信息安全技术 网络产品和服务安全通用要求-编制说明.pdfVIP

国家标准《信息安全技术网络产品和服务安全通用要求》

编制说明

一、任务来源

《信息安全技术网络产品和服务安全通用要求》是国家标准化管理委员会

2017年下达的信息安全国家标准制定项目，国标立项T-469，由中

国电子技术标准化研究院、北京赛西科技发展有限责任公司、公安部第三研究所、

中国信息安全测评中心、中国网络安全审查技术与认证中心、国家信息技术安全

研究中心、中国电子信息产业发展研究院、中科院信息工程研究所、中国信息通

信研究院、国家信息中心、国家计算机网络与信息安全管理中心、中电数据服务

有限公司、中国软件评测中心、工业和信息化部电子第五研究所、中国电子科技

集团公司第十五研究所、中科院软件所、公安部第一研究所、阿里巴巴（北京）

软件服务有限公司、联想（北京）有限公司、阿里云计算有限公司、浪潮电子信

息产业股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、

启明星辰信息技术集团股份有限公司、中国电力科学研究院有限公司、北京神州

绿盟科技有限公司、深圳市腾讯计算机系统有限公司、北京奇虎科技有限公司、

北京威努特技术有限公司、山谷网安科技股份有限公司、国家应用软件产品质量

监督检验中心、新华三技术有限公司、浙江蚂蚁小微金融服务集团股份有限公司、

深信服科技股份有限公司、西门子（中国）有限公司、奇安信科技集团股份有限

公司等单位共同参与了该标准的起草工作。

标准主要起草人包括：刘贤刚、李京春、顾健、李斌、李嵩、叶润国、孙

彦、谢安明、胡影、王闯、许东阳、高金萍、宋好好、周开波、舒敏、吴迪、刘

蓓、何延哲、方进社、崔宁宁、周亚超、张宝峰、布宁、任泽君、申永波、李汝

鑫、樊洞阳、雷晓锋、鲍旭华、程广明、郭永振、白晓媛、赵江、杜晓黎、史岗、

韩煜、董晶晶、刘玉岭、李凌、李娜、严妍、徐雨晴、张屹、焦玉峰、代威、石

凌志、钟建伟、姚金龙、宋铮、闫韬、郭旭、王晖等。

二、编制原则

当前，网络产品和服务中经常出现多种网络安全问题，例如，个人信息泄

1

露、默认口令、后门、木马等，严重影响用户安全或国家安全。我国高度重视网

络安全，密集出台了一系列国家网络安全政策法规，包括《中华人民共和国网络

安全法》（以下简称《网络安全法》），以及为落实《网络安全法》而制定的《网

络产品和服务安全审查办法（试行）》、《网络关键设备和网络安全专用产品目录

(第一批)》、《国家网络安全事件应急预案》等法律法规，这些法律法规开启了我

国“依法治网”的新局面。

网络产品和服务的安全是保障我国网络安全的基础。为贯彻落实《网络安

全法》等法律法规对网络产品和服务的安全要求，坚持网络安全与信息化发展并

重的方针，提高网络产品和服务的安全能力，提升用户对网络产品和服务在安全

性方面的信心，需要重点解决网络产品和服务中存在的恶意程序植入、安全缺陷

漏洞响应、供应中断等安全、个人信息滥用问题。本标准旨在规定在我国销售或

提供的网络产品和服务必须满足的最小安全要求，以提升用户的信心，维护用户

的合法权益，保障国家网络安全。

本标准中定义的网络产品是基于网络安全法中对网络的定义以及现有国家

标准中对信息技术产品的定义推导而来。按照网络安全法第76条的定义，网络，

是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信

息进行收集、存储、传输、交换、处理的系统。国标GB/T32921-2016《信息技

术产品供应方行为安全准则》中的信息技术产品定义：“信息技术产品是指具有

采集、存储、处理、传输、控制、交换、显示数据或信息功能的硬件、软件、系

统和服务。注：信息技术产品包括计算机及其辅助设备、通信设备、网络设备、

自动控制设备、操作系统、数据库、应用软件与服务等。”经过标准编制组对国

标中信息技术产品和网络产品的定义进行比较分析，认为《网络安全法》中网络

产品和GB/T32921-2016定义的IT产品基本等价。

本标准中定义的网络服务是标准编制组在对现有信息技术服务相关标准中

对服务的定义进行分析后给出的。本标准的网络服务为“供方为满足需方要求所

提供的网络技术开发、部署、运维等活动，以及以网络技术为手段支持网络可靠、

安全运行的活动。注：网络服务主要包括云计算服务、大数据服务、网络通信服

务、数据处理和存储服务、网络设计与开发服务、网络系统集成实施服务、网络

系统运维服务等。