GB+42250-2022信息安全技術(shù) 網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求

ICS35.040CCSL80中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB42250—2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求Informationsecuritytechnology—2022-12-29發(fā)布2023-07-01實(shí)施國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB42250—2022前言 I引言 "1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14安全功能要求 24.1訪問控制 24.2入侵防范 24.3安全審計(jì) 24.4惡意程序防范 25自身安全要求 35.1標(biāo)識(shí)和鑒別 35.2自身訪問控制 35.3自身安全審計(jì) 35.4通信安全 35.5支撐系統(tǒng)安全 35.6產(chǎn)品升級(jí) 35.7用戶信息安全 35.8密碼要求 46安全保障要求 46.1供應(yīng)鏈安全 46.2設(shè)計(jì)與開發(fā) 46.3生產(chǎn)和交付 46.4運(yùn)維服務(wù)保障 46.5用戶信息保護(hù) 5參考文獻(xiàn) 6IGB42250—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由中華人民共和國(guó)公安部提出并歸口。GB42250—2022為落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的第二十三條而制定本文件。網(wǎng)絡(luò)安全專用產(chǎn)品按照本文件的安全技術(shù)要求和國(guó)家相關(guān)主管部門規(guī)定的其他技術(shù)規(guī)范進(jìn)行研發(fā)、生產(chǎn)、服務(wù)和檢測(cè)工作。本文件是所有網(wǎng)絡(luò)安全專用產(chǎn)品和其提供者均需滿足的基線要求。"1GB42250—2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求1范圍本文件規(guī)定了網(wǎng)絡(luò)安全專用產(chǎn)品的安全功能要求、自身安全要求與安全保障要求。本文件適用于銷售或提供的網(wǎng)絡(luò)安全專用產(chǎn)品的研發(fā)、生產(chǎn)、服務(wù)、檢測(cè)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本標(biāo)準(zhǔn);不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T25069信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。網(wǎng)絡(luò)安全專用產(chǎn)品specializedcybersecurityproducts用于保護(hù)網(wǎng)絡(luò)安全的專用硬件和軟件產(chǎn)品。注:包括以服務(wù)形式提供安全防護(hù)能力的產(chǎn)品。3.2網(wǎng)絡(luò)安全專用產(chǎn)品提供者specializedcybersecurityproductsprovider網(wǎng)絡(luò)安全專用產(chǎn)品的研發(fā)者、生產(chǎn)者或維護(hù)服務(wù)提供者。3.3安全域securitydomain遵從共同安全策略的資產(chǎn)和資源的集合。[來源:GB/T25069—2022,3.36]3.4個(gè)人信息personalinformation以電子方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。3.5用戶信息userinformation個(gè)人、法人或其他組織在安裝、使用網(wǎng)絡(luò)安全專用產(chǎn)品過程中產(chǎn)生、收集、存儲(chǔ)、傳輸、處理的電子方式記錄的信息。注:用戶信息包括網(wǎng)絡(luò)流量信息、安全狀態(tài)信息、安全配置數(shù)據(jù)、運(yùn)行過程日志等信息,也包括個(gè)人信息。2GB42250—20223.6惡意程序maliciousprogram具有破壞網(wǎng)絡(luò)和信息系統(tǒng)、干擾網(wǎng)絡(luò)和信息系統(tǒng)正常使用、竊取或惡意加密網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)等網(wǎng)絡(luò)攻擊功能的程序。注:惡意程序主要包括病毒、蠕蟲、木馬,以及其他影響主機(jī)、網(wǎng)絡(luò)或系統(tǒng)安全、穩(wěn)定運(yùn)行的程序。3.7安全缺陷securityflaw由設(shè)計(jì)、開發(fā)、配置、生產(chǎn)、運(yùn)維等階段中的錯(cuò)誤引入,可能影響網(wǎng)絡(luò)安全專用產(chǎn)品安全的弱點(diǎn)。3.8漏洞vulnerability網(wǎng)絡(luò)安全專用產(chǎn)品中能夠被威脅利用的弱點(diǎn)。4安全功能要求4.1訪問控制具有訪問控制功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應(yīng)具備下述功能:a)支持配置訪問控制策略;注:不同類型網(wǎng)絡(luò)安全專用產(chǎn)品的訪問控制策略不同。如:網(wǎng)絡(luò)型防火墻基于源地址、目的地址、源端口、目的端口和網(wǎng)絡(luò)通信協(xié)議等設(shè)置訪問控制策略;虛擬專用網(wǎng)類產(chǎn)品基于用戶安全屬性等設(shè)置訪問控制策略;安全隔離與信息交換類產(chǎn)品基于應(yīng)用層協(xié)議等設(shè)置訪問控制策略。b)支持根據(jù)訪問控制策略控制對(duì)安全域的訪問。4.2入侵防范具有入侵防范功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應(yīng)具備下述功能:a)支持對(duì)收集的信息進(jìn)行分析,發(fā)現(xiàn)入侵事件;b)在檢測(cè)到入侵事件時(shí),支持采取記錄事件、安全警告或阻斷等安全措施。4.3安全審計(jì)具有安全審計(jì)功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應(yīng)具備下述功能:a)支持監(jiān)測(cè)、記錄審計(jì)目標(biāo)的網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件;注:不同類型網(wǎng)絡(luò)安全專用產(chǎn)品的安全審計(jì)目標(biāo)不同,審計(jì)目標(biāo)通常包括主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)庫、應(yīng)用等。b)支持對(duì)事件進(jìn)行比較分析以發(fā)現(xiàn)違規(guī)、異常等行為;c)將網(wǎng)絡(luò)運(yùn)行狀態(tài)日志和網(wǎng)絡(luò)安全事件日志存儲(chǔ)于非易失性存儲(chǔ)介質(zhì)中,日志保存時(shí)間不少于六個(gè)月。4.4惡意程序防范具有惡意程序防范功能的網(wǎng)絡(luò)安全專用產(chǎn)品,應(yīng)具備下述功能:a)支持對(duì)存儲(chǔ)信息或傳輸信息進(jìn)行惡意程序檢測(cè);注:存儲(chǔ)信息包括但不限于存儲(chǔ)于主機(jī)磁盤、主機(jī)內(nèi)存、主機(jī)引導(dǎo)區(qū)、移動(dòng)存儲(chǔ)介質(zhì)中的信息;傳輸信息包括但不限于通過通信協(xié)議傳輸信道傳輸?shù)奈募?shù)據(jù)或程序代碼。b)支持針對(duì)一種或多種惡意程序家族類型進(jìn)行檢測(cè);c)支持對(duì)檢測(cè)到的惡意程序進(jìn)行阻止、刪除、修復(fù)或隔離等一種或多種形式的處理。3GB42250—20225自身安全要求5.1標(biāo)識(shí)和鑒別網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)對(duì)用戶身份進(jìn)行標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)具有唯一性;b)保障身份鑒別信息在傳輸和存儲(chǔ)過程中的保密性和完整性;c)使用口令鑒別方式時(shí),提供身份鑒別信息復(fù)雜度驗(yàn)證功能和定期更換設(shè)置功能,并支持首次管理產(chǎn)品時(shí)強(qiáng)制修改默認(rèn)口令或設(shè)置口令。5.2自身訪問控制網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)對(duì)用戶分配賬戶和權(quán)限,區(qū)分管理員角色,實(shí)現(xiàn)管理權(quán)限相互制約;b)由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對(duì)客體的訪問規(guī)則。5.3自身安全審計(jì)網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)監(jiān)測(cè)、記錄產(chǎn)品自身運(yùn)行狀態(tài)和重要操作;b)對(duì)審計(jì)日志進(jìn)行保護(hù),防止受到未預(yù)期的刪除、修改、覆蓋或丟失;c)將審計(jì)日志存儲(chǔ)于非易失性存儲(chǔ)介質(zhì)中,日志保存時(shí)間不少于六個(gè)月。5.4通信安全網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)提供安全措施保障產(chǎn)品遠(yuǎn)程管理網(wǎng)絡(luò)通信數(shù)據(jù)的保密性和完整性。5.5支撐系統(tǒng)安全網(wǎng)絡(luò)安全專用產(chǎn)品不應(yīng)包含已公開的中、高風(fēng)險(xiǎn)漏洞。注:漏洞風(fēng)險(xiǎn)等級(jí)參照國(guó)家網(wǎng)絡(luò)安全漏洞分類分級(jí)指南(如GB/T30279等標(biāo)準(zhǔn))等國(guó)家有關(guān)規(guī)定。5.6產(chǎn)品升級(jí)網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)提供升級(jí)產(chǎn)品組件的功能,包括但不限于主程序、特征庫、策略庫;b)保障升級(jí)安全,避免得到錯(cuò)誤的、偽造的升級(jí)包和補(bǔ)丁程序。5.7用戶信息安全網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)具備下述功能:a)僅收集實(shí)現(xiàn)產(chǎn)品功能所必需的用戶信息;b)在涉及個(gè)人信息處理時(shí)提供相關(guān)授權(quán)功能,在獲得授權(quán)后方能處理個(gè)人信息;注1:個(gè)人信息處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。授權(quán)功能包括但不限于個(gè)人信息收集前的授權(quán)同意、個(gè)人信息收集的授權(quán)撤回等。c)在未獲得或撤回個(gè)人信息收集授權(quán)的情況下提供與個(gè)人信息無關(guān)的安全功能;d)在涉及個(gè)人信息傳輸和存儲(chǔ)的過程中保障個(gè)人信息的保密性和完整性;e)在涉及個(gè)人信息存儲(chǔ)時(shí)提供對(duì)超出保存期限個(gè)人信息的處理功能。4GB42250—2022注2:對(duì)超出保存期限個(gè)人信息的處理方式應(yīng)與用戶授權(quán)的處理方式一致,如采取刪除或匿名化處理措施。5.8密碼要求本文件凡涉及密碼使用和管理的相關(guān)內(nèi)容,按有關(guān)標(biāo)準(zhǔn)的規(guī)定。6安全保障要求6.1供應(yīng)鏈安全網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:a)制定供應(yīng)商選擇、評(píng)定和日常管理的程序,對(duì)供應(yīng)商的開發(fā)環(huán)境、規(guī)范和人員、開發(fā)工具、安全測(cè)試和安全驗(yàn)證機(jī)制等提出管理要求,以確保其提供的關(guān)鍵部件滿足安全要求,并保存對(duì)供應(yīng)商選擇、評(píng)價(jià)和日常管理的記錄;b)建立供應(yīng)鏈各環(huán)節(jié)核心要素的追溯能力,保障核心要素供應(yīng)穩(wěn)定;注:核心要素包括核心技術(shù)知識(shí)產(chǎn)權(quán)、工具及部件等。核心技術(shù)知識(shí)產(chǎn)權(quán)如源代碼、軟硬件設(shè)計(jì)圖等;工具如開發(fā)軟件、編譯軟件、測(cè)試軟件、測(cè)試儀表、管理軟件、拷機(jī)軟件等;部件如硬件機(jī)箱、操作系統(tǒng)等。c)持續(xù)開展安全意識(shí)和技能培訓(xùn)。6.2設(shè)計(jì)與開發(fā)網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:a)識(shí)別網(wǎng)絡(luò)安全專用產(chǎn)品設(shè)計(jì)和開發(fā)環(huán)節(jié)的安全風(fēng)險(xiǎn),進(jìn)行威脅建模,制定安全策略,保障開發(fā)環(huán)境安全,制定安全開發(fā)制度和流程;注1:安全開發(fā)制度和流程包括但不限于代碼編寫規(guī)范、研發(fā)環(huán)境安全管理制度、研發(fā)人員安全管理制度、研發(fā)交付制度等。b)制定網(wǎng)絡(luò)安全專用產(chǎn)品安全功能和自身安全功能的設(shè)計(jì)文檔,該文檔描述與安全功能和自身安全功能一致;c)為網(wǎng)絡(luò)安全專用產(chǎn)品確定唯一的版本號(hào),為配置項(xiàng)確定唯一標(biāo)識(shí),建立并維護(hù)配置項(xiàng)列表;注2:配置項(xiàng)包括但不限于源代碼、工具、文檔、組件、配置信息等。d)不在產(chǎn)品中設(shè)置惡意程序、隱蔽接口或未明示功能模塊等,并通過用戶協(xié)議、產(chǎn)品說明書等途徑將所有功能模塊、接口等告知用戶;e)對(duì)網(wǎng)絡(luò)安全專用產(chǎn)品進(jìn)行安全性測(cè)試。注3:安全性測(cè)試包括但不限于漏洞掃描、病毒掃描、代碼審計(jì)、滲透測(cè)試和安全功能驗(yàn)證等。6.3生產(chǎn)和交付網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:a)建立和執(zhí)行規(guī)范的產(chǎn)品完整性檢測(cè)流程,采取措施防范自制或采購的組件被篡改、偽造等風(fēng)險(xiǎn);b)建立內(nèi)部交付和外部交付的控制程序,確保網(wǎng)絡(luò)安全專用產(chǎn)品在交付過程中不被破壞或篡改;c)向用戶明示包含在產(chǎn)品中的所有功能模塊、外部接口和私有協(xié)議,告知用戶產(chǎn)品中預(yù)置的所有賬戶和默認(rèn)口令。6.4運(yùn)維服務(wù)保障網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:5GB42250—2022a)在法律法規(guī)規(guī)定或與用戶約定的期限內(nèi),為產(chǎn)品提供持續(xù)的安全維護(hù),不單方面中斷或終止安全維護(hù);b)保護(hù)用戶對(duì)軟件(包含固件)安裝和升級(jí)等的知情權(quán)和選擇權(quán),安裝和升級(jí)軟件時(shí)明示用戶并獲得用戶同意;c)建立和執(zhí)行針對(duì)產(chǎn)品安全缺陷、漏洞的應(yīng)急響應(yīng)機(jī)制和流程,對(duì)發(fā)現(xiàn)的產(chǎn)品安全缺陷和漏洞采取修復(fù)或替代方案等補(bǔ)救措施,及時(shí)告知用戶安全風(fēng)險(xiǎn)和可用的補(bǔ)救措施,并向有關(guān)主管部門報(bào)告。6.5用戶信息保護(hù)網(wǎng)絡(luò)安全專用產(chǎn)品提供者應(yīng)滿足以下安全保障要求:a)明示收集用戶信息的目的、方式、范圍、種類、存儲(chǔ)位置和處理方式;b)建立和執(zhí)行用戶信息管理制度和流程,在產(chǎn)品設(shè)計(jì)、生產(chǎn)、升級(jí)等各階段保障用戶信息的安全,不超范圍使用用戶信息。GB42250—2022[1]GB17859—1999