ICS 35.040 L80 GB 中华人民共和国国家标准 GB/T39276—2020 信息安全技术 网络产品和服务安全通用要求 Information security technology — General security requirements of network products and services 2020-11-19 发布 国家市场监督管理总局 国家标准化管理委员会 发布 2021-06-01 实施 前言 本标准按照 GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位包括：中国电子技术标准化研究院、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国信息通信研究院、国家计算机网络与信息安全管理中心、阿里巴巴（北京）软件服务有限公司、华为技术有限公司、腾讯计算机系统有限公司等多家单位。本标准主要起草人略。 1 范围 本标准规定了网络产品和服务应满足的安全通用要求，包括安全功能要求和安全保障要求。本标准适用于网络产品和服务提供者进行网络产品和服务的安全设计、安全实现和安全运行，也可用于指导第三方测评机构对网络产品和服务进行安全测评。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用；凡是不注日期的引用文件，其最新版本（包括所有修改单）适用。本文件引用 GB/T25069《信息安全技术 术语》。 3 术语和定义 GB/T25069 界定的以及下列术语和定义适用于本文件。 3.1 网络 network 由计算机或其他信息终端及相关设备组成的系统，按照一定规则和程序对信息进行收集、存储、传输、交换和处理。 3.2 网络产品 network product 作为网络组成部分以及实现网络功能的硬件、软件或系统，按照一定规则和程序实现信息的收集、存储、传输、交换和处理。注：包括计算机、通信设备、信息终端、工控网络设备、系统软件和应用软件等。 3.3 用户信息 user information 与个人、法人或其他组织有关的信息，以及定义和描述此类信息的数据。注：包括个人信息、用户生成的文档、程序、多媒体资料、通信内容、地址、时间、配置、运行及位置数据、系统运行日志等。 3.4 恶意程序 malware 用于实施网络攻击、干扰系统正常使用、破坏系统或窃取数据等行为的程序。注：包括病毒、蠕虫、木马及其他影响系统安全运行的程序。 3.5 安全缺陷 security flaw 由设计、开发、配置、生产或运维等阶段问题引入，可能影响网络产品和服务安全的弱点。 3.6 漏洞 vulnerability 网络产品和服务中能够被威胁利用的弱点。注：改写 GB/T25069—2010 定义2.3.30。 4 概述 本标准规定网络产品和服务安全通用要求，包括基本级与增强级安全要求。 5 安全通用要求 5.1 基本级安全通用要求 （内容略，涉及网络产品基础安全功能与防护要求） 5.2 增强级安全通用要求 （内容略，涉及更高等级的安全防护能力与安全保障机制）