信息安全技术 网络产品和服务安全通用要求 GBT 39276-2020.pdf

GB/T39276-2020信息安全技术网络产品和服务安全通用要求1范围本标准规定了网络产品和服务应满足的安全通用要求，包括安全功能要求和安全保障要求。本标准适用于网络产品和服务提供者进行网络产品和服务的安全设计、安全实现和安全运行，也可用于指导第三方测评机构对网络产品和服务进行安全测评。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1网络network由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。3.2网络产品network product作为网络组成部分以及实现网络功能的硬件、软件或系统，按照一定的规则和程序实现信息的收集、存储、传输、交换和处理。注：网络产品包括计算机、通信设备、信息终端、工控网络设备、系统软件和应用软件等。3.3用户信息user information与个人、法人或其他组织有关的信息，以及定义和描述此类信息的数据。注：用户信息包括个人信息，用户生成的文档、程序、多煤体资料，用户通信的内容、地址、时间，产品的配置、运行及位置数据，系统运行过程产生的日志等。3.4恶意程序malware用于实施网络攻击、干扰网络和信息系统正常使用、破坏网络和信息系统、窃取网络和系统数据等行为的程序。注：恶意程序主要包括病毒、蠕虫、木马，以及其他影响主机、网骆或系统安全、稳定运行的程序。3.5安全缺陷security flaw由设计、开发、配置、生产、运维等阶段中的问题引人，可能影响网络产品和服务安全的弱点。