随着数字技术的发展和应用,标准作为贯穿各领域间的技术规则,其重要性日益凸显。近年来,在国家标准化管理委员会及网信办、工信部、公安部、国家密码管理局、国家认监委等部委的指导和支持下,网络安全标准化工作取得了极大的进展,全国信安标委、各行业标委会陆续发布了多项网络安全相关标准。

本文整理了2022上半年我国发布的重要网络安全标准,包含19项国家标准、11项行业标准,覆盖基础通用、安全产品、安全管理、安全技术等多个领域,供大家参考。

国家标准

1. 2022年3月9日,GB/T 25069-2022《信息安全技术 术语》发布

本标准界定了信息安全技术领域中基本或通用概念的术语和定义,并对条目进行分类,是信息安全领域的重要基础性标准,也是所有信息安全人员在信息安全领域中进行沟通交流、开展研究工作和项目实施的基本工具。

2. 2022年3月9日,GB/T 20278-2022《信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》发布

本标准规定了网络脆弱性扫描产品的安全技术要求和测试评价方法,其中安全技术要求分为基础级和增强级,内容包括安全功能要求、自身安全保护要求、环境适应性要求、安全保障要求。

3. 2022年3月9日,GB/Z 41290-2022《信息安全技术 移动互联网安全审计指南》发布

本标准定义了移动互联网安全审计活动的概念,描述了移动互联网安全审计活动中的角色职责、审计范围和审计内容,给出安全审计活动的框架、功能任务以及各功能任务的具体指南。

4. 2022年3月9日,GB/Z 41288-2022《信息安全技术 重要工业控制系统网络安全防护导则》发布

本标准规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备用措施和安全管理等要求,以建立重要工业控制系统的网络安全防护体系。

5. 2022年3月9日,GB/T 41241-2022《核电厂工业控制系统网络安全管理要求》发布

本标准规定了核电厂工业控制系统网络安全方面的管理、技术防护和应急管理的要求,并给出核电厂工业控制系统网络安全定级说明。

6. 2022年3月9日,GB/T 41260-2022《数字化车间信息安全要求》发布

本标准规定了数字化车间信息安全总则、管理要求和技术要求等,给出数字化车间信息安全常见威胁源、典型机械制造行业数字化车间信息安全示例,并提出数字化车间信息安全增强要求。

7. 2022年3月9日,GB/T 41267-2022《网络关键设备安全技术要求 交换机设备》、GB/T 41266-2022《网络关键设备安全检测方法 交换机设备》发布

两项标准互为配套,一个规定了列入网络关键设备目录的交换机设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法。其中,安全功能要求包括设备标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通信安全、数据安全和密码要求。

8. 2022年3月9日,GB/T 41269-2022《网络关键设备安全技术要求 路由器设备》、GB/T 41268-2022《网络关键设备安全检测方法 路由器设备》发布

两项标准互为配套,一个规定了列入网络关键设备目录的路由器设备的安全功能要求和安全保障要求。另一个则给出了安全功能要求和安全保障要求对应的安全检测和评估方法。其中,安全功能要求包括设备标识安全、冗余、备份恢复与异常检测、漏洞与缺陷管理、预装软件启动及更新安全、默认状态安全、抵御常见攻击能力、用户身份标识与鉴别安全、访问控制安全、日志审计安全、通信安全、数据安全和密码要求。

9. 2022年3月9日,GB/T 41274-2022《可编程控制系统内生安全体系架构》发布

本标准规定了可编程控制系统内生安全体系架构,描述可编程控制系统内生安全的目标和各单元模块的相关安全需求,规定可编程控制系统的内生安全要求。其中,可编程控制系统内生安全的目标为保障可编程控制系统的完整性,各单元模块的相关安全需求包括全生命周期安全保护、综合诊断与高可用实现等。

10. 2022年4月15日,GB/T 41387-2022《信息安全技术 智能家居通用安全规范》发布

本标准规定了智能家居安全通用技术要求,包括智能家居终端、智能家居网关、智能家居控制端、智能家居应用服务平台的安全要求,以及对应的安全测试评价方法。

11. 2022年4月15日,GB/T 41388-2022《信息安全技术 可信执行环境 基本安全规范》发布

本标准确立了可信执行环境系统整体技术架构,描述了可信执行环境基础要求、可信虚拟化系统、可信操作系统、可信应用与服务管理、跨平台应用中间件等主要内容及其测试评价方法。

12. 2022年4月15日,GB/T 41389-2022《信息安全技术 SM9密码算法使用规范》发布

本标准规定了SM9密码算法的使用要求,描述了密钥、加密与签名的数据格式,主体内容包括SM9的密钥对、技术要求、证实方法,并在附录中提供了数据格式编码测试用例。

13. 2022年4月15日,GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》发布

本标准规定了App收集个人信息的基本要求,包括最小必要收集、必要个人信息、特定类型个人信息、告知同意、系统权限、第三方收集管理及其他要求,并给出了常见服务类型App必要个人信息范围和使用要求。

14. 2022年4月15日,GB/T 41400-2022《信息安全技术 工业控制系统信息安全防护能力成熟度模型》发布

本标准给出了工业控制系统信息安全防护能力成熟度模型,规定核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。

15. 2022年4月15日,GB/T 41479-2022《信息安全技术 网络数据处理安全要求》发布

本标准规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。同时,本标准被作为数据安全管理认证的依据。

16. 2022年4月15日,GB/T 20984-2022《信息安全技术 信息安全风险评估方法》发布

本标准描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

17. 2022年4月15日,GB/T 29829-2022《信息安全技术 可信计算密码支撑平台功能与接口规范》发布

本标准给出了可信计算密码支撑平台的体系框架和功能原理,规定了可信密码模块的接口规范,描述了对应的证实方法。

18. 2022年4月15日,GB/T 30283-2022《信息安全技术 信息安全服务 分类与代码》发布

本标准描述了信息安全服务的分类与代码,主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理与存储类、信息安全测评与认证类及其他类七个方面。

19. 2022年4月15日,GB/T 31506-2022《信息安全技术 政务网站系统安全指南》发布

本标准给出了在对政务网站系统实施安全防护时可采取的安全技术措施和安全管理措施,并提供了政务网站系统基本结构、政务网站系统安全措施级别选择、安全措施分级表等内容。

行业标准

通信行业

1. 2022年4月24日,YD/T 2388-2022《网络脆弱性指数评估方法 》发布

本标准规定了网络脆弱性指数评估方法,包括网络脆弱性指数评估体系、网络脆弱性特征定义以及网络脆弱性分类,并给出了网络脆弱性指数计算方法。

2. 2022年4月24日,YD/T 2389-2022《网络威胁指数评估方法》发布

本标准规定了网络威胁的量化评估方法,包括网络威胁指数评估体系、网络事件分类及特征确定,并给出了网络威胁指数计算方法。

3. 2022年4月24日,YD/T 4063-2022《基于协议的DDoS攻击定义与分类》发布

本标准基于网络协议类型、按体系化架构对DDoS攻击进行分类的框架定义,并对DDoS攻击的命名进行了标准化格式定义,以及规定了DDoS攻击所属类型及在告警中应进行上报的字段。

4. 2022年4月24日,YD/T 4060-2022《云计算安全责任共担模型》发布

本标准规定了公有云场景下安全责任共担模型,包括云计算安全责任共担主体、云计算安全责任共担模型、云服务提供者和云服务客户安全责任。

5. 2022年4月24日,YD/T 4059-2022《混合云平台安全能力要求》发布

本标准规定了混合云平台的安全能力要求,分为一般级安全要求和增强级安全要求,主要包括公有云安全、私有云安全和跨云安全。

6. 2022年4月24日,YD/T 4058-2022《电信网和互联网安全防护基线配置要求和检测要求 大数据组件》发布

本标准规定了电信网和互联网中所使用大数据服务在安全配置方面的基本要求及检测要求,特别是大数据采集组件、大数据处理组件、大数据存储组件及其基础设施、网络系统在安全配置方面的基本要求及检测要求。

7. 2022年4月24日,YD/T 4057-2022《电信网和互联网大数据平台安全防护检测要求》发布

本标准规定了大数据平台安全防护的检测范围、对象、环境、方式,并按照相应的安全防护等级给出测试方法,将大数据平台安全等级共分为5级。

8. 2022年4月24日,YD/T 4056-2022《5G多接入边缘计算平台通用安全防护要求》发布

本标准规定了5G多接入边缘计算平台安全防护等级的安全防护要求,涉及应用安全、网络安全、设备安全、数据安全、物理环境安全和管理安全。

9. 2022年4月24日,YD/T 4055-2022《电信网和互联网区块链基础设施安全防护要求》发布

本标准规定了电信网和互联网区块链基础设施安全保护等级的安全防护要求,涉及业务服务安全、网络安全、设备安全、物理环境安全和管理安全。

交通运输行业

1. 2022年6月9日,JT/T 1417-2022《交通运输行业网络安全等级保护基本要求》发布

本标准规定了交通运输行业网络安全等级保护的通则,以及第一级至第四级的网络安全要求,可用于交通运输行业网络安全的规划设计、安全建设和监督管理。

2. 2022年6月9日,JT/T 1418-2022《交通运输网络安全监测预警系统技术规范》发布

本标准规定了交通运输网络安全监测预警系统的系统架构、功能要求、性能要求、展示要求、接口要求、安全要求与运行管理。

一直以来,天融信积极参与网络安全标准研制工作,累计参与并已发布的网络安全国家标准、行业标准共计80余项,涉及安全产品、安全服务、安全管理、数据安全、云计算、工业互联网、车联网、物联网等众多技术领域。在应用实践方面,天融信始终把标准作为自主创新内在要求,并及时将先进适用技术创新成果融入标准,提升标准水平。