剛經過了四年一遇的日子,正式進入2020年3月份,自3月1日起將有28項重要的項網絡與信息安全規範和標準正式實施。
1、《網絡信息內容生態治理規定》最嚴網絡信息審核規定2020年3月1日正式實施,不得散布暴力、恐怖淫穢、禁止網絡暴力、人肉搜索等 。
網絡信息內容生產者不得製作、複製、發布含有「危害國家安全,洩露國家秘密,顛覆國家政權,破壞國家統一」和「損害國家榮譽和利益」等內容的違法信息,應當採取措施,防範和抵制製作、複製、發布含有「使用誇張標題,內容與標題嚴重不符」和「炒作緋聞、醜聞、劣跡」等內容的不良信息。
網絡信息內容服務平臺應當建立網絡信息內容生態治理機制,制定本平臺網絡信息內容生態治理細則,健全用戶註冊、帳號管理、信息發布審核、跟帖評論審核、版面頁面生態管理、實時巡查、應急處置和網絡謠言、黑色產業鏈信息處置等制度。
網絡信息內容服務使用者和生產者、平臺不得開展網絡暴力、人肉搜索、深度偽造、流量造假、操縱帳號等違法活動。
2、《GB/T 25058-2019 網絡安全等級保護實施指南》關注公眾號,回覆:等保2.0 即可獲取等保2.0系列標準。
該標準是等級保護2.0系列標準中的重要標準之一,代替十年前發布的GB/T25058-2010,規定了等級保護對象實施網絡安全等級保護工作的過程,適用於知道網絡安全等級保護工作的實施。
3、《GB/T 20272-2019 作業系統安全技術要求》該標準規定了五個安全等級作業系統的安全技術要求,適用於作業系統安全性的研究、測試、維護和評價。
4、《GB/T 37962-2019 工業控制系統產品信息安全通用評估準則》
該標準定義了工業控制系統產品信息安全評估的通用安全功能組件和安全保障組件集合,規定了工業控制系統產品的安全要求和評估準則,適用於工業控制系統產品安全保障能力的評估,產品安全功能的設計、開發和測試也可參照使用。
5、《GB/T 21050-2019 網絡交換機安全技術要求》該標準規定了網絡交換機達到EAL2和EAL3的安全功能要求及安全保障要求,涵蓋了安全問題定義、安全目的、安全要求等內容,適用於網絡交換機的測試、評估和釆購,也可用於指導該類產品的研製和開發。
6、《GB/T 20009-2019 資料庫管理系統安全評估準則》該標準依據GB/T 20273-2019規定了資料庫管理系統安全評估總則、評估內容和評估方法,適用於資料庫管理系統的測試和評估,也可用於指導資料庫管理系統的研發。
7、《GB/T 18018-2019 路由器安全技術要求》該標準分等級規定了路由器的安全功能要求和安全保障要求,適用於路由器產品安全性設計和實現,對路由器產品進行的測試、評估和管理也可參照使用。
8、《GB/T 20979-2019 虹膜識別系統技術要求》該標準規定了採用虹膜識別技術進行身份識別的虹膜識別系統的結構、功能、性能、安全要求及等級劃分,適用於虹膜識別系統的設計與實現,對虹膜識別系統的測試、管理也可參照使用。
9、《GB/T 37971-2019 智慧城市安全體系框架》關注公眾號,回覆:37971 即可獲取該標準。見:此處下載|安全標準|GBT 37971-2019 智慧城市安全體系框架
智慧城市是運用物聯網、雲計算、大數據、空間地理信息集成等新一代信息技術,促進城市規劃、建設、管理和服務智慧化的新理念和新模式,是新一代信息技術創新應用與城市轉型發展深度融合的產物,是推動政府職能轉變、推進社會管理創新的新手段和新方法,是城市走向綠色、低碳、可持續發展的本質需求。本標準以信息通信技術(ICT)為視角,在參考信息保障技術框架(IATF)、信息安全管理體系(ISMS)、防護/檢測/響應/恢復(PDRR)和預警/保護/檢測/響應/恢復/反擊(WPDRRC)的安全模型、網際空間安全指南、關鍵基礎設施網絡安全框架、新型智慧城市評價指標體系、智慧城市技術參考框架以及我國信息安全領域標準的基礎上,針對智慧城市保護對象和安全目標,從安全角色和安全要素的視角提出了體現智慧城市特點、具有可操作性的安全體系框架。
10、《GB/T 37973-2019 大數據安全管理指南》
關注公眾號,回覆:37973 即可獲取該標準。大數據技術的發展和應用影響著國家的治理模式、企業的決策架構、商業的業務模式以及個人的生活方式。我國大數據仍處於起步發展階段,各地發展大數據積極性高,行業應用得到快速推廣,市場規模迅速擴大。在面向大量用戶的應用和服務中,數據採集者希望能獲得更多的信息,以提供更加豐富、高效的個性化服務。隨著數據的聚集和應用,數據價值不斷提升。而伴隨大量數據集中,新技術不斷湧現和應用,使數據面臨新的安全風險,大數據安全受到高度重視。目前擁有大量數據的組織的管理和技術水平參差不齊,有不少組織缺乏技術、運維等方面的專業安全人員,容易因數據平臺和計算平臺的脆弱性遭受網絡攻擊,導致數據洩露。在大數據的生命周期中,將有不同的組織對數據做出不同的操作,關鍵是要加強掌握數據的組織的技術和管理能力的建設,加強數據採集、存儲、處理、分發等環節的技術和管理措施,使組織從管理和技術上有效保護數據,使數據的安全風險可控。本標準指導擁有、處理大數據的企業、事業單位、政府部門等組織做好大數據的安全管理、風險評估等工作,有效、安全地應用大數據,釆用有效技術和管理措施保障數據安全。
11、《GB/T 20273-2019 資料庫管理系統安全技術要求》該標準規定了資料庫管理系統評估對象描述,不同評估保障級的資料庫管理系統安全問題定義、安全目的和安全要求,安全問題定義與安全目的、安全目的與安全要求之間的基本原理,適用於資料庫管理系統的測試、評估和採購,也可用於指導資料庫管理系統的研發。
12、《GB/T 37980-2019 工業控制系統安全檢查指南》
關注公眾號,回覆:37980 即可獲取該標準。見:此處下載|安全標準|GB∕T 37980-2019 工業控制系統安全檢查指南
隨著工業化和信息化的深度融合,工業控制系統廣泛應用於核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進位造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供、供熱以及其他與國計民生緊密相關的領域。工業控制系統指應用於工業領域的數據釆集、監視與控制系統,是由計算機設備、工業過程控制組件和網絡組成的控制系統,是工業領域的神經中樞。工業領域使用的控制系統包括監控與數據採集系統(SCADA),分布式控制系統(DCS)、可編程邏輯控制器(PLC)系統等。近年來針對工業控制系統的攻擊事件層出不窮,工業控制系統的安全性將直接關係到國家重要基礎工業設施生產的正常運行和廣大公眾的利益。
該標準制定的目的是為了指導我國國家關健基礎設施中相關工業控制系統行業用戶開展工業控制系統信息安全自評工作,掌握工業控制系統信息安全總體狀況,及時有效發現工業控制系統存在的問題和薄弱環節環節,進一步健全工業控制系統信息安全管理制度,完善工業控制系統信息安全技術措施,提高工業控制系統信息安全防護能力,為國家對重點行業工業控制系統信息安全檢査等工作提供支撐,為實現更安全的工業控制系統並在其內部進行有效的風險管理提供幫助。
該標準輸出了工業控制系統信息安全檢査的範圍、方式、流程、方法和內容,適用於開展工業控制系統的信息安全監督檢査、委託檢査工作,同時也適用於各企業在本集團(系統)範圍內開展相關系統的信息安全自檢査。
13、《GB/T 37931-2019 Web應用安全檢測系統安全技術要求和測試評價方法》
該標準規定了 Web應用安全檢測系統的安全技術要求、測評方法及等級劃分,適用於Web應用安全檢測系統的設計、開發與測評。
14、《GB/T 37934-2019 工業控制網絡安全隔離與信息交換系統安全技術要求》
該標準規定了工業控制網絡安全隔離與信息交換系統的安全功能要求、自身安全要求和安全保障要求,適用於工業控制網絡安全隔離與信息交換系統的設計、開發及測試。
15、《GB/T 37932-2019 數據交易服務安全要求》
數據正日益對全球生產、流通、分配、消費活動以及經濟運行機制、社會生活方式和國家治理能力產生重要影響。數據交易可以促進數據資源流通,破除數據孤島,有效支撐數據應用的快速發展,發揮數據資源的經濟價值。然而,數據交易面臨諸多安全問題和挑戰,影響了數據應用的進一步健康發展。為規範數據資源交易行為,建立良好的數據交易秩序,促進數據交易服務參與者安全保障能力提升,本標準將對數據交易服務進行安全規範,增強對數據交易服務的安全管控能力,在確保數據安全的前提下,促進數據資源自由流通,從而帶動整個數據產業的安全、健康、快速發展。
該標準規定了通過數據交易服務機構進行數據交易服務的安全要求,包括數據交易參與方、交易對象和交易過程的安全要求,適用於數據交易服務機構進行安全自評估,也可供第三方測評機構對數據交易服務機構進行安全評估時參考。
16、《GB/T 37933-2019信息安全技術 工業控制系統專用防火牆技術要求》
該標準規定了工業控制系統專用防火牆(以下簡稱工控防火牆)的安全功能要求、自身安全要求、性能要求和安全保障要求,適用於工控防火牆的設計、開發和測試。
隨著工業化與信息化的深度融合,來自信息網絡的安全威脅正逐步對工業控制系統造成極大的安全威脅,通用防火牆在面對工業控制系統的安全防護時顯得力不從心,因此急需要一種能應用於工業控制環境的防火牆對工業控制系統進行安全防護。
應用於工業控制環境的防火牆與通用防火牆的主要差異體現在:
——通用防火牆除了需具備基本的五元組過濾外,還需要具備一定的應用層過濾防護能力。
用於工業控制環境的防火牆除了具有通用防火牆的部分通用協議應用層過濾能力外,還具有對工業控制協議應用層的過濾能力。
——用於工業控制環境的防火牆比通用防火牆具有更高的環境適應能力。
——工業控制環境中,通常流量相對較小,但對控制命令的執行要求具有實時性。
因此,工業控制防火牆的吞吐量性能要求可相對低一些,而對實時性要求較高。
——工業控制環境下的防火牆比通用防火牆具有更高的可靠性、穩定性等要求。
17、《GB/T 37988-2019信息安全技術 數據安全能力成熟度模型》
該標準給出了組織數據安全能力的成熟度模型架構,規定了數據採集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全的成熟度等級要求,適用於對組織數據安全能力進行評估,也可作為組織開展數據安全能力建設時的依據。
18、《GB/T 37972-2019 雲計算服務運行監管框架》
該標準確定了雲計算服務運行監管框架,規定了安全控制措施監管、變更管理監管和應急響應監管 的內容及監管活動,給出運行監管實現方式的建議,適用於對政府部門使用的雲計算服務進行運行監管,也可供重點行業和其他企事業單位使 用雲計算服務時參考。
19、《GB/T 37935-2019 可信計算規範 可信軟體基》
該標準規定了可信軟體基的功能結構、工作流程、保障要求和交互接口規範,適用於可信軟體基的設計、生產和測評。
20、《GB/T 37941-2019 工業控制系統網絡審計產品安全技術要求》
該標準規定了工業控制系統網絡審計產品的安全技術要求,包括安全功能要求、自身安全要求和安全保障要求,適用於工業控制系統網絡審計產品的設計、生產和測試。
21、《GB/T 37939-2019 網絡存儲安全技術要求》
該標準規定了網絡存儲的安全技術要求,包括安全功能要求、安全保障要求,適用於網絡存儲的設計和實現,網絡存儲的安全測試和管理可參照使用。
22、《GB/T 37964-2019 個人信息去標識化指南》
該標準描述了個人信息去標識化的目標和原則,提出了去標識化過程和管理措施。針對微數據提供具體的個人信息去標識化指導,適用於組織開展個人信息去標識化工作,也適用於網絡安全相關主管部門、第三方評估機構等組織開展個人信息安全監督管理、評估等工作。
23、《GB/T 37950-2019 桌面雲安全技術要求》
該標準規定了基於虛擬化技術的桌面雲在應用過程中的安全技術要求,適用於桌面雲的安全設計、開發,可用於指導桌面雲安全測試。
24、《GB/T 37954-2019 工業控制系統漏洞檢測產品技術要求及測試評價方法》
該標準規定了針對工業控制系統的漏洞檢測產品的技術要求,包括安全功能要求、自身安全要求和安全保障要求,以及相應的測試評價方法,適用於工業控制系統漏洞檢測產品的設計、開發和測評。
25、《GB/T 37952-2019 移動終端安全管理平臺技術要求》
該標準規定了移動終端安全管理平臺的技術要求,包括安全功能要求和安全保障要求,適用於移動終端安全管理平臺產品的設計、開發與檢測,為組織或機構實施移動互聯應用的安全防護提供參考。
26、《GB/T 37953-2019 工業控制網絡監測安全技術要求及測試評價方法》
該標準規定了工業控制網絡監測產品的安全技術要求和測試評價方法,適用於工業控制網絡監測產品的設計生產方對其設計、開發及測評等提供指導,同時也可為工業控制系統設計、建設和運維方開展工業控制系統安全防護工作提供指導。
27、《GB/T 37955-2019 數控網絡安全技術要求》
該標準提出了數位化工廠或數位化車間的數控網絡安全防護原則,規定了數控網絡的安全技術要求,包括設備安全技術要求、網絡安全技術要求、應用安全技術要求和數據安全技術要求,適用於數控網絡安全防護的規劃、設計和檢查評估。
28、《GB/T 37956-2019 網站安全雲防護平臺技術要求》
該標準規定了網站安全雲防護平臺的技術要求,包括平臺功能要求和平臺安全要求,適用於網站安全雲防護平臺的開發、運營及使用,為政府部門、企事業單位、社會團體等組織或個人選購網站安全雲防護平臺提供參考。