GB 42250-2022 信息安全技术 网络安全专用产品安全技术要求.pdf

GB 42250-2022 信息安全技术 网络安全专用产品安全技术要求.pdf
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:1.6 M
标准类别:环境保护标准
资源ID:383997
下载资源

标准规范下载简介

GB 42250-2022 信息安全技术 网络安全专用产品安全技术要求.pdf

Informationsecuritytechnology

Securitytechnicalrequirementsofspecializedcybersecurityproducts

DB3302/T 1080-2018 管线要素分类代码与符号细则.pdf国家市场监督管理总局 发布 国家标准化管理委员会

GB 42250 2022

件按照GB/T1.1一2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 件由中华人民共和国公安部提出并归口。

本文件按照GB/T1.1一2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中华人民共和国公安部提出并归口。

GB 42250 2022

为落实《中华人民共和国网络安全法》的第二十三条而制定本文件。网络安全专用产品按照本文 全技术要求和国家相关主管部门规定的其他技术规范进行研发、生产、服务和检测工作。 本文件是所有网络安全专用产品和其提供者均需满足的基线要求。

信息安全技术 网络安全专用产品安全技术要求

本文件规定了网络安全专用产品的安全功能要求、自身安全要求与安全保障要求。 本文件适用于销售或提供的网络安全专用产品的研发、生产、服务、检测

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069信息安全技术术语 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 网络安全专用产品 specializedcybersecurityproducts 用于保护网络安全的专用硬件和软件产品。 注:包括以服务形式提供安全防护能力的产品。 3.2 网络安全专用产品提供者specializedcybersecurityproductsprovider 网络安全专用产品的研发者、生产者或维护服务提供者。 3.3 安全域 securitydomain 遵从共同安全策略的资产和资源的集合。 [来源:GB/T25069—2022,3.36] 3.4 个人信息 personalinformation 以电子方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 3.5 用户信息 userinformation 个人、法人或其他组织在安装、使用网络安全专用产品过程中产生、收集、存储、传输、处理的电子方 式记录的信息 注:用户信息包括网络流量信息、安全状态信息、安全配置数据、运行过程目志等信息,也包括个人信息

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引 ,仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括所有的修改单)适月 文件。 GB/T25069信息安全技术 术语

,仅该日期对应的版本适用于本标准;不注 日期时列用文仟 共取新服4 包拍所有时修 本文件。 GB/T25069信息安全技术术语 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 网络安全专用产品 specializedcybersecurityproducts 用于保护网络安全的专用硬件和软件产品。 注:包括以服务形式提供安全防护能力的产品。 3.2 网络安全专用产品提供者specializedcybersecurityproductsprovider 网络安全专用产品的研发者、生产者或维护服务提供者。 3.3 安全域 securitydomain 遵从共同安全策略的资产和资源的集合。 [来源:GB/T25069—2022,3.36] 3.4 个人信息 personalinformation 以电子方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息 3.5 用户信息 userinformation 个人、法人或其他组织在安装、使用网络安全专用产品过程中产生、收集、存储、传输、处理的电子 式记录的信息 注:用户信息包括网络流量信息、安全状态信息、安全配置数据、运行过程目志等信息·也包括个人信息

GB 42250 2022

恶意程序 3 maliciousprogram 具有破坏网络和信息系统、干扰网络和信息系统正常使用、窃取或恶意加密网络和系统数据等网 攻击功能的程序。 注:恶意程序主要包括病毒、蠕虫、木马,以及其他影响主机、网络或系统安全、稳定运行的程序。 3.7 安全缺陷securityflaw 由设计、开发、配置、生产、运维等阶段中的错误引人,可能影响网络安全专用产品安全的弱点。 3.8 漏洞 vulnerability 网络安全专用产品中能够被威胁利用的弱点。

具有访问控制功能的网络安全专用产品,应具备下述功能: a) 支持配置访问控制策略; 注:不同类型网络安全专用产品的访问控制策略不同。如:网络型防火墙基于源地址、目的地址、源端口、目的端口 和网络通信协议等设置访问控制策略;虚拟专用网类产品基于用户安全属性等设置访问控制策略;安全隔离与 信息交换类产品基于应用层协议等设置访问控制策略。 b) 支持根据访问控制策略控制对安全域的访问。

具有恶意程序防范功能的网络安全专用产品,应具备下述功能: a) 1 支持对存储信息或传输信息进行恶意程序检测; 注:存储信息包括但不限于存储于主机磁盘、主机内存、主机引导区、移动存储介质中的信息;传输信息包括但不 于通过通信协议传输信道传输的文件数据或程序代码。 b) 支持针对一种或多种恶意程序家族类型进行检测; c) 支持对检测到的恶意程序进行阻止、删除、修复或隔离等一种或多种形式的处理。

具有恶意程序防范功能的网络安全专用产品,应具备下述功能: a) 1 支持对存储信息或传输信息进行恶意程序检测; 注:存储信息包括但不限于存储于主机磁盘、主机内存、主机引导区、移动存储介质中的信息:传输信息包括但不限 于通过通信协议传输信道传输的文件数据或程序代码。 b) 1 支持针对一种或多种恶意程序家族类型进行检测; C) 支持对检测到的恶意程序进行阻止、删除、修复或隔离等一种或多种形式的处理。

网络安全专用产品应具备下述功能: a) 2 对用户身份进行标识和鉴别,身份标识具有唯一性; b 1 保障身份鉴别信息在传输和存储过程中的保密性和完整性; C) 使用口令鉴别方式时,提供身份鉴别信息复杂度验证功能和定期更换设置功能,并支持首次管 理产品时强制修改默认口令或设置口令。

网络安全专用产品应具备下述功能: a) 对用户分配账户和权限,区分管理员角色,实现管理权限相互制约; b) 由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则

网络安全专用产品应具备下述功能: a) 监测、记录产品自身运行状态和重要操作; b) 对审计日志进行保护,防止受到未预期的删除、修改、覆盖或丢失; c)将审计日志存储于非易失性存储介质中,日志保存时间不少于六个月

网络安全专用产品不应包含已公开的中、高风险漏洞。 注:漏洞风险等级参照国家网络安全漏洞分类分级指南(如GB/T30279等标准)等国家有关规定

网络安全专用产品应具备下述功能: a) 提供升级产品组件的功能,包括但不限于主程序、特征库、策略库; b) 保障升级安全·避免得到错误的、伪造的升级包和补工程序

网络安全专用产品应具备下述功能: a) 仅收集实现产品功能所必需的用户信息; b)在 在涉及个人信息处理时提供相关授权功能,在获得授权后方能处理个人信息; 注1:个人信息处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。授权功能包括但不限于个人 信息收集前的授权同意、个人信息收集的授权撤回等 c)不 在未获得或撤回个人信息收集授权的情况下提供与个人信息无关的安全功能; d)不 在涉及个人信息传输和存储的过程中保障个人信息的保密性和完整性; e)在涉及个人信息存储时提供对超出保存期限个人信息的处理功能。

GB 42250 2022

网络安全专用产品提供者应满足以下安全保障要求: a) 1个 制定供应商选择、评定和日常管理的程序,对供应商的开发环境、规范和人员、开发工具、安全 测试和安全验证机制等提出管理要求,以确保其提供的关键部件满足安全要求,并保存对供应 商选择、评价和日常管理的记录; b)建立供应链各环节核心要素的追溯能力0203xx大学外国专家楼施工组织设计,保障核心要素供应稳定; 注:核心要素包括核心技术知识产权、工具及部件等。核心技术知识产权如源代码、软硬件设计图等;工具如开发 软件、编译软件、测试软件、测试仪表、管理软件、拷机软件等;部件如硬件机箱、操作系统等。 C) 持续开展安全意识和技能培训。

网络安全专用产品提供者应满足以下安全保障要求: 的) 1M1 识别网络安全专用产品设计和开发环节的安全风险,进行威胁建模,制定安全策略,保障开发 环境安全,制定安全开发制度和流程; 注1:安全开发制度和流程包括但不限于代码编写规范、研发环境安全管理制度、研发人员安全管理制度、研发交付 制度等。 b)制定网络安全专用产品安全功能和自身安全功能的设计文档,该文档描述与安全功能和自身 安全功能一致; c)为网络安全专用产品确定唯一的版本号,为配置项确定唯一标识,建立并维护配置项列表; 注2:配置项包括但不限于源代码、工具、文档、组件、配置信息等。 d) 1A 不在产品中设置恶意程序、隐蔽接口或未明示功能模块等,并通过用户协议、产品说明书等途 径将所有功能模块、接口等告知用户; e)对网络安全专用产品进行安全性测试。 注3:安全性测试包括但不限于漏洞扫描、病毒扫描、代码审计、渗透测试和安全功能验证等。

网络安全专用产品提供者应满足以下安全保障要求: 司) 2 建立和执行规范的产品完整性检测流程,采取措施防范自制或采购的组件被纂改、伪造等 风险; b) 1 建立内部交付和外部交付的控制程序,确保网络安全专用产品在交付过程中不被破坏或纂改; C) 向用户明示包含在产品中的所有功能模块、外部接口和私有协议,告知用户产品中预置的所有 账户和默认口令

安全专用产品提供者应满足以下安全保障要求:

网络安全专用产品提供者应满足以下安全保障要求

a) 在法律法规规定或与用户约定的期限内,为产品提供持续的安全维护,不单方面中断或终止安 全维护; D) 保护用户对软件(包含固件)安装和升级等的知情权和选择权,安装和升级软件时明示用户并 获得用户同意; C) 1 建立和执行针对产品安全缺陷、漏洞的应急响应机制和流程,对发现的产品安全缺陷和漏洞采 取修复或替代方案等补救措施,及时告知用户安全风险和可用的补救措施,并向有关主管部门 报告

网络安全专用产品提供者应满足以下安全保障要求: a) 明示收集用户信息的目的、方式、范围、种类、存储位置和处理方式; b) 建立和执行用户信息管理制度和流程金属铝板幕墙施工方案,在产品设计、生产、升级等各阶段保障用户信息的安 全,不超范围使用用户信息

GB 42250 2022

©版权声明
相关文章