隨著數(shù)字技術(shù)的發(fā)展和應(yīng)用，標(biāo)準(zhǔn)作為貫穿各領(lǐng)域間的技術(shù)規(guī)則，其重要性日益凸顯。近年來，在國家標(biāo)準(zhǔn)化管理委員會及網(wǎng)信辦、工信部、公安部、國家密碼管理局、國家認(rèn)監(jiān)委等部委的指導(dǎo)和支持下，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作取得了極大的進展，全國信安標(biāo)委、各行業(yè)標(biāo)委會陸續(xù)發(fā)布了多項網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)。

本文整理了2022上半年我國發(fā)布的重要網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，包含19項國家標(biāo)準(zhǔn)、11項行業(yè)標(biāo)準(zhǔn)，覆蓋基礎(chǔ)通用、安全產(chǎn)品、安全管理、安全技術(shù)等多個領(lǐng)域，供大家參考。

01 國家標(biāo)準(zhǔn)

1. 2022年3月9日，GB/T 25069-2022《信息安全技術(shù) 術(shù)語》發(fā)布

本標(biāo)準(zhǔn)界定了信息安全技術(shù)領(lǐng)域中基本或通用概念的術(shù)語和定義，并對條目進行分類，是信息安全領(lǐng)域的重要基礎(chǔ)性標(biāo)準(zhǔn)，也是所有信息安全人員在信息安全領(lǐng)域中進行溝通交流、開展研究工作和項目實施的基本工具。

2. 2022年3月9日，GB/T 20278-2022《信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品安全技術(shù)要求和測試評價方法》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)脆弱性掃描產(chǎn)品的安全技術(shù)要求和測試評價方法，其中安全技術(shù)要求分為基礎(chǔ)級和增強級，內(nèi)容包括安全功能要求、自身安全保護要求、環(huán)境適應(yīng)性要求、安全保障要求。

3. 2022年3月9日，GB/Z 41290-2022《信息安全技術(shù) 移動互聯(lián)網(wǎng)安全審計指南》發(fā)布

本標(biāo)準(zhǔn)定義了移動互聯(lián)網(wǎng)安全審計活動的概念，描述了移動互聯(lián)網(wǎng)安全審計活動中的角色職責(zé)、審計范圍和審計內(nèi)容，給出安全審計活動的框架、功能任務(wù)以及各功能任務(wù)的具體指南。

4. 2022年3月9日，GB/Z 41288-2022《信息安全技術(shù) 重要工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護導(dǎo)則》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了重要工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護的基本原則、安全防護技術(shù)、應(yīng)急備用措施和安全管理等要求，以建立重要工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全防護體系。

5. 2022年3月9日，GB/T 41241-2022《核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理要求》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全方面的管理、技術(shù)防護和應(yīng)急管理的要求，并給出核電廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全定級說明。

6. 2022年3月9日，GB/T 41260-2022《數(shù)字化車間信息安全要求》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了數(shù)字化車間信息安全總則、管理要求和技術(shù)要求等，給出數(shù)字化車間信息安全常見威脅源、典型機械制造行業(yè)數(shù)字化車間信息安全示例，并提出數(shù)字化車間信息安全增強要求。

7. 2022年3月9日，GB/T 41267-2022《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 交換機設(shè)備》、GB/T 41266-2022《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測方法 交換機設(shè)備》發(fā)布

兩項標(biāo)準(zhǔn)互為配套，一個規(guī)定了列入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄的交換機設(shè)備的安全功能要求和安全保障要求。另一個則給出了安全功能要求和安全保障要求對應(yīng)的安全檢測和評估方法。其中，安全功能要求包括設(shè)備標(biāo)識安全、冗余、備份恢復(fù)與異常檢測、漏洞與缺陷管理、預(yù)裝軟件啟動及更新安全、默認(rèn)狀態(tài)安全、抵御常見攻擊能力、用戶身份標(biāo)識與鑒別安全、訪問控制安全、日志審計安全、通信安全、數(shù)據(jù)安全和密碼要求。

8. 2022年3月9日，GB/T 41269-2022《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全技術(shù)要求 路由器設(shè)備》、GB/T 41268-2022《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全檢測方法 路由器設(shè)備》發(fā)布

兩項標(biāo)準(zhǔn)互為配套，一個規(guī)定了列入網(wǎng)絡(luò)關(guān)鍵設(shè)備目錄的路由器設(shè)備的安全功能要求和安全保障要求。另一個則給出了安全功能要求和安全保障要求對應(yīng)的安全檢測和評估方法。其中，安全功能要求包括設(shè)備標(biāo)識安全、冗余、備份恢復(fù)與異常檢測、漏洞與缺陷管理、預(yù)裝軟件啟動及更新安全、默認(rèn)狀態(tài)安全、抵御常見攻擊能力、用戶身份標(biāo)識與鑒別安全、訪問控制安全、日志審計安全、通信安全、數(shù)據(jù)安全和密碼要求。

9. 2022年3月9日，GB/T 41274-2022《可編程控制系統(tǒng)內(nèi)生安全體系架構(gòu)》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了可編程控制系統(tǒng)內(nèi)生安全體系架構(gòu)，描述可編程控制系統(tǒng)內(nèi)生安全的目標(biāo)和各單元模塊的相關(guān)安全需求，規(guī)定可編程控制系統(tǒng)的內(nèi)生安全要求。其中，可編程控制系統(tǒng)內(nèi)生安全的目標(biāo)為保障可編程控制系統(tǒng)的完整性，各單元模塊的相關(guān)安全需求包括全生命周期安全保護、綜合診斷與高可用實現(xiàn)等。

10. 2022年4月15日，GB/T 41387-2022《信息安全技術(shù) 智能家居通用安全規(guī)范》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了智能家居安全通用技術(shù)要求，包括智能家居終端、智能家居網(wǎng)關(guān)、智能家居控制端、智能家居應(yīng)用服務(wù)平臺的安全要求，以及對應(yīng)的安全測試評價方法。

11. 2022年4月15日，GB/T 41388-2022《信息安全技術(shù) 可信執(zhí)行環(huán)境 基本安全規(guī)范》發(fā)布

本標(biāo)準(zhǔn)確立了可信執(zhí)行環(huán)境系統(tǒng)整體技術(shù)架構(gòu)，描述了可信執(zhí)行環(huán)境基礎(chǔ)要求、可信虛擬化系統(tǒng)、可信操作系統(tǒng)、可信應(yīng)用與服務(wù)管理、跨平臺應(yīng)用中間件等主要內(nèi)容及其測試評價方法。

12. 2022年4月15日，GB/T 41389-2022《信息安全技術(shù) SM9密碼算法使用規(guī)范》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了SM9密碼算法的使用要求，描述了密鑰、加密與簽名的數(shù)據(jù)格式，主體內(nèi)容包括SM9的密鑰對、技術(shù)要求、證實方法，并在附錄中提供了數(shù)據(jù)格式編碼測試用例。

13. 2022年4月15日，GB/T 41391-2022《信息安全技術(shù) 移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個人信息基本要求》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了App收集個人信息的基本要求，包括最小必要收集、必要個人信息、特定類型個人信息、告知同意、系統(tǒng)權(quán)限、第三方收集管理及其他要求，并給出了常見服務(wù)類型App必要個人信息范圍和使用要求。

14. 2022年4月15日，GB/T 41400-2022《信息安全技術(shù) 工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》發(fā)布

本標(biāo)準(zhǔn)給出了工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型，規(guī)定核心保護對象安全和通用安全的成熟度等級要求，提出了能力成熟度等級核驗方法。

15. 2022年4月15日，GB/T 41479-2022《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等數(shù)據(jù)處理的安全技術(shù)與管理要求。同時，本標(biāo)準(zhǔn)被作為數(shù)據(jù)安全管理認(rèn)證的依據(jù)。

16. 2022年4月15日，GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險評估方法》發(fā)布

本標(biāo)準(zhǔn)描述了信息安全風(fēng)險評估的基本概念、風(fēng)險要素關(guān)系、風(fēng)險分析原理、風(fēng)險評估實施流程和評估方法，以及風(fēng)險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。

17. 2022年4月15日，GB/T 29829-2022《信息安全技術(shù) 可信計算密碼支撐平臺功能與接口規(guī)范》發(fā)布

本標(biāo)準(zhǔn)給出了可信計算密碼支撐平臺的體系框架和功能原理，規(guī)定了可信密碼模塊的接口規(guī)范，描述了對應(yīng)的證實方法。

18. 2022年4月15日，GB/T 30283-2022《信息安全技術(shù) 信息安全服務(wù) 分類與代碼》發(fā)布

本標(biāo)準(zhǔn)描述了信息安全服務(wù)的分類與代碼，主要包括信息安全咨詢類、信息安全設(shè)計與開發(fā)類、信息安全集成類、信息安全運營類、信息的安全處理與存儲類、信息安全測評與認(rèn)證類及其他類七個方面。

19. 2022年4月15日，GB/T 31506-2022《信息安全技術(shù) 政務(wù)網(wǎng)站系統(tǒng)安全指南》發(fā)布

本標(biāo)準(zhǔn)給出了在對政務(wù)網(wǎng)站系統(tǒng)實施安全防護時可采取的安全技術(shù)措施和安全管理措施，并提供了政務(wù)網(wǎng)站系統(tǒng)基本結(jié)構(gòu)、政務(wù)網(wǎng)站系統(tǒng)安全措施級別選擇、安全措施分級表等內(nèi)容。

02 行業(yè)標(biāo)準(zhǔn)

通信行業(yè)

1. 2022年4月24日，YD/T 2388-2022《網(wǎng)絡(luò)脆弱性指數(shù)評估方法 》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)脆弱性指數(shù)評估方法，包括網(wǎng)絡(luò)脆弱性指數(shù)評估體系、網(wǎng)絡(luò)脆弱性特征定義以及網(wǎng)絡(luò)脆弱性分類，并給出了網(wǎng)絡(luò)脆弱性指數(shù)計算方法。

2. 2022年4月24日，YD/T 2389-2022《網(wǎng)絡(luò)威脅指數(shù)評估方法》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)威脅的量化評估方法，包括網(wǎng)絡(luò)威脅指數(shù)評估體系、網(wǎng)絡(luò)事件分類及特征確定，并給出了網(wǎng)絡(luò)威脅指數(shù)計算方法。

3. 2022年4月24日，YD/T 4063-2022《基于協(xié)議的DDoS攻擊定義與分類》發(fā)布

本標(biāo)準(zhǔn)基于網(wǎng)絡(luò)協(xié)議類型、按體系化架構(gòu)對DDoS攻擊進行分類的框架定義，并對DDoS攻擊的命名進行了標(biāo)準(zhǔn)化格式定義，以及規(guī)定了DDoS攻擊所屬類型及在告警中應(yīng)進行上報的字段。

4. 2022年4月24日，YD/T 4060-2022《云計算安全責(zé)任共擔(dān)模型》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了公有云場景下安全責(zé)任共擔(dān)模型，包括云計算安全責(zé)任共擔(dān)主體、云計算安全責(zé)任共擔(dān)模型、云服務(wù)提供者和云服務(wù)客戶安全責(zé)任。

5. 2022年4月24日，YD/T 4059-2022《混合云平臺安全能力要求》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了混合云平臺的安全能力要求，分為一般級安全要求和增強級安全要求，主要包括公有云安全、私有云安全和跨云安全。

6. 2022年4月24日，YD/T 4058-2022《電信網(wǎng)和互聯(lián)網(wǎng)安全防護基線配置要求和檢測要求 大數(shù)據(jù)組件》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)中所使用大數(shù)據(jù)服務(wù)在安全配置方面的基本要求及檢測要求，特別是大數(shù)據(jù)采集組件、大數(shù)據(jù)處理組件、大數(shù)據(jù)存儲組件及其基礎(chǔ)設(shè)施、網(wǎng)絡(luò)系統(tǒng)在安全配置方面的基本要求及檢測要求。

7. 2022年4月24日，YD/T 4057-2022《電信網(wǎng)和互聯(lián)網(wǎng)大數(shù)據(jù)平臺安全防護檢測要求》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了大數(shù)據(jù)平臺安全防護的檢測范圍、對象、環(huán)境、方式，并按照相應(yīng)的安全防護等級給出測試方法，將大數(shù)據(jù)平臺安全等級共分為5級。

8. 2022年4月24日，YD/T 4056-2022《5G多接入邊緣計算平臺通用安全防護要求》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了5G多接入邊緣計算平臺安全防護等級的安全防護要求，涉及應(yīng)用安全、網(wǎng)絡(luò)安全、設(shè)備安全、數(shù)據(jù)安全、物理環(huán)境安全和管理安全。

9. 2022年4月24日，YD/T 4055-2022《電信網(wǎng)和互聯(lián)網(wǎng)區(qū)塊鏈基礎(chǔ)設(shè)施安全防護要求》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)區(qū)塊鏈基礎(chǔ)設(shè)施安全保護等級的安全防護要求，涉及業(yè)務(wù)服務(wù)安全、網(wǎng)絡(luò)安全、設(shè)備安全、物理環(huán)境安全和管理安全。

交通運輸行業(yè)

1. 2022年6月9日，JT/T 1417-2022《交通運輸行業(yè)網(wǎng)絡(luò)安全等級保護基本要求》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了交通運輸行業(yè)網(wǎng)絡(luò)安全等級保護的通則，以及第一級至第四級的網(wǎng)絡(luò)安全要求，可用于交通運輸行業(yè)網(wǎng)絡(luò)安全的規(guī)劃設(shè)計、安全建設(shè)和監(jiān)督管理。

2. 2022年6月9日，JT/T 1418-2022《交通運輸網(wǎng)絡(luò)安全監(jiān)測預(yù)警系統(tǒng)技術(shù)規(guī)范》發(fā)布

本標(biāo)準(zhǔn)規(guī)定了交通運輸網(wǎng)絡(luò)安全監(jiān)測預(yù)警系統(tǒng)的系統(tǒng)架構(gòu)、功能要求、性能要求、展示要求、接口要求、安全要求與運行管理。

一直以來，天融信積極參與網(wǎng)絡(luò)安全標(biāo)準(zhǔn)研制工作，累計參與并已發(fā)布的網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)共計80余項，涉及安全產(chǎn)品、安全服務(wù)、安全管理、數(shù)據(jù)安全、云計算、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)等眾多技術(shù)領(lǐng)域。在應(yīng)用實踐方面，天融信始終把標(biāo)準(zhǔn)作為自主創(chuàng)新內(nèi)在要求，并及時將先進適用技術(shù)創(chuàng)新成果融入標(biāo)準(zhǔn)，提升標(biāo)準(zhǔn)水平。

TOPSEC

未來，天融信將繼續(xù)勇?lián)厝?，積極參與各項標(biāo)準(zhǔn)的研究、編制、宣貫、試點、應(yīng)用等工作，為有效發(fā)揮標(biāo)準(zhǔn)在網(wǎng)絡(luò)空間治理和產(chǎn)業(yè)生態(tài)建設(shè)中的基礎(chǔ)性、引領(lǐng)性、戰(zhàn)略性作用貢獻力量。