| 标准编号 | GB/T 39276-2020 (GB/T39276-2020) | | 中文名称 | 信息安全技术 网络产品和服务安全通用要求 | | 英文名称 | Information security technology - General security requirements of network products and services | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 10,120 | | 发布日期 | 2020-11-19 | | 实施日期 | 2021-06-01 | | 标准依据 | 国家标准公告2020年第26号 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 39276-2020
Information security technology - General security requirements of network products and services
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
网络产品和服务安全通用要求
2020-11-19发布
2021-06-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 概述 2
5 安全通用要求 2
5.1 基本级安全通用要求 2
5.2 增强级安全通用要求 4
参考文献 7
前言
本标准按照GB/T 1.1-2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国电子技术标准化研究院、北京赛西科技发展有限责任公司、公安部第三研究
所、中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国电子
信息产业发展研究院、中国科学院信息工程研究所、中国信息通信研究院、国家信息中心、国家计算机网
络与信息安全管理中心、中电数据服务有限公司、中国软件评测中心、工业和信息化部电子第五研究所、
中国电子科技集团公司第十五研究所、中国科学院软件研究所、公安部第一研究所、阿里巴巴(北京)软
件服务有限公司、联想(北京)有限公司、阿里云计算有限公司、浪潮电子信息产业股份有限公司、北京天
融信网络安全技术有限公司、华为技术有限公司、启明星辰信息技术集团股份有限公司、中国电力科学
研究院有限公司、北京神州绿盟科技有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公
司、北京威努特技术有限公司、山谷网安科技股份有限公司、国家应用软件产品质量监督检验中心、新华
三技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、深信服科技股份有限公司、西门子(中国)
有限公司、奇安信科技集团股份有限公司。
本标准主要起草人:刘贤刚、李京春、顾健、李斌、李嵩、叶润国、孙彦、谢安明、胡影、王闯、许东阳、
高金萍、宋好好、周开波、舒敏、吴迪、刘蓓、何延哲、方进社、崔宁宁、周亚超、张宝峰、布宁、任泽君、
申永波、李汝鑫、樊洞阳、雷晓锋、鲍旭华、程广明、郭永振、白晓媛、赵江、杜晓黎、史岗、韩煜、董晶晶、
刘玉岭、李凌、李娜、严妍、徐雨晴、张屹、焦玉峰、代威、石凌志、钟建伟、姚金龙、宋铮、闫韬、郭旭、王晖。
信息安全技术
网络产品和服务安全通用要求
1 范围
本标准规定了网络产品和服务应满足的安全通用要求,包括安全功能要求和安全保障要求。
本标准适用于网络产品和服务提供者进行网络产品和服务的安全设计、安全实现和安全运行,也可
用于指导第三方测评机构对网络产品和服务进行安全测评。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069 信息安全技术 术语
3 术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
网络
由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、
交换、处理的系统。
3.2
网络产品
作为网络组成部分以及实现网络功能的硬件、软件或系统,按照一定的规则和程序实现信息的收集、
存储、传输、交换和处理。
注:网络产品包括计算机、通信设备、信息终端、工控网络设备、系统软件和应用软件等。
3.3
用户信息
与个人、法人或其他组织有关的信息,以及定义和描述此类信息的数据。
注:用户信息包括个人信息,用户生成的文档、程序、多媒体资料,用户通信的内容、地址、时间,产品的配置、运行及
位置数据,系统运行过程产生的日志等。
3.4
恶意程序
用于实施网络攻击、干扰网络和信息系统正常使用、破坏网络和信息系统、窃取网络和系统数据等行为的程序。
注:恶意程序主要包......
|