《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 網(wǎng)絡(luò)安全等級保護:網(wǎng)絡(luò)產(chǎn)品和服務安全通用要求之增強級安全通用要求

網(wǎng)絡(luò)安全等級保護:網(wǎng)絡(luò)產(chǎn)品和服務安全通用要求之增強級安全通用要求

2021-11-09
來源:祺印說信安

  今天,,我們先回過頭來,,熟悉一下有關(guān)國家標準對“網(wǎng)絡(luò)產(chǎn)品”和“網(wǎng)絡(luò)服務”這兩個術(shù)語的定義,。

  網(wǎng)絡(luò)產(chǎn)品 network product

  作為網(wǎng)絡(luò)組成部分以及實現(xiàn)網(wǎng)絡(luò)功能的硬件、軟件或系統(tǒng),,按照一定的規(guī)則和程序?qū)崿F(xiàn)信息的收集,、存儲、傳輸,、交換和處理,。

  注:網(wǎng)絡(luò)產(chǎn)品包括計算機、通信設(shè)備,、信息終端,、工控網(wǎng)絡(luò)設(shè)備,、系統(tǒng)軟件和應用軟件等,。

  網(wǎng)絡(luò)服務 network service

  供方為滿足需方要求提供的信息技術(shù)開發(fā)、應用活動,,以及以網(wǎng)絡(luò)技術(shù)為手段支持需方業(yè)務的一系列活動,。

  注:常見的網(wǎng)絡(luò)服務包括云計算服務、網(wǎng)絡(luò)通信服務,、數(shù)據(jù)處理和存儲服務,、信息技術(shù)咨詢服務、設(shè)計與開發(fā)服務、信息系統(tǒng)集成實施服務,、信息系統(tǒng)運維服務等,。

  (“網(wǎng)絡(luò)服務”援引征求意見稿解釋)

  微信圖片_20211109090133.jpg

  增強級安全通用要求

  1安全功能要求

  1.1身份標識和鑒別

  具有用戶身份標識和鑒別功能的網(wǎng)絡(luò)產(chǎn)品和服務應:

  a)對用戶身份進行標識和鑒別,,身份標識具有唯一性,;

  b)對用戶身份鑒別憑證進行安全保護,防止鑒別憑證的泄露,、篡改,;

  c)告知用戶網(wǎng)絡(luò)產(chǎn)品和服務中與用戶相關(guān)的所有預置的賬戶和默認口令,允許用戶更改默認口令,;

  d)在未修改默認口令時,,限制核心功能的使用,并提示用戶修改口令,;

  e)在采用基于口令的身份鑒別機制時,,對用戶設(shè)置的口令進行復雜度檢查;

  f)具有登錄失敗和超時安全處理等機制,,包括但不限于連續(xù)登錄失敗后鎖定用戶賬戶,,當發(fā)生用戶會話連接超時自動退出用戶會話等。

  1.2授權(quán)與訪問控制

  具有授權(quán)與訪問控制功能的網(wǎng)絡(luò)產(chǎn)品和服務應:

  a)按照最小授權(quán)原則,,在出廠時預置訪問控制策略,,需要配置安全策略時,允許用戶更改訪問控制策略,;

  b)在用戶訪問受控資源或功能時,,依據(jù)設(shè)置的訪問控制策略進行訪問控制,保障訪問和操作的安全,;

  c)不存在加載或運行后會禁用或繞過訪問控制機制的組件,;

  d)支持對不同用戶賬號或應用軟件授予完成各自承擔任務所需的最小訪問權(quán)限。

  1.3日志記錄與審計

  具有日志記錄與審計功能的網(wǎng)絡(luò)產(chǎn)品和服務應:

  a)對用戶賬戶的登錄,、注銷,、系統(tǒng)開關(guān)機和核心配置變更等操作進行日志記錄;

  b)在日志記錄中包括事件發(fā)生的日期和時間,、事件的類型,、主體身份、事件操作結(jié)果等,;

  c)對日志記錄進行安全保護,,防止日志記錄的損毀或未授權(quán)的追加、訪問,、修改,、刪除等,;

  d)提供設(shè)置日志記錄存儲容量、保存時間的功能,,日志保存時間應滿足國家有關(guān)規(guī)定,。

  1.4信息通信安全保護

  具有信息通信安全保護功能的網(wǎng)絡(luò)產(chǎn)品和服務應:

  a)在通信雙方建立網(wǎng)絡(luò)連接時,驗證通信端身份真實性,;

  b)提供安全措施保障通信數(shù)據(jù)的保密性,、完整性、可用性,;

  c)保障通信協(xié)議的安全性,,可抵御常見的重放攻擊、中間人攻擊等安全威脅,。

  1.5用戶信息安全保護

  具有用戶信息收集,、處理等功能的網(wǎng)絡(luò)產(chǎn)品和服務應:

  a)除法律法規(guī)另有規(guī)定外,明確告知收集用戶信息的目的,、用途,、范圍和類型,在獲得用戶同意后,,方可收集用戶信息,;

  b)將收集的用戶信息僅用于用戶同意的目的和用途;

  c)在收集實現(xiàn)網(wǎng)絡(luò)產(chǎn)品和服務功能所需的用戶信息時遵循最小化原則,;

  d)采取安全措施保護個人信息等重要用戶信息的安全,,防止泄露、篡改,、損毀,、丟失;

  e)未經(jīng)用戶同意,,不得向他人提供可精確定位到特定個人的信息,;

  f)在符合法律法規(guī)且技術(shù)可行條件下,向用戶提供查詢,、更正個人信息的功能,;

  g)在報廢或終止后,按法律法規(guī),、用戶要求對用戶信息進行處理,,或刪除用戶信息;

  h)在傳輸和存儲個人敏感信息時,,采取加密等安全措施,。

  1.6密碼使用與管理

  采用了密碼技術(shù)的網(wǎng)絡(luò)產(chǎn)品和服務應符合國家密碼管理相關(guān)規(guī)定,。

  2安全保障要求

  2.1設(shè)計和開發(fā)

  網(wǎng)絡(luò)產(chǎn)品和服務的提供者應:

  a)制定和實施網(wǎng)絡(luò)產(chǎn)品和服務安全開發(fā)流程,,減少設(shè)計,、開發(fā)等過程中惡意程序植入、漏洞引入的風險,;

  b)對設(shè)計文檔,、開發(fā)文檔等進行配置管理,建立配置管理清單或相應程序,,對配置項的變更進行授權(quán)和控制,;

  c)識別網(wǎng)絡(luò)產(chǎn)品和服務在設(shè)計、開發(fā)環(huán)節(jié)的安全風險,,制定安全策略,,采取安全措施保障關(guān)鍵組件的設(shè)計和開發(fā)安全;

  d)自行,、聯(lián)合或委托第三方對網(wǎng)絡(luò)產(chǎn)品和服務(包括網(wǎng)絡(luò)產(chǎn)品和服務中使用的第三方軟硬件模塊)進行安全測試,;

  e)在開發(fā)階段對已發(fā)現(xiàn)的安全缺陷、漏洞進行修復,,對于不能在開發(fā)階段及時修復的安全缺陷,、漏洞,制定并實施在用戶側(cè)進行緊急修復的安全管理流程,;

  f)提供設(shè)計與實現(xiàn)之間的對應關(guān)系,,并證明其一致性。

  2.2生產(chǎn)和交付

  網(wǎng)絡(luò)產(chǎn)品和服務提供者應:

  a)采取完整性保護措施降低網(wǎng)絡(luò)產(chǎn)品和服務中關(guān)鍵組件,、過程和數(shù)據(jù)被篡改,、偽造的風險,包括但不限于對使用的第三方軟硬件模塊進行安全性檢測等,;

  b)向用戶說明包含在網(wǎng)絡(luò)產(chǎn)品和服務中的所有與用戶相關(guān)的功能模塊和訪問接口,,包括但不限于人機接口、調(diào)試接口等,;

  c)通過用戶協(xié)議,、產(chǎn)品使用說明書或網(wǎng)站通報等途徑,聲明所提供的網(wǎng)絡(luò)產(chǎn)品和服務中沒有故意留有或者設(shè)置漏洞,、后門,、木馬等程序和功能;

  d)建立和實施規(guī)范的產(chǎn)品生產(chǎn)和服務交付流程,,在關(guān)鍵環(huán)節(jié)實施安全檢查和驗證,,減少產(chǎn)品生產(chǎn)和服務交付過程中的安全風險;

  e)為用戶提供驗證所交付產(chǎn)品完整性必需的安全措施,,減少產(chǎn)品交付過程中的篡改風險,;

  f)為用戶提供操作指南等指導性文檔,明確產(chǎn)品典型部署環(huán)境應滿足的安全要求,,描述產(chǎn)品使用過程中涉及的各用戶角色和安全責任,,給出風險提示和應急響應措施,。

  微信圖片_20211109090138.jpg

  5.2.2.3運行和維護

  網(wǎng)絡(luò)產(chǎn)品和服務提供者應:

  a)建立和執(zhí)行針對網(wǎng)絡(luò)產(chǎn)品和服務安全缺陷、漏洞的應急響應機制和流程,,對網(wǎng)絡(luò)產(chǎn)品和服務在運行和維護階段暴露的安全缺陷,、漏洞進行響應。

  b)發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品和服務存在安全缺陷,、漏洞時,,立即采取修復或替代方案等補救措施,按照國家網(wǎng)絡(luò)安全監(jiān)測預警和信息通報制度等相關(guān)規(guī)定,,及時告知用戶安全風險,,并向有關(guān)主管部門報告。

  c)在法律法規(guī)規(guī)定或與用戶約定的期限內(nèi),,為網(wǎng)絡(luò)產(chǎn)品和服務提供持續(xù)的安全維護,,不因業(yè)務變更、產(chǎn)權(quán)變更等原因單方面中斷或終止安全維護,。

  d)建立和實施規(guī)范的用戶信息保護制度,,當存在違反法律法規(guī)規(guī)定或者雙方約定收集、使用用戶個人信息的情形時,,應主動或在用戶要求下刪除個人信息,。

  e)保護用戶對軟件安裝、使用,、升級,、卸載的知情權(quán)和選擇權(quán),安裝和升級軟件時應明示告知用戶并獲得用戶同意,,允許用戶卸載或禁用完成業(yè)務目標所必備產(chǎn)品核心功能之外的軟件,,不得強制或誘導用戶安裝或升級用戶不知情的軟件。

  f)在對產(chǎn)品和服務的安全缺陷,、漏洞進行修復時,,提前告知用戶將采取的處置操作和可能產(chǎn)生的影響。

  g)為用戶信息在不同網(wǎng)絡(luò)產(chǎn)品和服務間遷移提供必要的技術(shù)支持,,允許用戶導出或備份用戶信息,。

  h)在遠程維護網(wǎng)絡(luò)產(chǎn)品前,明確告知用戶遠程維護的目的和范圍,,并獲得用戶授權(quán)同意,。為用戶提供中止網(wǎng)絡(luò)產(chǎn)品遠程維護的方式。遠程維護中止或結(jié)束時,,遠程維護權(quán)限自動撤銷,。

  i)在遠程維護網(wǎng)絡(luò)產(chǎn)品時,在用戶側(cè)顯示提示信息,,記錄遠程維護的所有操作,,生成審計日志供用戶查閱,。

  j)在升級網(wǎng)絡(luò)產(chǎn)品和服務前告知用戶升級的內(nèi)容,包括變更情況,、相關(guān)安全風險,、風險應對措施等,,獲得用戶授權(quán)同意后方可實施升級,,允許用戶選擇不接受升級。

  k)在用戶需要時,,為用戶提供支持網(wǎng)絡(luò)產(chǎn)品和服務升級包的完整性,、來源真實性等安全校驗的方法或工具。

  l)保護網(wǎng)絡(luò)產(chǎn)品和服務在運行維護過程中的用戶信息,,防止用戶信息泄露,、篡改、損毀,、丟失,。

  m)在跨境傳輸個人信息和重要數(shù)據(jù)時,符合國家數(shù)據(jù)出境管理有關(guān)規(guī)定,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]