《信息安全技術 信息安全產品類別與代碼-編制說明》

國家標準報批資料

一、工作簡況

1、任務來源

國家標準《信息安全技術信息安全產品類別與代碼》修訂工作由全國信息

安全標準化技術委員會秘書處下達立項通知（信安秘字[2017]032號），主要承

擔單位為東軟集團股份有限公司、公安部第三研究所和中國信息安全測評中心

等。

2、協作單位

任務下達后，公安部第三研究所和東軟集團股份有限公司立即與測評機構、

業(yè)內廠商和科研院校進行溝通并得到了積極參與的反饋。目前，標準參編單位包

括中國電子科技集團公司第十五研究所、中國金融電子化公司、上海市信息安全

測評認證中心、中新網絡信息安全股份有限公司、北京神州綠盟科技有限公司、

福建省網絡與信息安全測評中心、藍盾信息安全技術股份有限公司、啟明星辰信

息技術集團股份有限公司、北京威努特技術有限公司、阿里云計算有限公司、深

信服科技股份有限公司、北京天融信科技有限公司、360企業(yè)安全集團、上海上

訊信息技術股份有限公司、上海交通大學等。

3、主要工作過程

3.1、成立修訂工作組

本標準的修訂任務由東軟集團股份有限公司、公安部第三研究所、中國信息

安全測評中心和其他參編單位共同承擔。2017年7月，由陸臻具體負責的標準修

訂工作組成立，成員包括顧健、李斌、李謙、王峰、趙志宏、劉健、倪又明、張

俊彥、吳璇、楊傳安、紀燕芳、劉強、徐雨晴、石凌志、張大江、伊瑋瓏、王龑、

翟勝軍、劉德林、銀鷹、俞優(yōu)、沈亮、鄒春明、陳妍、張艷、宋好好、顧建新、

張笑笑、吳其聰等。

3.2制定工作計劃

修訂工作組首先制定了修訂工作計劃，并確定了修訂組人員及時溝通交流工

作情況。

3.3、國內外相關標準調研

3.3.1、美國信息保障技術框架（IATF，InformationAssuranceTechnical

Framework）

國家標準報批資料

《信息保障技術框架》（IATF）是美國國家安全局（NSA）于1998年5月組

織編寫的描述其信息保障的指導性文件。我國的國家973“信息與網絡安全體系

研究”課題組在2002年將IATF3.0版引入國內后，IATF便開始對我國信息安

全工作的發(fā)展和信息安全保障體系的建設起到重要的參考和指導作用。該文件全

面描述了信息安全保障體系的框架，并提出了對信息系統進行信息保障的過程以

及該系統中硬件和軟件部件的安全需求。其代表理論為“深度防護戰(zhàn)略

（Defense-in-DepthStrategy）”。深度防護戰(zhàn)略的思想體現在以下兩個方面：

一、因為攻擊都可能從多個點向目標發(fā)動攻擊，因此要在多控制點進行防御；二、

在攻擊者與目標采用多種防御機制，避免單一機制的失效。

IATF側重于安全技術及與之相關的工程建設方面的要求。為了在技術層面

更清晰地展現信息安全的要求，IATF將信息網絡劃分為四個不同的域：局域網

計算環(huán)境、邊界和遠程連接、網絡和基礎設施、支撐性技術設施。相應地，深度

防護戰(zhàn)略的四個主要技術焦點也著眼于這些領域提供防護：保衛(wèi)網絡和基礎設

施、保衛(wèi)邊界、保衛(wèi)計算環(huán)境以及為基礎設施提供支持。但是，這四個域實際上

存在重疊，不能直接作為產品劃分和標識的參考，只能參考其中部分子領域對產

品的詳細分類。

IATF雖然沒有對信息安全產品進行歸類，但其多層防御的思想給了我們一

些啟發(fā)，安全產品的分類可以從防御的層次上進行考慮。此外，IATF在章節(jié)“6.6

惡意代碼防護”和“7.2.2惡意代碼與病毒檢測”中，對惡意代碼檢測產品的分

類問題討論內容比較詳細，可以為相關產品的劃分提供參考依據。

IATF是一種具有活力，尚在不斷發(fā)展中的規(guī)范，直到現在，隨著美國信息

技術的進步和對信息安全認識的逐步加深，IATF仍在不斷完善和修訂中。2002

年9月，IATF發(fā)布了3.1版本，擴展了“縱深防御”的概念，強調了信息保障

戰(zhàn)略，并補充了語音網絡安全方面的內容。隨著社會對信息安全認識的日益加深，

以及信息技術的不斷進步，IATF會繼續(xù)發(fā)展，內容的深度和廣度也將繼續(xù)得到

強化。

3.3.2、美國國家安全體系黃金標準（CGS，CommunityGoldStandard）

基于美國國家安全系統信息保障的最佳實踐，美國國家安全局（NSA）于2014

年6月發(fā)布了《美國國家安全體系黃金標準》（CGS2.0）。

國家標準報批資料

CGS2.0標準框架強調了網絡空間安全四大總體性功能：治理（Govern）、

保護（Protect）、檢測（Detect）和響應與恢復（Respond&Recover），如圖

1所示。其中，治理功能為各機構全面了解整個組織的使命與環(huán)境、管理檔案與

資源、建立跨組織的彈性機制等行為提供指南；保護功能為機構保護物理和邏輯

環(huán)境、資產和數據提供指南；檢測功能為識別和防御機構的物理及邏輯事務上的

漏洞、異常和攻擊提供指南；響應與恢復功能則為建立針對威脅和漏洞的有效響

應機制提供指南。

圖1CGS的框架結構

CGS框架的設計使得組織機構能夠應對各種不同的挑戰(zhàn)。該框架沒有提供選

擇和實施安全措施的整套方法，而是按照邏輯，將基礎設施的系統性理解和管理

能力、以及通過協同工作來保護組織安全的保護和檢測能力整合在了一起。

3.3.3、美國NISTSP800系列標準

SP800是美國國家標準與技術研究院（NIST）發(fā)布的一系列關于信息安全的

技術指南文件。

、SP800-36

2003年10月，為方便聯邦政府在保障信息安全時選擇信息安全產品，NIST

發(fā)布了《SP800-36IT安全產品的選擇》(GuidetoSelectionITSecurity

Products)，將信息安全產品分為了表1中的九大類，并推薦了可選擇的產品。

表1NISTSP800-36中的安全產品分類

分類對應的安全產品

標識與鑒別PCMCIA安全令牌

國家標準報批資料

智能卡令牌

證書

鑒別協議

生物識別

訪問控制列表

訪問控制

基于角色的訪問控制

基于網絡的IDS

基于主機的IDS

入侵檢測

基于應用的IDS

入侵防御

包過濾防火墻

狀態(tài)監(jiān)測防火墻

應用代理網關防火墻

專用代理防火墻

防火墻混合技術防火墻

網絡地址翻譯

基于主機的防火墻

個人防火墻/個人防火墻代理

集中管理分布式防火墻

私鑰保護和密碼模塊

交叉認證和聯邦PKI體系結構

證書倉庫

公鑰基礎設施

密鑰恢復

證書狀態(tài)

基于PKI的應用

掃描器

完整性檢查工具

惡意代碼防護

脆弱性監(jiān)測

行為遏制工具

國家標準報批資料

網絡漏洞掃描

漏洞掃描主機漏洞掃描

外包掃描

證據保存和收集工具

取證

分析工具

覆寫

消磁、

介質安全

銷毀

內存清除

此標準只對用戶選擇信息安全產品提供了指南，為表述方便對產品進行了簡

單的分類，并未提出嚴格的分類方法。在對大類產品進行分類說明時，也沒有遵

照嚴格意義的分類進行描述。對產品的分類有的可以映射到實體產品如何防火

墻，有的則是從安全機制上加以說明的如訪問控制。另外有些產品的分類過于詳

細如防火墻類產品。從2003年10月發(fā)布后，文件雖然仍在使用，但后續(xù)沒有更

新。

、SP800-53

近幾年來美國在計算機信息系統安全方面，突出體現了系統分類分級實施保

護的發(fā)展思路，并根據有關的技術標準、指南，對國家一些重要的信息系統實現

了安全分級、采用不同管理的工作模式，并形成了體系化的標準和指南性文件。

《SP800-53聯邦信息系統和組織機構的安全和隱私控制》(Securityand

PrivacyControlsforInformationSystemsandOrganizations)提供了安全

控制的層次化、結構化的安全控制措施要求，意識和培訓、認證、認可和安全評

估、配置管理、持續(xù)性規(guī)劃、事件響應、維護、介質保護、物理和環(huán)境保護、規(guī)

劃、人員安全、風險評估、系統和服務采購、系統和信息完整性等20個安全技

術、管理和運營控制族。

表2NISTSP800-53中的安全控制措施類、族和標識符

標識符族

AC訪問控制

AT意識培養(yǎng)和培訓

國家標準報批資料

AU審核和可審核性

CA安全評估和授權

CM配置管理

CP應急規(guī)劃

IA標識和鑒別

IP個別參與

IR事件響應

MA維護

MP媒體保護

PA隱私權限

PE物理和環(huán)境保護

PL規(guī)劃

PM大綱管理

PS人員安全

RA風險評估

SA系統和服務獲取

SC系統和通信保護

SI系統和信息完整性

2017年8月15日更新的修訂版5進行了一系列更改，旨在將隱私措施更全

面地整合到安全目錄中。它將原有的“系統”替換成“信息系統”，更清晰地表

明了可以將文件用于物聯網、醫(yī)療設備、汽車等等任何計算機安全聯網場所。

3.3.4、美國網絡安全框架（CyberSecurityFramework）

2014年2月12日，NIST發(fā)布了網絡安全框架（CyberSecurityFramework）

1.0版本，目前尚在持續(xù)更新中。網絡安全框架側重于使用業(yè)務驅動因素來指導

網絡安全活動，并將網絡安全風險視為組織風險管理流程的一部分。該框架由框

架核心（Core）、框架配置文件（Profile）和框架實施層級（Tier）三部分組

成。其中，框架核心是一系列關鍵基礎設施部門常見的網絡安全活動、結果和信

息參考，為開發(fā)個人組織概況提供了詳細的指導。通過使用配置文件，框架將幫

助組織將其網絡安全活動與業(yè)務需求，風險容限和資源保持一致。實施層級則為

國家標準報批資料

組織提供了一種機制，以查看和了解其管理網絡安全風險的方法的特點。

同時，行政命令還要求框架包括在重要的基礎設施組織進行網絡安全活動時

保護個人隱私和公民自由的方法。雖然流程和現有需求會有所不同，框架仍然可

以幫助組織將隱私和公民自由納入全面的網絡安全計劃。

表3NIST網絡安全框架核心

功能唯類別唯

一標識功能一標識類別

符符

ID.AMAssetManagement（資產管理）

ID.BEBusinessEnvironment（商業(yè)環(huán)境）

ID.GVGovernance（治理）

ID.RARiskAssessment（風險評估）

IDIdentify

SupplyChainRiskManagement（供應鏈

ID.SC

管理）

RiskManagementStrategy（風險管理戰(zhàn)

ID.RM

略）

PR.ACAccessControl（訪問控制）

PR.ATAwarenessandTraining（意識和培訓）

PR.DSDataSecurity（數據安全）

PRProtectInformationProtectionProcessesand

PR.IP

Procedures（信息保護流程和程序）

PR.MAMaintenance（維護）

PR.PTProtectiveTechnology（保護技術）

DE.AEAnomaliesandEvents（異常與事件）

SecurityContinuousMonitoring（安全

DEDetectDE.CM

連續(xù)監(jiān)控）

DE.DPDetectionProcesses（檢測過程）

RS.RPResponsePlanning（響應規(guī)劃）

RSRespond

RS.COCommunications（通信）

國家標準報批資料

RS.ANAnalysis（分析）

RS.MIMitigation（緩解措施）

RS.IMImprovements（改進）

RC.RPRecoveryPlanning（恢復計劃）

RCRecoverRC.IMImprovements（改進）

RC.COCommunications（通信）

由于網絡安全行業(yè)提供了有關實施的反饋，使得該框架成為一個活的文件，

并將繼續(xù)更新和改進。隨著框架的實施，經驗教訓將被納入未來的版本。這將確

?？蚣茉诔錆M挑戰(zhàn)的新威脅、風險和解決方案的環(huán)境中滿足關鍵基礎架構所有者

和運營商的需求。該框架整合了網絡安全行業(yè)中有效工作的標準、準則和做法，

并為現今的網絡安全方法提供了指導。

3.3.5、歐盟ENISA官網主要議題參考

從可獲得的歐盟標準信息來看，并沒有發(fā)現一個特定的安全產品分類標準。

2004年3月，歐盟成立了“歐洲信息安全局（ENISA，EuropeanUnionAgencyfor

NetworkandInformationSecurity）”。ENISA官網主要議題如圖2所示，其

中與信息安全產品相關的內容如表4所示：

國家標準報批資料

圖2ENISA官網主要議題

表4ENISA官網主要議題中與信息安全產品相關的內容

主題領域備注

云自身的安全

公有云、私有云

基于云提供安全服務

數據加密

云和大數據應用安全

大數據風險評估

源過濾、接入控制和認證

監(jiān)控和日志審計

路由安全

關鍵基礎設施互聯網

DNS安全

國家標準報批資料

DDoS防護

工控網工控安全

智能電網工控安全

金融網

醫(yī)療網

安全服務應急響應

隱私定義

隱私增強技術

隱私和數據保護

個人數據安全

在線和移動數據保護

智能汽車

IoT和智慧+智能家庭

智慧城市

風險管理

認證

簽名

可信服務

加密

審計

3.3.6、通用準則（CC）

通用準則（也叫CC標準，國內等同采用為GB/T18336）是國際權威的信息技

術產品安全性評估標準，現有20多個國家簽訂了互認協議(CCRA)。2017年4月發(fā)

布第3.1版，整個標準共分三部分，其中第二部分“安全功能要求”定義了若干

基本功能單元，為廠家定義安全產品的功能提供了統一的通用說明模塊，安全功

能共分11大類：(1)安全審計，(2)通信，(3)密碼支持，(4)用戶數據保護，(5)

標識和鑒別，(6)安全管理，(7)隱私，(8)TSF保護，(9)資源利用，(10)TOE訪問，

(11)可信路徑/信道。

信息安全產品往往需要實現上述功能單元的多個模塊，所以無法依照該標準

的單一功能要求對產品進行界定。雖然該功能是對信息產品中的安全功能進行說

國家標準報批資料

明，而不是特定于信息安全產品，但這些功能單元對于我們在分類中定義類型屬

性提供了有價值的參考。

3.3.7、網信辦網絡關鍵設備和網絡安全專用產品目錄

2017年6月1日，國家網信辦會同工信部、公安部、認監(jiān)委等部門制定公

布了《網絡關鍵設備和網絡安全專用產品目錄（第一批）》。

表5網信辦網絡關鍵設備和網絡安全專用產品目錄（第一批）

設備或產品類別范圍

整系統吞吐量（雙向）≥12Tbps

1.路由器

整系統路由表容量≥55萬條

整系統吞吐量（雙向）≥30Tbps

2.交換機

整系統包轉發(fā)率≥10Gpps

網絡關鍵

CPU數量≥8個

設備

3.服務器（機架式）單CPU內核數≥14個

內存容量≥256GB

4.可編程邏輯控制器（PLC設

控制器指令執(zhí)行時間≤0.08微秒

備）

備份容量≥20T

5.數據備份一體機備份速度≥60MB/s

備份時間間隔≤1小時

整機吞吐量≥80Gbps

6.防火墻（硬件）最大并發(fā)連接數≥300萬

每秒新建連接數≥25萬

網絡安全

整機應用吞吐量≥6Gbps

專用產品7.WEB應用防火墻（WAF）

最大HTTP并發(fā)連接數≥200萬

滿檢速率≥15Gbps

8.入侵檢測系統（IDS）

最大并發(fā)連接數≥500萬

滿檢速率≥20Gbps

9.入侵防御系統（IPS）

最大并發(fā)連接數≥500萬

10.安全隔離與信息交換產品吞吐量≥1Gbps

國家標準報批資料

（網閘）系統延時≤5ms

連接處理速率（連接/秒）＞100

11.反垃圾郵件產品

平均延時時間≤100ms

抓包速度≥5Gbps

12.網絡綜合審計系統

記錄事件能力≥5萬條/秒

13.網絡脆弱性掃描產品最大并行掃描IP數量≥60個

TPC-EtpsE（每秒可交易數量）≥

14.安全數據庫系統

4500個

恢復時間≤2ms

15.網站恢復產品（硬件）

站點的最長路徑≥10級

3.3.8、軍用計算機信息系統安全保密產品分類標準

表6軍用計算機信息系統安全保密產品分類目錄

場地安全防護產品

環(huán)境安全產品災難處置產品

其它

設備防盜產品

物理安全產

設備安全產品設備防毀產品

品

防電、磁、聲、光打擊、摧毀產品

電、磁、聲、光屏蔽產品

防電、磁、聲光泄漏產品低電磁泄漏產品

電、磁、聲、光壓制產品

基本輸入輸出系統安全

產品

安全操作系統

操作系統安全產品

平臺安全產操作系統安全部件

品安全數據庫

數據庫安全產品

數據庫安全部件

證書授權認證產品

應用支撐安全產品公用應用支撐安全產品

國家標準報批資料

專用應用支撐安全產品

防火墻

網絡隔離產品

邊界安全產品

遠程訪問安全產品

其它

虛擬專用網產品

鏈路安全產品安全協議產品

網絡安全產其它

品安全路由器

安全服務器

節(jié)點安全產品

安全終端

其它

網關型反病毒產品

反病毒(含惡意代碼)產

網絡型反病毒產品

品

單機型反病毒產品

數據加密產品

數據安全產

移動安全存儲設備

品安全存儲產品

固定安全存儲設備

生物特征識別產品

身份鑒別產品光、機、電身份識別產品

其它

通用授權產品

安全、保密授權產品專用授權產品

用戶安全產

其它

品

自主訪問控制產品

訪問控制產品強制訪問控制產品

角色訪問控制產品

抗發(fā)方抵賴產品

抗抵賴產品

抗收方抵賴產品

國家標準報批資料

其它

備份與恢復產品

應急響應產品計算機取證產品

應急設施產品

審計產品

入侵檢測產品

管理安全產審計與監(jiān)控產品

非法外連與接入監(jiān)控產品

品

其它

威脅評估產品

風險評估產品脆弱性評估產品

綜合評估產品

其它

3.3.9、國內信息安全廠商產品類別不完全匯總

表7國內信息安全廠商產品類別不完全匯總目錄

防病毒個人版

惡意軟件防護防病毒網絡版

防病毒移動版

終端檢測與響應

主機監(jiān)控與審計

端點安全終端安全管理

主機防護與自適應

移動終端管理

網絡安全產品安全操作系統

其他主機加固

APP加固

防火墻

統一威脅管理

安全網關

網絡安全下一代防火墻

虛擬專用網VPN

入侵檢測與防御入侵檢測系統

國家標準報批資料

入侵防御系統

高級威脅檢測

網絡安全審計

行為管理與審計

網絡監(jiān)控與審計

內容監(jiān)控審計

網絡流量分析管理

抗DDOS

網閘與單向導入

其他

網絡準入控制

防毒墻

WEB掃描

WEB應用防火墻

代碼安全

WEB安全

網頁篡改防護

網站監(jiān)控

應用交付

應用安全數據庫掃描

數據庫審計

數據庫安全數據庫防火墻

數據庫加密與脫敏

安全數據庫

反垃圾郵件網關

郵件安全

郵件防病毒

數據發(fā)現與分級

數據治理數據防泄露網絡版

數據防泄露主機板

數據安全

電子文件管理

文件管理與加密文件加密

電子簽章

國家標準報批資料

數據容災備份

數據備份與恢復數據恢復

數據清除

不良信息監(jiān)測與過濾

內容安全輿情監(jiān)控

反釣魚

統一身份認證與管理

認證與權限管理單點登錄SSO

堡壘機

身份與訪問管理

基礎公鑰設施PKI

高級認證多因素認證

硬件認證

安全運營中心

安全信息和事件管理

安全運營與事件響應日志審計

取證與事件調查

安全協同

漏洞掃描

補丁管理

脆弱性評估與管理

安全管理代碼審計

基線與配置核查

GRC平臺

治理、風險與合規(guī)

等保管理系統

威脅智能分析

APT

安全智能

取證溯源

網絡流量分析

云基礎架構安全

其他分類云云安全

云主機安全

國家標準報批資料

云網絡安全

云應用安全

云抗D

安全云SAAS云WAF

云身份認證

數據安全性

大數據安全

合法收集與合理利用

大數據態(tài)勢感知

大數據技術在安全領

反欺詐與風控

域的應用

威脅情報

工控安全網關

工控安全工控安全審計

工控漏掃

物聯網

汽車

智能設備家電

攝像頭

惡意軟件防護

移動設備移動設備管理

移動個人隱私保護

APP加固

移動應用

移動應用防火墻

通過對這些資料的研究，結合公安部計算機信息系統安全產品質量監(jiān)督檢驗

中心數年以來的信息安全產品資料的積累，我們初步整理了標準修訂的思路與框

架，為標準修訂工作的展開打下了扎實的基礎。

3.4、參考資料

本標準修訂過程中，主要參考了：

—GB17859-1999《計算機信息系統安全保護等級劃分準則》；

—GB/T18336.1-2015《信息技術安全技術信息技術安全評估準則第1

部分：簡介和一般模型》；

國家標準報批資料

—GB/T18336.2-2015《信息技術安全技術信息技術安全評估準則第2

部分：安全功能組件》；

—GB/T18336.3-2015《信息技術安全技術信息技術安全評估準則第3

部分：安全保障組件》；

—GB/T20271-2006《信息安全技術信息系統通用安全技術要求》；

—GB/T22239-XXXX《信息安全技術網絡安全等級保護基本要求》（送審

稿）；

—GB/T25066-2010《信息安全技術信息安全產品類別與代碼》；

—近幾年在公安部計算機信息系統安全產品質量監(jiān)督檢驗中心進行檢測的

信息安全產品及其技術資料。

3.5、確定修訂內容

經標準修訂工作組研究決定，以原國標內容和調研結果為研究基礎，以當前

信息安全產品的發(fā)展動向為研究目標，完成國家標準《信息安全技術信息安全

產品類別與代碼》的修訂工作。

3.6修訂工作簡要過程

按照修訂進度要求，修訂工作組首先對所參閱的產品、文檔以及標準進行反

復閱讀與理解，查閱有關資料，編寫標準修訂提綱。在對提綱進行交流和修改的

基礎上，開始具體的修訂工作。

3.6.1、草稿（原稿）

2017年7月至8月，對國內外的信息安全產品分類標準以及相關技術文檔

進行前期基礎調研。同時，主要對公安部計算機信息系統安全產品質量監(jiān)督檢驗

中心歷年檢測產品的記錄、報告以及各產品的技術文檔材料進行了篩選、匯總、

分析，對國內信息安全產品的發(fā)展動向進行了研究。

2017年9月上中旬，進行草稿的編寫工作。以修訂工作組人員和參編單位收

集的資料為基礎，依據修訂提綱，對原標準的內容進行了第一次修訂，形成了本

標準的草稿（原稿）。

3.6.2、草稿（第一稿）

2017年9月下旬，修訂工作組以內部討論會的形式對草稿（原稿）進行討論

修改，形成了草稿（第一稿）。

國家標準報批資料

本次修改的主要內容是修改了標準名稱、三/四級分類目錄形式、產品分類

目錄以及對附錄的相應修改。

3.6.3、草稿（第二稿）

2017年10月上中旬，在草稿（第一稿）的基礎上，修訂工作組繼續(xù)征求參編

單位的意見，對標準內容進行了修改，形成了草稿（第二稿）。

本次修改的主要內容是為四級目錄設置了領域屬性簡稱、明確了三級分類與

四級分類的不同含義、修改產品分類目錄以及對附錄的相應修改。

3.6.4、征求意見稿（第一稿）

2017年10月中旬，本標準在全國信息安全標準化技術委員會2017年第二次會

議周WG5工作組內上會討論，接受質詢。會上，各位專家提出了寶貴意見，并一

致同意將本標準推進至征求意見稿。修訂工作組根據專家意見建議對標準內容進

行了修改，形成了征求意見稿（第一稿）。

本次修改的主要內容是修改了附錄中的部分類型產品的規(guī)范性描述。

3.6.5、征求意見稿（第二稿）

2017年12月上旬，在征求意見稿（第一稿）的基礎上，修訂工作組繼續(xù)征求

參編單位的意見，對標準內容進行了修改，形成了征求意見稿（第二稿）。

本次修改的主要內容是修改了網絡安全專用產品的定義描述和附錄中的部

分類型產品的規(guī)范性描述。

3.7、主要起草人及其工作

標準修訂工作組以陸臻為組長，組員包括顧健、李斌、李謙、王峰、趙志宏、

劉健、倪又明、張俊彥、吳璇、楊傳安、紀燕芳、劉強、徐雨晴、石凌志、張大

江、伊瑋瓏、王龑、翟勝軍、劉德林、銀鷹、俞優(yōu)、沈亮、鄒春明、陳妍、張艷、

宋好好、顧建新、張笑笑、吳其聰等。

陸臻作為組長總體負責標準修訂，包括制定工作計劃、確定修訂內容；顧健、

李斌、李謙主要負責協調各參編單位、編制說明的編寫、向廠商征求意見與反饋

等工作；王峰、趙志宏、劉健、倪又明、張俊彥、吳璇、楊傳安、紀燕芳、劉強、

徐雨晴、石凌志、張大江、伊瑋瓏、王龑、翟勝軍、劉德林、銀鷹主要負責標準

的前期調研、對標準現狀分析、參考標準文獻資料以及標準各個版本的修訂；俞

國家標準報批資料

優(yōu)、沈亮、鄒春明、陳妍、張艷、宋好好、顧建新、張笑笑、吳其聰主要負責標

準修訂過程中的技術支持、意見匯總的處理等工作。

[內容包括下達計劃任務主管部門的完整名稱、項目計劃發(fā)布文件號、本項目的計劃代

號和主要承辦單位完整名稱、副主辦單位或協作單位完整名稱、主要工作過程、主要起草人

及其所做的工作等]

二、標準編制原則和確定主要內容的論據及解決的主要問題

1、標準修訂原則

本標準符合我國的實際情況，遵從我國有關法律、法規(guī)的規(guī)定。具體原則與

要求如下：

a)一致性原則

原標準GB/T25066-2010已實施六年，為了保證信息安全產品的監(jiān)管部門、

生產廠商、用戶和測評機構對產品分類的認知連貫，在不影響本標準的其他修訂

原則的前提下，宜盡量保持本標準與原標準GB/T25066-2010的一致性。

b)完整性原則

本標準是一個分類標準，應盡可能涵蓋目前市場上已有的信息安全產品類

型。標準修訂工作組應充分調研，廣泛征求意見，盡可能保證分類目錄的完整性。

c)前瞻性原則

信息安全技術在不斷的發(fā)展，可預見未來會有更多的信息安全產品進入市

場。本標準應遵循前瞻性原則，為技術發(fā)展留出可擴展的空間。

2、標準主要內容

本標準的編寫格式和方法依照GB/T1.1-2009《標準化工作導則第1部分：

標準的結構和編寫》規(guī)則。

本標準是對GB/T25066-2010《信息安全技術信息安全產品類別與代碼》的

修訂，與原標準保持一致，本標準主要結構包括如下內容：

a)范圍

b)規(guī)范性引用文件

c)術語和定義

d)類別與代碼

e)附錄A（分類描述）

國家標準報批資料

其中，修訂的重點章節(jié)是第4節(jié)和附錄A：第4節(jié)“類別與代碼”詳細列出修

訂后的產品類別目錄及其對應代碼名稱，附錄A“分類描述”與產品類別目錄相

對應，給出對每一類別產品的規(guī)范性描述。

[如技術指標、參數、公式、性能要求、試驗方法、檢驗規(guī)則等的論據，包括試驗、統

計數據，解決的主要問題。修訂標準時應列出與原標準的主要差異和水平對比]

三、主要試驗[或驗證]情況分析

原標準GB/T25066-2010《信息安全技術信息安全產品類別與代碼》于2011

年2月1日實施以來，陸續(xù)發(fā)現存在的問題如下：

1、部分產品的內涵（包括名稱、功能、分類等）發(fā)生變化：

例如，在原標準中“個人防火墻”屬于一級分類“主機及其計算環(huán)境安全”

（代碼B）、二級分類“計算環(huán)境防護”（代碼B2）下的三級類別（代碼B204）。

近年來，個人防火墻的概念已被“主機型防火墻”取代，產品的側重點也從個

人PC單點防護轉變?yōu)槎帱c防御、集中管控，且國家標準GB/T31505-2015《主

機型防火墻安全技術要求和測試評價方法》已于2015年發(fā)布。

再如，在原標準中“防火墻”屬于一級分類“邊界安全”（代碼D）、二級

分類“邊界訪問控制”（代碼D3）下的三級類別（代碼D301），防火墻的類型被

歸納為包過濾防火墻（包括狀態(tài)檢測）、應用級防火墻和混合型防火墻。但是，

這種分類方式，比如包過濾防火墻的概念，已不適用，GB/T18020-1999《信息

技術應用級防火墻安全技術要求》也已作廢。目前業(yè)內比較公認的防火墻分類

為：基于狀態(tài)檢測的網絡型防火墻、數據庫防火墻、WEB應用防火墻、下一代防

火墻等。

又如，在原標準中“邊界隔離”屬于一級分類“邊界安全”（代碼D）下的

二級分類（代碼D1），其三級分類包括“安全隔離卡”（代碼D101）和“安全隔

離與信息交換”