今天，我們先回過(guò)頭來(lái)，熟悉一下有關(guān)國(guó)家標(biāo)準(zhǔn)對(duì)“網(wǎng)絡(luò)產(chǎn)品”和“網(wǎng)絡(luò)服務(wù)”這兩個(gè)術(shù)語(yǔ)的定義。

　　網(wǎng)絡(luò)產(chǎn)品 network product

　　作為網(wǎng)絡(luò)組成部分以及實(shí)現(xiàn)網(wǎng)絡(luò)功能的硬件、軟件或系統(tǒng)，按照一定的規(guī)則和程序?qū)崿F(xiàn)信息的收集、存儲(chǔ)、傳輸、交換和處理。

　　注：網(wǎng)絡(luò)產(chǎn)品包括計(jì)算機(jī)、通信設(shè)備、信息終端、工控網(wǎng)絡(luò)設(shè)備、系統(tǒng)軟件和應(yīng)用軟件等。

　　網(wǎng)絡(luò)服務(wù) network service

　　供方為滿足需方要求提供的信息技術(shù)開(kāi)發(fā)、應(yīng)用活動(dòng)，以及以網(wǎng)絡(luò)技術(shù)為手段支持需方業(yè)務(wù)的一系列活動(dòng)。

　　注：常見(jiàn)的網(wǎng)絡(luò)服務(wù)包括云計(jì)算服務(wù)、網(wǎng)絡(luò)通信服務(wù)、數(shù)據(jù)處理和存儲(chǔ)服務(wù)、信息技術(shù)咨詢服務(wù)、設(shè)計(jì)與開(kāi)發(fā)服務(wù)、信息系統(tǒng)集成實(shí)施服務(wù)、信息系統(tǒng)運(yùn)維服務(wù)等。

　?。ā熬W(wǎng)絡(luò)服務(wù)”援引征求意見(jiàn)稿解釋）

　　增強(qiáng)級(jí)安全通用要求

　　1安全功能要求

　　1.1身份標(biāo)識(shí)和鑒別

　　具有用戶身份標(biāo)識(shí)和鑒別功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：

　　a）對(duì)用戶身份進(jìn)行標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性；

　　b）對(duì)用戶身份鑒別憑證進(jìn)行安全保護(hù)，防止鑒別憑證的泄露、篡改；

　　c）告知用戶網(wǎng)絡(luò)產(chǎn)品和服務(wù)中與用戶相關(guān)的所有預(yù)置的賬戶和默認(rèn)口令，允許用戶更改默認(rèn)口令；

　　d）在未修改默認(rèn)口令時(shí)，限制核心功能的使用，并提示用戶修改口令；

　　e）在采用基于口令的身份鑒別機(jī)制時(shí)，對(duì)用戶設(shè)置的口令進(jìn)行復(fù)雜度檢查；

　　f）具有登錄失敗和超時(shí)安全處理等機(jī)制，包括但不限于連續(xù)登錄失敗后鎖定用戶賬戶，當(dāng)發(fā)生用戶會(huì)話連接超時(shí)自動(dòng)退出用戶會(huì)話等。

　　1.2授權(quán)與訪問(wèn)控制

　　具有授權(quán)與訪問(wèn)控制功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：

　　a）按照最小授權(quán)原則，在出廠時(shí)預(yù)置訪問(wèn)控制策略，需要配置安全策略時(shí)，允許用戶更改訪問(wèn)控制策略；

　　b）在用戶訪問(wèn)受控資源或功能時(shí)，依據(jù)設(shè)置的訪問(wèn)控制策略進(jìn)行訪問(wèn)控制，保障訪問(wèn)和操作的安全；

　　c）不存在加載或運(yùn)行后會(huì)禁用或繞過(guò)訪問(wèn)控制機(jī)制的組件；

　　d）支持對(duì)不同用戶賬號(hào)或應(yīng)用軟件授予完成各自承擔(dān)任務(wù)所需的最小訪問(wèn)權(quán)限。

　　1.3日志記錄與審計(jì)

　　具有日志記錄與審計(jì)功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：

　　a）對(duì)用戶賬戶的登錄、注銷(xiāo)、系統(tǒng)開(kāi)關(guān)機(jī)和核心配置變更等操作進(jìn)行日志記錄；

　　b）在日志記錄中包括事件發(fā)生的日期和時(shí)間、事件的類(lèi)型、主體身份、事件操作結(jié)果等；

　　c）對(duì)日志記錄進(jìn)行安全保護(hù)，防止日志記錄的損毀或未授權(quán)的追加、訪問(wèn)、修改、刪除等；

　　d）提供設(shè)置日志記錄存儲(chǔ)容量、保存時(shí)間的功能，日志保存時(shí)間應(yīng)滿足國(guó)家有關(guān)規(guī)定。

　　1.4信息通信安全保護(hù)

　　具有信息通信安全保護(hù)功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：

　　a）在通信雙方建立網(wǎng)絡(luò)連接時(shí)，驗(yàn)證通信端身份真實(shí)性；

　　b）提供安全措施保障通信數(shù)據(jù)的保密性、完整性、可用性；

　　c）保障通信協(xié)議的安全性，可抵御常見(jiàn)的重放攻擊、中間人攻擊等安全威脅。

　　1.5用戶信息安全保護(hù)

　　具有用戶信息收集、處理等功能的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)：

　　a）除法律法規(guī)另有規(guī)定外，明確告知收集用戶信息的目的、用途、范圍和類(lèi)型，在獲得用戶同意后，方可收集用戶信息；

　　b）將收集的用戶信息僅用于用戶同意的目的和用途；

　　c）在收集實(shí)現(xiàn)網(wǎng)絡(luò)產(chǎn)品和服務(wù)功能所需的用戶信息時(shí)遵循最小化原則；

　　d）采取安全措施保護(hù)個(gè)人信息等重要用戶信息的安全，防止泄露、篡改、損毀、丟失；

　　e）未經(jīng)用戶同意，不得向他人提供可精確定位到特定個(gè)人的信息；

　　f）在符合法律法規(guī)且技術(shù)可行條件下，向用戶提供查詢、更正個(gè)人信息的功能；

　　g）在報(bào)廢或終止后，按法律法規(guī)、用戶要求對(duì)用戶信息進(jìn)行處理，或刪除用戶信息；

　　h）在傳輸和存儲(chǔ)個(gè)人敏感信息時(shí)，采取加密等安全措施。

　　1.6密碼使用與管理

　　采用了密碼技術(shù)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)應(yīng)符合國(guó)家密碼管理相關(guān)規(guī)定。

　　2安全保障要求

　　2.1設(shè)計(jì)和開(kāi)發(fā)

　　網(wǎng)絡(luò)產(chǎn)品和服務(wù)的提供者應(yīng)：

　　a）制定和實(shí)施網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全開(kāi)發(fā)流程，減少設(shè)計(jì)、開(kāi)發(fā)等過(guò)程中惡意程序植入、漏洞引入的風(fēng)險(xiǎn)；

　　b）對(duì)設(shè)計(jì)文檔、開(kāi)發(fā)文檔等進(jìn)行配置管理，建立配置管理清單或相應(yīng)程序，對(duì)配置項(xiàng)的變更進(jìn)行授權(quán)和控制；

　　c）識(shí)別網(wǎng)絡(luò)產(chǎn)品和服務(wù)在設(shè)計(jì)、開(kāi)發(fā)環(huán)節(jié)的安全風(fēng)險(xiǎn)，制定安全策略，采取安全措施保障關(guān)鍵組件的設(shè)計(jì)和開(kāi)發(fā)安全；

　　d）自行、聯(lián)合或委托第三方對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)（包括網(wǎng)絡(luò)產(chǎn)品和服務(wù)中使用的第三方軟硬件模塊）進(jìn)行安全測(cè)試；

　　e）在開(kāi)發(fā)階段對(duì)已發(fā)現(xiàn)的安全缺陷、漏洞進(jìn)行修復(fù)，對(duì)于不能在開(kāi)發(fā)階段及時(shí)修復(fù)的安全缺陷、漏洞，制定并實(shí)施在用戶側(cè)進(jìn)行緊急修復(fù)的安全管理流程；

　　f）提供設(shè)計(jì)與實(shí)現(xiàn)之間的對(duì)應(yīng)關(guān)系，并證明其一致性。

　　2.2生產(chǎn)和交付

　　網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)：

　　a）采取完整性保護(hù)措施降低網(wǎng)絡(luò)產(chǎn)品和服務(wù)中關(guān)鍵組件、過(guò)程和數(shù)據(jù)被篡改、偽造的風(fēng)險(xiǎn)，包括但不限于對(duì)使用的第三方軟硬件模塊進(jìn)行安全性檢測(cè)等；

　　b）向用戶說(shuō)明包含在網(wǎng)絡(luò)產(chǎn)品和服務(wù)中的所有與用戶相關(guān)的功能模塊和訪問(wèn)接口，包括但不限于人機(jī)接口、調(diào)試接口等；

　　c）通過(guò)用戶協(xié)議、產(chǎn)品使用說(shuō)明書(shū)或網(wǎng)站通報(bào)等途徑，聲明所提供的網(wǎng)絡(luò)產(chǎn)品和服務(wù)中沒(méi)有故意留有或者設(shè)置漏洞、后門(mén)、木馬等程序和功能；

　　d）建立和實(shí)施規(guī)范的產(chǎn)品生產(chǎn)和服務(wù)交付流程，在關(guān)鍵環(huán)節(jié)實(shí)施安全檢查和驗(yàn)證，減少產(chǎn)品生產(chǎn)和服務(wù)交付過(guò)程中的安全風(fēng)險(xiǎn)；

　　e）為用戶提供驗(yàn)證所交付產(chǎn)品完整性必需的安全措施，減少產(chǎn)品交付過(guò)程中的篡改風(fēng)險(xiǎn)；

　　f）為用戶提供操作指南等指導(dǎo)性文檔，明確產(chǎn)品典型部署環(huán)境應(yīng)滿足的安全要求，描述產(chǎn)品使用過(guò)程中涉及的各用戶角色和安全責(zé)任，給出風(fēng)險(xiǎn)提示和應(yīng)急響應(yīng)措施。

　　5.2.2.3運(yùn)行和維護(hù)

　　網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)：

　　a）建立和執(zhí)行針對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全缺陷、漏洞的應(yīng)急響應(yīng)機(jī)制和流程，對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)在運(yùn)行和維護(hù)階段暴露的安全缺陷、漏洞進(jìn)行響應(yīng)。

　　b）發(fā)現(xiàn)網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在安全缺陷、漏洞時(shí)，立即采取修復(fù)或替代方案等補(bǔ)救措施，按照國(guó)家網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度等相關(guān)規(guī)定，及時(shí)告知用戶安全風(fēng)險(xiǎn)，并向有關(guān)主管部門(mén)報(bào)告。

　　c）在法律法規(guī)規(guī)定或與用戶約定的期限內(nèi)，為網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供持續(xù)的安全維護(hù)，不因業(yè)務(wù)變更、產(chǎn)權(quán)變更等原因單方面中斷或終止安全維護(hù)。

　　d）建立和實(shí)施規(guī)范的用戶信息保護(hù)制度，當(dāng)存在違反法律法規(guī)規(guī)定或者雙方約定收集、使用用戶個(gè)人信息的情形時(shí)，應(yīng)主動(dòng)或在用戶要求下刪除個(gè)人信息。

　　e）保護(hù)用戶對(duì)軟件安裝、使用、升級(jí)、卸載的知情權(quán)和選擇權(quán)，安裝和升級(jí)軟件時(shí)應(yīng)明示告知用戶并獲得用戶同意，允許用戶卸載或禁用完成業(yè)務(wù)目標(biāo)所必備產(chǎn)品核心功能之外的軟件，不得強(qiáng)制或誘導(dǎo)用戶安裝或升級(jí)用戶不知情的軟件。

　　f）在對(duì)產(chǎn)品和服務(wù)的安全缺陷、漏洞進(jìn)行修復(fù)時(shí)，提前告知用戶將采取的處置操作和可能產(chǎn)生的影響。

　　g）為用戶信息在不同網(wǎng)絡(luò)產(chǎn)品和服務(wù)間遷移提供必要的技術(shù)支持，允許用戶導(dǎo)出或備份用戶信息。

　　h）在遠(yuǎn)程維護(hù)網(wǎng)絡(luò)產(chǎn)品前，明確告知用戶遠(yuǎn)程維護(hù)的目的和范圍，并獲得用戶授權(quán)同意。為用戶提供中止網(wǎng)絡(luò)產(chǎn)品遠(yuǎn)程維護(hù)的方式。遠(yuǎn)程維護(hù)中止或結(jié)束時(shí)，遠(yuǎn)程維護(hù)權(quán)限自動(dòng)撤銷(xiāo)。

　　i）在遠(yuǎn)程維護(hù)網(wǎng)絡(luò)產(chǎn)品時(shí)，在用戶側(cè)顯示提示信息，記錄遠(yuǎn)程維護(hù)的所有操作，生成審計(jì)日志供用戶查閱。

　　j）在升級(jí)網(wǎng)絡(luò)產(chǎn)品和服務(wù)前告知用戶升級(jí)的內(nèi)容，包括變更情況、相關(guān)安全風(fēng)險(xiǎn)、風(fēng)險(xiǎn)應(yīng)對(duì)措施等，獲得用戶授權(quán)同意后方可實(shí)施升級(jí)，允許用戶選擇不接受升級(jí)。

　　k）在用戶需要時(shí)，為用戶提供支持網(wǎng)絡(luò)產(chǎn)品和服務(wù)升級(jí)包的完整性、來(lái)源真實(shí)性等安全校驗(yàn)的方法或工具。

　　l）保護(hù)網(wǎng)絡(luò)產(chǎn)品和服務(wù)在運(yùn)行維護(hù)過(guò)程中的用戶信息，防止用戶信息泄露、篡改、損毀、丟失。

　　m）在跨境傳輸個(gè)人信息和重要數(shù)據(jù)時(shí)，符合國(guó)家數(shù)據(jù)出境管理有關(guān)規(guī)定。