國(guó)家標(biāo)準(zhǔn)報(bào)批資料一、工作簡(jiǎn)況1、任務(wù)來(lái)源國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全產(chǎn)品類(lèi)別與代碼》修訂工作由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處下達(dá)立項(xiàng)通知（信安秘字[2017]032號(hào)），主要承擔(dān)單位為東軟集團(tuán)股份有限公司、公安部第三研究所和中國(guó)信息安全測(cè)評(píng)中心等。2、協(xié)作單位任務(wù)下達(dá)后，公安部第三研究所和東軟集團(tuán)股份有限公司立即與測(cè)評(píng)機(jī)構(gòu)、業(yè)內(nèi)廠商和科研院校進(jìn)行溝通并得到了積極參與的反饋。目前，標(biāo)準(zhǔn)參編單位包括中國(guó)電子科技集團(tuán)公司第十五研究所、中國(guó)金融電子化公司、上海市信息安全測(cè)評(píng)認(rèn)證中心、中新網(wǎng)絡(luò)信息安全股份有限公司、北京神州綠盟科技有限公司、福建省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、藍(lán)盾信息安全技術(shù)股份有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、北京威努特技術(shù)有限公司、阿里云計(jì)算有限公司、深信服科技股份有限公司、北京天融信科技有限公司、360企業(yè)安全集團(tuán)、上海上訊信息技術(shù)股份有限公司、上海交通大學(xué)等。3、主要工作過(guò)程3.1、成立修訂工作組本標(biāo)準(zhǔn)的修訂任務(wù)由東軟集團(tuán)股份有限公司、公安部第三研究所、中國(guó)信息安全測(cè)評(píng)中心和其他參編單位共同承擔(dān)。2017年7月，由陸臻具體負(fù)責(zé)的標(biāo)準(zhǔn)修訂工作組成立，成員包括顧健、李斌、李謙、王峰、趙志宏、劉健、倪又明、張俊彥、吳璇、楊傳安、紀(jì)燕芳、劉強(qiáng)、徐雨晴、石凌志、張大江、伊瑋瓏、王龑、翟勝軍、劉德林、銀鷹、俞優(yōu)、沈亮、鄒春明、陳妍、張艷、宋好好、顧建新、張笑笑、吳其聰?shù)取?.2制定工作計(jì)劃修訂工作組首先制定了修訂工作計(jì)劃，并確定了修訂組人員及時(shí)溝通交流工作情況。3.3、國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)調(diào)研3.3.1、美國(guó)信息保障技術(shù)框架（IATF，InformationAssuranceTechnicalFramework）《信息保障技術(shù)框架》（IATF）是美國(guó)國(guó)家安全局（NSA）于1998年5月組織編寫(xiě)的描述其信息保障的指導(dǎo)性文件。我國(guó)的國(guó)家973“信息與網(wǎng)絡(luò)安全體系研究”課題組在2002年將IATF3.0版引入國(guó)內(nèi)后，IATF便開(kāi)始對(duì)我國(guó)信息安全工作的發(fā)展和信息安全保障體系的建設(shè)起到重要的參考和指導(dǎo)作用。該文件全面描述了信息安全保障體系的框架，并提出了對(duì)信息系統(tǒng)進(jìn)行信息保障的過(guò)程以及該系統(tǒng)中硬件和軟件部件的安全需求。其代表理論為“深度防護(hù)戰(zhàn)略（Defense-in-DepthStrategy）”。深度防護(hù)戰(zhàn)略的思想體現(xiàn)在以下兩個(gè)方面：一、因?yàn)楣舳伎赡軓亩鄠€(gè)點(diǎn)向目標(biāo)發(fā)動(dòng)攻擊，因此要在多控制點(diǎn)進(jìn)行防御；二、在攻擊者與目標(biāo)采用多種防御機(jī)制，避免單一機(jī)制的失效。IATF側(cè)重于安全技術(shù)及與之相關(guān)的工程建設(shè)方面的要求。為了在技術(shù)層面更清晰地展現(xiàn)信息安全的要求，IATF將信息網(wǎng)絡(luò)劃分為四個(gè)不同的域：局域網(wǎng)計(jì)算環(huán)境、邊界和遠(yuǎn)程連接、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性技術(shù)設(shè)施。相應(yīng)地，深度防護(hù)戰(zhàn)略的四個(gè)主要技術(shù)焦點(diǎn)也著眼于這些領(lǐng)域提供防護(hù)：保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、保衛(wèi)邊界、保衛(wèi)計(jì)算環(huán)境以及為基礎(chǔ)設(shè)施提供支持。但是，這四個(gè)域?qū)嶋H上存在重疊，不能直接作為產(chǎn)品劃分和標(biāo)識(shí)的參考，只能參考其中部分子領(lǐng)域?qū)Ξa(chǎn)品的詳細(xì)分類(lèi)。IATF雖然沒(méi)有對(duì)信息安全產(chǎn)品進(jìn)行歸類(lèi)，但其多層防御的思想給了我們一些啟發(fā)，安全產(chǎn)品的分類(lèi)可以從防御的層次上進(jìn)行考慮。此外，IATF在章節(jié)“6.6惡意代碼防護(hù)”和“7.2.2惡意代碼與病毒檢測(cè)”中，對(duì)惡意代碼檢測(cè)產(chǎn)品的分類(lèi)問(wèn)題討論內(nèi)容比較詳細(xì)，可以為相關(guān)產(chǎn)品的劃分提供參考依據(jù)。IATF是一種具有活力，尚在不斷發(fā)展中的規(guī)范，直到現(xiàn)在，隨著美國(guó)信息技術(shù)的進(jìn)步和對(duì)信息安全認(rèn)識(shí)的逐步加深，IATF仍在不斷完善和修訂中。2002年9月，IATF發(fā)布了3.1版本，擴(kuò)展了“縱深防御”的概念，強(qiáng)調(diào)了信息保障戰(zhàn)略，并補(bǔ)充了語(yǔ)音網(wǎng)絡(luò)安全方面的內(nèi)容。隨著社會(huì)對(duì)信息安全認(rèn)識(shí)的日益加深，以及信息技術(shù)的不斷進(jìn)步，IATF會(huì)繼續(xù)發(fā)展，內(nèi)容的深度和廣度也將繼續(xù)得到強(qiáng)化。3.3.2、美國(guó)國(guó)家安全體系黃金標(biāo)準(zhǔn)（CGS，CommunityGoldStandard）基于美國(guó)國(guó)家安全系統(tǒng)信息保障的最佳實(shí)踐，美國(guó)國(guó)家安全局（NSA）于2014年6月發(fā)布了《美國(guó)國(guó)家安全體系黃金標(biāo)準(zhǔn)》（CGS2.0）。CGS2.0標(biāo)準(zhǔn)框架強(qiáng)調(diào)了網(wǎng)絡(luò)空間安全四大總體性功能：治理（Govern）、保護(hù)（Protect）、檢測(cè)（Detect）和響應(yīng)與恢復(fù)（Respond&Recover），如圖1所示。其中，治理功能為各機(jī)構(gòu)全面了解整個(gè)組織的使命與環(huán)境、管理檔案與資源、建立跨組織的彈性機(jī)制等行為提供指南；保護(hù)功能為機(jī)構(gòu)保護(hù)物理和邏輯環(huán)境、資產(chǎn)和數(shù)據(jù)提供指南；檢測(cè)功能為識(shí)別和防御機(jī)構(gòu)的物理及邏輯事務(wù)上的漏洞、異常和攻擊提供指南；響應(yīng)與恢復(fù)功能則為建立針對(duì)威脅和漏洞的有效響應(yīng)機(jī)制提供指南。圖1CGS的框架結(jié)構(gòu)CGS框架的設(shè)計(jì)使得組織機(jī)構(gòu)能夠應(yīng)對(duì)各種不同的挑戰(zhàn)。該框架沒(méi)有提供選擇和實(shí)施安全措施的整套方法，而是按照邏輯，將基礎(chǔ)設(shè)施的系統(tǒng)性理解和管理能力、以及通過(guò)協(xié)同工作來(lái)保護(hù)組織安全的保護(hù)和檢測(cè)能力整合在了一起。3.3.3、美國(guó)NISTSP800系列標(biāo)準(zhǔn)SP800是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的一系列關(guān)于信息安全的技術(shù)指南文件。、SP800-362003年10月，為方便聯(lián)邦政府在保障信息安全時(shí)選擇信息安全產(chǎn)品，NIST發(fā)布了《SP800-36IT安全產(chǎn)品的選擇》(GuidetoSelectionITSecurityProducts)，將信息安全產(chǎn)品分為了表1中的九大類(lèi)，并推薦了可選擇的產(chǎn)品。表1NISTSP800-36中的安全產(chǎn)品分類(lèi)分類(lèi)對(duì)應(yīng)的安全產(chǎn)品標(biāo)識(shí)與鑒別PCMCIA安全令牌智能卡令牌證書(shū)鑒別協(xié)議生物識(shí)別訪問(wèn)控制訪問(wèn)控制列表基于角色的訪問(wèn)控制入侵檢測(cè)基于網(wǎng)絡(luò)的IDS基于主機(jī)的IDS基于應(yīng)用的IDS入侵防御防火墻包過(guò)濾防火墻狀態(tài)監(jiān)測(cè)防火墻應(yīng)用代理網(wǎng)關(guān)防火墻專(zhuān)用代理防火墻混合技術(shù)防火墻網(wǎng)絡(luò)地址翻譯基于主機(jī)的防火墻個(gè)人防火墻/個(gè)人防火墻代理集中管理分布式防火墻公鑰基礎(chǔ)設(shè)施私鑰保護(hù)和密碼模塊交叉認(rèn)證和聯(lián)邦PKI體系結(jié)構(gòu)證書(shū)倉(cāng)庫(kù)密鑰恢復(fù)證書(shū)狀態(tài)基于PKI的應(yīng)用惡意代碼防護(hù)掃描器完整性檢查工具脆弱性監(jiān)測(cè)行為遏制工具漏洞掃描網(wǎng)絡(luò)漏洞掃描主機(jī)漏洞掃描外包掃描取證證據(jù)保存和收集工具分析工具介質(zhì)安全覆寫(xiě)消磁、銷(xiāo)毀內(nèi)存清除此標(biāo)準(zhǔn)只對(duì)用戶選擇信息安全產(chǎn)品提供了指南，為表述方便對(duì)產(chǎn)品進(jìn)行了簡(jiǎn)單的分類(lèi)，并未提出嚴(yán)格的分類(lèi)方法。在對(duì)大類(lèi)產(chǎn)品進(jìn)行分類(lèi)說(shuō)明時(shí)，也沒(méi)有遵照嚴(yán)格意義的分類(lèi)進(jìn)行描述。對(duì)產(chǎn)品的分類(lèi)有的可以映射到實(shí)體產(chǎn)品如何防火墻，有的則是從安全機(jī)制上加以說(shuō)明的如訪問(wèn)控制。另外有些產(chǎn)品的分類(lèi)過(guò)于詳細(xì)如防火墻類(lèi)產(chǎn)品。從2003年10月發(fā)布后，文件雖然仍在使用，但后續(xù)沒(méi)有更新。、SP800-53近幾年來(lái)美國(guó)在計(jì)算機(jī)信息系統(tǒng)安全方面，突出體現(xiàn)了系統(tǒng)分類(lèi)分級(jí)實(shí)施保護(hù)的發(fā)展思路，并根據(jù)有關(guān)的技術(shù)標(biāo)準(zhǔn)、指南，對(duì)國(guó)家一些重要的信息系統(tǒng)實(shí)現(xiàn)了安全分級(jí)、采用不同管理的工作模式，并形成了體系化的標(biāo)準(zhǔn)和指南性文件。《SP800-53聯(lián)邦信息系統(tǒng)和組織機(jī)構(gòu)的安全和隱私控制》(SecurityandPrivacyControlsforInformationSystemsandOrganizations)提供了安全控制的層次化、結(jié)構(gòu)化的安全控制措施要求，意識(shí)和培訓(xùn)、認(rèn)證、認(rèn)可和安全評(píng)估、配置管理、持續(xù)性規(guī)劃、事件響應(yīng)、維護(hù)、介質(zhì)保護(hù)、物理和環(huán)境保護(hù)、規(guī)劃、人員安全、風(fēng)險(xiǎn)評(píng)估、系統(tǒng)和服務(wù)采購(gòu)、系統(tǒng)和信息完整性等20個(gè)安全技術(shù)、管理和運(yùn)營(yíng)控制族。表2NISTSP800-53中的安全控制措施類(lèi)、族和標(biāo)識(shí)符標(biāo)識(shí)符族AC訪問(wèn)控制AT意識(shí)培養(yǎng)和培訓(xùn)AU審核和可審核性CA安全評(píng)估和授權(quán)CM配置管理CP應(yīng)急規(guī)劃IA標(biāo)識(shí)和鑒別IP個(gè)別參與IR事件響應(yīng)MA維護(hù)MP媒體保護(hù)PA隱私權(quán)限PE物理和環(huán)境保護(hù)PL規(guī)劃PM大綱管理PS人員安全RA風(fēng)險(xiǎn)評(píng)估SA系統(tǒng)和服務(wù)獲取SC系統(tǒng)和通信保護(hù)SI系統(tǒng)和信息完整性2017年8月15日更新的修訂版5進(jìn)行了一系列更改，旨在將隱私措施更全面地整合到安全目錄中。它將原有的“系統(tǒng)”替換成“信息系統(tǒng)”，更清晰地表明了可以將文件用于物聯(lián)網(wǎng)、醫(yī)療設(shè)備、汽車(chē)等等任何計(jì)算機(jī)安全聯(lián)網(wǎng)場(chǎng)所。3.3.4、美國(guó)網(wǎng)絡(luò)安全框架（CyberSecurityFramework）2014年2月12日，NIST發(fā)布了網(wǎng)絡(luò)安全框架（CyberSecurityFramework）1.0版本，目前尚在持續(xù)更新中。網(wǎng)絡(luò)安全框架側(cè)重于使用業(yè)務(wù)驅(qū)動(dòng)因素來(lái)指導(dǎo)網(wǎng)絡(luò)安全活動(dòng)，并將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)視為組織風(fēng)險(xiǎn)管理流程的一部分。該框架由框架核心（Core）、框架配置文件（Profile）和框架實(shí)施層級(jí)（Tier）三部分組成。其中，框架核心是一系列關(guān)鍵基礎(chǔ)設(shè)施部門(mén)常見(jiàn)的網(wǎng)絡(luò)安全活動(dòng)、結(jié)果和信息參考，為開(kāi)發(fā)個(gè)人組織概況提供了詳細(xì)的指導(dǎo)。通過(guò)使用配置文件，框架將幫助組織將其網(wǎng)絡(luò)安全活動(dòng)與業(yè)務(wù)需求，風(fēng)險(xiǎn)容限和資源保持一致。實(shí)施層級(jí)則為組織提供了一種機(jī)制，以查看和了解其管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的方法的特點(diǎn)。同時(shí)，行政命令還要求框架包括在重要的基礎(chǔ)設(shè)施組織進(jìn)行網(wǎng)絡(luò)安全活動(dòng)時(shí)保護(hù)個(gè)人隱私和公民自由的方法。雖然流程和現(xiàn)有需求會(huì)有所不同，框架仍然可以幫助組織將隱私和公民自由納入全面的網(wǎng)絡(luò)安全計(jì)劃。表3NIST網(wǎng)絡(luò)安全框架核心功能唯一標(biāo)識(shí)符功能類(lèi)別唯一標(biāo)識(shí)符類(lèi)別IDIdentifyID.AMAssetManagement（資產(chǎn)管理）ID.BEBusinessEnvironment（商業(yè)環(huán)境）ID.GVGovernance（治理）ID.RARiskAssessment（風(fēng)險(xiǎn)評(píng)估）ID.SCSupplyChainRiskManagement（供應(yīng)鏈管理）ID.RMRiskManagementStrategy（風(fēng)險(xiǎn)管理戰(zhàn)略）PRProtectPR.ACAccessControl（訪問(wèn)控制）PR.ATAwarenessandTraining（意識(shí)和培訓(xùn)）PR.DSDataSecurity（數(shù)據(jù)安全）PR.IPInformationProtectionProcessesandProcedures（信息保護(hù)流程和程序）PR.MAMaintenance（維護(hù)）PR.PTProtectiveTechnology（保護(hù)技術(shù)）DEDetectDE.AEAnomaliesandEvents（異常與事件）DE.CMSecurityContinuousMonitoring（安全連續(xù)監(jiān)控）DE.DPDetectionProcesses（檢測(cè)過(guò)程）RSRespondRS.RPResponsePlanning（響應(yīng)規(guī)劃）RS.COCommunications（通信）RS.ANAnalysis（分析）RS.MIMitigation（緩解措施）RS.IMImprovements（改進(jìn)）RCRecoverRC.RPRecoveryPlanning（恢復(fù)計(jì)劃）RC.IMImprovements（改進(jìn)）RC.COCommunications（通信）由于網(wǎng)絡(luò)安全行業(yè)提供了有關(guān)實(shí)施的反饋，使得該框架成為一個(gè)活的文件，并將繼續(xù)更新和改進(jìn)。隨著框架的實(shí)施，經(jīng)驗(yàn)教訓(xùn)將被納入未來(lái)的版本。這將確?？蚣茉诔錆M挑戰(zhàn)的新威脅、風(fēng)險(xiǎn)和解決方案的環(huán)境中滿足關(guān)鍵基礎(chǔ)架構(gòu)所有者和運(yùn)營(yíng)商的需求。該框架整合了網(wǎng)絡(luò)安全行業(yè)中有效工作的標(biāo)準(zhǔn)、準(zhǔn)則和做法，并為現(xiàn)今的網(wǎng)絡(luò)安全方法提供了指導(dǎo)。3.3.5、歐盟ENISA官網(wǎng)主要議題參考從可獲得的歐盟標(biāo)準(zhǔn)信息來(lái)看，并沒(méi)有發(fā)現(xiàn)一個(gè)特定的安全產(chǎn)品分類(lèi)標(biāo)準(zhǔn)。2004年3月，歐盟成立了“歐洲信息安全局（ENISA，EuropeanUnionAgencyforNetworkandInformationSecurity）”。ENISA官網(wǎng)主要議題如圖2所示，其中與信息安全產(chǎn)品相關(guān)的內(nèi)容如表4所示：圖2ENISA官網(wǎng)主要議題表4ENISA官網(wǎng)主要議題中與信息安全產(chǎn)品相關(guān)的內(nèi)容主題領(lǐng)域備注云和大數(shù)據(jù)公有云、私有云云自身的安全基于云提供安全服務(wù)大數(shù)據(jù)數(shù)據(jù)加密應(yīng)用安全風(fēng)險(xiǎn)評(píng)估源過(guò)濾、接入控制和認(rèn)證監(jiān)控和日志審計(jì)關(guān)鍵基礎(chǔ)設(shè)施互聯(lián)網(wǎng)路由安全DNS安全DDoS防護(hù)工控網(wǎng)工控安全智能電網(wǎng)工控安全金融網(wǎng)醫(yī)療網(wǎng)安全服務(wù)應(yīng)急響應(yīng)隱私和數(shù)據(jù)保護(hù)隱私定義隱私增強(qiáng)技術(shù)個(gè)人數(shù)據(jù)安全在線和移動(dòng)數(shù)據(jù)保護(hù)IoT和智慧+智能汽車(chē)智能家庭智慧城市風(fēng)險(xiǎn)管理可信服務(wù)認(rèn)證簽名加密審計(jì)3.3.6、通用準(zhǔn)則（CC）通用準(zhǔn)則（也叫CC標(biāo)準(zhǔn)，國(guó)內(nèi)等同采用為GB/T18336）是國(guó)際權(quán)威的信息技術(shù)產(chǎn)品安全性評(píng)估標(biāo)準(zhǔn)，現(xiàn)有20多個(gè)國(guó)家簽訂了互認(rèn)協(xié)議(CCRA)。2017年4月發(fā)布第3.1版，整個(gè)標(biāo)準(zhǔn)共分三部分，其中第二部分“安全功能要求”定義了若干基本功能單元，為廠家定義安全產(chǎn)品的功能提供了統(tǒng)一的通用說(shuō)明模塊，安全功能共分11大類(lèi)：(1)安全審計(jì)，(2)通信，(3)密碼支持，(4)用戶數(shù)據(jù)保護(hù)，(5)標(biāo)識(shí)和鑒別，(6)安全管理，(7)隱私，(8)TSF保護(hù)，(9)資源利用，(10)TOE訪問(wèn)，(11)可信路徑/信道。信息安全產(chǎn)品往往需要實(shí)現(xiàn)上述功能單元的多個(gè)模塊，所以無(wú)法依照該標(biāo)準(zhǔn)的單一功能要求對(duì)產(chǎn)品進(jìn)行界定。雖然該功能是對(duì)信息產(chǎn)品中的安全功能進(jìn)行說(shuō)明，而不是特定于信息安全產(chǎn)品，但這些功能單元對(duì)于我們?cè)诜诸?lèi)中定義類(lèi)型屬性提供了有價(jià)值的參考。3.3.7、網(wǎng)信辦網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄2017年6月1日，國(guó)家網(wǎng)信辦會(huì)同工信部、公安部、認(rèn)監(jiān)委等部門(mén)制定公布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄（第一批）》。表5網(wǎng)信辦網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄（第一批）設(shè)備或產(chǎn)品類(lèi)別范圍網(wǎng)絡(luò)關(guān)鍵設(shè)備1.路由器整系統(tǒng)吞吐量（雙向）≥12Tbps

整系統(tǒng)路由表容量≥55萬(wàn)條2.交換機(jī)整系統(tǒng)吞吐量（雙向）≥30Tbps

整系統(tǒng)包轉(zhuǎn)發(fā)率≥10Gpps3.服務(wù)器（機(jī)架式）CPU數(shù)量≥8個(gè)

單CPU內(nèi)核數(shù)≥14個(gè)

內(nèi)存容量≥256GB4.可編程邏輯控制器（PLC設(shè)備）控制器指令執(zhí)行時(shí)間≤0.08微秒網(wǎng)絡(luò)安全

專(zhuān)用產(chǎn)品5.數(shù)據(jù)備份一體機(jī)備份容量≥20T

備份速度≥60MB/s

備份時(shí)間間隔≤1小時(shí)6.防火墻（硬件）整機(jī)吞吐量≥80Gbps

最大并發(fā)連接數(shù)≥300萬(wàn)

每秒新建連接數(shù)≥25萬(wàn)7.WEB應(yīng)用防火墻（WAF）整機(jī)應(yīng)用吞吐量≥6Gbps

最大HTTP并發(fā)連接數(shù)≥200萬(wàn)8.入侵檢測(cè)系統(tǒng)（IDS）滿檢速率≥15Gbps

最大并發(fā)連接數(shù)≥500萬(wàn)9.入侵防御系統(tǒng)（IPS）滿檢速率≥20Gbps

最大并發(fā)連接數(shù)≥500萬(wàn)10.安全隔離與信息交換產(chǎn)品（網(wǎng)閘）吞吐量≥1Gbps

系統(tǒng)延時(shí)≤5ms11.反垃圾郵件產(chǎn)品連接處理速率（連接/秒）＞100

平均延時(shí)時(shí)間≤100ms12.網(wǎng)絡(luò)綜合審計(jì)系統(tǒng)抓包速度≥5Gbps

記錄事件能力≥5萬(wàn)條/秒13.網(wǎng)絡(luò)脆弱性掃描產(chǎn)品最大并行掃描IP數(shù)量≥60個(gè)14.安全數(shù)據(jù)庫(kù)系統(tǒng)TPC-EtpsE（每秒可交易數(shù)量）≥4500個(gè)15.網(wǎng)站恢復(fù)產(chǎn)品（硬件）恢復(fù)時(shí)間≤2ms

站點(diǎn)的最長(zhǎng)路徑≥10級(jí)3.3.8、軍用計(jì)算機(jī)信息系統(tǒng)安全保密產(chǎn)品分類(lèi)標(biāo)準(zhǔn)表6軍用計(jì)算機(jī)信息系統(tǒng)安全保密產(chǎn)品分類(lèi)目錄物理安全產(chǎn)品環(huán)境安全產(chǎn)品場(chǎng)地安全防護(hù)產(chǎn)品災(zāi)難處置產(chǎn)品其它設(shè)備安全產(chǎn)品設(shè)備防盜產(chǎn)品設(shè)備防毀產(chǎn)品防電、磁、聲、光打擊、摧毀產(chǎn)品防電、磁、聲光泄漏產(chǎn)品電、磁、聲、光屏蔽產(chǎn)品低電磁泄漏產(chǎn)品電、磁、聲、光壓制產(chǎn)品平臺(tái)安全產(chǎn)品基本輸入輸出系統(tǒng)安全產(chǎn)品操作系統(tǒng)安全產(chǎn)品安全操作系統(tǒng)操作系統(tǒng)安全部件數(shù)據(jù)庫(kù)安全產(chǎn)品安全數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)安全部件證書(shū)授權(quán)認(rèn)證產(chǎn)品應(yīng)用支撐安全產(chǎn)品公用應(yīng)用支撐安全產(chǎn)品專(zhuān)用應(yīng)用支撐安全產(chǎn)品網(wǎng)絡(luò)安全產(chǎn)品邊界安全產(chǎn)品防火墻網(wǎng)絡(luò)隔離產(chǎn)品遠(yuǎn)程訪問(wèn)安全產(chǎn)品其它鏈路安全產(chǎn)品虛擬專(zhuān)用網(wǎng)產(chǎn)品安全協(xié)議產(chǎn)品其它節(jié)點(diǎn)安全產(chǎn)品安全路由器安全服務(wù)器安全終端其它反病毒(含惡意代碼)產(chǎn)品網(wǎng)關(guān)型反病毒產(chǎn)品網(wǎng)絡(luò)型反病毒產(chǎn)品單機(jī)型反病毒產(chǎn)品數(shù)據(jù)安全產(chǎn)品數(shù)據(jù)加密產(chǎn)品安全存儲(chǔ)產(chǎn)品移動(dòng)安全存儲(chǔ)設(shè)備固定安全存儲(chǔ)設(shè)備用戶安全產(chǎn)品身份鑒別產(chǎn)品生物特征識(shí)別產(chǎn)品光、機(jī)、電身份識(shí)別產(chǎn)品其它安全、保密授權(quán)產(chǎn)品通用授權(quán)產(chǎn)品專(zhuān)用授權(quán)產(chǎn)品其它訪問(wèn)控制產(chǎn)品自主訪問(wèn)控制產(chǎn)品強(qiáng)制訪問(wèn)控制產(chǎn)品角色訪問(wèn)控制產(chǎn)品抗抵賴(lài)產(chǎn)品抗發(fā)方抵賴(lài)產(chǎn)品抗收方抵賴(lài)產(chǎn)品其它管理安全產(chǎn)品應(yīng)急響應(yīng)產(chǎn)品備份與恢復(fù)產(chǎn)品計(jì)算機(jī)取證產(chǎn)品應(yīng)急設(shè)施產(chǎn)品審計(jì)與監(jiān)控產(chǎn)品審計(jì)產(chǎn)品入侵檢測(cè)產(chǎn)品非法外連與接入監(jiān)控產(chǎn)品其它風(fēng)險(xiǎn)評(píng)估產(chǎn)品威脅評(píng)估產(chǎn)品脆弱性評(píng)估產(chǎn)品綜合評(píng)估產(chǎn)品其它3.3.9、國(guó)內(nèi)信息安全廠商產(chǎn)品類(lèi)別不完全匯總表7國(guó)內(nèi)信息安全廠商產(chǎn)品類(lèi)別不完全匯總目錄網(wǎng)絡(luò)安全產(chǎn)品端點(diǎn)安全惡意軟件防護(hù)防病毒個(gè)人版防病毒網(wǎng)絡(luò)版防病毒移動(dòng)版終端安全管理終端檢測(cè)與響應(yīng)主機(jī)監(jiān)控與審計(jì)主機(jī)防護(hù)與自適應(yīng)移動(dòng)終端管理其他安全操作系統(tǒng)主機(jī)加固APP加固網(wǎng)絡(luò)安全安全網(wǎng)關(guān)防火墻統(tǒng)一威脅管理下一代防火墻虛擬專(zhuān)用網(wǎng)VPN入侵檢測(cè)與防御入侵檢測(cè)系統(tǒng)入侵防御系統(tǒng)高級(jí)威脅檢測(cè)網(wǎng)絡(luò)監(jiān)控與審計(jì)網(wǎng)絡(luò)安全審計(jì)行為管理與審計(jì)內(nèi)容監(jiān)控審計(jì)網(wǎng)絡(luò)流量分析管理其他抗DDOS網(wǎng)閘與單向?qū)刖W(wǎng)絡(luò)準(zhǔn)入控制防毒墻應(yīng)用安全WEB安全WEB掃描WEB應(yīng)用防火墻代碼安全網(wǎng)頁(yè)篡改防護(hù)網(wǎng)站監(jiān)控應(yīng)用交付數(shù)據(jù)庫(kù)安全數(shù)據(jù)庫(kù)掃描數(shù)據(jù)庫(kù)審計(jì)數(shù)據(jù)庫(kù)防火墻數(shù)據(jù)庫(kù)加密與脫敏安全數(shù)據(jù)庫(kù)郵件安全反垃圾郵件網(wǎng)關(guān)郵件防病毒數(shù)據(jù)安全數(shù)據(jù)治理數(shù)據(jù)發(fā)現(xiàn)與分級(jí)數(shù)據(jù)防泄露網(wǎng)絡(luò)版數(shù)據(jù)防泄露主機(jī)板文件管理與加密電子文件管理文件加密電子簽章數(shù)據(jù)備份與恢復(fù)數(shù)據(jù)容災(zāi)備份數(shù)據(jù)恢復(fù)數(shù)據(jù)清除內(nèi)容安全不良信息監(jiān)測(cè)與過(guò)濾輿情監(jiān)控反釣魚(yú)身份與訪問(wèn)管理認(rèn)證與權(quán)限管理統(tǒng)一身份認(rèn)證與管理單點(diǎn)登錄SSO堡壘機(jī)高級(jí)認(rèn)證基礎(chǔ)公鑰設(shè)施PKI多因素認(rèn)證硬件認(rèn)證安全管理安全運(yùn)營(yíng)與事件響應(yīng)安全運(yùn)營(yíng)中心安全信息和事件管理日志審計(jì)取證與事件調(diào)查安全協(xié)同脆弱性評(píng)估與管理漏洞掃描補(bǔ)丁管理代碼審計(jì)基線與配置核查治理、風(fēng)險(xiǎn)與合規(guī)GRC平臺(tái)等保管理系統(tǒng)安全智能威脅智能分析APT取證溯源網(wǎng)絡(luò)流量分析其他分類(lèi)云云安全云基礎(chǔ)架構(gòu)安全云主機(jī)安全云網(wǎng)絡(luò)安全云應(yīng)用安全安全云SAAS云抗D云WAF云身份認(rèn)證大數(shù)據(jù)大數(shù)據(jù)安全數(shù)據(jù)安全性合法收集與合理利用大數(shù)據(jù)技術(shù)在安全領(lǐng)域的應(yīng)用態(tài)勢(shì)感知反欺詐與風(fēng)控威脅情報(bào)物聯(lián)網(wǎng)工控安全工控安全網(wǎng)關(guān)工控安全審計(jì)工控漏掃智能設(shè)備汽車(chē)家電攝像頭移動(dòng)移動(dòng)設(shè)備惡意軟件防護(hù)移動(dòng)設(shè)備管理個(gè)人隱私保護(hù)移動(dòng)應(yīng)用APP加固移動(dòng)應(yīng)用防火墻通過(guò)對(duì)這些資料的研究，結(jié)合公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心數(shù)年以來(lái)的信息安全產(chǎn)品資料的積累，我們初步整理了標(biāo)準(zhǔn)修訂的思路與框架，為標(biāo)準(zhǔn)修訂工作的展開(kāi)打下了扎實(shí)的基礎(chǔ)。3.4、參考資料本標(biāo)準(zhǔn)修訂過(guò)程中，主要參考了：—GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》；—GB/T18336.1-2015《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型》；—GB/T18336.2-2015《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第2部分：安全功能組件》；—GB/T18336.3-2015《信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第3部分：安全保障組件》；—GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》；—GB/T22239-XXXX《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（送審稿）；—GB/T25066-2010《信息安全技術(shù)信息安全產(chǎn)品類(lèi)別與代碼》；—近幾年在公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心進(jìn)行檢測(cè)的信息安全產(chǎn)品及其技術(shù)資料。3.5、確定修訂內(nèi)容經(jīng)標(biāo)準(zhǔn)修訂工作組研究決定，以原國(guó)標(biāo)內(nèi)容和調(diào)研結(jié)果為研究基礎(chǔ)，以當(dāng)前信息安全產(chǎn)品的發(fā)展動(dòng)向?yàn)檠芯磕繕?biāo)，完成國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全產(chǎn)品類(lèi)別與代碼》的修訂工作。3.6修訂工作簡(jiǎn)要過(guò)程按照修訂進(jìn)度要求，修訂工作組首先對(duì)所參閱的產(chǎn)品、文檔以及標(biāo)準(zhǔn)進(jìn)行反復(fù)閱讀與理解，查閱有關(guān)資料，編寫(xiě)標(biāo)準(zhǔn)修訂提綱。在對(duì)提綱進(jìn)行交流和修改的基礎(chǔ)上，開(kāi)始具體的修訂工作。3.6.1、草稿（原稿）2017年7月至8月，對(duì)國(guó)內(nèi)外的信息安全產(chǎn)品分類(lèi)標(biāo)準(zhǔn)以及相關(guān)技術(shù)文檔進(jìn)行前期基礎(chǔ)調(diào)研。同時(shí)，主要對(duì)公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心歷年檢測(cè)產(chǎn)品的記錄、報(bào)告以及各產(chǎn)品的技術(shù)文檔材料進(jìn)行了篩選、匯總、分析，對(duì)國(guó)內(nèi)信息安全產(chǎn)品的發(fā)展動(dòng)向進(jìn)行了研究。2017年9月上中旬，進(jìn)行草稿的編寫(xiě)工作。以修訂工作組人員和參編單位收集的資料為基礎(chǔ)，依據(jù)修訂提綱，對(duì)原標(biāo)準(zhǔn)的內(nèi)容進(jìn)行了第一次修訂，形成了本標(biāo)準(zhǔn)的草稿（原稿）。3.6.2、草稿（第一稿）2017年9月下旬，修訂工作組以?xún)?nèi)部討論會(huì)的形式對(duì)草稿（原稿）進(jìn)行討論修改，形成了草稿（第一稿）。本次修改的主要內(nèi)容是修改了標(biāo)準(zhǔn)名稱(chēng)、三/四級(jí)分類(lèi)目錄形式、產(chǎn)品分類(lèi)目錄以及對(duì)附錄的相應(yīng)修改。3.6.3、草稿（第二稿）2017年10月上中旬，在草稿（第一稿）的基礎(chǔ)上，修訂工作組繼續(xù)征求參編單位的意見(jiàn)，對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修改，形成了草稿（第二稿）。本次修改的主要內(nèi)容是為四級(jí)目錄設(shè)置了領(lǐng)域?qū)傩院?jiǎn)稱(chēng)、明確了三級(jí)分類(lèi)與四級(jí)分類(lèi)的不同含義、修改產(chǎn)品分類(lèi)目錄以及對(duì)附錄的相應(yīng)修改。3.6.4、征求意見(jiàn)稿（第一稿）2017年10月中旬，本標(biāo)準(zhǔn)在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2017年第二次會(huì)議周WG5工作組內(nèi)上會(huì)討論，接受質(zhì)詢(xún)。會(huì)上，各位專(zhuān)家提出了寶貴意見(jiàn)，并一致同意將本標(biāo)準(zhǔn)推進(jìn)至征求意見(jiàn)稿。修訂工作組根據(jù)專(zhuān)家意見(jiàn)建議對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修改，形成了征求意見(jiàn)稿（第一稿）。本次修改的主要內(nèi)容是修改了附錄中的部分類(lèi)型產(chǎn)品的規(guī)范性描述。3.6.5、征求意見(jiàn)稿（第二稿）2017年12月上旬，在征求意見(jiàn)稿（第一稿）的基礎(chǔ)上，修訂工作組繼續(xù)征求參編單位的意見(jiàn)，對(duì)標(biāo)準(zhǔn)內(nèi)容進(jìn)行了修改，形成了征求意見(jiàn)稿（第二稿）。本次修改的主要內(nèi)容是修改了網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的定義描述和附錄中的部分類(lèi)型產(chǎn)品的規(guī)范性描述。3.7、主要起草人及其工作標(biāo)準(zhǔn)修訂工作組以陸臻為組長(zhǎng)，組員包括顧健、李斌、李謙、王峰、趙志宏、劉健、倪又明、張俊彥、吳璇、楊傳安、紀(jì)燕芳、劉強(qiáng)、徐雨晴、石凌志、張大江、伊瑋瓏、王龑、翟勝軍、劉德林、銀鷹、俞優(yōu)、沈亮、鄒春明、陳妍、張艷、宋好好、顧建新、張笑笑、吳其聰?shù)取ｊ懻樽鳛榻M長(zhǎng)總體負(fù)責(zé)標(biāo)準(zhǔn)修訂，包括制定工作計(jì)劃、確定修訂內(nèi)容；顧健、李斌、李謙主要負(fù)責(zé)協(xié)調(diào)各參編單位、編制說(shuō)明的編寫(xiě)、向廠商征求意見(jiàn)與反饋等工作；王峰、趙志宏、劉健、倪又明、張俊彥、吳璇、楊傳安、紀(jì)燕芳、劉強(qiáng)、徐雨晴、石凌志、張大江、伊瑋瓏、王龑、翟勝軍、劉德林、銀鷹主要負(fù)責(zé)標(biāo)準(zhǔn)的前期調(diào)研、對(duì)標(biāo)準(zhǔn)現(xiàn)狀分析、參考標(biāo)準(zhǔn)文獻(xiàn)資料以及標(biāo)準(zhǔn)各個(gè)版本的修訂；俞優(yōu)、沈亮、鄒春明、陳妍、張艷、宋好好、顧建新、張笑笑、吳其聰主要負(fù)責(zé)標(biāo)準(zhǔn)修訂過(guò)程中的技術(shù)支持、意見(jiàn)匯總的處理等工作。[內(nèi)容包括下達(dá)計(jì)劃任務(wù)主管部門(mén)的完整名稱(chēng)、項(xiàng)目計(jì)劃發(fā)布文件號(hào)、本項(xiàng)目的計(jì)劃代號(hào)和主要承辦單位完整名稱(chēng)、副主辦單位或協(xié)作單位完整名稱(chēng)、主要工作過(guò)程、主要起草人及其所做的工作等]二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題1、標(biāo)準(zhǔn)修訂原則本標(biāo)準(zhǔn)符合我國(guó)的實(shí)際情況，遵從我國(guó)有關(guān)法律、法規(guī)的規(guī)定。具體原則與要求如下：a)一致性原則原標(biāo)準(zhǔn)GB/T25066-2010已實(shí)施六年，為了保證信息安全產(chǎn)品的監(jiān)管部門(mén)、生產(chǎn)廠商、用戶和測(cè)評(píng)機(jī)構(gòu)對(duì)產(chǎn)品分類(lèi)的認(rèn)知連貫，在不影響本標(biāo)準(zhǔn)的其他修訂原則的前提下，宜盡量保持本標(biāo)準(zhǔn)與原標(biāo)準(zhǔn)GB/T25066-2010的一致性。b)完整性原則本標(biāo)準(zhǔn)是一個(gè)分類(lèi)標(biāo)準(zhǔn)，應(yīng)盡可能涵蓋目前市場(chǎng)上已有的信息安全產(chǎn)品類(lèi)型。標(biāo)準(zhǔn)修訂工作組應(yīng)充分調(diào)研，廣泛征求意見(jiàn)，盡可能保證分類(lèi)目錄的完整性。c)前瞻性原則信息安全技術(shù)在不斷的發(fā)展，可預(yù)見(jiàn)未來(lái)會(huì)有更多的信息安全產(chǎn)品進(jìn)入市場(chǎng)。本標(biāo)準(zhǔn)應(yīng)遵循前瞻性原則，為技術(shù)發(fā)展留出可擴(kuò)展的空間。2、標(biāo)準(zhǔn)主要內(nèi)容本標(biāo)準(zhǔn)的編寫(xiě)格式和方法依照GB/T1.1-2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫(xiě)》規(guī)則。本標(biāo)準(zhǔn)是對(duì)GB/T25066-2010《信息安全技術(shù)信息安全產(chǎn)品類(lèi)別與代碼》的修訂，與原標(biāo)準(zhǔn)保持一致，本標(biāo)準(zhǔn)主要結(jié)構(gòu)包括如下內(nèi)容：范圍規(guī)范性引用文件術(shù)語(yǔ)和定義類(lèi)別與代碼附錄A（分類(lèi)描述）其中，修訂的重點(diǎn)章節(jié)是第4節(jié)和附錄A：第4節(jié)“類(lèi)別與代碼”詳細(xì)列出修訂后的產(chǎn)品類(lèi)別目錄及其對(duì)應(yīng)代碼名稱(chēng)，附錄A“分類(lèi)描述”與產(chǎn)品類(lèi)別目錄相對(duì)應(yīng)，給出對(duì)每一類(lèi)別產(chǎn)品的規(guī)范性描述。[如技術(shù)指標(biāo)、參數(shù)、公式、性能要求、試驗(yàn)方法、檢驗(yàn)規(guī)則等的論據(jù)，包括試驗(yàn)、統(tǒng)計(jì)數(shù)據(jù)，解決的主要問(wèn)題。修訂標(biāo)準(zhǔn)時(shí)應(yīng)列出與原標(biāo)準(zhǔn)的主要差異和水平對(duì)比]三、主要試驗(yàn)[或驗(yàn)證]情況分析原標(biāo)準(zhǔn)GB/T25066-2010《信息安全技術(shù)信息安全產(chǎn)品類(lèi)別與代碼》于2011年2月1日實(shí)施以來(lái)，陸續(xù)發(fā)現(xiàn)存在的問(wèn)題如下：1、部分產(chǎn)品的內(nèi)涵（包括名稱(chēng)、功能、分類(lèi)等）發(fā)生變化：例如，在原標(biāo)準(zhǔn)中“個(gè)人防火墻”屬于一級(jí)分類(lèi)“主機(jī)及其計(jì)算環(huán)境安全”（代碼B）、二級(jí)分類(lèi)“計(jì)算環(huán)境防護(hù)”（代碼B2）下的三級(jí)類(lèi)別（代碼B204）。近年來(lái)，個(gè)人防火墻的概念已被“主機(jī)型防火墻”取代，產(chǎn)品的側(cè)重點(diǎn)也從個(gè)人PC單點(diǎn)防護(hù)轉(zhuǎn)變?yōu)槎帱c(diǎn)防御、集中管控，且國(guó)家標(biāo)準(zhǔn)GB/T31505-2015《主機(jī)型防火墻安全技術(shù)要求和測(cè)試評(píng)價(jià)方法》已于2015年發(fā)布。再如，在原標(biāo)準(zhǔn)中“防火墻”屬于一級(jí)分類(lèi)“邊界安全”（代碼D）、二級(jí)分類(lèi)“邊界訪問(wèn)控制”（代碼D3）下的三級(jí)類(lèi)別（代碼D301），防火墻的類(lèi)型被歸納為包過(guò)濾防火墻（包括狀態(tài)檢測(cè)）、應(yīng)用級(jí)防火墻和混合型防火墻。但是，這種分類(lèi)方式，比如包過(guò)濾防火墻的概念，已不適用，GB/T18020-1999《信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求》也已作廢。目前業(yè)內(nèi)比較公認(rèn)的防火墻分類(lèi)為：基于狀態(tài)檢測(cè)的網(wǎng)絡(luò)型防火墻、數(shù)據(jù)庫(kù)防火墻、WEB應(yīng)用防火墻、下一代防火墻等。又如，在原標(biāo)準(zhǔn)中“邊界隔離”屬于一級(jí)分類(lèi)“邊界安全”（代碼D）下的二級(jí)分類(lèi)（代碼D1），其三級(jí)分類(lèi)包括“安全隔離卡”（代碼D101）和“安全隔離與信息交換”（代碼D102），類(lèi)型被歸納為物理斷開(kāi)（卡）、單向隔離（卡），協(xié)議隔離、網(wǎng)閘等。相關(guān)的國(guó)家標(biāo)準(zhǔn)GB/T20279-2006、GB/T20277-2006已于2015年修訂完成并發(fā)布，修訂后的標(biāo)準(zhǔn)GB/T20279-2015《信息安全技術(shù)網(wǎng)絡(luò)和終端隔離產(chǎn)品安全技術(shù)要求》、GB/T20277-2015《信息安全技術(shù)網(wǎng)絡(luò)和終端隔離產(chǎn)品測(cè)試評(píng)價(jià)方法》對(duì)隔離產(chǎn)品的類(lèi)型進(jìn)行了重新劃分，包括終端隔離、網(wǎng)絡(luò)隔離（子類(lèi)包括協(xié)議隔離與網(wǎng)閘）和網(wǎng)絡(luò)單向?qū)肴N產(chǎn)品子類(lèi)。2、新領(lǐng)域的產(chǎn)品類(lèi)型不斷涌現(xiàn)：隨著信息安全產(chǎn)品技術(shù)的發(fā)展和應(yīng)用場(chǎng)景的細(xì)化，在傳統(tǒng)領(lǐng)域產(chǎn)品的基礎(chǔ)上，已出現(xiàn)了針對(duì)工業(yè)控制系統(tǒng)、云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)、新領(lǐng)域的信息安全產(chǎn)品，例如工業(yè)控制系統(tǒng)防火墻、云操作系統(tǒng)安全、移動(dòng)應(yīng)用防火墻、移動(dòng)安全管理平臺(tái)、大數(shù)據(jù)安全管理平臺(tái)等，這些產(chǎn)品除了具有基本功能外，還具有針對(duì)特定領(lǐng)域的功能特性。這些新領(lǐng)域的產(chǎn)品類(lèi)型已漸成規(guī)模，也應(yīng)當(dāng)在產(chǎn)品類(lèi)別目錄中加以考量。3、配合《網(wǎng)絡(luò)安全法》落地：2017年6月1日，新出臺(tái)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施，其中第二十三條明確“國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄”。本標(biāo)準(zhǔn)修訂工作組將與國(guó)家主管部門(mén)作充分溝通，以使GB/T25066《信息安全技術(shù)信息安全產(chǎn)品類(lèi)別與代碼》更有利于監(jiān)管部門(mén)對(duì)信息安全產(chǎn)品的監(jiān)管，更有利于信息安全產(chǎn)業(yè)和市場(chǎng)的規(guī)范，成為配合《網(wǎng)絡(luò)安全法》落地及監(jiān)管部門(mén)監(jiān)管需求的重要支撐。綜上所述，對(duì)GB/T25066-2010修訂的框架為：在產(chǎn)品類(lèi)別目錄、代碼和分類(lèi)描述中，對(duì)部分產(chǎn)品的內(nèi)涵（包括名稱(chēng)、功能、分類(lèi)等）發(fā)生變化的情況進(jìn)行相應(yīng)修改；以合理方式增加對(duì)已涌現(xiàn)出的新領(lǐng)域的產(chǎn)品類(lèi)型的描述；與國(guó)家主管部門(mén)作充分溝通，使本標(biāo)準(zhǔn)配合《網(wǎng)絡(luò)安全法》落地及監(jiān)管部門(mén)的監(jiān)管需求。四、知識(shí)產(chǎn)權(quán)情況說(shuō)明暫無(wú)。[相關(guān)知識(shí)產(chǎn)權(quán)情況的說(shuō)明。如果在標(biāo)準(zhǔn)編制過(guò)程中識(shí)別出標(biāo)準(zhǔn)的某些技術(shù)內(nèi)容涉及專(zhuān)利，則應(yīng)列出相關(guān)專(zhuān)利的目錄及其使用理由]五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果暫無(wú)。[電子行業(yè)標(biāo)準(zhǔn)必須填寫(xiě)。對(duì)于國(guó)家標(biāo)準(zhǔn)如不要求此內(nèi)容可刪除章號(hào)和標(biāo)題]六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況修訂后的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息安全產(chǎn)品類(lèi)別與代碼》是在對(duì)國(guó)內(nèi)外的相關(guān)標(biāo)準(zhǔn)進(jìn)行吸收、消化的基礎(chǔ)上，結(jié)合當(dāng)前國(guó)內(nèi)外信息安全產(chǎn)品發(fā)展情況，并考慮了我國(guó)國(guó)情制定的。現(xiàn)有的國(guó)外同類(lèi)標(biāo)準(zhǔn)或相關(guān)資料包括美國(guó)信息保障技術(shù)框架（IATF）、國(guó)家安全體系黃金標(biāo)準(zhǔn)（CGS