《网络安全法》《数据安全法》《个人信息保护法》等法律法规的陆续施行,对网络安全标准化工作提出了更高的要求,标准的重要性日益凸显。近年来,全国信安标委、各行业标准委陆续发布了多项网络安全相关标准,指引着各行业网络安全建设工作有序开展。为全面了解近期标准建设情况,小编整理了2023上半年我国发布的重要网络安全标准,供大家参考。
国家标准
1. 2023年3月17日,国家标准gb/t 15843.3-2023《信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制》发布
本标准规定了采用基于非对称技术的数字签名的实体鉴别机制,主要给出了两类机制,第一类共五种机制不引入在线可信第三方,第二类共五种机制引入在线可信第三方。在这两类机制中,分别各有两种机制实现单向鉴别,各有三种机制实现双向鉴别。
2. 2023年3月17日,国家标准gb/t 17902.1-2023《信息技术 安全技术 带附录的数字签名 第1部分:概述》发布
本标准规范了一系列的任意消息长度的带附录的数字签名机制,包含了一系列带附录的数字签名的基本原则与要求,同时也包括了该系列标准的所有部分都用到的定义与符号。
3. 2023年3月17日,国家标准gb/t 20274.1-2023《信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型》发布
本标准给出了信息系统安全保障模型,建立了信息系统安全保障建设和评估的框架,并建立了信息系统安全技术保障、管理保障和工程保障建设,以及给出了评估要求和内容。
4. 2023年3月17日,国家标准gb/t 21053-2023《信息安全技术 公钥基础设施 pki系统安全技术要求》、gb/t 20154-2023《信息安全技术 公钥基础设施 pki系统安全测评方法》发布
两项标准互为配套,《技术要求》规定了五个等级的pki系统的技术要求,每个等级的技术要求包括:物理安全、角色与责任、访问控制、密钥管理、轮廓管理、证书管理、配置管理、分发与操作等。《测评方法》则规定了不同等级pki系统所需要满足的评估内容。
5. 2023年3月17日,国家标准gb/t 32922-2023《信息安全技术 ipsec vpn安全接入基本要求与实施指南》发布
本标准明确了采用ipsec vpn技术实现安全接入的场景,提出了ipsec vpn安全接入应用过程中有关网关、客户端以及安全管理等方面的要求,同时给出了ipsec vpn安全接入的实施过程指导。
6. 2023年3月17日,国家标准gb/t 33134-2023《信息安全技术 公共域名服务系统安全要求》发布
本标准规定了公共域名服务系统的基本要求、技术要求以及管理要求,适用于顶级域名服务系统,其他各级域名服务系统、递归域名服务系统的开发和管理,也适用于开展公共域名服务系统的单位使用。
7. 2023年3月17日,国家标准gb/t 42446-2023《信息安全技术 网络安全从业人员能力基本要求》发布
本标准确立了网络安全从业人员分类,规定了各类从业人员具备的知识和技能要求,适用于党政机关、网络运营者、网络安全教育和科研机构等各类组织对网络安全从业人员的使用、培养、评价、管理等。
8. 2023年3月17日,国家标准gb/t 42447-2023《信息安全技术 电信领域数据安全指南》发布
本标准提出了电信领域大数据分类分级方法,基于电信领域大数据生存周期安全和通用安全从管理和技术两方面给出了防护指南,并针对平台与组件安全给出了实现指南。
9. 2023年3月17日,国家标准gb/t 42453-2023《信息安全技术 网络安全态势感知通用技术要求》发布
本标准描述了进行网络安全态势感知能力建设的单位应考虑的技术方面的能力要求,可为政府部门、企事业单位等组织机构的网络安全态势感知能力建设提供参考。
10. 2023年3月17日,国家标准gb/t 42460-2023《信息安全技术 个人信息去标识化效果评估指南》发布
本标准提出了个人信息去标识化效果的分级评估方法,包括个人信息去标识化效果评估流程和评估实施,适用于个人信息去标识化活动,也适用于开展个人信息安全管理、监管和评估。
11. 2023年3月17日,国家标准gb/t 42461-2023《信息安全技术 网络安全服务成本度量指南》发布
本标准确立了网络安全服务成本构成,提供了网络安全服务成本度量指南,标准中的网络安全服务成本不包含利润,适用于网络安全服务供需双方开展网络安全服务成本预算、项目招投标、项目决算以及相关合同编制等活动。
12. 2023年3月17日,国家标准gb/t 42456-2023《工业自动化和控制系统信息安全 iacs组件的安全技术要求》发布
本标准定义了用于工业自动化和控制系统(iacs)组件的通用控制系统安全约束要求、标识和鉴别控制要求、使用控制要求、系统完整性要求、数据保密性要求、受限的数据流要求、对事件的及时响应要求、资源可用性要求等安全技术要求。
13. 2023年3月17日,国家标准gb/t 42457-2023《工业自动化和控制系统信息安全 产品安全开发生命周期要求》发布
本标准定义了一个用于开发和维护安全产品的安全开发生命周期(sdl),包括信息安全管理、信息安全要求规范、安全设计、信息安全实施、信息安全验证和确认测试、管理与安全有关的问题、安全更新管理、信息安全导则等内容。
14. 2023年5月23日,国家标准gb/t 20945-2023《信息安全技术 网络安全审计产品技术规范》发布
本标准规定了网络安全审计产品的安全功能要求、自身安全保护要求、环境适应性要求、性能要求和安全保障要求等技术要求并描述了测评方法。
15. 2023年5月23日,国家标准gb/t 20986-2023《信息安全技术 网络安全事件分类分级指南》发布
本标准综合考虑网络安全事件的起因、威胁、攻击方式、损害后果等因素,对网络安全事件进行分类,分为恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件等10类,每类之下再分若干子类,并明确了网络安全事件级别和分类代码。
16. 2023年5月23日,国家标准gb/t 24364-2023《信息安全技术 信息安全风险管理实施指南》发布
本标准确立了信息安全风险管理的实施框架,描述了信息安全风险管理的原则、保障机制、保障措施、能力和过程,提供了每个管理过程的实施要点和工作形式。
17. 2023年5月23日,国家标准gb/t 28451-2023《信息安全技术 网络入侵防御产品技术规范》发布
本标准规定了网络入侵防御产品的安全功能要求、自身安全要求、性能要求、环境适应性要求和安全保障要求等技术要求和测评方法,并进行了等级划分。
18. 2023年5月23日,国家标准gb/t 30282-2023《信息安全技术 反垃圾邮件产品技术规范》发布
本标准规定了反垃圾邮件产品的安全功能要求、自身安全要求和安全保障要求等技术要求,并描述了对应的测试评价方法。
19. 2023年5月23日,国家标准gb/t 31167-2023《信息安全技术 云计算服务安全指南》和国家标准gb/t 31168-2023《信息安全技术 云计算服务安全能力要求》发布
两标准均属于云计算服务安全领域,《安全指南》提出了云计算服务安全管理的基本原则,给出了安全管理职责划分的指导性建议。《能力要求》规定了云服务商提供云计算服务时应具备的安全能力。
20. 2023年5月23日,国家标准gb/t 31496-2023《信息技术 安全技术 信息安全管理体系 指南》发布
本标准等同采用国际标准iso/iec 27003:2017,提供了关于gb/t 22080中规定的信息安全管理体系(isms)要求的指南。
21. 2023年5月23日,国家标准gb/t 32920-2023《信息安全技术 行业间和组织间通信的信息安全管理》发布
本标准等同采用国际标准iso/iec 27010:2015,为行业间和组织间通信提供了有关发起、实现、维护与改进信息安全的控制和指南。
22. 2023年5月23日,国家标准gb/t 35282-2023《信息安全技术 电子政务移动办公系统安全技术规范》发布
本标准规定了电子政务移动办公系统的移动终端安全要求、移动通信安全要求、移动接入安全要求、服务端安全要求和系统安全管理要求等技术要求,并给出了测试评价方法。
23.2023年5月23日,国家标准gb/t 42564-2023《信息安全技术 边缘计算安全技术要求》发布
本标准规定了边缘计算安全框架以及安全框架下的基础设施安全要求、网络安全要求、应用安全要求、数据安全要求、安全运维要求、安全支撑要求、端边协同安全要求、云边协同等技术要求。
24. 2023年5月23日,国家标准gb/t 42570-2023《信息安全技术 区块链安全技术框架》和gb/t 42571-2023《信息安全技术 区块链信息服务安全规范》发布
两项标准均属于区块链安全领域,《安全技术框架》给出了区块链技术安全框架,该框架包括区块链密码支撑、区块链安全功能组件、区块链安全管理运行和区块链角色安全职责等部分。《安全规范》规定了区块链信息服务提供者的安全技术要求和安全管理要求,并提出了对应的测试评估方法。
25. 2023年5月23日,国家标准gb/t 42572-2023《信息安全技术 可信执行环境服务规范》发布
本标准确立了可信执行环境(tee)服务的技术框架体系,并规定了tee服务通用要求、特定tee服务要求等技术要求及测试评价的方法。
26. 2023年5月23日,国家标准gb/t 42573-2023《信息安全技术 网络身份服务安全技术要求》发布
本标准确立了面向自然人的网络身份服务的参与方和模型,规定了网络身份服务安全级别以及身份核验服务要求、身份鉴别服务要求、身份联合服务要求等安全技术要求。
27. 2023年5月23日,国家标准gb/t 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》发布
本标准给出了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤,可检验处理活动合法合规程度,判断其对个人合法权益造成损害的各种风险,以及评估用于保护个人的各项措施有效性的过程。
28. 2023年5月23日,国家标准gb/t 42582-2023《信息安全技术 移动互联网应用程序(app)个人信息安全测评规范》发布
本标准规定了依据gb/t 35273-2020开展移动互联网应用程序个人信息安全测评的测评流程以及对各项安全要求进行测评的方法。
29. 2023年5月23日,国家标准gb/t 42583-2023《信息安全技术 政务网络安全监测平台技术规范》发布
本标准针对基础网络、政务云、政务应用和政务数据的安全监测,分别规定了通用技术要求和扩展技术要求,并给出了相应的测试评价方法。
30.2023年5月23日,国家标准gb/t 42589-2023《信息安全技术 电子凭据服务安全规范》发布
本标准规定了电子凭据核发、开具、交付、存储、核准、查验、状态管理等服务的安全技术要求、安全管理要求及测评方法。
行业标准
1、通信行业
1.2023年4月21日,yd/t 3039-2023《移动应用软件安全技术要求》发布
本标准规定了移动应用软件在运行机制、恶意行为防范以及终端功能调用方面的安全要求,并给出了对应用软件安全的判定原则。
2.2023年4月21日,yd/t 4214-2023《工业互联网安全态势感知系统技术要求》发布
本标准规定了工业互联网安全态势感知系统的数据准备、态势评估与展示、态势告警与响应、系统安全要求等技术要求。
3. 2023年4月21日,yd/t 4221-2023《电信大数据平台敏感数据识别实施指南》发布
本文件对电信大数据平台敏感数据识别的指导原则、数据特点、典型流程进行了描述,同时对不同场景下的敏感数据自动识别实施方法、识别算法选择进行了分析说明。并对典型电信数据适用的识别方法进行了推荐。
4. 2023年4月21日,yd/t 4222-2023《网络安全防护同规划同建设同运行实施要求》发布
本标准规定了网络安全防护的同规划、同建设、同运行实施要求,核心是安全技术措施的同步规划、同步建设、同步运行,并给出实施过程中应遵循的基本原则。
5.2023年4月21日,yd/t 4232-2023《支持拟态防御功能的防火墙技术要求》和yd/t 4233-2023《支持拟态防御功能的防火墙检测规范》发布
两标准均属于防火墙产品领域,《技术要求》规定了支持拟态防御功能的防火墙的通用要求、拟态功能要求和安全要求。《检测规范》描述了支持拟态防御功能的防火墙在功能、安全性等方面的测试流程和测试方法。
6.2023年4月21日,yd/t 4234-2023《基于可信执行环境的安全计算系统技术框架》发布
本标准定义了基于可信执行环境的安全计算系统的技术框架,对基于可信执行环境的安全计算系统的概述、技术架构、技术特性、安全要求等进行规范。
7.2023年4月21日,yd/t 4235-2023《信息安全管理系统服务机构能力要求》发布
本标准规定了互联网接入服务业务信息安全管理系统使用及运行维护能力要求,包括服务机构的产品质量要求、服务质量要求、数据管理要求、人员管理要求和安全保障要求等内容。
8.2023年4月21日,yd/t 4237-2023《基于公众电信网的体育赛事网络安全总体要求》和yd/t 4238-2023《基于公众电信网的体育赛事网络安全实施指南》发布
两项标准均属于体育赛事网络安全领域,《总体要求》给出了体育赛事信息系统的网络安全基本要求、防护对象分类分级以及技术要求。《实施指南》给出了体育赛事网络安全领域工作的赛前准备、赛时运行和赛后总结方面的实施指南。
9.2023年4月21日,yd/t 4241-2023《电信网和互联网数据安全评估技术实施指南》发布
本标准提供以公用电信网和互联网网络单元以及业务系统中的数据为核心保护对象的、面向各种应用场景的数据安全评估方法参考。
10.2023年4月21日,yd/t 4242-2023《电信网和互联网数据安全日志审计指南》发布
本标准规定了基于数据生命周期各环节数据访问和操作日志的审计工作,包括日志审计组织方式、审计对象和重点、审计工作技术支撑条件等。
11.2023年4月21日,yd/t 4243-2023《电信网和互联网数据资产识别与梳理技术实施指南》发布
本标准规定了电信网和互联网数据资产识别及梳理的基本原则和实施内容,包括数据资产识别与梳理准备、数据资产识别、数据资产梳理、成果展示等过程和技术支撑。
12.2023年4月21日,yd/t 4244-2023《电信网和互联网数据分类分级技术要求与测试方法》发布
本标准从数据资源梳理、数据分类分级识别标注、数据分类分级结果管理三个方面规定了电信网和互联网数据在分类分级过程中所需技术的相关要求和对应的测试方法。
13. 2023年4月21日,yd/t 4245-2023《电信网和互联网数据脱敏技术要求和测试方法》发布
本标准规定了电信网和互联网数据脱敏的安全功能要求、业务场景要求和自身安全要求等技术要求与测试方法。
14. 2023年4月21日,yd/t 4246-2023《电信网和互联网数据异常行为监测技术要求与测试方法》发布
本标准规定了电信网和互联网的监测数据采集技术要求、异常行为数据处理技术要求、异常行为分析技术要求等技术要求与测试方法。
15. 2023年4月21日,yd/t 4247-2023《电信网和互联网数据库审计技术要求与测试方法》发布
本标准规定了电信网和互联网数据库审计产品、工具、系统、平台的安全功能要求、审计能力要求和自身安全要求等技术要求与测试方法。
16. 2023年4月21日,yd/t 4248-2023《电信网和互联网应用程序接口数据安全技术要求和测试方法》发布
本标准从身份认证、接入授权、访问控制、数据传输、数据脱敏、数据筛选、攻击防护、安全监测、进退网管理、安全审计环节针对通过互联网访问、调用的api提出差异化的安全技术要求和相应测试方法。
17. 2023年4月21日,yd/t 4249-2023《5g数据安全总体技术要求》发布
本标准从5g业务应用、5g终端设备、5g无线接入、5g核心网等方面规定了5g数据安全的总体技术要求,指导5g关键信息基础设施运营者和服务提供者进行5g数据安全防护。
18. 2023年4月21日,yd/t 4251-2023《电信运营商大数据安全管控分类分级技术要求》发布
本标准规定了基础电信企业各系统或平台涉及的用户数据安全管控的具体分类分级技术要求,包括电信大数据安全管控分类分级原则、电信大数据分类、电信大数据分级、对外开放分级安全管控技术要求和内部分级安全管控技术要求等。
2、金融行业
2023年2月7日,jr/t 0276-2023《证券期货业信息系统渗透测试指南》发布
本标准提供了在证券期货业信息系统建设过程中开展渗透测试的整体流程,同时提供了在渗透测试策划、渗透测试设计、渗透测试执行、渗透测试总结、渗透测试风险管理等环节如何保障测试质量、控制安全风险的操作指南。
3、其他标准
2023年3月1日,国家职业标准2-02-38-12《数据安全工程技术人员国家职业标准》和2-02-38-13《密码工程技术人员国家职业标准》发布
两项标准按照《国家职业标准编制技术规程 (专业技术类)》 有关要求,分别对数据安全工程从业者、密码工程技术从业人员的专业活动内容进行规范细致描述,明确了各等级专业技术人员的工作领域、工作内容以及知识水平、专业能力和实践要求。
多年来,天融信一直积极参与网络安全标准研制工作,累计参与已发布的网络安全国家标准、行业标准、团体标准140余项,涉及安全产品、安全管理、安全服务、数据安全、云计算、工业互联网、车联网、物联网等众多技术领域。未来天融信将继续积极参与各项标准的研究、编制、宣贯、试点、应用等工作,为有效发挥标准在网络空间安全建设中的基础性、引领性、战略性作用贡献企业力量。