根据2022年4月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第6号),全国信息安全标准化技术委员会归口的10项国家标准正式发布。具体清单如下:
本次发布的标准覆盖信息安全风险评估、网络数据处理安全、工业控制系统信息安全、信息安全服务分类与代码、政务网站系统安全、智能家居通用安全、可信执行环境、可信计算密码支撑平台、SM9密码算法使用、移动互联网应用程序(App)等信息安全技术领域,对进一步规范网络安全产业环境、推动政务部门开展安全防护监督工作、促进我国信息安全技术发展具有指导作用。
绿盟科技作为全国信息安全标准化技术委员会(TC260)的委员单位,多年来积极参与网络安全国家标准和行业标准制修订工作,涉及数据安全、网络入侵防御、网络安全漏洞、网络威胁攻击、网络产品服务、工业控制安全等多个技术方向。在此次发布的GB/T 31506-2022《信息安全技术 政务网站系统安全指南》中,绿盟科技作为参编单位,深度参与相关工作。
标准简析
GB/T 41387-2022《信息安全技术 智能家居通用安全规范》
GB/T 41387-2022《信息安全技术 智能家居通用安全规范》提出了智能家居系统的组成及智能家居安全框架,从硬件、固件、操作系统、应用、接口、通信及数据七个维度规定了智能家居终端安全要求、网关安全要求、控制端安全要求、服务平台安全要求,并提出为满足技术要求所采用的测试方法等内容。该标准的制定为智能家居多元的智能化场景,如家庭娱乐、家庭安防、家庭监控、远程控制等的发展提供了指导依据,也为进一步规范企业及用户、监管核查处置物联网设备,有效控制风险,提供了安全保障。
GB/T 41388-2022《信息安全技术 可信执行环境 基本安全规范》
GB/T 41388-2022《信息安全技术 可信执行环境 基本安全规范》提出了可信执行环境系统整体架构,确立了可信执行环境系统整体技术架构、硬件要求、安全启动过程基本要求、可信虚拟化、可信操作系统、可信应用与服务管理基本要求、可信服务基本功能及要求、跨平台应用中间件、可信应用架构及安全要求、测试评价方法的相关技术要求。
GB/T 41389-2022《信息安全技术 SM9密码算法使用规范》
GB/T 41389-2022《信息安全技术 SM9密码算法使用规范》规定了SM9密码算法的使用要求,描述了密钥、加密与签名的数据格式。SM9是一种基于标识的密码技术(Identity-Based Cryptography,IBC),由国家密码管理局于2016年3月28日发布。它是利用椭圆曲线双线性对理论,使用用户唯一身份标识,实现用户身份与密钥对直接绑定的密码技术。该密码技术能够利用对方的唯一标识直接生成公钥,简化了传统PKI(SM2)应用中需要事先交换公钥和在线验证的过程,效率更高、使用更方便安全可靠。本标准的制定有助于指导SM9密码算法的设备和系统的研发和检测,将进一步加快SM9密码算法在我国的应用服务,做到安全可靠、自主可控。
GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》
GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》规定了App收集个人信息应遵循的基本要求,给出了常见类型App必要个人信息的收集使用要求。长期以来App非法获取、超范围收集、过度索权等侵害个人信息的现象一直存在,我国《中华人民共和国网络安全法》《App违法违规收集使用个人信息行为认定方法》等法律和有关规定中,明确规范了针对App收集个人信息的活动。本标准是从收集个人信息的最小必要要求、授权要求、特定类型收集必要性等方面,规范App运营者对个人信息的收集活动,也为监管部门和第三方评估机构等组织提供了监督、管理和评估依据。
GB/T 41400-2022《信息安全技术 工业控制系统信息安全防护能力成熟度模型》
GB/T 41400-2022《信息安全技术 工业控制系统信息安全防护能力成熟度模型》的制定,主要是为贯彻落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》有关要求,进一步推动工业企业落实《工业控制系统信息安全防护指南》防护要点,从工控安全防护设计、建设、运维全生命周期提出工控安全防护要求。该标准以工业企业为实施对象,工控安全防护范围主要包括工业企业的现场设备层、现场控制层、过程监控层、生产管理层和企业资源层。工业企业针对上述五层结构开展的工控安全技术防护体系和安全管理制度建设,构成了本标准工控安全防护的对象和范围。该标准将《工业控制系统信息安全防护指南》的11项防护要求具体细化为包含40个过程域的10个过程类,共计365个基本实践,规定了针对核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。本标准的实施与应用有助于指导企业落实政策标准的有关要求,进一步引导工业企业统筹发展和安全,指导企业逐级提升工控安全防护能力,以较低成本建立有效的工控安全管理和技术防护体系,量化评价企业安全防护水平,着力防范化解重大安全风险。同时,该标准的实施推广,可支撑工控安全行业主管部门,全面了解当前我国工业企业工控安全防护能力水平,摸清本行业、本辖区工控安全底数,为工控安全管理工作提供标准化支撑。
GB/T 41479-2022《信息安全技术 网络数据处理安全要求》
GB/T 41479-2022《信息安全技术 网络数据处理安全要求》规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。数据处理安全要素包括数据识别、数据分类分级、风险防控、审计追溯。网络运营者在开展数据处理时应对数据处理进行影响分析和风险评估,采取必要的措施对识别的风险进行控制,以保障数据安全,在发生依据突发公共卫生事件专项预案响应的事件时,数据处理还应满足《突发公共卫生事件个人信息保护要求》的相关规定。该标准的制定,对进一步规范网络运营者在网络数据处理安全要求,对主管监管部门、第三方评估机构监督管理和评估具有指导意义。
GB/T 20984-2022《信息安全技术 信息安全风险评估方法》
当前我国高度重视网络安全工作。《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《关键信息基础设施安全保护条例》等网络安全方面的重要法律法规的颁布实施,对网络安全保障工作提出了具体的要求。为了更好贯彻落实上述法律法规的有关要求,GB/T 20984-2022《信息安全技术 信息安全风险评估方法》明确了风险评估实施要点和工作形式,提出了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式;构建了风险评估框架,从风险要素关系、风险分析原理、风险评估流程三方面构建了风险评估框架;制定了风险评估实施流程和方法,从评估准备、风险识别、风险分析、风险评价、沟通与协商、文档记录等六个方面制定了风险评估实施流程和方法;资料性附录给出了评估对象的全生命周期解读与示例,标准编制的资料性附录中给出了评估对象生命周期各阶段的风险评估方法,风险评估的工作形式,风险评估的工具,资产识别、威胁识别的方法,并提供了风险计算示例。本标准的修订实施,可以为国家网络安全主管部门、各重要行业网络安全保障单位、第三方网络安全检测评估机构提供开展网络安全检测评估的技术标准和依据;为国家各行业、各领域的信息化与网络安全建设工作提供重要的决策依据与成效评价,为各行业网络安全主管部门提升网络安全管理水平提供重要抓手;助力国家关键信息基础设施安全保护工作的顺利开展,对我国网络强国战略实施、数字经济的健康良性发展起到有力的推动作用,进一步提升网络和数据安全保障能力与水平。
GB/T 29829-2022《信息安全技术 可信计算密码支撑平台功能与接口规范》
GB/T 29829-2022《信息安全技术 可信计算密码支撑平台功能与接口规范》是对2013版的修订,主要以商用密码算法应用为核心,以可信计算技术应用需求为基础,参考了我国商用密码算法、可信计算技术在ISO国际标准中采纳和应用的成果,给出可信计算密码支撑平台的体系框架和功能原理,规定了可信密码模块的接口规范,定义了可信计算密码支撑平台接口形式及可信密码模块的接口规范。该标准的修订对满足目前不同应用场景下可信计算密码支撑平台设计需求、兼容各种硬件平台、宿主机软件系统、应用系统,确保产业界产品的统一性和兼容性等提供标准依据。
GB/T 30283-2022《信息安全技术 信息安全服务 分类与代码》
GB/T 30283-2022《信息安全技术 信息安全服务 分类与代码》是对2013版的修订,描述了信息安全服务的分类与代码,涵盖信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理和存储类、信息安全测评与认证类等方面,该标准是网络安全行业的基础性标准,修订过程遵循科学性、系统性、符合性、适用性等原则,修订过程中主要参考了GB/T 4754-2017《国民经济行业分类》2019修改版、GB/T 37961-2019《信息技术服务 服务基本要求》以及GB/T 29264-2012《信息技术服务 分类与代码》中信息技术服务的分类方法,该标准的修订对信息安全服务的提供和采用具有指导意义。
GB/T 31506-2022《信息安全技术 政务网站系统安全指南》
政务网站系统由于其特殊的属性,与普通网站相比更容易遭到来自互联网的攻击。近年来,随着“互联网+”的迅速发展,我国政府各部门在大力落实“以人为本,为民办事”总基调的前提下,大力推广“互联网+政务服务”模式,实现多渠道政务信息公开和办公服务,为适应上述变化,落实国家网络安全政策,支撑主管部门的工作需求,同时适应云计算、移动互联等新技术新应用在政务网站系统中的应用实施。提出对GB/T 31506-2015的立项修订,GB/T 31506-2022《信息安全技术 政务网站系统安全指南》主要是结合对政务网站系统的安全风险分析,给出了在对政务网站系统实施安全防护时可采取的安全技术措施和安全管理措施。该标准的修订,完善了政务网站系统安全体系指导措施,提升了政务网站网页防篡改及监测、提高了抵抗拒绝服务攻击的能力及系统可用性,强化了数据安全管控措施,将对政务网站系统的建设、运维、退出等生命全周期主要环节的安全防护产生重大的指导意义,为有效推动政务部门开展网站系统安全防护及实施安全监督管理和评估检查提供依据,也为我国加快政务数字发展奠定坚实的安全根基。
