信息安全技术-网络安全等级保护设计技术要求-物联网安全要求

信息安全技术网络安全等级保护安全设计技术要求第4部分：物联网安全要求1范围本标准依据《网络安全等级保护安全设计技术要求第1部分：安全通用要求》和《网络安全等级保护基本要求第4部分：物联网安全扩展要求》，规范了信息系统等级保护安全设计要求对物联网系统的扩展设计要求，包括第一级至第四级物联网系统安全保护环境的安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面的设计技术要求。

本标准适用于指导信息系统等级保护物联网系统安全技术方案的设计和实施，也可作为信息安全职能部门对物联网系统进行监督、检查和指导的依据。

2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T 25069-2010信息安全技术术语GB17859-1999计算机信息系统安全保护等级划分准则GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南GB/T 25070-2010网络安全等级保护安全设计技术要求第1部分：安全通用要求GB/T 22239.4-XXXX网络安全等级保护基本要求第4部分：物联网安全扩展要求GB/T XXXX物联网第2部分：术语GB/T XXXX物联网第3部分：参考体系结构与通用技术要求3术语和定义下列术语和定义适用于本标准。

3.1定级系统classified system按照已确定安全保护等级的物联网系统。

定级系统分为第一级、第二级、第三级和第四级物联网系统。

3.2定级系统安全保护环境security environment of classified system由安全计算环境、安全区域边界、安全通信网络和（或）安全管理中心构成的对定级系统进行安全保护的环境。

定级系统安全保护环境包括第一级物联网系统安全保护环境、第二级物联网系统安全保护环境、第三级物联网系统安全保护环境、第四级物联网系统安全保护环境以及定级系统的安全互联。

《信息安全技术网络安全等级保护基本要
求》
随着网络技术的发展，信息安全等级保护已经成为人们关注的热点。

信息安全等级保护涉及到对网络安全的基本要求，为了确保网络安全，网络安全等级保护基本要求应得到充分重视。

首先，应建立一套有效的网络安全保护体系，以防止恶意攻击和未经授权的访问。

另外，应采取措施加强网络安全，包括定期进行安全漏洞扫描，实施安全审计，定期系统备份，立即纠正发现的安全问题，实施信息安全管理制度，并定期对安全措施进行评估。

此外，信息安全等级保护还应重视网络安全技术，包括安全加密技术、访问控制技术、认证技术、日志审计技术和网络安全审计技术等。

另外，还应重视网络安全管理，包括设计安全政策，实施安全措施，定期评估安全状态，根据实际需要定期更新安全措施，以及定期举办员工培训和安全宣传活动等。

最后，网络安全等级保护基本要求也必须结合实际情况，综合考虑经济、技术等因素，完善安全保护措施，以期获得最佳效果。

总之，信息安全等级保护基本要求是非常重要的，只有通过建立完善的网络安全保护体系，采取有效的网络安全技术和网络安全管理措施，并结合实际情况，才能有效地保障网络安全。

网络安全等级保护：信息安全技术国家标准列表在国家标准中，我们常见“GB”、“GB/T”、“GB/Z”，各代表什么呢？强制标准冠以“GB”，如GB 17859-1999。

推荐标准冠以“GB/T”。

指导性国家标准（GB/Z），“Z”在此读“指”。

与很多ISO国际标准相比，很多国家标准等同采用（IDT，identical to 其他标准）、修改采用(MOD，modified in relation to 其他标准；2000年以前称作“等效采用，EQV, equivalent to 其他标准）或非等效采用(NEQ，not equivalent to 其他标准)。

还有常见的“采标”是“采用国际标准的简称”。

IDT如GB/T 29246-2017/ISO/IEC 27000：2016（ISO/IEC 27000：2016，IDT），也就是GB/T 29246-2017等同于ISO/IEC 27000：2016，也就是国际标准ISO 27000其实就是我国国标GB/T 29246。

因为是采用国际标准，涉及到版权，所以我们在查相关国标时，官方正规渠道是不允许预览的。

从中我们看到，其实要学习ISO/ICE 27000标准族，从我收集的标准找到的就有27001-27005对应国标。

我们今天，主要是整理了一下有关网络安全等级保护的现行标准目录，以及以“信息安全技术”作为关键字的国家标准，供大家参考！有关国标与27000系列对照的，待以后整理完成后通过公众号和大家一起探讨。

网络安全等级保护现行国家标准，供参考！整理自全国标准信息公共服务平台：序号标准号标准名称状态发布日期实施日期1 GB/T 22240-2020信息安全技术网络安全等级保护定级指南现行2020/4/28 2020/11/12 GB/T 25058-2019信息安全技术网络安全等级保护实施指南现行2019/8/30 2020/3/13 GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求现行2019/5/10 2019/12/14 GB/T 22239-2019信息安全技术网络安全等级保护基本要求现行2019/5/10 2019/12/15 GB/T 28448-2019信息安全技术网络安全等级保护测评要求现行2019/5/10 2019/12/16 GB/T 28449-2018信息安全技术网络安全等级保护测评过程指南现行2018/12/28 2019/7/17 GB/T 36958-2018信息安全技术网络安全等级保护安全管理中心技术要求现行2018/12/28 2019/7/18 GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范现行2018/12/28 2019/7/19 GB/T 37138-2018电力信息系统安全等级保护实施指南现行2018/12/28 2019/7/110 GB/T 36627-2018信息安全技术网络安全等级保护测试评估技术指南现行2018/9/17 2019/4/111 GB/T 35317-2017公安物联网系统信息安全等级保护要求现行2017/12/29 2017/12/29信息安全技术有关国家标准，整理自全国标准信息公共服务平台：1 GB/T 39725-2020信息安全技术健康医疗数据安全指南现行2020/12/14 2021/7/12 GB/T 39720-2020信息安全技术移动智能终端安全技术要求及测试评价方法现行2020/12/14 2021/7/13 GB/T 39680-2020信息安全技术服务器安全技术要求和测评准则现行2020/12/14 2021/7/14 GB/T 30276-2020信息安全技术网络安全漏洞管理规范现行2020/11/19 2021/6/15 GB/T 20261-2020信息安全技术系统安全工程能力成熟度模型现行2020/11/19 2021/6/16 GB/T 30279-2020信息安全技术网络安全漏洞分类分级指南现行2020/11/19 2021/6/17 GB/T 28458-2020信息安全技术网络安全漏洞标识与描述规范现行2020/11/19 2021/6/18 GB/T 25061-2020信息安全技术XML数字签名语法与处理规范现行2020/11/19 2021/6/19 GB/T 39276-2020信息安全技术网络产品和服务安全通用要求现行2020/11/19 2021/6/110 GB/T 39335-2020信息安全技术个人信息安全影响评估指南现行2020/11/19 2021/6/111 GB/T 39477-2020信息安全技术政务信息共享数据安全技术要求现行2020/11/19 2021/6/112 GB/T 39412-2020信息安全技术代码安全审计规范现行2020/11/19 2021/6/113 GB/T 39205-2020信息安全技术轻量级鉴别与访问控制机制现行2020/10/11 2021/5/114 GB/T 20283-2020信息安全技术保护轮廓和安全目标的产生指南现行2020/9/29 2021/4/115 GB/T 20281-2020信息安全技术防火墙安全技术要求和测试评价方法现行2020/4/28 2020/11/116 GB/T 22240-2020信息安全技术网络安全等级保护定级指南现行2020/4/28 2020/11/117 GB/T 25066-2020信息安全技术信息安全产品类别与代码现行2020/4/28 2020/11/118 GB/T 30284-2020信息安全技术移动通信智能终端操作系统安全技术要求现行2020/4/28 2020/11/119 GB/T 38625-2020信息安全技术密码模块安全检测要求现行2020/4/28 2020/11/120 GB/T 38626-2020信息安全技术智能联网设备口令保护指南现行2020/4/28 2020/11/121 GB/T 38628-2020信息安全技术汽车电子系统网络安全指南现行2020/4/28 2020/11/122 GB/T 38629-2020信息安全技术签名验签服务器技术规范现行2020/4/28 2020/11/123 GB/T 38632-2020信息安全技术智能音视频采集设备应用安全要求现行2020/4/28 2020/11/124 GB/T 38635.1-202信息安全技术SM9标识密码算法第1部分：总则现行2020/4/28 2020/11/125 GB/T 38635.2-202信息安全技术SM9标识密码算法第2部分：算法现行2020/4/28 2020/11/126 GB/T 38636-2020信息安全技术传输层密码协议（TLCP）现行2020/4/28 2020/11/127 GB/T 38638-2020信息安全技术可信计算可信计算体系结构现行2020/4/28 2020/11/128 GB/T 38644-2020信息安全技术可信计算可信连接测试方法现行2020/4/28 2020/11/129 GB/T 38645-2020信息安全技术网络安全事件应急演练指南现行2020/4/28 2020/11/130 GB/T 38646-2020信息安全技术移动签名服务技术要求现行2020/4/28 2020/11/131 GB/T 38648-2020信息安全技术蓝牙安全指南现行2020/4/28 2020/11/132 GB/T 38671-2020信息安全技术远程人脸识别系统技术要求现行2020/4/28 2020/11/133 GB/T 38674-2020信息安全技术应用软件安全编程指南现行2020/4/28 2020/11/134 GB/T 35273-2020信息安全技术个人信息安全规范现行2020/3/6 2020/10/135 GB/T 38540-2020信息安全技术安全电子签章密码技术规范现行2020/3/6 2020/10/136 GB/T 38541-2020信息安全技术电子文件密码应用指南现行2020/3/6 2020/10/137 GB/T 38542-2020信息安全技术基于生物特征识别的移动智能终端身份鉴别技术框架现行2020/3/6 2020/10/138 GB/T 38556-2020信息安全技术动态口令密码应用技术规范现行2020/3/6 2020/10/139 GB/T 38558-2020信息安全技术办公设备安全测试方法现行2020/3/6 2020/10/140 GB/T 38561-2020信息安全技术网络安全管理支撑系统技术要求现行2020/3/6 2020/10/141 GB/T 38249-2019信息安全技术政府网站云计算服务安全指南现行2019/10/18 2020/5/142 GB/T 20272-2019信息安全技术操作系统安全技术要求现行2019/8/30 2020/3/143 GB/T 25058-2019信息安全技术网络安全等级保护实施指南现行2019/8/30 2020/3/144 GB/T 37962-2019信息安全技术工业控制系统产品信息安全通用评估准则现行2019/8/30 2020/3/145 GB/T 21050-2019信息安全技术网络交换机安全技术要求现行2019/8/30 2020/3/146 GB/T 20009-2019信息安全技术数据库管理系统安全评估准则现行2019/8/30 2020/3/147 GB/T 18018-2019信息安全技术路由器安全技术要求现行2019/8/30 2020/3/148 GB/T 20979-2019信息安全技术虹膜识别系统技术要求现行2019/8/30 2020/3/149 GB/T 37971-2019信息安全技术智慧城市安全体系框架现行2019/8/30 2020/3/150 GB/T 37973-2019信息安全技术大数据安全管理指南现行2019/8/30 2020/3/151 GB/T 20273-2019信息安全技术数据库管理系统安全技术要求现行2019/8/30 2020/3/152 GB/T 37980-2019信息安全技术工业控制系统安全检查指南现行2019/8/30 2020/3/153 GB/T 37931-2019信息安全技术Web应用安全检测系统安全技术要求和测试评价方法现行2019/8/30 2020/3/154 GB/T 37934-2019信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求现行2019/8/30 2020/3/155 GB/T 37932-2019信息安全技术数据交易服务安全要求现行2019/8/30 2020/3/156 GB/T 37933-2019信息安全技术工业控制系统专用防火墙技术要求现行2019/8/30 2020/3/157 GB/T 37988-2019信息安全技术数据安全能力成熟度模型现行2019/8/30 2020/3/158 GB/T 37972-2019信息安全技术云计算服务运行监管框架现行2019/8/30 2020/3/159 GB/T 37935-2019信息安全技术可信计算规范可信软件基现行2019/8/30 2020/3/160 GB/T 37941-2019信息安全技术工业控制系统网络审计产品安全技术要求现行2019/8/30 2020/3/161 GB/T 37939-2019信息安全技术网络存储安全技术要求现行2019/8/30 2020/3/162 GB/T 37964-2019信息安全技术个人信息去标识化指南现行2019/8/30 2020/3/163 GB/T 37950-2019信息安全技术桌面云安全技术要求现行2019/8/30 2020/3/164 GB/T 37954-2019信息安全技术工业控制系统漏洞检测产品技术要求及测试评价方法现行2019/8/30 2020/3/165 GB/T 37952-2019信息安全技术移动终端安全管理平台技术要求现行2019/8/30 2020/3/166 GB/T 37953-2019信息安全技术工业控制网络监测安全技术要求及测试评价方法现行2019/8/30 2020/3/167 GB/T 37955-2019信息安全技术数控网络安全技术要求现行2019/8/30 2020/3/168 GB/T 37956-2019信息安全技术网站安全云防护平台技术要求现行2019/8/30 2020/3/169 GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求现行2019/5/10 2019/12/170 GB/T 22239-2019信息安全技术网络安全等级保护基本要求现行2019/5/10 2019/12/171 GB/T 28448-2019信息安全技术网络安全等级保护测评要求现行2019/5/10 2019/12/172 GB/T 28449-2018信息安全技术网络安全等级保护测评过程指南现行2018/12/28 2019/7/173 GB/T 36629.3-2018信息安全技术公民网络电子身份标识安全技术要求第3部分：验证服务消息及其处理规则现行2018/12/28 2019/7/174 GB/T 36950-2018信息安全技术智能卡安全技术要求（EAL4+）现行2018/12/28 2019/7/175 GB/T 36951-2018信息安全技术物联网感知终端应用安全技术要求现行2018/12/28 2019/7/176 GB/T 36957-2018信息安全技术灾难恢复服务要求现行2018/12/28 2019/7/177 GB/T 36958-2018信息安全技术网络安全等级保护安全管理中心技术要求现行2018/12/28 2019/7/178 GB/T 36959-2018信息安全技术网络安全等级保护测评机构能力要求和评估规范现行2018/12/28 2019/7/179 GB/T 36960-2018信息安全技术鉴别与授权访问控制中间件框架与接口现行2018/12/28 2019/7/180 GB/T 36968-2018信息安全技术IPSec VPN技术规范现行2018/12/28 2019/7/181 GB/T 37002-2018信息安全技术电子邮件系统安全技术要求现行2018/12/28 2019/7/182 GB/T 37024-2018信息安全技术物联网感知层网关安全技术要求现行2018/12/28 2019/7/183 GB/T 37025-2018信息安全技术物联网数据传输安全技术要求现行2018/12/28 2019/7/184 GB/T 37027-2018信息安全技术网络攻击定义及描述规范现行2018/12/28 2019/7/185 GB/T 37033.1-2018信息安全技术射频识别系统密码应用技术要求第1部分：密码安全保护框架及安全级别现行2018/12/28 2019/7/186 GB/T 37033.2-2018信息安全技术射频识别系统密码应用技术要求第2部分：电子标签与读写器及其通信密码应用技术要求现行2018/12/28 2019/7/187 GB/T 37033.3-2018信息安全技术射频识别系统密码应用技术要求第3部分：密钥管理技术要求现行2018/12/28 2019/7/188 GB/T 37044-2018信息安全技术物联网安全参考模型及通用要求现行2018/12/28 2019/7/189 GB/T 37046-2018信息安全技术灾难恢复服务能力评估准则现行2018/12/28 2019/7/190 GB/T 37076-2018信息安全技术指纹识别系统技术要求现行2018/12/28 2019/7/191 GB/T 37090-2018信息安全技术病毒防治产品安全技术要求和测试评价方法现行2018/12/28 2019/7/192 GB/T 37091-2018信息安全技术安全办公U盘安全技术要求现行2018/12/28 2019/7/193 GB/T 37092-2018信息安全技术密码模块安全要求现行2018/12/28 2019/7/194 GB/T 37093-2018信息安全技术物联网感知层接入通信网的安全要求现行2018/12/28 2019/7/195 GB/T 37094-2018信息安全技术办公信息系统安全管理要求现行2018/12/28 2019/7/196 GB/T 37095-2018信息安全技术办公信息系统安全基本技术要求现行2018/12/28 2019/7/197 GB/T 37096-2018信息安全技术办公信息系统安全测试规范现行2018/12/28 2019/7/198 GB/T 36629.1-2018信息安全技术公民网络电子身份标识安全技术要求第1部分：读写机具安全技术要求现行2018/10/10 2019/5/199 GB/T 36629.2-2018信息安全技术公民网络电子身份标识安全技术要求第2部分：载体安全技术要求现行2018/10/10 2019/5/1100 GB/T 36632-2018信息安全技术公民网络电子身份标识格式规范现行2018/10/10 2019/5/1101 GB/T 36637-2018信息安全技术ICT供应链安全风险管理指南现行2018/10/10 2019/5/1102 GB/T 36643-2018信息安全技术网络安全威胁信息格式规范现行2018/10/10 2019/5/1103 GB/T 36651-2018信息安全技术基于可信环境的生物特征识别身份鉴别协议框架现行2018/10/10 2019/5/1104 GB/T 36618-2018信息安全技术金融信息服务安全规范现行2018/9/17 2019/4/1105 GB/T 36619-2018信息安全技术政务和公益机构域名命名规范现行2018/9/17 2019/4/1106 GB/T 36626-2018信息安全技术信息系统安全运维管理指南现行2018/9/17 2019/4/1107 GB/T 36627-2018信息安全技术网络安全等级保护测试评估技术指南现行2018/9/17 2019/4/1108 GB/T 36630.1-2018信息安全技术信息技术产品安全可控评价指标第1部分：总则现行2018/9/17 2019/4/1109 GB/T 36630.2-2018信息安全技术信息技术产品安全可控评价指标第2部分：中央处理器现行2018/9/17 2019/4/1110 GB/T 36630.3-2018信息安全技术信息技术产品安全可控评价指标第3部分：操作系统现行2018/9/17 2019/4/1111 GB/T 366信息安全技术信息技术产品安全可控现2018/9/17 2019/4/130.4-2018评价指标第4部分：办公套件行112 GB/T 36630.5-2018信息安全技术信息技术产品安全可控评价指标第5部分：通用计算机现行2018/9/17 2019/4/1113 GB/T 36631-2018信息安全技术时间戳策略和时间戳业务操作规则现行2018/9/17 2019/4/1114 GB/T 36633-2018信息安全技术网络用户身份鉴别技术指南现行2018/9/17 2019/4/1115 GB/T 36635-2018信息安全技术网络安全监测基本要求与实施指南现行2018/9/17 2019/4/1116 GB/T 36639-2018信息安全技术可信计算规范服务器可信支撑平台现行2018/9/17 2019/4/1117 GB/T 36644-2018信息安全技术数字签名应用安全证明获取方法现行2018/9/17 2019/4/1118 GB/T 20518-2018信息安全技术公钥基础设施数字证书格式现行2018/6/7 2019/1/1119 GB/T 25056-2018信息安全技术证书认证系统密码及其相关安全技术规范现行2018/6/7 2019/1/1120 GB/T 36322-2018信息安全技术密码设备应用接口规范现行2018/6/7 2019/1/1121 GB/T 36323-2018信息安全技术工业控制系统安全管理基本要求现行2018/6/7 2019/1/1122 GB/T 36324-2018信息安全技术工业控制系统信息安全分级规范现行2018/6/7 2019/1/1123 GB/T 36466-2018信息安全技术工业控制系统风险评估实施指南现行2018/6/7 2019/1/1124 GB/T 36470-2018信息安全技术工业控制系统现场测控设备通用安全功能要求现行2018/6/7 2019/1/1126 GB/T 35274-2017信息安全技术大数据服务安全能力要求现行2017/12/29 2018/7/1127 GB/T 35275-2017信息安全技术SM2密码算法加密签名消息语法规范现行2017/12/29 2018/7/1128 GB/T 35276-2017信息安全技术SM2密码算法使用规范现行2017/12/29 2018/7/1129 GB/T 35277-2017信息安全技术防病毒网关安全技术要求和测试评价方法现行2017/12/29 2018/7/1130 GB/T 35278-2017信息安全技术移动终端安全保护技术要求现行2017/12/29 2018/7/1131 GB/T 35279-2017信息安全技术云计算安全参考架构现行2017/12/29 2018/7/1132 GB/T 35280-2017信息安全技术信息技术产品安全检测机构条件和行为准则现行2017/12/29 2018/7/1133 GB/T 352信息安全技术移动互联网应用服务现2017/12/29 2018/7/181-2017 器安全技术要求行134 GB/T 35282-2017信息安全技术电子政务移动办公系统安全技术规范现行2017/12/29 2018/7/1135 GB/T 35283-2017信息安全技术计算机终端核心配置基线结构规范现行2017/12/29 2018/7/1136 GB/T 35284-2017信息安全技术网站身份和系统安全要求与评估方法现行2017/12/29 2018/7/1137 GB/T 35285-2017信息安全技术公钥基础设施基于数字证书的可靠电子签名生成及验证技术要求现行2017/12/29 2018/7/1138 GB/T 35286-2017信息安全技术低速无线个域网空口安全测试规范现行2017/12/29 2018/7/1139 GB/T 35287-2017信息安全技术网站可信标识技术指南现行2017/12/29 2018/7/1140 GB/T 35288-2017信息安全技术电子认证服务机构从业人员岗位技能规范现行2017/12/29 2018/7/1141 GB/T 35289-2017信息安全技术电子认证服务机构服务质量规范现行2017/12/29 2018/7/1142 GB/T 35290-2017信息安全技术射频识别（RFID）系统通用安全技术要求现行2017/12/29 2018/7/1143 GB/T 35291-2017信息安全技术智能密码钥匙应用接口规范现行2017/12/29 2018/7/1144 GB/T 34942-2017信息安全技术云计算服务安全能力评估方法现行2017/11/1 2018/5/1145 GB/T 34975-2017信息安全技术移动智能终端应用软件安全技术要求和测试评价方法现行2017/11/1 2018/5/1146 GB/T 34976-2017信息安全技术移动智能终端操作系统安全技术要求和测试评价方法现行2017/11/1 2018/5/1147 GB/T 34977-2017信息安全技术移动智能终端数据存储安全技术要求与测试评价方法现行2017/11/1 2018/5/1148 GB/T 34978-2017信息安全技术移动智能终端个人信息保护技术要求现行2017/11/1 2018/5/1149 GB/T 34990-2017信息安全技术信息系统安全管理平台技术要求和测试评价方法现行2017/11/1 2018/5/1150 GB/T 35101-2017信息安全技术智能卡读写机具安全技术要求（EAL4增强）现行2017/11/1 2018/5/1151 GB 35114-2017公共安全视频监控联网信息安全技术要求现行2017/11/1 2018/11/1152 GB/T 34095-2017信息安全技术用于电子支付的基于近距离无线通信的移动终端安全技术要求现行2017/7/31 2018/2/1153 GB/T 32918.5-2017信息安全技术SM2椭圆曲线公钥密码算法第5部分：参数定义现行2017/5/12 2017/12/1154 GB/T 33560-2017信息安全技术密码应用标识规范现行2017/5/12 2017/12/1155 GB/T 33561-2017信息安全技术安全漏洞分类现行2017/5/12 2017/12/1156 GB/T 33562-2017信息安全技术安全域名系统实施指南现行2017/5/12 2017/12/1157 GB/T 33563-2017信息安全技术无线局域网客户端安全技术要求（评估保障级2级增强）现行2017/5/12 2017/12/1158 GB/T 33565-2017信息安全技术无线局域网接入系统安全技术要求（评估保障级2级增强)现行2017/5/12 2017/12/1159 GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求现行2016/10/13 2017/5/1160 GB/T 33132-2016信息安全技术信息安全风险处理实施指南现行2016/10/13 2017/5/1161 GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分：算法描述现行2016/10/13 2017/5/1162 GB/T 33134-2016信息安全技术公共域名服务系统安全要求现行2016/10/13 2017/5/1163 GB/T 20276-2016信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求现行2016/8/29 2017/3/1164 GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求现行2016/8/29 2017/3/1165 GB/T 32905-2016信息安全技术SM3密码杂凑算法现行2016/8/29 2017/3/1166 GB/T 32907-2016信息安全技术SM4分组密码算法现行2016/8/29 2017/3/1167 GB/T 32914-2016信息安全技术信息安全服务提供方管理要求现行2016/8/29 2017/3/1169 GB/T 32919-2016信息安全技术工业控制系统安全控制应用指南现行2016/8/29 2017/3/1170 GB/T 32921-2016信息安全技术信息技术产品供应方行为安全准则现行2016/8/29 2017/3/1171 GB/T 32922-2016信息安全技术IPSec VPN安全接入基本要求与实施指南现行2016/8/29 2017/3/1172 GB/T 32924-2016信息安全技术网络安全预警指南现行2016/8/29 2017/3/1173 GB/T 32925-2016信息安全技术政府联网计算机终端安全管理基本要求现行2016/8/29 2017/3/1174 GB/T 32926-2016信息安全技术政府部门信息技术服务外包信息安全管理规范现行2016/8/29 2017/3/1175 GB/T 32927-2016信息安全技术移动智能终端安全架构现行2016/8/29 2017/3/1176 GB/T 329信息安全技术二元序列随机性检测现2016/8/29 2017/3/115-2016 方法行177 GB/T 32918.4-2016信息安全技术SM2椭圆曲线公钥密码算法第4部分：公钥加密算法现行2016/8/29 2017/3/1178 GB/T 32918.3-2016信息安全技术SM2椭圆曲线公钥密码算法第3部分：密钥交换协议现行2016/8/29 2017/3/1179 GB/T 32918.2-2016信息安全技术SM2椭圆曲线公钥密码算法第2部分：数字签名算法现行2016/8/29 2017/3/1180 GB/T 32918.1-2016信息安全技术SM2椭圆曲线公钥密码算法第1部分：总则现行2016/8/29 2017/3/1181 GB/T 32213-2015信息安全技术公钥基础设施远程口令鉴别与密钥建立规范现行2015/12/10 2016/8/1182 GB/T 20277-2015信息安全技术网络和终端隔离产品测试评价方法现行2015/5/15 2016/1/1183 GB/T 20279-2015信息安全技术网络和终端隔离产品安全技术要求现行2015/5/15 2016/1/1185 GB/T 31495.1-2015信息安全技术信息安全保障指标体系及评价方法第1部分：概念和模型现行2015/5/15 2016/1/1186 GB/T 31495.2-2015信息安全技术信息安全保障指标体系及评价方法第2部分：指标体系现行2015/5/15 2016/1/1187 GB/T 31495.3-2015信息安全技术信息安全保障指标体系及评价方法第3部分：实施指南现行2015/5/15 2016/1/1188 GB/T 31499-2015信息安全技术统一威胁管理产品技术要求和测试评价方法现行2015/5/15 2016/1/1189 GB/T 31500-2015信息安全技术存储介质数据恢复服务要求现行2015/5/15 2016/1/1190 GB/T 31501-2015信息安全技术鉴别与授权授权应用程序判定接口规范现行2015/5/15 2016/1/1191 GB/T 31502-2015信息安全技术电子支付系统安全保护框架现行2015/5/15 2016/1/1192 GB/T 31503-2015信息安全技术电子文档加密与签名消息语法现行2015/5/15 2016/1/1193 GB/T 31504-2015信息安全技术鉴别与授权数字身份信息服务框架规范现行2015/5/15 2016/1/1195 GB/T 31506-2015信息安全技术政府门户网站系统安全技术指南现行2015/5/15 2016/1/1196 GB/T 31507-2015信息安全技术智能卡通用安全检测指南现行2015/5/15 2016/1/1197 GB/T 31508-2015信息安全技术公钥基础设施数字证书策略分类分级规范现行2015/5/15 2016/1/1198 GB/T 31509-2015信息安全技术信息安全风险评估实施指南现行2015/5/15 2016/1/1199 GB/T 31167-2014信息安全技术云计算服务安全指南现行2014/9/3 2015/4/1200 GB/T 31168-2014信息安全技术云计算服务安全能力要求现行2014/9/3 2015/4/1201 GB/T 20275-2013信息安全技术网络入侵检测系统技术要求和测试评价方法现行2013/12/31 2014/7/15202 GB/T 20278-2013信息安全技术网络脆弱性扫描产品安全技术要求现行2013/12/31 2014/7/15203 GB/T 20945-2013信息安全技术信息系统安全审计产品技术要求和测试评价方法现行2013/12/31 2014/7/15204 GB/T 30271-2013信息安全技术信息安全服务能力评估准则现行2013/12/31 2014/7/15205 GB/T 30272-2013信息安全技术公钥基础设施标准一致性测试评价指南现行2013/12/31 2014/7/15206 GB/T 30273-2013信息安全技术信息系统安全保障通用评估指南现行2013/12/31 2014/7/15208 GB/T 30275-2013信息安全技术鉴别与授权认证中间件框架与接口规范现行2013/12/31 2014/7/15209 GB/T 30276-2013信息安全技术信息安全漏洞管理规范现行2013/12/31 2014/7/15211 GB/T 30278-2013信息安全技术政务计算机终端核心配置规范现行2013/12/31 2014/7/15212 GB/T 30279-2013信息安全技术安全漏洞等级划分指南现行2013/12/31 2014/7/15213 GB/T 30280-2013信息安全技术鉴别与授权地理空间可扩展访问控制置标语言现行2013/12/31 2014/7/15214 GB/T 30281-2013信息安全技术鉴别与授权可扩展访问控制标记语言现行2013/12/31 2014/7/15215 GB/T 30282-2013信息安全技术反垃圾邮件产品技术要求和测试评价方法现行2013/12/31 2014/7/15216 GB/T 30283-2013信息安全技术信息安全服务分类现行2013/12/31 2014/7/15217 GB/T 30285-2013信息安全技术灾难恢复中心建设与运维管理规范现行2013/12/31 2014/7/15218 GB/T 29827-2013信息安全技术可信计算规范可信平台主板功能接口现行2013/11/12 2014/2/1219 GB/T 29828-2013信息安全技术可信计算规范可信连接架构现行2013/11/12 2014/2/1220 GB/T 29829-2013信息安全技术可信计算密码支撑平台功能与接口规范现行2013/11/12 2014/2/1221 GB/T 29765-2013信息安全技术数据备份与恢复产品技术要求与测试评价方法现行2013/9/18 2014/5/1222 GB/T 29766-2013信息安全技术网站数据恢复产品技术要求与测试评价方法现行2013/9/18 2014/5/1223 GB/T 29767-2013信息安全技术公钥基础设施桥CA体系证书分级规范现行2013/9/18 2014/5/1224 GB/T 29240-2012信息安全技术终端计算机通用安全技术要求与测试评价方法现行2012/12/31 2013/6/1225 GB/T 29241-2012信息安全技术公钥基础设施 PKI互操作性评估准则现行2012/12/31 2013/6/1226 GB/T 29242-2012信息安全技术鉴别与授权安全断言标记语言现行2012/12/31 2013/6/1227 GB/T 29243-2012信息安全技术数字证书代理认证路径构造和代理验证规范现行2012/12/31 2013/6/1228 GB/T 29244-2012信息安全技术办公设备基本安全要求现行2012/12/31 2013/6/1229 GB/T 29245-2012信息安全技术政府部门信息安全管理基本要求现行2012/12/31 2013/6/1230 GB/T 28447-2012信息安全技术电子认证服务机构运营管理规范现行2012/6/29 2012/10/1233 GB/T 28450-2012信息安全技术信息安全管理体系审核指南现行2012/6/29 2012/10/1234 GB/T 28451-2012信息安全技术网络型入侵防御产品技术要求和测试评价方法现行2012/6/29 2012/10/1235 GB/T 28452-2012信息安全技术应用软件系统通用安全技术要求现行2012/6/29 2012/10/1236 GB/T 28453-2012信息安全技术信息系统安全管理评估要求现行2012/6/29 2012/10/1237 GB/T 28455-2012信息安全技术引入可信第三方的实体鉴别及接入架构规范现行2012/6/29 2012/10/1238 GB/T 28458-2012信息安全技术安全漏洞标识与描述规范现行2012/6/29 2012/10/1239 GB/T 26855-2011信息安全技术公钥基础设施证书策略与认证业务声明框架现行2011/7/29 2011/11/1240 GB/T 25064-2010信息安全技术公钥基础设施电子签名格式规范现行2010/9/2 2011/2/1241 GB/T 25069-2010信息安全技术术语现行2010/9/2 2011/2/1248 GB/T 25061-2010信息安全技术公钥基础设施 XML数字签名语法与处理规范现行2010/9/2 2011/2/1249 GB/T 25062-2010信息安全技术鉴别与授权基于角色的访问控制模型与管理规范现行2010/9/2 2011/2/1250 GB/T 25063-2010信息安全技术服务器安全测评要求现行2010/9/2 2011/2/1251 GB/T 25065-2010信息安全技术公钥基础设施签名生成应用程序的安全要求现行2010/9/2 2011/2/1254 GB/T 24363-2009信息安全技术信息安全应急响应计划规范现行2009/9/30 2009/12/1255 GB/T 20274.2-2008信息安全技术信息系统安全保障评估框架第2部分：技术保障现行2008/7/18 2008/12/1256 GB/T 20274.3-2008信息安全技术信息系统安全保障评估框架第3部分：管理保障现行2008/7/18 2008/12/1257 GB/T 20274.4-2008信息安全技术信息系统安全保障评估框架第4部分：工程保障现行2008/7/18 2008/12/1258 GB/T 17964-2008信息安全技术分组密码算法的工作模式现行2008/6/26 2008/11/1262 GB/T 21052-2007信息安全技术信息系统物理安全技术要求现行2007/8/23 2008/1/1263 GB/T 21053-2007信息安全技术公钥基础设施 PKI系统安全等级保护技术要求现行2007/8/23 2008/1/1264 GB/T 21054-2007信息安全技术公钥基础设施 PKI系统安全等级保护评估准则现行2007/8/23 2008/1/1265 GB/T 21028-2007信息安全技术服务器安全技术要求现行2007/6/29 2007/12/1268 GB/T 20984-2007信息安全技术信息安全风险评估规范现行2007/6/14 2007/11/1270 GB/T 20988-2007信息安全技术信息系统灾难恢复规范现行2007/6/14 2007/11/1274 GB/T 20520-2006信息安全技术公钥基础设施时间戳规范现行2006/8/30 2007/2/1275 GB/T 20269-2006信息安全技术信息系统安全管理要求现行2006/5/31 2006/12/1276 GB/T 20270-2006信息安全技术网络基础安全技术要求现行2006/5/31 2006/12/1277 GB/T 20271-2006信息安全技术信息系统通用安全技术要求现行2006/5/31 2006/12/1280 GB/T 20274.1-2006信息安全技术信息系统安全保障评估框架第一部分：简介和一般模型现行2006/5/31 2006/12/1281 GB/T 20280-2006信息安全技术网络脆弱性扫描产品测试评价方法现行2006/5/31 2006/12/1282 GB/T 20282-2006信息安全技术信息系统安全工程管理要求现行2006/5/31 2006/12/1283 GB/T 20008-2005信息安全技术操作系统安全评估准则现行2005/11/11 2006/5/1286GB/T 20011-2005信息安全技术路由器安全评估准则现行2005/11/11 2006/5/1 网络安全为人民，网络安全靠人民！做对用户有真实价值的网络安全服务《网络安全法》里的关键信息基础设施的运行安全如何选择保护密码？网络安全等级保护：信息技术服务从业人员能力培养网络安全等级保护：信息技术服务过程一般要求如何保护好无线网络安全？数据安全：数据安全能力成熟度模型网络安全等级保护：网络产品和服务安全通用要求之总体目标学习国家网络安全等级保护制度的体系架构良好的网络安全习惯知多少？。

信息安全技术网络安全等级保护安全设计技术要求随着社会和技术的发展，以网络为媒介的信息安全已经成为一个社会问题。

对信息安全技术和网络安全等级保护安全设计技术要求的关注度也在不断增加。

信息安全技术不仅涉及保护数据安全，还包括网络安全、计算机病毒和系统漏洞的防范、网络攻击及预防措施、计算机系统安全建设等。

为了确保网络安全等级的高度，网络安全等级保护安全设计技术要求必须得到满足。

网络安全等级保护安全设计技术要求的核心内容就是安全强度，有三个层次：认证和认可、安全控制和安全策略框架。

这三个层次之间的关系是相互补充的，每一层次都必须得到满足，以便有效地保护系统和数据安全，满足网络安全等级保护安全设计技术要求。

首先，认证和认可是网络安全等级保护安全设计技术的基础。

这一层次的主要内容包括：确定安全、网络安全认证、认可制度和网络安全管理体系等。

确定安全等级的关键在于认证和认可的控制；网络安全认证主要是针对系统资源和其他数据的安全情况进行评估；认可制度是根据安全性和可靠性设定的一种规范，设定在预定的安全等级标准上；最后，网络安全管理体系是建立在认证和认可基础上的，是确定网络安全等级的主要技术手段，它的目的是通过对系统、网络、应用和人员的安全管理，以及认证、审计和日志监控，来维护网络安全等级。

其次，安全控制是网络安全等级保护安全设计技术要求的重要组成部分，其内容包括：认证、权限控制、安全编码和加密、安全报警、应急演练等安全控制技术。

目的在于加强对系统资源和信息的保护，有效防止网络安全等级的降低。

认证主要是确定系统的安全等级，针对每种资源的使用权限做出控制；权限控制则以用户身份、角色身份和用户组身份等来确定用户行为许可；安全编码和加密是实现安全数据传输的重要手段，它可以对数据进行加密保护，以便在传输过程中不被破解；安全报警则具有及时发现网络和系统安全事件的作用，以及实施应急措施；应急演练则主要是以模拟实际网络安全事件的方式，检验安全防护措施的有效性，强化安全观念。

国家标准《信息安全技术网络安全等级保护安全设计技术要求第1部分：通用设计要求》（征求意见稿）编制说明一、工作简况1.1任务来源《信息安全技术信息系统等级保护安全设计技术要求第1部分：通用设计要求》是国家标准化管理委员会 2014年下达的信息安全国家标准制定项目，国标计划号为：GB/T 25070.1-2010，由公安部第一研究所承担，参与单位包括北京工业大学、北京中软华泰信息技术有限责任公司、中国电子信息产业集团有限公司第六研究所、工业和信息化部电信研究院、阿里云计算技术有限公司、公安部第三研究所、中国信息安全测评中心、国家信息技术安全研究中心、浙江中烟工业有限责任公司、中央电视台、北京江南天安科技有限公司、华为技术有限公司、浪潮电子信息产业股份有限公司、浪潮集团、北京启明星辰信息安全技术有限公司。

1.2主要工作过程1)准备阶段2014年3月，在公安部11局的统一领导下，公安部第一研究所同协作单位共同成立标准编写项目组。

2）调研阶段标准起草组成立以后，项目组收集了大量国内外相关标准，进行了研讨，对信息安全的模型、威胁和脆弱性进行了充分讨论。

同时项目组参考了国内等级保护相关标准，为了真实了解行业内的安全要求，项目组也对行业内的企事业单位进行了调研。

3）编写阶段2014年4月，标准起草组组织了多次内部研讨会议，邀请了来自国内相关领域著名的专家、学者开展交流与研讨，确定了标准的总体技术框架、核心内容。

标准起草组按照分工，对标准各部分进行了编写，形成了《信息安全技术信息系统等级保护安全设计技术要求第1部分：通用设计要求》（草案）。

4）首次征求专家意见2014年4月，公安部11局组织业内专家对标准初稿进行了研讨，专家对标准范围、内容、格式等进行了详细讨论，提出了很多宝贵意见。

项目组根据专家意见，对标准进行了修改。

5）第二次征求专家意见2014年9、10月，公安部11局组织业内专家对标准初稿再次进行了研讨，专家再次对标准范围、内容、格式等进行了详细讨论，提出了宝贵意见。

信息安全技术信息系统等级保护安全设计技术要求一、引言信息安全技术信息系统等级保护（简称安全等级）是确定保护信息安全的主要依据。

安全等级在全球范围内得以广泛采用，为不同规模的信息系统提供安全保护，尤其是与计算机有关的信息系统，它受到越来越多的重视。

信息安全技术信息系统等级保护安全设计技术要求是根据安全等级保护要求而制定的，以实现信息系统等级保护的有效实施。

它主要包括信息系统安全建设要求、技术标准、安全控制要求、安全健康验证要求、安全风险管理要求等几个方面。

二、信息系统安全建设要求1、确定安全等级：根据系统内容、规模和应用环境，确定系统安全等级，并且根据安全等级制定安全控制要求。

2、安全需求分析：根据安全等级和系统功能，确定安全需求，并且对其做详细分析。

3、安全建设措施：针对安全分析的结果，确定有效的安全控制措施，以保障信息安全。

4、安全服务及测试：在安全控制实施之前应该进行全面的服务和测试，以保证安全控制措施可以有效地实施。

三、技术标准1、共用技术标准：按照国家发布的信息安全标准，依据国家安全要求、业务属性等，确定相应的安全控制措施，以达到安全要求。

2、可操作程度：检查与信息安全相关的应用系统是否具备足够的可操作性，以使用户可以有效的执行安全等级的安全控制措施。

3、安全增强技术：采用可用的安全增强技术，如双因素认证、VPN、虚拟机等，对安全等级进行有效保护。

4、工程技术标准：根据发展技术需要，系统地提出工程技术标准，为信息安全提供全面的指导和规范。

四、安全控制要求1、安全设计和测试：在设计、开发和测试过程中，应该以安全等级为依据，对系统设计、开发和测试进行充分的安全评估，以确保系统的安全性。

2、安全可控性：确保信息系统的安全性，应该把安全控制纳入系统的整体管理体系，并且把安全控制的实施责任落实到有关的责任人员身上。

3、安全记录：信息系统的安全活动必须保存有完整的日志记录，以便对系统发生的安全事件做出合理的反应。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源信息安全技术信息系统安全等级保护测评要求于2012年成为国家标准,标准号为GB/T 28448-2012,被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作;但是随着信息技术的发展,尤其云计算、移动互联网、物联网和大数据等新技术的发展,该标准在时效性、易用性、可操作性上还需进一步提高,2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订;根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划,国家标准信息安全技术信息系统安全等级保护测评要求修订任务由公安部第三研究所负责主办,项目编号为2013bzxd-WG5-006;1.2制定本标准的目的和意义信息安全等级保护管理办法公通字200743号明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,而且等级测评的技术测评报告是其检查内容之一;这就要求等级测评过程规范、测评结论准确、公正及可重现;信息安全技术信息系统安全等级保护基本要求GB/T22239-2008简称基本要求和信息安全技术信息系统安全等级保护测评要求GB/T28448-2012简称测评要求等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用;伴随着IT技术的发展,基本要求中的一些内容需要结合我国信息安全等级保护工作的特点,结合信息技术发展尤其是信息安全技术发展的特点,比如无线网络的大量使用,数据大集中、云计算等应用方式的普及等,需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力,提出新的各等级的安全保护目标;作为基本要求的姊妹标准,测评要求需要同步修订,依据基本要求的更新内容对应修订相关的单元测评章节;此外,测评要求还需要吸收近年来的测评实践,更新整体测评方法和测评结论形成方法;1.3与其他标准的关系图1 等级保护标准相互关系从上图可以看出,在等级保护对象实施安全保护过程中,首先利用信息安全技术信息系统安全等级保护定级指南GB/T 22240-2008简称“定级指南”确定等级保护对象的安全保护等级,然后根据信息安全技术网络安全等级保护基本要求系列标准选择安全控制措施,随后利用信息安全技术信息系统安全等级保护实施指南简称“实施指南”或其他相关标准确定其特殊安全需求,进行等级保护对象的安全规划和建设工作,此后利用信息安全技术网络安全等级保护测评过程指南GB/T 28449-20XX简称“测评过程指南”来规范测评过程和各项活动,利用信息安全技术网络安全等级保护测评要求系列标准来判断安全控制措施的有效性;同时,等级保护整个实施过程又是由实施指南来指导的;在等级保护的相关标准中,测评要求系列标准是基本要求系列标准的姊妹篇,测评要求针对基本要求中各要求项,提供了具体测评方法、步骤和判断依据等,是为了确认等级保护对象是否按照基本要求中的不同等级的技术和管理要求实施的,而测评过程指南则是规定了开展这些测评活动的基本过程,包括过程、任务及产品等,以指导用户对测评要求的正确使用;1.4标准组成为了适应移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用情况下网络安全等级保护测评工作的开展,需对GB/T 28448-2012进行修订,修订的思路和方法是针对移动互联、虚拟计算、云计算、物联网、工控系统和大数据等新技术、新应用领域提出扩展的测评要求;对GB/T 28448-2012的修订完成后,测评要求标准成为由多个部分组成的系列标准,目前主要有六个部分：——GB/T 信息安全技术网络安全等级保护测评要求第1部分：安全通用要求；——GB/T 信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第3部分：移动互联安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第4部分：物联网安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第5部分：工控控制安全扩展要求；——GB/T 信息安全技术网络安全等级保护测评要求第6部分：大数据安全扩展测评要求; 2编制过程12013年12月,公安部第三研究所、中国电子技术标准化研究院和北京神州绿盟科技有限公司成立了信息安全技术信息安全等级保护测评要求标准编制组;22014年1月至5月,标准编制组按照计划调研了国际和国内无线接入、虚拟计算、云计算平台、大数据应用和工控系统应用等新技术、新应用的情况,分析并总结了新技术和新应用中的安全关注点和要素；同时标准编制组调研了与信息安全技术信息系统安全等级保护测评要求GB/T 28448-2012相关的其他国家标准和行业标准,分析了信息安全技术信息系统安全等级保护基本要求GB/T 22239-2008的修订可能对其产生的影响;32014年5月,为适应无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新技术、新应用的情况下等级保护工作开展,公安部十一局牵头会同有关部门组织2014年新领域的国家标准立项,根据新标准立项结果确定基本要求修订思路发生重大变化,为适应基本要求修订思路的变化在信息安全技术信息系统安全等级保护测评要求GB/T 28448-2012的基础上,针对无线移动接入、虚拟计算环境、云计算平台应用、大数据应用和工控系统应用等新领域形成“测评要求”的分册,如信息安全技术网络安全等级保护测评要求第2部分：云计算安全扩展要求、信息安全技术网络安全等级保护测评要求第3部分：移动互联安全扩展要求、信息安全技术网络安全等级保护测评要求第4部分：物联网安全扩展要求、信息安全技术网络安全等级保护测评要求第5部分：工控控制安全扩展要求和信息安全技术网络安全等级保护测评要求第6部分：大数据安全扩展要求;构成GB/T 、GB/T 、……等测评要求系列标准,上述思路的变化直接影响了国家标准GB/T 28448-2012的修订思路和内容;52014年7月至2015年5月,标准编制组根据新修订基本要求草案第一稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第一稿;62015年5月至2015年12月,标准编制组根据新修订基本要求草案第三稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第二稿;72016年5月至2016年6月,标准编制组根据新修订基本要求草案第五稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第三稿;82016年5月23日,在评估中心针对信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第三稿进行行业内专家评审会;92016年7月,标准编制组根据新修订基本要求草案第六稿和第七稿编制了信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第四稿;92016年7月-8月,将信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第四稿发送11家等级测评机构和WG5工作组成员单位征求意见;102016年8月12日,在北京瑞安宾馆第五会议室召开WG5工作组部分专家评审会,针对信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第四稿征求意见;112016年8月25日,在北京瑞安宾馆第二会议室参加WG5工作组在研标准推进会,在会上征求所有WG5工作组成员单位意见;12根据专家意见已经修订完成,形成信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第五稿;13根据测评机构反馈意见修订完成,形成信息安全技术网络安全等级保护测评要求第1部分：安全通用要求草案第六稿;14前正在推进测评要求后续专标准修订工作;3标准编制的技术路线安全等级保护测评以下简称等级测评的概念性描述框架由两部分构成：单项测评和整体测评,图1给出了等级测评框架;图1 等级测评描述框架针对基本要求各安全要求项的测评称为单项测评,单项测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性;单项测评是由测评指标、测评对象、测评实施和单元判定构成;本部分的测评指标包括信息安全技术网络安全等级保护基本要求第1部分：安全通用要求第四级目录下的要求项;测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等;对于框架来说,每一个被测安全要求项不同级别均有一组与之相关的预先定义的测评对象如制度文档、各类设备设施及相关人员等;制度文档是指针对等级保护对象所制定的相关联的文件如：政策、程序、计划、系统安全需求、功能规格及建筑设计;各类设备是指安装在等级保护对象之内或边界,能起到特定保护作用的相关部件如：硬件、软件、固件或物理设施;相关人员或部门,是指应用上述制度、设备及安全配置的人;测评实施是一组针对特定测评对象,采用相关测评方法,遵从一定的测评规程所形成的,用于测评人员使用的确定该要求项有效性的程序化陈述;测评实施主要由测评方法和测评规程构成;其中测评方法包括：访谈、检查和测试说明见术语,测评人员通过这些方法试图获取证据;上述的评估方法都由一组相关属性来规范测评方法的测评力度;这些属性是：广度覆盖面和深度;对于每一种测评方法都标识定义了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法;上述三种测评方法访谈、检查和测评的测评结果都用以对安全控制的有效性进行评估;测评规程是各类测评方法操作使用的过程、步骤,测评规程实施完成后,可以获得相应的证据;结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法;通过测评实施所获得的所有证据都满足要求则为符合,不全满足要求则该单项要求不符合;整体测评是在单项测评基础上,分别从安全控制点测评,安全控制点间和层面间三个角度分别进行测评;4标准总体框架本标准共分为11章,4个附录,每章内容如下：第1、2、3章,为标准的常规性描述,包括范围、规范性引用文件、术语和定义；第4章,概要描述了安全等级保护测评方法及单项测评和整体测评组成；第5、6、7、8章,分别描述了第一、二、三、四级测评要求,每级分别遵从基本要求的框架从安全技术和安全管理两大方面描述如何实施测评工作,其中技术方面分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面展开；而管理方面则分别从安全策略和管理制度、安全管理机构和人员、安全建设管理和安全系统运维管理四个方面展开,与基本要求形成了相互对照、和谐统一的标准体系;第9章,略掉第五级的测评要求;第10章,描述了系统整体测评方法;在单项测评的基础上,从系统整体的角度综合考虑如何进行系统性的测评;分别从安全控制点、安全控制点间及层面间测评三方面进行描述,分析了在进行系统测评时所需考虑的方向和指导思想;第11章,概要说明了给出测评结论的方法,测评结论主要应该包括哪些方面的内容等;附录A,描述了各种测评方法的测评强度,并具体描述针对不同等级保护对象的测评强度;附录B,描述了测评指标编码规则及专用缩略语;附录C,描述了设计要求测评验证内容;附录D,为基本要求的要求项和测评要求的测评单元索引表;5主要章节的编写方法第5、6、7、8章分别描述了第一级、第二级、第三级和第四级所有测评要求的内容,在章节上分别对应国标GB/T 的第5章到第8章;在国标GB/T 第5章到第8章中,各章的二级目录都分为安全技术和安全管理两部分,三级目录从安全层面如物理和环境安全、网络和通信安全、设备和计算安全等进行划分和描述,四级目录按照安全控制点进行划分和描述如设备和计算安全层面下分为身份鉴别、访问控制、安全审计等,第五级目录是每一个安全控制点下面包括的具体安全要求项;具体编制案例如下;案例：7 第三级测评要求安全技术单项测评物理和环境安全物理位置的选择测评单元L3-PES1-01a 测评指标机房场地应选择在具有防震、防风和防雨等能力的建筑内；本条款引用自b 测评对象记录类文档、机房;c 测评实施1 应核查所在建筑物是否具有建筑物抗震设防审批文档；2 应核查机房是否不存在雨水渗漏；3 应核查门窗是否不存在因风导致的尘土严重；4 应核查屋顶、墙体、门窗和地面等是否不存在破损开裂;d 单元判定如果1-4均为肯定,则等级保护对象符合本测评单元指标要求,否则,等级保护对象不符合或部分符合本测评单元指标要求;测评单元L3-PES1-02a 测评指标机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施;本条款引用自b 测评对象机房;c 测评实施1 应核查是否不位于所在建筑物的顶层或地下室,如果否,则核查是否采取了防水和防潮措施;d 单元判定如果以上测评实施内容为肯定,则等级保护对象符合本测评单元指标要求,否则,等级保护对象不符合本测评单元指标要求;信息安全技术网络系统安全等级保护测评要求第1部分：安全通用要求编写组2016年10月。

信息安全技术网络安全等级保护测评要求第1部分：安全通用要求编制说明1概述1.1任务来源《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。

但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。

根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。

1.2制定本标准的目的和意义《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。

这就要求等级测评过程规范、测评结论准确、公正及可重现。

《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。

伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。

作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。

gbt22239-2019信息安全技术网络安全等级保护基本要求GBT 22239-2019 信息安全技术网络安全等级保护基本要求**前言：**GBT 22239-2019《信息安全技术网络安全等级保护基本要求》是中国国家标准化管理委员会发布的一项关于信息安全技术和网络安全等级保护的基本标准。

该标准的制定旨在规范和提高网络系统安全性，有效防范网络威胁，确保信息的机密性、完整性和可用性。

本文将全面解读GBT 22239-2019标准，深入探讨其基本要求，以期为相关从业人员提供全面准确的指导。

**一、引言：**GBT 22239-2019标准的引言部分明确了该标准的制定目的、范围和适用性。

在信息时代，网络已经成为信息传递、存储和处理的主要平台，但同时也面临着各种网络安全威胁。

该标准旨在建立一套网络安全等级保护的基本要求，为不同领域和行业的网络系统提供统一的安全保障。

**二、术语和定义：**标准的第二部分详细列举了其中涉及的术语和定义，确保在标准的实施过程中各方能够准确理解标准所表达的含义。

例如，对于“网络安全等级”的定义，标准中强调了其包括等级评估、等级保护和等级管理三个方面，为后续内容的理解奠定了基础。

**三、网络安全等级保护要求：**GBT 22239-2019标准的核心部分在于网络安全等级保护的要求。

在这一部分，标准将网络安全等级分为基本要求、一级、二级、三级四个等级，并对每个等级的安全要求进行了明确规定。

这些要求涵盖了信息安全管理、网络设备与系统的安全防护、网络安全事件的处置等多个方面，以全面确保网络系统的安全性。

1. **信息安全管理要求：** 标准强调建立完善的信息安全管理制度，包括安全策略的制定、风险评估与管理、安全培训与教育等方面。

这有助于组织全员形成对信息安全的共识，提高整体的安全防护水平。

2. **网络设备与系统的安全防护要求：** 标准规定了网络设备和系统在不同等级下的具体安全要求。

信息安全技术-网络安全等级保护基本要求随着互联网的飞速发展，信息安全问题变得日益突出，网络安全等级保护已经成为保障信息系统安全的一项重要措施。

在网络安全等级保护中，了解和应用基本要求至关重要。

本文将介绍网络安全等级保护的基本要求，并探讨如何落实这些要求以保障信息系统的安全。

1. 加密要求信息的加密是网络安全的重要保障手段之一。

网络安全等级保护要求根据信息的重要性和敏感程度，采用不同的加密算法和密钥长度。

对于高等级的信息，要求使用更复杂的算法和更长的密钥，以提高信息的安全性。

同时，还要求对加密算法进行保密，确保算法不被恶意利用。

2. 认证要求认证是核实用户身份的关键措施，网络安全等级保护要求采用强制性的身份认证机制。

要求用户在使用信息系统前进行身份验证，并在整个使用过程中保持身份的稳定性。

认证要求不仅包括口令认证，还可以结合其他因素如生物特征、硬件设备等进行多因素认证，以提高认证的安全性。

3. 访问控制要求访问控制是网络安全等级保护的重要要求之一。

要求对信息系统的访问进行严格的控制，只有经过授权的用户才能访问相关信息。

在访问控制中，需要制定合理的权限管理策略，对用户进行细粒度的权限划分，确保用户只能访问其所需的信息，避免未经授权的访问和信息泄露。

4. 审计要求审计是网络安全等级保护的重要手段之一。

要求对信息系统的操作进行全面记录和审计，及时发现和追踪安全事件。

审计要求应覆盖所有用户行为，并采用合适的技术和方法进行信息的存储和检索，保证审计信息的完整性和真实性。

此外，还需要对审计信息进行分析和报告，发现潜在的安全风险，并及时采取措施进行处理。

5. 安全保护要求网络安全等级保护要求在信息系统中采取有效的安全保护措施，保障信息的完整性、机密性和可用性。

对于重要的信息系统，要求采用防火墙、入侵检测系统等安全设备进行防护；要求对系统进行定期的漏洞扫描和安全评估，及时修复安全漏洞；要求建立完善的备份和恢复机制，确保信息的可用性。

信息安全技术信息系统等级保护安全设计技术要求篇一信息安全技术信息系统等级保护安全设计技术要求在当今数字化的时代，信息安全已经成为了至关重要的问题。

随着信息技术的飞速发展，信息系统面临的威胁也日益复杂和多样化。

为了保障信息系统的安全可靠运行，保护用户的隐私和数据安全，我们有必要制定严格的信息系统等级保护安全设计技术要求。

为啥要搞这些要求呢？很简单，咱可不想让那些黑客轻轻松松就把咱们的重要信息给偷走啦！想象一下，如果咱们的信息系统像个纸糊的房子，一戳就破，那得多可怕呀！所以，咱们得把这个“房子”建得坚固无比，让那些不怀好意的家伙无处下手。

接下来咱说说具体要求。

**在访问控制方面**，咱得严格把控。

每个用户的访问权限都得明明白白的，不能随便越界。

比如说，普通员工就别想着能看到老板的机密文件，这能行吗？肯定不行！系统得能识别谁能进哪个“房间”，谁不能进。

而且，访问控制策略得定期审查和更新，这就好比给房子的门锁定期换个新钥匙，防止被人破解。

**在数据加密方面**，那更是重中之重。

敏感数据必须加密存储和传输，这就像给重要的宝贝穿上一层铠甲，让别人就算拿到了也看不懂。

加密算法得选先进的、可靠的，不能用那些老掉牙的容易被破解的算法。

你说是不是？**在安全审计方面**，系统得有一双“慧眼”，能把所有的操作都记录下来。

谁登录了，干了啥，都得清清楚楚。

这就好比在房子里装了监控，任何小动作都逃不过它的眼睛。

要是不遵守这些要求，那后果可严重啦！信息泄露、系统瘫痪，这可不是闹着玩的。

公司可能会遭受巨大的损失，个人也可能会面临法律责任。

所以，大家都得把这些要求放在心上，认真执行！篇二信息安全技术信息系统等级保护安全设计技术要求哎呀，朋友们，咱们来聊聊信息安全这档子事儿！为啥要专门强调信息系统等级保护安全设计技术要求呢？这可不是我瞎操心，你想想，现在信息多值钱啊，万一泄露了，那可真是要了命啦！先说身份鉴别这一块。

每个用户登录系统，都得有独一无二的身份标识，就像每个人都有自己的身份证一样。

信息安全技术—网络安全等级保护基本要求
？
信息安全技术—网络安全等级保护基本要求是对网络安全保护活
动的基本和有效要求。

这些要求是用来保证网络安全的基础，其主要
内容是根据机构的资源和外部安全威胁来确定网络安全等级，实施相
应的安全控制和安全管理活动。

有效的安全技术可以减轻网络安全风险，保护机构网络系统、信息资源和商业数据。

网络安全等级保护基本要求要求机构实施网络安全管理体系，包
括安全政策、安全认证、网络基础架构、应用系统安全和用户身份验证。

此外，机构应该实施科学的网络安全技术，如防火墙和入侵检测
系统，以及安全编程技术，以防止未经授权的访问和篡改信息资源。

此外，机构应建立完善的安全运行规定，采取有效的安全习惯和实践，以防止信息安全事件和漏洞的滥用。

同时，网络安全等级保护基本要求要求实施安全培训，以提高机
构和个人用户的信息安全意识和素养；开展安全审计和入侵检测，以
有效检测和及时预防安全漏洞、攻击和其他安全事件；构建可持续的
安全运维体系，确保网络安全可持续发展。

总之，网络安全等级保护基本要求是确保网络安全的基础，通过
实施安全管理体系、网络安全技术、安全规则、安全培训和安全运维，有效保护机构account系统、信息资源和商业数据。

信息安全技术-网络安全等级保护基本要求一、网络安全等级保护基本要求1. 基础架构（1）建立安全架构：建立一套完整的安全架构，包括人、机械、软件、技术和组织等六大要素，确保网络系统的安全。

（2）建立网络安全策略：建立安全策略旨在强化网络安全和控制系统风险。

安全策略要适合系统规模，明确不允许使用系统资源，明确用户访问控制，明确网络安全防护措施，明确病毒防护措施等。

（3）安全服务：安全服务是对系统安全加以控制的一种有效手段，包括身份验证、审计、网络安全和数据加密等方面的内容。

2. 用户访问控制（1）定制安全引擎：安全引擎是实施用户访问控制的核心部件。

它可以应用安全认证、封装、过滤、防护等安全服务，在网络中建立策略以限制对数据、软件、网络设备等的访问和使用。

（2）定制加密技术：网络安全中的加密技术是确保用户和系统信息通信的安全性的基础，要求支持SSL/TLS协议。

（3）定制认证服务：网络安全中的认证服务是实施用户访问控制的基础，可以实现对用户的用户名/密码认证、角色管理等。

3. 安全策略和数据安全（1）安全日志：安全日志可以记录系统内部状态，有助于安全管理。

安全日志要包括系统资源使用情况、安全策略、认证角色管理、日志审计、配置变更等。

（2）防火墙：网络安全中的防火墙是阻止未经授权的外部使用进入网络系统的一种安全技术，可以按照应用设定访问策略，禁止未经授权的访问，并过滤那些不符合安全策略的数据。

（3）数据加密：数据加密是给信息系统加上一把安全锁，使信息不被未经授权的第三方访问。

4. 网络安全和安全评估（1）开发安全检查：安全检查是就安全技术要求，检查系统安全策略、安全技术和管理诸多细分点实行衡量检查，找出系统存在的安全性问题及防范措施的工具。

（2）建立安全评估机制：安全评估是对网络安全状态的定期评估，可以检测网络系统未来的发展趋势，并根据分析结果建立切实可行的安全管理体系。

（3）开发安全审计：安全审计是对网络安全个技术和管理状况进行审计，评价安全技术和管理实施情况，找出安全性存在的缺陷，建立及时有效的网络安全防护机制。