GB 40050-2021  网络关键设备安全通用要求

网络关键设备的访问控制功能应满足以下安全要求。 a 默认状态下应仅开启必要的服务和对应的端口，应明示所有默认开启的服务、对应的端口及用 途，应支持用户关闭默认开启的服务和对应的端口。 b）非默认开放的端口和服务，应在用户知晓且同意后才可启用， 在用户访间受控资源时，支持设置访问控制策略并依据设置的控制策略进行授权和访问控制 确保访问和操作安全。 注1：受控资源指需要授予相应权限才可访问的资源， 注2：常见的访问控制策略包括通过IP地址绑定、MAC地址绑定等安全策略限制可访问的用户等。 d）提供用户分级分权控制机制。对涉及设备安全的重要功能，仅授权的高权限等级用户使用。 注3：常见的涉及设备安全的重要功能包括补丁管理、固件管理、目志审计、时间同步等。

网络关键设备的日志审计功能应满足以下安全要求。 应提供日志审计功能，对用户关键操作行为和重要安全事件进行记录，应支持对影响设备运行 安全的事件进行告警提示。 注1：常见的用户关键操作包括增/删账户、修改鉴别信息、修改关键配置、文件上传/下载、用户登录/注销、用户权 限修改、重启/关闭设备、编程逻辑下载、运行参数修改等。 b）应提供日志信息本地存储功能，支持日志信息输出 c）日志审计功能应记录必要的日志要素，为查阅和分析提供足够的信息。 主2：常见的日志要素包括事件发生的目期和时间、主体、类型、结果、源IP地址等， d）应具备对日志在本地存储和输出过程进行保护的安全功能，防止日志内容被未经授权的查看， 输出或删除， 注3：常见的日志保护安全功能包括用户授权访间控制等， e）应提供本地日志存储空间耗尽处理功能 注4：本地日志存储空间耗尽时常见的处理功能包括剩余存储空间低于阅值时进行告警、循环覆盖等， f）不应在日志中明文或者弱加密记录敏感数据。 注5：常见的弱加密方式包括信息摘要算法（MD5）、Base64等

网络关键设备应满足以下通信安全要求。 a）应支持与管理系统（管理用户）建立安全的通信信道/路径，保障通信数据的保密性、完整性。 b）应满足通信协议健壮性要求，防范异常报文攻击。 主1：网络关键设备使用的常见的通信协议包括IPv4/IPv6、TCP、UDP等基础通信协议，SNMP、SSH、HTTP等网 络管理协议，路由协议、工业控制协议等专用通信协议，以及其他网络应用场景中的专用通信协议。 c）应支持时间同步功能。 d）不应存在未声明的私有协议， 应具备抵御常见重放类攻击的能力， 主2：常见的重放类攻击包括各类 击、设备控制数据重放玫击等

保护 b 应具备对用户产生且存储在设备中的数据进行授权删除的功能，支持在删除前对该操作进行 确认。 注：用户产生且存储在设备中的数据通常包括日志，配置文件等

本文件凡涉及密码算法的相关内容，按国家有关规负

网络关键设备提供者应在网络关键设备的设计和开发环节满足以下要求。 a）应在设备设计和开发环节识别安全风险，制定安全策略。 注：设备设计和开发环节的常见安全风险包括开发环境的安全风险、第三方组件引人的安全风险、开发人员导致的 安全风险等。 b）应建立设备安全设计和开发操作规程，保障安全策略落实到设计和开发的整个过程。 应建立配置管理程序及相应配置项清单，配置管理系统应能跟踪内容变更，并对变更进行授权 和控制。 d 应采取措施防范设备被植人恶意程序。 e） 应采取措施防范设备被设置隐蔽的接口或功能模块。 应采取措施防范第三方关键部件、固件或软件可能引人的安全风险。 应采用漏洞扫描、病毒扫描、代码审计、健壮性测试、渗透测试和安全功能验证的方式对设备进 行安全性测试。 h 应对已发现的安全缺陷、漏洞等安全问题进行修复，或提供补救措施

网络关键设备提供者应在网络关键设备的设计和开发环节满足以下要求。 a）应在设备设计和开发环节识别安全风险，制定安全策略。 注：设备设计和开发环节的常见安全风险包括开发环境的安全风险、第三方组件引人的安全风险、开发人员导致的 安全风险等。 b）应建立设备安全设计和开发操作规程，保障安全策略落实到设计和开发的整个过程。 应建立配置管理程序及相应配置项清单，配置管理系统应能跟踪内容变更灌溉水质标准，并对变更进行授权 和控制。 d 应采取措施防范设备被植人恶意程序。 应采取措施防范设备被设置隐蔽的接口或功能模块。 应采取措施防范第三方关键部件、固件或软件可能引人的安全风险。 应采用漏洞扫描、病毒扫描、代码审计、健壮性测试、渗透测试和安全功能验证的方式对设备进 行安全性测试。 h）应对已发现的安全缺陷、漏洞等安全问题进行修复，或提供补救措施

网络关键设备提供者应在网络关键设备的生产和交付环节满足以下要求。 a）应在设备生产和交付环节识别安全风险，制定安全策略， 注1：生产和交付环节的常见安全风险包括自制或采购的组件被篡改、伪造等风险，生产环境存在的安全风险、设备 被植入的安全风险、设备存在漏洞的安全风险、物流运输的风险等 b）应建立并实施规范的设备生产流程，在关键环节实施安全检查和完整性验证。 应建立和执行规范的设备完整性检测流程，采取措施防范自制或采购的组件被篡改、伪造等 风险。 应对预装软件在安装前进行完整性校验。 e 应为用户提供验证所交付设备完整性的工具或方法，防范设备交付过程中完整性被破坏的 风险。 注2：验证所交付设备完整性的常见工具或方法包括防拆标签、数字签名/证书等。 f 应为用户提供操作指南和安全配置指南等指导性文档，以说明设备的安装、生成和启动的过 程，并对设备功能的现场调试运行提供详细的描述。 名 应提供设备服务与默认端口的映射关系说明。 应声明设备中存在的通过设备外部接口进行通信的私有协议并说明其用途，私有协议不应存 在所声明范围之外的用途。 1 交付设备前，发现设备存在已知漏洞应当立即采取补救措施

网路天键设备提供者应在网路天键设备的生产和交付环节满定以下要求。 a）应在设备生产和交付环节识别安全风险，制定安全策略， 注1：生产和交付环节的常见安全风险包括自制或采购的组件被复改、伪造等风险，生产环境存在的安全风险、设备 被植入的安全风险、设备存在漏洞的安全风险、物流运输的风险等 b）应建立并实施规范的设备生产流程，在关键环节实施安全检查和完整性验证 应建立和执行规范的设备完整性检测流程，采取措施防范自制或采购的组件被篡改、伪造等 风险。 应对预装软件在安装前进行完整性校验。 应为用户提供验证所交付设备完整性的工具或方法，防范设备交付过程中完整性被破坏的 风险。 注2：验证所交付设备完整性的常见工具或方法包括防拆标签、数字签名/证书等。 f 应为用户提供操作指南和安全配置指南等指导性文档，以说明设备的安装、生成和启动的过 程，并对设备功能的现场调试运行提供详细的描述。 8 应提供设备服务与默认端口的映射关系说明。 h）应声明设备中存在的通过设备外部接口进行通信的私有协议并说明其用途，私有协议不应存 在所声明范围之外的用途。 1 交付设备前，发现设备存在已知漏洞应当立即采取补救措施

网络关键设备提供者应在网络关键设备的运行和维护环节满足以下要求 应识别在运行环节存在的设备自身安全风险（不包括网络环境安全风险），以及对设备进行维 护时引入的安全风险，制定安全策略， b 应建立并执行针对设备安全事件的应急响应机制和流程，并为应急处置配备相应的资源 在发现设备存在安全缺陷、蒲洞等安全风险时，应采取修复或替代方案等补救措施，按照有关 规定及时告知用户并向有关主管部门报告。 d）在对设备进行远程维护时，应明示维护内容、风险以及应对措施，应留存不可更改的远程维护 日志记录，记录内容应至少包括维护时间、维护内容、维护人员、远程维护方式及工具。 主1：常见的远程维护包括对设备的远程升级、配置修改、数据读取、远程诊断等操作。 e）在对设备进行远程维护时，应获得用户授权，并支持用户中止远程维护，应留存授权记录。 注2：常见的获得用户授权的方式包括鉴别信息授权、书面授权等。 应为用户提供对补丁包/升级包的完整性、来源真实性进行验证的方法。 应为用户提供对废弃（或退役)设备中关键部件或数据进行不可逆销毁处理的方法。 h）应为用户提供废弃（或退役)设备回收或再利用前的关于数据泄漏等安全风险控制方面的注意 事项。 对于维修后再销售或提供的设备或部件，应对设备或部件中的用户数据进行不可逆销毁 应在约定的期限内，为设备提供持续的安全维护，不应以业务变更、产权变更等原因单方面中 断或终止安全维护。 k 应向用户告知设备生命周期终止时间

网络关键设备提供者应在网络关键设备的运行和维护环节满足以下要求。 应识别在运行环节存在的设备自身安全风险（不包括网络环境安全风险），以及对设备进行维 护时引入的安全风险，制定安全策略， b 应建立并执行针对设备安全事件的应急响应机制和流程，并为应急处置配备相应的资源 在发现设备存在安全缺陷、蒲洞等安全风险时，应采取修复或替代方案等补救措施，按照有关 规定及时告知用户并向有关主管部门报告。 d） 在对设备进行远程维护时，应明示维护内容、风险以及应对措施，应留存不可更改的远程维护 日志记录，记录内容应至少包括维护时间、维护内容、维护人员、远程维护方式及工具。 注1：常见的远程维护包括对设备的远程升级、配置修改、数据读取、远程诊断等操作。 e）在对设备进行远程维护时，应获得用户授权，并支持用户中止远程维护，应留存授权记录。 注2：常见的获得用户授权的方式包括鉴别信息授权、书面授权等。 应为用户提供对补丁包/升级包的完整性、来源真实性进行验证的方法。 应为用户提供对废弃（或退役)设备中关键部件或数据进行不可逆销毁处理的方法。 h）应为用户提供废弃（或退役)设备回收或再利用前的关于数据泄漏等安全风险控制方面的注意 事项。 对于维修后再销售或提供的设备或部件，应对设备或部件中的用户数据进行不可逆销毁 应在约定的期限内，为设备提供持续的安全维护，不应以业务变更、产权变更等原因单方面中 断或终止安全维护。 k）应向用户告知设各生命周期终止时间