信息安全-供应商产品网络安全红线

供应商产品网络安全红线,,,

影响程度,红线要求,,红线条款

"A1类

可能造成政治、法律上的重大安全危机

（合法合规）",1.禁止非法监听，保护通信自由,,10.1.1合法监听接口应遵循通用的国际标准。如果少数国家对此标准有特殊要求时，应严格限制该产品只能在该国销售或应用。如果我司被要求不能提供合法监听接口时，必须从产品和解决方案中删除此接口，确保现网设备无法通过任何形式启用。

,,,10.1.2系统中和合法监听相关的接口禁止存在合法监听网关正常接口之外的任何其它调用方式，包括命令、脚本、调试接口等。确保产品和解决方案的合法监听接口的安全性，防止被盗用、误用或滥用，防止被监听对象以及任何未经授权的第三方感知，防止相关信息或内容被泄露。

,,,10.1.3在正常业务流程和标准协议之外，禁止提供可在最终用户不知情同意的情况下，采集最终用户原始通信内容（语音类、短信/彩信类、传真类、数据业务类）的功能，即使该功能是为了保障网络运营和服务。

,,,10.1.4禁止终端产品提供与监听相关的功能和特性。

,2.禁止未公开接口，防止后门,,"5.1.1禁止存在可绕过系统安全机制（认证、权限控制、日志记录）对系统或数据进行访问的功能。

•禁止隐秘访问方式：包括隐藏账号、隐藏口令、无鉴权的隐藏模式命令/参数、隐藏组合键访问方式；隐藏的协议/端口/服务；隐藏的生产命令/端口、调测命令/端口

•禁止不可管理的认证/访问方式：包括用户不可管理的账号，人机接口以及可远程访问的机机接口的硬编码口令。"

,,,5.1.2禁止存在未文档化的命令/参数、端口等接入方式（包括但不限于产品的生产、调测、维护用途），需通过产品资料等对客户公开或受限公开。

,,,5.3.1禁止在产品软件中存留可能被质疑的组件，包括第三方的网络嗅探、调试工具、开发/编译工具、仅在调测阶段使用的认证密钥、自研调试工具/脚本。

,,,5.3.2禁止在产品软件中包含用户界面不可见或产品资料未描述的未公开的公网地址（包括公网IP地址、公网URL地址/域名、邮箱地址）。

,,,5.3.3禁止破坏OS等系统原有安全框架、可能被外界质疑为后门的行为。

,3.禁止恶意软件、恶意行为，保护用户权益,,5.2.1产品软件禁止存在病毒、木马。需根据供应商产品接入内部业务权重按内部业务权重级别提供相关安全等级保护测评证书

,,,5.2.2产品软件禁止存在发送恶意广告、吸费、恶意消耗流量等的行为。

,4.保护隐私，防止隐私泄露,,11.1.1禁止在未经授权（签订数据转移协议或获得客户的明确同意等）前进行个人数据转移，产品出于定位问题目的从客户网络导出包含个人数据的数据时须对个人数据进行过滤、或匿名化或假名化处理。

,,,11.1.2涉及个人数据的采集/处理的功能须提供安全保护机制（如认证、权限控制、日志记录等），并通过产品资料向客户公开。

,,,11.1.3在正常业务流程和标准协议之外，禁止出于故障定位目的进行用户精确位置信息定位。在运营商提供增值服务时，如需处理用户精确位置数据，应获得运营商的授权，并在方案设计时，给予最终用户随时撤回同意的机会。

,,,11.1.4数据控制者必须在客户资料或界面中提供隐私声明，设备供应者必须在产品资料中提供产品处理的个人数据说明。

,,,11.1.5收集或使用个人数据前，须明确提示用户，并获得用户的同意，并且允许用户随时关闭对个人数据的收集和使用。

,,,11.1.6个人数据收集范围、使用目的不得超出隐私声明，且遵循最小化原则，当个人数据的采集范围、使用目的发生变更时，应及时更新隐私声明。

,,,11.1.7对于移动终端，对系统或软件进行升级时必须通过界面或者资料的形式让用户知情且可控。

"A2类

可能产生信任危机，易被认为是故意行为，难以自证

（自证清白）",5.控制访问通道，防止入侵,,1.1.1系统支持无法从用户面直接登录连接管理接口（不支持独立的管理IP地址的产品除外）。

,,,1.1.3系统所有的对外通信连接必须是系统运行和维护必需的，对使用到的通信端口在产品通信矩阵文档中说明，动态侦听端口必须限定确定的合理的范围。通过端口扫描工具验证，未在通信矩阵中列出的端口必须关闭。

,,,1.1.4所有能对系统进行管理的人机接口以及跨信任网络的机机接口必须有接入认证机制，标准协议没有认证机制的除外。

,,,1.1.5设备外部可见的能对系统进行管理的物理接口必须有接入认证机制。

,6.权限最小化，防止非授权访问,,8.1.5系统必须有明确的用户权限管理机制，新建账号默认不授予任何权限或者默认只指派最小权限的角色。

,7.正确加密，保护敏感数据,,6.1.1禁止使用私有加密算法。

,,,6.2.1用于数据加解密的工作密钥不能硬编码在代码中，根密钥场景仅可对部分密钥组件进行硬编码。

,,,7.1.1禁止认证凭据明文存储在系统中，应该加密保护。在不需要还原明文的场景，必须使用不可逆算法加密。

,8.防止篡改，保证系统和数据的完整性,,12.1.1产品对外发布的软件（包含软件包/补丁包）必须提供完整性校验机制，在安装、升级过程中对软件进行完整性验证。

,9.审计管理操作，保证可追溯,,"8.1.2管理面所有对系统产生影响的用户活动、操作指令必须记录日志，日志内容要能支撑事后的审计，记录包括用户ID、时间、事件类型、被访问资源的名称、访问发起端地址或标识、访问结果等；日志要有访问控制,应用系统禁止提供手动删除、修改审计日志的能力。"

"B类

可能产生安全能力上的质疑

（基本的安全要求和基础的安全保障）",安全设计,访问通道控制,1.1.2同时存在跨公网和局域网的产品，面向公网的安全组管理端口和面向局域网LAN侧管理端口必须隔离。

,,系统加固,2.1.1系统经漏洞扫描工具扫描，高风险级别的漏洞必须得到解决或有效规避。

,,,2.1.2产品发布之前需要对公司发布最新通用操作系统、数据库、安全组件的安全补丁进行兼容性测试，并随版本发布。

,,,2.1.3产品使用的开源或三方件等存在外部公开漏洞，已有官方修复方案的，产品无论是否调用都必须按照官方认可的方案修复。产品梳理所使用到的开源及第三方软件，并输出开源及第三方软件清单

,,应用安全,4.1.2对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作。

,,,4.1.4对用户的最终认证处理过程必须放到服务端进行。

,,,4.1.8Web应用程序的会话标识必须具备随机性，身份验证成功后，必须更换会话标识。

,,产品开发、发布和安装安全,5.4.1禁止对外提供服务的和能够被远程访问的进程使用root账户（或等同）权限运行。

,,加密,6.1.2产品必须使用通过认证的或业界开源公认的或经公司评估认可的密码算法库。

,,,6.1.3密码算法中使用到的随机数必须是密码学意义上的安全随机数。

,,,6.1.4产品在初始安装需默认使用安全算法，禁止使用公司认定的不安全的加密密码算法，升级场景下可保持兼容，出于行业标准遵从的场景例外。

,,敏感数据保护,7.1.2在非信任网络之间进行敏感数据的传输须采用安全传输通道或者加密后传输，有标准协议规定除外。

,,,7.1.9对敏感数据的访问要有认证、授权、或加密机制。

,,,7.1.11禁止在系统中存储的日志、调试信息、错误提示中明文打印认证凭据。

,,系统管理和维护安全,"8.1.1系统自身操作维护类口令满足“口令安全要求”。

注：系统指交付给客户运行的整体系统，包括自研的软件、软件运行的操作系统及应用服务在内。

附件：口令安全要求

1、设置口令时，默认检测口令复杂度：

系统默认检测口令复杂度，口令至少满足如下要求：

1）口令长度至少8个字符；

2）口令必须包含如下至少两种字符的组合:

－至少一个小写字母；

－至少一个大写字母；

－至少一个数字；

－至少一个特殊字符：`~!@#$%^&*()-_=+\|[{}];:'"",<.>/?和空格

3）口令不能和账号一样；

若设置的口令不符合上述规则，必须进行警告；

对于输入受限、符合业界惯例的场景，不强制要求口令复杂度。

2、认证模块必须支持口令防暴力破解机制

对于人机接口或跨信任网络的机机接口的登录认证必须支持口令防暴力破解机制，当重复输入错误口令次数(如3次）超过阀值时采取合适保护措施。保护措施可参考：

1）锁定账号；

2）锁定IP；

3）登录延迟；

4）验证码；

5）IP白名单。

3、操作界面中的口令不能明文显示

键入的口令缺省不能在图形界面上明文显示；

对于交互式命令行场景，登录口令也不能明文回显。

4、口令输入框内容禁止拷贝

口令输入框不支持拷出功能。

5、管理面默认人机账号禁止缺省口令，并且首次登录必须强制设置口令。

缺省口令符合复杂度要求

对于系统内置账号的缺省口令，口令应符合复杂度的要求，如果不能满足口令复杂度则需要在用户首次登录时强制修改。

6、用户可修改自己的口令

1）用户修改自己口令时必须验证旧口令。

2）不允许修改除自身账号以外的账号的口令（管理员除外）。

7、口令密文的访问控制

口令文件必须设置访问控制。"

,,,8.1.3系统的管理平面和近端维护终端、网管维护终端间，初始安装必须默认使用安全协议，对于公司指定的已知不安全的协议应支持关闭。启用不安全协议须产生对应告警或用户提示。

,,,"8.1.4禁止存在缺省口令，客户有特殊的账号口令管理需求的可例外。

1、产品发布的软件包中包含的默认账号禁止存在缺省口令，应采用Firstlogin登录模式，系统首次登录运行，必须强制设置满足口令复杂度的强口令；禁止空口令登录到系统进行其他操作。

a）开源三方件不支持Firstlogin登录模式的，则必须保证产品首次登录后，其口令必须被修改；

2、系统运行后，管理员新建/重置人机账号禁止存在缺省口令（如硬编码口令），必须由管理员设置初始口令或系统自动产生随机口令（以上口令都应满足口令复杂度要求），由管理员创建的账号用户，首次登录必须强制修改初始口令。"

,,安全资料,9.1.2产品发布的资料中须提供产品通信矩阵，描述机器/网元/模块间的通信关系，包括：通信使用的端口、协议、IP地址、认证方式、端口用途信息等。

,,,"9.1.4产品发布的资料中须提供安全配置/加固指南，描述如下内容：

1）安全加固及检查，主要包括操作系统、数据库或WEB服务器等加固内容，需要包含具体的加固内容和操作步骤

2）应用的安全配置，针对产品业务安全应用，需要启用哪些安全选项，配置哪些内容。

如果没有应用的安全配置，就必须提供安全加固指南。"

,,,9.1.5产品发布的资料中须提供产品缺省内置的账号清单。

,,安全启动和完整性保护,12.1.2属于关键基础设施的ICT类产品必须支持安全启动。

,安全开发,安全编码,13.1.1产品自研代码必须经静态代码检查工具扫描，并按照相应语言的告警清理要求进行清理。

,,,13.1.2产品的自研代码必须按照相应的编程规范使用安全函数替换不安全函数，禁止不正确的重定义安全函数或不正确的封装安全函数。

,,安全编译,13.2.1产品必须按规范开启安全编译选项。

,,生命周期管理,14.