随着数字化转型的加速,网络空间的重要性日益凸显,网络安全标准已成为保障网络和数据安全、维护网络秩序的重要基石。2024上半年,多项网络安全国家及行业标准陆续发布,得到社会的高度关注。小编整理了2024上半年我国发布的重要网络安全标准,涉及数据分类分级、信息技术安全评估、无线局域网安全、零信任、5g安全、金融安全等众多领域,供大家参考。
国家标准
1. 2024年3月15日,国家标准gb/t 43697-2024《数据安全技术 数据分类分级规则》发布
本标准规定了数据分类分级的基本原则、框架、方法和流程。在数据分类部分,提出先按行业领域再按业务属性进行数据分类的思路,并给出了具体的分类方法;在数据分级部分,提出了确定分级对象、分级要素识别、数据影响分析、综合确定级别的分级方法,并对各环节进行了详细阐述;在分类分级流程部分,分别给出行业领域数据和处理者数据的分类分级流程。
2. 2024年3月15日,国家标准gb/t 15843.4-2024《信息技术 安全技术 实体鉴别 第4部分:采用密码校验函数的机制》发布
本标准修改采用国际标准iso/iec 9798-4:1999(information technology - security techniques - entity authentication - part 4: mechanisms using a cryptographic check function),规定了采用密码校验函数的实体鉴别机制,包括单向鉴别和双向鉴别两种鉴别机制。
3. 2024年3月15日,国家标准gb/t 17903.1-2024《信息技术 安全技术 抗抵赖 第1部分:概述》发布
本标准修改采用国际标准iso/iec 13888-1:2020(information security - non-repudiation - part 1: general),给出了抗抵赖机制的一般模型,作为gb/t 17903的其它部分中规定的使用密码技术的抗抵赖机制的一般模型。
4. 2024年3月15日,国家标准gb/t 17903.3-2024《信息技术 安全技术 抗抵赖 第3部分:采用非对称技术的机制》发布
本标准修改采用国际标准so/iec 13888-3:2020(information security - non-repudiation - part 3: mechanisms using asymmetric techniques),确立了若干特定的抗抵赖机制,用于提供原发抗抵赖、交付抗抵赖、传输抗抵赖和提交抗抵赖。
5. 2024年3月15日,国家标准gb/t 31497-2024《信息技术 安全技术 信息安全管理 监视、测量、分析和评价》发布
本标准等同采用国际标准iso/iec 27004:2016(information technology - security techniques - information security management - monitoring, measurement, analysis and evaluation),规定了信息安全绩效的监视和测量、isms(包括其过程和控制措施)有效性的监视和测量、以及监视和测量结果的分析和评价。
6. 2024年4月25日,国家标准gb/t 18336信息技术安全评估准则系列标准发布
本系列标准针对安全评估中的信息技术(it)产品的安全功能及其保障措施,提供了一套通用的要求,为具有安全功能的it产品的开发、评估以及采购过程提供指导。系列标准共包含5个部分,等同采用国际标准iso/iec 15408:2022(common criteria for information technology security),其中第1部分为简介和一般模型,第2部分为安全功能组件,第3部分为安全保障组件,第4部分为评估方法和活动的规范框架,第5部分为预定义的安全要求包。
7. 2024年4月25日,国家标准gb/t 30270-2024《网络安全技术 信息技术安全评估方法》发布
本标准是gb/t 18336系列标准的配套标准,等同采用国际标准iso/iec 18045:2022(information security,cybersecurity and privacy protection – evaluation criteria for it security – methodology for it security evaluation),描述了在依据iso/iec 15408标准中所定义的准则和评估证据进行评估时,要求评估者执行的最小行为集。
8. 2024年4月25日,国家标准gb/t 33563-2024《网络安全技术 无线局域网客户端安全技术要求》发布
本标准规定了无线局域网客户端的安全功能要求和安全保障要求,给出了无线局域网客户端面临安全问题的说明,适用于无线局域网客户端产品的测试、评估和采购,以及指导该类产品的研制和开发。
9. 2024年4月25日,国家标准gb/t 33565-2024《网络安全技术 无线局域网接入系统安全技术要求》发布
本标准规定了无线局域网接入系统的安全功能要求和安全保障要求,给出了无线局域网接入系统面临安全问题的说明,适用于无线局域网接入系统的测试、评估和采购,以及指导该类产品的研制和开发。
10. 2024年4月25日,国家标准gb/t 43694-2024《网络安全技术 证书应用综合服务接口规范》发布
本标准规定了面向证书应用的综合服务接口要求和定义,描述了相应验证方法,适用于公钥密码基础设施应用技术体系下证书应用中间件和证书应用系统的开发,以及密码应用支撑平台的研制和检测。
11. 2024年4月25日,国家标准gb/t 43696-2024《网络安全技术 零信任参考体系架构》发布
本标准规定了零信任参考体系架构,描述了主体、资源、核心组件和支撑组件以及相互间的关系,其中,核心组件包括策略判决组件、策略执行组件;支撑组件包括任务管理组件、身份管理组件、资源管理组件、环境感知组件和密码服务组件。
12. 2024年4月25日,国家标准gb/t 43698-2024《网络安全技术 软件供应链安全要求》发布
本标准确立了软件供应链安全目标,规定了软件供应链安全风险管理要求和供需双方的组织管理和供应活动管理安全要求,并给出了组织业务场景分类和软件供应链安全图谱的参考。
13. 2024年4月25日,国家标准gb/t 43739-2024《数据安全技术 应用商店的移动互联网应用程序(app)个人信息处理规范性审核与管理指南》发布
本标准给出了应用商店运营者对移动互联网应用程序(app)个人信息处理规范性审核与管理指南,包括应用商店中app的审核与管理流程、应用商店中app个人信息处理活动审核以及应用商店中app个人信息安全管理。
14. 2024年4月25日,国家标准gb/t 43741-2024《网络安全技术 网络安全众测服务要求》发布
本标准描述了网络安全众测服务的角色及其职责,服务流程,以及安全风险,规定了服务要求,包括准备阶段服务要求、实施阶段服务要求和后处理阶段服务要求。
15. 2024年4月25日,国家标准gb/t 43779-2024《网络安全技术 基于密码令牌的主叫用户可信身份鉴别技术规范》发布
本标准规定了在通信中基于密码令牌传输、验证和显示主叫用户可信身份的技术要求,描述了相应的测试评价方法,并给出了可信身份凭证数据内容与格式的asn.1描述和密码令牌数据内容与格式asn.1描述。
16. 2024年4月25日,国家标准gb/t 43844-2024《ipv6地址分配和编码规则 接口标识符》发布
本标准规定了ipv6地址接口标识符的编码规则,适用于互联网接入服务商、应用基础设施服务商、自用网络运营者、网络终端厂商、网络设备厂商等进行网络动态分配ipv6地址时的接口标识符编码与分配。
17. 2024年4月25日,国家标准gb/t 43848-2024《网络安全技术 软件产品开源代码安全评价方法》发布
本标准规定了软件产品中的开源代码成分安全评价要素和评价流程,其中,评价要素包括评价参数、开源代码来源、开源代码安全质量、开源代码知识产权和开源代码管理。
行业标准
通信行业
1. 2024年3月29日,通信行业标准yd/t 4680-2024《电信网和互联网数据安全管控平台技术要求和测试方法》发布
本标准规定了电信网和互联网数据安全管控平台的技术架构,并对集中展示、综合分析、集中配置、集中调度、功能对接等核心能力提出技术要求与测试方法。
2. 2024年3月29日,通信行业标准yd/t 4681-2024《电信网和互联网数据安全风险等级指标与计算方法》发布
本标准规定了电信网和互联网数据安全等级的划分标准与计算模型,构建电信和互联网数据安全风险等级指标体系,同时给出了风险等级评价工作应遵照的原则、流程和方法。
3. 2024年3月29日,通信行业标准yd/t 4682-2024《电信网和互联网数据资产识别与梳理技术测试方法》发布
本标准规定了电信网和互联网数据资产识别及梳理的测试原则、测试准备及测试用例等内容,适用于指导电信网和互联网提供商、运营商、测评机构和监管机构对企业数据资产识别与梳理技术进行测试验证。
4. 2024年3月29日,通信行业标准yd/t 4683-2024《云服务客户信息安全管理指南》发布
本标准提出了云服务客户在公有云服务生命周期各阶段的信息安全管理和防护要求,适用于指导云服务客户安全用云,以及基于其自身的安全管理措施,构建和完善云上系统的信息安全管理机制。
5. 2024年3月29日,通信行业标准yd/t 4684-2024《物联网信息安全管理系统技术要求》和yd/t 4685-2024《物联网信息安全管理系统接口规范》发布
两项标准互为配套,《技术要求》规定了物联网信息安全管理系统的系统架构、系统功能要求、性能要求、系统接口要求及管理要求;《接口规范》规定了物联网平台企业、基础电信企业建设的物联网信息安全管理系统与行业主管部门建设的物联网信息安全监管系统间接口的功能要求、数据通信要求及数据交换格式等。
6. 2024年3月29日,通信行业标准yd/t 4690-2024《隐私计算 多方安全计算产品安全要求和测试方法》发布
本标准规定了基于多方安全计算的隐私计算产品的安全要求和相应的测试方法,包括通用算法协议安全、基础运算算法协议安全、联合统计算法协议安全、隐匿查询算法协议安全、安全求交算法协议安全、特征工程算法协议安全、联合建模算法协议安全、联合预测算法协议安全、密码安全、通信安全、授权认证、系统安全、稳定性、存储安全、日志和存证。
7. 2024年3月29日,通信行业标准yd/t 4691-2024《隐私计算 联邦学习产品安全要求和测试方法》发布
本标准规定了基于联邦学习的隐私计算产品的安全要求和相应的测试方法,包括通用算法协议安全、安全求交算法协议安全、特征工程算法协议安全、联合建模算法协议安全、联合预测算法协议安全、密码安全、通信安全、授权认证、系统安全、稳定性、存储安全、日志和存证。
8. 2024年3月29日,通信行业标准yd/t 4692-2024《隐私计算 联邦学习产品性能要求和测试方法》发布
本标准规定了基于联邦学习的隐私计算产品的性能要求和相应的测试方法,包括技术架构、通用安全、算法安全、安全求交、特征工程、联合建模、联合预测等内容。
9. 2024年3月29日,通信行业标准yd/t 4693-2024《5g多接入边缘计算平台通用安全防护检测要求》发布
本标准规定了5g多接入边缘计算平台按安全防护等级的安全防护检测要求,涉及应用安全、网络安全、设备安全、数据安全、物理环境安全和管理安全。
10. 2024年3月29日,通信行业标准yd/t 4694-2024《5g独立组网(sa)架构核心网安全防护》发布
本标准规定了5g 独立组网(sa)架构核心网在物理环境安全、网络安全、设备安全、软件及业务系统安全、数据安全、管理安全等方面的安全防护要求。
11. 2024年3月29日,通信行业标准yd/t 4695-2024《5g网络运行安全风险与防护要求》发布
本标准规定了5g网络运行防护要求,主要包括5g终端安全防护、5g接入安全防护、5g核心网安全防护、5g边缘计算安全防护、5g应用安全防护以及5g管理安全防护等;分析了5g网络运行安全风险,主要包括5g终端安全风险、5g接入安全风险、5g核心网安全风险、5g边缘计算安全风险以及5g应用安全风险。
12. 2024年3月29日,通信行业标准yd/t 4696-2024《5g业务安全通用防护要求》发布
本标准针对5g典型场景和新技术,分析其业务所涉及的常见安全风险,提出5g网络中的业务安全通用防护要求,适用于电信运营商、系统开发商、业务运营方开展5g业务安全防护工作。
13. 2024年3月29日,通信行业标准yd/t 4697-2024《5g移动通信网虚拟化管理和编排安全防护要求》发布
本标准规定5g移动通信网虚拟化管理和编排按安全保护等级的安全防护要求,涉及应用安全、网络安全、设备安全、数据安全、物理环境安全和管理安全。
14. 2024年3月29日,通信行业标准yd/t 1730-2024《电信网和互联网安全风险评估规范》发布
本标准规定了对电信网和互联网进行安全风险评估的要素及要素之间的关系,风险分析原理、风险评估实施流程,以及风险评估在电信网和互联网及相关系统生命周期不同阶段的实施要点。
15. 2024年3月29日,通信行业标准yd/t 4698-2024《运营商网络能力开放安全通用要求》发布
本标准描述了运营商网络能力开放架构,并面向不同的开放场景提出了通用安全要求,包括网络能力开放架构网络部署安全要求、网络能力开放通信安全要求、网络能力开放接口安全要求、数据和资源安全要求、运维和监控安全要求。
16. 2024年3月29日,通信行业标准yd/t 4699-2024《基于大数据的经营分析应用系统安全技术要求》发布
本标准规定了基于大数据的经营分析应用系统安全防护体系,主要包括大数据平台自身安全防护要求、系统内部安全要求以及系统外部安全要求。
17. 2024年3月29日,通信行业标准yd/t 4700-2024《网络空间安全仿真 安全技术效能评估方法》发布
本标准规定了安全技术效能评估的技术要求、系统要求以及评估指标,适用于网络空间安全仿真平台中所涉及的各项安全技术的效能评估。
18. 2024年3月29日,通信行业标准yd/t 4704-2024《网络空间安全仿真 网络安全检测指南》发布
本标准提供了网络空间安全仿真平台运行过程中涉及到的主要安全威胁的检测指南,包括流量检测、文件安全检测、系统行为检测和邮件安全检测。
19. 2024年3月29日,通信行业标准yd/t 4598.1-2024《面向云计算的零信任体系 第1部分:总体架构》发布
本标准规定了面向云计算的零信任体系总体架构,包括建设责任、设计原则、总体架构概述及其组成,适用于云服务客户基于零信任理念建设云化安全防护架构的规划与设计。
20. 2024年3月29日,通信行业标准yd/t 4711-2024《移动网络对受感染终端管控技术要求》发布
本标准规定了运营商在网络侧发现、治理受感染终端以及进行信息共享的技术要求,适用于移动网络运营商对受感染移动终端的管理。
21. 2024年3月29日,通信行业标准yd/t 4712-2024《域名系统解析数据加密传输技术要求》发布
本标准规定了域名系统解析数据加密传输技术的协议设计规范和部署要求,适用于域名系统中的解析数据传输,包括用户到递归域名服务(dns)服务器之间的数据传输,以及用户直接访问权威dns服务器之间的数据传输。
22. 2024年3月29日,通信行业标准yd/t 4713-2024《工业互联网 安全测试评估环境 参考架构》发布
本标准规定了工业互联网安全测试评估环境的总则、安全仿真系统、测评管理控制系统、安全验证系统,适用于能源、化工、烟草、制造等行业的工业互联网安全测试评估环境的设计、测试与评估。
23. 2024年3月29日,通信行业标准yd/t 4714-2024《5g网络安全态势感知系统技术要求》发布
本标准规定了5g网络安全态势感知系统的技术要求,主要包括5g网络安全态势感知系统的技术框架、功能要求、安全要求等。
24. 2024年3月29日,通信行业标准yd/t 4715-2024《互联网新技术新业务安全评估要求 基于5g场景的业务》发布
本标准规定了基于5g场景的业务安全评估要求,包括评估框架和增强移动宽带(embb)场景、超高可靠超低时延通信(urllc)场景、大规模机器类型通信(mmtc)场景、边缘计算、云化基础设施、网络切片的安全评估要求。
25. 2024年3月29日,通信行业标准yd/t 4716-2024《网络流量分析与检测响应产品技术规范》发布
本标准规定了网络流量分析与检测响应产品(包括具有网络流量分析与检测响应功能的产品)的技术要求、测试检验和评价方法。
金融行业
1. 2024年1月15日,金融行业标准jr/t 0285-2024《基于数字证书的移动终端金融安全身份认证规范》发布
本标准规定了基于数字证书的移动终端金融安全身份认证的服务描述、移动终端生命周期管理、服务生命周期管理、密钥管理、安全及功能、风险控制和运营管理的要求。
2. 2024年1月15日,3项金融行业标准jr/t 0289-2024《金融业开源技术 术语》、jr/t 0290-2024《金融业开源软件应用 管理指南》、jr/t 0291-2024《金融业开源软件应用 评估规范》发布
《术语》统一了金融机构对开源技术相同名词的表述;《管理指南》提供了金融机构在应用开源软件时的全流程管理指南,对开源软件的使用和管理提供了配套组织架构、配套管理规章制度、生命周期流程管理、风险管理、存量管理、工具化管理等方面的指导;《评估规范》规定了金融机构在应用开源软件时的评估要求,对开源软件的引入、维护和退出提出了实现要求、评估方法和判定准则。
3. 2024年1月15日,金融行业标准jr/t 0299-2024《个人征信电子授权安全技术指南》发布
本标准提供了个人征信电子授权安全技术指南,包括个人征信电子授权机制、线上有效鉴别个人身份、签发数字证书、签署有效征信授权电子协议、存证有效征信授权电子数据、数据安全、个人信息保护等内容。
作为中国网络安全领军企业,天融信一直高度重视网络安全标准化工作,累计参与制定国家标准108项,已发布74项,累计参与制定行业标准、团体标准、地方标准300余项,已发布151项。未来,天融信将继续推动网络安全领域标准研制和应用推广工作,为各行业客户提供符合标准的网络安全产品和服务,助力网络安全产业高质量发展。