隨著數字化轉型的加速，網絡空間的重要性日益凸顯，網絡安全標準已成為保障網絡和數據安全、維護網絡秩序的重要基石。2024上半年，多項網絡安全國家及行業標準陸續發布，得到社會的高度關注。小編整理了2024上半年我國發布的重要網絡安全標準，涉及數據分類分級、信息技術安全評估、無線局域網安全、零信任、5G安全、金融安全等眾多領域，供大家參考。

國家標準

1. 2024年3月15日，國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》發布

本標準規定了數據分類分級的基本原則、框架、方法和流程。在數據分類部分，提出先按行業領域再按業務屬性進行數據分類的思路，并給出了具體的分類方法；在數據分級部分，提出了確定分級對象、分級要素識別、數據影響分析、綜合確定級別的分級方法，并對各環節進行了詳細闡述；在分類分級流程部分，分別給出行業領域數據和處理者數據的分類分級流程。

2. 2024年3月15日，國家標準GB/T 15843.4-2024《信息技術 安全技術 實體鑒別 第4部分：采用密碼校驗函數的機制》發布

本標準修改采用國際標準ISO/IEC 9798-4:1999（Information technology - Security techniques - Entity authentication - Part 4: Mechanisms using a cryptographic check function），規定了采用密碼校驗函數的實體鑒別機制，包括單向鑒別和雙向鑒別兩種鑒別機制。

3. 2024年3月15日，國家標準GB/T 17903.1-2024《信息技術 安全技術 抗抵賴 第1部分：概述》發布

本標準修改采用國際標準ISO/IEC 13888-1:2020（Information security - Non-repudiation - Part 1: General），給出了抗抵賴機制的一般模型，作為GB/T 17903的其它部分中規定的使用密碼技術的抗抵賴機制的一般模型。

4. 2024年3月15日，國家標準GB/T 17903.3-2024《信息技術 安全技術 抗抵賴 第3部分：采用非對稱技術的機制》發布

本標準修改采用國際標準SO/IEC 13888-3:2020（Information security - Non-repudiation - Part 3: Mechanisms using asymmetric techniques），確立了若干特定的抗抵賴機制，用于提供原發抗抵賴、交付抗抵賴、傳輸抗抵賴和提交抗抵賴。

5. 2024年3月15日，國家標準GB/T 31497-2024《信息技術 安全技術 信息安全管理 監視、測量、分析和評價》發布

本標準等同采用國際標準ISO/IEC 27004:2016（Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation），規定了信息安全績效的監視和測量、ISMS（包括其過程和控制措施）有效性的監視和測量、以及監視和測量結果的分析和評價。

6. 2024年4月25日，國家標準GB/T 18336信息技術安全評估準則系列標準發布

本系列標準針對安全評估中的信息技術（IT）產品的安全功能及其保障措施，提供了一套通用的要求，為具有安全功能的IT產品的開發、評估以及采購過程提供指導。系列標準共包含5個部分，等同采用國際標準ISO/IEC 15408:2022（Common Criteria for Information Technology Security），其中第1部分為簡介和一般模型，第2部分為安全功能組件，第3部分為安全保障組件，第4部分為評估方法和活動的規范框架，第5部分為預定義的安全要求包。

7. 2024年4月25日，國家標準GB/T 30270-2024《網絡安全技術 信息技術安全評估方法》發布

本標準是GB/T 18336系列標準的配套標準，等同采用國際標準ISO/IEC 18045:2022（Information security，cybersecurity and privacy protection – Evaluation criteria for IT security – Methodology for IT security evaluation），描述了在依據ISO/IEC 15408標準中所定義的準則和評估證據進行評估時，要求評估者執行的最小行為集。

8. 2024年4月25日，國家標準GB/T 33563-2024《網絡安全技術 無線局域網客戶端安全技術要求》發布

本標準規定了無線局域網客戶端的安全功能要求和安全保障要求，給出了無線局域網客戶端面臨安全問題的說明，適用于無線局域網客戶端產品的測試、評估和采購，以及指導該類產品的研制和開發。

9. 2024年4月25日，國家標準GB/T 33565-2024《網絡安全技術 無線局域網接入系統安全技術要求》發布

本標準規定了無線局域網接入系統的安全功能要求和安全保障要求，給出了無線局域網接入系統面臨安全問題的說明，適用于無線局域網接入系統的測試、評估和采購，以及指導該類產品的研制和開發。

10. 2024年4月25日，國家標準GB/T 43694-2024《網絡安全技術 證書應用綜合服務接口規范》發布

本標準規定了面向證書應用的綜合服務接口要求和定義，描述了相應驗證方法，適用于公鑰密碼基礎設施應用技術體系下證書應用中間件和證書應用系統的開發，以及密碼應用支撐平臺的研制和檢測。

11. 2024年4月25日，國家標準GB/T 43696-2024《網絡安全技術 零信任參考體系架構》發布

本標準規定了零信任參考體系架構，描述了主體、資源、核心組件和支撐組件以及相互間的關系，其中，核心組件包括策略判決組件、策略執行組件；支撐組件包括任務管理組件、身份管理組件、資源管理組件、環境感知組件和密碼服務組件。

12. 2024年4月25日，國家標準GB/T 43698-2024《網絡安全技術 軟件供應鏈安全要求》發布

本標準確立了軟件供應鏈安全目標，規定了軟件供應鏈安全風險管理要求和供需雙方的組織管理和供應活動管理安全要求，并給出了組織業務場景分類和軟件供應鏈安全圖譜的參考。

13. 2024年4月25日，國家標準GB/T 43739-2024《數據安全技術 應用商店的移動互聯網應用程序（App）個人信息處理規范性審核與管理指南》發布

本標準給出了應用商店運營者對移動互聯網應用程序（App）個人信息處理規范性審核與管理指南，包括應用商店中App的審核與管理流程、應用商店中App個人信息處理活動審核以及應用商店中App個人信息安全管理。

14. 2024年4月25日，國家標準GB/T 43741-2024《網絡安全技術 網絡安全眾測服務要求》發布

本標準描述了網絡安全眾測服務的角色及其職責，服務流程，以及安全風險，規定了服務要求，包括準備階段服務要求、實施階段服務要求和后處理階段服務要求。

15. 2024年4月25日，國家標準GB/T 43779-2024《網絡安全技術 基于密碼令牌的主叫用戶可信身份鑒別技術規范》發布

本標準規定了在通信中基于密碼令牌傳輸、驗證和顯示主叫用戶可信身份的技術要求，描述了相應的測試評價方法，并給出了可信身份憑證數據內容與格式的ASN.1描述和密碼令牌數據內容與格式ASN.1描述。

16. 2024年4月25日，國家標準GB/T 43844-2024《IPv6地址分配和編碼規則 接口標識符》發布

本標準規定了IPv6地址接口標識符的編碼規則，適用于互聯網接入服務商、應用基礎設施服務商、自用網絡運營者、網絡終端廠商、網絡設備廠商等進行網絡動態分配IPv6地址時的接口標識符編碼與分配。

17. 2024年4月25日，國家標準GB/T 43848-2024《網絡安全技術 軟件產品開源代碼安全評價方法》發布

本標準規定了軟件產品中的開源代碼成分安全評價要素和評價流程，其中，評價要素包括評價參數、開源代碼來源、開源代碼安全質量、開源代碼知識產權和開源代碼管理。

行業標準

通信行業

1. 2024年3月29日，通信行業標準YD/T 4680-2024《電信網和互聯網數據安全管控平臺技術要求和測試方法》發布

本標準規定了電信網和互聯網數據安全管控平臺的技術架構，并對集中展示、綜合分析、集中配置、集中調度、功能對接等核心能力提出技術要求與測試方法。

2. 2024年3月29日，通信行業標準YD/T 4681-2024《電信網和互聯網數據安全風險等級指標與計算方法》發布

本標準規定了電信網和互聯網數據安全等級的劃分標準與計算模型，構建電信和互聯網數據安全風險等級指標體系，同時給出了風險等級評價工作應遵照的原則、流程和方法。

3. 2024年3月29日，通信行業標準YD/T 4682-2024《電信網和互聯網數據資產識別與梳理技術測試方法》發布

本標準規定了電信網和互聯網數據資產識別及梳理的測試原則、測試準備及測試用例等內容，適用于指導電信網和互聯網提供商、運營商、測評機構和監管機構對企業數據資產識別與梳理技術進行測試驗證。

4. 2024年3月29日，通信行業標準YD/T 4683-2024《云服務客戶信息安全管理指南》發布

本標準提出了云服務客戶在公有云服務生命周期各階段的信息安全管理和防護要求，適用于指導云服務客戶安全用云，以及基于其自身的安全管理措施，構建和完善云上系統的信息安全管理機制。

5. 2024年3月29日，通信行業標準YD/T 4684-2024《物聯網信息安全管理系統技術要求》和YD/T 4685-2024《物聯網信息安全管理系統接口規范》發布

兩項標準互為配套，《技術要求》規定了物聯網信息安全管理系統的系統架構、系統功能要求、性能要求、系統接口要求及管理要求；《接口規范》規定了物聯網平臺企業、基礎電信企業建設的物聯網信息安全管理系統與行業主管部門建設的物聯網信息安全監管系統間接口的功能要求、數據通信要求及數據交換格式等。

6. 2024年3月29日，通信行業標準YD/T 4690-2024《隱私計算 多方安全計算產品安全要求和測試方法》發布

本標準規定了基于多方安全計算的隱私計算產品的安全要求和相應的測試方法，包括通用算法協議安全、基礎運算算法協議安全、聯合統計算法協議安全、隱匿查詢算法協議安全、安全求交算法協議安全、特征工程算法協議安全、聯合建模算法協議安全、聯合預測算法協議安全、密碼安全、通信安全、授權認證、系統安全、穩定性、存儲安全、日志和存證。

7. 2024年3月29日，通信行業標準YD/T 4691-2024《隱私計算 聯邦學習產品安全要求和測試方法》發布

本標準規定了基于聯邦學習的隱私計算產品的安全要求和相應的測試方法，包括通用算法協議安全、安全求交算法協議安全、特征工程算法協議安全、聯合建模算法協議安全、聯合預測算法協議安全、密碼安全、通信安全、授權認證、系統安全、穩定性、存儲安全、日志和存證。

8. 2024年3月29日，通信行業標準YD/T 4692-2024《隱私計算 聯邦學習產品性能要求和測試方法》發布

本標準規定了基于聯邦學習的隱私計算產品的性能要求和相應的測試方法，包括技術架構、通用安全、算法安全、安全求交、特征工程、聯合建模、聯合預測等內容。

9. 2024年3月29日，通信行業標準YD/T 4693-2024《5G多接入邊緣計算平臺通用安全防護檢測要求》發布

本標準規定了5G多接入邊緣計算平臺按安全防護等級的安全防護檢測要求，涉及應用安全、網絡安全、設備安全、數據安全、物理環境安全和管理安全。

10. 2024年3月29日，通信行業標準YD/T 4694-2024《5G獨立組網（SA）架構核心網安全防護》發布

本標準規定了5G 獨立組網（SA）架構核心網在物理環境安全、網絡安全、設備安全、軟件及業務系統安全、數據安全、管理安全等方面的安全防護要求。

11. 2024年3月29日，通信行業標準YD/T 4695-2024《5G網絡運行安全風險與防護要求》發布

本標準規定了5G網絡運行防護要求，主要包括5G終端安全防護、5G接入安全防護、5G核心網安全防護、5G邊緣計算安全防護、5G應用安全防護以及5G管理安全防護等；分析了5G網絡運行安全風險，主要包括5G終端安全風險、5G接入安全風險、5G核心網安全風險、5G邊緣計算安全風險以及5G應用安全風險。

12. 2024年3月29日，通信行業標準YD/T 4696-2024《5G業務安全通用防護要求》發布

本標準針對5G典型場景和新技術，分析其業務所涉及的常見安全風險，提出5G網絡中的業務安全通用防護要求，適用于電信運營商、系統開發商、業務運營方開展5G業務安全防護工作。

13. 2024年3月29日，通信行業標準YD/T 4697-2024《5G移動通信網虛擬化管理和編排安全防護要求》發布

本標準規定5G移動通信網虛擬化管理和編排按安全保護等級的安全防護要求，涉及應用安全、網絡安全、設備安全、數據安全、物理環境安全和管理安全。

14. 2024年3月29日，通信行業標準YD/T 1730-2024《電信網和互聯網安全風險評估規范》發布

本標準規定了對電信網和互聯網進行安全風險評估的要素及要素之間的關系，風險分析原理、風險評估實施流程，以及風險評估在電信網和互聯網及相關系統生命周期不同階段的實施要點。

15. 2024年3月29日，通信行業標準YD/T 4698-2024《運營商網絡能力開放安全通用要求》發布

本標準描述了運營商網絡能力開放架構，并面向不同的開放場景提出了通用安全要求，包括網絡能力開放架構網絡部署安全要求、網絡能力開放通信安全要求、網絡能力開放接口安全要求、數據和資源安全要求、運維和監控安全要求。

16. 2024年3月29日，通信行業標準YD/T 4699-2024《基于大數據的經營分析應用系統安全技術要求》發布

本標準規定了基于大數據的經營分析應用系統安全防護體系，主要包括大數據平臺自身安全防護要求、系統內部安全要求以及系統外部安全要求。

17. 2024年3月29日，通信行業標準YD/T 4700-2024《網絡空間安全仿真 安全技術效能評估方法》發布

本標準規定了安全技術效能評估的技術要求、系統要求以及評估指標，適用于網絡空間安全仿真平臺中所涉及的各項安全技術的效能評估。

18. 2024年3月29日，通信行業標準YD/T 4704-2024《網絡空間安全仿真 網絡安全檢測指南》發布

本標準提供了網絡空間安全仿真平臺運行過程中涉及到的主要安全威脅的檢測指南，包括流量檢測、文件安全檢測、系統行為檢測和郵件安全檢測。

19. 2024年3月29日，通信行業標準YD/T 4598.1-2024《面向云計算的零信任體系 第1部分：總體架構》發布

本標準規定了面向云計算的零信任體系總體架構，包括建設責任、設計原則、總體架構概述及其組成，適用于云服務客戶基于零信任理念建設云化安全防護架構的規劃與設計。

20. 2024年3月29日，通信行業標準YD/T 4711-2024《移動網絡對受感染終端管控技術要求》發布

本標準規定了運營商在網絡側發現、治理受感染終端以及進行信息共享的技術要求，適用于移動網絡運營商對受感染移動終端的管理。

21. 2024年3月29日，通信行業標準YD/T 4712-2024《域名系統解析數據加密傳輸技術要求》發布

本標準規定了域名系統解析數據加密傳輸技術的協議設計規范和部署要求，適用于域名系統中的解析數據傳輸，包括用戶到遞歸域名服務（DNS）服務器之間的數據傳輸，以及用戶直接訪問權威DNS服務器之間的數據傳輸。

22. 2024年3月29日，通信行業標準YD/T 4713-2024《工業互聯網 安全測試評估環境 參考架構》發布

本標準規定了工業互聯網安全測試評估環境的總則、安全仿真系統、測評管理控制系統、安全驗證系統，適用于能源、化工、煙草、制造等行業的工業互聯網安全測試評估環境的設計、測試與評估。

23. 2024年3月29日，通信行業標準YD/T 4714-2024《5G網絡安全態勢感知系統技術要求》發布

本標準規定了5G網絡安全態勢感知系統的技術要求，主要包括5G網絡安全態勢感知系統的技術框架、功能要求、安全要求等。

24. 2024年3月29日，通信行業標準YD/T 4715-2024《互聯網新技術新業務安全評估要求 基于5G場景的業務》發布

本標準規定了基于5G場景的業務安全評估要求，包括評估框架和增強移動寬帶（eMBB）場景、超高可靠超低時延通信（uRLLC）場景、大規模機器類型通信（mMTC）場景、邊緣計算、云化基礎設施、網絡切片的安全評估要求。

25. 2024年3月29日，通信行業標準YD/T 4716-2024《網絡流量分析與檢測響應產品技術規范》發布

本標準規定了網絡流量分析與檢測響應產品（包括具有網絡流量分析與檢測響應功能的產品）的技術要求、測試檢驗和評價方法。

金融行業

1. 2024年1月15日，金融行業標準JR/T 0285-2024《基于數字證書的移動終端金融安全身份認證規范》發布

本標準規定了基于數字證書的移動終端金融安全身份認證的服務描述、移動終端生命周期管理、服務生命周期管理、密鑰管理、安全及功能、風險控制和運營管理的要求。

2. 2024年1月15日，3項金融行業標準JR/T 0289-2024《金融業開源技術 術語》、JR/T 0290-2024《金融業開源軟件應用 管理指南》、JR/T 0291-2024《金融業開源軟件應用 評估規范》發布

《術語》統一了金融機構對開源技術相同名詞的表述；《管理指南》提供了金融機構在應用開源軟件時的全流程管理指南，對開源軟件的使用和管理提供了配套組織架構、配套管理規章制度、生命周期流程管理、風險管理、存量管理、工具化管理等方面的指導；《評估規范》規定了金融機構在應用開源軟件時的評估要求，對開源軟件的引入、維護和退出提出了實現要求、評估方法和判定準則。

3. 2024年1月15日，金融行業標準JR/T 0299-2024《個人征信電子授權安全技術指南》發布

本標準提供了個人征信電子授權安全技術指南，包括個人征信電子授權機制、線上有效鑒別個人身份、簽發數字證書、簽署有效征信授權電子協議、存證有效征信授權電子數據、數據安全、個人信息保護等內容。

作為中國網絡安全領軍企業，天融信一直高度重視網絡安全標準化工作，累計參與制定國家標準108項，已發布74項，累計參與制定行業標準、團體標準、地方標準300余項，已發布151項。未來，天融信將繼續推動網絡安全領域標準研制和應用推廣工作，為各行業客戶提供符合標準的網絡安全產品和服務，助力網絡安全產業高質量發展。