标准规范下载简介
GB/T 39276-2020 信息安全技术 网络产品和服务安全通用要求.pdfICS.35.040 L.80
GB/T 39276—2020
CECS 165-2004 城市地下通信塑料管道工程设计规范国家市场监督管理总局 发布 国家标准化管理委员会
规范性引用文件 术语和定义 概述 安全通用要求 5.1基本级安全通用要求 5.2增强级安全通用要求 参考文献
GB/T 39276—2020
本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国电子技术标准化研究院、北京赛西科技发展有限责任公司、公安部第三研究 所、中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国电子 信息产业发展研究院、中国科学院信息工程研究所、中国信息通信研究院、国家信息中心、国家计算机网 络与信息安全管理中心、中电数据服务有限公司、中国软件评测中心、工业和信息化部电子第五研究所 中国电子科技集团公司第十五研究所、中国科学院软件研究所、公安部第一研究所、阿里巴巴(北京)软 牛服务有限公司、联想(北京)有限公司、阿重云计算有限公司、浪潮电子信息产业股份有限公司、北京天 融信网络安全技术有限公 华为技术有限公司、 启明星辰信息技术集团股份有限公司、中国电力科学 同、北京威努特技术有限公司、山谷网安科技股份有限公司、国家应用软件产品质量监督检验中心、新华 三技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、深信服科技股份有限公司、西门子(中国 有限公司、奇安信科技集团股份有限公司。 本标准主要起草人:刘贤刚、李京春、顾健、李斌、李高、叶润国、孙彦、谢安明、胡影、主闯、许东阳 高金萍、宋好好、周开波、舒敏、吴迪、刘蓓、何延哲、方进社、崔宁宁、周亚超、张宝峰、布宁、任泽君 申永波、李汝鑫、樊洞阳、雷晓锋、鲍旭华、程厂 一明、郭永振、白晓媛、赵江、杜晓黎、史岗、韩煜、董晶晶 刘玉岭、李凌、李娜、严如
GB/T 392762020
信息安全技术 网络产品和服务安全通用要求
本标准规定了网络产品和服务应满足的安全通用要求,包括安全功能要求和安全保障要求。 本标准适用于网络产品和服务提供者进行网络产品和服务的安全设计、安全实现和安全运行,也可 用于指导第三方测评机构对网络产品和服务进行安全测评
下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件,仅注日期的版本适用于 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069信息安全技术术语
漏洞 vulnerability
漏洞 vulnerabilit
网络产品和服务中能够被威胁利用的弱点 : 改写 GB/T 25069—2010.定义 2.3.30.
网络产品和服务的安全直接影响到其支撑的网络的安全。网络产品和服务在研发、生产、交付、服 务提供或运维过程中可能引人安全隐患,导致信息泄露、数据篡改、服务中断、不当控制等安全风险。为 了减少网络产品和服务中的常见安全风险,提升用户对网络产品和服务在安全性方面的信心,网络产品 和服务提供者应采取相应安全措施,实现以下安全目标 a)防范信息泄露风险:保障网络产品和服务中用户信息不被泄露,降低用户信息泄露的安全 风险; b) 防范数据篡改风险:保障网络产品和服务中用户信息不被非授权更改或伪造,降低数据被篡改 的安全风险; C 防范服务中断风险:保障网络产品和服务的持续运行和供应,降低网络产品和服务供应中断的 安全风险; d) 防范不当控制风险:保障网络产品和服务运行过程中的风险可控,降低网络产品和服务提供者 恶意控制用户的网络产品和服务、非授权获取用户信息,以及利用用户对网络产品和服务的依 赖实施不正当竞争或损害用户利益的风险 本标准从安全功能和安全保障两个方面规范网络产品和服务的安全通用要求。安全功能和安全保 障均包含基本级和增强级安全要求,其中增强级安全要求用宋体粗体字进行标识。
5.1基本级安全通用要求
5.1.1 安全功能要求
5.1.1.1身份标识和鉴别
具有用户身份标识和鉴别功能的网络产品和服务应: 对用户身份进行标识和鉴别,身份标识具有唯一性; b) 对用户身份鉴别凭证进行安全保护,防止鉴别凭证的泄露、篡改; C 告知用户网络产品和服务中与用户相关的所有预置的账户和默认口令,充许用户更改默认 口令; d)在存在默认口令时,提示用户对默认口令进行修改
5.1.1.2授权与访问控制
具有授权与访问控制功能的网络产品和服务应: a) 按照最小授权原则,在出厂时预置访问控制策略,需要配置安全策略时,充许用户更改访问控 制策略; b) 在用户访问受控资源或功能时,依据设置的访问控制策略进行访问控制,保障访问和操作的 安全; C 不存在加载或运行后会禁用或绕过访问控制机制的组件,
5.1.1.3且志记录与审计
GB/T 392762020
5.1.1.4用户信息安全保护
具有用户信息收集、处理等功能的网络产品和服务应: a) 除法律法规另有规定外,明确告知收集用户信息的目的、用途、范围和类型,在获得用户同意 后,方可收集用户信息; b 将收集的用户信息仅用于用户同意的目的和用途; C) 在收集实现网络产品和服务功能所需的用户信息时遵循最小化原则; 采取安全措施保护个人信息等重要用户信息的安全,防止泄露、篡改、损毁、丢失; e) 未经用户同意,不得向他人提供可精确定位到特定个人的信息; 在符合法律法规且技术可行条件下,向用户提供查询、更正个人信息的功能; 在报废或终止后,按法律法规、用户要求对用户信息进行处理,或删除用户信息
具有用户信息收集、处理等功能的网络产品和服务应: a)除法律法规另有规定外,明确告知收集用户信息的目的、用途、范围和类型,在获得用户同意 后,方可收集用户信息; 将收集的用户信息仅用于用户同意的目的和用途; C 在收集实现网络产品和服务功能所需的用户信息时遵循最小化原则; 采取安全措施保护个人信息等重要用户信息的安全,防止泄露、篡改、损毁、丢失; 未经用户同意,不得向他人提供可精确定位到特定个人的信息; 在符合法律法规且技术可行条件下,向用户提供查询、更正个人信息的功能; 在报废或终止后,按法律法 用户要求对用户信息进行处理,或删除用户信息
JLZJ-Y-GL-001-2020 北京市普通公路日常养护预算编制办法(路基、路面、桥梁、泵站、运行保障)(试行)5.1.1.5密码使用与管理
5.1.2安全保障要求
5.1.2.1设计和开发
网络产品和服务的提供者应: a)制定和实施网络产品和服务安全开发流程,减少设计、开发等过程中恶意程序植入、漏洞引入 的风险; b) 对设计文档、开发文档等进行配置管理,建立配置管理清单或相应程序,对配置项的变更进行 授权和控制; C 识别网络产品和服务在设计、开发环节的安全风险,制定安全策略,采取安全措施保障关键组 件的设计和开发安全; d 自行、联合或委托第三方对网络产品和服务(包括网络产品和服务中使用的第三方软硬件模 块进行安全测试; e 在开发阶段对已发现的安全缺陷、漏洞进行修复,对于不能在开发阶段及时修复的安全缺陷、 漏洞,制定并实施在用户侧进行紧急修复的安全管理流程
5.1.2.2生产和交付
网络产品和服务提供者应: a)采取完整性保护措施降低网络产品和服务中关键组件、过程和数据被篡改、伪造的风险,包括 但不限于对使用的第三方软硬件模块进行安全性检测等; b) 向用户说明包含在网络产品和服务中的所有与用户相关的功能模块和访向接口,包括但不限 于人机接口、调试接口等; c 通过用户协议、产品使用说明书或网站通报等途径,声明所提供的网络产品和服务中没有故意
留有或者设置漏洞、后门、木马等程序和功能
GB/T 33643-2022 无损检测 声发射泄漏检测方法.pdf5.1.2.3运行和维护