正式標(biāo)準(zhǔn)號(hào)為GB/T 39276—2020 信息安全技術(shù) 網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求,其基本級(jí)安全通用要求如下,。
基本級(jí)安全通用要求
1 安全功能要求
1.1 身份標(biāo)識(shí)和鑒
具有用戶身份標(biāo)識(shí)和鑒別功能的
網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng):
a)對(duì)用戶身份進(jìn)行標(biāo)識(shí)和鑒別,,身份標(biāo)識(shí)具有唯一性;
b)對(duì)用戶身份鑒別憑證進(jìn)行安全保護(hù),,防止鑒別憑證的泄露、篡改,;
c)告知用戶網(wǎng)絡(luò)產(chǎn)品和服務(wù)中與用戶相關(guān)的所有預(yù)置的賬戶和默認(rèn)口令,,允許用戶更改默認(rèn)口令,;
d)在存在默認(rèn)口令時(shí),提示用戶對(duì)默認(rèn)口令進(jìn)行修改,。
1.2 授權(quán)與訪問控制
具有授權(quán)與訪問控制功能的
網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng):
?。幔┌凑兆钚∈跈?quán)原則,在出廠時(shí)預(yù)置訪問控制策略,,需要配置安全策略時(shí),,允許用戶更改訪問控制策略;
?。猓┰谟脩粼L問受控資源或功能時(shí),,依據(jù)設(shè)置的訪問控制策略進(jìn)行訪問控制,保障訪問和操作的安全,;
?。悖┎淮嬖诩虞d或運(yùn)行后會(huì)禁用或繞過訪問控制機(jī)制的組件
1.3 日志記錄與審計(jì)
具有日志記錄與審計(jì)功能的
網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng):
a)對(duì)用戶賬戶的登錄,、注銷,、系統(tǒng)開關(guān)機(jī)和核心配置變更等操作進(jìn)行日志記錄;
?。猓┰谌罩居涗浿邪ㄊ录l(fā)生的日期和時(shí)間,、事件的類型、主體身份,、事件操作結(jié)果等,;
c)對(duì)日志記錄進(jìn)行安全保護(hù),,防止日志記錄的損毀或未授權(quán)的追加,、訪問、修改,、刪除等,。
1.1.1.4 用戶信息安全保護(hù)
具有用戶信息收集、處理等功能的
網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng):
?。幔┏煞ㄒ?guī)另有規(guī)定外,,明確告知收集用戶信息的目的、用途,、范圍和類型,,在獲得用戶同意后,方可收集用戶信息,;
?。猓⑹占挠脩粜畔H用于用戶同意的目的和用途;
c)在收集實(shí)現(xiàn)網(wǎng)絡(luò)產(chǎn)品和服務(wù)功能所需的用戶信息時(shí)遵循最小化原則,;
?。洌┎扇“踩胧┍Wo(hù)個(gè)人信息等重要用戶信息的安全,防止泄露,、篡改、損毀,、丟失,;
e)未經(jīng)用戶同意,,不得向他人提供可精確定位到特定個(gè)人的信息,;
f)在符合法律法規(guī)且技術(shù)可行條件下,,向用戶提供查詢,、更正個(gè)人信息的功能;
?。纾┰趫?bào)廢或終止后,,按法律法規(guī)、用戶要求對(duì)用戶信息進(jìn)行處理,,或刪除用戶信息,。
1.1.1.5 密碼使用與管理
采用了密碼技術(shù)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)符合國(guó)家密碼管理相關(guān)規(guī)定。
1.1.2 安全保障要求
1.1.2.1 設(shè)計(jì)和開發(fā)
網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者應(yīng):
?。幔┲贫ê蛯?shí)施網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全開發(fā)流程,,減少設(shè)計(jì)、開發(fā)等過程中惡意程序植入,、漏洞引入的風(fēng)險(xiǎn),;
b)對(duì)設(shè)計(jì)文檔,、開發(fā)文檔等進(jìn)行配置管理,,建立配置管理清單或相應(yīng)程序,對(duì)配置項(xiàng)的變更進(jìn)行授權(quán)和控制,;
?。悖┳R(shí)別網(wǎng)絡(luò)產(chǎn)品和服務(wù)在設(shè)計(jì)、開發(fā)環(huán)節(jié)的安全風(fēng)險(xiǎn),,制定安全策略,,采取安全措施保障關(guān)鍵組件的設(shè)計(jì)和開發(fā)安全;
?。洌┳孕?、聯(lián)合或委托第三方對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)(包括網(wǎng)絡(luò)產(chǎn)品和服務(wù)中使用的第三方軟硬件模塊)進(jìn)行安全測(cè)試;
?。澹┰陂_發(fā)階段對(duì)已發(fā)現(xiàn)的安全缺陷,、漏洞進(jìn)行修復(fù),,對(duì)于不能在開發(fā)階段及時(shí)修復(fù)的安全缺陷、漏洞,,制定并實(shí)施在用戶側(cè)進(jìn)行緊急修復(fù)的安全管理流程,。
1.1.2.2 生產(chǎn)和交付
網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng):
a)采取完整性保護(hù)措施降低網(wǎng)絡(luò)產(chǎn)品和服務(wù)中關(guān)鍵組件,、過程和數(shù)據(jù)被篡改,、偽造的風(fēng)險(xiǎn),包括但不限于對(duì)使用的第三方軟硬件模塊進(jìn)行安全性檢測(cè)等,;
?。猓┫蛴脩粽f明包含在網(wǎng)絡(luò)產(chǎn)品和服務(wù)中的所有與用戶相關(guān)的功能模塊和訪問接口,包括但不限于人機(jī)接口,、調(diào)試接口等,;
c)通過用戶協(xié)議,、產(chǎn)品使用說明書或網(wǎng)站通報(bào)等途徑,,聲明所提供的網(wǎng)絡(luò)產(chǎn)品和服務(wù)中沒有故意留有或者設(shè)置漏洞、后門,、木馬等程序和功能,。
1.1.2.3 運(yùn)行和維護(hù)
網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng):
a)建立和執(zhí)行針對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全缺陷,、漏洞的應(yīng)急響應(yīng)機(jī)制和流程,,對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)在運(yùn)行和維護(hù)階段暴露的安全缺陷、漏洞進(jìn)行響應(yīng),;
?。猓┌l(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在安全缺陷、漏洞時(shí),,立即采取修復(fù)或替代方案等補(bǔ)救措施,,按照國(guó)家網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度等相關(guān)規(guī)定,及時(shí)告知用戶安全風(fēng)險(xiǎn),,并向有關(guān)主管部門報(bào)告,;c)在法律法規(guī)規(guī)定或與用戶約定的期限內(nèi),為網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供持續(xù)的安全維護(hù),,不因業(yè)務(wù)變更,、產(chǎn)權(quán)變更等原因單方面中斷或終止安全維護(hù);
?。洌┙⒑蛯?shí)施規(guī)范的用戶信息保護(hù)制度,,當(dāng)存在違反法律法規(guī)規(guī)定或者雙方約定收集、使用用戶個(gè)人信息的情形時(shí),應(yīng)主動(dòng)或在用戶要求下刪除個(gè)人信息,;
?。澹┍Wo(hù)用戶對(duì)軟件安裝、使用,、升級(jí),、卸載的知情權(quán)和選擇權(quán),安裝和升級(jí)軟件時(shí)應(yīng)明示告知用戶并獲得用戶同意,,允許用戶卸載或禁用完成業(yè)務(wù)目標(biāo)所必備產(chǎn)品核心功能之外的軟件,,不得強(qiáng)制或誘導(dǎo)用戶安裝或升級(jí)用戶不知情的軟件
說實(shí)在的,在此前我個(gè)人是不太注意哪些產(chǎn)品是需要滿足一般安全要求,,哪些產(chǎn)品是需要滿足增強(qiáng)安全要求,正好結(jié)合《信息安全技術(shù) 網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求》這個(gè)標(biāo)準(zhǔn)的征求意見稿,,我們探討一下這個(gè)問題,。
在征求意見稿中,這樣描述:在我國(guó)境內(nèi)銷售或提供的所有網(wǎng)絡(luò)產(chǎn)品和服務(wù)必須滿足一般安全要求,,其中網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品還必須滿足增強(qiáng)安全要求,。網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品范圍,具體參照國(guó)家互聯(lián)網(wǎng)信息辦公室,、工業(yè)和信息化部,、公安部、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)聯(lián)合印發(fā)的《關(guān)于發(fā)布<網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄>的公告》,。
網(wǎng)絡(luò)安全等級(jí)保護(hù)是一個(gè)網(wǎng)絡(luò)安全領(lǐng)域合規(guī)的一個(gè)基本條件,,而網(wǎng)絡(luò)安全等級(jí)保護(hù)是體系化的工作,需要安全監(jiān)管部門,、行業(yè)主管單位(部門),、安全服務(wù)商、網(wǎng)絡(luò)運(yùn)營(yíng)者,、測(cè)評(píng)機(jī)構(gòu)多方參與,,而又需要各司其職。充分理解等級(jí)保護(hù)工作的重要性的同時(shí),,也需要各方都對(duì)等級(jí)保護(hù)有個(gè)充分的認(rèn)知,,同時(shí)各方又能提供足夠?qū)I(yè)符合等級(jí)保護(hù)工作的服務(wù)及售后服務(wù)。
我將努力為在等級(jí)保護(hù)工作中需要幫忙的朋友們,,提供力所能及的幫助,。與各行各業(yè)各單位在網(wǎng)絡(luò)安全等級(jí)保護(hù)以及關(guān)鍵信息安全保護(hù)的工作中,共同進(jìn)步,。期待與你們一起加油,!