GB 40050-2021《网络关键设备安全通用要求》解读

一、标准的基本信息

1.发布时间：2021年2月20日

2.发布单位：国家市场监督管理总局、国家标准化管理委员会

3.实施日期：2021年8月1日

4.主管部门：中华人民共和国工业和信息化部

5.归口部门：中华人民共和国工业和信息化部

6.起草人：起草组组织中兴、新华三、联想、浪潮、和利时、浙江中控等企业以及中国信息通信研究院、威尔克实验室等机构开展标准验证工作

二、标准内容

1.范围

本文件规定了网络关键设备的通用安全功能要求和安全保障要求。本文件适用于网络关键设备，为网络运营者采购网络关键设备时提供依据，还适用于指导网络关键设备的研发、测试、服务等工作。

2.规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

3.术语和定义

下列术语和定义适用于本文件。

4.缩略语

下列缩略语适用于本文件。

5.安全功能要求

设备标识安全：网络关键设备的标识应满足以下安全要求。

冗余、备份恢复与异常检测：网络关键设备的冗余、备份恢复与异常检测功能应满足以下安全要求。

漏洞和恶意程序防范：设备不应存在已公布的漏洞（或有补救措施防范漏洞安全风险），预装软件、补丁包 / 升级包不应存在恶意程序，且不应存在未声明的功能和访问接口（含远程调试接口）。

预装软件启动及更新安全：支持启动时完整性校验功能，支持设备预装软件更新功能，具备保障软件更新操作安全的功能，具备防范软件在更新过程中被篡改的安全功能，有明确的信息告知用户软件更新过程的开始、结束以及更新的内容。

用户身份标识与鉴别：对用户进行身份标识和鉴别，身份标识具有唯一性。

访问控制安全：对设备的访问进行严格控制，确保只有授权的用户或系统能够访问设备的资源和功能。

日志审计安全：记录设备的运行日志和操作日志，以便对设备的运行状态和用户的操作行为进行审计和追溯。

通信安全：保障设备在通信过程中的数据安全，防止数据被窃取、篡改或伪造。

数据安全：保护设备中存储和处理的数据的安全性，包括数据的加密、备份、恢复等。

密码要求：对设备中使用的密码算法、密钥管理等方面提出要求，确保密码的安全性。

6.安全保障要求

设计和开发：网络关键设备提供者在设计和开发阶段，应遵循相关的安全标准和规范，确保设备的安全性，包括进行安全需求分析、安全设计、安全测试等活动。

生产和交付：在生产和交付过程中，应采取相应的安全措施，确保设备的完整性和安全性，如对生产环境进行安全管理、对设备进行质量检测等。

运行和维护：在设备的运行和维护阶段，应提供相应的安全支持和服务，确保设备的安全运行，如及时发布安全补丁、对设备进行安全监控等。

三、标准作用

1.网络运营者采购网络关键设备：为网络运营者采购网络关键设备时提供依据，帮助其选择符合安全要求的设备，保障网络的安全运行。

2.指导网络关键设备的研发、测试、服务等工作：适用于指导网络关键设备的研发、测试、服务等工作，确保设备在设计、开发、生产和交付、运行和维护等各个环节都符合安全要求。