GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》解读

一、标准的基本信息

标准发布时间：2022年12月29日

发布单位：国家市场监督管理总局（国家标准化管理委员会）

实施日期：2023年7月1日

主管部门：国家互联网信息办公室

归口部门：全国信息安全标准化技术委员会

起草单位：中国信息安全测评中心、国家计算机网络应急技术处理协调中心、中国电子技术标准化研究院、奇安信科技集团股份有限公司、杭州安恒信息技术股份有限公司等

二、标准内容

安全功能要求

访问控制

具有访问控制功能的网络安全专用产品，应具备下述功能：

支持配置访问控制策略；

支持根据访问控制策略控制对安全域的访问。

入侵防范

具有入侵防范功能的网络安全专用产品，应具备下述功能：

支持对收集的信息进行分析，发现入侵事件；

在检测到入侵事件时，支持采取记录事件、安全警告或阻断等安全措施。

安全审计

具有安全审计功能的网络安全专用产品，应具备下述功能：

支持监测、记录审计目标的网络运行状态、网络安全事件；

支持对事件进行比较分析以发现违规、异常等行为；

将网络运行状态日志和网络安全事件日志存储于非易失性存储介质中，日志保存时间不少于六个月。

恶意程序防范

具有恶意程序防范功能的网络安全专用产品，应具备下述功能：

支持对存储信息或传输信息进行恶意程序检测；

支持针对一种或多种恶意程序家族类型进行检测；

支持对检测到的恶意程序进行阻止、删除、修复或隔离等一种或多种形式的处理。

自身安全要求

标识和鉴别

网络安全专用产品应具备下述功能：

对用户身份进行标识和鉴别，身份标识具有唯一性；

保障身份鉴别信息在传输和存储过程中的保密性和完整性；

使用口令鉴别方式时，提供身份鉴别信息复杂度验证功能和定期更换设置功能，并支持首次管理产品时强制修改默认口令或设置口令。

自身访问控制

网络安全专用产品应具备下述功能：

对用户分配账户和权限，区分管理员角色，实现管理权限相互制约；

由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则。

自身安全审计

网络安全专用产品应具备下述功能：

监测、记录产品自身运行状态和重要操作；

对审计日志进行保护，防止受到未预期的删除、修改、覆盖或丢失；

将审计日志存储于非易失性存储介质中，日志保存时间不少于六个月。

通信安全

网络安全专用产品应提供安全措施保障产品远程管理网络通信数据的保密性和完整性。

支撑系统安全

网络安全专用产品不应包含已公开的中、高风险漏洞。

产品升级

网络安全专用产品应具备下述功能：

提供升级产品组件的功能，包括但不限于主程序、特征库、策略库；

保障升级安全，避免得到错误的、伪造的升级包和补丁程序。

用户信息安全

网络安全专用产品应具备下述功能：

对用户信息进行保护，防止用户信息泄露、篡改和破坏；

对用户信息的访问进行控制，确保只有授权用户才能访问用户信息。

安全保障要求

供应链安全

网络安全专用产品提供者应满足以下安全保障要求：

制定供应商选择、评定和日常管理的程序，对供应商的开发环境、规范和人员、开发工具、安全测试和安全验证机制等提出管理要求，以确保其提供的关键部件满足安全要求，并保存对供应商选择、评价和日常管理的记录；

建立供应链各环节核心要素的追溯能力，保障核心要素供应稳定；

持续开展安全意识和技能培训。

设计与开发

网络安全专用产品提供者应满足以下安全保障要求：

识别网络安全专用产品设计和开发环节的安全风险，进行威胁建模，制定安全策略，保障开发环境安全，制定安全开发制度和流程；

制定网络安全专用产品安全功能和自身安全功能的设计文档，该文档描述与安全功能和自身安全功能一致；

为网络安全专用产品确定唯一的版本号，为配置项确定唯一标识，建立并维护配置项列表；

不在产品中设置恶意程序、隐蔽接口或未明示功能模块等，并通过用户协议、产品说明书等途径将所有功能模块、接口等告知用户；

对网络安全专用产品进行安全性测试。

生产和交付

网络安全专用产品提供者应满足以下安全保障要求：

建立和执行规范的产品完整性检测流程，采取措施防范自制或采购的组件被篡改、伪造等风险；

建立内部交付和外部交付的控制程序，确保网络安全专用产品在交付过程中不被破坏或篡改；

向用户明示包含在产品中的所有功能模块、外部接口和私有协议，告知用户产品中预置的所有账户和默认口令。

运维服务保障

网络安全专用产品提供者应满足以下安全保障要求：

在法律法规规定或与用户约定的期限内，为产品提供持续的安全维护，不单方面中断或终止安全维护；

保护用户对软件（包含固件）安装和升级等的知情权和选择权，安装和升级软件时明示用户并获得用户同意。

三、标准作用

指导产品研发：标准规定了网络安全专用产品的安全功能要求、自身安全要求与安全保障要求，为产品研发提供了明确的技术规范和指导，有助于提高产品的安全性和可靠性。

规范市场准入：标准适用于在中华人民共和国境内销售或提供的网络安全专用产品的准入市场的检测和监督等工作，有助于规范市场秩序，防止不符合安全要求的产品进入市场。

保障网络安全：通过实施标准，可以有效提升网络安全专用产品的安全性能，增强网络安全防护能力，保障网络和信息安全。

促进产业发展：标准的实施有助于推动网络安全产业的健康发展，促进网络安全技术的创新和应用，提升我国网络安全产业的整体水平。