ICS35.030 CCSL80 中华人民共和国国家标准 GB/T29244—2024 代替GB/T29244—2012,GB/T38558—2020 网络安全技术 办公设备安全规范 Cybersecuritytechnology—Securityspecificationforofficedevices 2024-09-29发布 2025-04-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 通则 2 ……………………………………………………………………………………………………… 6 安全技术要求 2 …………………………………………………………………………………………… 6.1 安全功能要求 2 ……………………………………………………………………………………… 6.2 安全保障要求 4 ……………………………………………………………………………………… 7 测评方法 6 ………………………………………………………………………………………………… 7.1 安全功能要求测评方法 6 …………………………………………………………………………… 7.2 安全保障要求测评方法 8 …………………………………………………………………………… 附录A(规范性) 办公设备分类及安全技术要求等级划分 11 …………………………………………… 附录B(规范性) 办公设备分类及测评方法等级划分 14 ………………………………………………… ⅠGB/T29244—2024 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T29244—2012《信息安全技术 办公设备基本安全要求》和GB/T38558—2020 《信息安全技术 办公设备安全测试方法》,与GB/T29244—2012和GB/T38558—2020相比,除结构 调整和编辑性改动外,主要技术变化如下: ———增加了概述(见第5章); ———更改了术语和定义(见第3章,GB/T29244—2012年版的第3章); ———增加了“固件安全”相关要求(见6.1.3)和对应测评方法(见7.1.3); ———增加了“安全保障要求”和对应测评方法(见6.2和7.2); ———更改“安全审计”为“日志记录与审计”(见6.1.4,GB/T29244—2012年版的4.3); ———更改“会话”为“通信安全”(见6.1.6,GB/T29244—2012年版的4.7); ———更改“数据管理”为“用户数据安全”(见6.1.5,GB/T29244—2012年版的5.2); ———更改“安全属性管理”为“配置安全”(见6.1.8,GB/T29244—2012年版的5.1)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、国家信息 技术安全研究中心、珠海奔图电子有限公司、北京大学、爱普生(中国)有限公司、富士胶片商业创新(中 国)有限公司、长扬科技(北京)股份有限公司、中国惠普有限公司、联想(北京)有限公司、启明星辰信息 技术集团股份有限公司、柯尼卡美能达(中国)投资有限公司、佳能(中国)有限公司、广电计量检测集团 股份有限公司、国家办公设备及耗材质量检验检测中心(天津天复检测技术有限公司)、理想(中国)科学 工业有限公司、北京高德品创科技有限公司、夏普办公设备(常熟)有限公司、珠海天威飞马打印耗材有 限公司、兄弟(中国)商业有限公司、杭州安恒信息技术股份有限公司、东芝泰格信息系统(深圳)有限公 司、新华三技术有限公司、北京数安行科技有限公司、北京中科微澜科技有限公司、天津光电通信技术有 限公司、中国科学院软件研究所、国网区块链科技(北京)有限公司。 本文件主要起草人:杨建军、孙彦、张东举、上官晓丽、李奕希、王西子、赵新强、彭继兵、张芝军、 陈韵然、谢安明、喻梁文、祝晴、赵华、杨丰辰、李汝鑫、杨天识、陈挺、杨晨、唐迪、张宇、胡权、王正良、 范志国、乔怀信、何钢、陈星、王恒博、陈勇、万晓兰、刘玉红、郭维、孙芳、晏敏、石竹玉。 本文件及其所代替文件的历次版本发布情况为: ———2012年首次发布为GB/T29244—2012,2020年首次发布为GB/T38558—2020; ———本次为第一次修订。 ⅢGB/T29244—2024 网络安全技术 办公设备安全规范 1 范围 本文件规定了办公设备的安全功能要求、安全保障要求和测评方法。 本文件适用于办公设备的采购、测评、维护和管理,也适用于办公设备的安全设计、实现和运行。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T18336 信息技术 安全技术 信息技术安全评估准则 GB/T25069 信息安全技术 术语 GB/T29829 信息安全技术 可信计算密码支撑平台功能与接口规范 3 术语和定义 GB/T18336和GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 办公设备 officedevice 用于产生或处理电子或其他媒体文件的设备。 注:办公设备主要是指具有打印、扫描、传真、复印中的一项或多项功能的设备。 3.2 管理员 administrator 被授权管理办公设备的某些部分或所有部分的用户。 3.3 用户 user 操作办公设备,或与办公设备进行交互的实体(人或信息技术实体)。 3.4 用户数据 userdata 由用户创建或为用户而创建,且不影响办公设备安全功能运行的数据。 注:用户数据包括用户文档数据和用户功能数据。 3.5 非易失性存储器 nonvolatilestorage 存储的数据不因电源关闭而丢失的存储器。 注:非易失性存储器主要包括内置或者外接的硬盘、通用串行总线(USB)盘、安全数字(SD)卡、闪存。 3.6 固件 firmware 实现办公设备接口通信、安全功能、数据解析、图像处理、引擎控制等的程序。 1GB/T29244—2024 3.7 主控制芯片 mastercontrolchip 负责数据解析、图像处理、作业管理和控制打印头并直接输出二进制影像数据的集成电路芯片或芯 片集合。 3.8 数据控制板 datacontrolboard 内置于办公设备,集成了主控制芯片且负责数据控制功能的电路板。 注:数据控制功能包括数据通信,作业分配管理,作业数据解析,打印、复印、扫描数据的图像处理,二进制影像数据 的输出控制等。 4 缩略语 下列缩略语适用于本文件。 IP:因特网协议(InternetProtocol) MAC:媒体访问控制(MediaAccessControl) PIN:个人标识码(PersonalIdentificationNumber) SNMP:简单网络管理协议(SimpleNetworkManagementProtocol) 5 通则 办公设备的安全技术要求包括安全功能要求和安全保障要求。其中,安全功能要求是对办公设备 应具备的安全功能提出的具体要求。安全保障要求是对办公设备提供者在办公设备设计、开发、生产、 交付、运行、维护和供应链管理等过程中应采取的安全保障措施提出的具体要求。 本文件将办公设备的安全等级分为基本级和增强级。安全功能的强弱,以及安全保障要求的高低 是办公设备安全等级划分的依据。办公设备安全技术等级划分应符合附录A的要求,测评方法等级划 分应符合附录B的要求。 6 安全技术要求 6.1 安全功能要求 6.1.1 标识和鉴别 办公设备在标识和鉴别方面的要求包括以下内容。 a) 应对用户身份进行标识,在执行办公设备功能、安全功能时对用户身份进行鉴别。 b) 应支持用户会话超时锁定功能;支持设定鉴别失败最大次数,超过设定最大次数时,在一段时 间内限制用户进行身份鉴别或锁定用户账号。 c) 存在默认口令的,应允许用户更改默认口令,并提示用户对默认口令进行修改。 6.1.2 访问控制 办公设备在访问控制方面的要求包括以下内容。 a) 应根据管理员、普通用户使用办公设备功能、安全功能的差异,提供完成各自承担任务所需的 最小访问权限。 b) 应支持授权管理功能,支持管理员对普通用户使用设备进行授权。 2GB/T29244—2024