标准规范下载简介

GB／T 39276-2020 信息安全技术 网络产品和服务安全通用要求.pdf简介：

GB/T 39276-2020《信息安全技术 网络产品和服务安全通用要求》是由中国国家标准管理机构制定并发布的关于信息安全技术领域的一项国家标准。该标准主要针对网络产品和服务的安全性提出了通用要求，旨在规范网络产品和服务的设计、开发、实施和运营过程中的安全控制，以确保其能够抵御各种安全威胁，保护用户的隐私和数据安全。

这份标准涵盖了网络安全的多个方面，包括但不限于：产品安全设计、数据保护、访问控制、安全审计、风险评估和管理、安全配置管理、安全更新和补丁管理等。它适用于网络设备、软件、平台和服务提供商，以及政府、企业、组织在选择和使用网络产品和服务时的安全参考。

通过遵循GB/T 39276-2020，网络产品和服务提供商可以提升其产品的安全性，同时帮助企业、机构和个人用户更好地识别和管理网络安全风险，保障网络环境的稳定和安全。

GB／T 39276-2020 信息安全技术 网络产品和服务安全通用要求.pdf部分内容预览：

国家市场监督管理总局 发布 国家标准化管理委员会

规范性引用文件 术语和定义 概述 安全通用要求 5.1基本级安全通用要求 5.2增强级安全通用要求 参考文献

DBJ 20-2012 电气火灾监控系统设计、施工及验收规范GB/T 39276—2020

本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：中国电子技术标准化研究院、北京赛西科技发展有限责任公司、公安部第三研究 所、中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国电子 信息产业发展研究院、中国科学院信息工程研究所、中国信息通信研究院、国家信息中心、国家计算机网 络与信息安全管理中心、中电数据服务有限公司、中国软件评测中心、工业和信息化部电子第五研究所 中国电子科技集团公司第十五研究所、中国科学院软件研究所、公安部第一研究所、阿里巴巴（北京）软 牛服务有限公司、联想（北京)有限公司、阿重云计算有限公司、浪潮电子信息产业股份有限公司、北京天 融信网络安全技术有限公 华为技术有限公司、 启明星辰信息技术集团股份有限公司、中国电力科学 同、北京威努特技术有限公司、山谷网安科技股份有限公司、国家应用软件产品质量监督检验中心、新华 三技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、深信服科技股份有限公司、西门子（中国 有限公司、奇安信科技集团股份有限公司。 本标准主要起草人：刘贤刚、李京春、顾健、李斌、李高、叶润国、孙彦、谢安明、胡影、主闯、许东阳 高金萍、宋好好、周开波、舒敏、吴迪、刘蓓、何延哲、方进社、崔宁宁、周亚超、张宝峰、布宁、任泽君 申永波、李汝鑫、樊洞阳、雷晓锋、鲍旭华、程厂 一明、郭永振、白晓媛、赵江、杜晓黎、史岗、韩煜、董晶晶 刘玉岭、李凌、李娜、严如

GB/T 392762020

信息安全技术 网络产品和服务安全通用要求

本标准规定了网络产品和服务应满足的安全通用要求，包括安全功能要求和安全保障要求。 本标准适用于网络产品和服务提供者进行网络产品和服务的安全设计、安全实现和安全运行，也可 用于指导第三方测评机构对网络产品和服务进行安全测评

下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件，仅注日期的版本适用于 凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。 GB/T25069信息安全技术术语

漏洞 vulnerability

漏洞 vulnerabilit

网络产品和服务中能够被威胁利用的弱点 : 改写 GB/T 25069—2010.定义 2.3.30.

网络产品和服务的安全直接影响到其支撑的网络的安全。网络产品和服务在研发、生产、交付、服 务提供或运维过程中可能引人安全隐患，导致信息泄露、数据篡改、服务中断、不当控制等安全风险。为 了减少网络产品和服务中的常见安全风险，提升用户对网络产品和服务在安全性方面的信心，网络产品 和服务提供者应采取相应安全措施，实现以下安全目标 a）防范信息泄露风险：保障网络产品和服务中用户信息不被泄露，降低用户信息泄露的安全 风险； b） 防范数据篡改风险：保障网络产品和服务中用户信息不被非授权更改或伪造，降低数据被篡改 的安全风险； C 防范服务中断风险：保障网络产品和服务的持续运行和供应，降低网络产品和服务供应中断的 安全风险； d） 防范不当控制风险：保障网络产品和服务运行过程中的风险可控，降低网络产品和服务提供者 恶意控制用户的网络产品和服务、非授权获取用户信息，以及利用用户对网络产品和服务的依 赖实施不正当竞争或损害用户利益的风险 本标准从安全功能和安全保障两个方面规范网络产品和服务的安全通用要求。安全功能和安全保 障均包含基本级和增强级安全要求，其中增强级安全要求用宋体粗体字进行标识。

5.1基本级安全通用要求

5.1.1 安全功能要求

5.1.1.1身份标识和鉴别

具有用户身份标识和鉴别功能的网络产品和服务应： 对用户身份进行标识和鉴别，身份标识具有唯一性； b） 对用户身份鉴别凭证进行安全保护，防止鉴别凭证的泄露、篡改； C 告知用户网络产品和服务中与用户相关的所有预置的账户和默认口令，充许用户更改默认 口令； d）在存在默认口令时，提示用户对默认口令进行修改

5.1.1.2授权与访问控制

具有授权与访问控制功能的网络产品和服务应： a） 按照最小授权原则，在出厂时预置访问控制策略，需要配置安全策略时，充许用户更改访问控 制策略； b） 在用户访问受控资源或功能时，依据设置的访问控制策略进行访问控制，保障访问和操作的 安全； C 不存在加载或运行后会禁用或绕过访问控制机制的组件，

5.1.1.3且志记录与审计

GB/T 392762020

5.1.1.4用户信息安全保护

具有用户信息收集、处理等功能的网络产品和服务应： a） 除法律法规另有规定外，明确告知收集用户信息的目的、用途、范围和类型，在获得用户同意 后，方可收集用户信息； b 将收集的用户信息仅用于用户同意的目的和用途； C） 在收集实现网络产品和服务功能所需的用户信息时遵循最小化原则； 采取安全措施保护个人信息等重要用户信息的安全，防止泄露、篡改、损毁、丢失； e) 未经用户同意，不得向他人提供可精确定位到特定个人的信息； 在符合法律法规且技术可行条件下，向用户提供查询、更正个人信息的功能； 在报废或终止后，按法律法规、用户要求对用户信息进行处理，或删除用户信息

具有用户信息收集、处理等功能的网络产品和服务应： a）除法律法规另有规定外，明确告知收集用户信息的目的、用途、范围和类型，在获得用户同意 后，方可收集用户信息； 将收集的用户信息仅用于用户同意的目的和用途； C 在收集实现网络产品和服务功能所需的用户信息时遵循最小化原则； 采取安全措施保护个人信息等重要用户信息的安全，防止泄露、篡改、损毁、丢失； 未经用户同意，不得向他人提供可精确定位到特定个人的信息； 在符合法律法规且技术可行条件下，向用户提供查询、更正个人信息的功能； 在报废或终止后，按法律法 用户要求对用户信息进行处理，或删除用户信息

5.1.1.5密码使用与管理

5.1.2安全保障要求

5.1.2.1设计和开发

网络产品和服务的提供者应： a）制定和实施网络产品和服务安全开发流程，减少设计、开发等过程中恶意程序植入、漏洞引入 的风险； b） 对设计文档、开发文档等进行配置管理，建立配置管理清单或相应程序，对配置项的变更进行 授权和控制； C 识别网络产品和服务在设计、开发环节的安全风险，制定安全策略，采取安全措施保障关键组 件的设计和开发安全； d 自行、联合或委托第三方对网络产品和服务（包括网络产品和服务中使用的第三方软硬件模 块进行安全测试； e 在开发阶段对已发现的安全缺陷、漏洞进行修复，对于不能在开发阶段及时修复的安全缺陷、 漏洞，制定并实施在用户侧进行紧急修复的安全管理流程

5.1.2.2生产和交付

网络产品和服务提供者应： a）采取完整性保护措施降低网络产品和服务中关键组件、过程和数据被篡改、伪造的风险，包括 但不限于对使用的第三方软硬件模块进行安全性检测等； b） 向用户说明包含在网络产品和服务中的所有与用户相关的功能模块和访向接口，包括但不限 于人机接口、调试接口等； c 通过用户协议、产品使用说明书或网站通报等途径，声明所提供的网络产品和服务中没有故意

留有或者设置漏洞、后门、木马等程序和功能

5.1.2.3运行和维护

网络产品和服务提供者应： a）建立和执行针对网络产品和服务安全缺陷、漏洞的应急响应机制和流程，对网络产品和服务在 运行和维护阶段暴露的安全缺陷、漏洞进行响应； b） 发现网络产品和服务存在安全缺陷、漏洞时，立即采取修复或替代方案等补救措施JG∕T 164-2004 砌筑砂浆增塑剂，按照国家 网络安全监测预警和信息通报制度等相关规定，及时告知用户安全风险，并向有关主管部门 报告； c）在法律法规规定或与用户约定的期限内，为网络产品和服务提供持续的安全维护，不因业务变 更、产权变更等原因单方面中断或终止安全维护； d 建立和实施规范的用户信息保护制度，当存在违反法律法规规定或者双方约定收集、使用用户 个人信息的情形时，应主动或在用户要求下删除个人信息； e 保护用户对软件安装、使用、升级、卸载的知情权和选择权，安装和升级软件时应明示告知用户 并获得用户同意，允许用户卸载或禁用完成业务目标所必备产品核心功能之外的软件，不得强 制或诱导用户安装或升级用户不知情的软件

5.2增强级安全通用要求

5.2. 1 安全功能要求

5.2.1.1身份标识和鉴别

具有用户身份标识和鉴别功能的网络产品和服务应： 对用户身份进行标识和鉴别，身份标识具有唯一性； 对用户身份鉴别凭证进行安全保护，防止鉴别凭证的泄露、套改： C） 告知用户网络产品和服务中与用户相关的所有预置的账户和默认口令，充许用户更改默认 口令； d） 在未修改默认口令时，限制核心功能的使用，并提示用户修改口令； 在采用基于口令的身份鉴别机制时，对用户设置的口令进行复杂度检查； f） 具有登录失败和超时安全处理等机制，包括但不限于连续登录失败后锁定用户账户，当发生用 户会话连接超时自动退出用户会话等

具有用户身份标识和鉴别功能的网络产品和服务应： 对用户身份进行标识和鉴别，身份标识具有唯一性； b） 对用户身份鉴别凭证进行安全保护，防止鉴别凭证的泄露、套改； C 告知用户网络产品和服务中与用户相关的所有预置的账户和默认口令，充许用户更改默认 口令； d） 在未修改默认口令时，限制核心功能的使用，并提示用户修改口令； 在采用基于口令的身份鉴别机制时，对用户设置的口令进行复杂度检查； f 具有登录失败和超时安全处理等机制，包括但不限于连续登录失败后锁定用户账户，当发生用 户会话连接超时自动退出用户会话等

《电磁兼容 试验和测量技术 0Hz～150kHz共模传导骚扰抗扰度试验 GB/T 17626.16-2007》5.2.1.2授权与访问控制