5.1 基本級安全通用要求

5.1.1 安全功能要求

5.1.1.2 授權與訪問控制

5.1.1.1 身份標識和鑒別

具有用戶身份標識和鑒別功能的網絡產品和服務應:

a) 對用戶身份進行標識和鑒別，身份標識具有唯一性;

b) 對用戶身份鑒別憑證進行安全保護，防止鑒別憑證的泄露、篡改;

c) 告知用戶網絡產品和服務中與用戶相關的所有預置的賬戶和默認口令，允許用戶更改默認口令;

d) 在存在默認口令時，提示用戶對默認口令進行修改。

5.1.1.2 授權與訪問控制

具有授權與訪問控制功能的網絡產品和服務應:

a) 按照最小授權原則，在出廠時預置訪問控制策略，需要配置安全策略時，允許用戶更改訪問控制策略;

b) 在用戶訪問受控資源或功能時，依據設置的訪問控制策略進行訪問控制，保障訪問和操作的安全;

c) 不存在加載或運行后會禁用或繞過訪問控制機制的組件。

5.1.1.3 日志記錄與審計

具有日志記錄與審計功能的網絡產品和服務應:

a) 對用戶賬戶的登錄、注銷、系統開關機和核心配置變更等操作進行日志記錄;

b) 在日志記錄中包括事件發生的日期和時間、事件的類型、主體身份、事件操作結果等;

c) 對日志記錄進行安全保護，防止日志記錄的損毀或未授權的追加、訪問、修改、刪除等。

5.1.1.4 用戶信息安全保護

具有用戶信息收集、處理等功能的網絡產品和服務應:

a) 除法律法規另有規定外，明確告知收集用戶信息的目的、用途、范圍和類型，在獲得用戶同意后，方可收集用戶信息;

b) 將收集的用戶信息僅用于用戶同意的目的和用途;

c) 在收集實現網絡產品和服務功能所需的用戶信息時遵循最小化原則;

d) 采取安全措施保護個人信息等重要用戶信息的安全，防止泄露、篡改、損毀、丟失;

e) 未經用戶同意，不得向他人提供可精確定位到特定個人的信息;

f) 在符合法律法規且技術可行條件下，向用戶提供查詢、更正個人信息的功能;

g) 在報廢或終止后，按法律法規、用戶要求對用戶信息進行處理，或刪除用戶信息。

5.1.1.5 密碼使用與管理

采用了密碼技術的網絡產品和服務應符合國家密碼管理相關規定。

5.1.2 安全保障要求

5.1.2.1 設計和開發

網絡產品和服務的提供者應:

a) 制定和實施網絡產品和服務安全開發流程，減少設計、開發等過程中惡意程序植入、漏洞引入的風險;

b) 對設計文檔、開發文檔等進行配置管理，建立配置管理清單或相應程序，對配置項的變更進行授權和控制;

c) 識別網絡產品和服務在設計、開發環節的安全風險，制定安全策略，采取安全措施保障關鍵組件的設計和開發安全;

d) 自行、聯合或委托第三方對網絡產品和服務(包括網絡產品和服務中使用的第三方軟硬件模塊)進行安全測試;

e) 在開發階段對已發現的安全缺陷、漏洞進行修復，對于不能在開發階段及時修復的安全缺陷、漏洞，制定并實施在用戶側進行緊急修復的安全管理流程。

5.1.2.2 生產和交付

網絡產品和服務提供者應:

a) 采取完整性保護措施降低網絡產品和服務中關鍵組件、過程和數據被篡改、偽造的風險，包括但不限于對使用的第三方軟硬件模塊進行安全性檢測等;

b) 向用戶說明包含在網絡產品和服務中的所有與用戶相關的功能模塊和訪問接口，包括但不限于人機接口、調試接口等;

c) 通過用戶協議、產品使用說明書或網站通報等途徑，聲明所提供的網絡產品和服務中沒有故意留有或者設置漏洞、后門、木馬等程序和功能。

5.1.2.3 運行和維護

網絡產品和服務提供者應:

a) 建立和執行針對網絡產品和服務安全缺陷、漏洞的應急響應機制和流程，對網絡產品和服務在運行和維護階段暴露的安全缺陷、漏洞進行響應;

b) 發現網絡產品和服務存在安全缺陷、漏洞時，立即采取修復或替代方案等補救措施，按照國家網絡安全監測預警和信息通報制度等相關規定，及時告知用戶安全風險，并向有關主管部門報告;

c) 在法律法規規定或與用戶約定的期限內，為網絡產品和服務提供持續的安全維護，不因業務變更、產權變更等原因單方面中斷或終止安全維護;

d) 建立和實施規范的用戶信息保護制度，當存在違反法律法規規定或者雙方約定收集、使用用戶個人信息的情形時，應主動或在用戶要求下刪除個人信息;

e) 保護用戶對軟件安裝、使用、升級、卸載的知情權和選擇權，安裝和升級軟件時應明示告知用戶并獲得用戶同意，允許用戶卸載或禁用完成業務目標所必備產品核心功能之外的軟件，不得強 制或誘導用戶安裝或升級用戶不知情的軟件。