概述

網絡產品和服務的安全直接影響到其支撐的網絡的安全。網絡產品和服務在研發、生產、交付、服 務提供或運維過程中可能引入安全隱患，導致信息泄露、數據篡改、服務中斷、不當控制等安全風險。為 了減少網絡產品和服務中的常見安全風險，提升用戶對網絡產品和服務在安全性方面的信心，網絡產品 和服務提供者應采取相應安全措施，實現以下安全目標:

a) 防范信息泄露風險:保障網絡產品和服務中用戶信息不被泄露，降低用戶信息泄露的安全風險;

b) 防范數據篡改風險:保障網絡產品和服務中用戶信息不被非授權更改或偽造，降低數據被篡改的安全風險;

c) 防范服務中斷風險:保障網絡產品和服務的持續運行和供應，降低網絡產品和服務供應中斷的安全風險;

d) 防范不當控制風險:保障網絡產品和服務運行過程中的風險可控，降低網絡產品和服務提供者惡意控制用戶的網絡產品和服務、非授權獲取用戶信息，以及利用用戶對網絡產品和服務的依賴實施不正當競爭或損害用戶利益的風險。

本標準從安全功能和安全保障兩個方面規范網絡產品和服務的安全通用要求。安全功能和安全保障均包含基本級和增強級安全要求，其中增強級安全要求用宋體粗體字進行標識。