ICS 35. 110 CCS M 11 YD 中华人民共和国通信行业标准 YD/TXXXX-202X 网络空间安全仿真网络数据支撑平台技术 要求 行业标准信息服务平台 （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
行业标准信息服务平台
YD/TXXXX202X 目次 前 范围 2规范性引用文件 3术语和定义. 4缩略语. 5总体功能框架.. 6数据存储与共享技术要求. 6.1数据存储规则 6.2集中式数据存储. 6.3分布式数据存储. 6.4数据共享. 7数据分析技术要求. 7.1离线计算分析. 7.2实时计算分析. 7.3分析算法管理.

8平台扩展性技术要求. 9平台可用性技术要求. 行业标准信息服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位中国电信集团有限公司、鹏城实验室、湖南星汉数智科技有限公司、中国联合网 络通信集团有限公司、广州大学网络空间先进技术研究院、哈尔滨工业大学（深圳）.

本文件主要起草人邓晓东、王帅、李冠道、金华敏、张昊迪、曾球、陈敏、黄九鸣、陈晖、杜海 燕、陈璐、刘伟、李树栋、韩伟红、贾焰、陶莎.

行业标准信息服务平台 Ⅱ
YD/T XXXX202X 网络空间安全仿真网络数据支撑平台技术要求 1范围 本文件规定了网络空间安全仿真网络数据支撑平台的总体技术要求，包括数据存储与共享技术要求、 数据分析技术要求、平台扩展性技术要求、平台可用性技术要求.

本文件适用于网络空间安全仿真数据支撑平台的设计、开发和应用.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T35295-2017信息技术大数据术语 3术语和定义 GB/T35295-2017界定的以及下列术语和定义适用于本文件.

3. 1 网络数据支撑平台cyber data supportplatform 向网络空间安全仿真环境提供安全仿真数据存储、共享、分析技术支撑的平台.

4缩略语 下列缩略语适用于本文件.

AP1 应用程序接口 Appiication Programming Interface CPU 中央处理器 Central Processing Unit DNS 域名系统 Domain Nane Systen FTP 文件传输协议 File Transfer Protocol HTTP 超文本传输协议 Hyper TextTransfer Protoeol 0LAP 联机事务处理 Online Analytical Processing SFTP 安全文件传输协议 Secure File Transfer Protocol 5总体功能框架 网络数据支撑平台由数据存储与共享、数据分析功能模块构成，总体功能框架见图1.

ICS 35.030 YD CCS M 10 中华人民共和国通信行业标准 YD/TXXXX-202X 基于x86的数据中心服务器虚拟化安全技 术要求 Security technical requireiments for virtualization of data center server based on x86 标准信息服务平台 2020-xx-xx发布 2020-xx-xx实施 中华人民共和国工业和信息化部发布
行业标准信息服务平台
YD/T XXXX-XXXX 目次 前 言 1范围.... 2规范性引用文件 3术语和定义. 4缩略语.. 5服务器虚拟化概述 .2 5.1服务器虚拟化系统架构. 5.2服务器虚拟化安全技术框架 6宿主机安全技术要求 4 6.1身份认证 .4 6.2访问控制 .4 6.3安全配置. 4 6.4宿主机内通信 .5 7虚拟机安全技术要求. .5 7.1账号和权限.

.5 7.2访问控制 .5 7.3系统更新， .5 7.4安全管理， ..5 7.5安全隔离. .6 7.6业务连续性.

7.7安全审计. ..6 7.8虚拟存储... 8虚拟化网络安全技术要求. 8.1网络架构. 8.2网络隔离 7 8.3网络配置. 8.4虚拟化网络安全防护 9虚拟化管理系统安全技术要求. .7 9.1用户认证 9.2授权管理. .8 9.3安全审计.. .8 9.4虚拟机管理 .8 9.5传输安全. 9.6安全监控..
行业标准信息服务平台
YD/TXXXX-XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本标准由中国通信标准化协会提出并归口.

本标准起草单位：中国电信集团有限公司.

本标准主要起草人：陈军，郭雪松，陈大北，熊子晗，张鉴.

行业标准信息服务平台

ICS 33.020 CCS M21 YD 中华人民共和国通信行业标准 YD/TXXXX-XXXX 区块链安全指标要求与测试方法 Blockchain-security index requirements and testing methods 行业标准信息服务平台 （报批稿） xxxx-xx-xx发布 xxxx-xx-xx实施 中华人民共和国工业和信息化部发布
YD/T XXXX-XXXX 目次 前 III 1范围. 2规范性引用文件.

3术语和定义 4缩略语. 5网络安全指标要求. 5.1概述.. 5.2通信安全. 5.3网络资源安全 6数据安全指标要求. 6.1概述.. 6.2数据一致性. 6.3数据可用性. 6.4数据保密性. 7密码算法安全评价指标. 7.1概述... 7.2密码算法要求. 7.3密钥强度要求. 7.4私钥管理安全 8共识安全指标要求. 8.1概述.. 8.2共识安全... 9智能合约安全评价指标. 9.1概述.... 9.2虚拟机安全. 9.3测试环境安全. 9.4智能合约代码安全. 9.5业务逻辑安全. 9.6合约交互安全. 10管理运维安全评价指标.， 10.1概述.
YD/TXXXX-XXXX 10.2节点认证安全 10.3账户管理安全. 10.4用户管理安全.

10.5权限管理安全. 10.6数据可审计. 11测试方法. 11.1入网身份管理.

11.2通信安全防护 11.3数据可用性.

11.4隐私保护 11.5SM系列密码算法支持能力 11.6私钥安全 11.7共识机制容错能力 11.8合约环境安全， 11.9权限控制 11.10节点防护 15 行业标准信息服务平台
YD/T XXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》 给出的规定起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别这些专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院、中国电子科技网络信息安全有限公司、腾讯科 技（深圳）有限公司、华为云计算技术有限公司、中兴通讯股份有限公司、英特尔（中国）有 限公司、中国移动通信集团有限公司、联通大数据有限公司、成都链安科技有限公司、苏州 链原信息科技有限公司、大唐高鸿信安（浙江）信息科技有限公司、北京航空航天大学.

本文件主要起草人张启、何宝宏、魏凯、张奕卉、安红章、白健、廖思捷、范佳、武 杨、施海军、李志强、杨波、王珂、裴超、徐加明、股舒、杨霞、郭宇、姜海、蒋劲捷、鲍 帅、尹子栋、杜中平、李燕宏、郭海生、金怡爱、周苏静、檀景辉、刘再耀、张亮亮、吴发 国，姚望、赵洁洁、周波、谢丽佳.

行业标准信息服务平台 IⅢI
行业标准信息服务平台

ICS 35.030 CCS M 10 YD 中华人民共和国通信行业标准 [××X×]-[××XX×]1/0 车联网基础电信网络安全监测数据采集 技术要求及测试方法 Technical requirements and test methods for security monitoring data collection 行业标准信息服务平台 ofInternetofvehicles （报批稿） 20231122 [××××]-[××]-[××]发布 [×xx×]-[××]-[××]实施 中华人民共和国工业和信息化部 发布
行业标准信息服务平台
YD/Txxxxx2021 目次 前 言 1范围... 2规范性引用文件. 3术语和定义. 4缩略语.. 5概述... 6车联网基础电信网络安全监测数据采集技术要求 6.1数据采集覆盖范围. 6.2车联网协议识别. 6.3车联网资产识别. 6.4车联网通联记录. 6.5车联网网络安全监测内容及指标. 6.5.1主机受控事件监测. 6.5.2网络攻击事件监测.， 6.5.3有害程序传播事件监测. 6.5.4恶意样本文件监测. 6.5.5安全监测指标.... 6.6指令协同内容及指标.. 6.6.1恶意报文指令协同. 6.6.2恶意样本指令协同. 6.6.3指令协同指标 7车联网基础电信网络安全监测数据采集测试方法.

5 7.1数据采集覆盖范围测试. b 7.2车联网协议识别测试. 7.3车联网资产识别测试. 6 7.4车联网通联记录测试. 7.5车联网网络安全监测内容及指标测试. 7.5.1主机受控事件测试.. 7.5.2网络攻击事件测试... 7.5.3有害程序传播事件测试. 7.5.4恶意样本文件监测测试 7.5.5安全监测指标测试. 7.6指令协同内容及指标测试. 7.6.1恶意报文指令协同测试. 7.6.2恶意样本指令协同测试.
XXXX 7.6.3指令协同指标测试... 附录A（资料性）协议识别类型枚举表.. 行业标准信息服务平台
YD/TxxXX-xxXx 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院、北京亚鸿世纪科技发展有限公司、郑州信大捷安信息技 术股份有限公司、北京东方通网信科技有限公司、中国联合网络通信集团有限公司、中国移动通信集 团有限公司、中国电信集团有限公司、北京浩瀚深度信息技术股份有限公司、恒安嘉新（北京）科技股 份公司、木卫四（北京）科技有限公司、北京奇虎科技有限公司、长扬科技（北京）股份有限公司.

本文件主要起草人：周成胜、赵爽、下哲、于传若、王桂温、赵勋、崔枭飞、黄颖、林飞、程红、 钱鼎、麻心如、唐威、刘为华、崔婷婷、陈乔、刘如君、蔡销、魏来、李俊、呼博文、张小梅、庞韶 敏、孟娟、胡兵、何文杰、任翔、严敏睿、赵华、尹娜.

行业标准信息服务平台 I11

ICS 35. 030 CCS L 70 YD 中华人民共和国通信行业标准 YD/TXXXX-202X 多方数据共享服务数据安全技术框架 Data security technology framework of multi-party data sharing service 行业标准信息服务平台 [xxxx]-[xx]-[xx]发布 [xxxx]-[xx]-[xx]实施 中华人民共和国工业和信息化部 发布
YD/T XXXX-202X 目次 目 次 前 言 1范围， 2规范性引用文件 3术语和定义， 4多方数据共享服务数据安全技术框架. 4.1多方数据共享服务概述 4.2多方数据共享服务基本安全 5数据提供方安全. 6服务运营方安全.

6.1传输安全.. 6.2存储安全.. 6.3数据加工安全.. 6.4算法逻辑安全.. 6.5审计监控安全. 7数据使用方安全. 附录A（资料性）典型多方数据共享服务场景. 参考文. 业标准信息服务平台
YD/TXXXX-202X 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：广州大学网络空间先进技术研究院、鹏城实验室、西安邮电大学、蚂蚁科技集 团股份有限公司、广东省政务服务数据管理局、中国科学院信息工程研究所、北京国际大数据交易有 限公司、浙江大数据交易中心有限公司、哈尔滨工业大学、西安电子科技大学、中国信息通信研究 院、郑州信大捷安信息技术股份有限公司、华中科技大学、深信服科技股份有限公司、北京百度网讯 科技有限公司、北京奇虎科技有限公司、杭州安恒信息技术股份有限公司、OPPO广东移动通信有限 公司、北京天融信网络安全技术有限公司、恒安嘉新（北京）科技股份公司、中国移动通信集团有限 公司、北京炼石网络技术有限公司、华控清交信息科技（北京）有限公司、北京神州绿盟科技有限公 司.

本文件主要起草人：殷丽华、孙哲、李树栋、靳晨、刘为华、宋博韬、张勇、李风华、牛犇、罗 奇伟、刘献伦、刘武忠、廖清、朱辉、曹进、潘冲、王海洋、刘梦迪、陈钰炜、王昕、白晓媛、曹 京、庞妹、戚琳、何媛媛、洪爵、姚一楠、梁伟、李腾、王、张静、孟娟、于乐、王光涛、刘晓 光、程璐样、李然、李丹、冯纪元、李伟平、邹昱夫、王思敏、张杰.

行业标准信息服务平台 I1
YD/T XXXX-202X 多方数据共享服务数据安全技术框架 1范围 本文件从数据提供方、服务运营方和数据使用方维度，提供了多方数据共享服务数据安全技术框 架.

本文件适用于电信网和互联网等通用场景下开展的多方数据共享服务，并可以为多方数据共享服 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T35273信息安全技术个人信息安全规范 GB/T35274信息安全技术大数据服务安全能力要求 3术语和定义 GB/T35273和GB/T35274界定的以及下列术语和定义适用于本文件.

3. 1 大数据bigdata 具有体量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含 大量数据集的数据.

3. 2 大数据服务bigdata service 基于大数据参考架构提供的数据服务.

[来源：GB/T25069-2022 3.99] 注：大数据服务一般面对的是海量、异构、快速变化的结构化、半结构化和非结构化数据服务，且通过底层可伸 缩的大数据平台和上层各种大数据应用的系统服务提供.

3.3 数据交换datainterchange 为满足不同系统间数据传送和处理需要，依据一定规则，实现不同系统间数据交互的过程.

[来源：GB/T25069-2022 3.570]
YD/TXXXX-202X 3.4 数据共享data sharing 让不同的数据用户能够访问大数据服务所整合的各种数据资源，并通过大数据服务或数据交换技术 对这些数据资源进行相关的计算、分析、可视化等处理的行为.

[来源：GB/T25069-2022 3.566] 4多方数据共享服务数据安全技术框架 4.1多方数据共享服务概述 多方数据共享服务是面向数据的供给和需求，根据供需双方的约定来开展数据共享以及提供相应的 数据分析服务.

依托多方数据共享服务的支撑平台，可为各方提供安全的数据、算法和算力的接入，并 对共享服务过程进行协调、监控、记录和审计，以实现跨企业、跨部门、跨地域多方数据共享服务的安 全可控.

具体框架如图1所示.

数据提供方1 传输安全 存储安全 数据使用方1 数据提供方2 服务加工 安全 算法逻辑 审计监控 安全 安全 数据使用方2 ... 服务运营方 数据提供方n 多方数据共享服务 数据使用方m 图1多方数据共享服务数据安全技术框架 多方数据共享服务可支持多种服务角色的服务接入，包括数据提供方、服务运营方、数据使用方等.

各参与方角色说明： a）数据提供方：为多方数据共享服务提供所需数据； b）服务运营方：根据数据使用方的需求，配置提供符合该类供需模式所需的服务资源，协调一个 或多个数据提供方完成该服务： c）数据使用方：根据自身情况问多方数据共享服务运营方提出数据的使用需求，对获得的共享数 据结果进行确认.

注：以上参与方为逻辑角色，在实际应用中服务运营方的服务加工、算法逻辑、审计监控等功能是可选的，也可 以由多个实体承担.

该框架可应用在公共数据运营开发的平台、大型股份制机构内部的数据共享、基于行业 协会下的多方数据联合应用等场景.

具体应用场景示例见附录A 4.2多方数据共享服务基本安全 宜参考以下建议，包括： a）根据多方数据共享服务的复杂程度，选用独立于数据提供方与数据使用方等利益相关方的第三 方服务： b）提供逻辑上的提供日志记录、异常服务检测、异常状态预警等监控技术服务，支持各级数据主 管部门的监管需求： c）利用服务合约签署核验、服务逻辑设计审查、服务流程监控、服务结果或日志审计等技术支撑 对服务过程进行审查、审计：

ICS 33. 040 CCS L 78 YD 中华人民共和国通信行业标准 YD/TxxXx-xXxx 电信网和互联网联邦学习 技术要求与测试方法 Technical requirements and evaluationmethods for federated learning in telemunications and Internet [点击此处添加与国际标准一致性程度的标识] 行业标准信息服务平台 （报批稿） [××××]-[××]-[××]发布 [××××]-[××]-[××]实施 中华人民共和国工业和信息化部发布
YD/T x××xxxxx 目次 前 言 .I 1范围.. 2规范性引用文件 3术语和定义.. 4技术架构.. 5技术要求... 5.1功能性要求. 3 5.1.1任务发起 .3 5.1.2数据输入. 5.1.3算法输入 .4 5.1.4任务执行 .4 5.1.5结果输出 4 5.1.6模型管理. .4 5.2安全性要求 .5 5.2.1通用数据安全， 5.2.2数据管理安全 .5 5.2.3联邦对齐安全. 5.2.4联邦特征处理安全.

.6 5.2.5联邦模型训练安全. .6 5.2.6联邦模型评估安全.

.6 5.2.7联邦模型预测安全.. 6测试方法. 6.1功能性要求. 6.1.1任务发起. 6.1.2数据输入 7 6.1.3算法输入.. .. 6.1.4任务执行. .8 6.1.5结果输出.. .9 6.1.6模型管理. .9 6.2安全性要求. 10 6.2.1通用安全要求 10 6.2.2数据管理安全. .12 6.2.3联邦对齐安全 .12 6.2.4联邦特征处理安全 ..13 6.2.5联邦模型训练安全. .14 6.2.6联邦模型评估安全， .14 6.2.7联邦模型预测安全. .14
YD/Txx×xxx×x 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分标准化文件的结构和起草规则》 的规定起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院、中国移动通信集团有限公司、蚂蚁科技集团股 份有限公司、天翼电子商务有限公司、同盾科技有限公司、上海富数科技有限公司、京东科 技信息技术有限公司、北京天融信网络安全技术有限公司、北京百度网讯科技有限公司、北 京数读科技有限公司、深圳市腾讯计算机系统有限公司、OPPO广东移动通信有限公司、华控 清交信息科技（北京）有限公司、奇安信科技集团股份有限公司、深圳市洞见智慧科技有限 公司、北京安华金和科技有限公司、杭州金智塔科技有限公司、北京神州绿盟科技有限公司、 北京快手科技有限公司、哈尔滨工业大学（深圳）、杭州安恒信息技术股份有限公司、北京 恒安嘉新安全技术有限公司、郑州信大捷安信息技术股份有限公司、北京三快在线科技有限 公司、上海光之树科技有限公司、鹏城实验室、上海观安信息技术股份有限公司、北京京东 尚科信息技术有限公司等.

本文件主要起草人：戚琳、刘明辉、秦博阳、陈活、江为强、彭宇翔、黄翠婷、杨天雅、 喻博、孙中伟、张静、周吉文、裴超、张晓蒙、李克鹏、付艳艳、郭蕴哲、姜峰、杨海峰、 靳晨、陈超超、聂桂兵、高翔、落红卫、韩培义、蔡国庆、李鹏超、刘为华、李海全、黄坤、 张佳辰、刘川意、谢江、包勇军、李然等.

行业标准信息服务平台 ⅡI
YD/Txx×xx×xx 电信网和互联网联邦学习技术要求与测试方法 1范围 本文件规定了电信网与互联网联邦学习的技术要求与对应的测试方法.

本文件适用于电信网与互联网行业的联邦学习方案、工程、产品等的设计、研发、测试、 评估.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期 的文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括 的修改单）适用于本文件.

GB/T 25069-2010 信息安全技术术语 GB/T 29246-2017 信息技术安全技术信息安全管理体系概述和词汇 3术语和定义 GB/T25069-2010和GB/T29246-2017界定的以及下列术语和定义适用于本文件.

3. 1 联邦学习federatedlearning 一种多个参与方在保证各自原始私有数据不出数据方定义的私有边界的前提下，协作完 成某项机器学习任务的机器学习模式.

3. 2 计算因子putatlonfactor 基于联邦学习输入数据产生的中间数据.

准信息服务平台 3.3 私有边界privateboundary 参与方实体的存储和使用自身数据的物理范目 3.4 原始数据rawdata 各参与方在其私有边界内的私有明文数据.

3.5 敏感数据sensitive data 对个人或企业敏感的数据，泄露带来危害，不适合对外公开的数据.

3.6
YD/Txx×xxxxx 安全参数securityparameter 密码学中用以衡量一个加解密机制的安全强度或破解难度的一组参数.

注：安全参数包括计算安全参数和统计安全参数：计算安全参数K，关联计算复杂度 ，若计算安全参数为K，则对应需要进行O（2“）次计算，越大的k所需计算的次数越多， 此种密码协议的安全性建立在攻击方算力有限的情况下：统计安全参数入，衡量统计距离 的大小（如2），表示攻击方拥有无限算力的情况下，攻击方以一定概率破解加密机制 3. 7 推导deduce 在有限计算资源和有限计算时间的实际条件下，对联邦学习的计算因子进行演算或还原 处理，以获得目标数据的过程.

4技术架构 联邦学习在逻辑上的角色包括任务发起方、调度方、算法提供方、数据提供方、计算 方和结果使用方.

各参与方协同完成一个联邦学习任务的基本工作逻辑流程如图1所示.

-任务发起方：发起计算任务请求，并在任务执行前核实资源.

-调度方：配置计算任务所需资源，管理和协调各参与方协同完成任务.

-算法提供方：提供计算逻辑和算法参数.

可将算法参数作为隐私数据进行保护，此时 该算法提供方也可视为数据提供方.

-数据提供方：提供完成计算任务所需的原始数据，通过加密等手段将原始数据转化为 计算因子后，输入到计算方.

一计算方：提供完成计算任务所需的算力.

计算方利用数据提供方输入的计算因子进 行计算，并将结果计算因子输出到结果使用方.

-结果使用方：接收计算任务的结果.

可能存在多个结果使用方.

-辅助计算方：为联邦学习任务辅助服务的联邦学习参与方，辅助计算方的部署应独立 行业标准信息服务平台 于计算方.

Z

ICS 33. 040 CCS M 21 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 基于区块链的恶意号码库构建及共享技术 要求 Technical requirements formalicious telemunication number repository construction and sharing based on blockchain 行业标准信息服务平台 （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
行业标准信息服务平台
YD/TXXXXXXXXX 目次 前 言 III 引 言 1范围 2规范性引用文件 3术语和定义 4符号.. 5概述 6恶意状态模型. 7技术架构. 7.1总体架构. 7.2主要模块， 8流程要求. 8.1上报负面事件. 8.2上报正面事件. 8.3恶意概率老化. 8.4信用权重老化. 9号码识别区块链要求. 9.1接入节点要求. 9.2智能合约要求， 9.3账本要求... 8 10用户信用区块链要求 8 10.1接入节点要求. 10.2智能合约要求. 10.3账本要求.... 11信息安全要求. 11.1系统安全要求. 11.2用户信息安全要求， 11.3数据安全要求. 11.4审计要求.... 11.5监管要求..... 附录A（资料性）恶意概率更新规则. A.1正面或负面事件时更新规则. A.2恶意概率老化事件时更新规则.

附录B（资料性）信任权重更新规则. B.1负面事件时更新规则.
YD/TXXXXX-XXXX B.2正面事件时更新规则. 12 B.3信任权重老化事件时更新规则.

附录C（资料性）流程示例， C.1上报负面事件流程示例. C.2上报正面事件流程示例， C.3恶意概率老化流程示例. C.4信任权重老化流程示例.

参考文献........ 行业标准信息服务平台
YD/TXXXXXXXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位中国移动通信集团有限公司，中国信息通信科技集团有限公司，郑州信大捷安信 息技术股份有限公司，长扬科技（北京）股份有限公司，广州大学网络空间先进技术研究院，东软集团 股份有限公司，中国联合网络通信集团有限公司，蚂蚁科技集团股份有限公司.

本文件主要起草人董文宇，刘冬，杨波，闻军智，马洪晓，梅秋丽，刘为华，赵华，张祺琪，彭 雪娜，孙哲，廖奇，李敏，刘伟，昌文婷，张晓蒙.

行业标准信息服务平台 II1

ICS 35.100.30 CCS L79 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 基于SRv6的安全能力调度技术要求 Technical requirements for SRv6-based security capability scheduling 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXXX-XXXX 目次 1范围 2规范性引用文件 3术语和定义 4缩略语 5总体技术框架， 6运营层服务与能力 6.1服务订购， 6.2网络服务订购. 6.3安全服务订购， 7编排调度层技术要求.

7.1总体业务流程， 7.2云网安业务编排调度器 7.3网络控制器， 7.4安全控制器， 7.5报文封装， 8基础设施层技术要求. 8.1网络基础设施， 8.2安全基础设施， 参考文献... 行业标准信息服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草 规则》的规定起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国电信集团有限公司、华为技术有限公司、杭州安恒信息技术股 份有限公司、新华三技术有限公司、中兴通讯股份有限公司、东软集团股份有限公司、北 京神州绿盟科技有限公司、中国移动通信集团有限公司、东方通信股份有限公司、北京启 明星辰信息安全技术有限公司、恒安嘉新（北京）科技股份公司.

本文件主要起草人：白冰、邵涛、穆俊龙、王螺、李志民、马或嵩、赵毅、田辉辉、 尹作鹏、张亚伟、刘持奇、林明峰、李剑锋、田丽丹、万晓兰、彭雪娜、霍玉臻、吴小文、 程样.

行业标准信息服务平台 II
YD/TXXXXX-XXXX 基于SRv6的安全能力调度技术要求 1范围 本文件规定了基于SRv6的安全能力调度总体架构、编排调度层技术要求、网络基础设施技术要求、 安全基础设施技术要求.

本文件适用于指导基于SRv6网络设备、云化安全资源池对应一体化产品及服务的研发、测试、部署 和运营.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价办法 GB/T22239-2019信息安全技术网络安全等级保护基本要求 YD/T1452-2014IPv6网络设备技术要求边缘路由器 YD/T1454-2014IPv6网络设备技术要求核心路由器 IETF RFC 8754IPv6段路由头 IETF RFC 8986SRv6网络编程 3术语和定义 下列术语和定义适用于本文件.

3. 1 SRv6流量工程策略srv6trafficengineeringpolicy 文穿越网络，用于实现流量工程，提升网络质量，满足业务的端到端需求.

3.2 用户标识符useridentifier 由云网安业务编排调度器分配给订购服务的用户的唯一标识，应采用USER-Group-ID字段携带.

注用户标识符在网络业务链头端设备中被封装，安全基础设施解析此标识，匹配用户安全服务映 射表进入对应的安全业务链.

3. 3 应用标识符applicationidentifier 由网络控制器分配给特定应用发送的流量的唯一标识，应采用APP-Group-ID字段携带.

注携带应用标识符的SRv6报文，在网络业务链的头编设备被解析，匹配对应的网络业务链，实现 引流到安全资源池.

3. 4 云网安业务cloudnetwork security service 服务提供商面向用户提供的具备业务随需部署、敏捷开通、路径可编程、资源弹性自适应的网络和 基于云化安全能力一体化服务.

3.5 安全资源池网关securityresourcepoolgateway 池的入口，参与网络层SRv6业务链编排调度，通过解析用户和应用信息，匹配上层控制器下发的安全服 务映射表进行安全资源调度，并将流量转发至对应的资源处理.

3
YD/T xXXXX-XXXX 4缩略语 下列缩略语适用于本文件.

APN6 基于IPv6的应用感知网络 Application-aware IPv6 Networking APNID 应用标识符 Application Identifier CE 用户网络边缘设备 Customer Edge DOH 目的选项扩展头 Destination Options Header FV 防火墙 Fire Wal1 IPS 入侵防御系统 Intrusion Prevention System IPv6 互联网协议第6版 Internet Protocol Version 6 PE 服务商边缘设备 Provider Edge SRPGW 安全资源池网关 Security Resource Pool Gateway SID 分段标识 Segment Identifier SR 分段路由 Segment Routing SRH 分段路由报头 Segment Routing Header SRP 安全资源池 Security Resource Pool SRv6 基于IPv6的分段路由 Segment Routing over IPv6 WAF 网站应用防火墙 Web Application Firewal1 WEB 万维网 World Wide Web 5总体技术框架 基于SRv6的安全能力调度总体技术框架由运营层、编排调度层和基础设施层构成，通过SRv6网络 的灵活编排与调度，引导用户流量至安全资源池，达到安全服务与网络服务一体化灵活调度与编排.

总 体技术框架如图1所示.

运营门户：服务订购 应用安全护 运营层 同络服务订购 安全服务订购 云网安业务编排调质器 编排调度层 器 安全控制器 基础设施局 网路基设育 安全检设资 图1基于SRv6的安全能力调度总体技术框架 运营层通过运营门户提供面向企业用户的网络及云化安全资源池的一体化服务能力，包括专线等网 络服务和安全服务.

运营门户与云网安业务编排调度器对接，发布用户服务订购请求信息.

编排调度层通过云网安业务编排调度器、网络控制器及安全控制器提供整体业务编排调度能力.

云 网安业务编排调度器对接运营门户，接收用户的网络和安全服务订购请求，进行网络和安全资源的调度.

对接网络控制器和安全控制器，将资源调度结果发送至网络控制器和安全控制器.

网络控制器负责端到 端SRv6流量工程策略业务链路径编排，并下发给网络基础设施.

安全控制器负责用户安全资源分配，并 下发给安全基础设施.

ICS 01. 040.35 CCS CCS M 11 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 安全访问服务边缘（SASE）功能编排管理 第1部分：总体框架 Orchestration for secure access service edge(SASE)--Part 1: Overall framework 行业标准信息服务平台 （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
行业标准信息服务平台
YD/TXXXXXXXXX 目次 前 引 1用文件 安全访问服务边缘（SASE）的功能编排管理框架概述 6安全访问服务边缘（SASE）功能编排管理模块功能 6.1SASE管理呈现层 6.2SASE编排支撑层 6.3SASE关键能力层， 7安全访问服务边缘（SASE）功能编排管理流程 7.1概述. 7.2网络和安全功能模块的注册和运行状态监控流程， 7.3网络和安全策略下发流程. 7.4策略执行流程.. 附录A （资料性）安全访间服务边缘（SASE）的功能编排管理系统框架涉及利益方功能要求...10 附录B （资料性）安全访问服务边缘（SASE）的功能编排管理系统框架的使用场景， 行业标准信息服务平台 12
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

本文件是YD/TXXXX《安全访问服务边缘（SASE）功能编排管理》的第1部分.

YD/TXXXX《安全访 问服务边缘（SASE）功能编排管理》已经发布以下部分： 一一第1部分：总体框架 请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本标准由中国通信标准化协会提出并归口. 本标准起草单位：中国移动通信集团有限公司，中国信息通信研究院，中国电信集团有限公司， 北京东方通网信科技有限公司，深信服科技股份有限公司，奇安信科技集团股份有限公司，北京山石 网科信息技术有限公司，新华三技术有限公司，上海观安信息技术股份有限公司，北京神州绿盟科技 有限公司，陕西省信息化工程研究院，西安邮电大学，北京芯盾时代科技有限公司，华为技术有限公 司，中信科移动通信技术股份有限公司，北京天融信网络安全技术有限公司，浙江鹏信信息科技股份 有限公司，中讯邮电咨询设计院有限公司.

本标准主要起草人：陈佳，杨凯，鲁冬杰，赵宇航，赵海燕，王肖斌，徐天妮，穆球博，柴瑶琳， 党小东，薄明霞，崔婷婷，杨柳，赵福辰，王茜，任亮，孟丹，谢江，李凯，张勇，朱志祥，季文东， 潘伟，梁亚从，安高峰，章亮，李长连.

行业标准信息服务平台 II
YD/TXXXXXXXXX 引言 在企业数字化转型和新冠疫情冲击下，企业云化和远程/移动办公成为大趋势，网络的变化导致安 全边界逐渐模糊，导致网络流量缺乏统一的安全检查，分散部署业务增加安全成本和运维成本，不确 定的安全边界扩大暴露面提高了安全风险.

为解决上述问题，Gartner于2019提出SASE（Secure AccessServiceEdge，安全访间服务边缘），融合了广域网技术和全面网络安全防护的新型服务框架， 面向企业提供以身份为中心、分布式部署、兼容各种边缘的云原生网络和安全功能.

SASE框架通过SD-WAN（软件定义广域网，Software Defined Wide Area Network）/SDN（软件定 义网络，Software Defined Network）等网络技术融合了ZTNA（零信任网络访间，Zero-Trust Network Access）、FWaaS（防火墙即服务，Firewall as a Service）、SWG（安全Web网关，Security Web Gateway）、CASB（云访间安全代理，Cloud Access Security Broker）、DLP（数据泄露防护， Dataleakage prevention）等多种安全和网络功能，从而实现网络和安全功能统一管控，灵活部署.

然而SASE服务建设难度较大，一方面，SASE服务涉及的技术过多，单个厂商很难提供高质量全栈网络 和安全功能：另一方面，SASE服务中各功能分布式灵活部署，难以统一管控编排.

部分厂商通过合作 来实现SASE框架，但是缺乏统一的功能编排管理框架，导致集成效率低成本高，需要大量适配工作.

为了灵活和高效的在SASE框架下统一编排和管理多个跨厂商和跨网络域的网络和安全功能，形成 有序的安全和网络功能处理序列，并对进行全局的策略下发和配置管理，需要制定统一的SASE功能编 排管理框架标准，明确实现网络和安全功能统一编排管理参考框架和流程，并提出总体要求，为SASE 功能编排建设提供支持和参考，拟由四个部分构成： 一一第1部分：总体框架.

目的在于确立SASE功能编排管理的整体框架.

一一第2部分：编排支撑层技术要求.

目的在于定义SASE功能编排的编排支撑层技术要求.

一一第3部分：管理呈现层技术要求.

目的在于定义SASE功能编排的管理呈现层技术要求.

一一第4部分：关键能力层技术要求.

目的在于定义SASE功能编排的关键能力层技术要求.

行业标准信息服务平台 IⅡ1

ICS 33.060.99 CCS M36 YD 中华人民共和国通信行业标准 YD/T[xxxxx]-[xxxx] 云化电信网微隔离系统技术要求 Technical specification of micro-segmentation system for cloud telemunicationnetwork （报批稿） 行业标准信息服务平台 xxxx-X×-××发布 xxxx-X×-××实施 中华人民共和国工业和信息化部发布
XX/T XXXXX-XXXX 目次 1范围 2规范性引用文件 3术语和定义.

4缩略语 5云化电信网微隔离系统通用框架.

5.1通用框架.. 5.2微隔离管理中心 5.3微隔离执行单元. 6云化电信网微隔离系统功能要求. 6.1微隔离监控范围. 6.2资产管理要求... 6.3安全策略管理要求.， 6.4安全监控要求... 6.5东西向流量可视化要求.， 7云化电信网微隔离系统的集成要求 8云化电信网微隔离系统的部署要求， 9云化电信网微隔离系统的安全运维要求. 9.1通用安全配置... 9.2安全审计....... 附录A（规范性）云化电信网微隔离系统部署方案 A.1基于网元的微隔离系统方案， A.2基于网元和数据分析功能的微隔离系统方案. A.3基于虚拟交换机的微隔离系统方案.

参考文献... 行业标准信息服务平台
XX/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国移动通信集团有限公司、中兴通讯股份有限公司、中国电信集团有限公司、北 京神州泰岳信息安全技术有限公司、中讯邮电咨询设计院有限公司、北京天融信网络安全技术有限公司、 上海观安信息技术股份有限公司、华为技术有限公司、新华三技术有限公司.

本文件主要起草人：庄小君、粟栗、王悦、杨春建、霍玉臻、刘尚焱、杜海涛、沈军、万晓兰、张政、 王、李长连、范迪、谢江.

行业标准信息服务平台
XX/T XXXXXXXXX 云化电信网微隔离系统技术要求 1范围 本文件规定了云化电信网微隔离系统技术要求，包括云化电信网微隔离系统通用框架、功能要求、 集成要求、部署要求和安全运维要求等.

本文件适用于指导云化电信网微隔离系统的开发、建设等.

2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T25069-2022信息安全技术术语 YD/T2807.4-2015云资源管理技术要求第4部分：接口 3术语和定义 GB/T25069-2022界定的以及下列术语和定义适用于本文件.

3. 1 微隔离micro-segmentation 一种能够适应云化电信网的虚拟化部署环境，能够识别和管理云化电信网的资源池内部流量的隔离 技术.

[来源：ISCCC-TR-076-2018，有修改] 3. 2 微隔离系统micro-segmentationsystem 使用微隔离技术，识别和管理云化电信网的资源池内部流量的系统.

3.3 资源池resource pool 一组物理资源或一组虚拟资源的集合，可以从池中获取资源，也可将资源回收到池中.

资源包括物 理机、虚拟机、存储资源、虚拟网络设备、物理网络设备和IP地址等.

[来源：YD/T5236-2018] 3.4 业务资源池 service resource pool 用于部署业务网元（如虚拟化的AMF等）的资源池，实现业务资源和管理资源之间更好的隔离.

3.5
XX/TXXXXX-XXXX 网管资源池management resource pool 用于部署管理网元（如NFVO等）的资源池，实现管理资源和业务资源之间更好的隔离.

缩略语 下列缩略语适用于本文件.

AMF：接入和移动性管理功能（Access and Mobility Management Function） HA：高可用性（HighlyAvailability） KVM：基于内核的虚拟机（Kermel-basedVirtual Machine） MANO：管理与编排（Management and Orchestration） MDAF：管理数据分析功能（Management Data AnalyticFunction） NFVO：网络功能虚拟化编排器（NetworkFunction Virtualization Orchestrator） OMC：操作运维中心（Operation andMaintenance Center） SBA：基于服务的架构（Service-based Architecture） SLA：服务级别协议（Service levelagreement） SQL：结构化查询语言（Structured QueryLanguage） VIM：虚拟化基础设施管理器（VirtualizedInfrastructure Manager） VM：虚拟机（Virtual Machine） VNF：虚拟网络功能（VirtualizedNetworkFunction） VNFM：虚拟化网络功能管理器（VirtualisedNetworkFunctionManager） XSS：跨站脚本攻击（CrossSiteScript） 5 云化电信网微隔离系统通用框架 5.1通用框架 云化电信网微隔离系统通用框架包含微隔离管理中心和微隔离执行单元两个关键功能实体，其中微 隔离管理中心包含资产管理、安全策略管理、安全监控和流量可视化等功能模块：微隔离执行单元包含 数据采集及上报模块和策略执行模块.

管理中心 OMC MANO 衡产管理 安全均理 实控 选量可视化 隔南执行单元 NPVO VNF VNF 此集及维执 VM VM VM 上 微隔商执行单元 微限商执行单元 隔南扶行单元 VNFM 虚拟基础设施 南内行单元 VM 物基础设施 图1云化电信网微隔离系统通用框架示意图 图1描述了云化电信网微隔离系统通用框架.

微隔离管理中心作为独立实体部署，微隔离执行单元部 署在VNF的VM、VM中的Pod、虚拟基础设施、MANO中.

根据云化电信网网元的部署方式（如虚拟机部 署或虚拟机容器部署、裸机容器等）、微隔离系统监控的范围等的差异，微隔离执行单元、微隔离管理 中心支持采用多种部署方式.

例如，对于VNF采用虚拟机或虚拟机容器部署、只监控VNF流量的场景，

ICS 35.030 CCS L 80 YD 中华人民共和国通信行业标准 YD/Txxxxxxxx 运营商网络设备数字证书管理指南 Guidelines for certificate management of devices in telemunication operator’s network 行业标 （报批稿） （本稿完成日期：2023年11月） 信息服务平台 20×X-X×-X×发布 20××-X×-X×实施 中华人民共和国工业和信息化部 发布
YD/Txxxx-xxxx 目次 前 I 1范围 2规范性引用文件 3术语与定义 2 4缩略语 3 5概述.. 5.1运营商网络设备数字证书应用.

4 5.2运营商网络设备数字证书管理参与方 4 5.3运营商网络设备数字证书管理的目标 6运营商网络物理设备数字证书管理. 5 6.1物理网络设备与PKI系统的组网方式. 5 6.2设备身份标识配置 5 6.3生成密钥对 5 6.4数字证书申请... ..5 6.5数字证书更新 ..8 6.6数字证书撤销 ..8 6.7依赖方验证数字证书 .. 7运营商网络虚拟化设备的数字证书管理. ..9 7.1虚拟化设备与PKI系统的组网方式. ..9 7.2设备身份标识配置. 7.3生成密钥对 ..9 7.4数字证书申请 . 7.5数字证书更新 10 7.6数字证书撤销. 7.7扩容/缩容时数字证书管理， 1I" 附录A（资料性）运营商网络设备数字证书应用 .12 A.1运营商网络设备数字证书的用途 ..12 A.2运营商网络设备数字证书的应用场景 服务平台 .12 参考文献 .14
YD/Tx×xxXxxx 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分标准化文件的结构和起草规则》 的规定起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位中国移动通信集团有限公司，中国联合网络通信集团有限公司，中兴 通讯股份有限公司，郑州信大捷安信息技术股份有限公司，华为技术有限公司.

本文件主要起草人阎军智，李敏，刘为华，刘伟，邵萌，阮玲宏，杨波，何申，粟栗 行业标准信息服务平台
YD/Txxxx-xxxx 运营商网络设备数字证书管理指南 1范围 本文件提供了运营商主导建设的电信网中网络设备数字证书管理的目标、方法，以及针 对不同组网模式和设备能力的措施、指导和建议.

本文件适用于提升运营商网络设备数字证书管理的效率及应用过程中的安全性，为运营 商网络设备数字证书的安全管理提供技术指导，也可为其他领域数字证书的管理和应用提供 参考.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期 的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括 的修改单）适用于本文件.

GB/T19714信息技术安全技术公钥基础设施证书管理协议 GB/T20518信息安全技术公钥基础设施数字证书格式 GB/T32905信息安全技术SM3密码杂凑算法 GB/T32907信息安全技术SM4分组密码算法 GB/T32918信息安全技术SM2椭圆曲线公钥密码算法 GB/T35276信息安全技术SM2密码算法使用规范 GB/T35275信息安全技术SM2密码算法加密签名消息语法规范 GB/T37092信息安全技术密码模块安全要求 3术语与定义 下列术语和定义适用于本文件.

3. 1 数字证书digitalcertificate 由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及 扩展信息的一种数据结构.

按类别可分为个人证书、机构证书和设备证书，按用途可分为签 名证书和加密证书.

[米源：GB/T25056-2018，3.9，有修改] 息服务平台 3. 2 私钥private key 非对称密码算法中只能由拥有者使用的不公开密钥.

[米源：GB/T 25056-2018 3.10] 3.3 依赖方relyingparty 依赖证书中的数据来做决定的用户或代理.

[来源：GB/T 25069-2022，3.717]
YD/Txxxx-xxxx 3.4 证书撤销列表certificaterevocation list 由证书认证机构签发并发布的被撤销证书的列表.

[来源：GB/T25069-2022，3.781，有修改] 3.5 订户 subscriber 使用PKI系统提供的服务获取数字证书的用户.

[来源：GB/T21053-2023，3.4] 3. 6 PKI系统 PKI system 公钥基础设施中，基于公钥密码体制，实现数字证书的发布、撤销和管理等功能，并为 订户提供相应服务的信息系统.

[来源：GB/T21053-2023，3.1] 4缩略语 下列缩略语适用于本文件： CA 证书认证机构 Certificate Authority CRL 证书撤销列表 Certificate Revocation List DN 甄别名称 Distinguished Name EMS 网元管理系统 Element Management System FQDN 全限定域名 Fully Qualified Domain Name IP 互联网通信协议 Internet Protocol IPSec IP安全协议 Internet Protocol Security MAC 媒体访问控制 Media Access Control MANO 管理和编排 Management and Orchestration NFVI 网络功能虚拟化基础设施 NFV Infrastructure OCSP 在线证书状态协议 Online Certificate Status Protocol PKI 公钥基础设施 Public key infrastructure RA 证书注册机构 Certificate Registration Authority SAN 主体可选替换名称 Subject Alternative Name SSH 安全外壳协议 Secure Shell TLS 网络传输层安全 Transport Layer Security TLCP 传输层密码协议 Transport Layer Cryptography Protocol VNF 虚拟化网络功能 Virtualized Network Function VNFD 虚拟化网络功能描述符 Virtualized Network Function Descriptor N

ICS33.040.01 CCS M37 YD 中华人民共和国通信行业标准 YD/TXXXX-XXXX 5G移动通信网络能力开放通用应用程序接 口（API）功能架构的安全技术要求 Security technical requirements for mon Application Programming Interface (API) framework of 5G mobile munication network exposure 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
行业标准信息服务平台
YD/T XXXXXXXX 目次 前 AI 1范围 2规范性引用文件 3术语和定义.. 4缩略语.. 5安全需求. 5.1通用安全需求. 5.2CAPIF-1/1e参考点安全需求 5.3CAPIF-2/2e参考点安全需求 5.4CAPIF-3/4/5参考点安全需求. 2 5.5CAPIF-3e/4e/5e参考点安全需求 5.6CAPIF-7/7e参考点安全需求. 6功能安全模型与功能模型.. 6.1概述.... 6.2功能安全模型. 6.3功能模型描述 6.3.1CAPIF功能模型描述. 6.3.2支持第三方API提供者的功能模型描述. 6.3.3支持CAPIF交互的功能模型描述.

6.4功能实体描述 6 6.4.1概述..... 9 6.4.2API调用者.. 10 6.4.3CAPIF核心功能. 10 6.4.4API开放功能.

10 6.4.5API发布功能. 10 6.4.6API管理功能. 10 6.5参考点.. 11 6.5.1概述..... 6.5.2参考点CAPIF-1（在API调用者和CAPIF核心功能之间） 6.5.3参考点CAPIF-1e（在API调用者和CAPIF核心功能之间） 6.5.4参考点CAPIF-2（在API调用者和API开放功能之间） 6.5.5参考点CAPIF-2e（在API调用者和API开放功能之间） 6.5.6参考点CAPIF-3（在API开放功能和CAPIF核心功能之间） 6.5.7参考点CAPIF-4（在API发布功能和CAPIF核心功能之间） 6.5.8参考点CAPIF-5（在API管理功能和CAPIF核心功能之间） 6.5.9参考点CAPIF-3e（在API开放功能和CAPIF核心功能之间） 12
YD/T XXXXXXXX 6.5.10参考点CAPIF-4e（在API发布功能和CAPIF核心功能之间） 12 6.5.11参考点CAPIF-5e（在API管理功能和CAPIF核心功能之间） 12 6.5.12参考点CAPIF-7（在API开放功能之间） 13 6.5.13参考点CAPIF-7e（在API开放功能之间） 13 6.5.14参考点CAPIF-6（在同一CAPIF 提供商的CAPIF核心功能之间） .13 6.5.15参考点CAPIF-6e（在不同CAPIF提供者的CAPIF核心功能之间） .13 7安全流程.. .13 7.1API调用者启用安全流程， .13 7.2CAPIF-1安全流程.

15 7.3CAPIF-1e安全流程-认证与授权. 15 7.3.1概述.... .15 7.3.2安全机制协商. 15 7.3.3API发现 16 7.3.4拓扑隐藏... .16 7.4CAPIF-2参考点安全流程 16 7.5CAPIF-2e参考点安全流程. .16 7.5.1概述..... 16 7.5.2认证与授权. 16 7.6CAPIF-3/4/5参考点安全流程， .20 7.7更新安全方法的安全流程. 20 7.8API调用者停用安全流程. .20 7.9CAPIF-7/7e参考点安全流程.. . 22 7.10CAPIF-3e/4e/5e参考点安全流程 22 附录A（规范性）AEFrs密钥推衍功能 23 附录B（资料性）安全流程. .24 B.1启用.... .24 B.2认证与授权. 25 附录C（规范性） “方法三-使用接入令牌的TLS”的接入令牌配置. .28 C.1概述. . 28 C.2接入令牌配置. .28 C.2.1概述... 87 C.2.2令牌声明 28 C.3获取接入令牌... .29 C.3.1概述.... .29 C.3.2访问令牌请求 29 C.3.3访间令牌响应. . 29 C.4更新访问令牌.

30 C.5使用令牌访间API开放功能.， .30 C.6令牌撤销... .30 C.7令牌有效期. .30 11
YD/TXXXXXXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信科技集团有限公司、中国电信集团有限公司、中国信息通信研究 院、华为技术有限公司、中国移动通信集团有限公司 本文件主要起草人：毕晓宇、徐晖、李金艳、杨红梅、焦杨、雷骜、吴荣、袁琦、黄晓婷.

行业标准信息服务平台 II11

ICS 33.020 CCS L 04 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 基于拟态防御的内生安全电子邮件系统技 术要求 Endogenous security based on mimetic defense Technicalrequirements for email systems 行业标准信息服务平台 报批稿 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXxXXXX-XXXX 目次 前 言 1范围 2规范性引用文件 3术语和定义 4缩略语 5概述 6拟态电子邮件系统功能要求 6.1请求分发要求 6.2拟态裁决要求， 6.3拟态电子邮件系统执行体要求 6.4执行体调度要求 6.5指令标签化要求 6.6主动防御要求 6.7日志接口要求 7拟态电子邮件系统性能要求 7.1执行体清洗时间 7.2调度周期 7.3系统恢复时间 7.4服务响应时延 8拟态电子邮件系统安全要求 8.1通用安全要求 8.2拟态安全要求 附录A（资料性）性能指标计算依据和参考阅值， A.1执行体清洗时间 A.2调度周期 A.3系统恢复时间 A.4服务响应时延 参考文献， 服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

本文件是“支持拟态防御功能的设备”系列标准之一，该系列标准的结构和名称预计如下： 1）支持拟态防御功能设备总体技术指南 2）支持拟态防御功能的Web服务器技术要求 3）支持拟态防御功能的Web服务器检测规范 4）支持拟态防御功能的路由器技术要求 5）支持拟态防御功能的路由器检测规范 6）支持拟态防御功能的域名服务器技术要求 7）支持拟态防御功能的域名服务器检测规范 8）支持拟态防御功能的交换机技术要求 9）支持拟态防御功能的交换机检测规范 10）支持拟态防御功能的防火墙技术要求 11）支持拟态防御功能的防火墙检测规范 12）支持拟态防御功能的分布式存储系统技术要求 13）支持拟态防御功能的分布式存储系统检测规范 14）支持拟态防御功能的安全网关技术要求 15）支持拟态防御功能的安全网关检测规范 16）支持拟态防御功能的云组件技术要求和测试方法 17）基于拟态防御的内生安全云服务平台技术要求 18）基于拟态防御的内生安全电子邮件系统技术要求 请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院，中国人民解放军战略支援部队信息工程大学，珠海高凌信 息科技股份有限公司，网络通信与安全紫金山实验室，河南信大网御科技有限公司，郑州信大捷安信息技 术股份有限公司.

本标准主要起草人程国振，石悦，董航，梁浩，刘文彦，郭义伟，张帅，郭威，杨刚，贺倩，辛 冉，鲁冬雪，张校辉，吕青松，李松泽，杨晓晗，周大成，王庆丰，全玉，下佑军，张宜岗，贺喜卓， 李富军，苑立涛，周俊珂，吴威震，鲁豫，张鹏，赵逸飞.

I1
YD/TXXXXX-XXXX 基于拟态防御的内生安全电子邮件系统技术要求 1范围 本文件规定了基于拟态防御的内生安全电子邮件系统技术要求，包含系统架构及其功能、性能、安 全要求.

本文件适用于基于拟态防御的内生安全电子邮件系统的研制、生产、认证和实际环境部署.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T 370022018 信息安全技术-电子邮件系统安全技术要求 YD/T 42232023 支持拟态防御功能设备总体技术指南 3术语和定义 YD/T4223-2023界定的以及下列术语和定义适用于本文件.

3. 1 拟态电子邮件系统mimice-mailsystem 将用户电子邮件请求发送至多个异构执行体进行处理，并对各响应结果进行拟态裁决给用户， 同时根据裁决结果对异常执行体进行动态调度和清洗的电子邮件系统.

3. 2 资源异构性最大化策略resourceheterogeneitymaximization strategy 为了保持执行体针对攻击响应的不一致，将请求分发给互相之间异构性最大的多个执行体的策略， 以保证裁决结果的正确性.

3.3 异构电子邮件执行体heterogeneouse-mailexecutors 功能等价的异构电子邮件服务单元，如异构的CPU、不同类型的操作系统、功能软件等.

3.4 异构电子邮件执行体池heterogeneouse-mailexecutorspool 异构电子邮件执行体的集合.

3.5 拟态分发表决器mimeticdistributionvoter 用于用户电子邮件请求动态分发、异构电子邮件执行体响应信息裁决、异构电子邮件执行体响应信 息归一、裁决异常信息上报的模块.

3. 6 指令裁决器instructionarbiter 用于异构电子邮件执行体指令裁决、指令归一化、裁决异常信息上报、指令响应信息分发的模块.

YD/TXxXXXX-XXXX 4缩略语 下列缩略语适用于本文件.

CISC 复杂指令集计算机 Complex Instruction Set Computer CPU 中央处理器 Central Processing Unit HTTP 超文本传输协议 Hyper Text Transfer Protocol IMAP 邮件获取协议 Intermet Message Access Protocol POP3 邮局协议版本3 Post Office Protocol - Version 3 RISC 精简指令集计算机 Reduced Instruction Set Computer SMTP 简单邮件传输协议 Simple Mail Transfer Protocol 5概述 拟态电子邮件系统总体架构如图1所示，按照YD/T4223-2023规范的拟态防御架构构建，在拟态功 能层面分为拟态分发表决器、异构电子邮件执行体池、负控制器以及指令裁决模块，图中拟态数据 流表示拟态电子邮件系统内裁决和清洗数据流向，业务数据流表示用户电子邮件请求和异构电子邮件执 行体响应数据流向.

-→拟态数据流 求 →业务数据流 拟态分发表决器 异构电子邮 异构电子邮 异构电子邮 件执行体1 件执行体2 件执行体n 异构电子邮 异构电子邮 异构电子邮 件执行体 件执行体2 件执行体n 子 异构电子邮 异构电子邮 异构电子邮 件执行体1 件执行体2 件执行体n 异构电子邮件执行体池 负控制器 指令裁决模块 图1拟态电子邮件系统架构图 拟态分发表决器主要功能包括用户电子邮件请求的动态分发、异构电子邮件执行体响应信息裁决、 异构电子邮件执行体响应信息归一、裁决异常信息上报功能首先将用户电子邮件请求按照资源异构性 最大化策略，动态分发至异构电子邮件执行体池中的在线异构电子邮件执行体然后对同一个请求的多 4

ICS35.030 CCS M 10 YD 中华人民共和国通信行业标准 YDXXXX.3-XXXX 网络安全产品能力评价体系第3部分：评 价方法 The capability evaluation system of cyber security products Part 3:Evaluation method 行业标准信息服务平台 （点击此处添加与国际标准一致性程度的标识） （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YDXXXX.3-XXXX 目次 前 言 III 引 言 AI 1范围 2规范性引用文件 3术语和定义.. 4安全产品评价方法说明 5安全产品成熟度评价方法 6 5.1网络安全硬件产品， 6 5.1.1第1级评价方法 6 5.1.2第2级评价方法 6 5.1.3第3级评价方法 5.1.4第4级评价方法 5.1.5第5级评价方法 5.2网络安全软件产品 5.2.1第1级评价方法 5.2.2第2级评价方法 8 5.2.3第3级评价方法 5.2.4第4级评价方法 5.2.5第5级评价方法 9 5.3网络安全服务平台 6 5.3.1第1级评价方法 5.3.2第2级评价方法 10 5.3.3第3级评价方法 10 5.3.4第4级评价方法 11 5.3.5第5级评价方法 II 6安全产品质量评价方法 6.1功能性评价方法 11 6.1.1指标要求1. 11 6.1.2指标要求2. 11 6.1.3指标要求3. 6.1.4指标要求4. 12 6.1.5指标要求5. 12 6.2性能效率评价方法 6.2.1指标要求1. 12 6.3兼容性评价方法 12 6.3.1指标要求1. 12 6.3.2指标要求2. 12 6.3.3指标要求3. 12 6.3.4指标要求4. 13
YDXXXX.3-XXXX 6.3.5指标要求5 13 6.4易用性评价方法 13 6.4.1指标要求1 6.4.2指标要求2 6.4.3指标要求3 6.4.4指标要求4 6.4.5指标要求5 6.4.6指标要求6， 6.4.7指标要求7 6.4.8指标要求8. 6.4.9指标要求9 6.4.10指标要求10， 6.5可靠性评价方法 6.5.1指标要求1.

6.5.2指标要求2 6.5.3指标要求3. 6.5.4指标要求4. 6.5.5指标要求5. 6.6安全性评价方法 6.6.1指标要求1 6.6.2指标要求2. 6.6.3指标要求3. 6.6.4指标要求4. 6.6.5指标要求5. 6.7可维护性评价方法 6.7.1指标要求1. 6.7.2指标要求2. 6.7.3指标要求3. 参考文献. 标准信息服务平台
YDXXXX.3-XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

YD/TXXXX《网络安全产品能力评价体系》计划包括通用方法和具体产品评价方法.

其中，通用 方法包括如下： 一一第1部分：概念和模型； 一一第2部分：指标要求： 一一第3部分：评价方法（本文件）； 一一第4部分：基于部署方式的安全产品测试方法； 一一第5部分：安全产品研发人员能力评价方法.

具体安全产品评价方法包括： 一第6部分：欺骗防御（蜜罐）产品评价方法； 一一第7部分：基于零信任架构的业务安全平台评价方法： 一一第8部分：威胁检测与响应产品评价方法： 一一第9部分：攻击面管理产品评价方法； 一一第10部分：企业网络安全措施验证平台评价方法： 请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院，上海观安信息技术股份有限公司，北京天融信网络安全技 术有限公司，北京神州绿盟科技有限公司，北京国泰网信科技有限公司，腾讯云计算（北京）有限责任 公司，北京边界无限科技有限公司，楚天龙股份有限公司，新华三信息安全技术有限公司、北京奇虎科 技有限公司、郑州信大捷安信息技术股份有限公司、长扬科技（北京）股份有限公司、高通无线通信技 术（中国）有限公司、北京东方通网信科技有限公司、北京创安恒宇科技有限公司、深圳信息职业技术 学院、中兴通讯股份有限公司.

本文件主要起草人孟楠、戴方芳、董悦、刘起良、沈俊霞、吴威震、鲁豫、谢江、张静、叶晓虎、 叶建伟、李欣、李元正、倪平、沈思源、王佳宁、王志红、范艳敏、柴永富、李永波、张屹、刘为华、 赵华、王江胜、陈乔、崔婷婷、安球、赵雨秋、卢忧、管明祥、游世林、高峰、马伟、刘敏、王继刚.

准信息服务平台 II1
YDXXXX.3-XXXX 引言 网络安全产品正在广泛应用于日益发展的各种业务领域，其有效的使用与网络安全防护效果有着显 著的关联，此外，市场上出现了由不同技术的组合、不同安全框架应用的安全产品.

网络安全产品分类 被进一步辞片化的细分，使得行业企业很难有效选择适用于自身业务的安全产品.

帮助行业企业提供一 套安全产品成熟度和质量评价的安全产品模型变得至关重要.

编制YD/TXXXX.XXXX《网络安全产品能力评价体系》的总体目标是推动网络安全产业高质量发 展，为网络安全技术、产品、框架和方案的创新与应用注入强有力的动能.

其定位是推动网络安全技术 创新，并助力创新技术赛道安全产品落地和应用，此外，还可以供安全产品开发方、需求方和独立评价 方单独使用.

本文件拟由以下部分组成： 一一第1部分：概念和模型.

提出了网络安全产品能力评价体系的概念和模型，明确了安全产品 成熟度、安全产品质量和安全产品能力评价体系标准框架； 一一第2部分：指标要求.

确立了网络安全产品能力评价指标要求，包括安全产品成熟度要求和 质量要求两部分： 一一第3部分：评价方法.

确立了网络安全产品能力评价方法； 一一第4部分：基于部署方式的安全产品测试方法.

提供了针对部署方式下的网络安全产品通过 第三方测试仪表测试的方法； 一一第5部分：安全产品研发人员能力评价方法.

提出了面向安全产品研发人员的知识能力、技 能能力等方面评价方法： 第6部分-第10部分：分别提出了欺骗防御（蜜罐）产品、基于零信任架构的业务安全平 台、威胁检测与响应产品、攻击面管理产品、企业网络安全措施验证平台及具有相关功能的 产品技术框架、测试检验和评价方法.

行业标准信息服务平台 AI

ICS 35.030 CCS M10 YD 中华人民共和国通信行业标准 YDXXXX.2-XXXX 网络安全产品能力评价体系第2部分：指 标要求 The capability evaluation system of cyber security products-Part 2:Indicators requirements 行业标准信息服务平台 （点击此处添加与国际标准一致性程度的标识） （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YDXXXX.2-XXXX 目次 前 阜 引 11 1范围.

2规范性引用文件， 3术语和定义.. 4评价对象， 5安全产品成熟度要求 5.1网络安全硬件产品 5.1.1第1级要求， 5.1.2第2级要求 5.1.3第3级要求 5.1.4第4级要求 5.1.5第5级要求 5.2网络安全软件产品 5.2.1第1级要求， 5.2.2第2级要求 6 5.2.3第3级要求 5.2.4第4级要求， 6 5.2.5第5级要求 5.3网络安全服务平台 6 5.3.1第1级要求 5.3.2第2级要求. 5.3.3第3级要求， 5.3.4第4级要求 5.3.5第5级要求， 6安全产品质量要求， 6.1通用部分. 6.1.1功能性要求 6.1.2性能效率要求 6.1.3兼容性要求 6.1.4易用性要求 6.1.5可靠性要求 6.1.6安全性要求， 6.1.7可维护性要求， 6.2关键部分... 附录A（资料性）基于产业视角的网络安全产品参考分类 参考文献..
YDXXXX.2-XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

YD/TXXXX《网络安全产品能力评价体系》计划包括通用方法和具体产品评价方法.

其中，通 用方法包括如下： 一一第1部分：概念和模型； 一一第2部分：指标要求（本文件）： 一一第3部分：评价方法； 一一第4部分：基于部署方式的安全产品测试方法； 一一第5部分：安全产品研发人员能力评价方法.

具体安全产品评价方法包括： 一第6部分：欺骗防御（蜜罐）产品评价方法； 一一第7部分：基于零信任架构的业务安全平台评价方法： 一一第8部分：威胁检测与响应产品评价方法： 一一第9部分：攻击面管理产品评价方法： 一一第10部分：企业网络安全措施验证平台评价方法： 请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院、上海观安信息技术股份有限公司、北京天融信网络安全 技术有限公司、腾讯云计算（北京）有限责任公司、楚天龙股份有限公司、新华三信息安全技术有限 公司、北京奇虎科技有限公司、北京神州绿盟科技有限公司、郑州信大捷安信息技术股份有限公司、 长扬科技（北京）股份有限公司、北京边界无限科技和有限公司、高通无线通信技术（中国）有限公 司、北京东方通网信科技有限公司、北京创安恒宇科技有限公司、深圳信息职业技术学院、中兴通讯 股份有限公司.

本文件主要起草人：孟楠、戴方芳、董悦、刘起良、沈俊霞、吴威震、鲁豫、谢江、张静、王奠、 倪平、曹海涛、邓君、柴永富、李永波、张屹、叶晓虎、叶建伟、刘为华、赵华、沈思源、王佳宁、 王江胜、陈乔、崔婷婷、安琪、赵而秋、卢忧、孙冲武、游世林、高峰、马伟、刘敏、王继刚.

主信息服务平台 II
YD XXXX.2-XXXX 引言 网络安全产品正在广泛应用于日益发展的各种业务领域，其有效的使用与网络安全防护效果有着 显著的关联，此外，市场上出现了由不同技术的组合、不同安全框架应用的安全产品.

网络安全产品 分类被进一步碎片化的细分，使得行业企业很难有效选择适用于自身业务的安全产品.

帮助行业企业 提供一套安全产品成熟度和质量评价的安全产品模型变得至关重要.

编制YD/TXXXX.XXXX《网络安全产品能力评价体系》的总体目标是推动网络安全产业高质量 发展，为网络安全技术、产品、框架和方案的创新与应用注入强有力的动能.

其定位是推动网络安全 技术创新，并助力创新技术赛道安全产品落地和应用，此外，还可以供安全产品开发方、需求方和独 立评价方单独使用.

本文件拟由以下部分组成： 一一第1部分：概念和模型.

提出了网络安全产品能力评价体系的概念和模型，明确了安全产品 成熟度、安全产品质量和安全产品能力评价体系标准框架； 一一第2部分：指标要求.

确立了网络安全产品能力评价指标要求，包括安全产品成熟度要求和 质量要求两部分： 一一第3部分：评价方法.

确立了网络安全产品能力评价方法； 一一第4部分：基于部署方式的安全产品测试方法.

提供了针对部署方式下的网络安全产品通过 第三方测试仪表测试的方法； 一一第5部分：安全产品研发人员能力评价方法.

提出了面向安全产品研发人员的知识能力、技 能能力等方面评价方法： 第6部分至第10部分：分别提出了欺骗防御（蜜罐）产品、基于零信任架构的业务安全平 台、威胁检测与响应产品、攻击面管理产品、企业网络安全措施验证平台及具有相关功能的 产品技术框架、测试检验和评价方法.

行业标准信息服务平台 II1
YDXXXX.2-XXXX 网络安全产品能力评价体系 第2部分指标要求 1范围 本文件确立了网络安全产品能力评价指标要求，包括安全产品成熟度要求和质量要求两部分.

本文件适用于指导网络安全产品的开发者进行产品的设计和研发，使用者进行产品选择和判断， 也适用于第三方评价者进行产品的成熟度和质量评价.

2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.

其中，注日期的引用文 件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适 用于本文件.

GB/T25069信息安全技术术语 GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用 软件产品（RUSP）的质量要求和测试细则 YD/TXXXX.1-XXXX网络安全产品能力评价体系第1部分：概念和模型 3术语和定义 GB/T25069、GB/T25000.51-2016、YD/TXXXX.1-XXXX界定的以及下列术语和定义适用于本文 件.

3.1 功能性functionality 在指定条件下使用时，产品或系统提供满足明确和隐含要求的功能的程度.

[来源：GB/T25000.51-2016，5.1.5，有修改] 3. 2 性能效率performance efficiency 与用户实现目标的准确性和完备性相应的资源消耗 [来源：GB/T25000.51-2016，5.1.6，有修改] 3. 3 兼容性patibility 在与其他产品共享通用的环境和资源的条件下，产品、系统或组件能够与其他产品、系统或组件 交换信息，和/或执行其所需的功能的程度.

[来源：GB/T25000.51-2016，5.1.7，有修改] 3. 4 易用性 accessibility

ICS35.030 CCS M10 YD 中华人民共和国通信行业标准 YD/TXXXX.1-XXXX 网络安全产品能力评价体系第1部分：概 念和模型 The capability evaluation system of cybersecurity products-Part 1:Concepts and model 行业标准信息服务平台 （点击此处添加与国际标准一致性程度的标识） （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXX.1-XXXX 目次 1范围 2规范性引用文件 3术语和定义 4缩略语 5安全产品能力评价模型 5.1安全产品成熟度评价 5.2安全产品质量评价 5.2.1通用部分 5.2.2关键部分， 参考文献.. 行业标准信息服务平台
YD/T XXXX.1-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

YD/TXXXX《网络安全产品能力评价体系》计划包括通用方法和具体产品评价方法.

其中，通 用方法包括如下： 一一第1部分：概念和模型（本文件）； 一一第2部分：指标要求： 一一第3部分：评价方法： 一一第4部分：基于部署方式的安全产品测试方法； 一一第5部分：安全产品研发人员能力评价方法.

具体安全产品评价方法包括： 一一第6部分：欺骗防御（蜜罐）产品评价方法； 一一第7部分：基于零信任架构的业务安全平台评价方法： 一一第8部分：威胁检测与响应产品评价方法： 一第9部分：攻击面管理产品评价方法； 一一第10部分：企业网络安全措施验证平台评价方法； 请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院、北京天融信网络安全技术有限公司、郑州信大捷安信息 技术股份有限公司、北京奇虎科技有限公司、徐州中国矿业大学大学科技园有限责任公司、北京神州 绿盟科技有限公司、长扬科技（北京）股份有限公司、新华三信息安全技术有限公司、腾讯云计算 （北京）有限责任公司、高通无线通信技术（中国）有限公司、楚天龙股份有限公司、北京创安恒宇 科技有限公司、上海观安信息技术股份有限公司、北京安盟信息技术股份有限公司、北京东方通网信 科技有限公司、深圳信息职业技术学院、中兴通讯股份有限公司.

本文件主要起草人：孟楠、戴方芳、董悦、刘起良、沈俊霞、查选、王、张静、刘为华、张屹、 王森、张可伦、叶晓虎、叶建伟、程璐样、赵华、柴永富、李永波、倪平、王江胜、蒋曲明、方丹、 安琪、赵雨秋、谢江、张大伟、张喜龙、陈乔、崔婷婷、卢忧，张运生、游世林、高峰、马伟、刘敏、 准信息服务平台 王继刚.

I1
YD/TXXXX.1-XXXX 引言 网络安全产品正在广泛应用于日益发展的各种业务领域，其有效的使用与网络安全防护效果有着 显著的关联，此外，市场上出现了由不同技术的组合、不同安全框架应用的安全产品.

网络安全产品 分类被进一步碎片化的细分，使得行业企业很难有效选择适用于自身业务的安全产品.

帮助行业企业 提供一套安全产品成熟度和质量评价的安全产品模型变得至关重要.

编制YD/TXXXX.XXXX《网络安全产品能力评价体系》的总体目标是推动网络安全产业高质量 发展，为网络安全技术、产品、框架和方案的创新与应用注入强有力的动能.

其定位是推动网络安全 技术创新，并助力创新技术赛道安全产品落地和应用，此外，还可以供安全产品开发方、需求方和独 立评价方单独使用.

本文件拟由以下部分组成： 一一第1部分：概念和模型.

提出了网络安全产品能力评价体系的概念和模型，明确了安全产品 成熟度、安全产品质量和安全产品能力评价体系标准框架： 一一第2部分：指标要求.

确立了网络安全产品能力评价指标要求，包括安全产品成熟度要求和 质量要求两部分： 一一第3部分：评价方法.

确立了网络安全产品能力评价方法； 一一第4部分：基于部署方式的安全产品测试方法.

提供了针对部署方式下的网络安全产品通过 第三方测试仪表测试的方法： 一第5部分：安全产品研发人员能力评价方法.

提出了面向安全产品研发人员的知识能力、技 能能力等方面评价方法： 一第6部分至第10部分：分别提出了欺骗防御（密罐）产品、基于零信任架构的业务安全平 台、威胁检测与响应产品、攻击面管理产品、企业网络安全措施验证平台及具有相关功能的 产品技术框架、测试检验和评价方法.

行业标准信息服务平台 II1
YD/TXXXX.1-XXXX 网络安全产品能力评价体系 第1部分：概念和模型 1范围 本文件提出了网络安全产品能力评价体系的概念和模型，明确了安全产品成熟度、安全产品质量 和安全产品能力评价体系标准框架.

本文件适用于指导和规范网络安全产品能力评价工作开展和评价体系的构建.

2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.

其中，注日期的引用文 件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适 用于本文件.

GB/T25069信息安全技术术语 GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用 软件产品（RUSP）的质量要求和测试细则 3术语和定义 GB/T25069、GB/T25000.51-2016界定的以及下列术语和定义适用于本文件.

3. 1 技术就绪水平techinology readiness level scale;TRLS 网络工作分解单元的技术成熟程度.

3. 2 就绪可用网络安全产品readytousecybersecurityproducts 无论是否付费，任何用户可以不经历开发活动就能获得的具有安全能力的价值交付物或安全运营 平台.

其形态可以是具备安全能力的独立形态的硬件、软件、云服务等多种形式，也可以是某个系统 或平台的安全接口、组件、模块、分/子系统等形式.

[来源：GB/T25000.51-2016 4.1.6，有修改] 注：在本文件中可简称为“网络安全产品”或“安全产品” 3. 3 网络安全产品成熟度cyber security products maturity 评价和度量安全产品研发所处发展状态的量化标准，它反映了安全产品对于预期应用目标的满足 程度.

注：在本文件中，网络安全产品成熟度简称为“安全产品成熟度”.

3. 4 网络安全产品质量cyber sccurity products quality 在规定条件下使用时，网络安全产品满足功能、性能、易用性、安全性等产品质量属性的能力.

注：在本文件中，网络安全产品质量简称为“安全产品质量”.

ICS 35.040 CCS L 71 YD 中华人民共和国通信行业标准 YD/TXXXX=202X 物联网标识解析安全技术要求 Security technical requirements of Internet of things identifier resolution 报批稿 行业标准信息服务平台 发布 -实施 中华人民共和国工业和信息化部 发布
YD/T XXXX=202X 目次 前 言 III 1范围 2规范性引用文件 3术语和定义 4缩略语， 5概述 5.1物联网标识解析体系安全架构 5.2安全目标 5.3安全分级 6风险评估流程 6.1风险评估流程 6.2风险评估准备 6.3风险识别 6.4风险分析 6.5风险评估 6.6风险评估文档记录 7基础级安全技术要求， 7.1设备访问控制安全技术要求 6 7.1.1物理安全要求. 6 7.1.2设备安全要求 6 7.1.3访问控制要求 6 7.1.4网络控制要求 6 7.1.5密钥管理要求 6 7.2网络安全边界控制技术要求 6 7.2.1区域边界安全控制要求 7.2.2不同层面的安全关卡设置要求 6 7.2.3区域内架设安全监控体系要求 7.2.4网络安全边界行为跟踪审计， 7.3系统安全防护技术要求... 7.4对编码数据的安全访问、解析、存储要求 7.4.1编码数据访问安全要求， 7.4.2编码数据解析与存储安全要求 7.4.3行为安全要求.... 8增强级安全技术要求， 8.1设备访问控制安全技术要求 8.1.1物理安全要求 8.1.2设备安全要求 8.1.3访问控制要求
YD/T XXXX=202X 8.1.4网络控制要求 8.1.5密钥管理要求.. 8.2网络安全边界控制设计技术要求 8.2.1区域边界安全控制要求 8.2.2不同层面的安全关卡设置要求 8.2.3区域内架设安全监控体系要求 8.2.4网络安全边界行为跟踪审计 8.3系统安全防护技术要求... 8.4对编码数据的安全访问、解析、存储要求 参考文献...... 行业标准信息服务平台
YD/TXXXX=202X 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位西安邮电大学、中国信息通信研究院、中国信息通信科技集团有限公司、陕西省 信息化工程研究院、中国移动通信集团有限公司、北京奇虎科技有限公司、北京天融信网络安全技术有 限公司、中兴通讯股份有限公司、郑州信大捷安信息技术股份有限公司、深圳市柏特瑞电子有限公司.

本文件主要起草人韩刚、刘武英、张勇、张祺琪、刘为华、刘献伦、周继华、宋文文、张屹、孙 敏、雷宗华、万晓兰、杨静云、刘攀岩.

行业标准信息服务平台 II1
YD/T XXXX=202X 物联网标识解析安全技术要求 1范围 本文件规定了物联网标识解析体系的安全架构、风险评估流程、设备访问控制、网络安全边界控制、 系统安全和编码解析的安全要求.

本文件适用物联网标识解析相关系统或产品的设计、开发、运行、维护、管理等.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T20984-2022信息安全技术信息安全风险评估方法 GB/T25069-2022信息安全技术术语 GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求 GB/T29246-2017信息技术安全技术信息安全管理体系概述和词汇 GB/T33132-2016信息安全技术信息安全风险处理实施指南 GB/T33745-2017物联网术语 GB/T35281-2017信息安全技术移动互联网应用服务器安全技术要求 GB/T37093-2018信息安全技术物联网感知层接入通信网的安全要求 GB/T37032-2018物联网标识体系总则 GB/T38660-2020物联网标识体系Ecode标识系统安全机制 3术语和定义 术语和定义适用于本文件.

R 3. 1 物联网Internetof things 通过感知设备，按照约定协议，连接物、人、系统和信息资源，实现对物理和虚拟世界的信息进行 处理并做出反应的智能服务系统.

[来源：GB/T33745-20172.1.1] 3. 2 标识解析identifierresolution 在计算机科学和信息技术领域中，对一个给定的标识符进行分析和处理的过程，以确定该标识符所 指向的具体对象或资源.

这个过程通常涉及到在一个系统或网络中查找和确认标识符所代表的实体，比

ICS: 33.040.40 CCS:L 80 YD 中华人民共和国通信行业标准 YD/TXXXX=202X 城市公共基础设施运行保障信息化平台 安全技术要求 Technicalrequirementsforthesecurityoftheinformationplatformtoguarantee theoperationofurbanpublicInfrastructure 行业标准信息服务平台 202×-××-××发布 202X-XX-XX实施 中华人民共和国工业和信息化部发布
行业标准信息服务平台
YD/T XXXX-202X 目次 前 言 I 1范围... 2规范性引用文件 3术语和定义. 4缩略语.. 5概述.. 6平台安全要求. 6.1平台管理系统安全要求.

6.1.1身份鉴别.. 6.1.2访问控制.. 6.1.3软件安全要求， 6.1.3.1入侵防范.... 6.1.3.2数据库的安全要求. 6.1.3.3服务中间件的安全要求. 6.2数据安全要求...... 6.2.1密码应用安全要求.. 6.2.2数据分级..... 6.2.3数据传输的安全要求. 6.2.4数据存储的安全要求. 6.2.5数据开放共享的安全要求. 6.2.6个人隐私信息保护. 6.3通信网络安全要求. 6.3.1通信网络... 6.3.2通信协议安全要求 6.3.3通信会话安全要求 6.4物理安全要求.... 6.4.1物理位置选择.. 6.4.2物理访问控制.. 6.4.3设备防盗窃和防破坏. 6.4.4设备防雷击，防静电.

6.4.5设备防火、防水和防潮. 6.4.6电力供应与电磁防护 6.4.7感知终端物理防护. 6.4.8扩展要求... 7平台运维的安全要求.

7.1设备维护管理.. 7.2感知终端管理.

7.3安全漏洞管理.

7.4安全事件处置.

7.5安全审计. 7.6集中管理.
YD/T 0153-2023 附录A（资料性）关于用户分级分类参考 参考文献... 行业标准信息服务平台
YD/TXXXX-202X 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草.

请注意本文件中某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中兴通讯股份有限公司，深圳市城市交通规划设计研究中心股份有限公司，中国 联合网络通信集团有限公司，中国信息通信研究院，中国电信集团有限公司，中国移动通信集团有限公 司、郑州信大捷安信息技术股份有限公司.

本文件主要起草人欧中建、陈建明、贾磊、林涛、周子益、游世林、刘敏、王继刚、邓芳伟、安 茹、张晗、高枫、谢泽铺、杨红梅、董航、董悦、沈军、庄小君、齐晏鹏、黄晓婷、刘畅、刘献伦、刘 为华、覃金庆、曾豪圣、倪艺洋、周近、王玉玺、葛传楠.

行业标准信息服务平台 I11

ICS35.030 CCS L70 YD 备案号 中华人民共和国通信行业标准 YD/TXXXX-XXXX 车路协同通信密码应用技术要求 Technicalrequirements for cryptographic applications of vehicle road collaboration munication （报批稿） 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXX-XXXX 目次 10抗重放 附录A（资料性）车路协同通信典 参考文 献 行业标准信息服务平台
YD/TXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位郑州信大捷安信息技术股份有限公司、中国信息通信研究院、国家工业信息安全 发展研究中心、中国信息通信科技集团有限公司、中国移动通信集团有限公司、上海蔚来汽车有限公司、 国汽（北京）智能网联汽车研究院有限公司、西安邮电大学、清华大学、北京天融信网络安全技术有限 公司、北京百度网讯科技有限公司、高新兴科技集团股份有限公司、无锡物联网创新中心有限公司、深 圳信息通信研究院、北京启明星辰信息安全技术有限公司.

本文件主要起草人：刘为华、房骥、李晨肠、张宁、赵爽、孙娅革、徐晖、房家奕、梁承志、刘献 伦、李鑫、康亮、丰诗朵、周成胜、郭茜、孙敏、李莉、刘建行、张勇、朱志祥、何亮、潘士霖、安高 峰、孙科、潘政伟、吴冬升、曾少旭、董接莲、章军辉、庄宝森、韩惠、高岑、靳涛、司华超、李顶占、 郭俊杰、吴永飞、王战胜、彭金辉、刘武忠、蒋发群、陈荆花.

行业标准信息服务平台 I1
YD/T XXXX-XXXX 车路协同通信密码应用技术要求 1范围 本文件规定了车路协同直连通信密码应用的技术要求，包括基础要求和真实性、机密性、完整性、 不可否认性、抗重放方面的密码应用技术要求.

本文件适用于车载通信单元、路侧单元的车路协同直连通信密码应用的设计、研发、运行及测试等.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T25069信息安全技术术语 GB/T32915信息安全技术二元序列随机性检测方法 GB/T37092信息安全技术密码模块安全要求 GM/T0008安全芯片密码检测准则 YD/T3957基于LTE的车联网无线通信技术安全证书管理系统技术要求 3术语和定义 GB/T25069、YD/T3957界定的以及下列术语和定义适用于本文件.

3. 1 机密性confidentiality 保证信息不被泄露给非授权实体的性质.

[来源：GB/T 39786-2021 3.1] 3. 2 完整性integrity 数据没有遭受以非授权方式所作的改变的性质.

[来源：GB/T39786-2021，3.2，有修改（名称由”数据完整性”修改为”完整性”）] 3. 3 真实性authenticity 一个实体是其所声称实体的这种特性.

真实性适用于用户、进程、系统和信息之类的实体.

[来源：GB/T 397862021 3.3] 3. 4 不可否认性non-repudiation 证明一个已经发生的操作行为无法否认的性质.

YD/TXXXX-XXXX [来源：GB/T 397862021 3.4] 3.5 重放攻击replayattack 一种主动攻击方法，攻击者通过记录通信会话，并在以后某个时刻重放整个会话或者会话的一部分.

[来源：GM/Z 40012013 2.6] 3.6 基本安全消息 basic safety message 汽车通过直连通信接口等向外部实体广播发送汽车安全消息.

[来源：YD/T 3709-2020 5.2.2.1] 3. 7 路侧交通消息roadsideinformation 由路侧单元广播，向周围汽车发布的交通事件信息以及交通标志信息.

[来源：YD/T 3709-2020 5.2.2.3] 3.8 路侧安全消息roadsidesafety message 由路侧单元广播，向周围汽车发布的周边交通参与者的实时状态信息.

[来源：YD/T3709-2020 5.2.2.4] 3.9 信号灯相位与配时消息signalphaseandtimingmessage 由路侧单元广播，向周围汽车发布的一个或多个路口信号灯的当前状态信息.

[来源：YD/T3709-2020 5.2.2.5] 4概述 本文件中车路协同通信是指车载通信单元和路侧单元/车载通信单元之间的直连通信，通过直接信 息传递实现车路/车车的有效协同.

车路协同通信密码应用需求主要包括车路协同通信实体身份和数据来源的真实性、通信消息的完 整性、通信消息的机密性、通信行为的不可否认性、通信消息的抗重放攻击.

需求说明如下： a）车路协同通信实体身份和数据来源的真实性保护需求 车路协同通信中，车载通信单元、路侧单元需实现身份真实性保护，以应对通信实体面临的身份仿 冒风险，避免非法用户以假冒的身份进行车路协同通信.

对于车路协同通信中发送的数据需要进行来源真实性保护，避免数据被伪造.

b）车路协同通信消息的机密性保护需求 车路协同通信中需实现数据的机密性保护，以应对通信过程中的数据和隐私泄露风险.

智能网联汽 车侧的行车数据，涉及车辆状况、行车轨迹等个人信息.

车路协同通信实体发出的信息在传输过程中， 如果缺乏机密性保护，则可能被非授权的第三方获取、恶意利用从而对个人、行业造成损害.

c）车路协同通信消息的完整性保护需求 2

ICS 35.030 CCS L70 YD 中华人民共和国通信行业标准 [××××]-[×××××]1/0 C-V2X车联网认证授权系统技术要求 Technicalrequirement ofauthentication andauthorization system for C-V2Xvehicular munication （报批稿） 行业标准信息服务平台 [××××]-[××]-[××]发布 [××××]-[××]-[××]实施 中华人民共和国工业和信息化部发布
YD/Txxxxxxxxx 目次 前 C-V2X车联网认证授权系统技术要求. 1范围. 1 2规范性引用文件. 3术语和定义， 4缩略语.. ..1 5V2X设备认证授权系统概述， 5.1概述 .2 5.2参考模型.. .2 5.3参考点， 4 6V2X设备认证授权系统安全要求 .4 6.1概述.... 6.2C-V2X消息安全要求. .4 6.2.1机密性要求.

6.2.2完整性要求. 4 6.2.3认证要求 -.4 6.2.4抗重放攻击要求 .s 6.2.5隐私保护要求.. 7V2X设备认证， . 7.1概述， ..5 7.2基于EAP的V2X设备统一认证框架 ..5 7.2.1概述... 7.2.2设备标识， ..6 7.2.3功能实体， . 7.2.4逻辑接口 ..7 7.2.5V2X设备注册流程. .. 7.2.6V2X设备统一认证流程.. ...8 7.2.7接口和参数说明 .12 7.3基于VIM的V2X设备认证， .12 7.3.1概述 ..12 7.3.2VIM初始化流程. ..13 7.3.3认证流程... ..13 7.3.4VIM操作相关... ..14 7.4基于GBA的V2X设备认证机制 ...17 7.4.1概述. .17 7.4.2认证及授权流程 .17
YD/Txxxxxxxxx 8V2X设备服务授权 .19 8.1概述.. .19 8.2V2X服务授权流程. .19 8.3接口和参数说明 .20 8.3.1V2X服务实体与V2X授权实体之间的接口和参数说明. .20 附录A（资料性附录）C-V2X车联网认证授权系统接口的数据格式 .20 A.1概述. .20 A2基本数据类型 .20 A.3AAAS 中的 PDU.. .22 附录B（资料性附录）VIM算法函数及算法示例.

.29 B.1概述 .29 B.2算法函数 .29 B.3认证指令 .30 B.4算法示例 .31 行业标准信息服务平台 11
YD/Txxxxxxxxx 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》给出的 规则起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信科技集团有限公司、中国信息通信研究院、中国移动通信集团有 限公司、国汽（北京）智能网联汽车研究院有限公司、华为技术有限公司、东软集团股份有限公司、 大众汽车（中国）投资有限公司、哈尔滨工程大学、郑州信大捷安信息技术股份有限公司、中交资产 管理有限公司、北京信长城科技发展有限公司、深信服科技股份有限公司、中汽数据（天津）有限公 司.

本文件主要起草人：周巍、陈山枝、田野、关云涛、梁承志、于润东、房骥、葛雨明、郭美英、 房家奕、刘建行、吴志明、潘凯、李月华、丁杰、部冲、杨行、王桐、刘为华、刘献伦、康亮、孙德 彬、刘继灵、沈猛、刘鹏、孔勇、张文翠.

行业标准信息服务平台
YD/Txxxxxxxxx C-V2X车联网认证授权系统技术要求 1范围 本文件规定了C-V2X车联网设备认证授权系统技术要求，包括系统架构、V2X设备认证与授权系统 安全要求、V2X设备认证和V2X设备授权过程.

本文件适用于指导C-V2X车联网设备认证授权系统的设计、研发、测试、应用和部署等.

2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.

其中，注日期的引用文 件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适 用于本文件.

GB/T16262（部分）信息技术抽象语法记法一（ASN.1） GB/T25069信息安全技术术语 YD/T3957-2021基于LTE的车联网无线通信技术安全证书管理系统技术要求 IETF RFC 3748可扩展认证协议（Extensible Authentication Protocol（EAP)) ISO/IEC8825-7信息技术抽象语法记法一（ASN.1）编码规则第7部分八位字节编码规则（0ER) ( Information technology -- ASN. 1 encoding rules: Specification of Octet Encoding Rules (OER)) 3GPP TS 33.220通用认证架构：通用引导架构（Generic Authentication Architecture (GAA) : Generic Bootstrapping Architecture (GBA)) GSMA FS.48基于通用认证架构证书配置指南（Guidelines for GBA Based Certificate Provisioning) 3术语和定义 3. 1 安全关联security associations 实现V2X设备与V2X服务实体之间的双向认证，并在两者之间建立安全通道的关联方式.

建立的安 全关联可以是HTTPS、TLS/TLCP、IPSec等.

下列缩略语适用于本文件.

AAA 认证授权机构 Authentication and Authorization Authority