盘点 I 细数2021年发布的重要网络安全标准

新年伊始，小编整理了2021年我国发布的重要网络安全标准，供大家参考。

国家标准

01

密码技术

1. 2021年3月9日，GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》发布

本标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求，以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。

2. 2021年3月9日，GB/T 17901.3-2021《信息技术 安全技术 密钥管理 第3部分：采用非对称技术的机制》发布

本标准采用了ISO/IEC 11770-3:2015的国际标准，定义了基于非对称密码技术的密钥管理机制的要求、密钥派生函数、余子式乘法、密钥承诺、密钥确认、密钥管理框架、密钥协商、密钥传递、公钥传递。

3. 2021年6月25日，我国SM4分组密码算法作为ISO/IEC 18033-3:2010/AMD1:2021《信息技术 安全技术 加密算法 第3部分：分组密码 补篇1：SM4》发布

本标准是我国的国产密码算法—SM4分组密码算法通过ISO/IEC 18033-3纳入国际标准，这不仅促进了我国商用密码算法国际标准体系的进一步完善，而且对我国商用密码产业发展具有重要的意义。

4. 2021年10月11日，GB/T 17903.2-2021《信息技术 安全技术 抗抵赖 第2部分：采用对称技术的机制》发布

本标准确立了抗抵赖服务的通用结构，以及若干特定的抗抵赖机制，用于提供原发抗抵赖（NRO）与交付抗抵赖（NRD）。

5. 2021年10月11日，GB/T 17964-2021《信息安全技术 分组密码算法的工作模式》发布

本标准描述了九种分组密码算法的工作模式，给出了参数和方法，标准中描述的工作模式仅适用于保护数据的机密性，不适用于保护数据的完整性。

6. 2021年10月11日，GB/T 30272-2021《信息安全技术 公钥基础设施 标准符合性测评》发布

本标准描述了公钥基础设施相关组件的测试评价方法，包括CA、RA、时间戳子系统、在线证书状态查询子系统、电子签名及验证子系统、客户端等组件。

7. 2021年10月11日，GB/T 33133.2-2021《信息安全技术 祖冲之序列密码算法 第2部分：保密性算法》发布

本标准描述了基于祖冲之序列密码算法的保密性算法，主要包括算法的输入输出描述和算法工作流程描述。

8. 2021年10月11日，GB/T 33133.3-2021《信息安全技术 祖冲之序列密码算法 第3部分：完整性算法》发布

本标准描述了基于祖冲之序列密码算法的完整性算法，主要包括算法的输入输出描述和算法工作流程描述。

9. 2021年10月11日，GB/T 40650-2021《信息安全技术 可信计算规范 可信平台控制模块》发布

本标准描述了可信平台控制模块在可信计算节点中的位置和作用，规定了可信平台控制模块的功能组成、功能接口、安全防护、运行维护要求和证实方法。

10. 2021年10月，包含我国SM9密钥协商协议的国际标准ISO/IEC 11770-3:2021《信息安全 密钥管理 第3部分：使用非对称技术的机制》发布

SM9密钥协商协议是继SM9数字签名算法、SM9标识加密算法纳入国际标准后的第三项SM9算法。至此，SM9系列算法成为我国密码技术领域首个全体系纳入ISO/IEC国际标准的非对称密码算法。

11. 2021年12月，我国主导提出的国际标准ISO/IEC 27070《信息技术 安全技术 虚拟信任根建立要求》发布

本标准用于解决云计算服务应用和发展中信任的核心问题，可以指导企业与研究机构增强云服务基础设施的安全性，提升用户信心，也可以规范企业安全增强开发的技术架构、协议、接口，促进不同企业间的互联互通和行业间的规范发展，有助于可信计算产业的积极落地和实施。

02

鉴别授权

1. 2021年4月30日，GB/T 40018-2021《信息安全技术 基于多信道的证书申请和应用协议》发布

本标准规定了利用智能移动设备进行证书申请和应用协议，包括证书申请协议、数字签名与验签协议、文件加解密协议。

2. 2021年10月11日，GB/T 40651-2021《信息安全技术 实体鉴别保障框架》发布

本标准规定了各参与方角色的职责、实体鉴别的主要流程环节以及实体鉴别保障等级的类别和等级划分原则，并规定了实体鉴别保障所需的管理要求。

3. 2021年10月11日，GB/T 40660-2021《信息安全技术 生物特征识别信息保护基本要求》发布

本标准规定了各类生物特征识别信息控制者开展收集、存储、使用、委托处理共享、转让、公开披露、删除等生物特征识别信息处理活动应遵循的基本原则和安全要求。

03

产品与检测评估

1. 2021年2月20日， GB 40050-2021《网络关键设备安全通用要求》发布

本标准属于强制性国家标准，是工信部网络安全管理局为落实《网络安全法》中有关网络关键设备（路由器、交换机等）安全的要求，组织编制的一项重要标准。标准主要内容包括安全功能要求和安全保障要求。安全功能要求聚焦于保障和提升设备的安全技术能力，安全保障要求聚焦于规范网络关键设备提供者在设备全生命周期的安全保障能力。

2. 2021年10月11日，GB/T 20275-2021《信息安全技术 网络入侵检测系统技术要求和测试评价方法》发布

本标准规定了网络入侵检测系统的技术要求和测试评价方法，包括安全功能要求、自身安全功能要求、安全保证要求和测试评价方法，并提出了网络入侵检测系统的分级要求。

3. 2021年10月11日，GB/T 29765-2021《信息安全技术 数据备份与恢复产品技术要求与测试评价方法》发布

本标准规定了数据备份与恢复产品安全功能要求、自身安全要求、安全保障要求与测试评价方法。

4. 2021年10月11日，GB/T 29766-2021《信息安全技术 网站数据恢复产品技术要求与测试评价方法》发布

本标准规定了网站数据恢复产品安全功能要求、自身安全要求、安全保障要求与测试评价方法。

5. 2021年10月11日，GB/T 40653-2021《信息安全技术 安全处理器技术要求》发布

本标准规定了安全处理器的安全功能要求和安全保障要求，其中功能要求包括安全审计、通信、密码支持、用户数据保护、标识和鉴别、安全管理、隐私、TSF保护、资源利用、TOE访问、可信路径/通道,安全保障要求包括开发、指导性文档、生命周期支持、安全目标评估、测试、脆弱性评定。

04

云安全

1. 2021年3月9日，GB/T 34080.3-2021《基于云计算的电子政务公共平台技术规范 第3部分：服务安全》发布

本标准规定了基于云计算的电子政务公共平台的服务安全等级和服务安全要求，其中服务安全要求包括服务访问控制、服务传递保护、服务监控、服务审计、服务变更和服务评估的要求。

2. 2021年3月9日，GB/T 34080.4-2021《基于云计算的电子政务公共平台技术规范 第4部分：应用安全》发布

本标准规定了基于云计算的电子政务公共平台的应用安全实施、应用安全运维、应用安全管理和应用安全测试。

05

工业互联网安全

1. 2021年5月21日，GB/T 40218-2021《工业通信网络 网络和系统安全 工业自动化和控制系统信息安全技术》发布

本标准提供了对当前各种网络信息安全工具、缓解对抗措施和技术的评估。这些技术可有效地用在基于现代电子的IACS中，以调整和监视数量众多的工业和关键基础设施。

2. 2021年5月21日，GB/T 40211-2021《工业通信网络 网络和系统安全 术语、概念和模型》发布

本标准定义了用于工业自动化和控制系统（IACS）安全的术语、概念和模型，是“工业通信网络 网络和系统安全”系列标准中其他标准的基础。

3. 2021年10月11日，GB/T 40813-2021《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》发布

本标准规定了工业控制系统安全防护技术要求、保障要求和测试评价方法，包括物理环境安全防护、网络通信安全防护、网络边界安全防护、工业主机安全防护、控制设备安全防护、数据安全防护、防护产品安全、系统集中管控、软件开发安全防护、系统维护安全防护相关的要求和测试评价方法。

06

车联网安全

1. 2021年10月11日，GB/T 40855-2021《电动汽车远程服务与管理系统信息安全技术要求及实验方法》发布

本标准规定了电动汽车远程服务与管理系统的信息安全要求及试验方法，包括总体结构图以及车载终端安全要求、平台间通信安全要求、车载终端与平台通信安全要求、平台安全要求以及相应的试验方法。

2. 2021年10月11日，GB/T 40856-2021《车载信息交互系统信息安全技术要求及试验方法》发布

本标准规定了车载信息交互系统硬件、通信协议与接口、操作系统、应用软件、数据的信息安全技术要求与试验方法。

3. 2021年10月11日，GB/T 40857-2021《汽车网关信息安全技术要求及试验方法》发布

本标准规定了汽车网关产品硬件、通信、固件、数据的信息安全技术要求及试验方法，其中技术要求包括硬件信息安全要求、通信信息安全要求、固件信息安全要求和数据信息安全要求；试验方法包括硬件信息安全试验、通信信息安全试验、固件信息安全试验和数据信息安全试验。

4. 2021年10月11日，GB/T 40861-2021《汽车信息安全通用技术要求》发布

本标准规定了汽车信息安全的保护对象和技术要求，其中技术要求分为原则性要求、系统性防御策略要求和保护维度要求。

07

安全管理

1. 2021年3月9日，GB/T 39770-2021《信息技术服务 服务安全要求》发布

本标准提出了信息技术服务安全模型，规定了安全总则、生存周期和能力要素的安全要求，其中生存周期安全要求包括需求、设计、实现、运营和退出的要求；服务能力要素安全要求包括人员、过程、技术和资源的要求。

2. 2021年10月11日，GB/T 40645-2021《信息安全技术 互联网信息服务安全通用要求》发布

本标准规定了互联网信息服务的安全通用要求，包括安全技术要求和安全保障要求，其中安全技术要求包括信息生成、信息处理、信息发布、信息传播、信息存储和信息销毁的要求；安全保障要求包括管理制度、机构和人员、业务连续性、运行和维护的要求。

3. 2021年10月11日，GB/T 40652-2021《信息安全技术 恶意软件事件预防和处理指南》发布

本标准在GB/T 20985.1-2017和GB/T 20985.2-2020的基础之上，针对恶意软件事件的预防和处理过程给出了进一步指南。

08

通信安全

2021年3月9日，GB/T 25068.5-2021《信息技术 安全技术 网络安全 第5部分：使用虚拟专用网的跨网通信安全保护》发布

本标准采用了ISO/IEC 27033-5:2013的国际标准，规定了使用虚拟专用网（VPN）连接到互联网或将远程用户跨网连接的通信安全指南，同时也提供了使用VPN时所必需的网络安全控制技术的选择、实施和监控指南。

行业标准

01

金融行业

1. 2021年2月9日，JR/T 0218-2021《金融业数据能力建设指引》发布

本标准规定了数据战略、数据治理、数据架构、数据规范、数据保护、数据质量、数据应用、数据生存周期管理能力域划分，明确了相关能力项，提出了每个能力项的建设目标和思路。

2. 2021年2月10日，JR/T 0213-2021《金融网络安全 Web应用服务安全测试通用规范》发布

本标准给出了金融网络安全Web应用服务安全测试的通用规范，既可作为各金融机构进行Web应用服务安全测试的参考标准，也为行业主管部门、专业测试机构进行检查、检测提供参考依据。

3. 2021年2月10日，JR/T 0214-2021《金融网络安全 网络安全众测实施指南》发布

本标准给出了网络安全众测组织实施架构、网络安全众测实施流程及各参与方的职责。旨在规范金融机构网络安全众测的实施流程，指导金融机构在安全可控的前提下开展网络安全众测。

4. 2021年4月8日，JR/T 0223-2021《金融数据安全 数据生命周期安全规范》发布

本标准规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求，建立覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架。

5. 2021年7月22日，JR/T 0231-2021《银行业第三方软件开发工具包（SDK）安全接入指南》发布

本标准提供了第三方软件开发工具包引入的总体原则，工具包分类以及安全技术指南，包括资源控制、身份认证、访问控制、数据安全、软件容错、攻击防护、安全审计、个人信息收集和第三方工具包交付。

6. 2021年7月22日，JR/T 0232-2021《银行互联网渗透测试指南》发布

本标准提供了在银行信息系统中开展互联网渗透测试的整体流程以及流程各个环节中保障测试质量、控制测试风险的指南。

7. 2021年7月22日，JR/T 0222-2021《金融信息系统加密服务的技术能力评价模型》发布

本标准给出了对提供金融机构加密服务的金融信息系统的能力进行评价的方法，包括确定评价范围、能力评价模型和评价标准。

8. 2021年8月30日，JR/T 0060-2021《证券期货业网络安全等级保护基本要求》发布

本标准规定了证券期货业网络安全等级保护的总体要求，以及第一级到第四级等级保护对象的安全通用要求和安全扩展要求。

9．2021年8月30日，JR/T 0067-2021《证券期货业网络安全等级保护测评要求》发布

本标准规定了证券期货业网络安全等级保护的等级测评方法、第一级到第四级的网络安全等级保护对象的测评要求、整体测评以及测评结论。

10. 2021年10月9日，JR/T 0225-2021《保险移动应用信息安全基本要求》发布

本标准规定了保险移动应用系统信息安全风险管理中的安全技术、安全管理方面的基本要求，其中安全技术要求包括移动应用客户端安全、移动应用服务端安全和业务安全；安全管理要求包括组织架构、安全管理制度和生命周期管理。

02

通信行业

1. 2021年5月17日，YD/T 3865-2021《工业互联网数据安全保护要求》发布

本标准规定了工业互联网数据安全保护的范围及数据类型、工业互联网数据重要性分级与安全保护等级划分方法，规定了低/中/高重要性数据在数据产生、传输、存储、使用、迁移及销毁阶段的具体安全保护要求。

2. 2021年5月17日，YD/T 2408-2021《移动智能终端安全能力测试方法》发布

本标准规定了移动智能终端安全能力的测试方法，包括移动智能终端的硬件安全能力、操作系统安全能力、外围接口安全能力、应用层安全能力和用户数据保护安全能力等的测试方法。

3. 2021年5月17日，YD/T 3867-2021《基础电信企业重要数据识别指南》发布

本标准给出了基础电信企业重要数据的定义、识别规则、识别方法和重要数据安全保护实施指导，并给出了基础电信企业重要数据示例，为基础电信企业重要数据安全管理工作提供指导。

4. 2021年5月17日，YD/T 3763.6-2021《研发运营一体化（DevOps）能力成熟度模型 第6部分：安全及风险管理》发布

本标准规定了IT软件或相关服务在采用研发运营一体化（DevOps）统一开发模式下，如何保障IT软件和相关服务的安全，并进行风险管理。

5. 2021年12月2日，YD/T 2407-2021《移动智能终端安全能力技术要求》发布

本标准规定了移动智能终端安全能力的技术要求，包括移动智能终端的硬件安全能力、操作系统安全能力、外围接口安全能力、应用层安全要求和用户数据保护安全能力等，并对安全能力进行了分级。

6. 2021年12月2日，YD/T 3949-2021《物联网卡安全管理技术要求》发布

本标准规定了电信企业对物联网卡安全管理的技术要求，具体包括：行业分类要求、监测模型要求、风险用户划分要求。

7. 2021年12月2日，YD/T 3954-2021《云服务用户数据保护能力参考框架》发布

本标准规范了云计算服务提供者在提供云计算服务时应具备的用户数据安全保护能力，包括事前防范能力、事中保护能力和事后追溯能力。

8. 2021年12月2日，YD/T 3955-2021《WEB漏洞分类与定义指南》发布

本标准规定了WEB漏洞分类与定义，具体包括WEB漏洞的统一命名、编号和定义，以及详细分类和定义标准等。

9. 2021年12月2日，YD/T 3956-2021《电信网和互联网数据安全评估规范》发布

本标准规定了电信服务和互联网信息服务提供商开展数据安全评估实施流程和数据安全相关管理及技术措施的评估要点。

03

公安行业

1. 2021年6月7日，GA/T 1781-2021《公共安全社会视频资源安全联网设备技术要求》发布

本标准规定了公共安全社会视频资源安全联网设备的组成、产品分类与标记、一般要求、功能要求、安全要求和性能要求，描述了社会视频资源安全联网设备的试验方法。

2. 2021年8月10日，GA/T 1788.1-2021《公安视频图像信息系统安全技术要求 第1部分：通用要求》、GA/T 1788.2-2021《公安视频图像信息系统安全技术要求 第2部分：前端设备》、GA/T 1788.3-2021《公安视频图像信息系统安全技术要求 第3部分：安全交互》、GA/T 1788.4-2021《公安视频图像信息系统安全技术要求 第4部分：安全管理平台》系列标准发布

· 第1部分通用要求规定了公安视频图像信息系统安全的总体技术要求，以及前端接入区、安全交互区、系统应用区、安全管理区的安全技术要求。

· 第2部分前端设备规定了公安视频图像信息系统中前端设备的分类与分级说明，以及前端设备安全技术要求。

· 第3部分安全交互规定了公安视频传输网的上下级主干网络间、主干网与接入网间，以及公安视频传输网与其他网络互联的安全交互系统架构、安全等级划分、安全策略、设备性能要求。

· 第4部分安全管理平台规定了公安视频图像信息系统安全管理平台的平台结构、数据采集与接入、数据处理与存储、安全防护能力、系统管理、级联管理等技术要求。

04

密码行业

2021年8月1日，GM/Y 5001-2021《密码标准使用指南》发布

本标准涵盖了与密码技术相关的国家标准与行业标准，按照密码算法的种类及密码标准技术体系框架对标准进行了整理归集。

05

广电行业

1. 2021年5月31日， GY/T 351-2021《广播电视和网络视听收视综合评价数据脱敏规则》发布

本标准规定了广播电视和网络视听收视综合评价数据的脱敏原则、脱敏技术、脱敏流程和脱敏要求。适用于广播电视和网络视听收视综合评价数据的脱敏。

2. 2021年7月14日，GY/T 352-2021《广播电视网络安全等级保护基本要求》发布

本标准规定了广播电视网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。

天融信深知标准在产业发展中的重要作用，多年来一直积极参与标准研制工作，累计参与已发布网络安全国家标准、行业标准共计70余项，涉及安全产品、安全管理、安全服务、数据安全、云计算、工业互联网、车联网、物联网等众多技术领域。未来，天融信将继续积极参与各项标准的研究、编制、宣贯、试点、应用等工作，为有效发挥标准在网络空间安全建设中的基础性、引领性、战略性作用贡献力量。

相关阅读