ICS 35.040 CCS L 80 中华人民共和国国家标准 GB40050—2021 网络关键设备安全通用要求 Critical network devices security common requirements 2021-02-20发布 2021-08-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 G40050—2021 目 次 前言 1 范围 2 规范性引用文件 3 术语和定义 缩略语 安全功能要求 5.1 设备标识安全 5,2 几余、备份恢复与异常检测 5.3 漏洞和恶意程序防范 5.4 预装软件启动及更新安全 5.5 用户身份标识与鉴别 5.6 访问控制安全 5.7 日志审计安全 5.8 通信安全 5.9 数据安全 5.10 密码要求 6安全保障要求 6.1 设计和开发 6.2 生产和交付 6.3 运行和维护 参考文献 GB40050—2021 前言 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中华人民共利国工业和信息化部提出并归口。 GB40050—2021 网络关键设备安全通用要求 1范围 本文件规定了网络关键设备的通用安全功能要求和安全保障要求 本文件适用于网络关键设备：为网络运营者采购网络关键设备时提供依据，还适用于指导网络关键 设备的研发、测试、服务等工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件：不注日期的用文件，其最新版本（包括所有的修改单）适用于 本文件. GB/725069 信息安全技术术语 3 术语和定义 GB/?25069界定的以及下列术语和定义适用于本文件。 3.1 部件 component 由若干装配邮一起的零件组成，能够实现特定功能的模块或组件， 3.2 恶意程序 maliciousprogram 被专门设计用来攻击系统，损害或破坏系统的保密性、完整性或可用性的程序 注：常见的恶意程序包括病毒，虫、术马、问谋软件等， 3.3 漏洞 vulnerability 可能被威胁利用的资产或控制的弱点。 ［米源：GB/T29246—2017，2.89，有修改］ 3.4 敏感数据 sensitivedata 一且泄露、非法提供或滥用可能危害网络安全的数据： 注：网络关链设备常见的敏感数据包括口令、密钥、关键配置信息等。 3.5 健壮性 robustness 描述网络关键设备或部件在无效数据输人或者在高强度输人等环境下，其各项功能可保持正确运 行的程度。 ［来源：GB/T28457—2012，3.8，有修改 3.6 私有协设 privatc protocol 专用的、非通用的协议 1