术语解读：GB/T 39276-2020 网络产品和服务安全通用要求

GB/T 39276-2020 信息安全技术 网络产品和服务安全通用要求

Information security technology – General security requirements of network products and services

1. 适用范围：适用于网络产品和服务提供者进行网络产品和服务的安全设计、安全实现和安全运行，也可用于指导第三方测评机构对网络产品和服务进行安全测评。
2. 主要内容：
   • 安全功能要求：包括对网络产品和服务的身份鉴别、访问控制、安全审计、数据加密、数据完整性保护等方面的功能要求，以确保网络产品和服务能够抵御各种安全威胁，保护用户的信息安全。
   • 安全保障要求：涉及网络产品和服务的开发过程、交付过程、运维过程等方面的安全保障要求，包括安全管理、安全培训、应急响应等，以确保网络产品和服务的安全性能够得到持续保障。
3. 安全等级：安全功能和安全保障均包含基本级和增强级安全要求。基本级安全要求是网络产品和服务应满足的最低安全要求，增强级安全要求则是在基本级安全要求的基础上，进一步提高了安全性能和保障水平。

术语与定义

1 网络 network

由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

特点：（1）资源共享、（2）分布式处理、（3）可靠性高、（4）可扩展性强

2 网络产品 network product

作为网络组成部分以及实现网络功能的硬件、软件或系统，按照一定的规则和程序实现信息的收集、存储、传输、交换和处理。

注：网络产品包括计算机、通信设备、信息终端、工控网络设备、系统软件和应用软件等。

3 用户信息 user information

与个人、法人或其他组织有关的信息，以及定义和描述此类信息的数据。

注：用户信息包括个人信息，用户生成的文档、程序、多媒体资料，用户通信的内容、地址、时间，产品的配置、运行及位置数据，系统运行过程产生的日志等。

4 恶意程序 malware

用于实施网络攻击、干扰网络和信息系统正常使用、破坏网络和信息系统、窃取网络和系统数据等行为的程序。

注：恶意程序主要包括病毒、蠕虫、木马，以及其他影响主机、网络或系统安全、稳定运行的程序。

5 安全缺陷 security flaw

由设计、开发、配置、生产、运维等阶段中的问题引入，可能影响网络产品和服务安全的弱点。

6 漏洞 vulnerability

网络产品和服务中能够被威胁利用的弱点。