与网络安全相关的国家标准

核心提示随着数字技术的发展和应用,标准作为贯穿各领域间的技术规则,其重要性日益凸显。近年来,在国家标准化管理委员会及网信办、工信部、公安部、国家密码管理局、国家认监委等部委的指导和支持下,网络安全标准化工作取得了极大的进展,全国信安标委、各行业标委

随着数字技术的发展和应用,标准作为贯穿各个领域的技术规则变得越来越重要。近年来,在国家标准化管理委员会、网信办、工业和信息化部、公安部、国家密码管理局、国家认监委等部委的指导和支持下,网络安全标准化工作取得了较大进展。国家信息安全标准委员会和各行业标准委员会相继发布了多项网络安全相关标准。

本文整理了2022年上半年我国发布的重要网络安全标准,包括19项国家标准和11项行业标准,涵盖基础通用、安全产品、安全管理、安全技术等领域,供大家参考。

01国家标准

1.2022年3月9日,GB/T 25069-2022《信息安全技术术语》发布。

本标准定义了信息安全技术领域基本或通用概念的术语和定义,并对项目进行了分类。它是信息安全领域的重要基础标准,是所有信息安全人员在信息安全领域进行交流、开展研究工作和实施项目的基本工具。

2.2022年3月9日,GB/T 20278-2022《信息安全技术网络漏洞扫描产品安全技术要求和测试评估方法》发布。

本标准规定了网络漏洞扫描产品的安全技术要求和测试评估方法,其中安全技术要求分为基础级和增强级,包括安全功能要求、自身安全防护要求、环境适应性要求和安全保障要求。

3.2022年3月9日,GB/Z 41290-2022《信息安全技术移动互联网安全审计指南》发布。

该标准定义了移动互联网安全审计活动的概念,描述了移动互联网安全审计活动的角色、职责、审计范围和审计内容,给出了安全审计活动的框架、功能和任务以及每个功能和任务的具体指南。

4.2022年3月9日,GB/Z 41288-2022《信息安全技术重要工业控制系统网络安全保护导则》发布。

本标准规定了重要工业控制系统网络安全防护的基本原则、安全防护技术、应急备份措施和安全管理要求,以建立重要工业控制系统的网络安全防护体系。

5.2022年3月9日,GB/T 41241-2022《核电厂工业控制系统网络安全管理要求》发布。

本标准规定了核电厂工业控制系统的网络安全管理、技术保护和应急管理的要求,并对核电厂工业控制系统的网络安全分级做出了指示。

6.2022年3月9日,GB/T 41260-2022数字化车间信息安全要求发布。

本标准规定了数字化车间信息安全的一般原则、管理要求和技术要求,给出了数字化车间信息安全的常见威胁、典型机械制造行业的信息安全实例,并提出了增强数字化车间信息安全的要求。

7.2022年3月9日,GB/T 41267-2022《网络关键设备安全技术要求交换设备》和GB/T 41266-2022《网络关键设备安全检测方法交换设备》发布。

两个标准互为补充,其中一个标准规定了列入网络关键设备目录的交换设备的安全功能要求和安全保障要求。另一种给出了与安全功能需求和安全保障需求相对应的安全检测和评估方法。其中,安全功能需求包括设备识别安全、冗余、备份恢复和异常检测、漏洞和缺陷管理、预装软件启动和更新安全、默认状态安全、抵御常见攻击的能力、用户识别和认证安全、访问控制安全、日志审计安全、通信安全、数据安全和密码需求。

8.2022年3月9日,GB/T 41269-2022《网络关键设备路由器设备安全技术要求》和GB/T 41268-2022《网络关键设备路由器设备安全检测方法》发布。

两个标准互为补充,其中一个标准规定了列入网络关键设备目录的路由器设备的安全功能要求和安全保障要求。另一种给出了与安全功能需求和安全保障需求相对应的安全检测和评估方法。其中,安全功能需求包括设备识别安全、冗余、备份恢复和异常检测、漏洞和缺陷管理、预装软件启动和更新安全、默认状态安全、抵御常见攻击的能力、用户识别和认证安全、访问控制安全、日志审计安全、通信安全、数据安全和密码需求。

9.2022年3月9日,GB/T 41274-2022《可编程控制系统内生安全架构》发布。

本标准规定了可编程控制系统的内生安全架构,描述了可编程控制系统的内生安全目标和各单元模块的相关安全要求,规定了可编程控制系统的内生安全要求。其中,可编程控制系统内生安全的目标是保证可编程控制系统的完整性,各单元模块的相关安全需求包括全生命周期安全防护、综合诊断和高可用性实现。

10.2022年4月15日,GB/T 41387-2022《采用信息安全技术的智能家居通用安全规范》发布。

本标准规定了智能家居安全的通用技术要求,包括智能家居终端、智能家居网关、智能家居控制终端、智能家居应用服务平台的安全要求,以及相应的安全测试和评估方法。

1.2022年4月15日,GB/T 41388-2022《信息安全技术可信执行环境基础安全规范》发布。

该标准确立了可信执行环境系统的总体技术架构,描述了可信执行环境、可信虚拟化系统、可信操作系统、可信应用和服务管理、跨平台应用中间件等的基本要求。以及它们的测试和评估方法。

2.2022年4月15日,GB/T 41389-2022《信息安全技术SM9密码算法使用规范》发布。

本标准规定了SM9加密算法的使用要求,并描述了密钥、加密和签名的数据格式。主要内容包括SM9的密钥对、技术要求和验证方法,附录中提供了一个数据格式编码的测试案例。

13.2022年4月15日,GB/T 41391-2022《信息安全技术移动互联网应用程序收集个人信息的基本要求》发布。

本标准规定了App采集个人信息的基本要求,包括最低必要采集、必要个人信息、个人信息具体类型、知情同意、系统权限、第三方采集管理等要求,并给出了常见服务类型App必要个人信息的范围和使用要求。

14.2022年4月15日,GB/T 41400-2022《信息安全技术工业控制系统信息安全防护能力成熟度模型》发布。

该标准给出了工业控制系统信息安全保护能力成熟度模型,规定了核心保护对象安全和一般安全的成熟度等级要求,提出了能力成熟度等级验证方法。

5.2022年4月15日,GB/T 41479-2022《信息安全技术网络数据处理安全要求》发布。

本标准规定了网络运营者进行网络数据采集、存储、使用、加工、传输、提供和披露等数据处理的安全技术和管理要求。同时,该标准作为数据安全管理认证的依据。

16.2022年4月15日,GB/T 20984-2022信息安全技术信息安全风险评估方法发布。

本标准描述了信息安全风险评估的基本概念、风险因素的关系、风险分析的原则、风险评估的实施流程和评估方法,以及信息系统生命周期不同阶段风险评估的实施要点和工作形式。

17.2022年4月15日,GB/T 29829-2022《信息安全技术可信计算密码支撑平台功能及接口规范》发布。

该标准给出了可信计算密码支撑平台的架构和功能原理,规定了可信密码模块的接口规范,并描述了相应的验证方法。

18.2022年4月15日,GB/T 30283-2022《信息安全技术信息安全服务分类与代码》发布。

本标准描述了信息安全服务的分类与代码,主要包括信息安全咨询、信息安全设计与开发、信息安全集成、信息安全运营、信息安全处理与存储、信息安全评估与认证、其他七个方面。

9.2022年4月15日,GB/T 31506-2022《信息安全技术政府网站系统安全指南》发布。

本标准给出了实施政府网站系统安全保护时可以采取的安全技术措施和安全管理措施,提供了政府网站系统的基本结构、政府网站系统安全措施的等级选择、安全措施分类表等。

02行业标准

通信行业

1.2022年4月24日,YD/T 2388-2022《网络脆弱性指数评估方法》发布。

该标准规定了网络脆弱性指数的评估方法,包括网络脆弱性指数的评估体系、网络脆弱性特征的定义和网络脆弱性的分类,并给出了网络脆弱性指数的计算方法。

2.2022年4月24日,YD/T 2389-2022《网络威胁指数评估方法》发布。

该标准规定了网络威胁的量化评估方法,包括网络威胁指数的评估体系、网络事件的分类和特征判定,并给出了网络威胁指数的计算方法。

3.2022年4月24日,YD/T 4063-2022《基于协议的DDoS攻击定义和分类》发布。

该标准定义了根据网络协议类型和系统架构对DDoS攻击进行分类的框架,定义了命名DDoS攻击的标准化格式,规定了DDoS攻击的类型和告警中应上报的字段。

4.2022年4月24日,YD/T 4060-2022《云计算安全责任分担模型》发布。

该标准规定了公有云场景下的安全责任分担模型,包括云计算安全责任分担主体、云计算安全责任分担模型、云服务提供商和云服务客户安全责任。

5.2022年4月24日,YD/T 4059-2022《混合云平台安全能力要求》发布。

该标准规定了混合云平台的安全能力要求,分为一般安全要求和增强安全要求,主要包括公有云安全、私有云安全和跨云安全。

6.2022年4月24日,YD/T 4058-2022《电信网络和互联网安全防护大数据组件基线配置要求和测试要求》发布。

本标准规定了电信网络和互联网中使用的大数据业务安全配置的基本要求和测试要求,特别是大数据采集组件、大数据处理组件、大数据存储组件及其基础设施、网络系统安全配置的基本要求和测试要求。

7.2022年4月24日,YD/T 4057-2022《电信网络和互联网大数据平台安全防护与检测要求》发布。

该标准规定了大数据平台安全防护的检测范围、对象、环境和方法,并根据相应的安全防护等级给出了测试方法,将大数据平台的安全等级划分为五个等级。

8.2022年4月24日,YD/t 4056-2022《5G多接入边缘计算平台通用安全防护要求》发布。

本标准规定了5G多接入边缘计算平台安全保护等级的安全保护要求,涉及应用安全、网络安全、设备安全、数据安全、物理环境安全和管理安全。

9.2022年4月24日,YD/T 4055-2022《电信网络和互联网区块链基础设施安全保护要求》发布。

本标准规定了电信网络和互联网区块链基础设施安全保护等级的安全保护要求,涉及业务服务安全、网络安全、设备安全、物理环境安全和管理安全。

运输行业

1.2022年6月9日,JT/T 1417-2022《交通运输行业网络安全等级保护基本要求》发布。

本标准规定了交通行业网络安全等级保护的一般规则,以及从一级到四级的网络安全要求,可用于交通行业网络安全的规划设计、安全建设、监督管理。

2.2022年6月9日,JT/T 1418-2022《交通运输网络安全监测预警系统技术规范》发布。

本标准规定了交通网络安全监控预警系统的系统架构、功能要求、性能要求、显示要求、接口要求、安全要求和运行管理。

一直以来,天荣信积极参与网络安全标准的研发,参与并发布了80余项网络安全国家和行业标准,涉及安全产品、安全服务、安全管理、数据安全、云计算、工业互联网、车联网、物联网等诸多技术领域。在应用实践方面,天荣信始终把标准作为自主创新的内在要求,及时将先进适用的技术创新成果融入标准,提升标准水平。

未来,天荣信将继续肩负重任,积极参与各类标准的研究、编制、宣传、试点和应用,为有效发挥标准在网络空治理和产业生态建设中的基础性、先导性和战略性作用做出贡献。

 
友情链接
鄂ICP备19019357号-22