信息安全技术 网络产品和服务安全通用要求-编制说明

国家标准《信息安全技术政府网站系统安全指南》（征求意见稿）修订编制说明一、工作简况1、任务来源《WG5工作组第 2 次会议（2018）工作组会议纪要》指出，为有效应对政府网站入云等新型运营模式，以及网站服务对象多元化、系统结构复杂化和数据集中化等应用新形势，切实保障政府网站系统安全运行，建议着力完善当前政府网站类安全标准。

经中国国家标准化管理委员会批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究修订GB/T 31506-2015《政府门户网站安全技术指南》国家标准。

根据《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》（信安秘字[2019]050号），该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由北京信息安全测评中心负责主办。

2、起草单位在接到标准的任务后，北京信息安全测评中心立即与相关机构、厂商进行沟通，并得到了政府网站运营机构、高校、业内知名厂商及测评机构的积极参与和反馈。

经筛选，最后确定由中电数据服务有限公司、首都之窗运营管理中心、中电长城网际系统应用有限公司、黑龙江省测评中心、北京市城乡经济信息中心、杭州安恒信息技术有限公司、北京天融信网络安全技术有限公司、桂林电子科技大学、北京神州绿盟信息安全科技股份有限公司、新华三技术有限公司、深圳开源互联网安全技术有限公司、武汉网安教育科技有限公司、国家应用软件产品质量检测检验中心、北京数字认证股份有限公司、湖北省标准化与质量研究院、国家工业信息安全发展研究中心、北京北信源软件股份有限公司、江苏省信息安全测评中心、陕西省信息化工程研究院、国家计算机网络应急技术处理协调中心、江远盛邦（北京）网络安全科技有限公司、恒安嘉新（北京）科技股份公司、山谷网安科技股份有限公司、北京知道创宇信息技术股份有限公司和陕西省网络与信息安全测评中心等单位共同参与编制。

3、主要工作过程(一)标准制定的主要工作过程如下：1）工作启动2018年10月，北京信息安全测评中心联合政府网站运营单位、业内知名安全服务厂商、科研机构及测评机构等组建标准编制组，编制组成员具有丰富的标准编制经验、政务领域网络安全研究经验、信息系统安全控制研究等经验。

附件3《网络关键设备安全技术要求通用要求（报批稿）》编制说明一、工作简况（一）任务来源根据国家标准化管理委员会发布《关于下达〈车用乙醇汽油〉等13项强制性国家标准制修订计划的通知》（国标委发〔2019〕26号），工业和信息化部负责组织制定《网络关键设备安全技术要求通用要求》标准项目。

经全国信息安全标准化技术委员会、全国通信标准化技术委员会推荐，综合考虑专家权威性和代表性，工业和信息化部成立了由21名专家组成的《网络关键设备安全技术要求通用要求》标准起草专家组（以下简称标准起草组）。

标准起草组组长由中国互联网协会专家担任，成员包括中国信息通信研究院、国家信息技术安全研究中心、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、国家工业信息安全发展研究中心、威尔克通信实验室等检测机构，以及华为、联想、中兴、新华三、烽火、和利时、浪潮、浙江中控、深信服、阿里巴巴、中国移动、启明星辰等企业的专家。

（二）主要工作过程标准编制主要经历立项、起草、征求意见、技术验证、意见处理、技术审查等环节，具体如下：1.立项起草1)2018年9月13日：工业和信息化部向国家标准化管理委员会报送了《网络关键设备安全技术要求通用要求》强制性国家标准计划项目建议。

2)2018年9月-2019年8月：工业和信息化部组织技术检测机构、网络关键设备生产企业、网络安全企业等开展标准预研工作。

3)2019年8月31日：国家标准化管理委员会正式下达《网络关键设备安全技术要求通用要求》标准项目制定计划，计划号20192423-Q-339。

4)2019年10月25日：工业和信息化部组织召开标准起草组成立暨项目启动会。

5)2019年12月3日：标准起草组召开第一次工作组会议，形成标准草案。

6)2019年12月26日：标准起草组召开第二次工作组会议，对标准草案进行充分讨论并完善，形成征求意见稿。

2.征求意见1)2020年1月-4月：工业和信息化部书面征求包括中央网信办等有关部门，中国电信、中国联通、国家电网、平安保险、一汽、华为、中兴、新华三、思科、瞻博、上海贝尔诺基亚、戴尔、西门子、国际商用机器（IBM）、施耐德、罗克韦尔、三菱、欧姆龙等相关企事业单位，以及中国信息通信研究院、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心等检测机构在内的60家单位意见。

附件3《网络关键设备安全技术要求通用要求（报批稿）》编制说明一、工作简况（一）任务来源根据国家标准化管理委员会发布《关于下达〈车用乙醇汽油〉等13项强制性国家标准制修订计划的通知》（国标委发〔2019〕26号），工业和信息化部负责组织制定《网络关键设备安全技术要求通用要求》标准项目。

经全国信息安全标准化技术委员会、全国通信标准化技术委员会推荐，综合考虑专家权威性和代表性，工业和信息化部成立了由21名专家组成的《网络关键设备安全技术要求通用要求》标准起草专家组（以下简称标准起草组）。

标准起草组组长由中国互联网协会专家担任，成员包括中国信息通信研究院、国家信息技术安全研究中心、中国电子技术标准化研究院、国家计算机网络应急技术处理协调中心、国家工业信息安全发展研究中心、威尔克通信实验室等检测机构，以及华为、联想、中兴、新华三、烽火、和利时、浪潮、浙江中控、深信服、阿里巴巴、中国移动、启明星辰等企业的专家。

（二）主要工作过程标准编制主要经历立项、起草、征求意见、技术验证、意见处理、技术审查等环节，具体如下：1.立项起草1)2018年9月13日：工业和信息化部向国家标准化管理委员会报送了《网络关键设备安全技术要求通用要求》强制性国家标准计划项目建议。

2)2018年9月-2019年8月：工业和信息化部组织技术检测机构、网络关键设备生产企业、网络安全企业等开展标准预研工作。

3)2019年8月31日：国家标准化管理委员会正式下达《网络关键设备安全技术要求通用要求》标准项目制定计划，计划号20192423-Q-339。

4)2019年10月25日：工业和信息化部组织召开标准起草组成立暨项目启动会。

5)2019年12月3日：标准起草组召开第一次工作组会议，形成标准草案。

6)2019年12月26日：标准起草组召开第二次工作组会议，对标准草案进行充分讨论并完善，形成征求意见稿。

2.征求意见1)2020年1月-4月：工业和信息化部书面征求包括中央网信办等有关部门，中国电信、中国联通、国家电网、平安保险、一汽、华为、中兴、新华三、思科、瞻博、上海贝尔诺基亚、戴尔、西门子、国际商用机器（IBM）、施耐德、罗克韦尔、三菱、欧姆龙等相关企事业单位，以及中国信息通信研究院、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心等检测机构在内的60家单位意见。

国家标准《信息安全技术车载网络设备信息安全技术要求》（征求意见稿）编制说明一、工作简况1.任务来源国家标准《信息安全技术车载网络安全设备信息安全技术要求》制定工作由全国信息安全标准化技术委员会秘书处下达立项通知（信安秘字[2019]050号），主要承担单位为东软集团股份有限公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国软件评测中心、一汽轿车股份有限公司、长城汽车股份有限公司等。

2.协作单位任务下达后，东软集团股份有限公司立即与测评机构、业内厂商和科研院校进行沟通并得到了积极参与的反馈，并于10月30日结束的参编单位征集活动后，国家工业信息安全发展研究中心、公安部第一研究所、国汽（北京）智能网联汽车研究院有限公司、北京航空航天大学、中国软件评测中心、阿里云计算有限公司、北京奇虎科技有限公司、北京天融信网络安全技术有限公司、公安部交通管理科学研究所、工业和信息化部电子第五研究所、中国科学院信息工程研究所、中国汽车工程研究院有限公司、北京百度网讯科技有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、启明星辰信息技术集团股份有限公司、北京安天网络安全技术有限公司、中国信息通信研究院、网神信息技术（北京）股份有限公司、国家计算机网络应急技术处理协调中心、北京中电华大电子设计有限责任公司、北京理工华创电动车技术有限公司、联合汽车电子有限公司、北京梆梆安全科技有限公司、天津国芯科技有限公司、长城汽车股份有限公司、北京神州绿盟科技有限公司、重庆邮电大学、上海市信息安全测评认证中心、一汽轿车股份有限公司、任子行网络技术股份有限公司、恒安嘉新（北京）科技股份公司、电子科技大学、重庆长安汽车股份有限公司等60家单位报名加入编制组。

3.主要工作过程3.1 成立编制组本标准的制定任务由东软集团股份有限公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国软件评测中心、一汽轿车股份有限公司、长城汽车股份有限公司和其他参编单位共同承担。

网络与信息安全管理员国家职业技能标准颁布2020年12月4日，根据《人力资源社会保障部办公厅公安部 办公厅关于颁布网络与信息安全管理员国家职业技能标准的通 知》，“网络与信息安全管理员”国家职业技能标准面向社会正 式发布。

《标准》的出台对网络与信息安全从业人员的职业活动 内容进行了规范细致描述，对各等级从业者的技能水平和理论知 识水平逬行了明确规定，是指导网络与信息安全从业人员培养、开展职业技能等级考核评价的基本依据，对于提升网络与信息安全从业人员职业技能水平、建设网络与信息安全从业人员人才队伍等，将发挥重要作用。

国家职业技能标准网络与信患安全管理员信安标委：《信息安全技术网络产品和服务安全通用要求》等11项国家标 准获批发布根据2020年11月19日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第26 号），全国信息安全标准化技术委员会归口的GB/T 39276-2020《信息安全技术网络产品和服务安全通用要求》等11项国家标准正 式发布。

具体清单如下：序咢标准编号标准名彝代替麵准令实麴曰期7.G B/T25068.1-2020馆患技术安全技术网络安全第1部分：综述和概念G B/T25068.1-20122021-06-011.G B H-39276-2020倌患安全技术网络产品和吸务安全邇用嬰求2021-064)18.G B/T25068.2-2020信悤技术安全技术网络安全第2部分：网络安全设计和实现指南G B/T25068.2-20122021-06-012.G B/T39335-2020倌患安全技术个人馆患安全彩响评估指南2021-06-019.G B/T28458-2020倌患安全技术网络安全漏涧标识与描述规范G B/T28458-20122021-06^)13.G B/T39412-2020馆患安全技术代码安全审计親范2021-06-014.G B/T39477-2020信悤安全技术政务侑患共享ft据安全技术要求2021-06-0110.G B T T30276-2020信患安全技术网络安全钃涧管理规范G B/T30276-20132021-06-015.G B/T2026U2020倌患安全技术系统安全工S鉋力成熟度模型G B A T20261-20062021-06-01II.G B/T30279-2020馆患安全技术网络安全钃涧分类分缦指南G B/T30279-2013,G B A T33561-20172021-06-0!6.G B/T25061-2020信患安全技术X M L数字签名语法与处理规范G B/T25061-20102021-06-01工控安全防护能力贯标线上工作座谈会召开2020年3月25日，工业和信息化部信息技术发展司组织召开 工控安全防护能力贯标线上工作座谈会。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准,标准号为GB/T 28448—2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448—2012进行修订.根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd—WG5—006.1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字［2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现.《信息安全技术信息系统安全等级保护基本要求》（GB/T22239—2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）(简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准，《测评要求》需要同步修订,依据《基本要求》的更新内容对应修订相关的单元测评章节.此外,《测评要求》还需要吸收近年来的测评实践，更新整体测评方法和测评结论形成方法.1.3 与其他标准的关系图1 等级保护标准相互关系从上图可以看出，在等级保护对象实施安全保护过程中，首先利用《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008）(简称“《定级指南》"）确定等级保护对象的安全保护等级，然后根据《信息安全技术 网络安全等级保护基本要求》系列标准选择安全控制措施,随后利用《信息安全技术 信息系统安全等级保护实施指南》(简称“《实施指南》”）或其他相关标准确定其特殊安全需求，进行等级保护对象的安全规划和建设工作,此后利用《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-20XX)(简称“《测评过程指南》”）来规范测评过程和各项活动，利用《信息安全技术 网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。

《网络安全法》相关配套法律法规和规范性文件梳理《中华人民共和国网络安全法》（以下简称《网络安全法》）于2019年6月1日正式实施。

《网络安全法》作为我国网络空间安全管理的基本法律，框架性地构建了许多法律制度和要求，重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。

为保障上述制度的有效实施，一方面，以国家互联网信息办公室（以下简称“网信办”）为主的监管部门制定了多项配套法规，进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式；另一方面，全国信息安全标准化技术委员会（以下简称“信安标委”）同时制定并公开了一系列以信息安全技术为主的重要标准的征求意见稿，为网络运营者提供了非常具有操作性的合规指引。

具体讲：1. 在互联网信息内容管理制度方面网信办颁布了《互联网信息内容管理行政执法程序规定》，并已经针对互联网新闻信息服务、互联网论坛社区服务、公众账户信息服务、群组信息服务、跟帖评论服务等制定了专门的管理规定或规范性文件，以期全方位多层次地保障互联网信息内容的安全和可控性；2. 在网络安全等级保护制度方面信安标委在原有的信息系统安全等级保护制度的基础之上，发布了包括《网络安全等级保护实施指南》、《网络安全等级保护基本要求》等在内的多项标准文件的征求意见稿。

考虑到现行的《信息安全等级保护管理办法》已不适用《网络安全法》的要求，新的《网络安全等级保护管理办法》也正在制定中；3. 在关键信息基础设施安全保护制度方面随着《关键信息基础设施安全保护条例》、《信息安全技术关键信息基础设施安全检查评估指南》等征求意见稿的公布，关键信息基础设施运营者的安全保护义务得以进一步明确。

但是关键信息基础设施的范围依旧有待制定中的《关键信息基础设施识别指南》进行进一步地明确；4. 在个人信息和重要数据保护制度方面其核心内容主要包括个人信息收集和使用过程中的安全规范以及个人信息和重要数据出境时的安全评估制度。

《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》编制说明1.编制背景1.1 项目背景随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，越来越多的政府、企业组织建立了依赖于网络的业务信息系统，比如电子政务、电子商务、网上银行、网络办公等；互联网企业提供给用户各类WEB应用服务，如提供信息发布、信息搜索、电子购物、网上游戏等业务，提供了极大的便利。

与此同时，信息安全的重要性也在不断提升。

近年来，政府、企业各类组织所面临的WEB应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、WEB应用安全漏洞利用等，给组织的信息网络和核心业务造成严重的破坏。

能否及时发现并成功阻止网络黑客的入侵和攻击、保证WEB应用系统的安全和正常运行成为政府、企业所面临的一个重要问题。

传统的网络安全设备如安全网关、入侵检测、防病毒、抗DoS攻击设备、各种VPN设备等等，由于针对不同的网络安全问题，很难形成完善的防护网，且这些产品的很多功能又存在着冗余，往往造成处理性能和响应速度的下降。

以上这些都为WEB应用防火墙类产品带来了广泛的应用需求，同时也对WEB应用防火墙类产品的提供者提出了更高的要求。

近年来WEB应用防火墙类产品的数量增长迅速，市场不断扩大。

为了规范WEB应用防火墙的研发和应用，《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》，对国内的WEB应用防火墙提出统一的安全技术要求以及相应的测试评价方法，使得国内的检测机构根据该标准，能够对WEB应用防火墙进行标准化的测试和评价，从而保证测试评价结果的完整性和一致性；同时也可对WEB应用防火墙的开发者提供指导作用。

为此，上海天泰网络技术有限公司、公安部第三研究所、北京神州绿盟科技有限公司、北京中软华泰信息技术有限责任公司向全国信息安全标准化技术委员会（以下简称：安标委）提交了《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》的制订申请。

国家标准《信息安全技术社交网络平台信息标识管理规范》（征求意见稿）编制说明一、工作简况1、任务来源根据国家标准化管理委员会2017年下达的国家标准制修订计划：《信息安全技术社交网络平台信息标识规范》（国标计划号：20173590-T-469），该标准杭州安恒信息技术股份有限公司负责承办。

该标准由全国信息安全标准化技术委员会归口管理。

2、主要起草单位和工作组成员该标准由杭州安恒信息技术股份有限公司主要负责起草，协作起草单位为杭州弗兰科信息安全科技有限公司、中国科学院信息工程研究所、四川大学、联信摩贝软件（北京）有限公司，主要起草人：吴卓群、杨扬、周俊、刘庆云、朱宇佳、陈兴蜀、王文贤、阮树骅、姚鸣、阿炜、任彦杰、李卫明、余玉娟。

3、主要工作过程标准制定的主要工作过程如下：a)成立编制组。

2017年1月，考虑到互联网信息发布平台信息安全标识规范制定的影响范围，标准编制组广泛吸收了科研机构、高校、目标用户等参与到标准研制工作，成立标准编制组。

b)形成标准草案。

2017年2月-4月，标准编制组通过研究国内外相关法律条文、标准文稿、技术实现等，结合本国国情、现有法律法规、行业实情，编写标准草案。

2017年4月8日-12日，在全国信息安全标准化技术委员会2017年第一次“会议周”（湖北武汉）上，标准立项。

c)形成标准征求意见稿。

2017年6月-7日，标准编制组组织召开组内专家评审会，并根据专家意见，对标准草案进行修改，形成征求意见稿提交WG7工作组。

2017年7月13日—14日，在WG7工作组第二次全体会议中进行汇报并表决，形成征求意见稿（第一版）。

2017年8月-2018年9月期间，编制组分别于2017年8月、2018年5月、2018年8月和2018年9月，组织标准用户单位，如深圳市腾讯计算机系统有限公司、阿里巴巴(北京)软件服务有限公司等多家用户单位的专家团队对标准进行研究和讨论，并在2018年8月，出具了一版新的标准草案，即《社交网络平台有害信息标识与治理规范》，后经与相关部门汇报后予以否定，认定该标准草案不在需求范围内。