随着数字技术的发展和应用,标准作为贯穿各领域间的技术规则,重要性日益凸显。近年来,在国家标准化管理委员会及中央网信办、工信部、公安部、国家密码管理局等部委的指导和支持下,全国网络安全标准化工作取得了极大的进展。2023年,多项网络安全国家及行业标准陆续发布,得到社会的高度关注。小编整理了2023年我国发布的重要网络安全标准,共57项国家标准、86项行业标准,供大家参考。
国家标准
1. 2023年3月17日,国家标准gb/t 15843.3-2023《信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制》发布
本标准规定了采用基于非对称技术的数字签名的实体鉴别机制,主要给出了两类机制,第一类共五种机制不引入在线可信第三方,第二类共五种机制引入在线可信第三方。在这两类机制中,分别各有两种机制实现单向鉴别,各有三种机制实现双向鉴别。
2. 2023年3月17日,国家标准gb/t 17902.1-2023《信息技术 安全技术 带附录的数字签名 第1部分:概述》发布
本标准规范了一系列的任意消息长度的带附录的数字签名机制,包含了一系列带附录的数字签名的基本原则与要求,同时也包括了该系列标准的所有部分都用到的定义与符号。
3. 2023年3月17日,国家标准gb/t 20274.1-2023《信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型》发布
本标准给出了信息系统安全保障模型,建立了信息系统安全保障建设和评估的框架,并建立了信息系统安全技术保障、管理保障和工程保障建设,以及给出了评估要求和内容。
4. 2023年3月17日,国家标准gb/t 21053-2023《信息安全技术 公钥基础设施 pki系统安全技术要求》、gb/t 21054-2023《信息安全技术 公钥基础设施 pki系统安全测评方法》发布
两项标准互为配套,《技术要求》规定了五个等级的pki系统的技术要求,每个等级的技术要求包括:物理安全、角色与责任、访问控制、密钥管理、轮廓管理、证书管理、配置管理、分发与操作等。《测评方法》则规定了不同等级pki系统所需要满足的评估内容。
5. 2023年3月17日,国家标准gb/t 32922-2023《信息安全技术 ipsec vpn安全接入基本要求与实施指南》发布
本标准明确了采用ipsec vpn技术实现安全接入的场景,提出了ipsec vpn安全接入应用过程中有关网关、客户端以及安全管理等方面的要求,同时给出了ipsec vpn安全接入的实施过程指导。
6. 2023年3月17日,国家标准gb/t 33134-2023《信息安全技术 公共域名服务系统安全要求》发布
本标准规定了公共域名服务系统的基本要求、技术要求以及管理要求,适用于顶级域名服务系统,其他各级域名服务系统、递归域名服务系统的开发和管理,也适用于开展公共域名服务系统的单位使用。
7. 2023年3月17日,国家标准gb/t 42446-2023《信息安全技术 网络安全从业人员能力基本要求》发布
本标准确立了网络安全从业人员分类,规定了各类从业人员具备的知识和技能要求,适用于党政机关、网络运营者、网络安全教育和科研机构等各类组织对网络安全从业人员的使用、培养、评价、管理等。
8. 2023年3月17日,国家标准gb/t 42447-2023《信息安全技术 电信领域数据安全指南》发布
本标准提出了电信领域大数据分类分级方法,基于电信领域大数据生存周期安全和通用安全从管理和技术两方面给出了防护指南,并针对平台与组件安全给出了实现指南。
9. 2023年3月17日,国家标准gb/t 42453-2023《信息安全技术 网络安全态势感知通用技术要求》发布
本标准描述了进行网络安全态势感知能力建设的单位应考虑的技术方面的能力要求,可为政府部门、企事业单位等组织机构的网络安全态势感知能力建设提供参考。
10. 2023年3月17日,国家标准gb/t 42460-2023《信息安全技术 个人信息去标识化效果评估指南》发布
本标准提出了个人信息去标识化效果的分级评估方法,包括个人信息去标识化效果评估流程和评估实施,适用于个人信息去标识化活动,也适用于开展个人信息安全管理、监管和评估。
11. 2023年3月17日,国家标准gb/t 42461-2023《信息安全技术 网络安全服务成本度量指南》发布
本标准确立了网络安全服务成本构成,提供了网络安全服务成本度量指南,标准中的网络安全服务成本不包含利润,适用于网络安全服务供需双方开展网络安全服务成本预算、项目招投标、项目决算以及相关合同编制等活动。
12. 2023年3月17日,国家标准gb/t 42456-2023《工业自动化和控制系统信息安全 iacs组件的安全技术要求》发布
本标准定义了用于工业自动化和控制系统(iacs)组件的通用控制系统安全约束要求、标识和鉴别控制要求、使用控制要求、系统完整性要求、数据保密性要求、受限的数据流要求、对事件的及时响应要求、资源可用性要求等安全技术要求。
13. 2023年3月17日,国家标准gb/t 42457-2023《工业自动化和控制系统信息安全 产品安全开发生命周期要求》发布
本标准定义了一个用于开发和维护安全产品的安全开发生命周期(sdl),包括信息安全管理、信息安全要求规范、安全设计、信息安全实施、信息安全验证和确认测试、管理与安全有关的问题、安全更新管理、信息安全导则等内容。
14. 2023年5月23日,国家标准gb/t 20945-2023《信息安全技术 网络安全审计产品技术规范》发布
本标准规定了网络安全审计产品的安全功能要求、自身安全保护要求、环境适应性要求、性能要求和安全保障要求等技术要求并描述了测评方法。
15. 2023年5月23日,国家标准gb/t 20986-2023《信息安全技术 网络安全事件分类分级指南》发布
本标准综合考虑网络安全事件的起因、威胁、攻击方式、损害后果等因素,对网络安全事件进行分类,分为恶意程序事件、网络攻击事件、数据安全事件、信息内容安全事件、设备设施故障事件等10类,每类之下再分若干子类,并明确了网络安全事件级别和分类代码。
16. 2023年5月23日,国家标准gb/t 24364-2023《信息安全技术 信息安全风险管理实施指南》发布
本标准确立了信息安全风险管理的实施框架,描述了信息安全风险管理的原则、保障机制、保障措施、能力和过程,提供了每个管理过程的实施要点和工作形式。
17. 2023年5月23日,国家标准gb/t 28451-2023《信息安全技术 网络入侵防御产品技术规范》发布
本标准规定了网络入侵防御产品的安全功能要求、自身安全要求、性能要求、环境适应性要求和安全保障要求等技术要求和测评方法,并进行了等级划分。
18. 2023年5月23日,国家标准gb/t 30282-2023《信息安全技术 反垃圾邮件产品技术规范》发布
本标准规定了反垃圾邮件产品的安全功能要求、自身安全要求和安全保障要求等技术要求,并描述了对应的测试评价方法。
19. 2023年5月23日,国家标准gb/t 31167-2023《信息安全技术 云计算服务安全指南》和国家标准gb/t 31168-2023《信息安全技术 云计算服务安全能力要求》发布
两项标准均属于云计算服务安全领域,《安全指南》提出了云计算服务安全管理的基本原则,给出了安全管理职责划分的指导性建议。《能力要求》规定了云服务商提供云计算服务时应具备的安全能力。
20. 2023年5月23日,国家标准gb/t 31496-2023《信息技术 安全技术 信息安全管理体系 指南》发布
本标准等同采用国际标准iso/iec 27003:2017,提供了关于gb/t 22080中规定的信息安全管理体系(isms)要求的指南。
21. 2023年5月23日,国家标准gb/t 32920-2023《信息安全技术 行业间和组织间通信的信息安全管理》发布
本标准等同采用国际标准iso/iec 27010:2015,为行业间和组织间通信提供了有关发起、实现、维护与改进信息安全的控制和指南。
22. 2023年5月23日,国家标准gb/t 35282-2023《信息安全技术 电子政务移动办公系统安全技术规范》发布
本标准规定了电子政务移动办公系统的移动终端安全要求、移动通信安全要求、移动接入安全要求、服务端安全要求和系统安全管理要求等技术要求,并给出了测试评价方法。
23. 2023年5月23日,国家标准gb/t 42564-2023《信息安全技术 边缘计算安全技术要求》发布
本标准规定了边缘计算安全框架以及安全框架下的基础设施安全要求、网络安全要求、应用安全要求、数据安全要求、安全运维要求、安全支撑要求、端边协同安全要求、云边协同等技术要求。
24. 2023年5月23日,国家标准gb/t 42570-2023《信息安全技术 区块链技术安全框架》和gb/t 42571-2023《信息安全技术 区块链信息服务安全规范》发布
两项标准均属于区块链安全领域,《安全技术框架》给出了区块链技术安全框架,该框架包括区块链密码支撑、区块链安全功能组件、区块链安全管理运行和区块链角色安全职责等部分。《安全规范》规定了区块链信息服务提供者的安全技术要求和安全管理要求,并提出了对应的测试评估方法。
25. 2023年5月23日,国家标准gb/t 42572-2023《信息安全技术 可信执行环境服务规范》发布
本标准确立了可信执行环境(tee)服务的技术框架体系,并规定了tee服务通用要求、特定tee服务要求等技术要求及测试评价的方法。
26. 2023年5月23日,国家标准gb/t 42573-2023《信息安全技术 网络身份服务安全技术要求》发布
本标准确立了面向自然人的网络身份服务的参与方和模型,规定了网络身份服务安全级别以及身份核验服务要求、身份鉴别服务要求、身份联合服务要求等安全技术要求。
27. 2023年5月23日,国家标准gb/t 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》发布
本标准给出了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤,可检验处理活动合法合规程度,判断其对个人合法权益造成损害的各种风险,以及评估用于保护个人的各项措施有效性的过程。
28. 2023年5月23日,国家标准gb/t 42582-2023《信息安全技术 移动互联网应用程序(app)个人信息安全测评规范》发布
本标准规定了依据gb/t 35273-2020开展移动互联网应用程序个人信息安全测评的测评流程以及对各项安全要求进行测评的方法。
29. 2023年5月23日,国家标准gb/t 42583-2023《信息安全技术 政务网络安全监测平台技术规范》发布
本标准针对基础网络、政务云、政务应用和政务数据的安全监测,分别规定了通用技术要求和扩展技术要求,并给出了相应的测试评价方法。
30. 2023年5月23日,国家标准gb/t 42589-2023《信息安全技术 电子凭据服务安全规范》发布
本标准规定了电子凭据核发、开具、交付、存储、核准、查验、状态管理等服务的安全技术要求、安全管理要求及测评方法。
31. 2023年8月6日,国家标准gb/t 35274-2023《信息安全技术 大数据服务安全能力要求》发布
本标准规定了大数据服务提供者的大数据服务安全能力要求,包括大数据组织管理安全能力、大数据处理安全能力和大数据服务安全风险管理能力的要求。
32. 2023年8月6日,国家标准gb/t 42884-2023《信息安全技术 移动互联网应用程序(app)生命周期安全管理指南》发布
本标准提供了移动互联网应用程序(app)生命周期阶段管理过程和风险监测管理过程的安全管理指南,并给出了app存在的安全问题分类及描述。
33. 2023年8月6日,国家标准gb/t 42888-2023《信息安全技术 机器学习算法安全评估规范》发布
本标准规定了机器学习算法技术和服务的安全要求和评估方法,以及机器学习算法安全评估流程,并给出了算法推荐服务安全要求和评估方法。
34. 2023年8月6日,国家标准gb/z 42885-2023《信息安全技术 网络安全信息共享指南》发布
本标准确立了网络安全信息共享活动要素和基本原则,描述了共享活动的范围和过程,并给出了网络安全信息共享活动和模式的示例。
35. 2023年8月6日,国家标准gb/t 42926-2023《金融信息系统网络安全风险评估规范》发布
本标准确立了金融信息系统网络安全风险评估工作的要点、原则、要素和原理,规定了风险评估准备阶段、识别阶段、风险计算及处理阶段工作的要求。
36. 2023年8月6日,国家标准gb/t 42708-2023《金融网络安全威胁信息共享指南》发布
本标准给出了金融网络安全威胁信息的共享框架、共享原则、共享方式、共享流程、质量管理、保障机制、安全管理等方面的建议。
37. 2023年8月6日,国家标准gb/t 42775-2023《证券期货业数据安全风险防控 数据分类分级指引》发布
本标准提供了证券期货业数据分类分级的适用数据范围、保障措施、数据分类分级的原则和方法、数据分类分级中的关键问题处理的建议。
38. 2023年8月6日,国家标准gb/t 42929-2023《互联网金融智能风险防控技术要求》发布
本标准规定了互联网金融场景下智能风险防控技术所需满足的技术框架、功能要求、技术要求、实现的安全要求以及运行要求等。
39. 2023年8月6日,国家标准gb/t 42930-2023《互联网金融 个人身份识别技术要求》发布
本标准规定了应用于互联网金融服务的个人身份识别技术要求,包括技术框架、凭据技术要求、身份识别技术要求以及安全要求。
40. 2023年9月7日,国家标准gb/t 32914-2023《信息安全技术 网络安全服务能力要求》发布
本标准规定了网络安全服务机构开展网络安全服务应具备的能力要求,适用于指导网络安全服务机构开展网络安全服务,以及评价网络安全服务机构的能力水平,也可为网络安全服务需求方选择网络安全服务机构时提供参考。
41. 2023年9月7日,国家标准gb/t 32916-2023《信息安全技术 信息安全控制评估指南》发布
本标准等同采用国际标准iso/iec ts 27008:2019《information technology-security techniques-guidelines for the assessment of information security controls》, 为gb/t 22080中所给出的信息安全管理过程、确定的相关信息安全控制措施及要求,如何建设组织适用、有效且高效的信息安全控制措施提供了实施指南。
42. 2023年9月7日,国家标准gb/t 43206-2023《信息安全技术 信息系统密码应用测评要求》发布
本标准规定了信息系统第一级到第四级密码应用的通用测评要求、技术测评要求、管理测评要求,并给出了整体测评要求、风险分析和评价、测评结论的要求,其中,信息系统密码应用等级与gb/t 39786-2021规定的密码应用等级一致。
43. 2023年9月7日,国家标准gb/t 43207-2023《信息安全技术 信息系统密码应用设计指南》发布
本标准给出了信息系统密码应用方案设计技术指南,为商用密码应用“三同步一评估”过程中规划、建设、运行、密评等工作提供了重要指导和参考建议。
44. 2023年9月7日,国家标准gb/t 43026-2023《公共安全视频监控联网信息安全测试规范》发布
本标准规定了公共安全视频监控联网信息安全的测试对象、测试类型及测试工具、测试环境要求,描述了功能及性能测试方法。
45. 2023年11月27日,国家标准gb/t 43269-2023《信息安全技术 网络安全应急能力评估准则》发布
本标准立足于各行业、各地区、各系统网络安全应急响应工作,规定了网络安全应急能力要求,给出了相应评估流程。
46. 2023年11月27日,国家标准gb/t 43435-2023《信息安全技术 移动互联网应用程序(app)软件开发工具包(sdk)安全要求》发布
本标准规定了移动互联网应用程序(app)软件开发工具包(sdk)设计、开发、发布、运营、终止运营等阶段和个人信息处理活动的安全要求。
47. 2023年11月27日,国家标准gb/t 43445-2023《信息安全技术 移动智能终端预置应用软件基本安全要求》发布
本标准规定了移动智能终端预置应用软件的基本安全要求,包括安全功能要求和安全管理要求,适用于移动智能终端的设计、开发、生产和测试。
48. 2023年12月28日,国家标准gb/t 29246-2023《信息安全技术 信息安全管理体系 概述和词汇》发布
本标准给出了信息安全管理体系(isms)概述,界定了isms标准族中常用的术语和定义,适用于所有类型和规模的组织(例如,商业企业、政府机构、非营利组织)。
49. 2023年12月28日,国家标准gb/t 35290-2023《信息安全技术 射频识别(rfid)系统安全技术规范》发布
本标准规定了射频识别(rfid)系统安全技术要求,包括电子标签、阅读器/读写器、通信链路、管理单元等,描述了测试环境条件和测试评价方法,适用于射频识别(rfid)系统的安全功能设计、开发、使用、测试和评估。
50. 2023年12月28日,国家标准gb/t 43506-2023《电信和互联网服务 用户个人信息保护技术要求》发布
本标准规定了电信和互联网服务用户个人信息和权益保护的术语和定义、保护范围、信息分类、分级对象、分级方法和保护要求。
51. 2023年12月28日,国家标准gb/t 43532-2023《核电厂仪表和控制系统网络安全防范管控》发布。
本标准修改采用国际标准iec 63096:2020,根据核电厂特有的网络安全需求,针对不同安全级别的仪控系统,分别为其在系统设计、工程开发以及运行维修等阶段提出了推荐的安全防范管控指引。
52. 2023年12月28日,国家标准gb/t 43557-2023《信息安全技术 网络安全信息报送指南》发布
本标准描述了网络安全信息报送的信息类型和要素,以及网络安全信息报送活动的要素和关系、基本流程、报送方式等,适用于为网络安全信息报送活动提供参考。
53. 2023年12月28日,国家标准gb/t 43577.1-2023《信息安全技术 电子发现 第1部分:概述和概念》发布
本标准概述了电子发现,定义了相关术语,描述了相关概念,包括但不限于esi的识别、保全、收集、处理、评审、分析和产出。本标准还确认了其他相关标准(如iso/iec 27037)及其与电子发现活动的关系和相互作用。
54. 2023年12月28日,国家标准gb/t 43578-2023《信息安全技术 通用密码服务接口规范》发布
本标准规定了通用密码服务接口的数据结构、接口描述、函数定义要求,描述了相应验证方法,适用于公开密钥应用技术体系下密码应用服务的开发,密码应用支撑平台的研制及检测,密码设备的应用系统的开发。
行业标准
通信行业
1. 2023年4月21日,yd/t 3039-2023《移动应用软件安全技术要求》发布
本标准规定了移动应用软件在运行机制、恶意行为防范以及终端功能调用方面的安全要求,并给出了对应用软件安全的判定原则。
2. 2023年4月21日,yd/t 4214-2023《工业互联网安全态势感知系统技术要求》发布
本标准规定了工业互联网安全态势感知系统的数据准备、态势评估与展示、态势告警与响应、系统安全要求等技术要求。
3. 2023年4月21日,yd/t 4221-2023《电信大数据平台敏感数据识别实施指南》发布
本标准对电信大数据平台敏感数据识别的指导原则、数据特点、典型流程进行了描述,同时对不同场景下的敏感数据自动识别实施方法、识别算法选择进行了分析说明。并对典型电信数据适用的识别方法进行了推荐。
4. 2023年4月21日,yd/t 4222-2023《网络安全防护同规划同建设同运行实施要求》发布
本标准规定了网络安全防护的同规划、同建设、同运行实施要求,核心是安全技术措施的同步规划、同步建设、同步运行,并给出实施过程中应遵循的基本原则。
5. 2023年4月21日,yd/t 4232-2023《支持拟态防御功能的防火墙技术要求》和yd/t 4233-2023《支持拟态防御功能的防火墙检测规范》发布
两标准均属于防火墙产品领域,《技术要求》规定了支持拟态防御功能的防火墙的通用要求、拟态功能要求和安全要求。《检测规范》描述了支持拟态防御功能的防火墙在功能、安全性等方面的测试流程和测试方法。
6. 2023年4月21日,yd/t 4234-2023《基于可信执行环境的安全计算系统技术框架》发布
本标准定义了基于可信执行环境的安全计算系统的技术框架,对基于可信执行环境的安全计算系统的概述、技术架构、技术特性、安全要求等进行规范。
7. 2023年4月21日,yd/t 4235-2023《信息安全管理系统服务机构能力要求》发布
本标准规定了互联网接入服务业务信息安全管理系统使用及运行维护能力要求,包括服务机构的产品质量要求、服务质量要求、数据管理要求、人员管理要求和安全保障要求等内容。
8. 2023年4月21日,yd/t 4241-2023《电信网和互联网数据安全评估技术实施指南》发布
本标准提供以公用电信网和互联网网络单元以及业务系统中的数据为核心保护对象的、面向各种应用场景的数据安全评估方法参考。
9. 2023年4月21日,yd/t 4242-2023《电信网和互联网数据安全日志审计指南》发布
本标准规定了基于数据生命周期各环节数据访问和操作日志的审计工作,包括日志审计组织方式、审计对象和重点、审计工作技术支撑条件等。
10. 2023年4月21日,yd/t 4243-2023《电信网和互联网数据资产识别与梳理技术实施指南》发布
本标准规定了电信网和互联网数据资产识别及梳理的基本原则和实施内容,包括数据资产识别与梳理准备、数据资产识别、数据资产梳理、成果展示等过程和技术支撑。
11. 2023年4月21日,yd/t 4244-2023《电信网和互联网数据分类分级技术要求与测试方法》发布
本标准从数据资源梳理、数据分类分级识别标注、数据分类分级结果管理三个方面规定了电信网和互联网数据在分类分级过程中所需技术的相关要求和对应的测试方法。
12. 2023年4月21日,yd/t 4245-2023《电信网和互联网数据脱敏技术要求和测试方法》发布
本标准规定了电信网和互联网数据脱敏的安全功能要求、业务场景要求和自身安全要求等技术要求与测试方法。
13. 2023年4月21日,yd/t 4246-2023《电信网和互联网数据异常行为监测技术要求与测试方法》发布
本标准规定了电信网和互联网的监测数据采集技术要求、异常行为数据处理技术要求、异常行为分析技术要求等技术要求与测试方法。
14. 2023年4月21日,yd/t 4247-2023《电信网和互联网数据库审计技术要求与测试方法》发布
本标准规定了电信网和互联网数据库审计产品、工具、系统、平台的安全功能要求、审计能力要求和自身安全要求等技术要求与测试方法。
15. 2023年4月21日,yd/t 4248-2023《电信网和互联网应用程序接口数据安全技术要求和测试方法》发布
本标准从身份认证、接入授权、访问控制、数据传输、数据脱敏、数据筛选、攻击防护、安全监测、进退网管理、安全审计环节针对通过互联网访问、调用的api提出差异化的安全技术要求和相应测试方法。
16. 2023年4月21日,yd/t 4249-2023《5g数据安全总体技术要求》发布
本标准从5g业务应用、5g终端设备、5g无线接入、5g核心网等方面规定了5g数据安全的总体技术要求,指导5g关键信息基础设施运营者和服务提供者进行5g数据安全防护。
17. 2023年4月21日,yd/t 4251-2023《电信运营商大数据安全管控分类分级技术要求》发布
本标准规定了基础电信企业各系统或平台涉及的用户数据安全管控的具体分类分级技术要求,包括电信大数据安全管控分类分级原则、电信大数据分类、电信大数据分级、对外开放分级安全管控技术要求和内部分级安全管控技术要求等。
18. 2023年7月28日,yd/t 4207-2023《基于容器的平台安全能力要求》发布
本标准规定了基于容器的平台基础级、增强级和先进级的安全能力要求,该标准内容包括基础设施安全能力要求、软件供应链安全能力要求、容器运行时安全能力要求以及日志管理能力要求。
19. 2023年7月28日,yd/t 4208-2023《面向云计算的安全运营中心能力要求》发布
本标准规定了面向云计算的安全运营中心的能力要求,分为安全运营中心技术平台能力要求、运营流程管控能力要求及人员服务能力要求三大部分,从平台、人员、运营三方面对于面向云计算的安全运营中心能力进行规范。
20. 2023年7月28日,yd/t 4323-2023《物联网管理平台安全防护要求》发布
本标准规定了物联网管理平台分安全保护等级的安全防护要求,涉及到业务数据安全、业务及应用安全、网络安全、设备及软件系统安全、接入终端安全、物理安全和管理安全。
21. 2023年7月28日,yd/t 4325-2023《电信网和互联网安全防护要求及检测方法 存储设备》发布
本标准规定了电信网和互联网中所使用的存储设备应具备的安全能力要求,及存储设备供应商在设计开发存储设备时应满足的过程要求,以保障电信网和互联网业务安全可靠的运行。
22. 2023年7月28日,yd/t 4326-2023《物联网业务安全态势感知系统技术要求》和yd/t 4327-2023《物联网终端安全态势感知系统技术要求》发布
两项标准针对物联网业务安全态势感知系统和物联网终端安全态势感知系统分别提出了技术要求,其中,《物联网业务安全态势感知系统技术要求》规定了物联网业务安全态势感知系统的总体技术架构、功能要求、数据要求和性能要求等;《物联网终端安全态势感知系统技术要求》规定了物联网终端安全态势感知系统的总体技术架构、功能要求、安全要求和性能要求等。
23. 2023年7月28日,yd/t 4338-2023《面向电信网的安全威胁信息分析系统技术要求》发布
本标准规定了基础电信企业安全威胁信息分析系统的组网架构、功能架构、功能要求,以及可靠性、可扩展性等非功能性要求,适用于基础电信网络安全威胁信息分析系统的开发及检测。
24. 2023年7月28日,yd/t 2387-2023《网络安全监测系统技术要求》发布
本标准规定了网络安全监测系统的功能要求、性能要求、技术要求以及接口要求,适用于计算机网络应急响应组织的网络安全监测系统,也可供其他相关部门参考使用。
25. 2023年12月20日,yd/t 4557-2023《基础电信企业数据安全管理系统技术要求》发布
本标准规定了基础电信企业数据安全管理系统技术要求,包括数据安全管理系统架构、监控管理系统功能要求和基础能力系统功能要求。
26. 2023年12月20日,yd/t 4558-2023《数据安全治理能力通用评估方法》发布
本标准规定了数据安全治理能力通用评估方法,包括评估实施方法,评估结果等级划分和数据安全治理能力在各等级的具体要求和评估细则。
27. 2023年12月20日,yd/t 4559-2023《电信网和互联网结构化数据数字水印实施指南》发布
本标准给出了电信网和互联网结构化数据数字水印实施过程涉及的水印实施对象、水印类型等信息,规定了结构化数据数字水印实施模型以及实施过程,包括水印嵌入过程和水印提取过程。
28. 2023年12月20日,yd/t 4560-2023《5g数据安全评估规范》发布
本标准描述了5g数据安全评估的原则、范围对象、评估流程,规定了5g数据安全评估的评估要点和评估方法,适用于在通信行业中开展的5g数据安全评估活动,可用于指导5g网络运营者、5g技术业务提供者和使用者开展5g数据安全自评估,也可用于第三方机构等开展5g数据安全评估。
29. 2023年12月20日,yd/t 4561-2023《5g移动通信网 数据安全监测预警技术要求》发布
本标准规定了5g移动通信网中数据安全监测预警技术要求,包括监测信息采集、处理,预警事件、预警方式,监测预警信息展示与安全保护,适用于指导安全管理、安全运营人员对5g移动通信网中的数据安全事件进行发现和处理。
30. 2023年12月20日,yd/t 4562-2023《电信网和互联网云服务数据安全评估指南》发布
本标准规定了对基于公有云、混合云为电信网和互联网提供服务的云服务商进行数据安全评估的评价指标和评估要求,适用于为电信和互联网领域云服务商保障数据安全提供参考,也适用于第三方机构对电信和互联网云服务商数据安全保障能力进行检测和评估。
31. 2023年12月20日,yd/t 4564-2023《区块链智能合约安全技术要求》发布
本标准规定了区块链智能合约安全技术要求,包括区块链智能合约的安全技术框架、设计开发安全、测试验证安全、编译部署安全、触发运行安全、维护治理安全方面的技术要求。
32. 2023年12月20日,yd/t 4565-2023《物联网安全态势感知技术要求》发布
本标准规定了物联网安全态势感知系统的总体框架、功能要求、安全要求及性能要求,适用于基础电信运营企业的物联网安全态势感知系统的设计、开发与测试。
33. 2023年12月20日,yd/t 4568-2023《云计算风险管理框架》发布
本标准规定了云计算风险管理框架,针对云计算运行过程中面临的服务不可用、数据丢失、数据泄露等风险后果提出管理方法,云计算风险管理过程包括风险评估、风险处置、风险接受、风险沟通以及风险监视和评审等内容。
34. 2023年12月20日,yd/t 4569-2023《云安全资源池能力开放技术框架》发布
本标准对云安全资源池能力开放技术进行框架定义,对基于云资源池承载的并可向上层应用开放的安全能力进行标准化归类,并整合形成统一模型。
35. 2023年12月20日,yd/t 4570-2023《政务云安全能力要求》发布
本标准规定了政务云安全能力要求,包括安全规划设计、安全保障要求和安全机制要求,适用于能够提供政务云安全规划及建设凯发官网入口首页的解决方案的服务商。
36. 2023年12月20日,yd/t 4571-2023《ipv6网络安全测评方法》发布
本标准规定了ipv6网络的安全测评内容和方法,包括双栈安全防护能力、协议安全、安全防护、安全配置、漏洞扫描、组网安全等方面,可作为ipv6规模部署中网络安全的基本测试评价方法。
37. 2023年12月20日,yd/t 4574-2023《零信任安全技术参考框架》发布
本标准给出了零信任安全技术参考框架,包括基本原则、技术框架、工作过程、核心功能模块等内容,适用于零信任安全系统的设计、开发和使用。
38. 2023年12月20日,yd/t 4578-2023《ddos协同缓解通用技术要求》和yd/t 4579-2023《ddos协同缓解接口技术要求》发布
两项标准针对ddos协同缓解分别提出了通用技术要求和接口技术要求。其中通用技术要求规定了ddos协同缓解通用技术和功能要求,包括ddos协同缓解技术框架、协同缓解场景、信息交互和数据模型的基本要求等;接口技术要求规定了ddos协同缓解接口技术要求,包括信令通道接口要求、数据通道接口要求及与接口相关参数的要求。
39. 2023年12月20日,yd/t 4580-2023《抗ddos智能检测系统技术要求》发布
本标准规定了抗ddos智能检测系统的功能要求和性能要求,包括:数据采集、数据处理、数据智能分析、智能化告警机制及处置能力等方面。
40. 2023年12月20日,yd/t 4581-2023《隐私保护场景下安全多方计算技术指南》发布
本标准提出了安全多方计算技术架构、通用流程及安全分类,给出了安全多方计算典型应用场景及凯发官网入口首页的解决方案建议,适用于网络运营者利用安全多方计算技术开展隐私数据安全保护方案设计。
41. 2023年12月20日,yd/t 4584-2023《电信网和互联网网络安全能力成熟度评价模型》和yd/t 4585-2023《电信网和互联网网络安全能力成熟度评价方法》发布
两项标准互为配套,评价模型规定了电信网和互联网网络安全能力成熟度模型的构成、等级划分标准、关键能力域和成熟度要求;评价方法规定了电信网和互联网网络安全能力成熟度的评价流程、评价方法和成熟度等级判定方法。
42. 2023年12月20日,yd/t 4586-2023《网络安全态势感知 数据采集要求》发布
本标准规定了网络安全态势感知的数据采集要求,适用于网络安全态势感知的事件检测、量化评估、态势分析等方面的业务应用。
43. 2023年12月20日,yd/t 4588-2023《网络空间安全仿真 参考架构》发布
本标准规定了网络空间安全仿真系统的参考架构、分系统基本功能和安全性保障建议,适用于网络空间安全仿真系统的设计、建设、运营。
44. 2023年12月20日,yd/t 4590-2023《网络空间安全仿真 攻击行为检测技术要求》发布
本标准规定了网络靶场攻击行为检测技术架构、检测功能要求、以及其他要求,适用于基于网络靶场的互联网攻击行为检测活动,也可供其他相关部门参考使用。
45. 2023年12月20日,yd/t 4591-2023《网络空间安全仿真 产品安全测评管理系统技术要求》发布
本标准规定了在网络空间安全仿真环境中对于安全产品、网络产品和主机产品进行安全方面的自动化在线测评的系统的技术要求,适用于指导网络空间安全仿真环境中的产品安全自动在线测评系统的设计、开发、建设、部署及检测,其他场景下的产品安全测评管理系统也可参考使用。
46. 2023年12月20日,yd/t 4596-2023《网络空间安全仿真 网络数据采集指南》发布
本标准提供了网络空间安全仿真平台网络数据采集方面的指导,包括数据采集内容、采集方式等说明,以及数据采集时考虑的因素。
47. 2023年12月20日,yd/t 4598.2-2023《面向云计算的零信任体系 第2部分:关键能力要求》发布
本标准规定了零信任的设计原则、总体架构、通用能力要求、核心能力要求和管理能力要求,适用于供应商开发、设计和建设基于零信任理念的产品或凯发官网入口首页的解决方案。
48. 2023年12月20日,yd/t 4598.3-2023《面向云计算的零信任体系 第3部分:安全访问服务边缘能力要求》发布
本标准规定了安全访问服务边缘能力要求,包括四个方面:一是安全访问服务边缘网络能力要求;二是安全访问服务边缘安全能力要求;三是安全访问服务云部署能力;四是安全访问服务边缘统一管控能力。
密码行业
1. 2023年12月4日,gm/t 0006-2023《密码应用标识规范》发布
本标准描述了密码应用中所使用的密码服务类标识、安全管理类标识和商用密码领域中各类对象标识符,适用于密码设备、密码系统的研制和使用过程中对标识进行规范化的使用,也适用于其他相关标准、协议的编制中对标识的使用。
2. 2023年12月4日,gm/t 0009-2023《sm2密码算法使用规范》发布
本标准规定了sm2密码算法的使用方法,以及密钥、加密与签名等的数据格式,适用于sm2密码算法的使用,以及支持sm2密码算法的设备和系统的研发和检测。
3. 2023年12月4日,gm/t 0010-2023《sm2密码算法加密签名消息语法规范》发布
本标准定义了使用sm2密码算法的加密签名消息语法,适用于使用sm2密码算法进行加密和签名操作时对操作结果的标准化封装。
4.2023年12月4日,gm/t 0011-2023《可信计算 可信密码支撑平台功能与接口规范》发布
本标准描述可信计算密码支撑平台功能原理与要求,并详细定义了可信计算密码支撑平台的密码算法、密钥管理、证书管理、密码协议、密码服务等应用接口规范。
5. 2023年12月4日,gm/t 0014-2023《数字证书认证系统密码协议规范》发布
本标准规定了数字证书认证系统中的涉及到密码技术的安全协议和协议报文,适用于数字证书认证系统的设计、建设、检测、运营及管理,规范数字证书认证系统中密码协议的标准化,推动数字证书认证系统密码协议的互连互通和相互认证。
6. 2023年12月4日,gm/t 0015-2023《数字证书格式》发布
本标准规定了数字证书和证书撤销列表的基本结构,描述了数字证书和证书撤销列表中的各数据项内容,适用于数字证书认证系统的研发、数字证书认证机构的运营以及基于数字证书的安全应用。
7. 2023年12月4日,gm/t 0016-2023《智能密码钥匙密码应用接口规范》发布
本标准规定了公钥密码体制下的智能密码钥匙应用接口标准、密码相关应用接口的函数、数据类型、参数的定义和设备的安全要求,适用于智能密码钥匙产品的研制、使用和检测。
8. 2023年12月4日,gm/t 0017-2023《智能密码钥匙密码应用接口数据格式规范》发布
本标准规定了智能密码钥匙密码应用接口与设备之间的数据交换格式,给出了接口相关数据的类型、格式、参数和使用方法的说明,适用于智能密码钥匙产品的研制、使用和检测。
9. 2023年12月4日,gm/t 0018-2023《密码设备应用接口规范》发布
本标准规定了公钥密码基础设施应用技术体系下服务端密码设备应用接口的算法标识、数据结构和接口函数,适用于服务端密码设备的研制、使用,以及基于该类密码设备的应用开发。
10. 2023年12月4日,gm/t 0019-2023《通用密码服务接口规范》发布
本标准规定了通用密码服务接口的数据结构、接口描述、函数定义要求,描述了相应验证方法,适用于公钥密码应用技术体系下密码应用服务的开发,密码应用支撑平台的研制及检测,密码设备应用系统的开发。
11. 2023年12月4日,gm/t 0020-2023《证书应用综合服务接口规范》发布
本标准规定了面向证书应用的综合服务接口,适用于公钥密码应用技术体系下密码应用服务产品的开发,密码应用支撑平台的研制及检测,也可用于指导直接使用密码设备和密码服务的应用系统的集成和开发。
12. 2023年12月4日,gm/t 0021-2023《动态口令密码应用技术规范》发布
本标准规定了动态口令的基本原理、动态口令系统技术要求以及动态口令系统检测方法,适用于动态口令相关产品的研制、生产、应用,也可用于动态口令系统以及相关产品的密码应用合规性检测。
13. 2023年12月4日,gm/t 0022-2023《ipsec vpn技术规范》发布
本标准规定了ipsec vpn 的技术协议和产品功能,包括密钥交换协议和安全报文协议,以及产品功能要求和安全管理要求,适用于ipsec vpn 产品的研制、检测、使用和管理。
14. 2023年12月4日,gm/t 0023-2023《ipsec vpn网关产品规范》发布
本标准规定了ipsec vpn 网关产品的功能要求、性能要求、安全性要求、管理要求、硬件要求、检测方法和合格判定条件,适用于ipsec vpn 网关产品的研制、使用和检测。
15. 2023年12月4日,gm/t 0024-2023《ssl vpn技术规范》发布
本标准规定了ssl vpn的技术协议、产品功能要求、产品性能参数和安全管理要求,适用于ssl vpn产品的研制,也适用于指导ssl vpn产品的检测、管理和使用。
16. 2023年12月4日,gm/t 0025-2023《ssl vpn网关产品规范》发布
本标准规定了ssl vpn 网关产品的功能要求、硬件要求、软件要求、安全性要求和检测要求,适用于ssl vpn 网关产品的研发、检测和管理。
17. 2023年12月4日,gm/t 0026-2023《安全认证网关产品规范》发布
本标准规定了安全认证网关的密码算法和密钥种类、产品的要求、产品的检测及合格判定,适用于安全认证网关产品的研制、检测、使用和管理。
18. 2023年12月4日,gm/t 0033-2023《时间戳接口规范》发布
本标准规定了时间戳服务接口的请求和响应消息的格式、传输方式和时间戳服务接口函数,适用于基于公钥密码基础设施应用技术体系框架内的时间戳服务相关产品的研制。
19. 2023年12月4日,gm/t 0126-2023《html密码应用置标语法》发布
本标准定义了html 密码标签的交互过程、密码标签格式及其解析过程和网页安全要求。本文件适用于浏览器对网页密码标签处理。
20. 2023年12月4日,gm/t 0127-2023《移动终端密码模块应用接口规范》发布
本标准规定了移动终端密码模块的结构模型、数据类型定义、应用接口及安全要求,适用于移动终端密码模块产品的研制和使用,以及基于该类密码产品的应用开发与检测。
21. 2023年12月4日,gm/t 0128-2023《数据报传输层密码协议规范》发布
本标准规定了数据报传输层密码协议,包括记录层协议、握手协议族和密钥计算,适用于数据报传输层密码协议相关产品(如网关、终端等) 的研制、检测、管理和使用。
22. 2023年12月4日,gm/t 0129-2023《ssh密码协议规范》发布
本标准规定了ssh的安全交工密码协议,规定了交互通道的加密传输协议、鉴别协议与连接协议,规定了密码算法在协议中的使用方法,适用于ssh服务端和ssh客户端产品的研发和检测。
23. 2023年12月4日,gm/t 0130-2023《基于sm2算法的无证书及隐式证书公钥机制》发布
本标准规定基于sm2算法的无证书及隐式证书公钥机制,包括密钥生成与校验机制、数字签名机制、公钥加密机制。本标准规定的数字签名机制适用于商用密码应用中的数字签名和验证,加密机制适用于商用密码应用中的消息加解密,规定的机制特别适合带宽和计算资源受限的应用环境。
24. 2023年12月4日,gm/t 0131-2023《电子签章应用接口规范》发布
本标准规定了电子签章系统对外提供的服务接口,为电子签章系统与应用系统之间提供统一的数据交互格式和使用接口,包括服务调用和组件调用两种电子印章使用接口形式,适用于电子签章系统的研制、使用和检测,以及基于电子签章系统的应用开发。
25. 2023年12月4日,gm/t 0132-2023《信息系统密码应用实施指南》发布
本标准给出了信息系统密码应用的流程指导和建议,描述了规划、建设、运行及终止阶段的实施过程及主要活动,适用于指导信息系统密码应用的实施。
金融行业
1. 2023年2月7日,jr/t 0276-2023《证券期货业信息系统渗透测试指南》发布
本标准提供了在证券期货业信息系统建设过程中开展渗透测试的整体流程,同时提供了在渗透测试策划、渗透测试设计、渗透测试执行、渗透测试总结、渗透测试风险管理等环节如何保障测试质量、控制安全风险的操作指南。
2. 2023年10月23日,jr/t 0295—2023《证券期货业信息安全运营管理指南》发布
本标准提供了开展信息安全运营管理中安全管理、基础安全管理、信息资产管理、漏洞管理、开发安全管理、数据安全管理、集中监控与响应管理以及持续改进管理的指导思路及方法。
能源行业
1. 2023年5月26日,dl/t 2613—2023《电力行业网络安全等级保护测评指南》发布
本标准规定了电力行业网络安全等级保护测评的工作流程、方法和测评要求,包括总体测评要求和第二级到第四级的电力监控系统和管理信息系统测评要求,包括安全测评通用要求和安全测评扩展要求。
2. 2023年5月26日,dl/t 2614—2023《电力行业网络安全等级保护基本要求》发布
本标准规定了电力行业网络安全等级保护不同级别等级保护对象的安全保护要求,包括总体要求和第二级到第四级电力监控系统、管理信息系统的安全保护要求,分为安全通用要求和安全扩展要求。
3. 2023年10月11日,nb/t 11302-2023《电动汽车充电设施及运营平台信息安全技术规范》发布
本标准规定了电动汽车充电设施及运营平台的网络信息安全防护要求,适用于与电动汽车充电设施及运营平台、充电设备、移动智能终端充电软件的信息安全防护设计、信息安全评估等。
其他标准
1. 2023年3月1日,国家职业标准2-02-38-12《数据安全工程技术人员国家职业标准》和2-02-38-13《密码工程技术人员国家职业标准》发布
两项标准按照《国家职业标准编制技术规程 (专业技术类)》有关要求,分别对数据安全工程从业者、密码工程技术从业人员的专业活动内容进行规范细致描述,明确了各等级专业技术人员的工作领域、工作内容以及知识水平、专业能力和实践要求。
2. 2023年6月25日,jt/t 904-2023《交通运输行业网络安全等级保护定级指南》发布
本标准给出了交通运输行业网络安全等级保护对象的定级方法和定级流程,包括确定定级对象、初步确定等级、确定安全保护等级和等级变更。
3. 2023年12月06日,mh/t 3035—2023《民用航空生产运行工业控制系统网络安全防护技术要求》发布
本标准界定了民用航空生产运行工业控制系统的安全防护对象,规定了现场设备、控制设备、工业主机、网络设备、网络安全设备等设备级安全技术要求,以及分区分域与隔离防护、数据与通信安全、安全监控与应急处置、系统运维安全、软件供应链安全等系统级安全技术要求。
多年来天融信始终积极参与网络安全标准研制工作,累计参与已发布网络安全国家标准、行业标准、团体标准、地方标准180余项,涉及安全产品、安全管理、安全服务、数据安全、人工智能、云计算、工业互联网、车联网、5g、区块链等众多技术领域。未来,天融信将继续积极参与各项标准的研究、编制、宣贯、试点、应用等工作,为发挥标准在网络空间安全建设中的基础性、引领性、战略性作用贡献力量。
- 关键词标签:
- 天融信 网络安全标准