前言

国家强制性标准GB 40050-2021《网络关键设备安全通用要求》（Critical Network Devices Security Common Requirements，以下简称标准）于2021年2月20日正式发布，并于2021年8月1日起正式实施。

2019年8月，国家标准化管理委员会下达该标准的制定计划（国标委发〔2019〕26号），计划号为20192423-Q-339，由工业和信息化部负责组织制定。经全国信息安全标准化技术委员会、全国通信标准化技术委员会推荐，综合考虑专家权威性和代表性，工业和信息化部成立了由21名专家组成的标准起草专家组（以下简称起草组）。

在标准的编制过程中，起草组广泛听取各方的意见，不断对标准进行修改和完善，先后召开7次起草组会议、2次专题研讨会、2次专家技术审查会，听取了60多家国内外研究机构、检测机构和设备生产企业的意见，根据各方意见对标准技术内容进行修改完善后进行报批和标准发布。

为了帮助读者学习和理解GB 40050-2021标准文本，推进GB 40050-2021的贯彻与实施，特编写本书。

在本书的编写过程中得到了中国通信标准化协会的指导，也得到了华为技术有限公司、中兴通讯股份有限公司、浪潮电子信息产业股份有限公司、北京和利时智能技术有限公司的大力支持，各公司分别提供了设备如何满足安全要求的具体实现的示例素材，为读者理解标准的要求发挥了重要的作用。中国信息通信研究院泰尔系统实验室的技术专家为本书的编写提供了协助，进行了素材收集和整理，在此对他们的辛勤付出表示衷心的感谢。

本书按照GB 40050-2021的章节顺序进行解读，并给出实施示例，其组成结构如下。

第1章：全书说明，包括标准编制说明和本书阅读说明。

第2章：概述，包括标准的编制背景、适用范围、规范性引用文件、术语和定义、缩略语，分别对GB 40050-2021的前言部分及第1～4节进行解读。

第3章：设备标识安全，包括硬件标识和软件标识，对GB 40050-2021的第5.1节进行解读。

第4章：冗余、备份恢复与异常检测，包括冗余、备份与恢复、异常检测，对GB 40050-2021的第5.2节进行解读。

第5章：漏洞和恶意程序防范，包括已公布漏洞、恶意程序和后门，对GB 40050-2021的第5.3节进行解读。

第6章：预装软件启动及更新安全，包括预装软件的完整性要求和更新要求，对GB 40050-2021的第5.4节进行解读。

第7章：用户身份标识与鉴别，包括用户身份标识和鉴别、口令要求、安全策略和安全功能，对GB 40050-2021的第5.5节进行解读。

第8章：访问控制安全，包括默认服务、访问受控资源、分级分权，对GB 40050-2021的第5.6节进行解读。

第9章：日志审计安全，包括日志审计功能、日志审计存储和输出、日志审计记录要素、日志保护、日志存储异常要求、日志存储信息要求，对GB 40050-2021的第5.7节进行解读。

第10章：通信安全，包括管理信道安全、协议健壮性、时间同步、私有协议、抵御常见攻击，对GB 40050-2021的第5.8节进行解读。

第11章：数据安全，包括数据保护和数据删除，对GB 40050-2021的第5.9节进行解读。

第12章：密码要求，对GB 40050-2021的第5.10节进行解读。

第13章：设计和开发，包括风险识别，操作规程，配置管理，恶意程序防范，安全测试、安全缺陷、漏洞修复补救，对GB 40050-2021的第6.1节进行解读。

第14章：生产和交付，包括风险识别、完整性检测、指导性文档、端口映射说明、私有协议、漏洞处置，对GB 40050-2021的第6.2节进行解读。

第15章：运行和维护，包括风险识别，安全事件响应，安全缺陷、漏洞修复补救，远程维护，完整性真实性验证方法，设备废弃/回收处理，二次销售或提供设备的处理，安全维护，设备生命周期终止处理，对GB 40050-2021的第6.3节进行解读。

附录：包括《中华人民共和国网络安全法》、《〈网络关键设备和网络安全专用产品目录〉（第一批）的公告》、《网络安全专用产品安全认证和安全检测任务机构名录》（第一批）。

由于编者水平有限，书中仍有不足之处，敬请读者和专家批评指正。