网络设备安全分级技术要求编制说明

网络设备安全分级技术要求编制说明

目的意义近年来，网络安全事件层出不穷，呈现出一方面威胁越来越泛滥，比如勒索病毒，国内外多家知名企业被勒索，造成商誉、经济上的损失，另一方面，网络安全威胁的破坏程度呈现不断上升的局面，微软蓝屏事件对全球的经济运行都造成了巨大的破坏性影响。党的十八大以来，在习近平总书记关于网络强国的重要思想指引下，我国网络安全政策法规体系不断健全，网络安全工作体制机制日益完善，全社会网络安全意识和能力显著提高，网络安全保障体系和能力建设加快推进，为维护国家在网络空间的主权、安全和发展利益提供了坚实的保障。如《信息安全技术网络安全等级保护基本要求》，要求定义了信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段，同时也明确了等级划分。如《关键信息基础设施安全保护条例》，第十七条提出：运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。第十九条提出：运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。如《网络安全法》，第十五条明确提出：国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。但是在网络设备的安全性方面，尚未有可操作性较强的国家、地方、行业或团体标准。本文件规定了如何定义网络设备安全性并进行分级，为关基单位等用户购买安全可信的网络产品提供了参考，为生产企业提升自身产品安全性提供了建议方向。任务来源为了支撑我国网络强国战略，适应我国数字经济尤其是新质生产力飞速发展的需要，构建网络安全基座，促进网络产业高质量发展，黄鹤网络安全实验室联合华为技术有限公司、武汉大学网络安全学院、湖北天融信网络安全技术有限公司等对网络设备的安全性评价进行定义，对如何分级进行规范，形成网络设备安全分级技术要求，供用户单位和生产企业使用和参考，为提升我国网络设备安全打下基础。编制过程1) 2023年11月，成立编制工作组，启动标准编制工作，黄鹤网络安全实验室开始筹备起草组成立会议，分别向行业内知名的生产企业、从事相关研究的高校发出邀请，已有华为技术有限公司、武汉大学网络安全学院、湖北天融信网络安全技术有限公司接受邀请参与标准的起草工作。2）2024年3月，形成标准草案。3）2024年3月5日，提交标准项目建议书4）2024年3月-7月，经过多次内部征求意见，形成标准草案修改版。5）2024年7月，形成标准草案第一版。2024年8月4日，召开立项评审会，邀请专家对草案给出建议。2024年8月9日至2024年11月15日，期间进行了多次标准工作组内部讨论，针对标准内容进行了细节的修改与调整。2024年11月15日，形成征求意见稿。主要内容技术指标确立本标准规范了网络设备安全分级整体思路与适用场景，通用安全技术要求，典型产品安全技术要求等。详情如下：1、概述：安全分级整体思路与适用场景描述如下：第一级安全要求具备基本的防御能力。适用于一般用户一般要求场景。第二级安全要求增加默认安全、漏洞防利用、密钥管理等，具备一定的纵深防御能力。适用于一般用户较高安全要求场景，如财务数据存储区、研发数据存储区、核心生产区等。第三级安全要求增加安全配置核查、主机入侵检测等，具备防范APT攻击的能力。适用于关基用户重要关基系统等需要重点防护区域。2、通用安全技术要求：具体明确三级安全技术要求。3、防火墙产品安全技术要求：具体明确防火墙产品三级安全技术要求。4、抗拒绝服务攻击产品安全技术要求：具体明确抗拒绝服务攻击产品三级安全技术要求。5、交换机产品安全技术要求：具体明确交换机产品三级安全技术要求。6、WLAN产品安全技术要求：具体明确WLAN产品三级安全技术要求。本文件适用于网络设备安全分级的各种应用领域，有助于支持各种网络设备安全评估、漏洞/威胁排查、同一类产品横向对比。既可以独立使用，也可以集成到类技术对比的横向测评。本标准牵头单位为黄河网络安全实验室，参加单位华为技术有限公司、武汉大学网络安全学院、湖北天融信网络安全技术有限公司。与相关法律法规和国家标准的关系本标准的总体结构和编写方法按照GB/T1.1-2020《标准化工作导则第一部分：标准化文件的结构和起草规则》的规定执行。本标准参考的相关法律、法规和标准文件如下：[1]GB40050-2021网络关键设备安全通用要求[2]GB-T41267-2022网络关键设备安全技术要求交换机设备[3]GB-T41266-2022网络关键设备安全检测方法交换机设备[4]GB-T41269-2022网络关键设备安全技术要求路由器设备[5]GB-T41268-2022网络关键设备安全检测方法路由器设备[6]20_WD_2021004147_IPv6网络设备安全技术要求第1部分核心路由器[7]20_WD_2021004223_IPv6网络设备安全技术要求第3部分数据中心交换机[8]GB∕T28448-2019信息安全技术网络安全等级保护测评要求[9]GB+42250信息安全技术网络安全专用产品安全技术要求-2022[10]GBT20275-2021信息安全技术网络入侵检测系统技术要求和测试测评方法[11]GBT20281-2020信息安全技术防火墙安全技术要求和测试评价方法[12]20221751-T-339-IPv6网络安全设备技术要求第1部分：防火墙[13]20221752-T-339-IPv6网络安全