网络产品 network product
作为网络组成部分以及实现网络功能的硬件、软件或系统,按照一定的规则和程序实现信息的收集、存储、传输、交换和处理。
注:网络产品包括计算机、通信设备、信息终端、工控网络设备、系统软件和应用软件等。
网络服务 network service
增强级安全通用要求
a)对用户身份进行标识和鉴别,身份标识具有唯一性;
b)对用户身份鉴别凭证进行安全保护,防止鉴别凭证的泄露、篡改;
c)告知用户网络产品和服务中与用户相关的所有预置的账户和默认口令,允许用户更改默认口令;
d)在未修改默认口令时,限制核心功能的使用,并提示用户修改口令;
e)在采用基于口令的身份鉴别机制时,对用户设置的口令进行复杂度检查;
f)具有登录失败和超时安全处理等机制,包括但不限于连续登录失败后锁定用户账户,当发生用户会话连接超时自动退出用户会话等。
a)对用户账户的登录、注销、系统开关机和核心配置变更等操作进行日志记录;
b)在日志记录中包括事件发生的日期和时间、事件的类型、主体身份、事件操作结果等;
c)对日志记录进行安全保护,防止日志记录的损毁或未授权的追加、访问、修改、删除等;
d)提供设置日志记录存储容量、保存时间的功能,日志保存时间应满足国家有关规定。
a)在通信双方建立网络连接时,验证通信端身份真实性;
b)提供安全措施保障通信数据的保密性、完整性、可用性;
c)保障通信协议的安全性,可抵御常见的重放攻击、中间人攻击等安全威胁。
a)除法律法规另有规定外,明确告知收集用户信息的目的、用途、范围和类型,在获得用户同意后,方可收集用户信息;
b)将收集的用户信息仅用于用户同意的目的和用途;
c)在收集实现网络产品和服务功能所需的用户信息时遵循最小化原则;
d)采取安全措施保护个人信息等重要用户信息的安全,防止泄露、篡改、损毁、丢失;
e)未经用户同意,不得向他人提供可精确定位到特定个人的信息;
f)在符合法律法规且技术可行条件下,向用户提供查询、更正个人信息的功能;
g)在报废或终止后,按法律法规、用户要求对用户信息进行处理,或删除用户信息;
h)在传输和存储个人敏感信息时,采取加密等安全措施。
a)制定和实施网络产品和服务安全开发流程,减少设计、开发等过程中恶意程序植入、漏洞引入的风险;
b)对设计文档、开发文档等进行配置管理,建立配置管理清单或相应程序,对配置项的变更进行授权和控制;
c)识别网络产品和服务在设计、开发环节的安全风险,制定安全策略,采取安全措施保障关键组件的设计和开发安全;
d)自行、联合或委托第三方对网络产品和服务(包括网络产品和服务中使用的第三方软硬件模块)进行安全测试;
e)在开发阶段对已发现的安全缺陷、漏洞进行修复,对于不能在开发阶段及时修复的安全缺陷、漏洞,制定并实施在用户侧进行紧急修复的安全管理流程;
f)提供设计与实现之间的对应关系,并证明其一致性。
a)采取完整性保护措施降低网络产品和服务中关键组件、过程和数据被篡改、伪造的风险,包括但不限于对使用的第三方软硬件模块进行安全性检测等;
b)向用户说明包含在网络产品和服务中的所有与用户相关的功能模块和访问接口,包括但不限于人机接口、调试接口等;
c)通过用户协议、产品使用说明书或网站通报等途径,声明所提供的网络产品和服务中没有故意留有或者设置漏洞、后门、木马等程序和功能;
d)建立和实施规范的产品生产和服务交付流程,在关键环节实施安全检查和验证,减少产品生产和服务交付过程中的安全风险;
e)为用户提供验证所交付产品完整性必需的安全措施,减少产品交付过程中的篡改风险;
f)为用户提供操作指南等指导性文档,明确产品典型部署环境应满足的安全要求,描述产品使用过程中涉及的各用户角色和安全责任,给出风险提示和应急响应措施。
我将努力为在等级保护工作中需要帮忙的朋友们,提供力所能及的帮助。与各行各业各单位在网络安全等级保护以及关键信息安全保护的工作中,共同进步。期待与你们一起加油!
-
《信息安全技术 网络产品和服务安全通用要求》 -
网络关键设备和网络安全专用产品目录(第一批) -
《信息技术服务运行维护 第1部分:通用要求》 -
《信息技术服务 运行维护 第2部分:交付规范》 -
《信息技术服务运行维护第3部分:应急响应规范》 -
《信息安全技术信息安全服务分类》 -
《信息安全技术 网络安全等级保护基本要求》等
原文始发于微信公众号(河南等级保护测评):周末谈等保:网络产品和服务安全通用要求之增强级安全通用要求
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论