网络安全等级保护:网络产品和服务安全通用要求之基本级安全通用要求

  • A+
所属分类:未分类


正式标准号为GB/T 39276—2020  信息安全技术  网络产品和服务安全通用要求,其基本级安全通用要求如下。
网络安全等级保护:网络产品和服务安全通用要求之基本级安全通用要求

 基本级安全通用要求

1 安全功能要求

1.1 身份标识和鉴

具有用户身份标识和鉴别功能的

网络产品和服务应:

a)用户身份进行标识和鉴别,身份标识具有唯一性;

b)对用户身份鉴别凭证进行安全保护,防止鉴别凭证的泄露、篡改;

c)告知用户网络产品和服务中与用户相关的所有预置的账户和默认口令,允许用户更改默认口令;

d)在存在默认口令时,提示用户对默认口令进行修改。

1.2 授权与访问控制

具有授权与访问控制功能的

网络产品和服务应:

a)按照最小授权原则,在出厂时预置访问控制策略,需要配置安全策略时,允许用户更改访问控制策略;

b)在用户访问受控资源或功能时,依据设置的访问控制策略进行访问控制,保障访问和操作的安全;

c)不存在加载或运行后会禁用或绕过访问控制机制的组件

1.3 日志记录与审计

具有日志记录与审计功能的

网络产品和服务应:

a)对用户账户的登录、注销、系统开关机和核心配置变更等操作进行日志记录;

b)在日志记录中包括事件发生的日期和时间、事件的类型、主体身份、事件操作结果等;

c)对日志记录进行安全保护,防止日志记录的损毁或未授权的追加、访问、修改、删除等。

1.1.1.4 用户信息安全保护


具有用户信息收集、处理等功能的

网络产品和服务应:

a)除法律法规另有规定外,明确告知收集用户信息的目的、用途、范围和类型,在获得用户同意后,方可收集用户信息;

b)将收集的用户信息仅用于用户同意的目的和用途;

c)在收集实现网络产品和服务功能所需的用户信息时遵循最小化原则;

d)采取安全措施保护个人信息等重要用户信息的安全,防止泄露、篡改、损毁、丢失;

e)未经用户同意,不得向他人提供可精确定位到特定个人的信息;

f)在符合法律法规且技术可行条件下,向用户提供查询、更正个人信息的功能;

g)在报废或终止后,按法律法规、用户要求对用户信息进行处理,或删除用户信息。

1.1.1.5 密码使用与管理

采用了密码技术的网络产品和服务应符合国家密码管理相关规定

1.1.2 安全保障要求

1.1.2.1 设计和开发

网络产品和服务的提供者应:

a)制定和实施网络产品和服务安全开发流程,减少设计、开发等过程中恶意程序植入、漏洞引入的风险;

b)对设计文档、开发文档等进行配置管理,建立配置管理清单或相应程序,对配置项的变更进行授权和控制;

c)识别网络产品和服务在设计、开发环节的安全风险,制定安全策略,采取安全措施保障关键组件的设计和开发安全;

d)自行、联合或委托第三方对网络产品和服务(包括网络产品和服务中使用的第三方软硬件模块)进行安全测试;

e)在开发阶段对已发现的安全缺陷、漏洞进行修复,对于不能在开发阶段及时修复的安全缺陷、漏洞,制定并实施在用户侧进行紧急修复的安全管理流程。

1.1.2.2 生产和交付

网络产品和服务提供者应:

a)采取完整性保护措施降低网络产品和服务中关键组件、过程和数据被篡改、伪造的风险,包括但不限于对使用的第三方软硬件模块进行安全性检测等;

b)向用户说明包含在网络产品和服务中的所有与用户相关的功能模块和访问接口,包括但不限于人机接口、调试接口等;

c)通过用户协议、产品使用说明书或网站通报等途径,声明所提供的网络产品和服务中没有故意留有或者设置漏洞、后门、木马等程序和功能。

1.1.2.3 运行和维护

网络产品和服务提供者应

a)建立和执行针对网络产品和服务安全缺陷、漏洞的应急响应机制和流程,对网络产品和服务在运行和维护阶段暴露的安全缺陷、漏洞进行响应;

b)发现网络产品和服务存在安全缺陷、漏洞时,立即采取修复或替代方案等补救措施,按照国家网络安全监测预警和信息通报制度等相关规定,及时告知用户安全风险,并向有关主管部门报告;c)在法律法规规定或与用户约定的期限内,为网络产品和服务提供持续的安全维护,不因业务变更、产权变更等原因单方面中断或终止安全维护;

d)建立和实施规范的用户信息保护制度,当存在违反法律法规规定或者双方约定收集、使用用户个人信息的情形时,应主动或在用户要求下删除个人信息;

e)保护用户对软件安装、使用、升级、卸载的知情权和选择权,安装和升级软件时应明示告知用户并获得用户同意,允许用户卸载或禁用完成业务目标所必备产品核心功能之外的软件,不得强制或诱导用户安装或升级用户不知情的软件





网络安全等级保护:网络产品和服务安全通用要求之基本级安全通用要求

说实在的,在此前我个人是不太注意哪些产品是需要满足一般安全要求,哪些产品是需要满足增强安全要求,正好结合《信息安全技术 网络产品和服务安全通用要求》这个标准的征求意见稿,我们探讨一下这个问题。

在征求意见稿中,这样描述:在我国境内销售或提供的所有网络产品和服务必须满足一般安全要求,其中网络关键设备和网络安全专用产品还必须满足增强安全要求。网络关键设备和网络安全专用产品范围,具体参照国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合印发的《关于发布<网络关键设备和网络安全专用产品目录>的公告》。

网络关键设备和网络安全专用产品试看《网络关键设备和网络安全专用产品目录(第一批)》详细如下


设备或产品类别

范围

网络关键设备

1.路由器

整系统吞吐量(双向)≥12Tbps

整系统路由表容量≥55万条

2.交换机

整系统吞吐量(双向)≥30Tbps

整系统包转发率≥10Gpps

3. 服务器(机架式)

CPU数量≥8

CPU内核数≥14

内存容量≥256GB

4. 可编程逻辑控制器(PLC设备)

控制器指令执行时间≤0.08微秒

网络安全

专用产品

5. 数据备份一体机

备份容量≥20T

备份速度≥60MB/s

备份时间间隔≤1小时

6. 防火墙(硬件)

整机吞吐量≥80Gbps

最大并发连接数≥300

每秒新建连接数≥25

7. WEB应用防火墙(WAF

整机应用吞吐量≥6Gbps

最大HTTP并发连接数≥200

8. 入侵检测系统(IDS

满检速率≥15Gbps

最大并发连接数≥500

9.入侵防御系统(IPS

满检速率≥20Gbps

最大并发连接数≥500

10.安全隔离与信息交换产品(网闸)

吞吐量≥1Gbps

系统延时≤5ms

11.反垃圾邮件产品

连接处理速率(连接/秒)>100

平均延迟时间<100ms

12.网络综合审计系统

抓包速度≥5Gbps

记录事件能力≥5万条/

13. 网络脆弱性扫描产品

最大并行扫描IP数量≥60

14. 安全数据库系统

TPC-E tpsE(每秒可交易数量)≥4500

15. 网站恢复产品(硬件)

恢复时间≤2ms

站点的最长路径≥10


网络安全等级保护是一个网络安全领域合规的一个基本条件,而网络安全等级保护是体系化的工作,需要安全监管部门、行业主管单位(部门)、安全服务商、网络运营者、测评机构多方参与,而又需要各司其职。充分理解等级保护工作的重要性的同时,也需要各方都对等级保护有个充分的认知,同时各方又能提供足够专业符合等级保护工作的服务及售后服务。
我将努力为在等级保护工作中需要帮忙的朋友们,提供力所能及的帮助。与各行各业各单位在网络安全等级保护以及关键信息安全保护的工作中,共同进步。期待与你们一起加油!

参考文件:
  • 《信息安全技术 网络产品和服务安全通用要求》
  • 网络关键设备和网络安全专用产品目录(第一批)
  • 《信息技术服务运行维护 第1部分:通用要求》
  • 《信息技术服务 运行维护 第2部分:交付规范》
  • 《信息技术服务运行维护第3部分:应急响应规范》
  • 《信息安全技术信息安全服务分类》等




网络安全等级保护:网络产品和服务安全通用要求之总体目标
网络安全等级保护:正确理解等保与关保的关系
网络安全等级保护:哪些国家标准等同国际ISO 27000标准?
网络安全等级保护:网络安全等级保护和信息安全技术国家标准列表
网络安全等级保护:网络安全等级保护与关键信息基础设施保护五个环节

相关推荐: 硬核观察 #405 让照片形成点头、眨眼等动作,两人破解人脸识别技术牟利获刑

  导读:更多:• Twitter 提供比特币小费功能 • Chrome 安全团队希望将指针错误消灭在编译阶段 本文字数:1032,阅读时长大约:1分钟 作者:硬核老王 让照片形成点头、眨眼等动作,两人破解人脸识别技术牟利获刑 据澎湃新闻报道🔗 te…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: