《信息安全技術(shù) 辦公設(shè)備安全規(guī)范》編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)辦公設(shè)備安全規(guī)范》

（征求意見(jiàn)稿）編制說(shuō)明

一、工作簡(jiǎn)況

1、任務(wù)來(lái)源

根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2023年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，《信息安全

技術(shù)辦公設(shè)備安全規(guī)范》由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院負(fù)責(zé)承辦。該標(biāo)準(zhǔn)由全

國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱“信安標(biāo)委”）歸口管理，國(guó)標(biāo)委計(jì)劃號(hào)為

計(jì)劃號(hào)20230251-T-469。

2、標(biāo)準(zhǔn)編制的主要成員單位

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院負(fù)責(zé)起草，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中

心、國(guó)家信息技術(shù)安全研究中心、珠海奔圖電子有限公司、北京大學(xué)、愛(ài)普生（中

國(guó)）有限公司、富士膠片商業(yè)創(chuàng)新（中國(guó)）有限公司、長(zhǎng)揚(yáng)科技（北京）股份有

限公司、中國(guó)惠普有限公司、聯(lián)想（北京）有限公司、啟明星辰信息技術(shù)集團(tuán)股

份有限公司、柯尼卡美能達(dá)（中國(guó)）投資有限公司、佳能（中國(guó)）有限公司、廣

電計(jì)量檢測(cè)集團(tuán)股份有限公司、國(guó)家辦公設(shè)備及耗材質(zhì)量檢驗(yàn)檢測(cè)中心（天津天

復(fù)檢測(cè)技術(shù)有限公司）、理想（中國(guó)）科學(xué)工業(yè)有限公司、北京高德品創(chuàng)科技有

限公司、夏普辦公設(shè)備（常熟）有限公司、珠海天威飛馬打印耗材有限公司、兄

弟（中國(guó)）商業(yè)有限公司、杭州安恒信息技術(shù)股份有限公司、東芝泰格信息系統(tǒng)

（深圳）有限公司、新華三技術(shù)有限公司、北京數(shù)安行科技有限公司、北京中科

微瀾科技有限公司、天津光電通信技術(shù)有限公司、中國(guó)科學(xué)院軟件研究所、國(guó)網(wǎng)

區(qū)塊鏈科技（北京）有限公司等單位共同參與了該標(biāo)準(zhǔn)的起草工作。

3、主要工作過(guò)程

1、2022年10月30日，信安標(biāo)委發(fā)布“2022年網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)立項(xiàng)通

知”，《信息安全技術(shù)辦公設(shè)備安全規(guī)范》國(guó)家標(biāo)準(zhǔn)修訂項(xiàng)目立項(xiàng)。

2、2022年11月15日，牽頭單位在信安標(biāo)委網(wǎng)站公開(kāi)發(fā)布征集參編單位

的通知，征集編制單位38家。

3、2022年12月9日，牽頭單位組織編制組召開(kāi)工作會(huì)議，38家單位參

1

與，會(huì)后共收到編制組內(nèi)部反饋意見(jiàn)建議480條。

4、2023年3月，國(guó)標(biāo)委下達(dá)標(biāo)準(zhǔn)修訂計(jì)劃，修訂標(biāo)準(zhǔn)名稱為《信息安全

技術(shù)辦公設(shè)備安全規(guī)范》，項(xiàng)目周期為16個(gè)月，計(jì)劃號(hào)為：20230251-T-469。

5、2023年5月23日，牽頭單位組織召開(kāi)工作會(huì)議，37家單位參會(huì)，對(duì)

編制組內(nèi)部反饋意見(jiàn)進(jìn)行討論。

6、2023年5月30日，牽頭單位組織召開(kāi)編制組研討會(huì)，會(huì)上邀請(qǐng)WG5

工作組專(zhuān)家參與編制組討論，14家單位參會(huì)，會(huì)上對(duì)安全技術(shù)要求5項(xiàng)條款的

修改方案形成一致意見(jiàn)。

7、2023年5月31日，牽頭單位在WG5工作組全會(huì)匯報(bào)標(biāo)準(zhǔn)編制進(jìn)展。經(jīng)

WG5全會(huì)通過(guò)，同意推進(jìn)至征求意見(jiàn)稿階段。

8、2023年6月30日，牽頭單位組織召開(kāi)編制組研討會(huì)，23家單位參會(huì)，

會(huì)上對(duì)安全技術(shù)要求10項(xiàng)條款的修改方案形成一致意見(jiàn)。

9、2023年7月13日，牽頭單位組織召開(kāi)編制組研討會(huì)，24家單位參會(huì)，

會(huì)上對(duì)安全技術(shù)要求15項(xiàng)條款的修改方案形成一致意見(jiàn)。

10、2023年8月25日，牽頭單位組織召開(kāi)編制組研討會(huì)，24家單位參會(huì)，

會(huì)上對(duì)6項(xiàng)安全要求條款和8項(xiàng)測(cè)評(píng)方法條款形成一致意見(jiàn)。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題

1、編制原則

本標(biāo)準(zhǔn)的編制原則是：

1）通用性

本標(biāo)準(zhǔn)擬提出辦公設(shè)備的安全技術(shù)要求和測(cè)評(píng)方法，適用于指導(dǎo)辦公設(shè)備的

安全采購(gòu)、測(cè)評(píng)、維護(hù)和管理。

2）可行性

本標(biāo)準(zhǔn)研制過(guò)程中，廣泛征集辦公設(shè)備廠商、測(cè)評(píng)機(jī)構(gòu)參與編制討論，吸取

行業(yè)先進(jìn)經(jīng)驗(yàn)，確保條款內(nèi)容的可行性。

3）一致性

符合國(guó)家相關(guān)法律法規(guī)與政策文件，與現(xiàn)行標(biāo)準(zhǔn)規(guī)范協(xié)調(diào)一致。

2、確定主要內(nèi)容的依據(jù)

標(biāo)準(zhǔn)制定依據(jù)：

a）標(biāo)準(zhǔn)格式按照GB/T1.1—2020要求編寫(xiě)。

2

b）本標(biāo)準(zhǔn)制定參考以下國(guó)家標(biāo)準(zhǔn)：

GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

3、解決的主要問(wèn)題

1）修訂背景

辦公設(shè)備在敏感信息泄露、遠(yuǎn)程拒絕服務(wù)、跨站腳本漏洞等方面安全風(fēng)險(xiǎn)

突出。CNCERT發(fā)布的聯(lián)網(wǎng)打印機(jī)安全態(tài)勢(shì)研究報(bào)告指出打印機(jī)安全漏洞數(shù)量

呈逐年上升趨勢(shì)，截止2018年底，CNVD共發(fā)布涉及打印機(jī)產(chǎn)品的漏洞信息174

項(xiàng)，中高危漏洞占比超過(guò)80%。

目前，美國(guó)、歐盟等在立法層面不斷強(qiáng)化對(duì)網(wǎng)絡(luò)產(chǎn)品、軟件產(chǎn)品的安全性

要求，IEEE、NIST均針對(duì)辦公設(shè)備提出了相關(guān)的安全要求標(biāo)準(zhǔn)，保障辦公設(shè)備

安全性。

GB/T29244—2012《信息安全技術(shù)辦公設(shè)備基本安全要求》于2012年發(fā)

布，隨著技術(shù)發(fā)展，辦公設(shè)備相關(guān)安全技術(shù)不斷更新，原標(biāo)準(zhǔn)技術(shù)內(nèi)容難以有效

應(yīng)對(duì)當(dāng)前辦公設(shè)備面臨的安全風(fēng)險(xiǎn)。因此，本標(biāo)準(zhǔn)修訂工作旨在應(yīng)用辦公設(shè)備領(lǐng)

域最新安全技術(shù)，通過(guò)明確辦公設(shè)備安全功能要求和安全保障要求，強(qiáng)化辦公設(shè)

備安全防護(hù)能力，有效應(yīng)對(duì)安全風(fēng)險(xiǎn)。

2）標(biāo)準(zhǔn)主要內(nèi)容

本標(biāo)準(zhǔn)主要內(nèi)容如下：

前言

本標(biāo)準(zhǔn)代替GB/T29244—2012《信息安全技術(shù)辦公設(shè)備基本安全要求》和

GB/T38558—2020《信息安全技術(shù)辦公設(shè)備安全測(cè)試方法》，與GB/T29244—

2012和GB/T38558—2020相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如

下：

——整合了GB/T29244—2012和GB/T38558—2020兩項(xiàng)標(biāo)準(zhǔn)的內(nèi)容，修

改標(biāo)準(zhǔn)名稱為“信息安全技術(shù)辦公設(shè)備安全規(guī)范”

——增加了概述和規(guī)范性附錄，明確了辦公設(shè)備安全等級(jí)劃分（見(jiàn)第5章、

附錄A、附錄B）

——更改了術(shù)語(yǔ)和定義（見(jiàn)第3章，GB/T29244—2012的第3章）；

3

——增加了“固件安全”相關(guān)要求（見(jiàn)6.1.3）和對(duì)應(yīng)測(cè)評(píng)方法（見(jiàn)7.1.3）；

——增加了“安全保障要求”和對(duì)應(yīng)測(cè)評(píng)方法（見(jiàn)6.2和7.2）；

——修改“安全審計(jì)”為“日志記錄與審計(jì)”(見(jiàn)6.1.4，GB/T29244—2012

的4.3)。

——修改“會(huì)話”為“通信安全”(見(jiàn)6.1.6，GB/T29244—2012的4.5)。

——修改“數(shù)據(jù)管理”為“用戶數(shù)據(jù)安全”(見(jiàn)6.1.5，GB/T29244—2012

的5.2)。

——修改“安全屬性管理”為“配置安全”(見(jiàn)6.1.8，GB/T29244—2012

的5.1)。

第1章范圍

本標(biāo)準(zhǔn)規(guī)定了辦公設(shè)備的安全技術(shù)要求和測(cè)評(píng)方法。

本標(biāo)準(zhǔn)適用于辦公設(shè)備的安全采購(gòu)、測(cè)評(píng)、維護(hù)和管理。

第2章規(guī)范性引用文件

GB/T18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則

GB/T25069信息安全技術(shù)術(shù)語(yǔ)

第3章術(shù)語(yǔ)和定義

GB/T18336和GB/T25069中確定的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。

3.1辦公設(shè)備officedevice

用于產(chǎn)生或處理電子或其他媒體文件的設(shè)備。

注：本標(biāo)準(zhǔn)所指辦公設(shè)備主要是指具有打印、掃描、傳真、復(fù)印中的一項(xiàng)或多項(xiàng)功

能的設(shè)備產(chǎn)品。

3.2管理員administrator

被授權(quán)管理辦公設(shè)備的某些部分或所有部分的用戶，其行為可能影響安全

功能策略。

3.3用戶user

辦公設(shè)備之外，與辦公設(shè)備進(jìn)行交互的實(shí)體（人或信息技術(shù)實(shí)體）。

3.4用戶數(shù)據(jù)userdata

由用戶創(chuàng)建或?yàn)橛脩舳鴦?chuàng)建，且不影響辦公設(shè)備安全功能運(yùn)行的數(shù)據(jù)。

注：用戶數(shù)據(jù)包括用戶文檔數(shù)據(jù)和用戶功能數(shù)據(jù)。

4

3.5非易失性存儲(chǔ)nonvolatilestorage

存儲(chǔ)的數(shù)據(jù)不因電源關(guān)閉而丟失的裝置。

注：非易失性存儲(chǔ)主要包括內(nèi)置或者外接的硬盤(pán)、U盤(pán)、SD卡、FLASH。

3.6固件firmware

內(nèi)置于辦公設(shè)備，實(shí)現(xiàn)辦公設(shè)備接口通信、安全功能、數(shù)據(jù)解析、圖像處理、

引擎控制等的程序。

3.7主控制芯片masterchip

內(nèi)置于辦公設(shè)備，負(fù)責(zé)數(shù)據(jù)解析、圖像處理、作業(yè)管理和控制打印頭并直接

輸出二進(jìn)制影像數(shù)據(jù)的集成電路器件。

3.8數(shù)據(jù)控制板datacontrolboard

內(nèi)置于辦公設(shè)備，集成了主控制芯片且負(fù)責(zé)數(shù)據(jù)控制功能的電路板。

注：數(shù)據(jù)控制功能包括數(shù)據(jù)通信，作業(yè)分配管理，作業(yè)數(shù)據(jù)解析，打印、復(fù)印、掃

描數(shù)據(jù)的圖像處理，二進(jìn)制影像數(shù)據(jù)的輸出控制等。

第4章縮略語(yǔ)

下列縮略語(yǔ)適用于本標(biāo)準(zhǔn)。

IP：因特網(wǎng)協(xié)議（Internetprotocol）

MAC地址：媒體訪問(wèn)控制（mediaaccesscontroladdress）

PIN：個(gè)人標(biāo)識(shí)碼（personalidentificationnumber）

SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(simplenetworkmanagementprotocol)

第5章概述

辦公設(shè)備的安全技術(shù)要求包括安全功能要求和安全保障要求。其中，安全

功能要求是對(duì)產(chǎn)品應(yīng)具備的安全功能提出的具體要求。安全保障要求針對(duì)產(chǎn)品的

生命周期過(guò)程提出具體的保障要求。

本標(biāo)準(zhǔn)將辦公設(shè)備的安全等級(jí)分為基本級(jí)和增強(qiáng)級(jí)。安全功能的強(qiáng)弱，以

及安全保障要求的高低是辦公設(shè)備安全等級(jí)劃分的依據(jù)。辦公設(shè)備具體安全功能

和等級(jí)劃分應(yīng)符合附錄A的要求，測(cè)評(píng)方法及等級(jí)劃分應(yīng)符合附錄B的要求。

第6章安全技術(shù)要求

6.1節(jié)安全功能要求包括：

6.1.1標(biāo)識(shí)和鑒別；

5

6.1.2訪問(wèn)控制；

6.1.3固件安全；

6.1.4日志記錄與審計(jì)；

6.1.5用戶數(shù)據(jù)安全；

6.1.6通信安全；

6.1.7非易失性存儲(chǔ)器安全；

6.1.8配置安全。

6.2安全保障要求包括：

6.2.1設(shè)計(jì)和開(kāi)發(fā)；

6.2.2生產(chǎn)和交付；

6.2.3運(yùn)行和維護(hù)；

6.2.4供應(yīng)鏈安全。

第6章安全技術(shù)要求提出了辦公設(shè)備應(yīng)滿足的安全功能要求和安全保障要

求。

第7章測(cè)評(píng)方法

7.1節(jié)安全功能要求測(cè)評(píng)方法包括：

7.1.1標(biāo)識(shí)和鑒別；

7.1.2訪問(wèn)控制；

7.1.3固件安全；

7.1.4日志記錄與審計(jì)；

7.1.5用戶安全數(shù)據(jù)；

7.1.6通信安全；

7.1.7非易失性存儲(chǔ)器安全；

7.1.8配置安全。

7.2安全保障要求測(cè)評(píng)方法包括：

7.2.1設(shè)計(jì)和開(kāi)發(fā)；

7.2.2生產(chǎn)和交付；

7.2.3運(yùn)行和維護(hù)；

7.2.4供應(yīng)鏈安全。

6

第7章測(cè)評(píng)方法對(duì)辦公設(shè)備應(yīng)滿足的安全功能要求和安全保障要求提出具

體測(cè)試評(píng)價(jià)方法。

附錄A（規(guī)范性附錄）辦公設(shè)備安全功能要求和安全保障要求表

本附錄分別列出具有打印、掃描、傳真、復(fù)印功能的辦公設(shè)備安全技術(shù)要

求，明確了各類(lèi)辦公設(shè)備基本級(jí)和增強(qiáng)級(jí)安全技術(shù)要求的最小集合。

附錄B（規(guī)范性附錄）辦公設(shè)備安全功能要求測(cè)評(píng)方法和安全保障要求測(cè)

評(píng)方法表

本附錄根據(jù)附錄A的要求，分別列出具有打印、掃描、傳真、復(fù)印功能的

辦公設(shè)備相關(guān)要求對(duì)應(yīng)的測(cè)評(píng)方法。

3）編制思路

對(duì)于基本級(jí)和增強(qiáng)級(jí)的分級(jí)原則方面，辦公設(shè)備安全功能的強(qiáng)弱，以及安

全保障要求的高低是辦公設(shè)備安全等級(jí)的劃分依據(jù)。本標(biāo)準(zhǔn)所指辦公設(shè)備主要是

指具有打印、掃描、傳真、復(fù)印中的一項(xiàng)或多項(xiàng)功能的設(shè)備產(chǎn)品，編制組在規(guī)范

性附錄中分別給出具有打印功能、掃描功能、復(fù)印功能和傳真功能的辦公設(shè)備在

基本級(jí)和增強(qiáng)級(jí)應(yīng)滿足的安全技術(shù)要求和測(cè)評(píng)方法。

對(duì)于基本級(jí)和增強(qiáng)級(jí)的適用場(chǎng)景方面，用戶可根據(jù)產(chǎn)品功能需求、產(chǎn)品使

用環(huán)境等，依據(jù)本標(biāo)準(zhǔn)提出的安全功能要求和安全保障要求自行選擇。

三、主要試驗(yàn)情況分析

本標(biāo)準(zhǔn)依托辦公設(shè)備廠商、測(cè)評(píng)機(jī)構(gòu)等，對(duì)本標(biāo)準(zhǔn)條款內(nèi)容的適用性、可落地

性開(kāi)展驗(yàn)證。

四、知識(shí)產(chǎn)權(quán)情況說(shuō)明

本標(biāo)準(zhǔn)不涉及專(zhuān)利及知識(shí)產(chǎn)權(quán)問(wèn)題。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

本標(biāo)準(zhǔn)規(guī)定了辦公設(shè)備的安全技術(shù)要求和測(cè)評(píng)方法，適用于辦公設(shè)備的安

全采購(gòu)、測(cè)評(píng)、維護(hù)和管理。

本標(biāo)準(zhǔn)可指導(dǎo)辦公設(shè)備廠商開(kāi)展安全能力建設(shè)，切實(shí)降低辦公設(shè)備在敏感

信息泄露、遠(yuǎn)程拒絕服務(wù)、跨站腳本漏洞等方面的安全風(fēng)險(xiǎn)；同時(shí)，標(biāo)準(zhǔn)可指導(dǎo)

測(cè)評(píng)機(jī)構(gòu)開(kāi)展辦公設(shè)備測(cè)評(píng)工作。

7

六