)建，且不影響辦公設備安全功能運行的數(shù)據(jù)。

注：用戶數(shù)據(jù)包括用戶文檔數(shù)據(jù)和用戶功能數(shù)據(jù)。

4

3.5非易失性存儲nonvolatilestorage

存儲的數(shù)據(jù)不因電源關閉而丟失的裝置。

注：非易失性存儲主要包括內(nèi)置或者外接的硬盤、U盤、SD卡、FLASH。

3.6固件firmware

內(nèi)置于辦公設備，實現(xiàn)辦公設備接口通信、安全功能、數(shù)據(jù)解析、圖像處理、

引擎控制等的程序。

3.7主控制芯片masterchip

內(nèi)置于辦公設備，負責數(shù)據(jù)解析、圖像處理、作業(yè)管理和控制打印頭并直接

輸出二進制影像數(shù)據(jù)的集成電路器件。

3.8數(shù)據(jù)控制板datacontrolboard

內(nèi)置于辦公設備，集成了主控制芯片且負責數(shù)據(jù)控制功能的電路板。

注：數(shù)據(jù)控制功能包括數(shù)據(jù)通信，作業(yè)分配管理，作業(yè)數(shù)據(jù)解析，打印、復印、掃

描數(shù)據(jù)的圖像處理，二進制影像數(shù)據(jù)的輸出控制等。

第4章縮略語

下列縮略語適用于本標準。

IP：因特網(wǎng)協(xié)議（Internetprotocol）

MAC地址：媒體訪問控制（mediaaccesscontroladdress）

PIN：個人標識碼（personalidentificationnumber）

SNMP：簡單網(wǎng)絡管理協(xié)議(simplenetworkmanagementprotocol)

第5章概述

辦公設備的安全技術(shù)要求包括安全功能要求和安全保障要求。其中，安全

功能要求是對產(chǎn)品應具備的安全功能提出的具體要求。安全保障要求針對產(chǎn)品的

生命周期過程提出具體的保障要求。

本標準將辦公設備的安全等級分為基本級和增強級。安全功能的強弱，以

及安全保障要求的高低是辦公設備安全等級劃分的依據(jù)。辦公設備具體安全功能

和等級劃分應符合附錄A的要求，測評方法及等級劃分應符合附錄B的要求。

第6章安全技術(shù)要求

6.1節(jié)安全功能要求包括：

6.1.1標識和鑒別；

5

6.1.2訪問控制；

6.1.3固件安全；

6.1.4日志記錄與審計；

6.1.5用戶數(shù)據(jù)安全；

6.1.6通信安全；

6.1.7非易失性存儲器安全；

6.1.8配置安全。

6.2安全保障要求包括：

6.2.1設計和開發(fā)；

6.2.2生產(chǎn)和交付；

6.2.3運行和維護；

6.2.4供應鏈安全。

第6章安全技術(shù)要求提出了辦公設備應滿足的安全功能要求和安全保障要

求。

第7章測評方法

7.1節(jié)安全功能要求測評方法包括：

7.1.1標識和鑒別；

7.1.2訪問控制；

7.1.3固件安全；

7.1.4日志記錄與審計；

7.1.5用戶安全數(shù)據(jù)；

7.1.6通信安全；

7.1.7非易失性存儲器安全；

7.1.8配置安全。

7.2安全保障要求測評方法包括：

7.2.1設計和開發(fā)；

7.2.2生產(chǎn)和交付；

7.2.3運行和維護；

7.2.4供應鏈安全。

6

第7章測評方法對辦公設備應滿足的安全功能要求和安全保障要求提出具

體測試評價方法。

附錄A（規(guī)范性附錄）辦公設備安全功能要求和安全保障要求表

本附錄分別列出具有打印、掃描、傳真、復印功能的辦公設備安全技術(shù)要

求，明確了各類辦公設備基本級和增強級安全技術(shù)要求的最小集合。

附錄B（規(guī)范性附錄）辦公設備安全功能要求測評方法和安全保障要求測

評方法表

本附錄根據(jù)附錄A的要求，分別列出具有打印、掃描、傳真、復印功能的

辦公設備相關要求對應的測評方法。

3）編制思路

對于基本級和增強級的分級原則方面，辦公設備安全功能的強弱，以及安

全保障要求的高低是辦公設備安全等級的劃分依據(jù)。本標準所指辦公設備主要是

指具有打印、掃描、傳真、復印中的一項或多項功能的設備產(chǎn)品，編制組在規(guī)范

性附錄中分別給出具有打印功能、掃描功能、復印功能和傳真功能的辦公設備在

基本級和增強級應滿足的安全技術(shù)要求和測評方法。

對于基本級和增強級的適用場景方面，用戶可根據(jù)產(chǎn)品功能需求、產(chǎn)品使

用環(huán)境等，依據(jù)本標準提出的安全功能要求和安全保障要求自行選擇。

三、主要試驗情況分析

本標準依托辦公設備廠商、測評機構(gòu)等，對本標準條款內(nèi)容的適用性、可落地

性開展驗證。

四、知識產(chǎn)權(quán)情況說明

本標準不涉及專利及知識產(chǎn)權(quán)問題。

五、產(chǎn)業(yè)化情況、推廣應用論證和預期達到的經(jīng)濟效果

本標準規(guī)定了辦公設備的安全技術(shù)要求和測評方法，適用于辦公設備的安

全采購、測評、維護和管理。

本標準可指導辦公設備廠商開展安全能力建設，切實降低辦公設備在敏感

信息泄露、遠程拒絕服務、跨站腳本漏洞等方面的安全風險；同時，標準可指導

測評機構(gòu)開展辦公設備測評工作。

7

六