ICS35.040 L80 GB 中华人民共和国国家标准 GB/T33134-2016 信息安全技术 公共域名服务系统安全要求 Information security technology- Security requirement of public DNS service system 2016-10-13发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 33134-2016 目 次 前言 1范围 2规范性引用文件 1 3术语和定义、缩略语1 3.1术语和定义 1 3.2缩略语 2 4概述 4.1域名系统架构和基本要求 3 4.2公共域名服务系统安全要求 4 5公共域名服务系统安全技术要求 4 5.1权威域名服务系统技术要求 4 5.2递归域名服务系统技术要求 4 5.3授权安全要求 5 5.4DNS数据备份要求 5 6公共域名服务系统安全管理要求6 6.1资产管理要求 6 6.2人员管理要求 .....6 6.3运行管理要求 6 6.4物理和环境管理要求6 6.5设备管理要求 .7 6.6操作管理要求 7 6.7访问控制管理要求 8 6.8连续性管理要求 9 6.9信息安全事件管理要求10 GB/T33134-2016 信息安全技术 公共域名服务系统安全要求 1范围 本标准规定了公共域名服务系统的基本要求、技术要求以及管理要求. 本标准适用于顶级域名服务系统，其他各级域名服务系统、递归域名服务系统的开发和管理. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件，仅注日期的版本适用于本文 件.凡是不注日期的引用文件，其最新版本（包括的修改单）适用于本文件. YD/T2136一2010域名系统授权体系技术要求 YD/T2137一2010域名系统递归服务器运行技术要求 YD/T2138一2010域名系统权威服务器运行技术要求 YD/T2142一2010基于国际多语种域名体系的中文域名总体技术要求 YD/T2143一2010基于国际多语种域名体系的中文域名的编码处理技术要求 YD/T2438一2012基于国际多语种域名体系的中文域名注册字表要求 3术语和定义、缩略语 3.1术语和定义 下列术语和定义适用于本文件. 3.1.1 域名domain name 域名系统名字空间中，从当前节点到根节点的路径上节点标记的点分顺序连接的字符串，如图 1中对应的域名“.bj.cn.”. 3.1.2 域domain 域名系统名字空间中的一个子集，也就是树形结构名字空间中的一棵子树.这个子树根节点的域 名就是该域的名字. 3.1.3 顶级域top level domain 域名系统名字空间中根节点下最顶层的域.顶级域分为国家及地区代码顶级域(Country Code Top Level Domain ccTLD)和通用类别顶级域(Generic Top Level Domain gTLD)两种不同类型.如 图1中“cn”为中国顶级域，“”、“net”均为通用类别顶级域. 3.1.4 资源记录resource record 在域名系统中用于存储与域...

ICS35.040 L80 GB 中华人民共和国国家标雅 GB/T33133.1-2016 信息安全技术祖冲之序列密码算法 第1部分：算法描述 Information security technology-ZUC stream cipher algorithm- Part 1:Algorithm description 2016-10-13发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 33133.1-2016 目 次 前言 Ⅲ 引言 1范围 1 2规范性引用文件1 3术语和定义 1 4符号和缩略语 2 4.1运算符 4.2符号 2 4.3缩略语 2 5算法流程 2 5.1算法结构 2 5.2线性移位寄存器LFSR .3 5.3比特重组BR 4 5.4非线性函数F 4 5.5密钥装入 4 5.6算法运行 5 附录A(规范性附录)S盒 6 附录B(资料性附录)模231一1乘法和模231一1加法的实现 8 附录C(资料性附录)算法计算实例 9 参考文献 13 I GB/T33133.1-2016 前言 GB/T33133《信息安全技术祖冲之序列密码算法》分为以下3部分： —第1部分：算法描述； —第2部分：保密性算法； —第3部分：完整性算法. 本部分为GB/T33133的第1部分. 本部分按照GB/T1.1一2009给出的规则起草. 本部分由国家密码管理局提出. 本部分由全国信息安全标准化技术委员会(SAC/TC260)归口. 本部分起草单位：北京信息科学技术研究院、中国科学院软件研究所、中国科学院数据与通信保护 研究教育中心、北京创原天地科技有限公司. 本部分主要起草人：冯登国、林东岱、冯秀涛、周春芳、刘辛越. ...

ICS35.040 L80 GB 中华人民共和国国家标雅 GB/T33132-2016 信息安全技术信息安全风险处理 实施指南 Information security technology-Guide of implementation for information security risk treatment 2016-10-13发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 33132-2016 目 次 前言 I 引言 JⅡ 1范围 2规范性引用文件1 3术语和定义 1 4风险处理实施概述 2 4.1风险处理基本原则 4.2风险处理的方式 2 4.3风险处理的角色和职责 3 4.4风险处理的基本流程 3 5风险处理准备 5.1制定风险处理计划 5 5.2获得管理层批准 6 6风险处理实施 6 6.1风险处理方案制定 6 6.2风险处理方案实施 8 7风险处理效果评价 8 7.1概述 8 7.2评价原则 8 7.3评价方法 9 7.4评价方案 9 7.5评价实施 7.6持续改进 10 附录A(资料性附录)风险处理实践示例 11 A.1背景 11 A.2风险处理准备 12 A.3风险处理实施 14 A.4风险处理评价 21 参考文献 23 GB/T33132-2016 前言 本标准按照GB/T1.1一2009给出的规则起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口. 本标准起草单位：国家信息中心、北京信息安全测评中心、中国民航大学、东软集团股份有限公司、 北京数字认证股份有限公司、西安交大捷普网络科技有限公司. 本标准主要起草人：吴亚非、禄凯、陈永刚、赵章界、马勇、席斐、陈青民、何建锋. I ...

ICS35.040 L80 GB 中华人民共和国国家标雅 GB/T33131-2016 信息安全技术基于IPSec的IP存储 网络安全技术要求 Information security technology-Specification for IP storage network security based on IPSec 2016-10-13发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 33131-2016 目 次 前言 I 1范围 ..1 2规范性引用文件 1 3术语和定义 4缩略语 2 5基于IPSec的P存储网络安全 3 5.1总体要求 3 5.2 IPSec/IKE应用要求 3 5.2.1 IPSec应用要求 3 5.2.2IKE应用要求 3 5.2.3IKE安全策略配置4 5.2.4 IPSec安全检查 4 5.2.5IKE及应用层鉴别 4 6基于IPSec的iSCSI安全 5 6.1 iSCSI实施IPSec保护5 6.2IKE与iSCSI的关系 5 6.3运用IPSec保护iSCSI会话创建 6.4运用IPSec保护iSCSI会话关闭5 6.5运用IPSec进行iSCSI错误处理 6 7基于IPSec的FCIP安全6 7.1FCIP实施IPSec保护6 7.2运用IPSec保护FCIP安全6 8基于IPSec的iFCP安全 6 8.1iFCP实施IPSec保护 6 8.2运用IPSec保护iFCP安全 ....7 9基于IPSec的iSNS安全 ...7 9.1iSNS实施IPSec保护7 9.2运用IPSec保护iSNS安全 7 附录A(资料性附录)IP存储网络 9 GB/T33131-2016 前言 本标准按照GB/T1.1一2009给出的规则起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口. 本标准起草单位：北京邮电大学、工业和信息化部电信研究院、华为技术有限公司、北京天地方元科 技有限公司. 本标准起草人：刘建毅、王枞、张茹、姚文斌、肖达、伍淳华、杨义先、雷鸣涛. I ...

ICS31.180 L30 GB 中华人民共和国国家标准 GB/T33016—2016 多层印制板用粘结片试验方法 Test methods for bongding sheet for multilayer printed boards 2016-10-13发布 2017-11-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T 33016-2016 目 次 前言 I 1范围 1 2规范性引用文件 1 3术语和定义 1 4试验条件 4.1标准大气条件 1 4.2仲裁大气条件 1 5样本取样 1 6外观检验 2 7尺寸检查 2 7.1长度 2 7.2宽度 2 7.3厚度 2 7.4垂直度一一方法A(直角尺法) ....2 7.5垂直度一一方法B(对角线法) 3 8B阶粘结片检验 4 8.1树脂含量 4 8.2 树脂流动度 6 8.3凝胶时间 7 8.4挥发物含量 8 9层压固化物检验 9 9.1固化厚度 9 9.2燃烧性 9 9.3耐化学性 .11 9.4电气强度 13 9.5介电常数和损耗因数 14 9.6绝缘电阻 18 9.7表面电阻率和体积电阻率 .19 9.8玻璃化温度 22 9.9Z轴热膨胀系数 25 9.10热分解温度 .26 9.11热分层时间 28 9.12卤素含量 29 附录A(规范性附录)玻纤布的单位面积质量 33 附录B(资料性附录)国内外多层印制板用粘结片试验方法标准对照34 GB/T33016—2016 前言 本标准按照GB/T1.1一2009给出的规则起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的的责任. 本标准由中华人民共和国工业和信息化部提出. 本标准由全国印制电路标准化技术委员会(SAC/TC47)归口. 本标准起草单位：福建新世纪电子材料有限公司、咸阳瑞德科技有限公司、中国电子技术标准化研 究院、麦可罗泰克（常州）产品服务有限公司、上海南亚覆铜箔板有限公司、莆田市产品质量检验所. 本标准主要起草人：高艳茹、张志、许朝雄、裴会川、邓凯华、叶增平、李天源、卓俊杰. I ...

ICS31.180 L30 GB 中华人民共和国国家标准 GB/T33015-2016 多层印制板用粘结片通用规则 General rules for bonding sheet for multilayer printed boards 2016-10-13发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T33015-2016 目次 前言 Ⅲ 1范围 1 2规范性引用文件 1 3术语和定义 1 4型号、命名、标识和符号 5材料 6要求 3 7检验规则 ...4 8检验方法 7 9包装、标志、储存和运输 7 10订货资料 8 附录A(资料性附录)国内外多层印制板用粘结片标准9 I GB/T33015—2016 前 言 本标准按照GB/T1.1一2009给出的规则起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本标准由中华人民共和国工业和信息化部提出. 本标准由全国印制电路标准化技术委员会(SAC/TC47)归口. 本标准起草单位：福建新世纪电子材料有限公司、咸阳瑞德科技有限公司、中国电子技术标准化研 究院、广东生益科技股份有限公司、上海南亚覆铜箔板有限公司、莆田市产品质量检验所. 本标准起草人：高艳茹、张志、许朝雄、王香、叶增平、李天源、卓俊杰. Ⅲ ...

ICS 35.240.60 A 10 GB 中华人民共和国国家标准 GB/T32929-2016 电子商务交易产品信息描述 数码产品 Information description of product for electronic merce transaction- Digital products 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会
GB/T 32929-2016 目次 前言 引言 IV 1范围 2规范性引用文件 3术语和定义 4描述属性 5描述方法 6信息模型 7通用信息摘要描述 8整机产品信息摘要描述 14 9配件产品信息摘要描述 45 10信息扩展方法.. 64 附录A（规范性附录）数码产品代码表 66
GB/T32929-2016 前言 本标准按照GB/T1.1-2009给出的规则起草。

本标准由全国电子业务标准化技术委员会(SAC/TC83)提出并归口。

本标准起草单位：中国标准科技集团有限公司、康佳集团股份有限公司、成都市标准化协会、中国标 准化研究院、福建省标准化研究院、东莞馨逸电子商务有限公司、淘宝（中国)软件有限公司、西安工信中 小企业管理服务有限公司、青岛市标准化研究院、东营市黄河三角洲标准技术服务中心、国家应用软件 产品质量监督检验中心。

本标准主要起草人：曹新九、张熙物、刘颖、王志民、张俊博、程越、孙兆洋、隋媛、任雁、龚素馨、 吴凡杰、刘鹏、杨军、刘莎、翟越、高璐、丁晓、汪群、周悦、楼莉。

GB/T32929-2016 引言 近年来，随着科技的发展，计算机的出现、发展带动了一批以数字为记载标识的产品，取代了传统的 胶片、录影带、录音带等，通常把这种产品统称为数码产品，主要包括数码相机、数码摄像机、数码学习机 等日常消费类数码产品；手机、数字子母电话机、卫星接收装置等通信类数码产品；电脑、复印机、扫描仪 等办公类数码产品以及数码冰箱等家电类数码产品。

本标准规范的数码产品主要指在日常生活中常用的如数码相机、数码摄像机等日常消费类数码产 商务交易产品信息描述通信产品》中进行规范，办公数码产品将在国家标准《电子商务交易产品信息 描述电脑办公产品》中进行规范，家电数码产品将在国家标准《电子商务交易产品信息描述家用电 器》中进行规范。

GB/T 32929-2016 电子商务交易产品信息描述数码产品 1范围 本标准规定了电子商务交易中数码产品信息描述属性、描述方法、模型、摘要描述以及扩展方法。

本标准适用于电子商务中数码类产品信息的采集、发布、交换、存储和管理等。

2规范性引用文件 下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文 件。

凡是不注日期的引用文件，其最新版本（包括的修改单)适用于本文件。

GB/T2260中华人民共和国行政区划代码 GB/T2659世界各国和地区名称代码 GB/T7408数据元和交换格式信息交换日期和时间表示法 GB11714全国组织机构代码编制规则 GB/T17295国际贸易计量单位代码 GS15工商行政管理市场主体注册号编制规则 ISO/IEC19501：2005信息技术开放分布式处理统一建模语言（UML）版本1.4.2 [Information technology-Open distributed processing-Unified Modeling Language (UML） version 1.4.2] 统一建模语言符号的指南（Graphic notations for concept modelling in terminology work and its rela- tionship with UML-Part 1:Guidelines for using UML notation in terminology work) 3术语和定义 下列术语和定义适用于本文件。

3.1 电子商务electronicmerce 以电子形式进行的商务活动。

注：经济活动主体之间利用现代信息技术和网络技术（含互联网、移动网络和其他信息网络）开展商务活动，实现网 上接洽、签约、支付等关键商务活动环节的部分或全部电子化，包括货物交易、服务交易和知识产权交易等。

3.2 实体entity 任何现存、曾经存在的或可能存在的具体的或抽象的事物，包括事物间的关联。

示例：一个人、对象（物体）、事件、观念、过程等。

注：实体的存在不依赖于是否有关于它的可用数据。

[GB/T 18391.1-2009，定义3.2.10] 3.3 属性attribute 一个对象或实体的特性。

...

ICS35.240.60 A10 GB 中华人民共和国国家标准 GB/T32928-2016 电子商务交易产品信息描述家用电器 Information description of product for electronic merce transaction-Household electrical appliances 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T32928-2016 前言 本标准按照GB/T1.1一2009给出的规则起草. 本标准由全国电子业务标准化技术委员会(SAC/TC83)提出并归口. 本标准起草单位：中国标准科技集团有限公司、成都市标准化协会、康佳集团股份有限公司、清华大 学、河南省标准化研究院、中国标准化研究院、福建省标准化研究院、西安工信中小企业管理服务有限公 司、东莞馨逸电子商务有限公司、淘宝（中国）软件有限公司、东营市黄河三角洲标准技术服务中心、青岛 市标准化研究院、国家应用软件产品质量监督检验中心. 本标准主要起草人：张熙物、王志民、程越、柴跃廷、邵杰、孙宏波、张俊博、孙兆洋、隋媛、龚素馨、 刘颖、任雁、刘莎、吴凡杰、刘鹏、曹新九、杨军、耿健超、翟越、高璐、丁晓、宋红波、任佩. I GB/T32928-2016 电子商务交易产品信息描述家用电器 1范围 本标准规定了电子商务交易中家用电器类产品信息的描述属性与方法、模型、摘要描述以及扩展 方法. 本标准适用于电子商务中家用电器类产品信息的发布、交换、存储和管理等. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件，仅注日期的版本适用于本文 件.凡是不注日期的引用文件，其最新版本（包括的修改单）适用于本文件. GB/T2260中华人民共和国行政区划代码 GB/T2659世界各国和地区名称代码 GB/T7408数据元和交换格式信息交换日期和时间表示法 GB11714全国组织机构代码编制规则 GB/T17295国际贸易计量单位代码 ISO/IEC19501:2005信息技术开放分布式处理统一建模语言(UML)版本1.4.2 (Information technology-Open distributed processing-Unified Modeling Language(UML)version 1.4.2) ISO24156-1:2014术语工作与UML关系中概念模型的图形符号第1部分：术语工作中使用 统一建模语言符号的指南(Graphic notations for concept modelling in terminology work and its rela- tionship with UML-Part 1:Guidelines for using UML notation in terminology work) 3术语和定义 下列术语和定义适用于本文件. 3.1 电子商务electronic merce 以电子形式进行的商务活动. 注：经济活动主体之间利用现代信息技术和网络技术（含互联网、移动网络和其他信息网络）开展商务活动，实现网 上接治、签约、支付等关键商务活动环节的部分或全部电子化，包括货物交易、服务交易和知识产权交易等， 3.2 实体entity 任何现存、曾经存在的或可能存在的具体的或抽象的事物，包括事物间的关联. 示例：一个人、对象（物体）、事件、观念、过程等. 注：实体的存在不依赖于是否有关于它的...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32927-2016 信息安全技术移动智能终端安全架构 Information security technology-Security architecture of mobile smart terminal 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32927-2016 目 次 前言 I 引言 Ⅱ 1范围 2规范性引用文件 ...1 3术语和定义、缩略语 .1 3.1术语和定义 1 3.2缩略语 2 4移动智能终端的安全架构 2 4.1安全架构概述 2 4.2安全目标 3 5移动智能终端的安全需求3 5.1硬件安全 .3 5.2系统软件安全3 5.3应用软件安全 4 5.4用户数据安全 .5 5.5接口安全 5 参考文献 7 GB/T32927-2016 引言 随着移动智能终端的广泛应用以及功能的不断扩展，其使用过程中的安全问题被越来越多的用户 所关注.近年来，恶意吸费、窃听、用户信息泄露等安全事件频发，使用户对移动智能终端的安全性产生 顾虑，进而影响到移动智能终端和移动互联网应用的发展.本标准的制定，旨在通过移动智能终端的安 全架构，指导移动智能终端安全标准体系的建设，规范移动智能终端涉及的设计、开发、测试、评估工作， 提高移动智能终端的安全水准，降低移动智能终端面临的风险，保护用户个人安全以及国家安全，推动 整个互联网的健康发展. 本标准中涉及到的密码应用，依据国家密码管理局规定实施. 本标准给出移动智能终端安全架构，并提出安全需求，为利于创新和发展，对移动智能终端安全架 构各部分的具体技术实现方式、方法等不做规定. ...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32926-2016 信息安全技术政府部门信息技术服务 外包信息安全管理规范 Information security technology-Information security management specification for government information technology service outsourcing 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32926-2016 目 次 前言 Ⅲ 引言 N 1范围 1 2规范性引用文件 ..1 3术语和定义 4综述 2 4.1服务外包信息安全管理基本原则 2 4.2服务外包信息安全管理角色和职责 2 4.3服务外包信息安全管理模型 3 5规划准备 3 5.1服务外包信息安全风险评估 3 5.2服务外包信息安全管理策略和制度 .4 6机构和人员选择 4 6.1外包服务机构和人员风险评估4 6.2服务外包合同 5 6.3服务外包信息安全管理计划 6 6.4信息安全保密协议 .6 6.5外包服务机构备案 6 7运行监督 7 7.1服务过程评估审计 .7 7.2阶段成果交付验证 .7 8改进和完成 7 8.1服务改进 .7 8.2服务退出 .7 附录A(规范性附录)服务外包基本信息安全控制 9 参考文献 12 I GB/T32926-2016 引 言 随着经济社会的快速发展，政府部门在打造和建设服务型政府、不断提高为人民服务能力和水平的 过程中，越来越多地采用和依赖信息化手段，并为此开展了与信息化相关的信息技术咨询、信息系统集 成、运行维护、安全测评等服务外包工作.大量政务信息化工作的外包，既解决了政府行政资源有限和 公共服务效能要求日益提高之间的矛盾，也提高了政府部门信息化工程的质量.但政府部门在享受信 息技术服务外包带来便捷的同时，也面临外包服务机构背景复杂、服务人员流动性大、内部管理不规范 等问题带来的信息安全风险，如果缺乏对服务外包活动信息安全的标准化管理，将对政府部门行政办 公、人民群众生产生活，乃至国家安全带来巨大损失. 本标准用于规范和指导政府部门采购和使用信息技术服务.本标准通过对政府部门服务外包过程 进行梳理，建立了政府部门信息技术服务外包信息安全管理模型，在明确了服务外包信息安全管理角色 和责任的同时，将管理活动划分为规划准备、机构和人员选择、运行监督、改进完成四个阶段，分别提出 信息安全管理规范，为政府部门信息技术服务外包的安全管理提供参考. 政府部门在信息技术服务外包的信息安全管理过程中，还要基于本标准提出的规范要求和基本控 制措施，结合自身服务外包项目实际，提出与组织机构、人员管理、数据管理、信息技术服务类型等相适 应的控制措施，分阶段、有侧重地对服务外包活动实施管理，以便信息安全管理规范的要求能够切实指 导不同层级政府部门实际的服务外包信息安全管理工作，提升其服务外包信息安全水平. ...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32925-2016 信息安全技术政府联网计算机终端 安全管理基本要求 Information security technology-Basic security requirements for networked puter terminal of government 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T32925—2016 目 次 前言 引言 1范围 ..1 2规范性引用文件 1 3术语和定义 1 4缩略语 5计算机终端安全总体要求 1 5.1安全策略制定 1 5.2安全防护要求 2 5.3文件管理要求 2 6人员管理要求 2 6.1角色和贵任 2 6.2岗位管理与培训 2 6.3临时访问人员管理 2 7资产管理要求 3 7.1采购 .3 7.2登记与使用维护 3 7.3报废与停用 3 8软件管理要求 3 8.1软件安装 3 8.2操作系统配置管理 4 8.3应用软件配置管理 4 8.3.1网页浏览器 4 8.3.2邮件客户端软件系统 4 8.3.3文档编辑软件 8.4安全防护软件配置管理 5 9接入安全要求 5 9.1网络接人 5 9.2介质接人 5 10运行安全要求 5 10.1统一管理 5 10.2监控审计 10.2.1操作系统审计 5 10.2.2流量监控 .6 10.2.3软件漏洞扫描 6 I GB/T32925-2016 前言 本标准按照GB/T1.1一2009给出的规则起草. 本标准由工业和信息化部提出. 本标准由全国信息安全标准化技术委员会(SAC/TC260)归口. 本标推起草单位：北京信息安全测评中心、国家计算机网络应急技术处理协调中心、中国科学院软 件研究所、中国铁路总公司运输局信息化部、黑龙江省信息安全测评中心、北京市石景山区经济和信息 化委员会、北京朋创天地科技有限公司、黄山市委市政府信息办公室、北京市统计局计算中心. 本标准主要起草人：刘海峰、钱秀槟、王春佳、赵章界、张晓梅、梁博、李晨肠、贺海、孙永生、舒敏、 苏璞睿、刘刚、黄俊强、王燕春、李晓勇、曹卫东、王晓路、强倩、王希忠、宋超臣、卢跃庆、史蓉. ...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32924-2016 信息安全技术网络安全预警指南 Information security technology-Guideline for cyber security warning 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32924-2016 目次 前言 I 引言 Ⅱ 1范围 2规范性引用文件 1 3术语和定义 1 4网络安全预警分级 2 4.1网络安全预警分级要素 2 4.2网络安全预警级别及判定 5网络安全预警流程 5.1预警的发布 .4 5.2预警的响应与处置 4 5.3预警的升级或降级 .5 5.4预警的解除 5 参考文献6 GB/T32924-2016 引 言 随着信息技术的广泛应用与快速发展，传统业务与信息系统的融合程度不断加深，网络安全对国家 政治、经济、文化、公共服务活动的影响进一步增大.网络安全形势日趋复杂，安全威胁不断变化，利用 网络漏洞、恶意程序从事人侵、破坏的活动频繁发生，不仅会造成信息泄露、数据篡改或丢失、服务拥塞、 系统崩溃或硬件永久损害，甚至会对国家关键信息基础设施造成重大破坏，严重危害国家安全、公共安 全和民众利益. 在网络安全防护工作中，社会公众在了解网络安全事件或威胁的基本情况，判断严重程度方面存在 困难，对网络安全事件或威胁缺乏科学评估；另一方面，重要信息系统运营使用单位、网络安全企业和科 研机构多仅从技术层面判断网络安全事件和威胁的影响.为进一步明确网络安全事件或威胁的重要程 度和可能造成的影响，规范网络安全预警工作，有效开展处置工作，切实维护信息基础设施安全、公共安 全和国家安全，推动我国网络安全监测预警机制的建立，制定本标准. Ⅱ ...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32923-2016/ISO/IEC27014:2013 信息技术 安全技术 信息安全治理 Information technology-Security techniques- Governance of information security (ISO/IEC27014:2013 IDT) 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T32923-2016/ISO/IEC27014:2013 目 次 前言 Ⅲ 引言 N 1范围 1 2规范性引用文件 1 3术语和定义 4概念 .1 4.1总则 1 4.2目标 2 4.3期望成果 2 4.4关系 2 5原则和过程 .3 5.1概述 ...3 5.2原则 3 5.3过程 4 附录A(资料性附录)信息安全状态示例 7 附录B(资料性附录)详细的信息安全状态示例 8 参考文献 9 I GB/T32923-2016/ISO/IEC27014:2013 前言 本标准按照GB/T1.1一2009给出的规则起草. 本标准使用翻译法等同采用ISO/IEC27014:2013《信息技术安全技术信息安全治理》. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的贵任. 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口. 本标准起草单位：中电长城网际系统应用有限公司、中国信息安全测评中心、中国电子技术标准化 研究院、中国信息安全研究院有限公司. 本标准主要起草人：闵京华、张晓菲、上官晓丽、许玉娜、李斌、罗锋盈、王惠莅、左晓栋、周亚超、 刘恒张兴、李刚、陈洪波、张春明、张劲、刘作康、王琰、王新杰. ...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32922-2016 信息安全技术IPSec VPN安全接入 基本要求与实施指南 Information security technology-Baseline and implementation guide of IPSec VPN securing access 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32922-2016 目次 前言 I 引言 Ⅱ 1范围 1 2规范性引用文件 1 3术语和定义 4缩略语 5 IPSec VPN安全接入场景 3 5.1网关到网关的安全接入场景3 5.2终端到网关的安全接人场景 3 6 IPSec VPN安全接入基本要求 3 6.1 IPSec VPN网关技术要求 3 6.2 IPSec VPN客户端技术要求 5 6.3安全管理要求 5 7实施指南 6 7.1概述 6 7.2需求分析 .7 7.3方案设计 7 7.4配置实施 7 7.5测试与备案 8 7.6运行管理 附录A(资料性附录)典型应用案例 9 附录B(资料性附录)IPv6过渡技术12 参考文献 *14 GB/T32922—2016 引言 本标准主要内容包括IPSec VPN安全接入基本要求和基于IPSec VPN技术建设安全接入平台或 系统的实施指南，其中“基本要求”对IPSec VPN安全接入应用过程中有关网关、客户端以及安全管理 方面提出技术要求，“实施指南”主要适用于采用IPSec VPN技术开展安全接入应用的机构，指导其进 行基于IPSec VPN技术的安全接人平台或系统的需求分析、方案设计、配置实施、测试与备案、运行管 理.同时，本标准也可为相关设备厂商进行产品的设计和开发提供参考. 本标准是在国家电子政务外网IPSec VPN安全接人应用实践基础上归纳总结并提出的技术标准， 也可广泛适用于IPSec VPN各种应用场景. ...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32921-2016 信息安全技术 信息技术产品供应方行为 安全准则 Information security technology-Security criterion on supplier conduct of information technology products 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32921-2016 前 言 本标准按照GB/T1.1一2009的规则起草. 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口. 本标准起草单位：中国电子技术标准化研究院、曙光信息产业股份有限公司、新浪网技术（中国）有 限公司、北京奇虎科技有限公司、百度在线网络技术（北京）有限公司、北京瑞星科技股份有限公司、华为 技术有限公司、中兴通讯技术有限公司、北京工业大学、中国信息安全研究院有限公司. 本标准主要起草人：高林、许东阳、姚相振、范科峰、王惠莅、蔡磊、罗锋盈、杨震、左晓栋、杨晨、 石晓虹、王利俊、徐克超、叶润国、刘硕. GB/T32921-2016 信息安全技术信息技术产品供应方行为 安全准则 1范围 本标准规定了信息技术产品供应方在提供信息技术产品过程中，为保护用户相关信息、维护用户信 息安全应遵守的基本准则. 本标准适用于信息技术产品供应、运行或维护过程中的供应方行为管理，也可为信息技术产品的研 发、运维及测评等提供依据. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件，仅注日期的版本适用于本文 件.凡是不注日期的引用文件，其最新版本（包括的修改单）适用于本文件. GB/T25069一2010信息安全技术术语 3术语和定义 GB/T25069一2010界定的以及下列术语和定义适用于本文件. 3.1 信息技术产品information technology product 具有采集、存储、处理、传输、控制、交换、显示数据或信息功能的硬件、软件、系统和服务. 注：信息技术产品包括计算机及其辅助设备、通信设备、网络设备、自动控制设各、操作系统、数据库、应用软件与服 务等. 3.2 信息技术产品供应方information technology product supplier 提供信息技术产品的组织. 注：信息技术产品供应方包括生产商、销售商、代理商、集成商、服务商等. 3.3 用户相关信息user related information 与自然人或法人有关的信息以及定义和描述这些信息的数据. 注：用户相关信息包括用户身份信息，以及用户生成的文档、程序、多媒体资料，用户通信的内容、地址、时间，产品 的配置、运行及位置数据，系统运行过程产生日志等. 3.4 明示同意expressed consent 用户信息主体明确授权同意，并保留证据. 3.5 远程控制remote control 通过远程连接方式对用户产品实施的控制活动. 注：远程控制活动包括实现产品的启停、变更产品配置、改变产品运行状态、弹出对话框、自动远程升级、推送业务 1 ...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32920-2016/ISO/IEC27010:2012 信息技术安全技术行业间和组织间 通信的信息安全管理 Information technology-Security techniques-Information security management for inter-sector and inter-organizational munications (ISO/IEC27010:2012 IDT) 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T32920-2016/ISO/IEC27010:2012 目 次 前言 Ⅲ 引言 1范围 1 2规范性引用文件 1 3术语、定义和缩略语 3.1术语和定义 1 3.2缩略语 1 4概念和释义 2 4.1简介 2 4.2信息共享团体 2 4.3团体管理 2 4.4支持性机构 2 4.5行业间通信 2 4.6符合性 3 4.7通信模型 4 5安全方针 5.1信息安全方针4 6信息安全组织 4 6.1内部组织 4 6.2外部各方4 7资产管理 7.1对资产负责 7.2信息分类 5 7.3信息交换保护 6 8人力资源安全 8.1任用之前 7 8.2任用中 8 8.3任用的终止或变化 .8 9物理和环境安全 8 10通信和操作管理 8 10.1操作规程和职责 8 10.2第三方服务交付管理 8 10.3系统规划和验收 .8 I GB/T32920-2016/ISO/IEC27010:2012 10.4防范恶意和移动代码 8 10.5备份 8 10.6网络安全管理 10.7介质处置 .9 10.8信息的交换 9 10.9电子商务服务 .9 10.10监视 9 11访问控制 10 12信息系统获取、开发和维护 10 12.1信息系统的安全要求 .10 12.2应用中的正确处理 .10 12.3密码控制10 12.4系统文件的安全 10 12.5开发和支持过程中的安全 10 12.6技术脆弱性管理 10 13信息安全事件管理 13.1报告信息安全事态和弱点 .11 13.2信息安全事件和改进的管理 11 14业务连续性管理 12 14.1业务连续性管理的信息安全方面 .12 15符合性 12 15.1符合法律要求 12 15.2符合安全策略和标准以及技术符合性 13 ...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32919-2016 信息安全技术 工业控制 系统安全控制应用指南 Information security technology- Application guide to industrial control system security control 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32919-2016 目 次 前言 班 引言 1范围 .1 2规范性引用文件 .1 3术语和定义 1 4缩略语 5安全控制概述 3 6安全控制基线及其设计 7安全控制选择与规约 7 7.1选择与规约概述 7 7.2安全控制选择 7 7.3安全控制裁剪 8 7.3.1裁剪过程 7.3.2界定范围的指导 8 7.3.3安全控制补偿 9 7.3.4安全控制参数赋值 9 7.4安全控制补充 10 7 5建立安全控制决策文档 11 8安全控制选择过程应用 12 附录A(资料性附录)工业控制系统面临的安全风险13 A.1工业控制系统与传统信息系统对比 13 A.2信息系统安全威胁与防护措施对工业控制系统的影响14 A.3工业控制系统面临的威胁 15 A.4工业控制系统脆弱性分析 16 A.4.1工业控制系统脆弱性概述16 A.4.2策略和规程脆弱性 16 A.4.3网络脆弱性 17 A.4.4平台脆弱性 19 附录B(资料性附录)工业控制系统安全控制列表 22 B.1规划(PL) .22 B.1.1安全规划策略和规程(PL-1)22 B.1.2系统安全规划(PL-2) 22 B.1.3行为规则(PL-3) 23 B.1.4信息安全架构(PL-4) 23 B.15安全活动规划(PL-5)24 B.2安全评估与授权(CA) 24 1 GB/T32919-2016 B.2.1安全评估与授权策略和规程(CA-1) 24 B.2.2 安全评估(CA-2) 24 B.2.3 ICS连接管理(CA-3) 26 B.2.4 实施计划(CA-4) 26 B.2.5 安全授权(CA-5) 27 B.2.6 持续监控(CA-6) 27 B.2.7 渗透测试(CA-7) 28 B.2.8 内部连接(CA-8) 28 B.3风险评估(RA) 28 B.3.1风险评估策略和规程(RA-1) 28 B.3.2安全分类(RA-2) 29 B.3.3风险评估(RA-3) 29 B.3.4脆弱性扫描(RA-4) 29 B.4系统与服务获取(SA) 30 B.4.1系统与服务获取策略和规程(SA-1) 30 B.4.2资...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32918.5-2017 信息安全技术 SM2椭圆曲线公钥密码算法 第5部分：参数定义 Information security technology-Public key cryptographic algorithm SM2 based on elliptic curves-Part 5:Parameter definition 2017-05-12发布 2017-12-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32918.5—2017 目 次 前言 I 引言 Ⅱ 1范围 1 2规范性引用文件 1 3符号 1 4参数定义 1 附录A(资料性附录)数字签名与验证示例 3 附录B(资料性附录)密钥交换及验证示例 5 附录C(资料性附录)消息加解密示例 9 参考文献 11 GB/T32918.5-2017 前言 GB/T32918《信息安全技术SM2椭圆曲线公钥密码算法》分为5个部分： —第1部分：总则； —第2部分：数字签名算法； —第3部分：密钥交换协议； —第4部分：公钥加密算法； ——第5部分：参数定义. 本部分为GB/T32918的第5部分. 本部分按照GB/T1.1一2009给出的规则起草. 请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任. 本部分由国家密码管理局提出. 本部分由全国信息安全标准化技术委员会(SAC/TC260)归口. 本部分起草单位：北京华大信安科技有限公司、中国人民解放军信息工程大学、中国科学院数据与 通信保护研究教育中心. 本部分主要起草人：陈建华、祝跃飞、叶顶峰、胡磊、裴定一、彭国华、张亚娟、张振峰. I ...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32918.4—2016 信息安全技术SM2椭圆曲线公钥密 码算法第4部分：公钥加密算法 Information security technology-Public key cryptographic algorithm SM2 based on elliptic curves- Part 4:Public key encryption algorithm 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32918.4-2016 目 次 前言 Ⅲ 引言 1范围 2规范性引用文件 1 3术语和定义 1 4符号缩略语 5算法参数与辅助函数 2 5.1综述 2 5.2椭圆曲线系统参数 2 5.3用户密钥对 2 5.4辅助函数2 5.4.1概述 2 5.4.2密码杂凑算法 2 5.4.3密钥派生函数 2 5.4.4随机数发生器 3 6加密算法及流程 3 6.1加密算法 3 6.2加密算法流程 3 7解密算法及流程 4 7.1解密算法 4 7.2解密算法流程 5 附录A(资料性附录)消息加解密示例7 A.1综述 .7 A.2F.上椭圆曲线消息加解密7 A.3F2=上椭圆曲线消息加解密 9 参考文献 12 I GB/T32918.4-2016 前言 GB/T32918《信息安全技术SM2椭圆曲线公钥密码算法》分为5个部分： —第1部分：总则； —第2部分：数字签名算法； —第3部分：密钥交换协议； —第4部分：公钥加密算法； —第5部分：参数定义. 本部分为GB/T32918的第4部分. 本部分按照GB/T1.1一2009给出的规则起草. 本部分由国家密码管理局提出. 本部分由全国信息安全标准化技术委员会(SAC/TC260)归口. 本部分起草单位：北京华大信安科技有限公司、中国人民解放军信息工程大学、中国科学院数据与 通信保护研究教育中心. 本部分主要起草人：陈建华、祝跃飞、叶顶峰、胡磊、裴定一、彭国华、张亚娟、张振峰. Ⅲ ...

ICS35.040 L80 GB 中华人民共和国国家标准 GB/T32918.3-2016 信息安全技术SM2椭圆曲线公钥 密码算法第3部分：密钥交换协议 Information security technology-Public key cryptographic algorithm SM2 based on elliptic curves-Part 3:Key exchange protocol 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T32918.3-2016 目 次 前言 Ⅲ 引言 V 1范围 1 2规范性引用文件1 3术语和定义 1 4符号和缩略语 1 5算法参数与辅助函数2 5.1综述 2 5.2椭圆曲线系统参数 2 5.3用户密钥对 3 5.4辅助函数3 5.5用户其他信息 3 6密钥交换协议及流程 4 6.1密钥交换协议 4 6.2密钥交换协议流程 5 附录A(资料性附录)密钥交换及验证示例 6 A.1综述 6 A.2F.上椭圆曲线密钥交换协议 6 A.3F2上椭圆曲线密钥交换协议 参考文献 .13 I GB/T32918.3-2016 前言 GB/T32918《信息安全技术SM2椭圆曲线公钥密码算法》分为5个部分： ——第1部分：总则； ——第2部分：数字签名算法； —第3部分：密钥交换协议； ——第4部分：公钥加密算法； —第5部分：参数定义. 本部分为GB/T32918的第3部分. 本部分按照GB/T1.1一2009给出的规则起草. 本部分由国家密码管理局提出. 本部分由全国信息安全标准化技术委员会(SAC/TC260)归口. 本部分起草单位：北京华大信安科技有限公司、中国人民解放军信息工程大学、中国科学院数据与 通信保护研究教育中心. 本部分主要起草人：陈建华、祝跃飞、叶顶峰、胡磊、裴定一、彭国华、张亚娟、张振峰. Ⅲ ...