注册

国家标准计划《网络安全技术 网络型流量控制产品技术规范》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准委

主要起草单位 深信服科技股份有限公司公安部第三研究所中国网络安全审查技术与认证中心西安交大捷普网络科技有限公司北京天融信网络安全技术有限公司启明星辰信息技术集团股份有限公司奇安信网神信息技术(北京)股份有限公司新华三技术有限公司北京派网科技有限公司

目录

基础信息

制修订
制定
项目周期
18个月
申报日期
2024-02-19
公示开始日期
2024-04-22
公示截止日期
2024-05-22
标准类别
产品
国际标准分类号
35.030
35 信息技术、办公机械
归口单位
全国网络安全标准化技术委员会
执行单位
全国网络安全标准化技术委员会
主管部门
国家标准委

起草单位

目的意义

随着企业数字化转型进程的不断加深,内外部网络安全威胁态势的日益严峻,需要对网络安全域的流量进行监测和带宽控制,保障网络用户业务的正常通信,对恶意的或影响正常互联互通的数据、流量进行限制。

网络型流量控制产品作为该场景下通过安全策略、行为管理实现的网络流量审计和控制的网络安全产品逐渐成熟,并不断在实际业务场景落地。

同时,为加强网络安全专用产品管理,落实网络安全法第23条,2023年4月12日,由国家互联网信息办公室等五部委联合发布的《关于调整网络安全专用产品安全管理有关事项的公告》(2023年第1号)中指出“自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。

” 2023年7月3日,国家互联网信息办公室等四部委联合发布“关于调整《网络关键设备和网络安全专用产品目录》的公告(2023年第2号)”,将网络型流量控制产品纳入网络安全专用产品目录。

目前尚无网络型流量控制产品对应的国家标准,急需制定标准以支持国家对网络安全专用产品安全管理的工作要求。

基于上述背景,本项目研究目标为通过调研产品安全技术发展和产品采购单位的实际需求,制定符合、适配我国安全应用场景的网络型流量控制产品安全技术要求的国家标准。

从上述目标出发,本项目具有以下意义: 1)落实网络安全法第23条、《关于调整网络安全专用产品安全管理有关事项的公告》相关要求; 2)为网络安全厂商研发产品提供技术要求参考和指引; 3)为产品采购单位和相关机构进行网络型流量控制产品评估选型提供依据,从而解决目前面临的产品合规问题; 4)推动新技术的落地与政企机构网络安全能力的提升。

范围和主要技术内容

经过全面的网络型流量控制产品的调研分析,明确本标准适用范围,即适用于网络型流量控制产品的设计、开发、测试与评价,为政府部门、企事业单位等组织机构的网络型流量控制产品采购,以及相关机构的测试、评估提供参考依据,并为企业机构进行网络型流量控制产品研发提供要求和指引。 主要技术内容: 本标准拟提出网络型流量控制产品的安全技术要求、安全保障要求、测试评价方法以及等级划分,适用于网络型流量控制产品的设计、开发、测试与评价。网络型流量控制产品在安全功能方面,主要包括流量识别、流量控制以及流量分析等功能,并对识别协议、流量速率及连接限制、白名单、流量监测统计与告警等能力提出要求;自身安全保护方面,结合GB 42250-2022中自身安全要求部分,进一步加强身份标识与鉴别、管理能力、管理审计、通信与支撑系统安全等方面要求;在安全保障方面,针对产品的设计、开发、生产、交付、运维等整个生命周期提出规范性要求;在性能要求方面,对产品的应用层吞吐量、连接速率和并发连接数等指标进行规定。通过上述安全机制,确保该产品能够实现通过安全策略对网络服务和资源等资产的保护,保障产品本身及其内部的重要数据的安全。