(高清版)GB∕T 39276-2020 信息安全技術(shù) 網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通 用要求

ICS35.040L80中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)信息安全技術(shù)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求I—Gv國(guó)家市場(chǎng)監(jiān)督管理總局國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)GB／T39276—2020 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4概述 5安全通用要求 5.1基本級(jí)安全通用要求 5.2增強(qiáng)級(jí)安全通用要求 參考文獻(xiàn) ⅠGB／T39276—2020本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本標(biāo)準(zhǔn)起草單位：中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、北京賽西科技發(fā)展有限責(zé)任公司、公安部第三研究所、中國(guó)信息安全測(cè)評(píng)中心、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國(guó)家信息技術(shù)安全研究中心、中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院、中國(guó)科學(xué)院信息工程研究所、中國(guó)信息通信研究院、國(guó)家信息中心、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心、中電數(shù)據(jù)服務(wù)有限公司、中國(guó)軟件評(píng)測(cè)中心、工業(yè)和信息化部電子第五研究所、中國(guó)電子科技集團(tuán)公司第十五研究所、中國(guó)科學(xué)院軟件研究所、公安部第一研究所、阿里巴巴（北京）軟件服務(wù)有限公司、聯(lián)想（北京）有限公司、阿里云計(jì)算有限公司、浪潮電子信息產(chǎn)業(yè)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、華為技術(shù)有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、中國(guó)電力科學(xué)研究院有限公司、北京神州綠盟科技有限公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、北京奇虎科技有限公司、北京威努特技術(shù)有限公司、山谷網(wǎng)安科技股份有限公司、國(guó)家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、新華三技術(shù)有限公司、浙江螞蟻小微金融服務(wù)集團(tuán)股份有限公司、深信服科技股份有限公司、西門子（中國(guó)）有限公司、奇安信科技集團(tuán)股份有限公司。本標(biāo)準(zhǔn)主要起草人：劉賢剛、李京春、顧健、李斌、李嵩、葉潤(rùn)國(guó)、孫彥、謝安明、胡影、王闖、許東陽(yáng)、高金萍、宋好好、周開(kāi)波、舒敏、吳迪、劉蓓、何延哲、方進(jìn)社、崔寧寧、周亞超、張寶峰、布寧、任澤君、申永波、李汝鑫、樊洞陽(yáng)、雷曉鋒、鮑旭華、程廣明、郭永振、白曉媛、趙江、杜曉黎、史崗、韓煜、董晶晶、1GB／T39276—2020信息安全技術(shù)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)滿足的安全通用要求，包括安全功能要求和安全保障要求。本標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者進(jìn)行網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全設(shè)計(jì)、安全實(shí)現(xiàn)和安全運(yùn)行，也可用于指導(dǎo)第三方測(cè)評(píng)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行安全測(cè)評(píng)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語(yǔ)3術(shù)語(yǔ)和定義GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)。3.2作為網(wǎng)絡(luò)組成部分以及實(shí)現(xiàn)網(wǎng)絡(luò)功能的硬件、軟件或系統(tǒng)，按照一定的規(guī)則和程序?qū)崿F(xiàn)信息的收集、存儲(chǔ)、傳輸、交換和處理。注：網(wǎng)絡(luò)產(chǎn)品包括計(jì)算機(jī)、通信設(shè)備、信息終端、工控網(wǎng)絡(luò)設(shè)備、系統(tǒng)軟件和應(yīng)用軟件等。3.3與個(gè)人、法人或其他組織有關(guān)的信息，以及定義和描述此類信息的數(shù)據(jù)。注：用戶信息包括個(gè)人信息，用戶生成的文檔、程序、多媒體資料，用戶通信的內(nèi)容、地址、時(shí)間，產(chǎn)品的配置、運(yùn)行及位置數(shù)據(jù)，系統(tǒng)運(yùn)行過(guò)程產(chǎn)生的日志等。3.4用于實(shí)施網(wǎng)絡(luò)攻擊、干擾網(wǎng)絡(luò)和信息系統(tǒng)正常使用、破壞網(wǎng)絡(luò)和信息系統(tǒng)、竊取網(wǎng)絡(luò)和系統(tǒng)數(shù)據(jù)等行為的程序。注：惡意程序主要包括病毒、蠕蟲(chóng)、木馬，以及其他影響主機(jī)、網(wǎng)絡(luò)或系統(tǒng)安全、穩(wěn)定運(yùn)行的程序。3.5由設(shè)計(jì)、開(kāi)發(fā)、配置、生產(chǎn)、運(yùn)維等階段中的問(wèn)題引入，可能影響網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全的弱點(diǎn)。2GB／T39276—20203.6網(wǎng)絡(luò)產(chǎn)品和服務(wù)中能夠被威脅利用的弱點(diǎn)。注：改寫GB/T25069—2010,定義2.3.30。網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全直接影響到其支撐的網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)產(chǎn)品和服務(wù)在研發(fā)、生產(chǎn)、交付、服務(wù)提供或運(yùn)維過(guò)程中可能引入安全隱患，導(dǎo)致信息泄露、數(shù)據(jù)篡改、服務(wù)中斷、不當(dāng)控制等安全風(fēng)險(xiǎn)。為了減少網(wǎng)絡(luò)產(chǎn)品和服務(wù)中的常見(jiàn)安全風(fēng)險(xiǎn)，提升用戶對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)在安全性方面的信心，網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)采取相應(yīng)安全措施，實(shí)現(xiàn)以下安全目標(biāo)：風(fēng)險(xiǎn)；的安全風(fēng)險(xiǎn)；安全風(fēng)險(xiǎn)；惡意控制用戶的網(wǎng)絡(luò)產(chǎn)品和服務(wù)、非授權(quán)獲取用戶信息，以及利用用戶對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的依賴實(shí)施不正當(dāng)競(jìng)爭(zhēng)或損害用戶利益的風(fēng)險(xiǎn)。本標(biāo)準(zhǔn)從安全功能和安全保障兩個(gè)方面規(guī)范網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全通用要求。安全功能和安全保5安全通用要求5.1基本級(jí)安全通用要求具有用戶身份標(biāo)識(shí)和鑒別功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：；c口令；具有授權(quán)與訪問(wèn)控制功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：制策略；安全；c3GB／T39276—2020具有日志記錄與審計(jì)功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：具有用戶信息收集、處理等功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：后，方可收集用戶信息；采用了密碼技術(shù)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)符合國(guó)家密碼管理相關(guān)規(guī)定。網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者應(yīng)：的風(fēng)險(xiǎn)；授權(quán)和控制；件的設(shè)計(jì)和開(kāi)發(fā)安全；塊）進(jìn)行安全測(cè)試；漏洞，制定并實(shí)施在用戶側(cè)進(jìn)行緊急修復(fù)的安全管理流程。網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)：但不限于對(duì)使用的第三方軟硬件模塊進(jìn)行安全性檢測(cè)等；于人機(jī)接口、調(diào)試接口等；4GB／T39276—2020留有或者設(shè)置漏洞、后門、木馬等程序和功能。網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)：運(yùn)行和維護(hù)階段暴露的安全缺陷、漏洞進(jìn)行響應(yīng)；網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度等相關(guān)規(guī)定，及時(shí)告知用戶安全風(fēng)險(xiǎn)，并向有關(guān)主管部門報(bào)告；更、產(chǎn)權(quán)變更等原因單方面中斷或終止安全維護(hù)；個(gè)人信息的情形時(shí)，應(yīng)主動(dòng)或在用戶要求下刪除個(gè)人信息；制或誘導(dǎo)用戶安裝或升級(jí)用戶不知情的軟件。5.2增強(qiáng)級(jí)安全通用要求具有用戶身份標(biāo)識(shí)和鑒別功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：；c口令；戶會(huì)話連接超時(shí)自動(dòng)退出用戶會(huì)話等。具有授權(quán)與訪問(wèn)控制功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：制策略；安全；c具有日志記錄與審計(jì)功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：5GB／T39276—2020具有信息通信安全保護(hù)功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：具有用戶信息收集、處理等功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：后，方可收集用戶信息；采用了密碼技術(shù)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)符合國(guó)家密碼管理相關(guān)規(guī)定。5.2.2安全保障要求網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者應(yīng)：的風(fēng)險(xiǎn)；授權(quán)和控制；件的設(shè)計(jì)和開(kāi)發(fā)安全；塊）進(jìn)行安全測(cè)試；漏洞，制定并實(shí)施在用戶側(cè)進(jìn)行緊急修復(fù)的安全管理流程；網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)：6GB／T39276—2020但不限于對(duì)使用的第三方軟硬件模塊進(jìn)行安全性檢測(cè)等；于人機(jī)接口、調(diào)試接口等；留有或者設(shè)置漏洞、后門、木馬等程序和功能；和服務(wù)交付過(guò)程中的安全風(fēng)險(xiǎn)；過(guò)程中涉及的各用戶角色和安全責(zé)任，給出風(fēng)險(xiǎn)提示和應(yīng)急響應(yīng)措施。網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)：運(yùn)行和維護(hù)階段暴露的安全缺陷、漏洞進(jìn)行響應(yīng)。網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度等相關(guān)規(guī)定，及時(shí)告知用戶安全風(fēng)險(xiǎn)，并向有關(guān)主管部門報(bào)告。更、產(chǎn)權(quán)變更等原因單方面中斷或終止安全維護(hù)。個(gè)人信息的情形時(shí)，應(yīng)主動(dòng)或在用戶要求下刪除個(gè)人信息。并獲得用戶同意，允許用戶卸載或禁用完成業(yè)務(wù)目標(biāo)所必備產(chǎn)品核心功能之外的軟件，不得強(qiáng)制或誘導(dǎo)用戶安裝或升級(jí)用戶不知情的軟件。影響。信息。提供中止網(wǎng)絡(luò)產(chǎn)品遠(yuǎn)程維護(hù)的方式。遠(yuǎn)程維護(hù)中止或結(jié)束時(shí)，遠(yuǎn)程維護(hù)權(quán)限自動(dòng)撤銷。用戶查閱。等，獲得用戶授權(quán)同意后方可實(shí)施升級(jí)，允許用戶選擇不接受升級(jí)。法或工具。GB／T39276—2020[1]GB/T18336.1—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型[2]GB/T18336.2—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第2部分：安全功能組件[3]GB/T18336.3—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第3部分：安全保障組件[4]GB/T28827.1—2012信息技術(shù)服務(wù)運(yùn)行維護(hù)第1部分：通用要求[5]GB/T28827.2—2012信息技術(shù)服務(wù)運(yùn)行維護(hù)第2部分：交付規(guī)范[6]G