近年来,我国加快推进网络安全领域顶层设计,网络安全政策法规体系的“四梁八柱”已经基本建立,网络安全标准体系日益完善,有力推动网络安全事业高质量发展,为强国建设、民族复兴提供坚强保障。小编为大家整理了2024年第三季度国内网络安全相关重要政策文件和标准,供大家参考。
第一部分:政策
1. 2024年7月2日,工信部、中央网信办、国家发改委、国标委联合发布《国家人工智能产业综合标准化体系建设指南(2024版)》(工信部联科〔2024〕113号)
《建设指南》明确人工智能标准体系框架主要由基础共性、基础支撑、关键技术、智能产品与服务、赋能新型工业化、行业应用、安全/治理等7个部分组成,其中,安全标准主要是规范人工智能技术、产品、系统、应用、服务等全生命周期的安全要求,包括基础安全,数据、算法和模型安全,网络、技术和系统安全,安全管理和服务,安全测试评估,安全标注,内容标识,产品和应用安全等标准。
2. 2024年7月10日,工信部办公厅、中央网信办秘书局联合发布《关于开展“网络去nat”专项工作 进一步深化ipv6部署应用的通知》(工信厅联通信函〔2024〕263号)
《通知》部署了五方面工作任务,一是细化工作方案,有序实现网络升级;二是紧抓关键环节,持续拓宽ipv6通路;三是深化应用改造,主动引导流量迁移;四是强化运行维护,做好网络安全监测和应急处置,确保网络安全稳定;五是加强督促评测,促进工作实效落地。
3. 2024年7月19日,国家密码管理局发布《国家密码管理局商用密码随机抽查事项清单(2024年版)》(国家密码管理局公告 第47号)
《清单》明确了商用密码产品检测、商用密码应用安全性评估、商用密码应用、电子认证服务使用密码、电子政务电子认证服务等抽查事项,并列出了抽查内容、抽查依据、抽查主体、抽查对象、抽查比例和频次,以及抽查方式。
4. 2024年7月22日,国务院发布《中华人民共和国保守国家秘密法实施条例》(国令第786号)
《条例》进一步落实了2024年2月修订发布的《中华人民共和国保守国家秘密法》有关规定,其中要求机关、单位应当承担涉密数据安全保护责任,涉密数据收集、存储、使用、加工、传输、提供等处理活动应当符合国家保密规定,并防范数据汇聚、关联引发的泄密风险,对汇聚、关联后属于国家秘密事项的数据依法加强安全管理,落实安全保密防控措施。
5. 2024年7月25日,国家发改委就《电力监控系统安全防护规定》(征求意见稿)》公开征集意见
《规定》明确电力监控系统安全防护应当落实国家网络安全等级保护制度和关键信息基础设施安全保护制度,坚持“安全分区、网络专用、横向隔离、纵向认证”结构安全原则,强化安全免疫、态势感知、动态评估和备用应急措施,构建持续发展完善的防护体系。
6. 2024年7月26日,公安部、国家网信办就《国家网络身份认证公共服务管理办法(征求意见稿)》公开征集意见
《管理办法》明确了使用“网号”“网证”进行网络身份认证的方式,并对“网号”“网证”的申领条件、公共服务的使用场景、法定身份证件范围、数据和个人信息安全保护义务,以及未成年人的特殊保护等事项作出规定。
7. 2024年7月26日,自然资源部发布《关于加强智能网联汽车有关测绘地理信息安全管理的通知》
《通知》要求地理信息数据必须存储于境内,所使用的存储设备、网络和云服务等必须符合国家有关安全和保密要求,必须落实数据出境安全评估等有关规定。健全智能网联汽车地理信息安全风险防控体系,组织研发地理信息保密处理、及时预警与处置等技术,建立完善分类分级、安全风险评估等管理制度和地理信息安全风险监测预警机制。
8. 2024年8月7日,财政部发布《会计信息化工作规范》(财会〔2024〕11号)
《工作规范》要求单位会计信息化工作应依法防范风险,落实等级保护制度,采取技术措施保障会计信息系统的网络安全和数据安全,并对数据出境、个人信息保护、人工智能应用等提出相关要求。
9. 2024年8月21日,中央网信办、工信部联合发布《全国重点城市ipv6流量提升专项行动工作方案》
《工作方案》提出六大工作任务,分别是深入开展ipv6网络流量分析、推动大型互联网应用ipv6放量引流、提升家庭终端ipv6连通水平、推动政企机构加快普及使用ipv6、强化数据中心ipv6升级改造和提高云服务平台ipv6服务能力,面向的重点城市包括北京市、天津市、上海市、深圳市、杭州市、合肥市、无锡市、烟台市。
10. 2024年8月26日,工信部、国标委联合发布《物联网标准体系建设指南(2024版)》(工信部联科函〔2024〕206号)
《建设指南》提出基础标准包括安全可信方向,主要用于规范物联网终端、网络、平台(系统)、网关等关键构成部分的安全、可信要求及保障措施,包括物联网安全架构、安全分级、终端安全、传输安全、数据安全、平台(系统)安全、安全管理等标准;物联网可信架构、可信分级、身份可信、数据可信、系统可信等标准。
11. 2024年9月4日,工信部、中央网信办、教育部等十一部门联合发布《关于推动新型信息基础设施协调发展有关事项的通知》(工信部联通信〔2024〕165号)
《通知》明确新型信息基础设施是以信息网络为基础,以新一代信息通信技术创新为驱动,为经济社会数字化转型提供感知、传输、存储、计算等基础性数字公共服务的基础设施体系,并提出基础电信企业要加强网络安全设施与信息基础设施协同建设。相关企业要配合开展网络安全能力成熟度评价,要建立健全数据安全管理制度,强化重要数据识别备案和分级防护,提升网络和数据安全保障能力。
12. 2024年9月6日,国家网信办发布《国家信息化发展报告(2023年)》
《报告》提出,2024年,要切实把信息化工作融入到改革发展大局中,扎实推动相关改革任务落地见效:一是聚焦高水平科技自立自强;二是聚焦发展新质生产力;三是聚焦保障和改善民生;四是聚焦提高党的领导水平和长期执政能力;五是聚焦统筹高质量发展和高水平安全,不断优化信息化发展环境。
13. 2024年9月10日,全国网安标委发布《人工智能安全治理框架》1.0版
《框架》按照风险管理的理念,紧密结合人工智能技术特性,分析人工智能风险来源和表现形式,针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险,提出相应技术应对和综合防治措施,以及人工智能安全开发应用指引。
14. 2024年9月10日,国家网信办、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局联合发布《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》(2024年第1号)
《实施指引》明确粤港澳大湾区个人信息处理者及接收方应通过订立标准合同的方式进行粤港澳大湾区内内地和澳门之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。
15. 2024年9月10日,国家密码管理局发布《电子政务电子认证服务管理办法》(国家密码管理局令第4号)
《管理办法》明确电子政务电子认证服务,是指采用商用密码技术为政务活动提供电子签名认证服务,保证电子签名的真实性和可靠性的活动。从事电子政务电子认证服务的机构,应当经国家密码管理局认定,依法取得电子政务电子认证服务机构资质。
16. 2024年9月14日,国家网信办就《人工智能生成合成内容标识办法(征求意见稿)》公开征集意见
《标识办法》明确人工智能生成合成内容是指利用人工智能技术制作、生成、合成的文本、图片、音频、视频等信息。服务提供者提供的生成合成服务属于《互联网信息服务深度合成管理规定》第十七条第一款情形的,应当对生成合成内容添加显式标识。
17. 2024年9月27日,国家数据局就《关于促进企业数据资源开发利用的意见》公开征集意见
《意见》在培育企业数字化竞争力方面,鼓励企业针对不同敏感级别的数据和数据处理场景,采取差异化的数据安全与合规管理措施,优化对同类型数据处理行为的内部合规审批流程。鼓励企业采用数据空间、区块链、隐私计算、匿名化等技术模式,促进数据安全流动和开发利用。
18. 2024年9月27日,国家数据局就《关于促进数据产业高质量发展的指导意见》公开征集意见
《指导意见》提出要提高数据领域动态安全保障能力,包括支持企业创新数据分类分级、隐私保护、安全监测、应急处置等数据安全产品和服务;建立健全数据安全风险识别、监测预警、应急处置等相关规范,落实数据流通利用全过程相关主体的安全责任。
19. 2024年9月29日,中国钢铁工业协会、中国计算机行业协会、中国通信标准化协会、工业信息安全产业发展联盟等十七家行业组织就《工业和信息化领域数据安全合规指引(征求意见稿)》公开征集意见
《合规指引》从数据分类分级、数据安全管理体系、数据全生命周期保护、数据安全风险监测预警、数据安全事件应急处置、数据安全风险评估、数据出境、数据交易等八个方面分别给出了数据安全合规建设方法,指导工业和信息化领域数据处理者合法合规开展数据处理活动,履行数据安全保护义务,保障数据安全。
20. 2024年9月30日,《网络数据安全管理条例》(中华人民共和国国务院令 第790号)正式发布
《条例》旨在规范网络数据处理活动,保障网络数据安全,促进网络数据的合法有效利用,保护个人和组织的合法权益,维护国家安全和公共利益。该条例自2025年1月1日起施行,适用于在中国境内及境外处理中国境内自然人个人信息的活动,以及损害中国国家安全、公共利益或公民、组织合法权益的境外网络数据处理活动。
第二部分:标准
01 国家标准
1. 2024年7月24日,国家标准gb/t 44219-2024《电力需求响应系统安全防护技术要求》发布
本标准确立了电力需求响应系统的安全防护通则和安全防护技术体系,规定了电力需求响应系统的基础设施安全要求、体系结构安全要求、系统本体安全要求及可信安全免疫要求。
2. 2024年8月23日,国家标准gb/t 44464-2024《汽车数据通用要求》发布
本标准规定了汽车产品在研发设计和生产制造过程中产生和收集的数据的一般要求、个人信息保护要求、重要数据保护要求、审核评估及试验要求,描述了相应的实验方法。
3. 2024年8月23日,强制性国家标准gb 44495-2024《汽车整车信息安全技术要求》发布
本标准规定了汽车信息安全管理体系要求、信息安全基本要求、信息安全技术要求及同一型式判定,描述了相应的检查与试验方法,适用于m类、n类及至少装有1个电子控制单元的o类车辆。
4. 2024年8月23日,强制性国家标准gb 44496-2024《汽车软件升级通用技术要求》发布
本标准规定了汽车软件升级的管理体系要求、车辆要求、同一型式判定、机动车产品使用说明书,描述了相应的试验方法,适用于具备软件升级功能的m类、n类和o类车辆。
5. 2024年9月29日,国家标准gb/t 44462《工业互联网企业网络安全》系列标准发布
本次发布的系列标准包含《第1部分:应用工业互联网的工业企业防护要求》《第2部分:平台企业防护要求》《第3部分:标识解析企业防护要求》,分别针对应用工业互联网的工业企业、工业互联网平台企业、标识解析企业提出了开展网络安全分类分级防护工作需要落实的安全防护要求。
6. 2024年9月29日,国家标准gb/t 15843.2-2024《网络安全技术 实体鉴别 第2部分:采用鉴别式加密的机制》发布
本标准修改采用国际标准iso/iec 9798-2:2019《信息技术 安全技术 实体鉴别 第2部分:采用鉴别式加密的机制》,规定了采用可鉴别的加密技术实现实体鉴别的机制,并给出了指定机制的对象标识符。
7. 2024年9月29日,国家标准gb/t 15852.2-2024《网络安全技术 消息鉴别码 第2部分:采用专门设计的杂凑函数的机制》发布
本标准修改采用国际标准iso/iec 9797-2:2021《信息安全 消息鉴别码 第2部分:采用专用杂凑函数的机制》,规定了采用专门设计的杂凑函数的消息鉴别码(mac)的用户使用要求,提供了3种采用专门设计的杂凑函数的消息鉴别码算法。
8. 2024年9月29日,国家标准gb/t 18238《网络安全技术 杂凑函数》系列标准发布
本系列标准修改采用国际标准iso/iec 10118系列标准。包含《第1部分:总则》《第2部分:采用分组密码的杂凑函数》《第3部分:专门设计的杂凑函数》,其中:
第1部分规定了杂凑函数的要求和通用模型,描述了杂凑运算的四个步骤,并给出了通用模型的使用方法;第2部分规定了三种采用(n比特)分组密码的杂凑函数,第一种杂凑函数提供长度不大于n比特的杂凑值,第二种杂凑函数提供2n比特的杂凑值,第三种杂凑函数提供3n比特的杂凑值;第3部分规定了专门设计的杂凑函数,规定的杂凑函数迭代使用轮函数。
9. 2024年9月29日,国家标准gb/t 20279-2024《网络安全技术 网络和终端隔离产品技术规范》发布
本标准规定了网络和终端隔离产品的分类、级别划分、安全技术要求及测评方法,适用于网络和终端隔离产品的设计、开发与测试。
10. 2024年9月29日,国家标准gb/t 22081-2024《网络安全技术 信息安全控制》发布
本标准等同采用国际标准iso/iec 27002:2022《信息安全、网络安全和隐私保护 信息安全控制》,提供了一套通用信息安全控制参考集,包括实施指南,适用于组织基于gb/t 22080实施信息安全管理体系(isms)、基于国际公认最佳实践实施信息安全控制,以及组织编制其自身的信息安全管理指南。
11. 2024年9月29日,国家标准gb/t 29244-2024《网络安全技术 办公设备安全规范》发布
本标准规定了办公设备的安全技术要求、测评方法及安全等级划分,其中安全技术要求包括安全功能要求和安全保障要求,适用于办公设备的安全采购、测评、维护和管理。
12. 2024年9月29日,国家标准gb/t 44588-2024《数据安全技术 互联网平台及产品服务个人信息处理规则》发布
本标准规定了互联网平台及产品服务个人信息处理规则的编制程序、具体内容、发布形式,增加个人信息处理规则的可读性、透明性,以及处理规则相关的争议纠纷等方面的要求。
13. 2024年9月29日,国家标准gb/t 44602-2024《网络安全技术 智能门锁网络安全技术规范》发布
本标准规定了联网智能门锁系统中的智能门锁终端、接入网关、管理平台、控制端应用app各组成部分以及通信连接网络的安全技术要求,并给出了测试方法及安全等级划分,适用于智能门锁系统的网络安全设计、实现和测试。
02 行业标准
1. 2024年7月5日,通信行业标准yd/t 3867-2024《电信领域重要数据识别指南》发布
本标准规定了电信领域重要数据识别的原则、规则、要素及方法等,适用于指导电信数据处理者开展电信领域重要数据识别工作,数据处理者根据本文件识别出重要数据后,可依据相关政策文件进一步识别核心数据。
2. 2024年7月5日,通信行业标准yd/t 3956-2024《电信领域数据安全风险评估规范》发布
本标准规定了电信领域数据安全风险评估的原则、流程、方法及工具等,适用于电信领域重要数据和核心数据处理者在中华人民共和国境内开展数据处理活动的数据安全风险评估,电信领域一般数据处理者对其数据处理活动的数据安全风险评估,也可参照本标准。
3. 2024年7月5日,通信行业标准yd/t 4945-2024《电信网和互联网数据溯源技术规范》发布
本标准规定了电信网和互联网数据溯源的技术要求与测试方法,适用于指导电信网和互联网开展数据溯源能力建设及管理,也适用于监管部门、第三方机构等组织对数据溯源能力进行监督和评估。
4. 2024年7月5日,通信行业标准yd/t 4946-2024《电信网和互联网数据水印技术要求与测试方法》发布
本标准规定了电信网和互联网数据水印的技术架构,并对安全功能、自身安全等核心能力提出技术要求与测试方法,适用于电信网和互联网数据与数字水印的嵌入和溯源工作,水印技术能力的设计、研发、测试、评估和验收等。
5. 2024年7月5日,通信行业标准yd/t 4947-2024《隐私计算 可信执行环境产品安全要求》发布
本标准规定了基于可信执行环境的隐私计算产品的安全要求,包括计算环境安全、计算过程安全、数据安全、密码安全、通信安全、平台通用安全、稳定性、日志与存证等内容。
6. 2024年7月5日,通信行业标准yd/t 4949-2024《电子政务数据安全流通中的贡献度评估技术指南》发布
本标准提供了电子政务数据安全流通中的贡献度评估技术指南,主要包括电子政务数据流通中的脱敏数据贡献度评估、电子政务数据流通中的脱敏数据公平性保障等内容。
7. 2024年7月5日,通信行业标准yd/t 4952-2024《电信网和互联网数据合作安全管理指南 》发布
本标准明确了在数据合作过程中电信网和互联网组织机构宜遵循的安全管理原则和采取的安全管理措施,以及组织机构宜对外部机构提出的数据安全保障要求与监督管理办法。
8. 2024年7月5日,通信行业标准yd/t 3749.2-2024《物联网信息系统安全运维通用要求 第2部分:管理平台 》发布
本标准规定了信息化资产、运维业务、设备监控、数据存储、网络安全、运维事件、运维报表、ip地址、运维知识库九个层面的管理平台安全运维要求。
9. 2024年7月5日,通信行业标准yd/t 4954-2024《5g边缘计算安全技术要求》发布
本标准规定了5g边缘计算的认证和授权、接口、用户同意等安全要求及安全流程,适用于4g/5g核心网网元、部署在ue中的边缘使能客户端(ecc)、边缘配置服务器(ecs)、边缘使能服务器(ees)以及边缘应用服务(eas)的安全能力建设和运维等。
10. 2024年7月5日,通信行业标准yd/t 4966-2024《安全编排自动化响应(soar)技术参考架构》发布
本标准提出了安全编排自动化响应(soar)技术参考架构,并给出了安全编排自动化响应(soar)的使用场景、实施举例和部署示例。
11. 2024年7月5日,通信行业标准yd/t 4968-2024《网络功能虚拟化(nfv)安全技术要求》发布
本标准规定了网络功能虚拟化(nfv)安全技术要求,包括硬件环境、主机、虚拟化层、虚拟机、管理和编排功能(mano)、虚拟网元以及nfv环境可信关系构建指南等。
12. 2024年7月5日,通信行业标准yd/t 4974-2024《车联网安全态势感知平台与监管平台接口技术要求》发布
本标准规定了车联网安全监管平台与车联网安全态势感知平台之间的接口技术要求,包括接口功能要求、接口交互流程、接口交互数据要求等内容。
13. 2024年7月5日,通信行业标准yd/t 4975-2024《工业互联网安全隔离与信息交换系统技术要求》发布
本标准规定了工业互联网安全隔离与信息交换系统的功能要求、系统管理要求和性能要求,适用于工业互联网安全隔离与信息交换系统的设计、开发和测试。
14. 2024年7月5日,通信行业标准yd/t 4978-2024《工业互联网安全监测与管理系统通用要求》发布
本标准规定了工业互联网安全监测与管理系统的数据采集处理要求、安全监测分析要求、安全集中管理要求、系统安全要求、性能要求等,适用于应用工业互联网的工业企业、工业互联网平台企业、标识解析企业,以及基础电信企业建设的工业互联网安全监测与管理系统的规划、设计和实施。
15. 2024年7月5日,通信行业标准yd/t 4979-2024《工业互联网 时序数据安全网关技术要求》发布
本标准规定了工业互联网时序数据安全网关的技术要求,包括功能要求、管理要求、可扩展可靠性以及性能要求等,适用于指导工业互联网时序数据安全网关的设计、开发等。
16. 2024年7月29日,金融行业标准jr/t 0264-2024《金融数据中心容灾建设指引》发布
本标准提供了金融数据中心容灾建设中组织保障、需求分析、体系规划、建设要求、运维管理方面的指引,适用于金融数据中心容灾的建设和管理。
topsec
当前,新一轮科技革命和产业变革深入发展,大数据、云计算、人工智能等前沿技术广泛深度应用,网络安全形势日趋严峻复杂。随着数字化、网络化、智能化加速转型,不断健全完善网络安全政策法规和标准体系,已经成为维护网络空间安全稳定的必然要求。未来,天融信将持续关注国家政策,积极参与标准研制,为网络安全产业发展和建设贡献力量。