2020年发布的最重要网络安全标准
2020年12月28日,由公安部第三研究所主办的“2020年度网络安全标准论坛上,全国信息安全标准化技术委员会副秘书长上官晓丽介绍了2020年发布的53项网络安全国家标准。此外,密码、金融、通信、公安等行业也发布了数十项网络安全行业标准。
2020年3月6日,GB/T 38540-2020《信息安全技术 安全电子签章密码技术规范》发布本标准规定了采用密码技术实现电子印章和电子签章的数据结构定义,以及相应的生成与验证流程。2020年3月6日,GB/T 38541-2020《信息安全技术 电子文件密码应用指南》发布本标准提出了电子文件的密码应用技术框架和安全目标,描述了对电子文件进行密码操作的方法和电子文件应用系统使用密码技术的方法。2020年3月6日,GB/T 38556-2020《信息安全技术 动态口令密码应用技术规范》发布本标准规定了动态口令技术框架,动态口令生成算法、鉴别和密钥管理等的相关内容。2020年3月6日,GB/T 38561-2020《信息安全技术 网络安全管理支撑系统技术要求》发布本标准规定了网络安全管理支撑系统的技术要求,包括系统功能要求、自身安全性要求和安全保障要求。2020年3月9日,GB/T 35273-2020《信息安全技术 个人信息安全规范》发布,11月19日,GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》发布这两项标准提出了个人信息保护方面的安全规范和评估指南,其中GB/T 35273-2020代替GB/T 35273-2017,规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求;GB/T 39335-2020作为GB/T 35273-2020的配套标准,给出了个人信息安全影响评估的基本原理、实施流程。2020年4月28日,GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》发布本标准代替GB/T 22240-2008,给出了等级保护对象的定级方法和定级流程。2020年4月28日,GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》发布本标准替代以下标准:GB/T 20010-2005、GB/T 20281-2015、GB/T 31505-2015、GB/T 32917-2016,规定了防火墙的等级划分、安全技术要求及测评方法。2020年4月28日,GB/T 38636-2020《信息安全技术 传输层密码协议(TLCP)》发布本标准规定了传输层密码协议,包括记录层协议、握手协议族和密钥计算。2020年4月28日,GB/T 38628-2020《信息安全技术 汽车电子系统网络安全指南》发布本标准给出了汽车电子系统网络安全活动框架和网络安全活动、组织管理、支撑保障等方面的建议。2020年4月28日,GB/T 38645-2020《信息安全技术 网络安全事件应急演练指南》发布本标准给出了网络安全事件应急演练实施的目的、原则、形式、方法及规划,并描述了应急演练的组织架构以及实施过程。2020年4月28日,GB/T 25066-2020《信息安全技术 信息安全产品类别与代码》发布本标准规定了信息安全产品的主要类别与代码,包括物理环境安全类、通信网络安全类、区域边界安全类、计算环境安全类、安全管理支持类及其他类六个方面。2020年4月28日,GB/T 38625-2020《信息安全技术 密码模块安全检测要求》发布本标准规定了密码模块的检测要求和对应的送检材料要求。2020年4月28日,GB/T 38626-2020《信息安全技术 智能联网设备口令保护指南》发布本标准给出了智能联网设备的账号和口令在生成、管理和使用等方面的安全技术指南。2020年4月28日,GB/T 38628-2020《信息安全技术 汽车电子系统网络安全指南》发布本标准给出了汽车电子系统网络安全活动框架,以及在此框架下的汽车电子系统网络安全活动、组织管理和支撑保障等方面的建议。2020年4月28日,GB/T 38635-2020《信息安全技术 SM9标识密码算法》系列标准发布本系列标准规定了SM9标识密码算法涉及的必要相关数学基础知识、密码技术和具体参数以及密码算法中的数字签名算法、密钥交换协议、密钥封装机制和加密算法等内容。2020年4月28日,GB/T 38638-2020《信息安全技术 可信计算 可信计算体系结构》和GB/T 38644-2020《信息安全技术 可信计算 可信连接测试方法》发布这2项标准规定了可信计算的体系结构、可信部件、完整性度量模式、可信计算节点类型、可信网络连接协议以及所涉及的密码算法的测试要求及方法。2020年4月28日,GB/T 38646-2020《信息安全技术 移动签名服务技术要求》发布本标准规定了实现移动签名服务的技术要求,包括移动签名服务的基本框架、基本服务流程、参与移动签名服务的主要实体功能、接口功能及安全要求等。2020年4月28日,GB/T 38671-2020《信息安全技术 远程人脸识别系统技术要求》发布本标准规定了采用人脸识别技术在服务器端远程进行身份鉴别的信息系统的功能、性能和安全要求、安全保障要求。2020年4月28日,GB/T 38674-2020《信息安全技术 应用软件安全编程指南》发布本标准提出了应用软件安全编程的通用框架,从提升软件安全性的角度对应用软件编程过程进行指导。2020年11月19日,GB/T 39477-2020《信息安全技术 政务信息共享 数据安全技术要求》发布本标准提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求。2020年11月19日,GB/T 39276-2020《信息安全技术 网络产品和服务安全通用要求》发布本标准规定了网络产品和服务应满足的安全通用要求,包括安全功能要求和安全保障要求。2020年11月19日,GB/T 30276-2020《信息安全技术 网络安全漏洞管理规范》、GB/T 28458-2020《信息安全技术 网络安全漏洞标识与描述规范》、GB/T 30279-2020《信息安全技术 网络安全漏洞分类分级指南》发布这3项标准提出了网络安全漏洞方面的管理流程、管理要求、证实方法以及漏洞的标识、描述和分类分级方法。2020年11月19日,GB/T 20261-2020《信息安全技术 系统安全工程 能力成熟度模型》发布本标准给出了系统安全工程能力成熟度模型是一个过程参考模型,它关注信息技术安全(ITS)领域内的某个系统或者若干相关系统实现安全的要求。2020年11月19日,GB/T 39412-2020《信息安全技术 代码安全审计规范》发布本标准规定了代码安全的审计过程以及安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷等典型审计指标及对应的证实方法。2020年12月14日,GB/T 39680-2020《信息安全技术 服务器安全技术要求和测评准则》发布本标准代替GB/T 21028-2007,GB/T 25063-2010,规定了服务器安全的测评要求,包括第一级、第二级、第三级和第四级服务器安全测评要求。2020年12月14日,GB/T 39720-2020《信息安全技术 移动智能终端安全技术要求和测试评价方法》发布本标准为移动智能终端用户、生产厂商、评估机构提供了一个多方认可的,通用的移动智能终端安全要求和评估准则。2020年12月14日,GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》发布本标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。
密码行业
2020年12月28日,GM/T 0079-2020《可信计算平台直接匿名证明规范》发布本标准规定了可信计算平台的直接匿名证明协议的功能、接口和数据结构。2020年12月28日,GM/T 0082-2020《可信密码模块保护轮廓》发布本标准以GB/T 29829和GB/T 18336为基础,构建可信密码模块的保护轮廓,对符合评估保障级第3级的评估对象的定义、安全环境、安全目的、安全要求等进行了详细说明,并给出相应的基本原理说明。2020年12月28日,GM/T 0088-2020《云服务器密码机管理接口规范》发布本标准规定了云平台管理系统与云服务器密码机之间的设备管理接口和协议。2020年12月28日,GM/T 0091-2020《基于口令的密钥派生规范》发布本标准规定了基于口令的密钥派生规范,包括基于口令的密钥派生函数、基于口令的加密方案、基于口令的消息鉴别码。2020年12月28日,GM/T 0093-2020《证书与密钥交换格式规范》发布本标准规定了证书与密钥等信息的传递语法,包括私钥、证书、证书撤销列表、各种形式的秘密值及其扩展的标准化封装。2020年12月28日,GM/T 0094-2020《公钥密码应用技术体系框架规范》发布本标准规定了公钥密码应用技术体系框架,给出该框架内各组成部分及其逻辑关系。2020年12月28日,GM/T 0099-2020《开放式版式文档密码应用技术规范》发布本标准规范了采用密码技术对开放式版式文档进行签名、加密及完整性保护等相关内容。
金融行业
2020年2月5日,JR/T 0068-2020《网上银行系统信息安全通用规范》发布本标准代替JR/T 0068-2012,规定了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了依据。2020年2月5日,JR/T 0184-2020《金融分布式账本技术安全规范》发布本标准规定了金融分布式账本技术的安全体系,包括基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。2020年2月13日,JR/T 0171-2020《个人金融信息保护技术规范》发布本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。2020年2月13日,JR/T 0185-2020《商业银行应用程序接口安全管理规范》发布本标准规定了商业银行应用程序接口的类型与安全级别、安全设计、安全部署、安全集成、安全运维、服务终止与系统下线、安全管理等安全技术与安全保障要求。2020年9月23日,JR/T 0197-2020《金融数据安全 数据安全分级指南》发布本标准给出了金融数据安全分级的目标、原则和范围,明确了数据安全定级的要素、规则和定级过程,并给出了金融业机构典型数据定级规则供实践参考。2020年10月16日,JR/T 0166-2020《云计算技术金融应用规范 技术架构》、JR/T 0167-2020《云计算技术金融应用规范 安全技术要求》、JR/T 0168-2020《云计算技术金融应用规范 容灾》发布这3项标准分别代替以下标准:JR/T 0166-2018、JR/T 0167-2018、JR/T 0168-2018,结合金融云的运行机制与风险特性,从基本能力、网络安全、数据保护、运行环境安全、业务连续性保障等方面提出了有针对性的技术要求,确保金融云在安全性、稳定性、适配性等满足监管要求和行业需要,防范因云服务缺陷引发的风险向金融领域传导。2020年11月11日,JR/T 0071-2020《金融行业网络安全等级保护实施指引》系列标准发布本系列标准代替JR/T 0071-2012,规范了金融行业网络安全保障框架和不同安全等级对应的安全要求、金融行业网络安全等级保护工作的基础框架和术语定义、金融机构网络安全岗位设置要求、网络安全岗位能力要求以及网络安全人员能力评价要求、金融机构网络安全培训相关要求、金融机构网络安全等级保护工作实施审计的要求等。2020年11月11日,JR/T 0072-2020《金融行业网络安全等级保护测评指南》发布本标准代替JR/T 0072-2012,规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求。2020年11月24日,JR/T 0196-2020《多方安全计算金融应用技术规范》发布本标准规定了多方安全计算技术金融应用的基础要求、安全要求、性能要求等。
通信行业
2020年4月16日,YD/T 3644-2020《面向互联网的数据安全能力技术框架》发布本标准定义了互联网行业的数据安全能力技术框架,该框架基于互联网行业的业务特点,在分析了覆盖数据全生命周期的数据安全威胁的基础上,提炼了数据安全能力建设的技术框架,并对框架内容进行了详细的描述。2020年4月16日,YD/T 3648-2020《电信运营商联网系统通用安全能力技术要求》发布本标准规定了联网系统和设备的通用安全要求,包括网络、设备、平台及软件和应用系统的安全要求。2020年4月16日,YD/T 3663-2020《移动通信智能终端安全风险评估要求》、YD/T 3664-2020《移动通信智能终端卡接口安全技术要求》、YD/T 3665-2020《移动通信智能终端卡接口安全测试方法》、YD/T 3666-2020《移动通信智能终端漏洞修复技术要求》、YD/T 3667-2020《移动通信智能终端漏洞标识格式要求》、YD/T 3668-2020《移动终端应用开发安全能力技术要求》、YD/T 3669-2020《移动通信终端支付软件安全技术要求》、YD/T 3670-2020《移动通信终端支付软件安全测试方法》发布这8项标准对移动通信智能终端提出了相关要求,主要包括移动通信智能终端的风险评估要求、接口安全要求、接口安全测试方法、漏洞修复技术要求、漏洞格式要求、应用开发安全能力要求、支付软件安全技术要求以及安全测试方法等内容。2020年4月16日,YD/T 3671-2020《公有云服务平台安全运维管理要求》发布本标准规定了公有云服务商开展安全运维的管理要求,主要涉及组织与人员、策略与规程、服务水平协议、资源管控与隔离、应急响应与风险评估、供应链安全、业务连续性保障、问题跟踪与证据收集。2020年8月31日,YD/T 3734-2020《基础电信企业网络安全态势感知系统技术要求》发布本标准规定了基础电信企业网络安全态势感知系统应具有的基本功能,包括数据采集、数据处理、安全态势评估指标、安全动态监测、可视化展示、用户标识、安全审计、安全管理八个方面的安全功能要求。2020年8月31日,YD/T 3735-2020《电信网数据泄露防护系统(DLP)技术要求》发布本标准规定了电信网数据泄露防护系统(DLP)的技术要求,具体包括:功能要求、性能要求、安全要求。2020年8月31日,YD/T 3744-2020《网络安全众测平台技术要求》和YD/T 3745-2020《网络安全众测服务管理要求》发布这2项标准规定了网络安全众测平台的业务流程、功能要求、安全要求以及众测服务的流程和管理规范。2020年8月31日,YD/T 3736-2020《电信运营商大数据安全风险及需求》发布本标准规定了电信运营商大数据通用安全风险及相关需求,包括安全风险、安全需求、防护架构、技术要求等方面的内容。2020年8月31日,YD/T 3169-2020《互联网新技术新业务安全评估指南》、YD/T 3738-2020《互联网新技术新业务安全评估实施要求》、YD/T 3739-2020《互联网新技术新业务安全评估要求 即时通信业务》、YD/T 3740-2020《互联网新技术新业务安全评估要求 互联网资源协作服务》、YD/T 3741-2020《互联网新技术新业务安全评估要求 大数据技术应用与服务》、YD/T 3742-2020《互联网新技术新业务安全评估要求 内容分发业务》、YD/T 3743-2020《互联网新技术新业务安全评估要求 信息搜索查询服务》发布这7项标准针对互联网技术新业务提出了相关要求,主要内容包括互联网互联网新技术新业务的安全评估实践指南、实施要求以及即时通信业务、互联网资源协作服务、大数据技术应用与服务、内容分发业务、信息搜索查询服务等具体服务的安全评估要求。2020年8月31日,YD/T 3747-2020《区块链技术架构安全要求》发布本标准规定了区块链技术架构应满足的安全要求,包括共识机制安全、智能合约安全、账本安全等。2020年8月31日,YD/T 3746-2020《车联网信息服务 用户个人信息保护要求》、YD/T 3750-2020《车联网无线通信安全技术指南》、YD/T 3751-2020《车联网信息服务 数据安全技术要求》、YD/T 3752-2020《车联网信息服务平台安全防护技术要求》、YD/T 3737-2020《基于公众电信网的联网汽车安全技术要求》发布这5项标准提出了车联网方面的安全要求,主要包括信息服务的个人信息保护要求、数据安全技术要求、信息服务平台的安全防护技术要求、车联网无线通信的安全框架、安全威胁、安全要求以及基于公众电信网的联网汽车的安全技术要求等内容。2020年12月9日,YD/T 3799-2020《电信网和互联网网络安全防护定级备案实施指南》发布本标准规定了电信网和互联网中网络和系统单元定级备案的实施方法和划分准则,包括网络和系统单元划分类型、命名规则、定级要素赋值细化指标以及安全等级的计算方法等。2020年12月9日,YD/T 3800-2020《电信网和互联网大数据平台安全防护要求》发布本标准规定了大数据平台安全防护要求,包括大数据平台基础设施安全要求、平台安全要求、数据安全要求和安全管理要求。2020年12月9日,YD/T 3802-2020《电信网和互联网数据安全通用要求》发布本标准规范了数据采集、传输、存储、使用、开放共享、销毁等数据处理活动及其相关平台系统应遵循的原则和安全保护要求,包括组织保障、制度建设、规范建立等管理性要求,以及规范执行相关配套技术性要求。2020年1月9日,YD/T 3803-2020《电信网和互联网资产安全管理平台技术要求》发布本标准规定了电信网和互联网资产安全管理平台的功能要求、接口要求以及安全管理要求。2020年12月9日,YD/T 3813-2020《基础电信企业数据分类分级方法》发布本标准规定了基础电信企业数据分类分级原则、数据分类工作流程和方法,数据分级方法,并给出基础电信企业数据分类分级示例。
公安行业
2020年1月16日,GA 1277-2020《互联网交互式服务安全管理要求》系列标准发布本系列标准规定了互联网交互式服务安全管理的基本要求以微博客、音视频聊天、即时通信、论坛等具体服务类型中的要求。2020年3月3日,GA/T 910-2020《信息安全技术 内网主机监测产品安全技术要求》发布本标准规定了内网主机监测产品的安全功能要求、自身安全功能要求、安全保证要求和等级划分要求。2020年3月6日,GA/T 1714-2020《信息安全技术 异常流量检测和清洗产品安全技术要求》发布本标准规定了异常流量检测和清洗产品的安全功能要求、自身安全功能要求和安全保障要求及等级划分要求。2020年3月24日,GA/T 1717-2020《信息安全技术 网络安全事件通报预警》系列标准发布本系列标准规定了网络安全事件通报预警所涉及的术语定义、流程规范以及通报预警工作中网络安全数据的分类方法、编码方法和标记标签体系。2020年4月2日,GA/T 1718-2020《信息安全技术 大数据平台安全管理产品安全技术要求》发布本标准规定了大数据平台安全管理产品的安全功能要求、安全保障要求和等级划分要求。2020年4月26日,GA/T 1726-2020《信息安全技术 负载均衡产品安全技术要求》发布本标准规定了负载均衡产品的安全功能要求、安全保障要求及安全等级要求。2020年5月13日,GA/T 1728-2020《信息安全技术 基于IPv6的高性能网络入侵监测系统产品安全技术要求》发布本标准规定了基于IPv6的高性能网络入侵检测系统产品的安全功能要求、环境适应性要求、性能要求、安全保障要求及安全等级划分。2020年8月4日,GA/T 1735.1-2020《网络安全等级保护检查工具技术规范 第1部分:安全通用检查工具》发布本标准规定了公安机关开展网络安全等级保护检查工作时所装备检查工具的技术规范。
其他行业
2020年11月30日,SL/T 803-2020《水利网络安全保护技术规范》水利行业标准发布本标准主要技术内容包括总体要求、网络安全技术体系、安全纵深防御能力、安全监测预警能力、安全应急响应能力等。适用于网络安全等级保护等级为一级、二级和三级的水利网络安全保护对象的网络安全保护。2020年12月09日,GY/T 337-2020《广播电视网络安全等级保护定级指南》广电行业标准发布本标准根据广电行业实际情况,按照定级对象的基本特征,综合考虑定级对象的责任单位、业务类型和业务重要性等因素,将广播电视网络安全等级保护对象按照机构类别及承载的业务种类进行分类,并给出了相应的安全保护等级建议。
* 【工信部】工业互联网企业网络安全分类分级管理试点工作启动
* [发改委等四部委发文] 密码支撑 "加快构建全国一体化大数据中心协同创新体系"
* 【会议精华速递】“密码全能力 支撑网信大时代融合新场景”中关村网信联盟第六期企业推介活动成功举行
* 密码好消息又一波!海南省政务信息化项目建设管理办法发布,明确密码应用和密评要求
*【国密局】《信息系统密码应用测评要求》等5项密码应用与安全性评估指导性文件发布