盤點 | 2022上半年國內網絡安全領域重要標準速覽

隨著數字技術的發展和應用，標準作為貫穿各領域間的技術規則，其重要性日益凸顯。近年來，在國家標準化管理委員會及網信辦、工信部、公安部、國家密碼管理局、國家認監委等部委的指導和支持下，網絡安全標準化工作取得了極大的進展，全國信安標委、各行業標委會陸續發布了多項網絡安全相關標準。

本文整理了2022上半年我國發布的重要網絡安全標準，包含19項國家標準、11項行業標準，覆蓋基礎通用、安全產品、安全管理、安全技術等多個領域，供大家參考。

國家標準

1. 2022年3月9日，GB/T 25069-2022《信息安全技術 術語》發布

本標準界定了信息安全技術領域中基本或通用概念的術語和定義，并對條目進行分類，是信息安全領域的重要基礎性標準，也是所有信息安全人員在信息安全領域中進行溝通交流、開展研究工作和項目實施的基本工具。

2. 2022年3月9日，GB/T 20278-2022《信息安全技術 網絡脆弱性掃描產品安全技術要求和測試評價方法》發布

本標準規定了網絡脆弱性掃描產品的安全技術要求和測試評價方法，其中安全技術要求分為基礎級和增強級，內容包括安全功能要求、自身安全保護要求、環境適應性要求、安全保障要求。

3. 2022年3月9日，GB/Z 41290-2022《信息安全技術 移動互聯網安全審計指南》發布

本標準定義了移動互聯網安全審計活動的概念，描述了移動互聯網安全審計活動中的角色職責、審計范圍和審計內容，給出安全審計活動的框架、功能任務以及各功能任務的具體指南。

4. 2022年3月9日，GB/Z 41288-2022《信息安全技術 重要工業控制系統網絡安全防護導則》發布

本標準規定了重要工業控制系統網絡安全防護的基本原則、安全防護技術、應急備用措施和安全管理等要求，以建立重要工業控制系統的網絡安全防護體系。

5. 2022年3月9日，GB/T 41241-2022《核電廠工業控制系統網絡安全管理要求》發布

本標準規定了核電廠工業控制系統網絡安全方面的管理、技術防護和應急管理的要求，并給出核電廠工業控制系統網絡安全定級說明。

6. 2022年3月9日，GB/T 41260-2022《數字化車間信息安全要求》發布

本標準規定了數字化車間信息安全總則、管理要求和技術要求等，給出數字化車間信息安全常見威脅源、典型機械制造行業數字化車間信息安全示例，并提出數字化車間信息安全增強要求。

7. 2022年3月9日，GB/T 41267-2022《網絡關鍵設備安全技術要求 交換機設備》、GB/T 41266-2022《網絡關鍵設備安全檢測方法 交換機設備》發布

兩項標準互為配套，一個規定了列入網絡關鍵設備目錄的交換機設備的安全功能要求和安全保障要求。另一個則給出了安全功能要求和安全保障要求對應的安全檢測和評估方法。其中，安全功能要求包括設備標識安全、冗余、備份恢復與異常檢測、漏洞與缺陷管理、預裝軟件啟動及更新安全、默認狀態安全、抵御常見攻擊能力、用戶身份標識與鑒別安全、訪問控制安全、日志審計安全、通信安全、數據安全和密碼要求。

8. 2022年3月9日，GB/T 41269-2022《網絡關鍵設備安全技術要求 路由器設備》、GB/T 41268-2022《網絡關鍵設備安全檢測方法 路由器設備》發布

兩項標準互為配套，一個規定了列入網絡關鍵設備目錄的路由器設備的安全功能要求和安全保障要求。另一個則給出了安全功能要求和安全保障要求對應的安全檢測和評估方法。其中，安全功能要求包括設備標識安全、冗余、備份恢復與異常檢測、漏洞與缺陷管理、預裝軟件啟動及更新安全、默認狀態安全、抵御常見攻擊能力、用戶身份標識與鑒別安全、訪問控制安全、日志審計安全、通信安全、數據安全和密碼要求。

9. 2022年3月9日，GB/T 41274-2022《可編程控制系統內生安全體系架構》發布

本標準規定了可編程控制系統內生安全體系架構，描述可編程控制系統內生安全的目標和各單元模塊的相關安全需求，規定可編程控制系統的內生安全要求。其中，可編程控制系統內生安全的目標為保障可編程控制系統的完整性，各單元模塊的相關安全需求包括全生命周期安全保護、綜合診斷與高可用實現等。

10. 2022年4月15日，GB/T 41387-2022《信息安全技術 智能家居通用安全規范》發布

本標準規定了智能家居安全通用技術要求，包括智能家居終端、智能家居網關、智能家居控制端、智能家居應用服務平臺的安全要求，以及對應的安全測試評價方法。

11. 2022年4月15日，GB/T 41388-2022《信息安全技術 可信執行環境 基本安全規范》發布

本標準確立了可信執行環境系統整體技術架構，描述了可信執行環境基礎要求、可信虛擬化系統、可信操作系統、可信應用與服務管理、跨平臺應用中間件等主要內容及其測試評價方法。

12. 2022年4月15日，GB/T 41389-2022《信息安全技術 SM9密碼算法使用規范》發布

本標準規定了SM9密碼算法的使用要求，描述了密鑰、加密與簽名的數據格式，主體內容包括SM9的密鑰對、技術要求、證實方法，并在附錄中提供了數據格式編碼測試用例。

13. 2022年4月15日，GB/T 41391-2022《信息安全技術 移動互聯網應用程序（App）收集個人信息基本要求》發布

本標準規定了App收集個人信息的基本要求，包括最小必要收集、必要個人信息、特定類型個人信息、告知同意、系統權限、第三方收集管理及其他要求，并給出了常見服務類型App必要個人信息范圍和使用要求。

14. 2022年4月15日，GB/T 41400-2022《信息安全技術 工業控制系統信息安全防護能力成熟度模型》發布

本標準給出了工業控制系統信息安全防護能力成熟度模型，規定核心保護對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法。

15. 2022年4月15日，GB/T 41479-2022《信息安全技術 網絡數據處理安全要求》發布

本標準規定了網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理的安全技術與管理要求。同時，本標準被作為數據安全管理認證的依據。

16. 2022年4月15日，GB/T 20984-2022《信息安全技術 信息安全風險評估方法》發布

本標準描述了信息安全風險評估的基本概念、風險要素關系、風險分析原理、風險評估實施流程和評估方法，以及風險評估在信息系統生命周期不同階段的實施要點和工作形式。

17. 2022年4月15日，GB/T 29829-2022《信息安全技術 可信計算密碼支撐平臺功能與接口規范》發布

本標準給出了可信計算密碼支撐平臺的體系框架和功能原理，規定了可信密碼模塊的接口規范，描述了對應的證實方法。

18. 2022年4月15日，GB/T 30283-2022《信息安全技術 信息安全服務 分類與代碼》發布

本標準描述了信息安全服務的分類與代碼，主要包括信息安全咨詢類、信息安全設計與開發類、信息安全集成類、信息安全運營類、信息的安全處理與存儲類、信息安全測評與認證類及其他類七個方面。

19. 2022年4月15日，GB/T 31506-2022《信息安全技術 政務網站系統安全指南》發布

本標準給出了在對政務網站系統實施安全防護時可采取的安全技術措施和安全管理措施，并提供了政務網站系統基本結構、政務網站系統安全措施級別選擇、安全措施分級表等內容。

行業標準

通信行業

1. 2022年4月24日，YD/T 2388-2022《網絡脆弱性指數評估方法 》發布

本標準規定了網絡脆弱性指數評估方法，包括網絡脆弱性指數評估體系、網絡脆弱性特征定義以及網絡脆弱性分類，并給出了網絡脆弱性指數計算方法。

2. 2022年4月24日，YD/T 2389-2022《網絡威脅指數評估方法》發布

本標準規定了網絡威脅的量化評估方法，包括網絡威脅指數評估體系、網絡事件分類及特征確定，并給出了網絡威脅指數計算方法。

3. 2022年4月24日，YD/T 4063-2022《基于協議的DDoS攻擊定義與分類》發布

本標準基于網絡協議類型、按體系化架構對DDoS攻擊進行分類的框架定義，并對DDoS攻擊的命名進行了標準化格式定義，以及規定了DDoS攻擊所屬類型及在告警中應進行上報的字段。

4. 2022年4月24日，YD/T 4060-2022《云計算安全責任共擔模型》發布

本標準規定了公有云場景下安全責任共擔模型，包括云計算安全責任共擔主體、云計算安全責任共擔模型、云服務提供者和云服務客戶安全責任。

5. 2022年4月24日，YD/T 4059-2022《混合云平臺安全能力要求》發布

本標準規定了混合云平臺的安全能力要求，分為一般級安全要求和增強級安全要求，主要包括公有云安全、私有云安全和跨云安全。

6. 2022年4月24日，YD/T 4058-2022《電信網和互聯網安全防護基線配置要求和檢測要求 大數據組件》發布

本標準規定了電信網和互聯網中所使用大數據服務在安全配置方面的基本要求及檢測要求，特別是大數據采集組件、大數據處理組件、大數據存儲組件及其基礎設施、網絡系統在安全配置方面的基本要求及檢測要求。

7. 2022年4月24日，YD/T 4057-2022《電信網和互聯網大數據平臺安全防護檢測要求》發布

本標準規定了大數據平臺安全防護的檢測范圍、對象、環境、方式，并按照相應的安全防護等級給出測試方法，將大數據平臺安全等級共分為5級。

8. 2022年4月24日，YD/T 4056-2022《5G多接入邊緣計算平臺通用安全防護要求》發布

本標準規定了5G多接入邊緣計算平臺安全防護等級的安全防護要求，涉及應用安全、網絡安全、設備安全、數據安全、物理環境安全和管理安全。

9. 2022年4月24日，YD/T 4055-2022《電信網和互聯網區塊鏈基礎設施安全防護要求》發布

本標準規定了電信網和互聯網區塊鏈基礎設施安全保護等級的安全防護要求，涉及業務服務安全、網絡安全、設備安全、物理環境安全和管理安全。

交通運輸行業

1. 2022年6月9日，JT/T 1417-2022《交通運輸行業網絡安全等級保護基本要求》發布

本標準規定了交通運輸行業網絡安全等級保護的通則，以及第一級至第四級的網絡安全要求，可用于交通運輸行業網絡安全的規劃設計、安全建設和監督管理。

2. 2022年6月9日，JT/T 1418-2022《交通運輸網絡安全監測預警系統技術規范》發布

本標準規定了交通運輸網絡安全監測預警系統的系統架構、功能要求、性能要求、展示要求、接口要求、安全要求與運行管理。

一直以來，天融信積極參與網絡安全標準研制工作，累計參與并已發布的網絡安全國家標準、行業標準共計80余項，涉及安全產品、安全服務、安全管理、數據安全、云計算、工業互聯網、車聯網、物聯網等眾多技術領域。在應用實踐方面，天融信始終把標準作為自主創新內在要求，并及時將先進適用技術創新成果融入標準，提升標準水平。