GB+40050-2021网络关键设备安全通用要求.docxVIP

ICS35.040CCSL80

中华人民共和国国家标准

GB40050—2021

网络关键设备安全通用要求Criticalnetworkdevicessecuritycommonrequirements

2021-02-20发布2021-08-01实施

发布国家市场监督管理总局

发布

GB40050—2021

目次

前言 Ⅰ

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 2

5安全功能要求 2

5.1设备标识安全 2

5.2冗余、备份恢复与异常检测 2

5.3漏洞和恶意程序防范 3

5.4预装软件启动及更新安全 3

5.5用户身份标识与鉴别 3

5.6访问控制安全 4

5.7日志审计安全 4

5.8通信安全 4

5.9数据安全 4

5.10密码要求 5

6安全保障要求 5

6.1设计和开发 5

6.2生产和交付 5

6.3运行和维护 6

参考文献 7

Ⅰ

GB40050—2021

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中华人民共和国工业和信息化部提出并归口。

GB40050—2021

网络关键设备安全通用要求

1范围

本文件规定了网络关键设备的通用安全功能要求和安全保障要求。

本文件适用于网络关键设备，为网络运营者采购网络关键设备时提供依据，还适用于指导网络关键设备的研发、测试、服务等工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。3.1

部件component

由若干装配在一起的零件组成，能够实现特定功能的模块或组件。3.2

恶意程序maliciousprogram

被专门设计用来攻击系统，损害或破坏系统的保密性、完整性或可用性的程序。注：常见的恶意程序包括病毒、蠕虫、木马、间谍软件等。

3.3

漏洞vulnerability

可能被威胁利用的资产或控制的弱点。

［来源：GB/T29246—2017,2.89,有修改］3.4

敏感数据sensitivedata

一旦泄露、非法提供或滥用可能危害网络安全的数据。

注：网络关键设备常见的敏感数据包括口令、密钥、关键配置信息等。

3.5

健壮性robustness

描述网络关键设备或部件在无效数据输入或者在高强度输入等环境下，其各项功能可保持正确运

行的程度。

［来源：GB/T28457—2012,3.8,有修改］3.6

私有协议privateprotocol

专用的、非通用的协议。

1

2

GB40050—2021

3.7

网络关键设备criticalnetworkdevice

支持联网功能，在同类网络设备中具有较高性能的设备，通常应用于重要网络节点、重要部位或重要系统中，一旦遭到破坏，可能引发重大网络安全风险。

注：具有较高性能是指设备的性能指标或规格符合《网络关键设备和网络安全专用产品目录》中规定的范围。

3.8

异常报文abnormalpacket

各种不符合标准要求的报文。3.9

用户user

对网络关键设备进行配置、监控、维护等操作的使用者。3.10

预装软件pre-installedsoftware

设备出厂时安装或提供的、保障设备正常使用必需的软件。

注：不同类型设备的预装软件存在差异。路由器、交换机的预装软件通常包括