GB+42250-2022信息安全技術(shù) 網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求

ICS35.040CCSL80中華人民共和國國家標(biāo)準(zhǔn)GB42250—2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求Informationsecuritytechnology—2022-12-29發(fā)布2023-07-01實施國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會GB42250—2022前言 I引言 "1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14安全功能要求 24.1訪問控制 24.2入侵防范 24.3安全審計 24.4惡意程序防范 25自身安全要求 35.1標(biāo)識和鑒別 35.2自身訪問控制 35.3自身安全審計 35.4通信安全 35.5支撐系統(tǒng)安全 35.6產(chǎn)品升級 35.7用戶信息安全 35.8密碼要求 46安全保障要求 46.1供應(yīng)鏈安全 46.2設(shè)計與開發(fā) 46.3生產(chǎn)和交付 46.4運維服務(wù)保障 46.5用戶信息保護 5參考文獻 6IGB42250—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中華人民共和國公安部提出并歸口。GB42250—2022為落實《中華人民共和國網(wǎng)絡(luò)安全法》的第二十三條而制定本文件。網(wǎng)絡(luò)安全專用產(chǎn)品按照本文件的安全技術(shù)要求和國家相關(guān)主管部門規(guī)定的其他技術(shù)規(guī)范進行研發(fā)、生產(chǎn)、服務(wù)和檢測工作。本文件是所有網(wǎng)絡(luò)安全專用產(chǎn)品和其提供者均需滿足的基線要求。"1GB42250—2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求1范圍本文件規(guī)定了網(wǎng)絡(luò)安全專用產(chǎn)品的安全功能要求、自身安全要求與安全保障要求。本文件適用于銷售或提供的網(wǎng)絡(luò)安全專用產(chǎn)品的研發(fā)、生產(chǎn)、服務(wù)、檢測。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應(yīng)的版本適用于本標(biāo)準(zhǔn);不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。網(wǎng)絡(luò)安全專用產(chǎn)品specializedcybersecurityproducts用于保護網(wǎng)絡(luò)安全的專用硬件和軟件產(chǎn)品。注:包括以服務(wù)形式提供安全防護能力的產(chǎn)品。3.2網(wǎng)絡(luò)安全專用產(chǎn)品提供者specializedcybersecurityproductsprovider網(wǎng)絡(luò)安全專用產(chǎn)品的研發(fā)者、生產(chǎn)者或維護服務(wù)提供者。3.3安全域securitydomain遵從共同安全策略的資產(chǎn)和資源的集合。[來源:GB/T25069—2022,3.36]3.4個人信息personalinformation以電子方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。3.5用戶信息userinformation個人、法人或其他組織在安裝、使用網(wǎng)絡(luò)安全專用產(chǎn)品過程中產(chǎn)生、收集、存儲、傳輸、處理的電子方式記錄的信息。注:用戶信息包括網(wǎng)絡(luò)流量信息、安全狀態(tài)信息、安全配置數(shù)據(jù)、運行過程日志等信息,也包括個人信息。2GB42250—20223.6惡意程序maliciousprogram具有破壞網(wǎng)絡(luò)和信息系統(tǒng)、干擾網(wǎng)絡(luò)和信息系統(tǒng)正常使用、竊取或惡意加密網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)等網(wǎng)絡(luò)攻擊功能的程序。注:惡意程序主要包括病毒、蠕蟲、木馬,以及其他影響主機、網(wǎng)絡(luò)或系統(tǒng)安全、穩(wěn)定運行的程序。3.7安全缺陷securityflaw由設(shè)計、開發(fā)、配置、生產(chǎn)、運維等階段中的錯誤引入,可能影響網(wǎng)絡(luò)安全專用產(chǎn)品安全的弱點。3.8漏洞vulnerability網(wǎng)絡(luò)安全專用產(chǎn)品中能夠被威脅利用的弱點。4安全功能要求4.1訪問控制具有訪問控制功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應(yīng)具備下述功能:a)支持配置訪問控制策略;注:不同類型網(wǎng)絡(luò)安全專用產(chǎn)品的訪問控制策略不同。如:網(wǎng)絡(luò)型防火墻基于源地址、目的地址、源端口、目的端口和網(wǎng)絡(luò)通信協(xié)議等設(shè)置訪問控制策略;虛擬專用網(wǎng)類產(chǎn)品基于用戶安全屬性等設(shè)置訪問控制策略;安全隔離與信息交換類產(chǎn)品基于應(yīng)用層協(xié)議等設(shè)置訪問控制策略。b)支持根據(jù)訪問控制策略控制對安全域的訪問。4.2入侵防范具有入侵防范功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應(yīng)具備下述功能:a)支持對收集的信息進行分析,發(fā)現(xiàn)入侵事件;b)在檢測到入侵事件時,支持采取記錄事件、安全警告或阻斷等安全措施。4.3安全審計具有安全審計功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應(yīng)具備下述功能:a)支持監(jiān)測、記錄審計目標(biāo)的網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件;注:不同類型網(wǎng)絡(luò)安全專用產(chǎn)品的安全審計目標(biāo)不同,審計目標(biāo)通常包括主機、網(wǎng)絡(luò)、數(shù)據(jù)庫、應(yīng)用等。b)支持對事件進行比較分析以發(fā)現(xiàn)違規(guī)、異常等行為;c)將網(wǎng)絡(luò)運行狀態(tài)日志和網(wǎng)絡(luò)安全事件日志存儲于非易失性存儲介質(zhì)中,日志保存時間不少于六個月。4.4惡意程序防范具有惡意程序防范功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應(yīng)具備下述功能:a)支持對存儲信息或傳輸信息進行惡意程序檢測;注:存儲信息包括但不限于存儲于主機磁盤、主機內(nèi)存、主機引導(dǎo)區(qū)、移動存儲介質(zhì)中的信息;傳輸信息包括但不限于通過通信協(xié)議傳輸信道傳輸?shù)奈募?shù)據(jù)或程序代碼。b)支持針對一種或多種惡意程序家族類型進行檢測;c)支持對檢測到的惡意程序進行阻止、刪除、修復(fù)或隔離等一種或多種形式的處理。3GB42250—20225自身安全要求5.1標(biāo)識和鑒別網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)對用戶身份進行標(biāo)識和鑒別,身份標(biāo)識具有唯一性;b)保障身份鑒別信息在傳輸和存儲過程中的保密性和完整性;c)使用口令鑒別方式時,提供身份鑒別信息復(fù)雜度驗證功能和定期更換設(shè)置功能,并支持首次管理產(chǎn)品時強制修改默認(rèn)口令或設(shè)置口令。5.2自身訪問控制網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)對用戶分配賬戶和權(quán)限,區(qū)分管理員角色,實現(xiàn)管理權(quán)限相互制約;b)由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則。5.3自身安全審計網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)監(jiān)測、記錄產(chǎn)品自身運行狀態(tài)和重要操作;b)對審計日志進行保護,防止受到未預(yù)期的刪除、修改、覆蓋或丟失;c)將審計日志存儲于非易失性存儲介質(zhì)中,日志保存時間不少于六個月。5.4通信安全網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)提供安全措施保障產(chǎn)品遠程管理網(wǎng)絡(luò)通信數(shù)據(jù)的保密性和完整性。5.5支撐系統(tǒng)安全網(wǎng)絡(luò)安全專用產(chǎn)品不應(yīng)包含已公開的中、高風(fēng)險漏洞。注:漏洞風(fēng)險等級參照國家網(wǎng)絡(luò)安全漏洞分類分級指南(如GB/T30279等標(biāo)準(zhǔn))等國家有關(guān)規(guī)定。5.6產(chǎn)品升級網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)提供升級產(chǎn)品組件的功能,包括但不限于主程序、特征庫、策略庫;b)保障升級安全,避免得到錯誤的、偽造的升級包和補丁程序。5.7用戶信息安全網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)僅收集實現(xiàn)產(chǎn)品功能所必需的用戶信息;b)在涉及個人信息處理時提供相關(guān)授權(quán)功能,在獲得授權(quán)后方能處理個人信息;注1:個人信息處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。授權(quán)功能包括但不限于個人信息收集前的授權(quán)同意、個人信息收集的授權(quán)撤回等。c)在未獲得或撤回個人信息收集授權(quán)的情況下提供與個人信息無關(guān)的安全功能;d)在涉及個人信息傳輸和存儲的過程中保障個人信息的保密性和完整性;e)在涉及個人信息存儲時提供對超出保存期限個人信息的處理功能。4GB42250—2022注2:對超出保存期限個人信息的處理方式應(yīng)與用戶授權(quán)的處理方式一致,如采取刪除或匿名化處理措施。5.8密碼要求本文件凡涉及密碼使用和管理的相關(guān)內(nèi)容,按有關(guān)標(biāo)準(zhǔn)的規(guī)定。6安全保障要求6.1供應(yīng)鏈安全網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:a)制定供應(yīng)商選擇、評定和日常管理的程序,對供應(yīng)商的開發(fā)環(huán)境、規(guī)范和人員、開發(fā)工具、安全測試和安全驗證機制等提出管理要求,以確保其提供的關(guān)鍵部件滿足安全要求,并保存對供應(yīng)商選擇、評價和日常管理的記錄;b)建立供應(yīng)鏈各環(huán)節(jié)核心要素的追溯能力,保障核心要素供應(yīng)穩(wěn)定;注:核心要素包括核心技術(shù)知識產(chǎn)權(quán)、工具及部件等。核心技術(shù)知識產(chǎn)權(quán)如源代碼、軟硬件設(shè)計圖等;工具如開發(fā)軟件、編譯軟件、測試軟件、測試儀表、管理軟件、拷機軟件等;部件如硬件機箱、操作系統(tǒng)等。c)持續(xù)開展安全意識和技能培訓(xùn)。6.2設(shè)計與開發(fā)網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:a)識別網(wǎng)絡(luò)安全專用產(chǎn)品設(shè)計和開發(fā)環(huán)節(jié)的安全風(fēng)險,進行威脅建模,制定安全策略,保障開發(fā)環(huán)境安全,制定安全開發(fā)制度和流程;注1:安全開發(fā)制度和流程包括但不限于代碼編寫規(guī)范、研發(fā)環(huán)境安全管理制度、研發(fā)人員安全管理制度、研發(fā)交付制度等。b)制定網(wǎng)絡(luò)安全專用產(chǎn)品安全功能和自身安全功能的設(shè)計文檔,該文檔描述與安全功能和自身安全功能一致;c)為網(wǎng)絡(luò)安全專用產(chǎn)品確定唯一的版本號,為配置項確定唯一標(biāo)識,建立并維護配置項列表;注2:配置項包括但不限于源代碼、工具、文檔、組件、配置信息等。d)不在產(chǎn)品中設(shè)置惡意程序、隱蔽接口或未明示功能模塊等,并通過用戶協(xié)議、產(chǎn)品說明書等途徑將所有功能模塊、接口等告知用戶;e)對網(wǎng)絡(luò)安全專用產(chǎn)品進行安全性測試。注3:安全性測試包括但不限于漏洞掃描、病毒掃描、代碼審計、滲透測試和安全功能驗證等。6.3生產(chǎn)和交付網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:a)建立和執(zhí)行規(guī)范的產(chǎn)品完整性檢測流程,采取措施防范自制或采購的組件被篡改、偽造等風(fēng)險;b)建立內(nèi)部交付和外部交付的控制程序,確保網(wǎng)絡(luò)安全專用產(chǎn)品在交付過程中不被破壞或篡改;c)向用戶明示包含在產(chǎn)品中的所有功能模塊、外部接口和私有協(xié)議,告知用戶產(chǎn)品中預(yù)置的所有賬戶和默認(rèn)口令。6.4運維服務(wù)保障網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:5GB42250—2022a)在法律法規(guī)規(guī)定或與用戶約定的期限內(nèi),為產(chǎn)品提供持續(xù)的安全維護,不單方面中斷或終止安全維護;b)保護用戶對軟件(包含固件)安裝和升級等的知情權(quán)和選擇權(quán),安裝和升級軟件時明示用戶并獲得用戶同意;c)建立和執(zhí)行針對產(chǎn)品安全缺陷、漏洞的應(yīng)急響應(yīng)機制和流程,對發(fā)現(xiàn)的產(chǎn)品安全缺陷和漏洞采取修復(fù)或替代方案等補救措施,及時告知用戶安全風(fēng)險和可用的補救措施,并向有關(guān)主管部門報告。6.5用戶信息保護網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:a)明示收集用戶信息的目的、方式、范圍、種類、存儲位置和處理方式;b)建立和執(zhí)行用戶信息管理制度和流程,在產(chǎn)品設(shè)計、生產(chǎn)、升級等各階段保障用戶信息的安全,不超范圍使用用戶信息。GB42250—2022[1]GB17859—1999