书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ３９２７６ — ２０２０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G28 /G29 /G2A /G2B /G2C /G2D /G23 /G24 /G2E /G2F /G30 /G31 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犌犲狀犲狉犪犾狊犲犮狌狉犻狋狔狉犲狇狌犻狉犲犿犲狀狋狊狅犳狀犲狋狑狅狉犽狆狉狅犱狌犮狋狊犪狀犱狊犲狉狏犻犮犲狊 ２０２０  １１  １９ /G32 /G33 ２０２１  ０６  ０１ /G34 /G35 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G32 /G33目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 概述 ２ ……………………………………………………………………………………………………… ５ 　 安全通用要求 ２ …………………………………………………………………………………………… 　 ５．１ 　 基本级安全通用要求 ２ ……………………………………………………………………………… 　 ５．２ 　 增强级安全通用要求 ４ ……………………………………………………………………………… 参考文献 ７ ……………………………………………………………………………………………………… 犌犅 ／ 犜 ３９２７６ — ２０２０ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 中国电子技术标准化研究院 、 北京赛西科技发展有限责任公司 、 公安部第三研究所 、 中国信息安全测评中心 、 中国网络安全审查技术与认证中心 、 国家信息技术安全研究中心 、 中国电子信息产业发展研究院 、 中国科学院信息工程研究所 、 中国信息通信研究院 、 国家信息中心 、 国家计算机网络与信息安全管理中心 、 中电数据服务有限公司 、 中国软件评测中心 、 工业和信息化部电子第五研究所 、 中国电子科技集团公司第十五研究所 、 中国科学院软件研究所 、 公安部第一研究所 、 阿里巴巴 （ 北京 ） 软件服务有限公司 、 联想 （ 北京 ） 有限公司 、 阿里云计算有限公司 、 浪潮电子信息产业股份有限公司 、 北京天融信网络安全技术有限公司 、 华为技术有限公司 、 启明星辰信息技术集团股份有限公司 、 中国电力科学研究院有限公司 、 北京神州绿盟科技有限公司 、 深圳市腾讯计算机系统有限公司 、 北京奇虎科技有限公司 、 北京威努特技术有限公司 、 山谷网安科技股份有限公司 、 国家应用软件产品质量监督检验中心 、 新华三技术有限公司 、 浙江蚂蚁小微金融服务集团股份有限公司 、 深信服科技股份有限公司 、 西门子 （ 中国 ） 有限公司 、 奇安信科技集团股份有限公司 。 本标准主要起草人 ： 刘贤刚 、 李京春 、 顾健 、 李斌 、 李嵩 、 叶润国 、 孙彦 、 谢安明 、 胡影 、 王闯 、 许东阳 、 高金萍 、 宋好好 、 周开波 、 舒敏 、 吴迪 、 刘蓓 、 何延哲 、 方进社 、 崔宁宁 、 周亚超 、 张宝峰 、 布宁 、 任泽君 、 申永波 、 李汝鑫 、 樊洞阳 、 雷晓锋 、 鲍旭华 、 程广明 、 郭永振 、 白晓媛 、 赵江 、 杜晓黎 、 史岗 、 韩煜 、 董晶晶 、 刘玉岭 、 李凌 、 李娜 、 严妍 、 徐雨晴 、 张屹 、 焦玉峰 、 代威 、 石凌志 、 钟建伟 、 姚金龙 、 宋铮 、 闫韬 、 郭旭 、 王晖 。 Ⅰ 犌犅 ／ 犜 ３９２７６ — ２０２０ 信息安全技术网络产品和服务安全通用要求 １ 　 范围 本标准规定了网络产品和服务应满足的安全通用要求 ， 包括安全功能要求和安全保障要求 。 本标准适用于网络产品和服务提供者进行网络产品和服务的安全设计 、 安全实现和安全运行 ， 也可用于指导第三方测评机构对网络产品和服务进行安全测评 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ２５０６９ 　 信息安全技术 　 术语 ３ 　 术语和定义 ＧＢ ／ Ｔ２５０６９ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 　 网络 　 狀犲狋狑狅狉犽 由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集 、 存储 、 传输 、 交换 、 处理的系统 。 ３ ． ２ 　 网络产品 　 狀犲狋狑狅狉犽狆狉狅犱狌犮狋 作为网络组成部分以及实现网络功能的硬件 、 软件或系统 ， 按照一定的规则和程序实现信息的收集 、 存储 、 传输 、 交换和处理 。 注 ： 网络产品包括计算机 、 通信设备 、 信息终端 、 工控网络设备 、 系统软件和应用软件等 。 ３ ． ３ 　 用户信息 　 狌狊犲狉犻狀犳狅狉犿犪狋犻狅狀 与个人 、 法人或其他组织有关的信息 ， 以及定义和描述此类信息的数据 。 注 ： 用户信息包括个人信息 ， 用户生成的文档 、 程序 、 多媒体资料 ， 用户通信的内容 、 地址 、 时间 ， 产品的配置 、 运行及 位置数据 ， 系统运行过程产生的日志等 。 ３ ． ４ 　 恶意程序 　 犿犪犾狑犪狉犲 用于实施网络攻击 、 干扰网络和信息系统正常使用 、 破坏网络和信息系统 、 窃取网络和系统数据等行为的程序 。 注 ： 恶意程序主要包括病毒 、 蠕虫 、 木马 ， 以及其他影响主机 、 网络或系统安全 、 稳定运行的程序 。 ３ ． ５ 　 安全缺陷 　 狊犲犮狌狉犻狋狔犳犾犪狑 由设计 、 开发 、 配置 、 生产 、 运维等阶段中的问题引入 ， 可能影响网络产品和服务安全的弱点 。 １ 犌犅 ／ 犜 ３９２７６ — ２０２０ ３ ． ６ 　 漏洞 　 狏狌犾狀犲狉犪犫犻犾犻狋狔 网络产品和服务中能够被威胁利用的弱点 。 注 ： 改写 ＧＢ ／ Ｔ２５０６９ — ２０１０ ， 定义 ２．３．３０ 。 ４ 　 概述 网络产品和服务的安全直接影响到其支撑的网络的安全 。 网络产品和服务在研发 、 生产 、 交付 、 服务提供或运维过程中可能引入安全隐患 ， 导致信息泄露 、 数据篡改 、 服务中断 、 不当控制等安全风险 。 为了减少网络产品和服务中的常见安全风险 ， 提升用户对网络产品和服务在安全性方面的信心 ， 网络产品和服务提供者应采取相应安全措施 ， 实现以下安全目标 ： ａ ） 　 防范信息泄露风险 ： 保障网络产品和服务中用户信息不被泄露 ， 降低用户信息泄露的安全风险 ； ｂ ） 　 防范数据篡改风险 ： 保障网络产品和服务中用户信息不被非授权更改或伪造 ， 降低数据被篡改的安全风险 ； ｃ ） 　 防范服务中断风险 ： 保障网络产品和服务的持续运行和供应 ， 降低网络产品和服务供应中断的安全风险 ； ｄ ） 　 防范不当控制风险 ： 保障网络产品和服务运行过程中的风险可控 ， 降低网络产品和服务提供者恶意控制用户的网络产品和服务 、 非授权获取用户信息 ， 以及利用用户对网络产品和服务的依赖实施不正当竞争或损害用户利益的风险 。 本标准从安全功能和安全保障两个方面规范网络产品和服务的安全通用要求 。 安全功能和安全保障均包含基本级和增强级安全要求 ， 其中增强级安全要求用 宋体粗体字 进行标识 。 ５ 　 安全通用要求 ５ ． １ 　 基本级安全通用要求 ５ ． １ ． １ 　 安全功能要求 ５ ． １ ． １ ． １ 　 身份标识和鉴别 具有用户身份标识和鉴别功能的网络产品和服务应 ： ａ ） 　 对用户身份进行标识和鉴别 ， 身份标识具有唯一性 ； ｂ ） 　 对用户身份鉴别凭证进行安全保护 ， 防止鉴别凭证的泄露 、 篡改 ； ｃ ） 　 告知用户网络产品和服务中与用户相关的所有预置的账户和默认口令 ， 允许用户更改默认口令 ； ｄ ） 　 在存在默认口令时 ， 提示用户对默认口令进行修改 。 ５ ． １ ． １ ． ２ 　 授权与访问控制 具有授权与访问控制功能的网络产品和服务应 ： ａ ） 　 按照最小授权原则 ， 在出厂时预置访问控制策略 ， 需要配置安全策略时 ， 允许用户更改访问控制策略 ； ｂ ） 　 在用户访问受控资源或功能时 ， 依据设置的访问控制策略进行访问控制 ， 保障访问和操作的安全 ； ｃ ） 　 不存在加载或运行后会禁用或绕过访问控制机制的组件 。 ２ 犌犅 ／ 犜 ３９２７６ — ２