国家标准《信息安全技术 网络产品和服务安全通用要求》
编制说明
一、 任务来源
《信息安全技术 网络产品和服务安全通用要求》是国家标准化管理委员会2017年下达的信息安全国家标准制定项目,国标立项号20193257-T-469,由中国电子技术标准化研究院、北京赛西科技发展有限责任公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国电子信息产业发展研究院、中科院信息工程研究所、中国信息通信研究院、国家信息中心、国家计算机网络与信息安全管理中心、中电数据服务有限公司、中国软件评测中心、工业和信息化部电子第五研究所、中国电子科技集团公司第十五研究所、中科院软件所、公安部第一研究所、阿里巴巴(北京)软件服务有限公司、联想(北京)有限公司、阿里云计算有限公司、浪潮电子信息产业股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、中国电力科学研究院有限公司、北京神州绿盟科技有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、北京威努特技术有限公司、山谷网安科技股份有限公司、国家应用软件产品质量监督检验中心、新华三技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、深信服科技股份有限公司、西门子(中国)有限公司、奇安信科技集团股份有限公司等单位共同参与了该标准的起草工作。
标准主要起草人包括:刘贤刚、李京春、顾健、李斌、李嵩、叶润国、孙彦、谢安明、胡影、王闯、许东阳、高金萍、宋好好、周开波、舒敏、吴迪、刘蓓、何延哲、方进社、崔宁宁、周亚超、张宝峰、布宁、任泽君、申永波、李汝鑫、樊洞阳、雷晓锋、鲍旭华、程广明、郭永振、白晓媛、赵江、杜晓黎、史岗、韩煜、董晶晶、刘玉岭、李凌、李娜、严妍、徐雨晴、张屹、焦玉峰、代威、石凌志、钟建伟、姚金龙、宋铮、闫韬、郭旭、王晖等。 二、
编制原则
当前,网络产品和服务中经常出现多种网络安全问题,例如,个人信息泄
1
露、默认口令、后门、木马等,严重影响用户安全或国家安全。我国高度重视网络安全,密集出台了一系列国家网络安全政策法规,包括《中华人民共和国网络安全法》(以下简称《网络安全法》),以及为落实《网络安全法》而制定的《网络产品和服务安全审查办法(试行)》、《网络关键设备和网络安全专用产品目录(第一批)》、《国家网络安全事件应急预案》等法律法规,这些法律法规开启了我国“依法治网”的新局面。
网络产品和服务的安全是保障我国网络安全的基础。为贯彻落实《网络安全法》等法律法规对网络产品和服务的安全要求,坚持网络安全与信息化发展并重的方针,提高网络产品和服务的安全能力,提升用户对网络产品和服务在安全性方面的信心,需要重点解决网络产品和服务中存在的恶意程序植入、安全缺陷漏洞响应、供应中断等安全、个人信息滥用问题。本标准旨在规定在我国销售或提供的网络产品和服务必须满足的最小安全要求,以提升用户的信心,维护用户的合法权益,保障国家网络安全。
本标准中定义的网络产品是基于网络安全法中对网络的定义以及现有国家标准中对信息技术产品的定义推导而来。按照网络安全法第76条的定义,网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。国标GB/T32921-2016《信息技术产品供应方行为安全准则》中的信息技术产品定义:“信息技术产品是指具有采集、存储、处理、传输、控制、交换、显示数据或信息功能的硬件、软件、系统和服务。注:信息技术产品包括计算机及其辅助设备、通信设备、网络设备、自动控制设备、操作系统、数据库、应用软件与服务等。”经过标准编制组对国标中信息技术产品和网络产品的定义进行比较分析,认为《网络安全法》中网络产品和GB/T32921-2016定义的IT产品基本等价。
本标准中定义的网络服务是标准编制组在对现有信息技术服务相关标准中对服务的定义进行分析后给出的。本标准的网络服务为“供方为满足需方要求所提供的网络技术开发、部署、运维等活动,以及以网络技术为手段支持网络可靠、安全运行的活动。注:网络服务主要包括云计算服务、大数据服务、网络通信服务、数据处理和存储服务、网络设计与开发服务、网络系统集成实施服务、网络系统运维服务等。” 本标准中的网络服务主要包括两类:一类是以服务形态提供
2
的产品。例如,云计算服务、邮件服务、大数据服务等。一类是围绕产品展开,由人提供的服务。例如,软件设计开发服务,远程维护服务等。对于完全由人提供,且不涉及具体产品的服务,例如,技术咨询服务,不属于本标准规定范围。
本标准将网络产品和服务的安全要求分为安全功能要求、安全保障要求。其中,又将安全功能、安全保障要求进一步划分为基本安全要求和增强安全要求两部分。基本安全要求是为落实网络安全法中对网络产品和服务的安全要求,用于落实网络安全法第22条中关于网络产品和服务安全要求条款。增强安全要求则针对用户重点关切的各种安全问题和安全风险。
本标准在制定时遵循以下原则: 1)
落实网络安全法中关于网络产品和服务的安全要求。主要落实网络安全法中对恶意程序植入、安全缺陷漏洞响应、供应中断等安全问题、个人信息保护提出的安全要求,包括:a)第二十二条:网络产品、服务应当符合相关国家标准的强制性要求(恶意程序防范、缺陷漏洞响应、持续安全维护、用户信息保护);b)第二十三条:网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求;3)用户信息和个人信息安全保护相关条款;4)关键信息基础设施建设和运营过程中针对网络产品和服务的相关安全要求。本标准将对网络安全法中的上述安全要求按照标准语言进行细化,形成一个针对网络产品和服务的通用安全基线。
2)
解决用户重点关切的安全问题。针对用户对网络关键设备和网络安全专用产品中存在的常见的弱口令、个人信息泄露、后门、安全漏洞等问题的严重关切,本标准通过增强要求方式为网络关键设备和网络安全专用产品规范了最小安全基线,以提升用户对网络关键设备和网络安全专用产品的安全信心。该最小安全基线主要包括网络关键设备和网络安全专用产品的安全功能要求和安全保障要求,该最小安全基线主要通过对我国现有网络安全专用产品国家标准进行梳理和适用性分析得到。
3)
保持与现有网络产品和服务国家标准的兼容。本标准在为网络产品和服务制定最小安全基线时,充分考虑了与现有网络安全专用产品
3
信息安全技术 网络产品和服务安全通用要求-编制说明
