具体清单如下:
网络产品服务的安全可控是保障我国网络安全的基础
当前,网络产品和服务中经常出现多种网络安全问题,如个人信息泄露、默认口令、后门、木马,严重影响用户安全或国家安全。网络产品和服务的安全可控是保障我国网络安全的基础,《信息安全技术 网络产品和服务安全通用要求》的出台,旨在规定网络产品和服务应满足的最小安全要求,维护用户的合法权益,保障国家网络安全。要求在我国境内销售或提供的网络产品和服务必须满足本标准的安全要求。
1. 落实网络安全法中关于网络产品和服务的安全要求
标准按照网络安全法中对恶意程序植入、安全缺陷漏洞响应、供应中断等安全问题、个人信息保护提出的安全要求,主要包括:a)第二十二条:网络产品、服务应当符合相关国家标准的强制性要求(恶意程序防范、缺陷漏洞响应、持续安全维护、用户信息保护);b)第二十三条:网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求;3)用户信息和个人信息安全保护相关条款。标准对上述安全要求进行细化,形成一个最小安全要求基线。
2. 满足用户迫切安全关切问题
针对用户对网络关键设备和网络安全专用产品中存在的常见的弱口令、个人信息泄露、后门、安全漏洞等问题的严重关切,该标准提出一个网络关键设备和网络安全专用产品提供者必须满足的最小安全基线,以提升用户对网络关键设备和网络安全专用产品的安全信心。
3. 保持与现有网络产品和服务标准的兼容
标准在为网络产品和服务制定最小安全基线时,充分考虑了该标准与现有网络安全专用产品的兼容性和衔接性问题。通过对信息系统安全等级保护相关标准中第1级和第2级安全要求进行适用性分析,凡是可应用到网络产品和服务的安全技术和安全管理要求标准条款都选入了本标准的最小安全基线中。通过对CC类网络安全专用产品的EAL1和EAL2级的安全保障要求也进行了适用性分析,凡是可应用到网络产品和服务的安全保障要求,都编入到了本标准的安全管理要求中。第三方测评机构在对一个具体的网络产品或服务进行安全测评时,除了需要满足本标准外,可能还需要参考该产品具体的安全要求标准。
实现政务信息共享 数据安全是前提
如今政府各部门的政务信息数据安全保护机制不尽相同,包括不同的身份认证机制、访问控制机制、数据加密机制等。这种现象导致信息共享平台在整合各个系统的数据访问时面临困难,导致数据采集、数据获取、交互交换中发生迟滞、偏差。
《信息安全技术 政务信息共享数据安全技术要求》国家标准,从数据安全与保护成本的角度出发,依据数据分类和分级原则,规范政务信息交换共享中数据的安全防护技术要求,包括身份鉴别、访问控制、安全传输、数据加密、脱敏处理、安全审计等方面。主要技术内容包括:
1.共享数据准备安全技术要求。包括共享数据归集、数据分级分类、资源目录安全管理、共享数据维护等环节的安全技术要求。其中共享数据归集主要包括数据源鉴别的安全技术要求;共享数据维护主要包括数据质量控制、数据存储加密、数据存储隔离、数据召回及销毁等方面的安全技术要求。
2. 共享数据交换安全技术要求。包括身份管理、授权管理、审验审核、数据导出、数据交换、数据导入等环节的安全技术要求。其中数据导出包括数据脱敏、数据加密、数据标记、安全策略检查等方面的安全技术要求;数据交换包括身份鉴别、访问控制、安全传输、操作抗抵赖、过程追溯、级联接口安全等方面的安全技术要求,数据导入包括故障保护、质量认定及数据分责等方面的安全技术要求。
3. 共享数据使用安全技术要求。包括数据处理、数据存储、数据备份、数据销毁、数据监管等环节的安全技术要求。其中数据处理包括身份鉴别、访问控制、授权管理、数据脱敏、数据加密、数据防泄露、分布处理安全、数据处理溯源、数据分析安全、安全审计等方面的安全技术要求:数据存储包括存储安全、数据防护、数据加密、安全审计等方面的安全技术要求;数据备份包括备份方式、备份频度、保存与恢复等方面的安全技术要求;数据销毁包括销毁授权、审计、销毁方式等要求:数据监管包括包括数据使用行为记录、行为分析、安全策略匹配、监管反馈等技术要求。
4. 基础设施安全要求。包括针对政务信息共享交换云平台、前缀交换系统、基础网络环境、资源共享网站的安全技术要求。
5. 政务信息共享交换业务模型、交换模式与共享交换平台一般框架。共享交换业务模型包括共享数据准备、共享交换、共享数据使用三个阶段,由共享数据提供方、共享交换服务方与共享数据使用方三方参与;共享交换模式包括直通模式、代理模式及服务模式:共享交换平台一般框架包括资源共享网站、资源目录系统、共享资源管理系统、资源交换系统以及归集资源管理系统等。
据公告消息,该11项国家标准将在2021年6月1日正式实施。