| 标准编号 | GB/T 29244-2024 (GB/T29244-2024) | | 中文名称 | 网络安全技术 办公设备安全规范 | | 英文名称 | Cybersecurity technology - Security specification for office devices | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 22,279 | | 发布日期 | 2024-09-29 | | 实施日期 | 2025-04-01 | | 旧标准 (被替代) | GB/T 29244-2012,GB/T 38558-2020 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 29244-2024: 网络安全技术 办公设备安全规范
ICS 35.030
CCSL80
中华人民共和国国家标准
代替GB/T 29244-2012,GB/T 38558-2020
网络安全技术 办公设备安全规范
2024-09-29发布
2025-04-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 通则 2
6 安全技术要求 2
6.1 安全功能要求 2
6.2 安全保障要求 4
7 测评方法 6
7.1 安全功能要求测评方法 6
7.2 安全保障要求测评方法 8
附录A(规范性) 办公设备分类及安全技术要求等级划分 11
附录B(规范性) 办公设备分类及测评方法等级划分 14
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件代替GB/T 29244-2012《信息安全技术 办公设备基本安全要求》和GB/T 38558-2020
《信息安全技术 办公设备安全测试方法》,与GB/T 29244-2012和GB/T 38558-2020相比,除结构
调整和编辑性改动外,主要技术变化如下:
---增加了概述(见第5章);
---更改了术语和定义(见第3章,GB/T 29244-2012年版的第3章);
---增加了“固件安全”相关要求(见6.1.3)和对应测评方法(见7.1.3);
---增加了“安全保障要求”和对应测评方法(见6.2和7.2);
---更改“安全审计”为“日志记录与审计”(见6.1.4,GB/T 29244-2012年版的4.3);
---更改“会话”为“通信安全”(见6.1.6,GB/T 29244-2012年版的4.7);
---更改“数据管理”为“用户数据安全”(见6.1.5,GB/T 29244-2012年版的5.2);
---更改“安全属性管理”为“配置安全”(见6.1.8,GB/T 29244-2012年版的5.1)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、国家信息
技术安全研究中心、珠海奔图电子有限公司、北京大学、爱普生(中国)有限公司、富士胶片商业创新(中
国)有限公司、长扬科技(北京)股份有限公司、中国惠普有限公司、联想(北京)有限公司、启明星辰信息
技术集团股份有限公司、柯尼卡美能达(中国)投资有限公司、佳能(中国)有限公司、广电计量检测集团
股份有限公司、国家办公设备及耗材质量检验检测中心(天津天复检测技术有限公司)、理想(中国)科学
工业有限公司、北京高德品创科技有限公司、夏普办公设备(常熟)有限公司、珠海天威飞马打印耗材有
限公司、兄弟(中国)商业有限公司、杭州安恒信息技术股份有限公司、东芝泰格信息系统(深圳)有限公
司、新华三技术有限公司、北京数安行科技有限公司、北京中科微澜科技有限公司、天津光电通信技术有
限公司、中国科学院软件研究所、国网区块链科技(北京)有限公司。
本文件主要起草人:杨建军、孙彦、张东举、上官晓丽、李奕希、王西子、赵新强、彭继兵、张芝军、
陈韵然、谢安明、喻梁文、祝晴、赵华、杨丰辰、李汝鑫、杨天识、陈挺、杨晨、唐迪、张宇、胡权、王正良、
范志国、乔怀信、何钢、陈星、王恒博、陈勇、万晓兰、刘玉红、郭维、孙芳、晏敏、石竹玉。
本文件及其所代替文件的历次版本发布情况为:
---2012年首次发布为GB/T 29244-2012,2020年首次发布为GB/T 38558-2020;
---本次为第一次修订。
网络安全技术 办公设备安全规范
1 范围
本文件规定了办公设备的安全功能要求、安全保障要求和测评方法。
本文件适用于办公设备的采购、测评、维护和管理,也适用于办公设备的安全设计、实现和运行。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 18336 信息技术 安全技术 信息技术安全评估准则
GB/T 25069 信息安全技术 术语
GB/T 29829 信息安全技术 可信计算密码支撑平台功能与接口规范
3 术语和定义
GB/T 18336和GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
办公设备 officedevice
用于产生或处理电子或其他媒体文件的设备。
注:办公设备主要是指具有打印、扫描、传真、复印中的一项或多项功能的设备。
3.2
管理员 administrator
被授权管理办公设备的某些部分或所有部分的用户。
3.3
用户 user
操作办公设备,或与办公设备进行交互的实体(人或信息技术实体)。
3.4
用户数据 userdata
由用户创建或为用户而创建,且不影响办公设备安全功能运行的数据。
注:用户数据包括用户文档数据和用户功能数据。
3.5
非易失性存储器 nonvolatilestorage
存储的数据不因电源关闭而丢失的存储器。
注:非易失性存储器主要包括内置或者外接的硬盘、通用串行总线(USB)盘、安全数字(SD)卡、闪存。
3.6
固件 firmware
实现办公设备接口通信、安全功能、数据解析、图像处理、引擎控制等的程序。
3.7
主控制芯片 mastercontrolchip
负责数据解析、图像处理、作业管理和控制打印头并直接输出二进制影像数据的集成电路芯片或芯
片集合。
3.8
数据控制板 datacontrolboard
内置于办公设备,集成了主控制芯片且负责数据控制功能的电路板。
注:数据控制功能包括数据通信,作业分配管理,作业数据解析,打印、复印、扫描数据的图像处理,二进制影像数据
的输出控制等。
4 缩略语
下列缩略语适用于本文件。
IP:因特网协议(InternetProtocol)
5 通则
办公设备的安全技术要求包括安全功能要求和安全保障要求。其中,安全功能要求是对办公设备
应具备的安全功能提出的具体要求。安全保障要求是对办公设备提供者在办公设备设计、开发、生产、
交付、运行、维护和供应链管理等过程中应采取的安全保障措施提出的具体要求。
本文件将办公设备的安全等级分为基本级和增强级。安全功能的强弱,以及安全保障要求的高低
是办公设备安全等级划分的依据。办公设备安全技术等级划分应符合附录A的要求,测评方法等级划
分应符合附录B的要求。
6 安全技术要求
6.1 安全功能要求
6.1.1 标识和鉴别
办公设备在标识和鉴别方面的要求包括以下内容。
a) 应对用户身份进行标识,在执行办公设备功能、安全功能时对用户身份进行鉴别。
b) 应支持用户会话超时锁定功能;支持设定鉴别失败最大次数,超过设定最大次数时,在一段时
间内限制用户进行身份鉴别或锁定用户账号。
c) 存在默认口令的,应允许用户更改默认口令,并提示用户对默认口令进行修改。
6.1.2 访问控制
办公设备在访问控制方面的要求包括以下内容。
a) 应根据管理员、普通用户使用办公设备功能、安全功能的差异,提供完成各自承担任务所需的
最小访问权限。
b) 应支持授权管理功能,支持管理员对普通用户使用设备进行授权。
c) 应依据访问控制策略,明确授权或拒绝对办公设备功能、用户数据的访问。
d) 应提供IP或 MAC白名单功能。
e) 宜支持通过PIN方式执行作业,在PIN输入的失败次数超过设定的最大次数后锁定作业;提
供PIN方式执行作业的删除机制,办公设备关机重启时,按删除机制删除作业。
6.1.3 固件安全
办公设备在固件安全方面的要求包括以下内容。
a) 应提供固件更新管理功能;存在管理员的,应由管理员执行固件更新;不存在管理员的,应由用
户单独同意后执行固件更新。
b) 应在更新前通过数字签名或杂凑运算等方式验证固件的完整性和真实性,验证不通过的应立
即停止更新。
c) 固件不应存在恶意程序。
d) 应在启动时自动检测固件完整性、真实性,发现异常时应立即停止工作。
e) 通过可信密码模块进行可信验证的,可信密码模块应符合GB/T 29829的要求。
6.1.4 日志记录与审计
办公设备在日志记录与审计方面的要求包括以下内容。
a) 应对下述事件产生审计日志记录:
1) 审计功能开启和关闭;
2) 办公设备功能的启动或完成;
3) 使用身份标识或鉴别机制;
4) 系统时间变更;
5) 固件更新;
6) 带芯片的耗材更换;
7) 办公设备作业情况,包括但不限于页数和份数等;
8) 其他与系统安全有关的事件或定义的可审计事件。
b) 审计日志记录应包括但不限于事件发生日期和时间、事件类型、用户身份、事件结果等。
c) 应支持导出审计日志记录,如通过电子文件、打印信息报告等形式。
d) 应对审计日志记录进行保护,避免未经授权的删除。
e) 不提供审计日志记录发送接口的,审计日志记录在办公设备上的存储时间应不少于6个月。
6.1.5 用户数据安全
办公设备在用户数据安全方面的要求包括以下内容:
a) 应在作业完成后,自动删除办公设备相应模块、驱动程序中存在的用户文档数据及相关临时文
件和缓存数据;
b) 应采取安全措施保障用户仅能操作自身的用户文档数据;
c) 不应在耗材芯片中存储用户数据;
注:耗材使用情况的统计数据例外。
d) 应对存储的日志、配置信息等数据采取安全保护措施,包括但不限于加密、完整性校验等;
e) 发生故障、错误时,用户未在设定时间内采取操作的,应在设备恢复正常后删除用户文档数据;
f) 应提供自动和手动清除耗材上残余信息的功能。
6.1.6 通信安全
办公设备在通信安全方面的要求包括以下内容。
a) 应具备抵御常见网络攻击的能力。
b) 应按最小授权原则关闭与办公设备功能使用无关的通信端口、服务和协议。
c) 不应存在隐蔽通道。
d) 应提供关闭通信端口、服务和协议的功能。
e) 应在网络连接保持静默状态达到规定时间后,自动终止通信连接。
f) 应默认使用安全的SNMP协议。
g) 应采取保护措施,保障通信数据的保密性、完整性、可用性。
h) 应支持与驱动程序进行识别,驱动程序应与识别通过的办公设备传输作业数据;办公设备应与
识别通过的驱动程序传输作业数据。
i) 具备无线通信模块的,应提供关闭无线通信功能并默认关闭。
注:无线通信模块包括但不限于无线局域网、蓝牙、红外等模块。
j) 具备网络共享功能、远程管理功能的,应提供关闭功能并默认关闭。
k) 宜提供抗抵赖功能。
6.1.7 非易失性存储器安全
办公设备在非易失性存储器安全方面的要求包括以下内容。
a) 应提供对非易失性存储器中的用户数据进行完整性检查的功能。
b) 应提供删除非易失性存储器中用户数据的功能。
c) 具有内置可移除非易失性存储器的,应采用公开的数据存储结构,使用公开的协议与其控制系
统进行数据交换。
注:公开的数据存储结构包括但不限于文件分配表(FAT)、扩展文件系统(EXT)等,公开的协议包括但不限
于电子集成驱动器(IDE)、串行高级技术附件(SATA)、外设组件扩展接口(PCIe)等。
d) 具备外接非易失性存储功能的,应提供由管理员关闭外接非易失性存储功能并默认关闭;用于
身份鉴别的外接非易失性存储器,不应存储除身份鉴别信息以外的用户数据。
6.1.8 配置安全
办公设备在配置安全方面的要求包括以下内容:
a) 应提供维护安全配置的功能,由管理员对安全配置进行查询、修改;
b) 应提供自检功能,证实全部或部分安全功能操作的正确性;
c) 具备操作面板的,应支持操作面板锁定功能。
6.2 安全保障要求
6.2.1 设计和开发
办公设备提供者的设计和开发应满足以下要求。
a) 应识别办公设备在设计、开发环节的安全风险,制定安全策略,采取安全措施保障关键组件的
设计和开发安全。
b) 应制定实施安全开发流程,减少设计、开发等过程中恶意程序植入、漏洞引入的风险。
c) 应对设计文档、开发文档等进行配置管理,建立配置管理清单或相应程序,对配置项的变更进
行授权和控制。
d) 应自行、联合或委托第三方对办公设备(包括办公设备中使用的第三方软硬件模块)进行安全
测试。
e) 应在开发阶段对已发现的安全缺陷、漏洞进行修复;应制定并实施紧急修复的安全管理流
程,及时修复未能在开发阶段发现的安全缺陷、漏洞。
f) 应保障安全功能设计与实现之间的一致性。
g) 应具备驱动程序、固件、数据控制板等关键组件的设计、开发能力。
6.2.2 生产和交付
办公设备提供者的生产和交付应满足以下要求:
a) 应说明办公设备中所有与用户相关的功能模块和访问接口,包括但不限于人机接口、调试接
口等;
b) 应通过用户协议、用户手册或网站通报等途径,声明所提供的办公设备中没有故意留有或者设
置漏洞、后门、木马等程序和功能;
c) 应明确标识非易失性存储器容量、耗材芯片可写区域的容量,并说明存储的数据类型和用途;
d) 应在用户手册中说明所有默认用户信息、类型,以及对应的鉴别信息;
e) 应建立和实施规范的产品生产和服务交付流程,在关键环节实施安全检查和验证,减少办公设
备生产和服务交付过程中的安全风险;
f) 应为用户提供验证所交付办公设备软硬件完整性的安全措施,减少产品交付过程中的篡改
风险;
g) 应为用户提供操作指南等指导性文档,明确办公设备典型部署环境及应满足的安全要求,描述
办公设备使用过程中涉及的各用户角色和安全责任,给出风险提示和应急响应措施。
6.2.3 运行和维护
办公设备提供者的运行和维护应满足以下要求。
a) 应建立和执行针对办公设备安全缺陷、漏洞的应急响应机制和流程,对办公设备在运行和维护
阶段暴露的安全缺陷、漏洞进行响应。
b) 应建立和实施规范的用户信息保护制度,当存在违反法律法规规定或者双方约定收集、使用用
户个人信息的情形时,应主动或在用户要求下删除个人信息。
c) 在规定或与用户约定的期限内,不应终止提供安全维护;在用户授权的范围内开展运行维护工
作,保障办公设备运行维护过程中的数据安全,防止数据泄露、篡改、损毁;未经用户同意,不应
向他人提供数据,或将数据用于除运行维护以外的目的。
d) 应在更新办公设备前告知用户更新的内容,包括变更情况、相关安全风险、风险应对措施等,获
得用户授权同意后方可实施更新,允许用户选择不接受更新。
e) 应在发现办公设备存在安全缺陷、漏洞等风险时立即采取补救措施,包括但不限于漏洞修复、
安全替代方案等;及时告知合作伙伴和用户相关安全风险,并向有关主管部门报告。
f) 对产品和服务的安全缺陷、漏洞进行修复时,应提前告知用户将采取的处置操作和可能产生的
影响。
g) 应为用户提供支持办公设备更新包的完整性、来源真实性等安全校验的方法或工具。
h) 应保护办公设备在运行维护过程中的用户数据,防止用户数据泄露、篡改、损毁、丢失。
6.2.4 供应链安全
办公设备提供者的供应链安全应满足以下要求。
a) 应声明不会通过在办公设备中设置后门,或利用提供办公设备的便利条件非法获取用户数据、
控制和操纵用户系统和设备,不会利用用户对办公设备的依赖性谋取不正当利益,不应强迫用
户对办公设备进行更新。
b) 应强化采购渠道管理,保障主控制芯片、引擎、数据控制板、耗材等关键部件来源的稳定性或多
样性,防范供应链中断风险。
c) 应提供中文版运行维护资料,具有二次开发机制的应提供二次开发技术资料。
注:二次开发是为完成办公设备运维开展的功能扩展活动,二次开发工具包括软件开发工具(SDK)和配套资
料,或测试工具。
d) 对办公设备研发、制造过程中涉及的第三方实体拥有或控制的已知技术专利等知识产权,已获
得授权的,应获得十年以上授权或授权期限覆盖办公设备的上市周期。
e) 应声明办公设备中使用的已知第三方技术;使用的已知第三方技术不应出现以下情况:
1) 因贸易、服务能力等因素中断办公设备、主控制芯片、引擎、固件、打印头、扫描头等元器
件、材料供应;
2) 停止软件授权、更新或技术支持服务。
7 测评方法
7.1 安全功能要求测评方法
7.1.1 标识和鉴别
本项测试包括以下内容。
a) 测试办公设备是否对用户进行唯一的身份标识,在用户进行设备功能、安全功能操作时,是否
对用户身份成功进行鉴别,包括但不限于禁止创建相同身份标识的用户、用户身份鉴别失败时
阻止用户访问、用户的身份标识和鉴别信息是否存储在办公设备等。
b) 验证办公设备是否提供设置锁定时间的功能;用户登录办公设备后,在设定的时间内不执行产
品功能、安全功能,查看设备是否自动锁定该用户会话;用户登录时输入错误用户鉴别信息,且
输入次数超过最大设定次数时,是否在一段时间内限制该用户进行身份鉴别或锁定该用户
账号。
c) 验证办公设备是否允许用户更改默认口令,验证办公设备是否提示用户对默认口令进行修改。
7.1.2 访问控制
本项测试包括以下内容。
a) 验证使用管理员、普通用户账号登录并使用产品功能、安全功能时,检查管理员、普通用户账号
承担对应任务时所需的权限是否为最小访问权限。
b) 使用管理员账号登录办公设备,对普通用户账号进行授权,检查普通用户可使用功能是否与管
理员授权功能一致。
c) 设置办公设备功能、用户数据的访问控制策略,验证访问控制策略是否生效。
d) 设置IP或 MAC白名单,验证是否只能允许白名单内的设备进行访问。
e) 验证办公设备是否支持通过PIN方式执行作业;验证用户输入PIN后作业是否正常执行;
PIN输入的失败次数超过设定的最大次数后,验证该作业是否被锁定;办公设备关机重启
后,验证通过PIN方式执行的作业是否按删除机制删除。
7.1.3 固件安全
本项测试包括以下内容。
a) 存在管理员的,验证固件更新操作是否只能由管理员执行;不存在管理员的,验证固件更新操
作是否只能由用户单独同意后执行。
b) 对办公设备执行固件更新操作,验证固件是否通过数字签名或杂凑运算等方式进行完整性和
真实性的检查;固件更新操作验证不通过时,办公设备是否立即停止更新操作。
c) 使用两款不同的恶意程序检测工具对固件进行检测,验证是否存在恶意程序。
d) 验证办公设备启动过程是否自动检测固件的完整性、真实性;固件完整性、真实性检测不通过
时,验证办公设备是否立即停止工作。
e) 通过可信密码模块进行可信验证的,验证可信密码模块是否符合GB/T 29829的要求。
7.1.4 日志记录与审计
本项测试包括以下内容。
a) 验证办公设备是否保存以下事件的审计日志记录:
1) 审计功能的开启和关闭;
2) 办公设备功能的启动或完成;
3) 使用身份标识或鉴别机制;
4) 系统时间的变更;
5) 固件更新;
6) 带芯片的耗材更换,审计日志记录应包括耗材的唯一标识信息;
7) 办公设备作业情况,包括但不限于页数和份数等;
8) 其他与系统安全有关的事件或定义的可审计事件。
b) 验证办公设备审计日志记录是否包括事件发生日期和时间、事件类型、用户身份以及事件结
果等。
c) 验证办公设备是否支持通过电子文件或打印信息报告等形式导出审计日志记录。
d) 验证办公设备是否支持对审计日志记录进行保护;未经授权时,是否无法对审计日志记录执行
删除操作。
e) 对不提供审计日志记录发送接口的办公设备,验证审计日志记录是否存储在办公设备中;验证
审计日志记录的存储时间是否不少于6个月。
7.1.5 用户数据安全
本项测试包括以下内容。
a) 向办公设备下发作业请求,作业完成后,验证相应模块、驱动程序中的用户文档数据及临时文
件和缓存数据是否被删除,删除方式包括但不限于多次覆盖式写入等。
b) 使用不同用户登录办公设备,验证是否仅能对自身的用户文档数据进行操作。
c) 验证耗材芯片中是否存储用户数据。
注:验证方式包括但不限于使用技术工具验证、检查办公设备提供者提供的测试报告或证明材料等。
d) 验证办公设备是否支持对存储的日志、配置信息等采用密码技术进行加密保护或完整性校验。
e) 设定办公设备错误、故障的处理时间,当办公设备发生错误、故障且用户未在设定时间内进行
操作,验证办公设备是否在恢复正常后自动删除用户文档数据。
f) 向办公设备下发作业任务,验证作业完成后办公设备是否清除耗材上的残余信息;当办公设备
发生错误、故障等时,验证错误、故障恢复后是否能够通过手动方式清除耗材上的残余信息。
7.1.6 通信安全
本项测试包括以下内容。
a) 验证办公设备是否具备抵御常见网络攻击的能力。
b) 验证办公设备是否支持按最小授权原则关闭与功能使用无关的通信端口、服务和协......
|