今天，我們先回過頭來，熟悉一下有關國家標準對“網(wǎng)絡產(chǎn)品”和“網(wǎng)絡服務”這兩個術語的定義。

　　網(wǎng)絡產(chǎn)品 network product

　　作為網(wǎng)絡組成部分以及實現(xiàn)網(wǎng)絡功能的硬件、軟件或系統(tǒng)，按照一定的規(guī)則和程序?qū)崿F(xiàn)信息的收集、存儲、傳輸、交換和處理。

　　注：網(wǎng)絡產(chǎn)品包括計算機、通信設備、信息終端、工控網(wǎng)絡設備、系統(tǒng)軟件和應用軟件等。

　　網(wǎng)絡服務 network service

　　供方為滿足需方要求提供的信息技術開發(fā)、應用活動，以及以網(wǎng)絡技術為手段支持需方業(yè)務的一系列活動。

　　注：常見的網(wǎng)絡服務包括云計算服務、網(wǎng)絡通信服務、數(shù)據(jù)處理和存儲服務、信息技術咨詢服務、設計與開發(fā)服務、信息系統(tǒng)集成實施服務、信息系統(tǒng)運維服務等。

　　（“網(wǎng)絡服務”援引征求意見稿解釋）

　　增強級安全通用要求

　　1安全功能要求

　　1.1身份標識和鑒別

　　具有用戶身份標識和鑒別功能的網(wǎng)絡產(chǎn)品和服務應：

　　a）對用戶身份進行標識和鑒別，身份標識具有唯一性；

　　b）對用戶身份鑒別憑證進行安全保護，防止鑒別憑證的泄露、篡改；

　　c）告知用戶網(wǎng)絡產(chǎn)品和服務中與用戶相關的所有預置的賬戶和默認口令，允許用戶更改默認口令；

　　d）在未修改默認口令時，限制核心功能的使用，并提示用戶修改口令；

　　e）在采用基于口令的身份鑒別機制時，對用戶設置的口令進行復雜度檢查；

　　f）具有登錄失敗和超時安全處理等機制，包括但不限于連續(xù)登錄失敗后鎖定用戶賬戶，當發(fā)生用戶會話連接超時自動退出用戶會話等。

　　1.2授權與訪問控制

　　具有授權與訪問控制功能的網(wǎng)絡產(chǎn)品和服務應：

　　a）按照最小授權原則，在出廠時預置訪問控制策略，需要配置安全策略時，允許用戶更改訪問控制策略；

　　b）在用戶訪問受控資源或功能時，依據(jù)設置的訪問控制策略進行訪問控制，保障訪問和操作的安全；

　　c）不存在加載或運行后會禁用或繞過訪問控制機制的組件；

　　d）支持對不同用戶賬號或應用軟件授予完成各自承擔任務所需的最小訪問權限。

　　1.3日志記錄與審計

　　具有日志記錄與審計功能的網(wǎng)絡產(chǎn)品和服務應：

　　a）對用戶賬戶的登錄、注銷、系統(tǒng)開關機和核心配置變更等操作進行日志記錄；

　　b）在日志記錄中包括事件發(fā)生的日期和時間、事件的類型、主體身份、事件操作結(jié)果等；

　　c）對日志記錄進行安全保護，防止日志記錄的損毀或未授權的追加、訪問、修改、刪除等；

　　d）提供設置日志記錄存儲容量、保存時間的功能，日志保存時間應滿足國家有關規(guī)定。

　　1.4信息通信安全保護

　　具有信息通信安全保護功能的網(wǎng)絡產(chǎn)品和服務應：

　　a）在通信雙方建立網(wǎng)絡連接時，驗證通信端身份真實性；

　　b）提供安全措施保障通信數(shù)據(jù)的保密性、完整性、可用性；

　　c）保障通信協(xié)議的安全性，可抵御常見的重放攻擊、中間人攻擊等安全威脅。

　　1.5用戶信息安全保護

　　具有用戶信息收集、處理等功能的網(wǎng)絡產(chǎn)品和服務應：

　　a）除法律法規(guī)另有規(guī)定外，明確告知收集用戶信息的目的、用途、范圍和類型，在獲得用戶同意后，方可收集用戶信息；

　　b）將收集的用戶信息僅用于用戶同意的目的和用途；

　　c）在收集實現(xiàn)網(wǎng)絡產(chǎn)品和服務功能所需的用戶信息時遵循最小化原則；

　　d）采取安全措施保護個人信息等重要用戶信息的安全，防止泄露、篡改、損毀、丟失；

　　e）未經(jīng)用戶同意，不得向他人提供可精確定位到特定個人的信息；

　　f）在符合法律法規(guī)且技術可行條件下，向用戶提供查詢、更正個人信息的功能；

　　g）在報廢或終止后，按法律法規(guī)、用戶要求對用戶信息進行處理，或刪除用戶信息；

　　h）在傳輸和存儲個人敏感信息時，采取加密等安全措施。

　　1.6密碼使用與管理

　　采用了密碼技術的網(wǎng)絡產(chǎn)品和服務應符合國家密碼管理相關規(guī)定。

　　2安全保障要求

　　2.1設計和開發(fā)

　　網(wǎng)絡產(chǎn)品和服務的提供者應：

　　a）制定和實施網(wǎng)絡產(chǎn)品和服務安全開發(fā)流程，減少設計、開發(fā)等過程中惡意程序植入、漏洞引入的風險；

　　b）對設計文檔、開發(fā)文檔等進行配置管理，建立配置管理清單或相應程序，對配置項的變更進行授權和控制；

　　c）識別網(wǎng)絡產(chǎn)品和服務在設計、開發(fā)環(huán)節(jié)的安全風險，制定安全策略，采取安全措施保障關鍵組件的設計和開發(fā)安全；

　　d）自行、聯(lián)合或委托第三方對網(wǎng)絡產(chǎn)品和服務（包括網(wǎng)絡產(chǎn)品和服務中使用的第三方軟硬件模塊）進行安全測試；

　　e）在開發(fā)階段對已發(fā)現(xiàn)的安全缺陷、漏洞進行修復，對于不能在開發(fā)階段及時修復的安全缺陷、漏洞，制定并實施在用戶側(cè)進行緊急修復的安全管理流程；

　　f）提供設計與實現(xiàn)之間的對應關系，并證明其一致性。

　　2.2生產(chǎn)和交付

　　網(wǎng)絡產(chǎn)品和服務提供者應：

　　a）采取完整性保護措施降低網(wǎng)絡產(chǎn)品和服務中關鍵組件、過程和數(shù)據(jù)被篡改、偽造的風險，包括但不限于對使用的第三方軟硬件模塊進行安全性檢測等；

　　b）向用戶說明包含在網(wǎng)絡產(chǎn)品和服務中的所有與用戶相關的功能模塊和訪問接口，包括但不限于人機接口、調(diào)試接口等；

　　c）通過用戶協(xié)議、產(chǎn)品使用說明書或網(wǎng)站通報等途徑，聲明所提供的網(wǎng)絡產(chǎn)品和服務中沒有故意留有或者設置漏洞、后門、木馬等程序和功能；

　　d）建立和實施規(guī)范的產(chǎn)品生產(chǎn)和服務交付流程，在關鍵環(huán)節(jié)實施安全檢查和驗證，減少產(chǎn)品生產(chǎn)和服務交付過程中的安全風險；

　　e）為用戶提供驗證所交付產(chǎn)品完整性必需的安全措施，減少產(chǎn)品交付過程中的篡改風險；

　　f）為用戶提供操作指南等指導性文檔，明確產(chǎn)品典型部署環(huán)境應滿足的安全要求，描述產(chǎn)品使用過程中涉及的各用戶角色和安全責任，給出風險提示和應急響應措施。

　　5.2.2.3運行和維護

　　網(wǎng)絡產(chǎn)品和服務提供者應：

　　a）建立和執(zhí)行針對網(wǎng)絡產(chǎn)品和服務安全缺陷、漏洞的應急響應機制和流程，對網(wǎng)絡產(chǎn)品和服務在運行和維護階段暴露的安全缺陷、漏洞進行響應。

　　b）發(fā)現(xiàn)網(wǎng)絡產(chǎn)品和服務存在安全缺陷、漏洞時，立即采取修復或替代方案等補救措施，按照國家網(wǎng)絡安全監(jiān)測預警和信息通報制度等相關規(guī)定，及時告知用戶安全風險，并向有關主管部門報告。

　　c）在法律法規(guī)規(guī)定或與用戶約定的期限內(nèi)，為網(wǎng)絡產(chǎn)品和服務提供持續(xù)的安全維護，不因業(yè)務變更、產(chǎn)權變更等原因單方面中斷或終止安全維護。

　　d）建立和實施規(guī)范的用戶信息保護制度，當存在違反法律法規(guī)規(guī)定或者雙方約定收集、使用用戶個人信息的情形時，應主動或在用戶要求下刪除個人信息。

　　e）保護用戶對軟件安裝、使用、升級、卸載的知情權和選擇權，安裝和升級軟件時應明示告知用戶并獲得用戶同意，允許用戶卸載或禁用完成業(yè)務目標所必備產(chǎn)品核心功能之外的軟件，不得強制或誘導用戶安裝或升級用戶不知情的軟件。

　　f）在對產(chǎn)品和服務的安全缺陷、漏洞進行修復時，提前告知用戶將采取的處置操作和可能產(chǎn)生的影響。

　　g）為用戶信息在不同網(wǎng)絡產(chǎn)品和服務間遷移提供必要的技術支持，允許用戶導出或備份用戶信息。

　　h）在遠程維護網(wǎng)絡產(chǎn)品前，明確告知用戶遠程維護的目的和范圍，并獲得用戶授權同意。為用戶提供中止網(wǎng)絡產(chǎn)品遠程維護的方式。遠程維護中止或結(jié)束時，遠程維護權限自動撤銷。

　　i）在遠程維護網(wǎng)絡產(chǎn)品時，在用戶側(cè)顯示提示信息，記錄遠程維護的所有操作，生成審計日志供用戶查閱。

　　j）在升級網(wǎng)絡產(chǎn)品和服務前告知用戶升級的內(nèi)容，包括變更情況、相關安全風險、風險應對措施等，獲得用戶授權同意后方可實施升級，允許用戶選擇不接受升級。

　　k）在用戶需要時，為用戶提供支持網(wǎng)絡產(chǎn)品和服務升級包的完整性、來源真實性等安全校驗的方法或工具。

　　l）保護網(wǎng)絡產(chǎn)品和服務在運行維護過程中的用戶信息，防止用戶信息泄露、篡改、損毀、丟失。

　　m）在跨境傳輸個人信息和重要數(shù)據(jù)時，符合國家數(shù)據(jù)出境管理有關規(guī)定。