犐犆犛３５．０４０ 犔８０ ! " # $ % & ' ' ( ) * 犌犅／犜３９２７６—２０２０ !"#$%& '()*+,-#$./01 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔— 犌犲狀犲狉犪犾狊犲犮狌狉犻狋狔狉犲狇狌犻狉犲犿犲狀狋狊狅犳狀犲狋狑狅狉犽狆狉狅犱狌犮狋狊犪狀犱狊犲狉狏犻犮犲狊 ２０２０１１１９ 23 ２０２１０６０１ 45 '(+,-./012 '()*3/0456 2 3 犌犅／犜３９２７６—２０２０ 目 　　 次 前言 ………………………………………………………………………………………………………… Ⅰ １　 范围 ……………………………………………………………………………………………………… １ ２　 规范性引用文件 ………………………………………………………………………………………… １ ３　 术语和定义 ……………………………………………………………………………………………… １ ４　 概述 ……………………………………………………………………………………………………… ２ ５　 安全通用要求 …………………………………………………………………………………………… ２ 　５．１　 基本级安全通用要求 ……………………………………………………………………………… ２ 　５．２　 增强级安全通用要求 ……………………………………………………………………………… ４ 参考文献 ……………………………………………………………………………………………………… ７ 犌犅／犜３９２７６—２０２０ 前 　　 言 　　 本标准按照 ＧＢ／Ｔ１．１—２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口 。 本标准起草单位 ：中国电子技术标准化研究院 、北京赛西科技发展有限责任公司 、公安部第三研究 所 、中国信息安全测评中心 、中国网络安全审查技术与认证中心 、国家信息技术安全研究中心 、中国电子 信息产业发展研究院 、中国科学院信息工程研究所 、中国信息通信研究院 、国家信息中心 、国家计算机网 络与信息安全管理中心 、中电数据服务有限公司 、中国软件评测中心 、工业和信息化部电子第五研究所 、 中国电子科技集团公司第十五研究所 、中国科学院软件研究所 、公安部第一研究所 、阿里巴巴 （北京 ）软 件服务有限公司 、联想（北京）有限公司 、阿里云计算有限公司 、浪潮电子信息产业股份有限公司 、北京天 融信网络安全技术有限公司 、华为技术有限公司 、启明星辰信息技术集团股份有限公司 、中国电力科学 研究院有限公司 、北京神州绿盟科技有限公司 、深圳市腾讯计算机系统有限公司 、北京奇虎科技有限公 司 、北京威努特技术有限公司 、山谷网安科技股份有限公司 、国家应用软件产品质量监督检验中心 、新华 三技术有限公司 、浙江蚂蚁小微金融服务集团股份有限公司 、深信服科技股份有限公司 、西门子 （中国 ） 有限公司 、奇安信科技集团股份有限公司 。 本标准主要起草人 ：刘贤刚 、李京春 、顾健 、李斌 、李嵩 、叶润国 、孙彦 、谢安明 、胡影 、王闯 、许东阳 、 高金萍 、宋好好 、周开波 、舒敏 、吴迪 、刘蓓 、何延哲 、方进社 、崔宁宁 、周亚超 、张宝峰 、布宁 、任泽君 、 申永波 、李汝鑫 、樊洞阳 、雷晓锋 、鲍旭华 、程广明 、郭永振 、白晓媛 、赵江 、杜晓黎 、史岗 、韩煜 、董晶晶 、 刘玉岭 、李凌 、李娜 、严妍 、徐雨晴 、张屹 、焦玉峰 、代威 、石凌志 、钟建伟 、姚金龙 、宋铮 、闫韬 、郭旭 、王晖 。 Ⅰ 犌犅／犜３９２７６—２０２０ 信息安全技术 网络产品和服务安全通用要求 １　 范围 本标准规定了网络产品和服务应满足的安全通用要求 ，包括安全功能要求和安全保障要求 。 本标准适用于网络产品和服务提供者进行网络产品和服务的安全设计 、安全实现和安全运行 ，也可 用于指导第三方测评机构对网络产品和服务进行安全测评 。 ２　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ，仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ，其最新版本（包括所有的修改单）适用于本文件 。 ＧＢ／Ｔ２５０６９　 信息安全技术 　 术语 ３　 术语和定义 ＧＢ／Ｔ２５０６９ 界定的以及下列术语和定义适用于本文件 。 ３．１　 网络 　 狀犲狋狑狅狉犽 由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集 、存储 、传 输 、交换 、处理的系统 。 ３．２　 网络产品 　 狀犲狋狑狅狉犽狆狉狅犱狌犮狋 作为网络组成部分以及实现网络功能的硬件 、软件或系统 ，按照一定的规则和程序实现信息的收 集 、存储 、传输 、交换和处理 。 注 ：网络产品包括计算机 、通信设备 、信息终端 、工控网络设备 、系统软件和应用软件等 。 ３．３　 用户信息 　狌狊犲狉犻狀犳狅狉犿犪狋犻狅狀 与个人 、法人或其他组织有关的信息 ，以及定义和描述此类信息的数据 。 注 ：用户信息包括个人信息 ，用户生成的文档 、程序 、多媒体资料 ，用户通信的内容 、地址 、时间 ，产品的配置 、运行及 位置数据 ，系统运行过程产生的日志等 。 ３．４　 恶意程序 　 犿犪犾狑犪狉犲 用于实施网络攻击 、干扰网络和信息系统正常使用 、破坏网络和信息系统 、窃取网络和系统数据等 行为的程序 。 注 ：恶意程序主要包括病毒 、蠕虫 、木马 ，以及其他影响主机 、网络或系统安全 、稳定运行的程序 。 ３．５　 安全缺陷 　狊犲犮狌狉犻狋狔犳犾犪狑 由设计 、开发 、配置 、生产 、运维等阶段中的问题引入 ，可能影响网络产品和服务安全的弱点 。 １ 犌犅／犜３９２７６—２０２０ ３．６　 漏洞 　狏狌犾狀犲狉犪犫犻犾犻狋狔 网络产品和服务中能够被威胁利用的弱点 。 注 ：改写 ＧＢ／Ｔ２５０６９—２０１０，定义 ２．３．３０。 ４　 概述 网络产品和服务的安全直接影响到其支撑的网络的安全 。 网络产品和服务在研发 、生产 、交付 、服 务提供或运维过程中可能引入安全隐患 ，导致信息泄露 、数据篡改 、服务中断 、不当控制等安全风险 。 为 了减少网络产品和服务中的常见安全风险 ，提升用户对网络产品和服务在安全性方面的信心 ，网络产品 和服务提供者应采取相应安全措施 ，实现以下安全目标 ： ａ）　 防范信息泄露风险 ：保障网络产品和服务中用户信息不被泄露 ，降低用户信息泄露的安全 风险 ； ｂ）　防范数据篡改风险 ：保障网络产品和服务中用户信息不被非授权更改或伪造 ，降低数据被篡改 的安全风险 ； ｃ）　 防范服务中断风险 ：保障网络产品和服务的持续运行和供应 ，降低网络产品和服务供应中断的 安全风险 ； ｄ）　防范不当控制风险 ：保障网络产品和服务运行过程中的风险可控 ，降低网络产品和服务提供者 恶意控制用户的网络产品和服务 、非授权获取用户信息 ，以及利用用户对网络产品和服务的依 赖实施不正当竞争或损害用户利益的风险 。 本标准从安全功能和安全保障两个方面规范网络产品和服务的安全通用要求 。 安全功能和安全保 障均包含基本级和增强级安全要求 ，其中增强级安全要求用 宋体粗体字 进行标识 。 ５　 安全通用要求 ５．１　 基本级安全通用要求 ５．１．１　 安全功能要求 ５．１．１．１　 身份标识和鉴别 具有用户身份标识和鉴别功能的网络产品和服务应 ： ａ）　 对用户身份进行标识和鉴别 ，身份标识具有唯一性 ； ｂ）　对用户身份鉴别凭证进行安全保护 ，防止鉴别凭证的泄露 、篡改 ； ｃ）　 告知用户网络产品和服务中与用户相关的所有预置的账户和默认口令 ，允许用户更改默认 口令 ； ｄ）　在存在默认口令时 ，提示用户对默认口令进行修改 。 ５．１．１．２　 授权与访问控制 具有授权与访问控制功能的网络产品和服务应 ： ａ）　 按照最小授权原则 ，在出厂时预置访问控制策略 ，需要配置安全策略时 ，允许用户更改访问控 制策略 ； ｂ）　在用户访问受控资源或功能时 ，依据设置的访问控制策略进行访问控制 ，保障访问和操作的 安全 ； ） ｃ 　 不存在加载或运行后会禁用或绕过访问控制机制的组件 。 ２ 犌犅／犜３９２７６—２０２０ ５．１．１．３　 日志记录与审计 具有日志记录与审计功能的网络产品和服务应 ： ａ）　 对用户账户的登录 、注销 、系统开关机和核心配置变更等操作进行日志记录 ； ｂ）　在日志记录中包括事件发生的日期和时间 、事件的类型 、主体身份 、事件操作结果等 ； ｃ）　 对日志记录进行安全保护 ，防止日志记录的损毁或未授权的追加 、访问 、修改 、删除等 。 ５．１．１．４　 用户信息安全保护 具有用户信息收集 、处理等功能的网络产品和服务应 ： ａ）　 除法律法规另有规定外 ，明确告知收集用户信息的目的 、用途 、范围和类型 ，在获得用户同意 后 ，方可收集用户信息 ； ｂ）　将收集的用户信息仅用于用户同意的目的和用途 ； ｃ）　 在收集实现网络产品和服务功能所需的用户信息时遵循最小化原则 ； ｄ）　采取安全措施保护个人信息等重要用户信息的安全 ，防止泄露 、篡改 、损毁 、丢失 ； ｅ）　 未经用户同意 ，不得向他人提供可精确定位到特定个人的信息 ； ｆ）　 在符合法律法规且技术可行条件下 ，向用户提供查询 、更正个人信息的功能 ； ｇ）　在报废或终止后 ，按法律法规 、用户要求对用户信息进行处理 ，或删除用户信息 。 ５．１．１．５　 密码使用与管理 采用了密码技术的网络产品和服务应符合国家密码管理相关规定 。 ５．１．２　 安全保障要求 ５．１．２．１　 设计和开发 网络产品和服务的提供者应 ： ａ）　 制定和实施网络产品和服务安全开发流程 ，减少设计 、开发等过程中恶意程序植入 、漏洞引入 的风险 ； ｂ）　对设计文档 、开发文档等进行配置管理 ，建立配置管理清单或相应程序 ，对配置项的变更进行 授权和控制 ； ｃ）　 识别网络产品和服务在设计 、开发环节的安全风险 ，制定安全策略 ，采取安全措施保障关键组 件的设计和开发安全 ； ｄ）　自行 、联合或委托第三方对网络产品和服务 （包括网络产品和服务中使用的第三方软硬件模 块）进行安全测试 ； ｅ）　 在开发阶段对已发现的安全缺陷 、漏洞进行修复 ，对于不能在开发阶段及时修复的安全缺陷 、 漏洞 ，制定并实施在用户侧进行紧急修复的安全管理流程 。 ５．１．２．２　 生产和交付 网络产品和服务提供者应 ： ａ）　 采取完