正式標(biāo)準(zhǔn)號為GB/T 39276—2020  信息安全技術(shù)  網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求，其基本級安全通用要求如下。

　　基本級安全通用要求

　　1　安全功能要求

　　1.1　身份標(biāo)識和鑒

　　具有用戶身份標(biāo)識和鑒別功能的

　　網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：

　　a）對用戶身份進行標(biāo)識和鑒別，身份標(biāo)識具有唯一性；

　　b）對用戶身份鑒別憑證進行安全保護，防止鑒別憑證的泄露、篡改；

　　c）告知用戶網(wǎng)絡(luò)產(chǎn)品和服務(wù)中與用戶相關(guān)的所有預(yù)置的賬戶和默認(rèn)口令，允許用戶更改默認(rèn)口令；

　　d）在存在默認(rèn)口令時，提示用戶對默認(rèn)口令進行修改。

　　1.2　授權(quán)與訪問控制

　　具有授權(quán)與訪問控制功能的

　　網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：

　?。幔┌凑兆钚∈跈?quán)原則，在出廠時預(yù)置訪問控制策略，需要配置安全策略時，允許用戶更改訪問控制策略；

　?。猓┰谟脩粼L問受控資源或功能時，依據(jù)設(shè)置的訪問控制策略進行訪問控制，保障訪問和操作的安全；

　?。悖┎淮嬖诩虞d或運行后會禁用或繞過訪問控制機制的組件

　　1.3　日志記錄與審計

　　具有日志記錄與審計功能的

　　網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：

　?。幔τ脩糍~戶的登錄、注銷、系統(tǒng)開關(guān)機和核心配置變更等操作進行日志記錄；

　　ｂ）在日志記錄中包括事件發(fā)生的日期和時間、事件的類型、主體身份、事件操作結(jié)果等；

　　ｃ）對日志記錄進行安全保護，防止日志記錄的損毀或未授權(quán)的追加、訪問、修改、刪除等。

　　1.1.1.4　用戶信息安全保護

　　具有用戶信息收集、處理等功能的

　　網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：

　?。幔┏煞ㄒ?guī)另有規(guī)定外，明確告知收集用戶信息的目的、用途、范圍和類型，在獲得用戶同意后，方可收集用戶信息；

　　ｂ）將收集的用戶信息僅用于用戶同意的目的和用途；

　　ｃ）在收集實現(xiàn)網(wǎng)絡(luò)產(chǎn)品和服務(wù)功能所需的用戶信息時遵循最小化原則；

　?。洌┎扇“踩胧┍Ｗo個人信息等重要用戶信息的安全，防止泄露、篡改、損毀、丟失；

　?。澹┪唇?jīng)用戶同意，不得向他人提供可精確定位到特定個人的信息；

　?。妫┰诜戏煞ㄒ?guī)且技術(shù)可行條件下，向用戶提供查詢、更正個人信息的功能；

　?。纾┰趫髲U或終止后，按法律法規(guī)、用戶要求對用戶信息進行處理，或刪除用戶信息。

　　1.1.1.5　密碼使用與管理

　　采用了密碼技術(shù)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)符合國家密碼管理相關(guān)規(guī)定。

　　1.1.2　安全保障要求

　　1.1.2.1　設(shè)計和開發(fā)

　　網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者應(yīng)：

　?。幔┲贫ê蛯嵤┚W(wǎng)絡(luò)產(chǎn)品和服務(wù)安全開發(fā)流程，減少設(shè)計、開發(fā)等過程中惡意程序植入、漏洞引入的風(fēng)險；

　?。猓υO(shè)計文檔、開發(fā)文檔等進行配置管理，建立配置管理清單或相應(yīng)程序，對配置項的變更進行授權(quán)和控制；

　?。悖┳R別網(wǎng)絡(luò)產(chǎn)品和服務(wù)在設(shè)計、開發(fā)環(huán)節(jié)的安全風(fēng)險，制定安全策略，采取安全措施保障關(guān)鍵組件的設(shè)計和開發(fā)安全；

　?。洌┳孕?、聯(lián)合或委托第三方對網(wǎng)絡(luò)產(chǎn)品和服務(wù)（包括網(wǎng)絡(luò)產(chǎn)品和服務(wù)中使用的第三方軟硬件模塊）進行安全測試；

　?。澹┰陂_發(fā)階段對已發(fā)現(xiàn)的安全缺陷、漏洞進行修復(fù)，對于不能在開發(fā)階段及時修復(fù)的安全缺陷、漏洞，制定并實施在用戶側(cè)進行緊急修復(fù)的安全管理流程。

　　1.1.2.2　生產(chǎn)和交付

　　網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)：

　?。幔┎扇⊥暾员Ｗo措施降低網(wǎng)絡(luò)產(chǎn)品和服務(wù)中關(guān)鍵組件、過程和數(shù)據(jù)被篡改、偽造的風(fēng)險，包括但不限于對使用的第三方軟硬件模塊進行安全性檢測等；

　?。猓┫蛴脩粽f明包含在網(wǎng)絡(luò)產(chǎn)品和服務(wù)中的所有與用戶相關(guān)的功能模塊和訪問接口，包括但不限于人機接口、調(diào)試接口等；

　　ｃ）通過用戶協(xié)議、產(chǎn)品使用說明書或網(wǎng)站通報等途徑，聲明所提供的網(wǎng)絡(luò)產(chǎn)品和服務(wù)中沒有故意留有或者設(shè)置漏洞、后門、木馬等程序和功能。

　　1.1.2.3　運行和維護

　　網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)：

　?。幔┙⒑蛨?zhí)行針對網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全缺陷、漏洞的應(yīng)急響應(yīng)機制和流程，對網(wǎng)絡(luò)產(chǎn)品和服務(wù)在運行和維護階段暴露的安全缺陷、漏洞進行響應(yīng)；

　?。猓┌l(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在安全缺陷、漏洞時，立即采取修復(fù)或替代方案等補救措施，按照國家網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度等相關(guān)規(guī)定，及時告知用戶安全風(fēng)險，并向有關(guān)主管部門報告；ｃ）在法律法規(guī)規(guī)定或與用戶約定的期限內(nèi)，為網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供持續(xù)的安全維護，不因業(yè)務(wù)變更、產(chǎn)權(quán)變更等原因單方面中斷或終止安全維護；

　　ｄ）建立和實施規(guī)范的用戶信息保護制度，當(dāng)存在違反法律法規(guī)規(guī)定或者雙方約定收集、使用用戶個人信息的情形時，應(yīng)主動或在用戶要求下刪除個人信息；

　?。澹┍Ｗo用戶對軟件安裝、使用、升級、卸載的知情權(quán)和選擇權(quán)，安裝和升級軟件時應(yīng)明示告知用戶并獲得用戶同意，允許用戶卸載或禁用完成業(yè)務(wù)目標(biāo)所必備產(chǎn)品核心功能之外的軟件，不得強制或誘導(dǎo)用戶安裝或升級用戶不知情的軟件

　　說實在的，在此前我個人是不太注意哪些產(chǎn)品是需要滿足一般安全要求，哪些產(chǎn)品是需要滿足增強安全要求，正好結(jié)合《信息安全技術(shù) 網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求》這個標(biāo)準(zhǔn)的征求意見稿，我們探討一下這個問題。

　　在征求意見稿中，這樣描述：在我國境內(nèi)銷售或提供的所有網(wǎng)絡(luò)產(chǎn)品和服務(wù)必須滿足一般安全要求，其中網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品還必須滿足增強安全要求。網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品范圍，具體參照國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家認(rèn)證認(rèn)可監(jiān)督管理委員會聯(lián)合印發(fā)的《關(guān)于發(fā)布<網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄>的公告》。

　　網(wǎng)絡(luò)安全等級保護是一個網(wǎng)絡(luò)安全領(lǐng)域合規(guī)的一個基本條件，而網(wǎng)絡(luò)安全等級保護是體系化的工作，需要安全監(jiān)管部門、行業(yè)主管單位（部門）、安全服務(wù)商、網(wǎng)絡(luò)運營者、測評機構(gòu)多方參與，而又需要各司其職。充分理解等級保護工作的重要性的同時，也需要各方都對等級保護有個充分的認(rèn)知，同時各方又能提供足夠?qū)I(yè)符合等級保護工作的服務(wù)及售后服務(wù)。

　　我將努力為在等級保護工作中需要幫忙的朋友們，提供力所能及的幫助。與各行各業(yè)各單位在網(wǎng)絡(luò)安全等級保護以及關(guān)鍵信息安全保護的工作中，共同進步。期待與你們一起加油！