0x01 标准背景
《网安法》中规定企业所使用的网络关键设备应符合国家标准的强制性要求,而2021年2月20日发布的GB40050 正是落实了这一强制性国家标准。
《网安法》第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
2017年,网信办牵头四部委发布了《网络关键设备和网络安全专用产品目录(第一批)》,对“网络关键设备”的范围做出了明确的规定:
2018年,认监委牵头四部委发布了《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》,2021年正式发布《网络关键设备安全通用要求》,并将于8月1日正式实施。由此可见,随着后续相关文件的发布,《网络安全法》中的各项要求也将逐渐得到贯彻与落实。
0x02 标准意义
该标准从安全功能和安全保障两个方面做出要求,为网络运营者采购网络关键设备提供了依据,对降低企业内设备安全风险有着重大意义。同时,该标准还是网络关键设备的研发、测试、服务等工作的重要指导标准,开发网络设备的乙方厂商中从产品到开发测试等整个业务流程涉及人员都应对该标准详细掌握。该标准较以往发布的标准相比,在每个要求下增加了注解,进一步阐释清楚了各要求的具体范围与含义。
0x03 标准内容
标准内容分为安全功能要求与安全保障要求两个部分,安全功能中涵盖了10个不同维度的要求,安全保障中涵盖3个维度。
硬件设备及重要组件应该具有序列号作为唯一性标识,软件及其关联包应具有版本号等作为唯一标识。
硬件需要有冗余设备,或支持冗余功能;软件需要支持备份与恢复功能;支持异常检测。
网络关键设备不存在漏洞、恶意程序及未声明的接口。
关键设备的预装软件应有安全的启动更新机制。
身份标识应有唯一性、支持安全策略的启动、对口令有安全的管理机制。
应做到所有默认开放端口应告知用户,并且用户有权关闭、支持用户设置访问控制策略、提供权限分级机制。
提供日志审计、告警、本地存储输出等功能,提供安全机制保证日志的存储、恢复。
应保障通信安全、保证通信协议的健壮性、可抵御常见攻击。
应具备保障数据安全的机制,支持在风险操作前要求用户进一步确认。
涉及密码算法依照国家规定。
在安全保障方面,对网络关键设备厂商的各个流程做出了详细要求如下:
