信息化觀察網(wǎng)

剛經(jīng)過了四年一遇的日子，正式進入2020年3月份，28項重要的項網(wǎng)絡(luò)與信息安全規(guī)范和標準正式實施。

1、《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》最嚴網(wǎng)絡(luò)信息審核規(guī)定2020年3月1日正式實施，不得散布暴力、恐怖淫穢、禁止網(wǎng)絡(luò)暴力、人肉搜索等。

網(wǎng)絡(luò)信息內(nèi)容生產(chǎn)者不得制作、復(fù)制、發(fā)布含有“危害國家安全，泄露國家秘密，顛覆國家政權(quán)，破壞國家統(tǒng)一”和“損害國家榮譽和利益”等內(nèi)容的違法信息，應(yīng)當采取措施，防范和抵制制作、復(fù)制、發(fā)布含有“使用夸張標題，內(nèi)容與標題嚴重不符”和“炒作緋聞、丑聞、劣跡”等內(nèi)容的不良信息。

網(wǎng)絡(luò)信息內(nèi)容服務(wù)平臺應(yīng)當建立網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理機制，制定本平臺網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理細則，健全用戶注冊、賬號管理、信息發(fā)布審核、跟帖評論審核、版面頁面生態(tài)管理、實時巡查、應(yīng)急處置和網(wǎng)絡(luò)謠言、黑色產(chǎn)業(yè)鏈信息處置等制度。

網(wǎng)絡(luò)信息內(nèi)容服務(wù)使用者和生產(chǎn)者、平臺不得開展網(wǎng)絡(luò)暴力、人肉搜索、深度偽造、流量造假、操縱賬號等違法活動。

2、《GB/T 25058-2019網(wǎng)絡(luò)安全等級保護實施指南》

該標準是等級保護2.0系列標準中的重要標準之一，代替十年前發(fā)布的GB/T25058-2010，規(guī)定了等級保護對象實施網(wǎng)絡(luò)安全等級保護工作的過程，適用于知道網(wǎng)絡(luò)安全等級保護工作的實施。

3、《GB/T 20272-2019操作系統(tǒng)安全技術(shù)要求》

該標準規(guī)定了五個安全等級操作系統(tǒng)的安全技術(shù)要求，適用于操作系統(tǒng)安全性的研究、測試、維護和評價。

4、《GB/T 37962-2019工業(yè)控制系統(tǒng)產(chǎn)品信息安全通用評估準則》

該標準定義了工業(yè)控制系統(tǒng)產(chǎn)品信息安全評估的通用安全功能組件和安全保障組件集合，規(guī)定了工業(yè)控制系統(tǒng)產(chǎn)品的安全要求和評估準則，適用于工業(yè)控制系統(tǒng)產(chǎn)品安全保障能力的評估，產(chǎn)品安全功能的設(shè)計、開發(fā)和測試也可參照使用。

5、《GB/T 21050-2019網(wǎng)絡(luò)交換機安全技術(shù)要求》

該標準規(guī)定了網(wǎng)絡(luò)交換機達到EAL2和EAL3的安全功能要求及安全保障要求，涵蓋了安全問題定義、安全目的、安全要求等內(nèi)容，適用于網(wǎng)絡(luò)交換機的測試、評估和釆購，也可用于指導該類產(chǎn)品的研制和開發(fā)。

6、《GB/T 20009-2019數(shù)據(jù)庫管理系統(tǒng)安全評估準則》

該標準依據(jù)GB/T 20273-2019規(guī)定了數(shù)據(jù)庫管理系統(tǒng)安全評估總則、評估內(nèi)容和評估方法，適用于數(shù)據(jù)庫管理系統(tǒng)的測試和評估，也可用于指導數(shù)據(jù)庫管理系統(tǒng)的研發(fā)。

7、《GB/T 18018-2019路由器安全技術(shù)要求》

該標準分等級規(guī)定了路由器的安全功能要求和安全保障要求，適用于路由器產(chǎn)品安全性設(shè)計和實現(xiàn)，對路由器產(chǎn)品進行的測試、評估和管理也可參照使用。

8、《GB/T 20979-2019虹膜識別系統(tǒng)技術(shù)要求》

該標準規(guī)定了采用虹膜識別技術(shù)進行身份識別的虹膜識別系統(tǒng)的結(jié)構(gòu)、功能、性能、安全要求及等級劃分，適用于虹膜識別系統(tǒng)的設(shè)計與實現(xiàn)，對虹膜識別系統(tǒng)的測試、管理也可參照使用。

9、《GB/T 37971-2019智慧城市安全體系框架》

智慧城市是運用物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、空間地理信息集成等新一代信息技術(shù)，促進城市規(guī)劃、建設(shè)、管理和服務(wù)智慧化的新理念和新模式，是新一代信息技術(shù)創(chuàng)新應(yīng)用與城市轉(zhuǎn)型發(fā)展深度融合的產(chǎn)物，是推動政府職能轉(zhuǎn)變、推進社會管理創(chuàng)新的新手段和新方法，是城市走向綠色、低碳、可持續(xù)發(fā)展的本質(zhì)需求。本標準以信息通信技術(shù)（ICT）為視角，在參考信息保障技術(shù)框架（IATF）、信息安全管理體系（ISMS）、防護/檢測/響應(yīng)/恢復(fù)（PDRR）和預(yù)警/保護/檢測/響應(yīng)/恢復(fù)/反擊（WPDRRC）的安全模型、網(wǎng)際空間安全指南、關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架、新型智慧城市評價指標體系、智慧城市技術(shù)參考框架以及我國信息安全領(lǐng)域標準的基礎(chǔ)上，針對智慧城市保護對象和安全目標,從安全角色和安全要素的視角提出了體現(xiàn)智慧城市特點、具有可操作性的安全體系框架。

10、《GB/T 37973-2019大數(shù)據(jù)安全管理指南》

大數(shù)據(jù)技術(shù)的發(fā)展和應(yīng)用影響著國家的治理模式、企業(yè)的決策架構(gòu)、商業(yè)的業(yè)務(wù)模式以及個人的生活方式。我國大數(shù)據(jù)仍處于起步發(fā)展階段，各地發(fā)展大數(shù)據(jù)積極性高，行業(yè)應(yīng)用得到快速推廣,市場規(guī)模迅速擴大。在面向大量用戶的應(yīng)用和服務(wù)中，數(shù)據(jù)采集者希望能獲得更多的信息，以提供更加豐富、高效的個性化服務(wù)。隨著數(shù)據(jù)的聚集和應(yīng)用,數(shù)據(jù)價值不斷提升。而伴隨大量數(shù)據(jù)集中，新技術(shù)不斷涌現(xiàn)和應(yīng)用，使數(shù)據(jù)面臨新的安全風險，大數(shù)據(jù)安全受到高度重視。

目前擁有大量數(shù)據(jù)的組織的管理和技術(shù)水平參差不齊，有不少組織缺乏技術(shù)、運維等方面的專業(yè)安全人員，容易因數(shù)據(jù)平臺和計算平臺的脆弱性遭受網(wǎng)絡(luò)攻擊，導致數(shù)據(jù)泄露。在大數(shù)據(jù)的生命周期中,將有不同的組織對數(shù)據(jù)做出不同的操作,關(guān)鍵是要加強掌握數(shù)據(jù)的組織的技術(shù)和管理能力的建設(shè)，加強數(shù)據(jù)采集、存儲、處理、分發(fā)等環(huán)節(jié)的技術(shù)和管理措施，使組織從管理和技術(shù)上有效保護數(shù)據(jù)，使數(shù)據(jù)的安全風險可控。本標準指導擁有、處理大數(shù)據(jù)的企業(yè)、事業(yè)單位、政府部門等組織做好大數(shù)據(jù)的安全管理、風險評估等工作，有效、安全地應(yīng)用大數(shù)據(jù)，釆用有效技術(shù)和管理措施保障數(shù)據(jù)安全。

11、《GB/T 20273-2019數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》

該標準規(guī)定了數(shù)據(jù)庫管理系統(tǒng)評估對象描述,不同評估保障級的數(shù)據(jù)庫管理系統(tǒng)安全問題定義、安全目的和安全要求,安全問題定義與安全目的、安全目的與安全要求之間的基本原理，適用于數(shù)據(jù)庫管理系統(tǒng)的測試、評估和采購，也可用于指導數(shù)據(jù)庫管理系統(tǒng)的研發(fā)。

12、《GB/T 37980-2019工業(yè)控制系統(tǒng)安全檢查指南》

隨著工業(yè)化和信息化的深度融合，工業(yè)控制系統(tǒng)廣泛應(yīng)用于核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供、供熱以及其他與國計民生緊密相關(guān)的領(lǐng)域。工業(yè)控制系統(tǒng)指應(yīng)用于工業(yè)領(lǐng)域的數(shù)據(jù)釆集、監(jiān)視與控制系統(tǒng)，是由計算機設(shè)備、工業(yè)過程控制組件和網(wǎng)絡(luò)組成的控制系統(tǒng)，是工業(yè)領(lǐng)域的神經(jīng)中樞。工業(yè)領(lǐng)域使用的控制系統(tǒng)包括監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA),分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)系統(tǒng)等。近年來針對工業(yè)控制系統(tǒng)的攻擊事件層出不窮，工業(yè)控制系統(tǒng)的安全性將直接關(guān)系到國家重要基礎(chǔ)工業(yè)設(shè)施生產(chǎn)的正常運行和廣大公眾的利益。

該標準制定的目的是為了指導我國國家關(guān)健基礎(chǔ)設(shè)施中相關(guān)工業(yè)控制系統(tǒng)行業(yè)用戶開展工業(yè)控制系統(tǒng)信息安全自評工作,掌握工業(yè)控制系統(tǒng)信息安全總體狀況，及時有效發(fā)現(xiàn)工業(yè)控制系統(tǒng)存在的問題和薄弱環(huán)節(jié)環(huán)節(jié)，進一步健全工業(yè)控制系統(tǒng)信息安全管理制度，完善工業(yè)控制系統(tǒng)信息安全技術(shù)措施，提高工業(yè)控制系統(tǒng)信息安全防護能力，為國家對重點行業(yè)工業(yè)控制系統(tǒng)信息安全檢査等工作提供支撐，為實現(xiàn)更安全的工業(yè)控制系統(tǒng)并在其內(nèi)部進行有效的風險管理提供幫助。

該標準輸出了工業(yè)控制系統(tǒng)信息安全檢査的范圍、方式、流程、方法和內(nèi)容，適用于開展工業(yè)控制系統(tǒng)的信息安全監(jiān)督檢査、委托檢査工作，同時也適用于各企業(yè)在本集團（系統(tǒng)）范圍內(nèi)開展相關(guān)系統(tǒng)的信息安全自檢査。

13、《GB/T 37931-2019 Web應(yīng)用安全檢測系統(tǒng)安全技術(shù)要求和測試評價方法》

該標準規(guī)定了Web應(yīng)用安全檢測系統(tǒng)的安全技術(shù)要求、測評方法及等級劃分，適用于Web應(yīng)用安全檢測系統(tǒng)的設(shè)計、開發(fā)與測評。

14、《GB/T 37934-2019工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)安全技術(shù)要求》

該標準規(guī)定了工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的安全功能要求、自身安全要求和安全保障要求，適用于工業(yè)控制網(wǎng)絡(luò)安全隔離與信息交換系統(tǒng)的設(shè)計、開發(fā)及測試。

15、《GB/T 37932-2019數(shù)據(jù)交易服務(wù)安全要求》

數(shù)據(jù)正日益對全球生產(chǎn)、流通、分配、消費活動以及經(jīng)濟運行機制、社會生活方式和國家治理能力產(chǎn)生重要影響。數(shù)據(jù)交易可以促進數(shù)據(jù)資源流通,破除數(shù)據(jù)孤島，有效支撐數(shù)據(jù)應(yīng)用的快速發(fā)展，發(fā)揮數(shù)據(jù)資源的經(jīng)濟價值。然而,數(shù)據(jù)交易面臨諸多安全問題和挑戰(zhàn)，影響了數(shù)據(jù)應(yīng)用的進一步健康發(fā)展。為規(guī)范數(shù)據(jù)資源交易行為，建立良好的數(shù)據(jù)交易秩序，促進數(shù)據(jù)交易服務(wù)參與者安全保障能力提升，本標準將對數(shù)據(jù)交易服務(wù)進行安全規(guī)范，增強對數(shù)據(jù)交易服務(wù)的安全管控能力，在確保數(shù)據(jù)安全的前提下，促進數(shù)據(jù)資源自由流通，從而帶動整個數(shù)據(jù)產(chǎn)業(yè)的安全、健康、快速發(fā)展。

該標準規(guī)定了通過數(shù)據(jù)交易服務(wù)機構(gòu)進行數(shù)據(jù)交易服務(wù)的安全要求，包括數(shù)據(jù)交易參與方、交易對象和交易過程的安全要求，適用于數(shù)據(jù)交易服務(wù)機構(gòu)進行安全自評估，也可供第三方測評機構(gòu)對數(shù)據(jù)交易服務(wù)機構(gòu)進行安全評估時參考。

16、《GB/T 37933-2019信息安全技術(shù)工業(yè)控制系統(tǒng)專用防火墻技術(shù)要求》

該標準規(guī)定了工業(yè)控制系統(tǒng)專用防火墻（以下簡稱工控防火墻）的安全功能要求、自身安全要求、性能要求和安全保障要求，適用于工控防火墻的設(shè)計、開發(fā)和測試。

隨著工業(yè)化與信息化的深度融合,來自信息網(wǎng)絡(luò)的安全威脅正逐步對工業(yè)控制系統(tǒng)造成極大的安全威脅，通用防火墻在面對工業(yè)控制系統(tǒng)的安全防護時顯得力不從心，因此急需要一種能應(yīng)用于工業(yè)控制環(huán)境的防火墻對工業(yè)控制系統(tǒng)進行安全防護。

應(yīng)用于工業(yè)控制環(huán)境的防火墻與通用防火墻的主要差異體現(xiàn)在：

——通用防火墻除了需具備基本的五元組過濾外,還需要具備一定的應(yīng)用層過濾防護能力。

用于工業(yè)控制環(huán)境的防火墻除了具有通用防火墻的部分通用協(xié)議應(yīng)用層過濾能力外，還具有對工業(yè)控制協(xié)議應(yīng)用層的過濾能力。

——用于工業(yè)控制環(huán)境的防火墻比通用防火墻具有更高的環(huán)境適應(yīng)能力。

——工業(yè)控制環(huán)境中，通常流量相對較小，但對控制命令的執(zhí)行要求具有實時性。

因此，工業(yè)控制防火墻的吞吐量性能要求可相對低一些,而對實時性要求較高。

——工業(yè)控制環(huán)境下的防火墻比通用防火墻具有更高的可靠性、穩(wěn)定性等要求。

17、《GB/T 37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》

該標準給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu),規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級要求，適用于對組織數(shù)據(jù)安全能力進行評估,也可作為組織開展數(shù)據(jù)安全能力建設(shè)時的依據(jù)。

18、《GB/T 37972-2019云計算服務(wù)運行監(jiān)管框架》

該標準確定了云計算服務(wù)運行監(jiān)管框架，規(guī)定了安全控制措施監(jiān)管、變更管理監(jiān)管和應(yīng)急響應(yīng)監(jiān)管的內(nèi)容及監(jiān)管活動，給出運行監(jiān)管實現(xiàn)方式的建議，適用于對政府部門使用的云計算服務(wù)進行運行監(jiān)管，也可供重點行業(yè)和其他企事業(yè)單位使用云計算服務(wù)時參考。

19、《GB/T 37935-2019可信計算規(guī)范可信軟件基》

該標準規(guī)定了可信軟件基的功能結(jié)構(gòu)、工作流程、保障要求和交互接口規(guī)范，適用于可信軟件基的設(shè)計、生產(chǎn)和測評。

20、《GB/T 37941-2019工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品安全技術(shù)要求》

該標準規(guī)定了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品的安全技術(shù)要求，包括安全功能要求、自身安全要求和安全保障要求，適用于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計產(chǎn)品的設(shè)計、生產(chǎn)和測試。

21、《GB/T 37939-2019網(wǎng)絡(luò)存儲安全技術(shù)要求》

該標準規(guī)定了網(wǎng)絡(luò)存儲的安全技術(shù)要求，包括安全功能要求、安全保障要求，適用于網(wǎng)絡(luò)存儲的設(shè)計和實現(xiàn),網(wǎng)絡(luò)存儲的安全測試和管理可參照使用。

22、《GB/T 37964-2019個人信息去標識化指南》

該標準描述了個人信息去標識化的目標和原則,提出了去標識化過程和管理措施。針對微數(shù)據(jù)提供具體的個人信息去標識化指導，適用于組織開展個人信息去標識化工作，也適用于網(wǎng)絡(luò)安全相關(guān)主管部門、第三方評估機構(gòu)等組織開展個人信息安全監(jiān)督管理、評估等工作。

23、《GB/T 37950-2019桌面云安全技術(shù)要求》

該標準規(guī)定了基于虛擬化技術(shù)的桌面云在應(yīng)用過程中的安全技術(shù)要求，適用于桌面云的安全設(shè)計、開發(fā)，可用于指導桌面云安全測試。

24、《GB/T 37954-2019工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品技術(shù)要求及測試評價方法》

該標準規(guī)定了針對工業(yè)控制系統(tǒng)的漏洞檢測產(chǎn)品的技術(shù)要求，包括安全功能要求、自身安全要求和安全保障要求，以及相應(yīng)的測試評價方法，適用于工業(yè)控制系統(tǒng)漏洞檢測產(chǎn)品的設(shè)計、開發(fā)和測評。

25、《GB/T 37952-2019移動終端安全管理平臺技術(shù)要求》

該標準規(guī)定了移動終端安全管理平臺的技術(shù)要求，包括安全功能要求和安全保障要求，適用于移動終端安全管理平臺產(chǎn)品的設(shè)計、開發(fā)與檢測，為組織或機構(gòu)實施移動互聯(lián)應(yīng)用的安全防護提供參考。

26、《GB/T 37953-2019工業(yè)控制網(wǎng)絡(luò)監(jiān)測安全技術(shù)要求及測試評價方法》

該標準規(guī)定了工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品的安全技術(shù)要求和測試評價方法，適用于工業(yè)控制網(wǎng)絡(luò)監(jiān)測產(chǎn)品的設(shè)計生產(chǎn)方對其設(shè)計、開發(fā)及測評等提供指導，同時也可為工業(yè)控制系統(tǒng)設(shè)計、建設(shè)和運維方開展工業(yè)控制系統(tǒng)安全防護工作提供指導。

27、《GB/T 37955-2019數(shù)控網(wǎng)絡(luò)安全技術(shù)要求》

該標準提出了數(shù)字化工廠或數(shù)字化車間的數(shù)控網(wǎng)絡(luò)安全防護原則，規(guī)定了數(shù)控網(wǎng)絡(luò)的安全技術(shù)要求，包括設(shè)備安全技術(shù)要求、網(wǎng)絡(luò)安全技術(shù)要求、應(yīng)用安全技術(shù)要求和數(shù)據(jù)安全技術(shù)要求，適用于數(shù)控網(wǎng)絡(luò)安全防護的規(guī)劃、設(shè)計和檢查評估。

28、《GB/T 37956-2019網(wǎng)站安全云防護平臺技術(shù)要求》

該標準規(guī)定了網(wǎng)站安全云防護平臺的技術(shù)要求，包括平臺功能要求和平臺安全要求，適用于網(wǎng)站安全云防護平臺的開發(fā)、運營及使用，為政府部門、企事業(yè)單位、社會團體等組織或個人選購網(wǎng)站安全云防護平臺提供參考。