細數2021年發布的重要網絡安全標準
隨著《網絡安全法》、《數據安全法》、《個人信息保護法》、《密碼法》的陸續發布和實施,作為法律法規有力支撐的網絡安全國家標準、行業標準也持續發布,涵蓋云安全、工業互聯網安全、物聯網安全、車聯網安全等領域,以及金融、通信、廣電等重要行業,得到了高度關注。
新年伊始,小編整理了2021年我國發布的重要網絡安全標準,供大家參考。
國家標準
01 密碼技術
1. 2021年3月9日,GB/T 39786-2021《信息安全技術 信息系統密碼應用基本要求》發布
本標準從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等四個方面提出了密碼應用技術要求,以及管理制度、人員管理、建設運行、應急處置等密碼應用管理要求。
2. 2021年3月9日,GB/T 17901.3-2021《信息技術 安全技術 密鑰管理 第3部分:采用非對稱技術的機制》發布
本標準采用了ISO/IEC 11770-3:2015的國際標準,定義了基于非對稱密碼技術的密鑰管理機制的要求、密鑰派生函數、余子式乘法、密鑰承諾、密鑰確認、密鑰管理框架、密鑰協商、密鑰傳遞、公鑰傳遞。
3. 2021年6月25日,我國SM4分組密碼算法作為ISO/IEC 18033-3:2010/AMD1:2021《信息技術 安全技術 加密算法 第3部分:分組密碼 補篇1:SM4》發布
本標準是我國的國產密碼算法—SM4分組密碼算法通過ISO/IEC 18033-3納入國際標準,這不僅促進了我國商用密碼算法國際標準體系的進一步完善,而且對我國商用密碼產業發展具有重要的意義。
4. 2021年10月11日,GB/T 17903.2-2021《信息技術 安全技術 抗抵賴 第2部分:采用對稱技術的機制》發布
本標準確立了抗抵賴服務的通用結構,以及若干特定的抗抵賴機制,用于提供原發抗抵賴(NRO)與交付抗抵賴(NRD)。
5. 2021年10月11日,GB/T 17964-2021《信息安全技術 分組密碼算法的工作模式》發布
本標準描述了九種分組密碼算法的工作模式,給出了參數和方法,標準中描述的工作模式僅適用于保護數據的機密性,不適用于保護數據的完整性。
6. 2021年10月11日,GB/T 30272-2021《信息安全技術 公鑰基礎設施 標準符合性測評》發布
本標準描述了公鑰基礎設施相關組件的測試評價方法,包括CA、RA、時間戳子系統、在線證書狀態查詢子系統、電子簽名及驗證子系統、客戶端等組件。
7. 2021年10月11日,GB/T 33133.2-2021《信息安全技術 祖沖之序列密碼算法 第2部分:保密性算法》發布
本標準描述了基于祖沖之序列密碼算法的保密性算法,主要包括算法的輸入輸出描述和算法工作流程描述。
8. 2021年10月11日,GB/T 33133.3-2021《信息安全技術 祖沖之序列密碼算法 第3部分:完整性算法》發布
本標準描述了基于祖沖之序列密碼算法的完整性算法,主要包括算法的輸入輸出描述和算法工作流程描述。
9. 2021年10月11日,GB/T 40650-2021《信息安全技術 可信計算規范 可信平臺控制模塊》發布
本標準描述了可信平臺控制模塊在可信計算節點中的位置和作用,規定了可信平臺控制模塊的功能組成、功能接口、安全防護、運行維護要求和證實方法。
10. 2021年10月,包含我國SM9密鑰協商協議的國際標準ISO/IEC 11770-3:2021《信息安全 密鑰管理 第3部分:使用非對稱技術的機制》發布
SM9密鑰協商協議是繼SM9數字簽名算法、SM9標識加密算法納入國際標準后的第三項SM9算法。至此,SM9系列算法成為我國密碼技術領域首個全體系納入ISO/IEC國際標準的非對稱密碼算法。
11. 2021年12月,我國主導提出的國際標準ISO/IEC 27070《信息技術 安全技術 虛擬信任根建立要求》發布
本標準用于解決云計算服務應用和發展中信任的核心問題,可以指導企業與研究機構增強云服務基礎設施的安全性,提升用戶信心,也可以規范企業安全增強開發的技術架構、協議、接口,促進不同企業間的互聯互通和行業間的規范發展,有助于可信計算產業的積極落地和實施。
02 鑒別授權
1. 2021年4月30日,GB/T 40018-2021《信息安全技術 基于多信道的證書申請和應用協議》發布
本標準規定了利用智能移動設備進行證書申請和應用協議,包括證書申請協議、數字簽名與驗簽協議、文件加解密協議。
2. 2021年10月11日,GB/T 40651-2021《信息安全技術 實體鑒別保障框架》發布
本標準規定了各參與方角色的職責、實體鑒別的主要流程環節以及實體鑒別保障等級的類別和等級劃分原則,并規定了實體鑒別保障所需的管理要求。
3. 2021年10月11日,GB/T 40660-2021《信息安全技術 生物特征識別信息保護基本要求》發布
本標準規定了各類生物特征識別信息控制者開展收集、存儲、使用、委托處理共享、轉讓、公開披露、刪除等生物特征識別信息處理活動應遵循的基本原則和安全要求。
03 產品與檢測評估
1. 2021年2月20日, GB 40050-2021《網絡關鍵設備安全通用要求》發布
本標準屬于強制性國家標準,是工信部網絡安全管理局為落實《網絡安全法》中有關網絡關鍵設備(路由器、交換機等)安全的要求,組織編制的一項重要標準。標準主要內容包括安全功能要求和安全保障要求。安全功能要求聚焦于保障和提升設備的安全技術能力,安全保障要求聚焦于規范網絡關鍵設備提供者在設備全生命周期的安全保障能力。
2. 2021年10月11日,GB/T 20275-2021《信息安全技術 網絡入侵檢測系統技術要求和測試評價方法》發布
本標準規定了網絡入侵檢測系統的技術要求和測試評價方法,包括安全功能要求、自身安全功能要求、安全保證要求和測試評價方法,并提出了網絡入侵檢測系統的分級要求。
3. 2021年10月11日,GB/T 29765-2021《信息安全技術 數據備份與恢復產品技術要求與測試評價方法》發布
本標準規定了數據備份與恢復產品安全功能要求、自身安全要求、安全保障要求與測試評價方法。
4. 2021年10月11日,GB/T 29766-2021《信息安全技術 網站數據恢復產品技術要求與測試評價方法》發布
本標準規定了網站數據恢復產品安全功能要求、自身安全要求、安全保障要求與測試評價方法。
5. 2021年10月11日,GB/T 40653-2021《信息安全技術 安全處理器技術要求》發布
本標準規定了安全處理器的安全功能要求和安全保障要求,其中功能要求包括安全審計、通信、密碼支持、用戶數據保護、標識和鑒別、安全管理、隱私、TSF保護、資源利用、TOE訪問、可信路徑/通道,安全保障要求包括開發、指導性文檔、生命周期支持、安全目標評估、測試、脆弱性評定。
04 云安全
1. 2021年3月9日,GB/T 34080.3-2021《基于云計算的電子政務公共平臺技術規范 第3部分:服務安全》發布
本標準規定了基于云計算的電子政務公共平臺的服務安全等級和服務安全要求,其中服務安全要求包括服務訪問控制、服務傳遞保護、服務監控、服務審計、服務變更和服務評估的要求。
2. 2021年3月9日,GB/T 34080.4-2021《基于云計算的電子政務公共平臺技術規范 第4部分:應用安全》發布
本標準規定了基于云計算的電子政務公共平臺的應用安全實施、應用安全運維、應用安全管理和應用安全測試。
05 工業互聯網安全
1. 2021年5月21日,GB/T 40218-2021《工業通信網絡 網絡和系統安全 工業自動化和控制系統信息安全技術》發布
本標準提供了對當前各種網絡信息安全工具、緩解對抗措施和技術的評估。這些技術可有效地用在基于現代電子的IACS中,以調整和監視數量眾多的工業和關鍵基礎設施。
2. 2021年5月21日,GB/T 40211-2021《工業通信網絡 網絡和系統安全 術語、概念和模型》發布
本標準定義了用于工業自動化和控制系統(IACS)安全的術語、概念和模型,是“工業通信網絡 網絡和系統安全”系列標準中其他標準的基礎。
3. 2021年10月11日,GB/T 40813-2021《信息安全技術 工業控制系統安全防護技術要求和測試評價方法》發布
本標準規定了工業控制系統安全防護技術要求、保障要求和測試評價方法,包括物理環境安全防護、網絡通信安全防護、網絡邊界安全防護、工業主機安全防護、控制設備安全防護、數據安全防護、防護產品安全、系統集中管控、軟件開發安全防護、系統維護安全防護相關的要求和測試評價方法。
06 車聯網安全
1. 2021年10月11日,GB/T 40855-2021《電動汽車遠程服務與管理系統信息安全技術要求及實驗方法》發布
本標準規定了電動汽車遠程服務與管理系統的信息安全要求及試驗方法,包括總體結構圖以及車載終端安全要求、平臺間通信安全要求、車載終端與平臺通信安全要求、平臺安全要求以及相應的試驗方法。
2. 2021年10月11日,GB/T 40856-2021《車載信息交互系統信息安全技術要求及試驗方法》發布
本標準規定了車載信息交互系統硬件、通信協議與接口、操作系統、應用軟件、數據的信息安全技術要求與試驗方法。
3. 2021年10月11日,GB/T 40857-2021《汽車網關信息安全技術要求及試驗方法》發布
本標準規定了汽車網關產品硬件、通信、固件、數據的信息安全技術要求及試驗方法,其中技術要求包括硬件信息安全要求、通信信息安全要求、固件信息安全要求和數據信息安全要求;試驗方法包括硬件信息安全試驗、通信信息安全試驗、固件信息安全試驗和數據信息安全試驗。
4. 2021年10月11日,GB/T 40861-2021《汽車信息安全通用技術要求》發布
本標準規定了汽車信息安全的保護對象和技術要求,其中技術要求分為原則性要求、系統性防御策略要求和保護維度要求。
07 安全管理
1. 2021年3月9日,GB/T 39770-2021《信息技術服務 服務安全要求》發布
本標準提出了信息技術服務安全模型,規定了安全總則、生存周期和能力要素的安全要求,其中生存周期安全要求包括需求、設計、實現、運營和退出的要求;服務能力要素安全要求包括人員、過程、技術和資源的要求。
2. 2021年10月11日,GB/T 40645-2021《信息安全技術 互聯網信息服務安全通用要求》發布
本標準規定了互聯網信息服務的安全通用要求,包括安全技術要求和安全保障要求,其中安全技術要求包括信息生成、信息處理、信息發布、信息傳播、信息存儲和信息銷毀的要求;安全保障要求包括管理制度、機構和人員、業務連續性、運行和維護的要求。
3. 2021年10月11日,GB/T 40652-2021《信息安全技術 惡意軟件事件預防和處理指南》發布
本標準在GB/T 20985.1-2017和GB/T 20985.2-2020的基礎之上,針對惡意軟件事件的預防和處理過程給出了進一步指南。
08 通信安全
2021年3月9日,GB/T 25068.5-2021《信息技術 安全技術 網絡安全 第5部分:使用虛擬專用網的跨網通信安全保護》發布
本標準采用了ISO/IEC 27033-5:2013的國際標準,規定了使用虛擬專用網(VPN)連接到互聯網或將遠程用戶跨網連接的通信安全指南,同時也提供了使用VPN時所必需的網絡安全控制技術的選擇、實施和監控指南。
行業標準
01 金融行業
1. 2021年2月9日,JR/T 0218-2021《金融業數據能力建設指引》發布
本標準規定了數據戰略、數據治理、數據架構、數據規范、數據保護、數據質量、數據應用、數據生存周期管理能力域劃分,明確了相關能力項,提出了每個能力項的建設目標和思路。
2. 2021年2月10日,JR/T 0213-2021《金融網絡安全 Web應用服務安全測試通用規范》發布
本標準給出了金融網絡安全Web應用服務安全測試的通用規范,既可作為各金融機構進行Web應用服務安全測試的參考標準,也為行業主管部門、專業測試機構進行檢查、檢測提供參考依據。
3. 2021年2月10日,JR/T 0214-2021《金融網絡安全 網絡安全眾測實施指南》發布
本標準給出了網絡安全眾測組織實施架構、網絡安全眾測實施流程及各參與方的職責。旨在規范金融機構網絡安全眾測的實施流程,指導金融機構在安全可控的前提下開展網絡安全眾測。
4. 2021年4月8日,JR/T 0223-2021《金融數據安全 數據生命周期安全規范》發布
本標準規定了金融數據生命周期安全原則、防護要求、組織保障要求以及信息系統運維保障要求,建立覆蓋數據采集、傳輸、存儲、使用、刪除及銷毀過程的安全框架。
5. 2021年7月22日,JR/T 0231-2021《銀行業第三方軟件開發工具包(SDK)安全接入指南》發布
本標準提供了第三方軟件開發工具包引入的總體原則,工具包分類以及安全技術指南,包括資源控制、身份認證、訪問控制、數據安全、軟件容錯、攻擊防護、安全審計、個人信息收集和第三方工具包交付。
6. 2021年7月22日,JR/T 0232-2021《銀行互聯網滲透測試指南》發布
本標準提供了在銀行信息系統中開展互聯網滲透測試的整體流程以及流程各個環節中保障測試質量、控制測試風險的指南。
7. 2021年7月22日,JR/T 0222-2021《金融信息系統加密服務的技術能力評價模型》發布
本標準給出了對提供金融機構加密服務的金融信息系統的能力進行評價的方法,包括確定評價范圍、能力評價模型和評價標準。
8. 2021年8月30日,JR/T 0060-2021《證券期貨業網絡安全等級保護基本要求》發布
本標準規定了證券期貨業網絡安全等級保護的總體要求,以及第一級到第四級等級保護對象的安全通用要求和安全擴展要求。
9.2021年8月30日,JR/T 0067-2021《證券期貨業網絡安全等級保護測評要求》發布
本標準規定了證券期貨業網絡安全等級保護的等級測評方法、第一級到第四級的網絡安全等級保護對象的測評要求、整體測評以及測評結論。
10. 2021年10月9日,JR/T 0225-2021《保險移動應用信息安全基本要求》發布
本標準規定了保險移動應用系統信息安全風險管理中的安全技術、安全管理方面的基本要求,其中安全技術要求包括移動應用客戶端安全、移動應用服務端安全和業務安全;安全管理要求包括組織架構、安全管理制度和生命周期管理。
02 通信行業
1. 2021年5月17日,YD/T 3865-2021《工業互聯網數據安全保護要求》發布
本標準規定了工業互聯網數據安全保護的范圍及數據類型、工業互聯網數據重要性分級與安全保護等級劃分方法,規定了低/中/高重要性數據在數據產生、傳輸、存儲、使用、遷移及銷毀階段的具體安全保護要求。
2. 2021年5月17日,YD/T 2408-2021《移動智能終端安全能力測試方法》發布
本標準規定了移動智能終端安全能力的測試方法,包括移動智能終端的硬件安全能力、操作系統安全能力、外圍接口安全能力、應用層安全能力和用戶數據保護安全能力等的測試方法。
3. 2021年5月17日,YD/T 3867-2021《基礎電信企業重要數據識別指南》發布
本標準給出了基礎電信企業重要數據的定義、識別規則、識別方法和重要數據安全保護實施指導,并給出了基礎電信企業重要數據示例,為基礎電信企業重要數據安全管理工作提供指導。
4. 2021年5月17日,YD/T 3763.6-2021《研發運營一體化(DevOps)能力成熟度模型 第6部分:安全及風險管理》發布
本標準規定了IT軟件或相關服務在采用研發運營一體化(DevOps)統一開發模式下,如何保障IT軟件和相關服務的安全,并進行風險管理。
5. 2021年12月2日,YD/T 2407-2021《移動智能終端安全能力技術要求》發布
本標準規定了移動智能終端安全能力的技術要求,包括移動智能終端的硬件安全能力、操作系統安全能力、外圍接口安全能力、應用層安全要求和用戶數據保護安全能力等,并對安全能力進行了分級。
6. 2021年12月2日,YD/T 3949-2021《物聯網卡安全管理技術要求》發布
本標準規定了電信企業對物聯網卡安全管理的技術要求,具體包括:行業分類要求、監測模型要求、風險用戶劃分要求。
7. 2021年12月2日,YD/T 3954-2021《云服務用戶數據保護能力參考框架》發布
本標準規范了云計算服務提供者在提供云計算服務時應具備的用戶數據安全保護能力,包括事前防范能力、事中保護能力和事后追溯能力。
8. 2021年12月2日,YD/T 3955-2021《WEB漏洞分類與定義指南》發布
本標準規定了WEB漏洞分類與定義,具體包括WEB漏洞的統一命名、編號和定義,以及詳細分類和定義標準等。
9. 2021年12月2日,YD/T 3956-2021《電信網和互聯網數據安全評估規范》發布
本標準規定了電信服務和互聯網信息服務提供商開展數據安全評估實施流程和數據安全相關管理及技術措施的評估要點。
03 公安行業
1. 2021年6月7日,GA/T 1781-2021《公共安全社會視頻資源安全聯網設備技術要求》發布
本標準規定了公共安全社會視頻資源安全聯網設備的組成、產品分類與標記、一般要求、功能要求、安全要求和性能要求,描述了社會視頻資源安全聯網設備的試驗方法。
2. 2021年8月10日,GA/T 1788.1-2021《公安視頻圖像信息系統安全技術要求 第1部分:通用要求》、GA/T 1788.2-2021《公安視頻圖像信息系統安全技術要求 第2部分:前端設備》、GA/T 1788.3-2021《公安視頻圖像信息系統安全技術要求 第3部分:安全交互》、GA/T 1788.4-2021《公安視頻圖像信息系統安全技術要求 第4部分:安全管理平臺》系列標準發布
· 第1部分通用要求規定了公安視頻圖像信息系統安全的總體技術要求,以及前端接入區、安全交互區、系統應用區、安全管理區的安全技術要求。
· 第2部分前端設備規定了公安視頻圖像信息系統中前端設備的分類與分級說明,以及前端設備安全技術要求。
· 第3部分安全交互規定了公安視頻傳輸網的上下級主干網絡間、主干網與接入網間,以及公安視頻傳輸網與其他網絡互聯的安全交互系統架構、安全等級劃分、安全策略、設備性能要求。
· 第4部分安全管理平臺規定了公安視頻圖像信息系統安全管理平臺的平臺結構、數據采集與接入、數據處理與存儲、安全防護能力、系統管理、級聯管理等技術要求。
04 密碼行業
2021年8月1日,GM/Y 5001-2021《密碼標準使用指南》發布
本標準涵蓋了與密碼技術相關的國家標準與行業標準,按照密碼算法的種類及密碼標準技術體系框架對標準進行了整理歸集。
05 廣電行業
1. 2021年5月31日, GY/T 351-2021《廣播電視和網絡視聽收視綜合評價數據脫敏規則》發布
本標準規定了廣播電視和網絡視聽收視綜合評價數據的脫敏原則、脫敏技術、脫敏流程和脫敏要求。適用于廣播電視和網絡視聽收視綜合評價數據的脫敏。
2. 2021年7月14日,GY/T 352-2021《廣播電視網絡安全等級保護基本要求》發布
本標準規定了廣播電視網絡安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展要求。
天融信深知標準在產業發展中的重要作用,多年來一直積極參與標準研制工作,累計參與已發布網絡安全國家標準、行業標準共計70余項,涉及安全產品、安全管理、安全服務、數據安全、云計算、工業互聯網、車聯網、物聯網等眾多技術領域。未來,天融信將繼續積極參與各項標準的研究、編制、宣貫、試點、應用等工作,為有效發揮標準在網絡空間安全建設中的基礎性、引領性、戰略性作用貢獻力量。
