ICS35.030 CCS L 70 YD 中华人民共和国通信行业标准 XX XXXXX-XXXX 电信和互联网行业网络运营者 漏洞管理平台技术要求 Technical requirements for tele and Internet industry network operator vulnerability management platform 行业标准信息服务平台 （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
XxX xxxxX-xxXX 目次 前 言 I 1范围 2规范性引用文件 3术语和定义... 4漏洞管理平台概述 5 平台功能要求 5.1漏洞接收， 5.1.1漏洞接收渠道 5.1.2漏洞接收方式 5.1.3漏洞信息接收规范 3 5.1.4漏洞接收 5.2漏洞验证 5.3漏洞预警 5.4漏洞处置 5.5漏洞复测 5.6漏洞信息管理 6平台接口要求 6.1数据共享要求 6.2接口格式要求 6.3接口安全要求 5 7安全管理要求 5 7.1用户标识... 7.1.1属性定义 7.1.2属性初始化 7.1.3唯一性标识 7.2身份鉴别... 5 7.2.1鉴别数据初始化 7.2.2鉴别失败处理 7.3安全审计.... 7.3.1审计数据生成 7.3.2审计记录管理 7.4数据安全.... 附录A（资料性）网络资产分类 参考文献...
XXxxxxX-xxXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院，中国电信集团有限公司、中国移动通信集团有限公司、 中国联合网络通信集团有限公司.

本文件主要起草人：孟楠、戴方芳、石悦、杨刚、董航、张峰、徐一、呼博文、王井龙、徐积森、 陈盼盼.

行业标准信息服务平台 II
XXxxxxX-xxXX 行业标准信息服务平台 II1
xX xxxxX-xxXx 电信和互联网行业网络运营者漏洞管理平台技术要求 1范围 本文件规定了电信网和互联网行业网络运营者漏润管理平台的功能要求、接口要求以及安全管理 要求.

本文件适用于电信网和互联网行业网络运营者漏润管理平台.

2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.

其中，注日期的引用文 件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适 用于本文件.

GB/T25069-2022信息安全技术术语 YD/T3803-2020电信网和互联网资产安全管理平台技术要求 3术语和定义 GB/T25069-2022界定的以及下列术语和定义适用于本文件.

3. 1 网络运营者network operator 网络的者、管理者和网络服务提供者，包括基础电信企业集团公司、基础电信企业省分公司、 基础电信企业专业公司、增值电信企业一二级机构（有关行业关键信息基础设施运营者）等.

3. 2 网络资产networkasset 构成信息系统的软件、硬件、服务等IT和loT类资源的集合，是安全机制保护的对象，例如网络 产品、安全产品、物联网设备、办公外设，企业应用、系统软件、支撑系统，详细分类见附录A.

3. 3 产品漏洞monvulnerability 通用脆弱性描述，包括漏洞信息、受影响资产类型范围、危险等级、修复建议等内容.

3. 4 系统漏洞instance vulnerability 具备通用漏洞属性数据，以及关联到资产对象后具体资产实例维度信息的漏洞.

3.5 漏洞接收vulnerabilityreception 接收漏洞信息的过程.

3. 6 漏洞验证vulnerability verification 对漏洞的存在性、等级、类别、影响程度等进行技术验证的过程.

ICS35.020 CCS L 04 YD 中华人民共和国通信行业标准 YD/TXXXX-20XX 工业互联网边缘计算平台安全防护要求 Security protectionrequirementsfor industrial Internet edge puting platform 行业标准信息服务平台 报批稿 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发 布
YD/T XXXX-202X 目次 前 III 1.范围. 2.规范性引用文件. 3.术语和定义 4.缩略语. 5.概述... 5.1.工业互联网边缘计算平台架构. 5.2.工业互联网边缘计算平台安全架构. 5.3.工业互联网边缘计算平台安全防护范围. 6.工业互联网边缘计算平台安全防护要求. 6.1.边缘节点安全防护要求. 6.1.1.设备安全防护要求， 6.1.2.虚拟机安全防护要求 6.1.3.操作系统安全防护要求 6.1.4.容器安全防护要求， 6.1.5.微服务组件安全防护要求 6.2.网络安全防护要求. U 6.2.1.架构安全 11 6.2.2.访问控制， 11 6.2.3.安全审计 12 6.2.4.通信安全.. 12 6.2.5.恶意代码防范. 6.2.6.网络安全监测和入侵防范 12 6.3.应用安全防护要求. 13 6.3.1.安装与卸载安全 13 6.3.2.应用清单管理安全 13 6.3.3.身份鉴别， 6.3.4.访问控制. 6.3.5.安全审计.

14 6.3.6.运行安全， 6.4.云边互联安全防护要求.

6.4.1.身份鉴别， 6.4.2.访问控制.

6.4.3.传输安全.

6.4.4.接口防护 15
YD/TXXXX-202X 6.4.5.云边协同. 15 6.5.数据安全保护要求. 15 6.6.安全管理要求. 6.6.1.环境管理. 15 6.6.2.资产管理， 6 6.6.3.安全审计.

6 6.6.4.配置管理.

16 6.6.5.软件加固. 6.6.6.安全事件及应急管理， 参考文献..... 行业标准信息服务平台
YD/TXXXX-202X 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院、中国移动通信集团有限公司、亚信科技（成都）有限公 司、北京天融信网络安全技术有限公司、上海宝信软件股份有限公司、新华三技术有限公司、郑州信大 捷安信息技术股份有限公司、北京神州绿盟科技有限公司、中通服咨询设计研究院有限公司、中国联合 网络通信集团有限公司、中衡特尔维检测技术（北京）有限公司、河钢数字技术股份有限公司、本溪钢 铁（集团）信息自动化有限责任公司、深圳市天工测控技术有限公司、杭州优云科技股份有限公司.

本文件主要起草人章永春、李艺、程妍、董悦、柯皓仁、刘晓曼、李宝强、董耀聪、于乐、庞勇、 马霄、安高峰、王斌斌、万晓兰、刘献伦、刘为华、李鑫、王晓鹏、尹雅伟、范敦球、王小鹏、苏俐竹、 刘伟、蔡丽丽、申培、冯洪江、高永亮、杨永辉.

行业标准信息服务平台 I11
YD/T XXXX20XX 工业互联网边缘计算平台安全防护要求 1.范围 安全、云边互联安全、数据安全、安全管理方面的要求.

本文件适用于工业互联网边缘计算平台，为工业互联网边缘计算平台的建设、运营和维护提供参考 依据.

2.规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

YD/T3865工业互联网数据安全保护要求 3.术语和定义 下列术语和定义适用于本文件 3. 1. 工业互联网边缘计算平台industrialInternetedgeputingplatform 位于网络边缘侧（即工业生产现场、工业设备接入点或工业园区内部），向下连接多个现场设备、 机床或产线，向上连接工业互联网平台协作，内部包括边缘服务器、边缘网关、边缘控制器等中的一个 或多个设备，面向工业场景应用提供基本能力和工业能力的低延时、轻量化的计算和存储平台.

3. 2. 边缘节点edge putingnode 边缘网关、边缘控制器、边缘云等具有数字化、网络化、智能化的共性特点，在边缘计算中提供网 络、计算、存储等ICT资源的物理设备.

[来源：YD/TXXXX-2024工业互联网边缘计算总体架构与要求，3.1.3] 3. 3. 边缘服务器edge server 位于网络边缘侧，向上连接工业互联网平台，向下连接边缘网关或边缘控制器，提供连接管理、数 据管理、应用管理功能的低延时、轻量化的服务器，也称作边缘云.

3. 4. 边缘网关edge gateway 用于局域网范围的时间同步，按需保证生产单元或者设备维度的精准交互.

通过网络连接、协议转 换等功能连接物理和数字世界，提供轻量化的连接管理、实时数据分析及应用管理功能的网关.

ICS 33. 060. 99 M 36 D 中华人民共和国通信行业标准 YD/TxxxX-xxxx 移动智能终端人工智能应用的个人信息保 护技术要求及评估方法 Technical requirements and evaluation methods for personal information protection of Mobile smart terminals’AI application 行业标准信息服务平台 （报批稿） x×××-××-××发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部发布
行业标准信息服务平台
YD/TXXXX-XXXX 目次 前 言.. 1范围... 2规范性引用文件. 3术语、定义.

3.1术语和定义.. 4缩略语... 2 5移动智能终端人工智能应用个人信息概述 2 5.1个人信息分类.， 5.2基本原则. 3 5.3个人信息处理环节， 6移动智能终端人工智能应用的个人信息保护技术要求... 4 6.1个人信息的采集 4 6.2个人信息的训练 6.3个人信息的分析.

6.4个人信息的存储.

6 6.5个人信息的转移. 7 6.6个人信息的共享与转让. 8 6.7个人信息的披露.

6.8个人信息的删除. 6” 7移动智能终端人工智能应用的个人信息保护评估方法， 6 7.1评估判定准则... 7.2个人信息的采集.

7.3个人信息的训练 12 7.4个人信息的分析.. 13 7.5个人信息的存储. 14 7.6个人信息的转移.

19 7.7个人信息的共享与转让. 21 7.8个人信息的披露.

23 7.9个人信息的删除 24 参考文献.. 25
YD/TXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》 的规定起草.

本文件由中国通信标准化协会提出并归口.

请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任.

本文件起草单位中国信息通信研究院，华为技术有限公司，北京小米移动软件有限公司， OPPO广东移动通信有限公司，维沃移动通信有限公司，北京百度网讯科技有限公司，北京奇 虎科技有限公司、北京三星通信技术研究有限公司、郑州信大捷安信息技术股份有限公司.

本文件主要起草人：刘陶、傅山、吴怡、宁华、杨萌科、武林娜、杜云、王艳红、衣强、 常新苗、王江胜、吴越、贾科、姚一楠、黄天宁、吴月升、刘献伦、陈鑫爱、周飞、李京典、 李可心 行业标准信息服务平台
YD/T xXXX-XXXX 移动智能终端人工智能应用的个人信息保护技术要求及评估 方法 1范围 本文件规定了移动智能终端人工智能应用的个人信息保护技术要求和评估方法，提出了移 动智能终端人工智能应用的个人信息保护基本原则，定义了产业链各方在个人信息保护中的角 色和职责，规范了人工智能业务所涉个人信息的类型，结合各类信息特点，对相应类型的个人 信息保护提出技术要求和对应的评估方法.

本文件适用于移动智能终端人工智能应用的个人信息保护的设计、开发以及安全评测.

个 别条款不适用于特殊行业、专业应用，其他类型终端产品的人工智能应用也可参考使用.

2规范性引用文件 下列文件对于本文件的应用是必不可少的.

凡是注日期的引用文件，仅所注日期的版本适 用于本文件.

凡是不注日期的引用文件，其最新版本（包括的修改单）适用于本文件.

GB/T25069-2010信息安全技术术语 GB/T35273-2020信息安全技术个人信息安全规范 YD/T2407移动智能终端安全能力技术要求 3术语、定义 3.1术语和定义 GB/T25069-2010、GB/T35273-2020、YD/T2407中界定的以及下列术语和定义适用于本 文件.

3. 1. 1 移动智能终端smartmobileterminei 能够接入移动通信网，具有能够提供应用软件开发接口的操作系统，具有安装、加载和运 行应用软件能力的终端.

服务 [YD/T2407移动智能终端安全能力技术要求，定义3.1.1] 3.1.2 人工智能Artificial Intelligence 能以人类智能（如推理和学习）相似的方式做出反应的计算机程序，包括语音识别、图像 识别、自然语言处理和专家系统等.

3.1.3 人工智能应用ArtificialIntelligence application 3

ICS 33. 060. 99 CCS M30 YD 中华人民共和国通信行业标准 [××××]-[×××××]1/0 [代替YD/T] 5G移动通信网络切片安全技术要求 Technical requirement on 5G network slicing security [点击此处添加与国际标准一致性程度的标识] （报批稿） 行业标准信息服务平台 [××××]-[××]-[××]发布 [××××]-[××]-[××]实施 中华人民共和国工业和信息化部发布
行业标准信息服务平台
YD/T×X×X-XXXX 目次 前 1范围 2规范性引用文件 3术语与定义 4缩略语. 5概述... 65G网络切片的安全要求 6.1网络切片实例和终端用户之间的安全要求 6.2网络切片管理安全要求 6.3切片隔离要求. 6.4增强切片安全要求. 75G网络切片准入控制 7.1通用要求. 7.2用于控制最大UE数目的网络切片准入控制， 7.3网络切片最大PDU会话数的准入控制. 7.4漫游场景下的网络切片准入控制 7.5NF网络切片的状态通知和报告给消费者网络功能 7.6支持EPC网络切片准入控制与EPC交互.

8基于签约限制的同时注册网络切片. 8.1通用要求， 8.2UE和UE配置. 9AF获取切片配额信息的授权 9.1概述........ 9.2订阅/取消订阅NSACF的通知服务的流程， 信息服务平台
YD/TXXXX-XX×X 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信科技集团有限公司、中国移动通信集团有限公司、中国信息通信 研究院、华为技术有限公司、上海诺基亚贝尔股份有限公司、中兴通讯股份有限公司、中国电信集团 有限公司、北京东方通网信科技有限公司、金砖国家未来网络研究院（中国深圳）.

本文件主要起草人：徐晖、齐是鹏、胡力、袁琦、杨红梅、平静、吴荣、沈军、游世林、崔婷 婷、王信龙.

行业标准信息服务平台 II
YD/T×X×X-XXXX 5G移动通信网络切片安全技术要求 1范围 本文件规定了5G移动通信网络切片安全技术要求，包括5G网络切片的安全要求、5G网络切片准入 控制、基于签约限制的同时注册网络切片、AF获取切片配额信息的授权.

本文件适用于5G移动通信网络切片的管理、部署和应用.

2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.

其中，注日期的引用文 件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适 用于本文件.

YD/T3628-20195G移动通信网安全技术要求 YD/T3973-20215G网络切片端到端总体技术要求 YD/T4277-20235G移动通信网核心网网络切片增强技术要求（第一阶段） YD/TXXXX-XXXX5G移动通信网安全技术要求（第二阶段） 3GPP TS 23.501 5G系统架构（System Architecture for the 5G System:Stage 2) 3GPP TS 23.502 5G系统流程（Procedures for the 5G System;Stage 2) 3GPP TS 33.501 5G系统安全架构与过程（Security architecture and procedures for 5G System) 3术语与定义 下列缩略语适用于本文件.

AF 应用功能 Application Function AMF 接入和移动性管理功能 Access and Mobility Function eMBB 增强的移动宽带 Enhanced Mobile Broadband mloT 海量物联网 Massive Internet of Things NSAC 网络切片准入控制 Network Slice Admission Control NSACF 网络切片准入控制功能 Network Slice Admission Control Function NSSAI 网络切片选择辅助信息 Network Slice Selection Assistance Information PDU 协议数据单元 Protocol Data Unit PGW-C PDN网关-控制面 PDN Gateway-Contro1 SMF 会话管理功能 Session Management Function

ICS 35. 110 CCS M 11 YD 中华人民共和国通信行业标准 YD/TXXXX-202X 网络空间安全仿真网络数据支撑平台技术 要求 行业标准信息服务平台 （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
行业标准信息服务平台
YD/TXXXX202X 目次 前 范围 2规范性引用文件 3术语和定义. 4缩略语. 5总体功能框架.. 6数据存储与共享技术要求. 6.1数据存储规则 6.2集中式数据存储. 6.3分布式数据存储. 6.4数据共享. 7数据分析技术要求. 7.1离线计算分析. 7.2实时计算分析. 7.3分析算法管理.

8平台扩展性技术要求. 9平台可用性技术要求. 行业标准信息服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位中国电信集团有限公司、鹏城实验室、湖南星汉数智科技有限公司、中国联合网 络通信集团有限公司、广州大学网络空间先进技术研究院、哈尔滨工业大学（深圳）.

本文件主要起草人邓晓东、王帅、李冠道、金华敏、张昊迪、曾球、陈敏、黄九鸣、陈晖、杜海 燕、陈璐、刘伟、李树栋、韩伟红、贾焰、陶莎.

行业标准信息服务平台 Ⅱ
YD/T XXXX202X 网络空间安全仿真网络数据支撑平台技术要求 1范围 本文件规定了网络空间安全仿真网络数据支撑平台的总体技术要求，包括数据存储与共享技术要求、 数据分析技术要求、平台扩展性技术要求、平台可用性技术要求.

本文件适用于网络空间安全仿真数据支撑平台的设计、开发和应用.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T35295-2017信息技术大数据术语 3术语和定义 GB/T35295-2017界定的以及下列术语和定义适用于本文件.

3. 1 网络数据支撑平台cyber data supportplatform 向网络空间安全仿真环境提供安全仿真数据存储、共享、分析技术支撑的平台.

4缩略语 下列缩略语适用于本文件.

AP1 应用程序接口 Appiication Programming Interface CPU 中央处理器 Central Processing Unit DNS 域名系统 Domain Nane Systen FTP 文件传输协议 File Transfer Protocol HTTP 超文本传输协议 Hyper TextTransfer Protoeol 0LAP 联机事务处理 Online Analytical Processing SFTP 安全文件传输协议 Secure File Transfer Protocol 5总体功能框架 网络数据支撑平台由数据存储与共享、数据分析功能模块构成，总体功能框架见图1.

ICS 35.030 YD CCS M 10 中华人民共和国通信行业标准 YD/TXXXX-202X 基于x86的数据中心服务器虚拟化安全技 术要求 Security technical requireiments for virtualization of data center server based on x86 标准信息服务平台 2020-xx-xx发布 2020-xx-xx实施 中华人民共和国工业和信息化部发布
行业标准信息服务平台
YD/T XXXX-XXXX 目次 前 言 1范围.... 2规范性引用文件 3术语和定义. 4缩略语.. 5服务器虚拟化概述 .2 5.1服务器虚拟化系统架构. 5.2服务器虚拟化安全技术框架 6宿主机安全技术要求 4 6.1身份认证 .4 6.2访问控制 .4 6.3安全配置. 4 6.4宿主机内通信 .5 7虚拟机安全技术要求. .5 7.1账号和权限.

.5 7.2访问控制 .5 7.3系统更新， .5 7.4安全管理， ..5 7.5安全隔离. .6 7.6业务连续性.

7.7安全审计. ..6 7.8虚拟存储... 8虚拟化网络安全技术要求. 8.1网络架构. 8.2网络隔离 7 8.3网络配置. 8.4虚拟化网络安全防护 9虚拟化管理系统安全技术要求. .7 9.1用户认证 9.2授权管理. .8 9.3安全审计.. .8 9.4虚拟机管理 .8 9.5传输安全. 9.6安全监控..
行业标准信息服务平台
YD/TXXXX-XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本标准由中国通信标准化协会提出并归口.

本标准起草单位：中国电信集团有限公司.

本标准主要起草人：陈军，郭雪松，陈大北，熊子晗，张鉴.

行业标准信息服务平台

ICS 33.020 CCS M21 YD 中华人民共和国通信行业标准 YD/TXXXX-XXXX 区块链安全指标要求与测试方法 Blockchain-security index requirements and testing methods 行业标准信息服务平台 （报批稿） xxxx-xx-xx发布 xxxx-xx-xx实施 中华人民共和国工业和信息化部发布
YD/T XXXX-XXXX 目次 前 III 1范围. 2规范性引用文件.

3术语和定义 4缩略语. 5网络安全指标要求. 5.1概述.. 5.2通信安全. 5.3网络资源安全 6数据安全指标要求. 6.1概述.. 6.2数据一致性. 6.3数据可用性. 6.4数据保密性. 7密码算法安全评价指标. 7.1概述... 7.2密码算法要求. 7.3密钥强度要求. 7.4私钥管理安全 8共识安全指标要求. 8.1概述.. 8.2共识安全... 9智能合约安全评价指标. 9.1概述.... 9.2虚拟机安全. 9.3测试环境安全. 9.4智能合约代码安全. 9.5业务逻辑安全. 9.6合约交互安全. 10管理运维安全评价指标.， 10.1概述.
YD/TXXXX-XXXX 10.2节点认证安全 10.3账户管理安全. 10.4用户管理安全.

10.5权限管理安全. 10.6数据可审计. 11测试方法. 11.1入网身份管理.

11.2通信安全防护 11.3数据可用性.

11.4隐私保护 11.5SM系列密码算法支持能力 11.6私钥安全 11.7共识机制容错能力 11.8合约环境安全， 11.9权限控制 11.10节点防护 15 行业标准信息服务平台
YD/T XXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》 给出的规定起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别这些专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院、中国电子科技网络信息安全有限公司、腾讯科 技（深圳）有限公司、华为云计算技术有限公司、中兴通讯股份有限公司、英特尔（中国）有 限公司、中国移动通信集团有限公司、联通大数据有限公司、成都链安科技有限公司、苏州 链原信息科技有限公司、大唐高鸿信安（浙江）信息科技有限公司、北京航空航天大学.

本文件主要起草人张启、何宝宏、魏凯、张奕卉、安红章、白健、廖思捷、范佳、武 杨、施海军、李志强、杨波、王珂、裴超、徐加明、股舒、杨霞、郭宇、姜海、蒋劲捷、鲍 帅、尹子栋、杜中平、李燕宏、郭海生、金怡爱、周苏静、檀景辉、刘再耀、张亮亮、吴发 国，姚望、赵洁洁、周波、谢丽佳.

行业标准信息服务平台 IⅢI
行业标准信息服务平台

ICS 35.030 CCS M 10 YD 中华人民共和国通信行业标准 [××X×]-[××XX×]1/0 车联网基础电信网络安全监测数据采集 技术要求及测试方法 Technical requirements and test methods for security monitoring data collection 行业标准信息服务平台 ofInternetofvehicles （报批稿） 20231122 [××××]-[××]-[××]发布 [×xx×]-[××]-[××]实施 中华人民共和国工业和信息化部 发布
行业标准信息服务平台
YD/Txxxxx2021 目次 前 言 1范围... 2规范性引用文件. 3术语和定义. 4缩略语.. 5概述... 6车联网基础电信网络安全监测数据采集技术要求 6.1数据采集覆盖范围. 6.2车联网协议识别. 6.3车联网资产识别. 6.4车联网通联记录. 6.5车联网网络安全监测内容及指标. 6.5.1主机受控事件监测. 6.5.2网络攻击事件监测.， 6.5.3有害程序传播事件监测. 6.5.4恶意样本文件监测. 6.5.5安全监测指标.... 6.6指令协同内容及指标.. 6.6.1恶意报文指令协同. 6.6.2恶意样本指令协同. 6.6.3指令协同指标 7车联网基础电信网络安全监测数据采集测试方法.

5 7.1数据采集覆盖范围测试. b 7.2车联网协议识别测试. 7.3车联网资产识别测试. 6 7.4车联网通联记录测试. 7.5车联网网络安全监测内容及指标测试. 7.5.1主机受控事件测试.. 7.5.2网络攻击事件测试... 7.5.3有害程序传播事件测试. 7.5.4恶意样本文件监测测试 7.5.5安全监测指标测试. 7.6指令协同内容及指标测试. 7.6.1恶意报文指令协同测试. 7.6.2恶意样本指令协同测试.
XXXX 7.6.3指令协同指标测试... 附录A（资料性）协议识别类型枚举表.. 行业标准信息服务平台
YD/TxxXX-xxXx 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院、北京亚鸿世纪科技发展有限公司、郑州信大捷安信息技 术股份有限公司、北京东方通网信科技有限公司、中国联合网络通信集团有限公司、中国移动通信集 团有限公司、中国电信集团有限公司、北京浩瀚深度信息技术股份有限公司、恒安嘉新（北京）科技股 份公司、木卫四（北京）科技有限公司、北京奇虎科技有限公司、长扬科技（北京）股份有限公司.

本文件主要起草人：周成胜、赵爽、下哲、于传若、王桂温、赵勋、崔枭飞、黄颖、林飞、程红、 钱鼎、麻心如、唐威、刘为华、崔婷婷、陈乔、刘如君、蔡销、魏来、李俊、呼博文、张小梅、庞韶 敏、孟娟、胡兵、何文杰、任翔、严敏睿、赵华、尹娜.

行业标准信息服务平台 I11

ICS 35. 030 CCS L 70 YD 中华人民共和国通信行业标准 YD/TXXXX-202X 多方数据共享服务数据安全技术框架 Data security technology framework of multi-party data sharing service 行业标准信息服务平台 [xxxx]-[xx]-[xx]发布 [xxxx]-[xx]-[xx]实施 中华人民共和国工业和信息化部 发布
YD/T XXXX-202X 目次 目 次 前 言 1范围， 2规范性引用文件 3术语和定义， 4多方数据共享服务数据安全技术框架. 4.1多方数据共享服务概述 4.2多方数据共享服务基本安全 5数据提供方安全. 6服务运营方安全.

6.1传输安全.. 6.2存储安全.. 6.3数据加工安全.. 6.4算法逻辑安全.. 6.5审计监控安全. 7数据使用方安全. 附录A（资料性）典型多方数据共享服务场景. 参考文. 业标准信息服务平台
YD/TXXXX-202X 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：广州大学网络空间先进技术研究院、鹏城实验室、西安邮电大学、蚂蚁科技集 团股份有限公司、广东省政务服务数据管理局、中国科学院信息工程研究所、北京国际大数据交易有 限公司、浙江大数据交易中心有限公司、哈尔滨工业大学、西安电子科技大学、中国信息通信研究 院、郑州信大捷安信息技术股份有限公司、华中科技大学、深信服科技股份有限公司、北京百度网讯 科技有限公司、北京奇虎科技有限公司、杭州安恒信息技术股份有限公司、OPPO广东移动通信有限 公司、北京天融信网络安全技术有限公司、恒安嘉新（北京）科技股份公司、中国移动通信集团有限 公司、北京炼石网络技术有限公司、华控清交信息科技（北京）有限公司、北京神州绿盟科技有限公 司.

本文件主要起草人：殷丽华、孙哲、李树栋、靳晨、刘为华、宋博韬、张勇、李风华、牛犇、罗 奇伟、刘献伦、刘武忠、廖清、朱辉、曹进、潘冲、王海洋、刘梦迪、陈钰炜、王昕、白晓媛、曹 京、庞妹、戚琳、何媛媛、洪爵、姚一楠、梁伟、李腾、王、张静、孟娟、于乐、王光涛、刘晓 光、程璐样、李然、李丹、冯纪元、李伟平、邹昱夫、王思敏、张杰.

行业标准信息服务平台 I1
YD/T XXXX-202X 多方数据共享服务数据安全技术框架 1范围 本文件从数据提供方、服务运营方和数据使用方维度，提供了多方数据共享服务数据安全技术框 架.

本文件适用于电信网和互联网等通用场景下开展的多方数据共享服务，并可以为多方数据共享服 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T35273信息安全技术个人信息安全规范 GB/T35274信息安全技术大数据服务安全能力要求 3术语和定义 GB/T35273和GB/T35274界定的以及下列术语和定义适用于本文件.

3. 1 大数据bigdata 具有体量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含 大量数据集的数据.

3. 2 大数据服务bigdata service 基于大数据参考架构提供的数据服务.

[来源：GB/T25069-2022 3.99] 注：大数据服务一般面对的是海量、异构、快速变化的结构化、半结构化和非结构化数据服务，且通过底层可伸 缩的大数据平台和上层各种大数据应用的系统服务提供.

3.3 数据交换datainterchange 为满足不同系统间数据传送和处理需要，依据一定规则，实现不同系统间数据交互的过程.

[来源：GB/T25069-2022 3.570]
YD/TXXXX-202X 3.4 数据共享data sharing 让不同的数据用户能够访问大数据服务所整合的各种数据资源，并通过大数据服务或数据交换技术 对这些数据资源进行相关的计算、分析、可视化等处理的行为.

[来源：GB/T25069-2022 3.566] 4多方数据共享服务数据安全技术框架 4.1多方数据共享服务概述 多方数据共享服务是面向数据的供给和需求，根据供需双方的约定来开展数据共享以及提供相应的 数据分析服务.

依托多方数据共享服务的支撑平台，可为各方提供安全的数据、算法和算力的接入，并 对共享服务过程进行协调、监控、记录和审计，以实现跨企业、跨部门、跨地域多方数据共享服务的安 全可控.

具体框架如图1所示.

数据提供方1 传输安全 存储安全 数据使用方1 数据提供方2 服务加工 安全 算法逻辑 审计监控 安全 安全 数据使用方2 ... 服务运营方 数据提供方n 多方数据共享服务 数据使用方m 图1多方数据共享服务数据安全技术框架 多方数据共享服务可支持多种服务角色的服务接入，包括数据提供方、服务运营方、数据使用方等.

各参与方角色说明： a）数据提供方：为多方数据共享服务提供所需数据； b）服务运营方：根据数据使用方的需求，配置提供符合该类供需模式所需的服务资源，协调一个 或多个数据提供方完成该服务： c）数据使用方：根据自身情况问多方数据共享服务运营方提出数据的使用需求，对获得的共享数 据结果进行确认.

注：以上参与方为逻辑角色，在实际应用中服务运营方的服务加工、算法逻辑、审计监控等功能是可选的，也可 以由多个实体承担.

该框架可应用在公共数据运营开发的平台、大型股份制机构内部的数据共享、基于行业 协会下的多方数据联合应用等场景.

具体应用场景示例见附录A 4.2多方数据共享服务基本安全 宜参考以下建议，包括： a）根据多方数据共享服务的复杂程度，选用独立于数据提供方与数据使用方等利益相关方的第三 方服务： b）提供逻辑上的提供日志记录、异常服务检测、异常状态预警等监控技术服务，支持各级数据主 管部门的监管需求： c）利用服务合约签署核验、服务逻辑设计审查、服务流程监控、服务结果或日志审计等技术支撑 对服务过程进行审查、审计：

ICS 33. 040 CCS L 78 YD 中华人民共和国通信行业标准 YD/TxxXx-xXxx 电信网和互联网联邦学习 技术要求与测试方法 Technical requirements and evaluationmethods for federated learning in telemunications and Internet [点击此处添加与国际标准一致性程度的标识] 行业标准信息服务平台 （报批稿） [××××]-[××]-[××]发布 [××××]-[××]-[××]实施 中华人民共和国工业和信息化部发布
YD/T x××xxxxx 目次 前 言 .I 1范围.. 2规范性引用文件 3术语和定义.. 4技术架构.. 5技术要求... 5.1功能性要求. 3 5.1.1任务发起 .3 5.1.2数据输入. 5.1.3算法输入 .4 5.1.4任务执行 .4 5.1.5结果输出 4 5.1.6模型管理. .4 5.2安全性要求 .5 5.2.1通用数据安全， 5.2.2数据管理安全 .5 5.2.3联邦对齐安全. 5.2.4联邦特征处理安全.

.6 5.2.5联邦模型训练安全. .6 5.2.6联邦模型评估安全.

.6 5.2.7联邦模型预测安全.. 6测试方法. 6.1功能性要求. 6.1.1任务发起. 6.1.2数据输入 7 6.1.3算法输入.. .. 6.1.4任务执行. .8 6.1.5结果输出.. .9 6.1.6模型管理. .9 6.2安全性要求. 10 6.2.1通用安全要求 10 6.2.2数据管理安全. .12 6.2.3联邦对齐安全 .12 6.2.4联邦特征处理安全 ..13 6.2.5联邦模型训练安全. .14 6.2.6联邦模型评估安全， .14 6.2.7联邦模型预测安全. .14
YD/Txx×xxx×x 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分标准化文件的结构和起草规则》 的规定起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院、中国移动通信集团有限公司、蚂蚁科技集团股 份有限公司、天翼电子商务有限公司、同盾科技有限公司、上海富数科技有限公司、京东科 技信息技术有限公司、北京天融信网络安全技术有限公司、北京百度网讯科技有限公司、北 京数读科技有限公司、深圳市腾讯计算机系统有限公司、OPPO广东移动通信有限公司、华控 清交信息科技（北京）有限公司、奇安信科技集团股份有限公司、深圳市洞见智慧科技有限 公司、北京安华金和科技有限公司、杭州金智塔科技有限公司、北京神州绿盟科技有限公司、 北京快手科技有限公司、哈尔滨工业大学（深圳）、杭州安恒信息技术股份有限公司、北京 恒安嘉新安全技术有限公司、郑州信大捷安信息技术股份有限公司、北京三快在线科技有限 公司、上海光之树科技有限公司、鹏城实验室、上海观安信息技术股份有限公司、北京京东 尚科信息技术有限公司等.

本文件主要起草人：戚琳、刘明辉、秦博阳、陈活、江为强、彭宇翔、黄翠婷、杨天雅、 喻博、孙中伟、张静、周吉文、裴超、张晓蒙、李克鹏、付艳艳、郭蕴哲、姜峰、杨海峰、 靳晨、陈超超、聂桂兵、高翔、落红卫、韩培义、蔡国庆、李鹏超、刘为华、李海全、黄坤、 张佳辰、刘川意、谢江、包勇军、李然等.

行业标准信息服务平台 ⅡI
YD/Txx×xx×xx 电信网和互联网联邦学习技术要求与测试方法 1范围 本文件规定了电信网与互联网联邦学习的技术要求与对应的测试方法.

本文件适用于电信网与互联网行业的联邦学习方案、工程、产品等的设计、研发、测试、 评估.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期 的文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括 的修改单）适用于本文件.

GB/T 25069-2010 信息安全技术术语 GB/T 29246-2017 信息技术安全技术信息安全管理体系概述和词汇 3术语和定义 GB/T25069-2010和GB/T29246-2017界定的以及下列术语和定义适用于本文件.

3. 1 联邦学习federatedlearning 一种多个参与方在保证各自原始私有数据不出数据方定义的私有边界的前提下，协作完 成某项机器学习任务的机器学习模式.

3. 2 计算因子putatlonfactor 基于联邦学习输入数据产生的中间数据.

准信息服务平台 3.3 私有边界privateboundary 参与方实体的存储和使用自身数据的物理范目 3.4 原始数据rawdata 各参与方在其私有边界内的私有明文数据.

3.5 敏感数据sensitive data 对个人或企业敏感的数据，泄露带来危害，不适合对外公开的数据.

3.6
YD/Txx×xxxxx 安全参数securityparameter 密码学中用以衡量一个加解密机制的安全强度或破解难度的一组参数.

注：安全参数包括计算安全参数和统计安全参数：计算安全参数K，关联计算复杂度 ，若计算安全参数为K，则对应需要进行O（2“）次计算，越大的k所需计算的次数越多， 此种密码协议的安全性建立在攻击方算力有限的情况下：统计安全参数入，衡量统计距离 的大小（如2），表示攻击方拥有无限算力的情况下，攻击方以一定概率破解加密机制 3. 7 推导deduce 在有限计算资源和有限计算时间的实际条件下，对联邦学习的计算因子进行演算或还原 处理，以获得目标数据的过程.

4技术架构 联邦学习在逻辑上的角色包括任务发起方、调度方、算法提供方、数据提供方、计算 方和结果使用方.

各参与方协同完成一个联邦学习任务的基本工作逻辑流程如图1所示.

-任务发起方：发起计算任务请求，并在任务执行前核实资源.

-调度方：配置计算任务所需资源，管理和协调各参与方协同完成任务.

-算法提供方：提供计算逻辑和算法参数.

可将算法参数作为隐私数据进行保护，此时 该算法提供方也可视为数据提供方.

-数据提供方：提供完成计算任务所需的原始数据，通过加密等手段将原始数据转化为 计算因子后，输入到计算方.

一计算方：提供完成计算任务所需的算力.

计算方利用数据提供方输入的计算因子进 行计算，并将结果计算因子输出到结果使用方.

-结果使用方：接收计算任务的结果.

可能存在多个结果使用方.

-辅助计算方：为联邦学习任务辅助服务的联邦学习参与方，辅助计算方的部署应独立 行业标准信息服务平台 于计算方.

Z

ICS 33. 040 CCS M 21 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 基于区块链的恶意号码库构建及共享技术 要求 Technical requirements formalicious telemunication number repository construction and sharing based on blockchain 行业标准信息服务平台 （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
行业标准信息服务平台
YD/TXXXXXXXXX 目次 前 言 III 引 言 1范围 2规范性引用文件 3术语和定义 4符号.. 5概述 6恶意状态模型. 7技术架构. 7.1总体架构. 7.2主要模块， 8流程要求. 8.1上报负面事件. 8.2上报正面事件. 8.3恶意概率老化. 8.4信用权重老化. 9号码识别区块链要求. 9.1接入节点要求. 9.2智能合约要求， 9.3账本要求... 8 10用户信用区块链要求 8 10.1接入节点要求. 10.2智能合约要求. 10.3账本要求.... 11信息安全要求. 11.1系统安全要求. 11.2用户信息安全要求， 11.3数据安全要求. 11.4审计要求.... 11.5监管要求..... 附录A（资料性）恶意概率更新规则. A.1正面或负面事件时更新规则. A.2恶意概率老化事件时更新规则.

附录B（资料性）信任权重更新规则. B.1负面事件时更新规则.
YD/TXXXXX-XXXX B.2正面事件时更新规则. 12 B.3信任权重老化事件时更新规则.

附录C（资料性）流程示例， C.1上报负面事件流程示例. C.2上报正面事件流程示例， C.3恶意概率老化流程示例. C.4信任权重老化流程示例.

参考文献........ 行业标准信息服务平台
YD/TXXXXXXXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位中国移动通信集团有限公司，中国信息通信科技集团有限公司，郑州信大捷安信 息技术股份有限公司，长扬科技（北京）股份有限公司，广州大学网络空间先进技术研究院，东软集团 股份有限公司，中国联合网络通信集团有限公司，蚂蚁科技集团股份有限公司.

本文件主要起草人董文宇，刘冬，杨波，闻军智，马洪晓，梅秋丽，刘为华，赵华，张祺琪，彭 雪娜，孙哲，廖奇，李敏，刘伟，昌文婷，张晓蒙.

行业标准信息服务平台 II1

ICS 35.100.30 CCS L79 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 基于SRv6的安全能力调度技术要求 Technical requirements for SRv6-based security capability scheduling 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXXX-XXXX 目次 1范围 2规范性引用文件 3术语和定义 4缩略语 5总体技术框架， 6运营层服务与能力 6.1服务订购， 6.2网络服务订购. 6.3安全服务订购， 7编排调度层技术要求.

7.1总体业务流程， 7.2云网安业务编排调度器 7.3网络控制器， 7.4安全控制器， 7.5报文封装， 8基础设施层技术要求. 8.1网络基础设施， 8.2安全基础设施， 参考文献... 行业标准信息服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草 规则》的规定起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国电信集团有限公司、华为技术有限公司、杭州安恒信息技术股 份有限公司、新华三技术有限公司、中兴通讯股份有限公司、东软集团股份有限公司、北 京神州绿盟科技有限公司、中国移动通信集团有限公司、东方通信股份有限公司、北京启 明星辰信息安全技术有限公司、恒安嘉新（北京）科技股份公司.

本文件主要起草人：白冰、邵涛、穆俊龙、王螺、李志民、马或嵩、赵毅、田辉辉、 尹作鹏、张亚伟、刘持奇、林明峰、李剑锋、田丽丹、万晓兰、彭雪娜、霍玉臻、吴小文、 程样.

行业标准信息服务平台 II
YD/TXXXXX-XXXX 基于SRv6的安全能力调度技术要求 1范围 本文件规定了基于SRv6的安全能力调度总体架构、编排调度层技术要求、网络基础设施技术要求、 安全基础设施技术要求.

本文件适用于指导基于SRv6网络设备、云化安全资源池对应一体化产品及服务的研发、测试、部署 和运营.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T20281-2020信息安全技术防火墙安全技术要求和测试评价办法 GB/T22239-2019信息安全技术网络安全等级保护基本要求 YD/T1452-2014IPv6网络设备技术要求边缘路由器 YD/T1454-2014IPv6网络设备技术要求核心路由器 IETF RFC 8754IPv6段路由头 IETF RFC 8986SRv6网络编程 3术语和定义 下列术语和定义适用于本文件.

3. 1 SRv6流量工程策略srv6trafficengineeringpolicy 文穿越网络，用于实现流量工程，提升网络质量，满足业务的端到端需求.

3.2 用户标识符useridentifier 由云网安业务编排调度器分配给订购服务的用户的唯一标识，应采用USER-Group-ID字段携带.

注用户标识符在网络业务链头端设备中被封装，安全基础设施解析此标识，匹配用户安全服务映 射表进入对应的安全业务链.

3. 3 应用标识符applicationidentifier 由网络控制器分配给特定应用发送的流量的唯一标识，应采用APP-Group-ID字段携带.

注携带应用标识符的SRv6报文，在网络业务链的头编设备被解析，匹配对应的网络业务链，实现 引流到安全资源池.

3. 4 云网安业务cloudnetwork security service 服务提供商面向用户提供的具备业务随需部署、敏捷开通、路径可编程、资源弹性自适应的网络和 基于云化安全能力一体化服务.

3.5 安全资源池网关securityresourcepoolgateway 池的入口，参与网络层SRv6业务链编排调度，通过解析用户和应用信息，匹配上层控制器下发的安全服 务映射表进行安全资源调度，并将流量转发至对应的资源处理.

3
YD/T xXXXX-XXXX 4缩略语 下列缩略语适用于本文件.

APN6 基于IPv6的应用感知网络 Application-aware IPv6 Networking APNID 应用标识符 Application Identifier CE 用户网络边缘设备 Customer Edge DOH 目的选项扩展头 Destination Options Header FV 防火墙 Fire Wal1 IPS 入侵防御系统 Intrusion Prevention System IPv6 互联网协议第6版 Internet Protocol Version 6 PE 服务商边缘设备 Provider Edge SRPGW 安全资源池网关 Security Resource Pool Gateway SID 分段标识 Segment Identifier SR 分段路由 Segment Routing SRH 分段路由报头 Segment Routing Header SRP 安全资源池 Security Resource Pool SRv6 基于IPv6的分段路由 Segment Routing over IPv6 WAF 网站应用防火墙 Web Application Firewal1 WEB 万维网 World Wide Web 5总体技术框架 基于SRv6的安全能力调度总体技术框架由运营层、编排调度层和基础设施层构成，通过SRv6网络 的灵活编排与调度，引导用户流量至安全资源池，达到安全服务与网络服务一体化灵活调度与编排.

总 体技术框架如图1所示.

运营门户：服务订购 应用安全护 运营层 同络服务订购 安全服务订购 云网安业务编排调质器 编排调度层 器 安全控制器 基础设施局 网路基设育 安全检设资 图1基于SRv6的安全能力调度总体技术框架 运营层通过运营门户提供面向企业用户的网络及云化安全资源池的一体化服务能力，包括专线等网 络服务和安全服务.

运营门户与云网安业务编排调度器对接，发布用户服务订购请求信息.

编排调度层通过云网安业务编排调度器、网络控制器及安全控制器提供整体业务编排调度能力.

云 网安业务编排调度器对接运营门户，接收用户的网络和安全服务订购请求，进行网络和安全资源的调度.

对接网络控制器和安全控制器，将资源调度结果发送至网络控制器和安全控制器.

网络控制器负责端到 端SRv6流量工程策略业务链路径编排，并下发给网络基础设施.

安全控制器负责用户安全资源分配，并 下发给安全基础设施.

ICS 01. 040.35 CCS CCS M 11 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 安全访问服务边缘（SASE）功能编排管理 第1部分：总体框架 Orchestration for secure access service edge(SASE)--Part 1: Overall framework 行业标准信息服务平台 （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
行业标准信息服务平台
YD/TXXXXXXXXX 目次 前 引 1用文件 安全访问服务边缘（SASE）的功能编排管理框架概述 6安全访问服务边缘（SASE）功能编排管理模块功能 6.1SASE管理呈现层 6.2SASE编排支撑层 6.3SASE关键能力层， 7安全访问服务边缘（SASE）功能编排管理流程 7.1概述. 7.2网络和安全功能模块的注册和运行状态监控流程， 7.3网络和安全策略下发流程. 7.4策略执行流程.. 附录A （资料性）安全访间服务边缘（SASE）的功能编排管理系统框架涉及利益方功能要求...10 附录B （资料性）安全访问服务边缘（SASE）的功能编排管理系统框架的使用场景， 行业标准信息服务平台 12
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

本文件是YD/TXXXX《安全访问服务边缘（SASE）功能编排管理》的第1部分.

YD/TXXXX《安全访 问服务边缘（SASE）功能编排管理》已经发布以下部分： 一一第1部分：总体框架 请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本标准由中国通信标准化协会提出并归口. 本标准起草单位：中国移动通信集团有限公司，中国信息通信研究院，中国电信集团有限公司， 北京东方通网信科技有限公司，深信服科技股份有限公司，奇安信科技集团股份有限公司，北京山石 网科信息技术有限公司，新华三技术有限公司，上海观安信息技术股份有限公司，北京神州绿盟科技 有限公司，陕西省信息化工程研究院，西安邮电大学，北京芯盾时代科技有限公司，华为技术有限公 司，中信科移动通信技术股份有限公司，北京天融信网络安全技术有限公司，浙江鹏信信息科技股份 有限公司，中讯邮电咨询设计院有限公司.

本标准主要起草人：陈佳，杨凯，鲁冬杰，赵宇航，赵海燕，王肖斌，徐天妮，穆球博，柴瑶琳， 党小东，薄明霞，崔婷婷，杨柳，赵福辰，王茜，任亮，孟丹，谢江，李凯，张勇，朱志祥，季文东， 潘伟，梁亚从，安高峰，章亮，李长连.

行业标准信息服务平台 II
YD/TXXXXXXXXX 引言 在企业数字化转型和新冠疫情冲击下，企业云化和远程/移动办公成为大趋势，网络的变化导致安 全边界逐渐模糊，导致网络流量缺乏统一的安全检查，分散部署业务增加安全成本和运维成本，不确 定的安全边界扩大暴露面提高了安全风险.

为解决上述问题，Gartner于2019提出SASE（Secure AccessServiceEdge，安全访间服务边缘），融合了广域网技术和全面网络安全防护的新型服务框架， 面向企业提供以身份为中心、分布式部署、兼容各种边缘的云原生网络和安全功能.

SASE框架通过SD-WAN（软件定义广域网，Software Defined Wide Area Network）/SDN（软件定 义网络，Software Defined Network）等网络技术融合了ZTNA（零信任网络访间，Zero-Trust Network Access）、FWaaS（防火墙即服务，Firewall as a Service）、SWG（安全Web网关，Security Web Gateway）、CASB（云访间安全代理，Cloud Access Security Broker）、DLP（数据泄露防护， Dataleakage prevention）等多种安全和网络功能，从而实现网络和安全功能统一管控，灵活部署.

然而SASE服务建设难度较大，一方面，SASE服务涉及的技术过多，单个厂商很难提供高质量全栈网络 和安全功能：另一方面，SASE服务中各功能分布式灵活部署，难以统一管控编排.

部分厂商通过合作 来实现SASE框架，但是缺乏统一的功能编排管理框架，导致集成效率低成本高，需要大量适配工作.

为了灵活和高效的在SASE框架下统一编排和管理多个跨厂商和跨网络域的网络和安全功能，形成 有序的安全和网络功能处理序列，并对进行全局的策略下发和配置管理，需要制定统一的SASE功能编 排管理框架标准，明确实现网络和安全功能统一编排管理参考框架和流程，并提出总体要求，为SASE 功能编排建设提供支持和参考，拟由四个部分构成： 一一第1部分：总体框架.

目的在于确立SASE功能编排管理的整体框架.

一一第2部分：编排支撑层技术要求.

目的在于定义SASE功能编排的编排支撑层技术要求.

一一第3部分：管理呈现层技术要求.

目的在于定义SASE功能编排的管理呈现层技术要求.

一一第4部分：关键能力层技术要求.

目的在于定义SASE功能编排的关键能力层技术要求.

行业标准信息服务平台 IⅡ1

ICS 33.060.99 CCS M36 YD 中华人民共和国通信行业标准 YD/T[xxxxx]-[xxxx] 云化电信网微隔离系统技术要求 Technical specification of micro-segmentation system for cloud telemunicationnetwork （报批稿） 行业标准信息服务平台 xxxx-X×-××发布 xxxx-X×-××实施 中华人民共和国工业和信息化部发布
XX/T XXXXX-XXXX 目次 1范围 2规范性引用文件 3术语和定义.

4缩略语 5云化电信网微隔离系统通用框架.

5.1通用框架.. 5.2微隔离管理中心 5.3微隔离执行单元. 6云化电信网微隔离系统功能要求. 6.1微隔离监控范围. 6.2资产管理要求... 6.3安全策略管理要求.， 6.4安全监控要求... 6.5东西向流量可视化要求.， 7云化电信网微隔离系统的集成要求 8云化电信网微隔离系统的部署要求， 9云化电信网微隔离系统的安全运维要求. 9.1通用安全配置... 9.2安全审计....... 附录A（规范性）云化电信网微隔离系统部署方案 A.1基于网元的微隔离系统方案， A.2基于网元和数据分析功能的微隔离系统方案. A.3基于虚拟交换机的微隔离系统方案.

参考文献... 行业标准信息服务平台
XX/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国移动通信集团有限公司、中兴通讯股份有限公司、中国电信集团有限公司、北 京神州泰岳信息安全技术有限公司、中讯邮电咨询设计院有限公司、北京天融信网络安全技术有限公司、 上海观安信息技术股份有限公司、华为技术有限公司、新华三技术有限公司.

本文件主要起草人：庄小君、粟栗、王悦、杨春建、霍玉臻、刘尚焱、杜海涛、沈军、万晓兰、张政、 王、李长连、范迪、谢江.

行业标准信息服务平台
XX/T XXXXXXXXX 云化电信网微隔离系统技术要求 1范围 本文件规定了云化电信网微隔离系统技术要求，包括云化电信网微隔离系统通用框架、功能要求、 集成要求、部署要求和安全运维要求等.

本文件适用于指导云化电信网微隔离系统的开发、建设等.

2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T25069-2022信息安全技术术语 YD/T2807.4-2015云资源管理技术要求第4部分：接口 3术语和定义 GB/T25069-2022界定的以及下列术语和定义适用于本文件.

3. 1 微隔离micro-segmentation 一种能够适应云化电信网的虚拟化部署环境，能够识别和管理云化电信网的资源池内部流量的隔离 技术.

[来源：ISCCC-TR-076-2018，有修改] 3. 2 微隔离系统micro-segmentationsystem 使用微隔离技术，识别和管理云化电信网的资源池内部流量的系统.

3.3 资源池resource pool 一组物理资源或一组虚拟资源的集合，可以从池中获取资源，也可将资源回收到池中.

资源包括物 理机、虚拟机、存储资源、虚拟网络设备、物理网络设备和IP地址等.

[来源：YD/T5236-2018] 3.4 业务资源池 service resource pool 用于部署业务网元（如虚拟化的AMF等）的资源池，实现业务资源和管理资源之间更好的隔离.

3.5
XX/TXXXXX-XXXX 网管资源池management resource pool 用于部署管理网元（如NFVO等）的资源池，实现管理资源和业务资源之间更好的隔离.

缩略语 下列缩略语适用于本文件.

AMF：接入和移动性管理功能（Access and Mobility Management Function） HA：高可用性（HighlyAvailability） KVM：基于内核的虚拟机（Kermel-basedVirtual Machine） MANO：管理与编排（Management and Orchestration） MDAF：管理数据分析功能（Management Data AnalyticFunction） NFVO：网络功能虚拟化编排器（NetworkFunction Virtualization Orchestrator） OMC：操作运维中心（Operation andMaintenance Center） SBA：基于服务的架构（Service-based Architecture） SLA：服务级别协议（Service levelagreement） SQL：结构化查询语言（Structured QueryLanguage） VIM：虚拟化基础设施管理器（VirtualizedInfrastructure Manager） VM：虚拟机（Virtual Machine） VNF：虚拟网络功能（VirtualizedNetworkFunction） VNFM：虚拟化网络功能管理器（VirtualisedNetworkFunctionManager） XSS：跨站脚本攻击（CrossSiteScript） 5 云化电信网微隔离系统通用框架 5.1通用框架 云化电信网微隔离系统通用框架包含微隔离管理中心和微隔离执行单元两个关键功能实体，其中微 隔离管理中心包含资产管理、安全策略管理、安全监控和流量可视化等功能模块：微隔离执行单元包含 数据采集及上报模块和策略执行模块.

管理中心 OMC MANO 衡产管理 安全均理 实控 选量可视化 隔南执行单元 NPVO VNF VNF 此集及维执 VM VM VM 上 微隔商执行单元 微限商执行单元 隔南扶行单元 VNFM 虚拟基础设施 南内行单元 VM 物基础设施 图1云化电信网微隔离系统通用框架示意图 图1描述了云化电信网微隔离系统通用框架.

微隔离管理中心作为独立实体部署，微隔离执行单元部 署在VNF的VM、VM中的Pod、虚拟基础设施、MANO中.

根据云化电信网网元的部署方式（如虚拟机部 署或虚拟机容器部署、裸机容器等）、微隔离系统监控的范围等的差异，微隔离执行单元、微隔离管理 中心支持采用多种部署方式.

例如，对于VNF采用虚拟机或虚拟机容器部署、只监控VNF流量的场景，

ICS 35.030 CCS L 80 YD 中华人民共和国通信行业标准 YD/Txxxxxxxx 运营商网络设备数字证书管理指南 Guidelines for certificate management of devices in telemunication operator’s network 行业标 （报批稿） （本稿完成日期：2023年11月） 信息服务平台 20×X-X×-X×发布 20××-X×-X×实施 中华人民共和国工业和信息化部 发布
YD/Txxxx-xxxx 目次 前 I 1范围 2规范性引用文件 3术语与定义 2 4缩略语 3 5概述.. 5.1运营商网络设备数字证书应用.

4 5.2运营商网络设备数字证书管理参与方 4 5.3运营商网络设备数字证书管理的目标 6运营商网络物理设备数字证书管理. 5 6.1物理网络设备与PKI系统的组网方式. 5 6.2设备身份标识配置 5 6.3生成密钥对 5 6.4数字证书申请... ..5 6.5数字证书更新 ..8 6.6数字证书撤销 ..8 6.7依赖方验证数字证书 .. 7运营商网络虚拟化设备的数字证书管理. ..9 7.1虚拟化设备与PKI系统的组网方式. ..9 7.2设备身份标识配置. 7.3生成密钥对 ..9 7.4数字证书申请 . 7.5数字证书更新 10 7.6数字证书撤销. 7.7扩容/缩容时数字证书管理， 1I" 附录A（资料性）运营商网络设备数字证书应用 .12 A.1运营商网络设备数字证书的用途 ..12 A.2运营商网络设备数字证书的应用场景 服务平台 .12 参考文献 .14
YD/Tx×xxXxxx 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分标准化文件的结构和起草规则》 的规定起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位中国移动通信集团有限公司，中国联合网络通信集团有限公司，中兴 通讯股份有限公司，郑州信大捷安信息技术股份有限公司，华为技术有限公司.

本文件主要起草人阎军智，李敏，刘为华，刘伟，邵萌，阮玲宏，杨波，何申，粟栗 行业标准信息服务平台
YD/Txxxx-xxxx 运营商网络设备数字证书管理指南 1范围 本文件提供了运营商主导建设的电信网中网络设备数字证书管理的目标、方法，以及针 对不同组网模式和设备能力的措施、指导和建议.

本文件适用于提升运营商网络设备数字证书管理的效率及应用过程中的安全性，为运营 商网络设备数字证书的安全管理提供技术指导，也可为其他领域数字证书的管理和应用提供 参考.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期 的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括 的修改单）适用于本文件.

GB/T19714信息技术安全技术公钥基础设施证书管理协议 GB/T20518信息安全技术公钥基础设施数字证书格式 GB/T32905信息安全技术SM3密码杂凑算法 GB/T32907信息安全技术SM4分组密码算法 GB/T32918信息安全技术SM2椭圆曲线公钥密码算法 GB/T35276信息安全技术SM2密码算法使用规范 GB/T35275信息安全技术SM2密码算法加密签名消息语法规范 GB/T37092信息安全技术密码模块安全要求 3术语与定义 下列术语和定义适用于本文件.

3. 1 数字证书digitalcertificate 由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及 扩展信息的一种数据结构.

按类别可分为个人证书、机构证书和设备证书，按用途可分为签 名证书和加密证书.

[米源：GB/T25056-2018，3.9，有修改] 息服务平台 3. 2 私钥private key 非对称密码算法中只能由拥有者使用的不公开密钥.

[米源：GB/T 25056-2018 3.10] 3.3 依赖方relyingparty 依赖证书中的数据来做决定的用户或代理.

[来源：GB/T 25069-2022，3.717]
YD/Txxxx-xxxx 3.4 证书撤销列表certificaterevocation list 由证书认证机构签发并发布的被撤销证书的列表.

[来源：GB/T25069-2022，3.781，有修改] 3.5 订户 subscriber 使用PKI系统提供的服务获取数字证书的用户.

[来源：GB/T21053-2023，3.4] 3. 6 PKI系统 PKI system 公钥基础设施中，基于公钥密码体制，实现数字证书的发布、撤销和管理等功能，并为 订户提供相应服务的信息系统.

[来源：GB/T21053-2023，3.1] 4缩略语 下列缩略语适用于本文件： CA 证书认证机构 Certificate Authority CRL 证书撤销列表 Certificate Revocation List DN 甄别名称 Distinguished Name EMS 网元管理系统 Element Management System FQDN 全限定域名 Fully Qualified Domain Name IP 互联网通信协议 Internet Protocol IPSec IP安全协议 Internet Protocol Security MAC 媒体访问控制 Media Access Control MANO 管理和编排 Management and Orchestration NFVI 网络功能虚拟化基础设施 NFV Infrastructure OCSP 在线证书状态协议 Online Certificate Status Protocol PKI 公钥基础设施 Public key infrastructure RA 证书注册机构 Certificate Registration Authority SAN 主体可选替换名称 Subject Alternative Name SSH 安全外壳协议 Secure Shell TLS 网络传输层安全 Transport Layer Security TLCP 传输层密码协议 Transport Layer Cryptography Protocol VNF 虚拟化网络功能 Virtualized Network Function VNFD 虚拟化网络功能描述符 Virtualized Network Function Descriptor N

ICS33.040.01 CCS M37 YD 中华人民共和国通信行业标准 YD/TXXXX-XXXX 5G移动通信网络能力开放通用应用程序接 口（API）功能架构的安全技术要求 Security technical requirements for mon Application Programming Interface (API) framework of 5G mobile munication network exposure 行业标准信息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
行业标准信息服务平台
YD/T XXXXXXXX 目次 前 AI 1范围 2规范性引用文件 3术语和定义.. 4缩略语.. 5安全需求. 5.1通用安全需求. 5.2CAPIF-1/1e参考点安全需求 5.3CAPIF-2/2e参考点安全需求 5.4CAPIF-3/4/5参考点安全需求. 2 5.5CAPIF-3e/4e/5e参考点安全需求 5.6CAPIF-7/7e参考点安全需求. 6功能安全模型与功能模型.. 6.1概述.... 6.2功能安全模型. 6.3功能模型描述 6.3.1CAPIF功能模型描述. 6.3.2支持第三方API提供者的功能模型描述. 6.3.3支持CAPIF交互的功能模型描述.

6.4功能实体描述 6 6.4.1概述..... 9 6.4.2API调用者.. 10 6.4.3CAPIF核心功能. 10 6.4.4API开放功能.

10 6.4.5API发布功能. 10 6.4.6API管理功能. 10 6.5参考点.. 11 6.5.1概述..... 6.5.2参考点CAPIF-1（在API调用者和CAPIF核心功能之间） 6.5.3参考点CAPIF-1e（在API调用者和CAPIF核心功能之间） 6.5.4参考点CAPIF-2（在API调用者和API开放功能之间） 6.5.5参考点CAPIF-2e（在API调用者和API开放功能之间） 6.5.6参考点CAPIF-3（在API开放功能和CAPIF核心功能之间） 6.5.7参考点CAPIF-4（在API发布功能和CAPIF核心功能之间） 6.5.8参考点CAPIF-5（在API管理功能和CAPIF核心功能之间） 6.5.9参考点CAPIF-3e（在API开放功能和CAPIF核心功能之间） 12
YD/T XXXXXXXX 6.5.10参考点CAPIF-4e（在API发布功能和CAPIF核心功能之间） 12 6.5.11参考点CAPIF-5e（在API管理功能和CAPIF核心功能之间） 12 6.5.12参考点CAPIF-7（在API开放功能之间） 13 6.5.13参考点CAPIF-7e（在API开放功能之间） 13 6.5.14参考点CAPIF-6（在同一CAPIF 提供商的CAPIF核心功能之间） .13 6.5.15参考点CAPIF-6e（在不同CAPIF提供者的CAPIF核心功能之间） .13 7安全流程.. .13 7.1API调用者启用安全流程， .13 7.2CAPIF-1安全流程.

15 7.3CAPIF-1e安全流程-认证与授权. 15 7.3.1概述.... .15 7.3.2安全机制协商. 15 7.3.3API发现 16 7.3.4拓扑隐藏... .16 7.4CAPIF-2参考点安全流程 16 7.5CAPIF-2e参考点安全流程. .16 7.5.1概述..... 16 7.5.2认证与授权. 16 7.6CAPIF-3/4/5参考点安全流程， .20 7.7更新安全方法的安全流程. 20 7.8API调用者停用安全流程. .20 7.9CAPIF-7/7e参考点安全流程.. . 22 7.10CAPIF-3e/4e/5e参考点安全流程 22 附录A（规范性）AEFrs密钥推衍功能 23 附录B（资料性）安全流程. .24 B.1启用.... .24 B.2认证与授权. 25 附录C（规范性） “方法三-使用接入令牌的TLS”的接入令牌配置. .28 C.1概述. . 28 C.2接入令牌配置. .28 C.2.1概述... 87 C.2.2令牌声明 28 C.3获取接入令牌... .29 C.3.1概述.... .29 C.3.2访问令牌请求 29 C.3.3访间令牌响应. . 29 C.4更新访问令牌.

30 C.5使用令牌访间API开放功能.， .30 C.6令牌撤销... .30 C.7令牌有效期. .30 11
YD/TXXXXXXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信科技集团有限公司、中国电信集团有限公司、中国信息通信研究 院、华为技术有限公司、中国移动通信集团有限公司 本文件主要起草人：毕晓宇、徐晖、李金艳、杨红梅、焦杨、雷骜、吴荣、袁琦、黄晓婷.

行业标准信息服务平台 II11

ICS 33.020 CCS L 04 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 基于拟态防御的内生安全电子邮件系统技 术要求 Endogenous security based on mimetic defense Technicalrequirements for email systems 行业标准信息服务平台 报批稿 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXxXXXX-XXXX 目次 前 言 1范围 2规范性引用文件 3术语和定义 4缩略语 5概述 6拟态电子邮件系统功能要求 6.1请求分发要求 6.2拟态裁决要求， 6.3拟态电子邮件系统执行体要求 6.4执行体调度要求 6.5指令标签化要求 6.6主动防御要求 6.7日志接口要求 7拟态电子邮件系统性能要求 7.1执行体清洗时间 7.2调度周期 7.3系统恢复时间 7.4服务响应时延 8拟态电子邮件系统安全要求 8.1通用安全要求 8.2拟态安全要求 附录A（资料性）性能指标计算依据和参考阅值， A.1执行体清洗时间 A.2调度周期 A.3系统恢复时间 A.4服务响应时延 参考文献， 服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

本文件是“支持拟态防御功能的设备”系列标准之一，该系列标准的结构和名称预计如下： 1）支持拟态防御功能设备总体技术指南 2）支持拟态防御功能的Web服务器技术要求 3）支持拟态防御功能的Web服务器检测规范 4）支持拟态防御功能的路由器技术要求 5）支持拟态防御功能的路由器检测规范 6）支持拟态防御功能的域名服务器技术要求 7）支持拟态防御功能的域名服务器检测规范 8）支持拟态防御功能的交换机技术要求 9）支持拟态防御功能的交换机检测规范 10）支持拟态防御功能的防火墙技术要求 11）支持拟态防御功能的防火墙检测规范 12）支持拟态防御功能的分布式存储系统技术要求 13）支持拟态防御功能的分布式存储系统检测规范 14）支持拟态防御功能的安全网关技术要求 15）支持拟态防御功能的安全网关检测规范 16）支持拟态防御功能的云组件技术要求和测试方法 17）基于拟态防御的内生安全云服务平台技术要求 18）基于拟态防御的内生安全电子邮件系统技术要求 请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院，中国人民解放军战略支援部队信息工程大学，珠海高凌信 息科技股份有限公司，网络通信与安全紫金山实验室，河南信大网御科技有限公司，郑州信大捷安信息技 术股份有限公司.

本标准主要起草人程国振，石悦，董航，梁浩，刘文彦，郭义伟，张帅，郭威，杨刚，贺倩，辛 冉，鲁冬雪，张校辉，吕青松，李松泽，杨晓晗，周大成，王庆丰，全玉，下佑军，张宜岗，贺喜卓， 李富军，苑立涛，周俊珂，吴威震，鲁豫，张鹏，赵逸飞.

I1
YD/TXXXXX-XXXX 基于拟态防御的内生安全电子邮件系统技术要求 1范围 本文件规定了基于拟态防御的内生安全电子邮件系统技术要求，包含系统架构及其功能、性能、安 全要求.

本文件适用于基于拟态防御的内生安全电子邮件系统的研制、生产、认证和实际环境部署.

2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.

其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括的修改单）适用于本 文件.

GB/T 370022018 信息安全技术-电子邮件系统安全技术要求 YD/T 42232023 支持拟态防御功能设备总体技术指南 3术语和定义 YD/T4223-2023界定的以及下列术语和定义适用于本文件.

3. 1 拟态电子邮件系统mimice-mailsystem 将用户电子邮件请求发送至多个异构执行体进行处理，并对各响应结果进行拟态裁决给用户， 同时根据裁决结果对异常执行体进行动态调度和清洗的电子邮件系统.

3. 2 资源异构性最大化策略resourceheterogeneitymaximization strategy 为了保持执行体针对攻击响应的不一致，将请求分发给互相之间异构性最大的多个执行体的策略， 以保证裁决结果的正确性.

3.3 异构电子邮件执行体heterogeneouse-mailexecutors 功能等价的异构电子邮件服务单元，如异构的CPU、不同类型的操作系统、功能软件等.

3.4 异构电子邮件执行体池heterogeneouse-mailexecutorspool 异构电子邮件执行体的集合.

3.5 拟态分发表决器mimeticdistributionvoter 用于用户电子邮件请求动态分发、异构电子邮件执行体响应信息裁决、异构电子邮件执行体响应信 息归一、裁决异常信息上报的模块.

3. 6 指令裁决器instructionarbiter 用于异构电子邮件执行体指令裁决、指令归一化、裁决异常信息上报、指令响应信息分发的模块.

YD/TXxXXXX-XXXX 4缩略语 下列缩略语适用于本文件.

CISC 复杂指令集计算机 Complex Instruction Set Computer CPU 中央处理器 Central Processing Unit HTTP 超文本传输协议 Hyper Text Transfer Protocol IMAP 邮件获取协议 Intermet Message Access Protocol POP3 邮局协议版本3 Post Office Protocol - Version 3 RISC 精简指令集计算机 Reduced Instruction Set Computer SMTP 简单邮件传输协议 Simple Mail Transfer Protocol 5概述 拟态电子邮件系统总体架构如图1所示，按照YD/T4223-2023规范的拟态防御架构构建，在拟态功 能层面分为拟态分发表决器、异构电子邮件执行体池、负控制器以及指令裁决模块，图中拟态数据 流表示拟态电子邮件系统内裁决和清洗数据流向，业务数据流表示用户电子邮件请求和异构电子邮件执 行体响应数据流向.

-→拟态数据流 求 →业务数据流 拟态分发表决器 异构电子邮 异构电子邮 异构电子邮 件执行体1 件执行体2 件执行体n 异构电子邮 异构电子邮 异构电子邮 件执行体 件执行体2 件执行体n 子 异构电子邮 异构电子邮 异构电子邮 件执行体1 件执行体2 件执行体n 异构电子邮件执行体池 负控制器 指令裁决模块 图1拟态电子邮件系统架构图 拟态分发表决器主要功能包括用户电子邮件请求的动态分发、异构电子邮件执行体响应信息裁决、 异构电子邮件执行体响应信息归一、裁决异常信息上报功能首先将用户电子邮件请求按照资源异构性 最大化策略，动态分发至异构电子邮件执行体池中的在线异构电子邮件执行体然后对同一个请求的多 4

ICS35.030 CCS M 10 YD 中华人民共和国通信行业标准 YDXXXX.3-XXXX 网络安全产品能力评价体系第3部分：评 价方法 The capability evaluation system of cyber security products Part 3:Evaluation method 行业标准信息服务平台 （点击此处添加与国际标准一致性程度的标识） （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YDXXXX.3-XXXX 目次 前 言 III 引 言 AI 1范围 2规范性引用文件 3术语和定义.. 4安全产品评价方法说明 5安全产品成熟度评价方法 6 5.1网络安全硬件产品， 6 5.1.1第1级评价方法 6 5.1.2第2级评价方法 6 5.1.3第3级评价方法 5.1.4第4级评价方法 5.1.5第5级评价方法 5.2网络安全软件产品 5.2.1第1级评价方法 5.2.2第2级评价方法 8 5.2.3第3级评价方法 5.2.4第4级评价方法 5.2.5第5级评价方法 9 5.3网络安全服务平台 6 5.3.1第1级评价方法 5.3.2第2级评价方法 10 5.3.3第3级评价方法 10 5.3.4第4级评价方法 11 5.3.5第5级评价方法 II 6安全产品质量评价方法 6.1功能性评价方法 11 6.1.1指标要求1. 11 6.1.2指标要求2. 11 6.1.3指标要求3. 6.1.4指标要求4. 12 6.1.5指标要求5. 12 6.2性能效率评价方法 6.2.1指标要求1. 12 6.3兼容性评价方法 12 6.3.1指标要求1. 12 6.3.2指标要求2. 12 6.3.3指标要求3. 12 6.3.4指标要求4. 13
YDXXXX.3-XXXX 6.3.5指标要求5 13 6.4易用性评价方法 13 6.4.1指标要求1 6.4.2指标要求2 6.4.3指标要求3 6.4.4指标要求4 6.4.5指标要求5 6.4.6指标要求6， 6.4.7指标要求7 6.4.8指标要求8. 6.4.9指标要求9 6.4.10指标要求10， 6.5可靠性评价方法 6.5.1指标要求1.

6.5.2指标要求2 6.5.3指标要求3. 6.5.4指标要求4. 6.5.5指标要求5. 6.6安全性评价方法 6.6.1指标要求1 6.6.2指标要求2. 6.6.3指标要求3. 6.6.4指标要求4. 6.6.5指标要求5. 6.7可维护性评价方法 6.7.1指标要求1. 6.7.2指标要求2. 6.7.3指标要求3. 参考文献. 标准信息服务平台
YDXXXX.3-XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

YD/TXXXX《网络安全产品能力评价体系》计划包括通用方法和具体产品评价方法.

其中，通用 方法包括如下： 一一第1部分：概念和模型； 一一第2部分：指标要求： 一一第3部分：评价方法（本文件）； 一一第4部分：基于部署方式的安全产品测试方法； 一一第5部分：安全产品研发人员能力评价方法.

具体安全产品评价方法包括： 一第6部分：欺骗防御（蜜罐）产品评价方法； 一一第7部分：基于零信任架构的业务安全平台评价方法： 一一第8部分：威胁检测与响应产品评价方法： 一一第9部分：攻击面管理产品评价方法； 一一第10部分：企业网络安全措施验证平台评价方法： 请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院，上海观安信息技术股份有限公司，北京天融信网络安全技 术有限公司，北京神州绿盟科技有限公司，北京国泰网信科技有限公司，腾讯云计算（北京）有限责任 公司，北京边界无限科技有限公司，楚天龙股份有限公司，新华三信息安全技术有限公司、北京奇虎科 技有限公司、郑州信大捷安信息技术股份有限公司、长扬科技（北京）股份有限公司、高通无线通信技 术（中国）有限公司、北京东方通网信科技有限公司、北京创安恒宇科技有限公司、深圳信息职业技术 学院、中兴通讯股份有限公司.

本文件主要起草人孟楠、戴方芳、董悦、刘起良、沈俊霞、吴威震、鲁豫、谢江、张静、叶晓虎、 叶建伟、李欣、李元正、倪平、沈思源、王佳宁、王志红、范艳敏、柴永富、李永波、张屹、刘为华、 赵华、王江胜、陈乔、崔婷婷、安球、赵雨秋、卢忧、管明祥、游世林、高峰、马伟、刘敏、王继刚.

准信息服务平台 II1
YDXXXX.3-XXXX 引言 网络安全产品正在广泛应用于日益发展的各种业务领域，其有效的使用与网络安全防护效果有着显 著的关联，此外，市场上出现了由不同技术的组合、不同安全框架应用的安全产品.

网络安全产品分类 被进一步辞片化的细分，使得行业企业很难有效选择适用于自身业务的安全产品.

帮助行业企业提供一 套安全产品成熟度和质量评价的安全产品模型变得至关重要.

编制YD/TXXXX.XXXX《网络安全产品能力评价体系》的总体目标是推动网络安全产业高质量发 展，为网络安全技术、产品、框架和方案的创新与应用注入强有力的动能.

其定位是推动网络安全技术 创新，并助力创新技术赛道安全产品落地和应用，此外，还可以供安全产品开发方、需求方和独立评价 方单独使用.

本文件拟由以下部分组成： 一一第1部分：概念和模型.

提出了网络安全产品能力评价体系的概念和模型，明确了安全产品 成熟度、安全产品质量和安全产品能力评价体系标准框架； 一一第2部分：指标要求.

确立了网络安全产品能力评价指标要求，包括安全产品成熟度要求和 质量要求两部分： 一一第3部分：评价方法.

确立了网络安全产品能力评价方法； 一一第4部分：基于部署方式的安全产品测试方法.

提供了针对部署方式下的网络安全产品通过 第三方测试仪表测试的方法； 一一第5部分：安全产品研发人员能力评价方法.

提出了面向安全产品研发人员的知识能力、技 能能力等方面评价方法： 第6部分-第10部分：分别提出了欺骗防御（蜜罐）产品、基于零信任架构的业务安全平 台、威胁检测与响应产品、攻击面管理产品、企业网络安全措施验证平台及具有相关功能的 产品技术框架、测试检验和评价方法.

行业标准信息服务平台 AI

ICS 35.030 CCS M10 YD 中华人民共和国通信行业标准 YDXXXX.2-XXXX 网络安全产品能力评价体系第2部分：指 标要求 The capability evaluation system of cyber security products-Part 2:Indicators requirements 行业标准信息服务平台 （点击此处添加与国际标准一致性程度的标识） （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YDXXXX.2-XXXX 目次 前 阜 引 11 1范围.

2规范性引用文件， 3术语和定义.. 4评价对象， 5安全产品成熟度要求 5.1网络安全硬件产品 5.1.1第1级要求， 5.1.2第2级要求 5.1.3第3级要求 5.1.4第4级要求 5.1.5第5级要求 5.2网络安全软件产品 5.2.1第1级要求， 5.2.2第2级要求 6 5.2.3第3级要求 5.2.4第4级要求， 6 5.2.5第5级要求 5.3网络安全服务平台 6 5.3.1第1级要求 5.3.2第2级要求. 5.3.3第3级要求， 5.3.4第4级要求 5.3.5第5级要求， 6安全产品质量要求， 6.1通用部分. 6.1.1功能性要求 6.1.2性能效率要求 6.1.3兼容性要求 6.1.4易用性要求 6.1.5可靠性要求 6.1.6安全性要求， 6.1.7可维护性要求， 6.2关键部分... 附录A（资料性）基于产业视角的网络安全产品参考分类 参考文献..
YDXXXX.2-XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

YD/TXXXX《网络安全产品能力评价体系》计划包括通用方法和具体产品评价方法.

其中，通 用方法包括如下： 一一第1部分：概念和模型； 一一第2部分：指标要求（本文件）： 一一第3部分：评价方法； 一一第4部分：基于部署方式的安全产品测试方法； 一一第5部分：安全产品研发人员能力评价方法.

具体安全产品评价方法包括： 一第6部分：欺骗防御（蜜罐）产品评价方法； 一一第7部分：基于零信任架构的业务安全平台评价方法： 一一第8部分：威胁检测与响应产品评价方法： 一一第9部分：攻击面管理产品评价方法： 一一第10部分：企业网络安全措施验证平台评价方法： 请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院、上海观安信息技术股份有限公司、北京天融信网络安全 技术有限公司、腾讯云计算（北京）有限责任公司、楚天龙股份有限公司、新华三信息安全技术有限 公司、北京奇虎科技有限公司、北京神州绿盟科技有限公司、郑州信大捷安信息技术股份有限公司、 长扬科技（北京）股份有限公司、北京边界无限科技和有限公司、高通无线通信技术（中国）有限公 司、北京东方通网信科技有限公司、北京创安恒宇科技有限公司、深圳信息职业技术学院、中兴通讯 股份有限公司.

本文件主要起草人：孟楠、戴方芳、董悦、刘起良、沈俊霞、吴威震、鲁豫、谢江、张静、王奠、 倪平、曹海涛、邓君、柴永富、李永波、张屹、叶晓虎、叶建伟、刘为华、赵华、沈思源、王佳宁、 王江胜、陈乔、崔婷婷、安琪、赵而秋、卢忧、孙冲武、游世林、高峰、马伟、刘敏、王继刚.

主信息服务平台 II
YD XXXX.2-XXXX 引言 网络安全产品正在广泛应用于日益发展的各种业务领域，其有效的使用与网络安全防护效果有着 显著的关联，此外，市场上出现了由不同技术的组合、不同安全框架应用的安全产品.

网络安全产品 分类被进一步碎片化的细分，使得行业企业很难有效选择适用于自身业务的安全产品.

帮助行业企业 提供一套安全产品成熟度和质量评价的安全产品模型变得至关重要.

编制YD/TXXXX.XXXX《网络安全产品能力评价体系》的总体目标是推动网络安全产业高质量 发展，为网络安全技术、产品、框架和方案的创新与应用注入强有力的动能.

其定位是推动网络安全 技术创新，并助力创新技术赛道安全产品落地和应用，此外，还可以供安全产品开发方、需求方和独 立评价方单独使用.

本文件拟由以下部分组成： 一一第1部分：概念和模型.

提出了网络安全产品能力评价体系的概念和模型，明确了安全产品 成熟度、安全产品质量和安全产品能力评价体系标准框架； 一一第2部分：指标要求.

确立了网络安全产品能力评价指标要求，包括安全产品成熟度要求和 质量要求两部分： 一一第3部分：评价方法.

确立了网络安全产品能力评价方法； 一一第4部分：基于部署方式的安全产品测试方法.

提供了针对部署方式下的网络安全产品通过 第三方测试仪表测试的方法； 一一第5部分：安全产品研发人员能力评价方法.

提出了面向安全产品研发人员的知识能力、技 能能力等方面评价方法： 第6部分至第10部分：分别提出了欺骗防御（蜜罐）产品、基于零信任架构的业务安全平 台、威胁检测与响应产品、攻击面管理产品、企业网络安全措施验证平台及具有相关功能的 产品技术框架、测试检验和评价方法.

行业标准信息服务平台 II1
YDXXXX.2-XXXX 网络安全产品能力评价体系 第2部分指标要求 1范围 本文件确立了网络安全产品能力评价指标要求，包括安全产品成熟度要求和质量要求两部分.

本文件适用于指导网络安全产品的开发者进行产品的设计和研发，使用者进行产品选择和判断， 也适用于第三方评价者进行产品的成熟度和质量评价.

2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.

其中，注日期的引用文 件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适 用于本文件.

GB/T25069信息安全技术术语 GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用 软件产品（RUSP）的质量要求和测试细则 YD/TXXXX.1-XXXX网络安全产品能力评价体系第1部分：概念和模型 3术语和定义 GB/T25069、GB/T25000.51-2016、YD/TXXXX.1-XXXX界定的以及下列术语和定义适用于本文 件.

3.1 功能性functionality 在指定条件下使用时，产品或系统提供满足明确和隐含要求的功能的程度.

[来源：GB/T25000.51-2016，5.1.5，有修改] 3. 2 性能效率performance efficiency 与用户实现目标的准确性和完备性相应的资源消耗 [来源：GB/T25000.51-2016，5.1.6，有修改] 3. 3 兼容性patibility 在与其他产品共享通用的环境和资源的条件下，产品、系统或组件能够与其他产品、系统或组件 交换信息，和/或执行其所需的功能的程度.

[来源：GB/T25000.51-2016，5.1.7，有修改] 3. 4 易用性 accessibility

ICS35.030 CCS M10 YD 中华人民共和国通信行业标准 YD/TXXXX.1-XXXX 网络安全产品能力评价体系第1部分：概 念和模型 The capability evaluation system of cybersecurity products-Part 1:Concepts and model 行业标准信息服务平台 （点击此处添加与国际标准一致性程度的标识） （报批稿） XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXXXX.1-XXXX 目次 1范围 2规范性引用文件 3术语和定义 4缩略语 5安全产品能力评价模型 5.1安全产品成熟度评价 5.2安全产品质量评价 5.2.1通用部分 5.2.2关键部分， 参考文献.. 行业标准信息服务平台
YD/T XXXX.1-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草.

YD/TXXXX《网络安全产品能力评价体系》计划包括通用方法和具体产品评价方法.

其中，通 用方法包括如下： 一一第1部分：概念和模型（本文件）； 一一第2部分：指标要求： 一一第3部分：评价方法： 一一第4部分：基于部署方式的安全产品测试方法； 一一第5部分：安全产品研发人员能力评价方法.

具体安全产品评价方法包括： 一一第6部分：欺骗防御（蜜罐）产品评价方法； 一一第7部分：基于零信任架构的业务安全平台评价方法： 一一第8部分：威胁检测与响应产品评价方法： 一第9部分：攻击面管理产品评价方法； 一一第10部分：企业网络安全措施验证平台评价方法； 请注意本文件的某些内容可能涉及专利.

本文件的发布机构不承担识别专利的责任.

本文件由中国通信标准化协会提出并归口.

本文件起草单位：中国信息通信研究院、北京天融信网络安全技术有限公司、郑州信大捷安信息 技术股份有限公司、北京奇虎科技有限公司、徐州中国矿业大学大学科技园有限责任公司、北京神州 绿盟科技有限公司、长扬科技（北京）股份有限公司、新华三信息安全技术有限公司、腾讯云计算 （北京）有限责任公司、高通无线通信技术（中国）有限公司、楚天龙股份有限公司、北京创安恒宇 科技有限公司、上海观安信息技术股份有限公司、北京安盟信息技术股份有限公司、北京东方通网信 科技有限公司、深圳信息职业技术学院、中兴通讯股份有限公司.

本文件主要起草人：孟楠、戴方芳、董悦、刘起良、沈俊霞、查选、王、张静、刘为华、张屹、 王森、张可伦、叶晓虎、叶建伟、程璐样、赵华、柴永富、李永波、倪平、王江胜、蒋曲明、方丹、 安琪、赵雨秋、谢江、张大伟、张喜龙、陈乔、崔婷婷、卢忧，张运生、游世林、高峰、马伟、刘敏、 准信息服务平台 王继刚.

I1
YD/TXXXX.1-XXXX 引言 网络安全产品正在广泛应用于日益发展的各种业务领域，其有效的使用与网络安全防护效果有着 显著的关联，此外，市场上出现了由不同技术的组合、不同安全框架应用的安全产品.

网络安全产品 分类被进一步碎片化的细分，使得行业企业很难有效选择适用于自身业务的安全产品.

帮助行业企业 提供一套安全产品成熟度和质量评价的安全产品模型变得至关重要.

编制YD/TXXXX.XXXX《网络安全产品能力评价体系》的总体目标是推动网络安全产业高质量 发展，为网络安全技术、产品、框架和方案的创新与应用注入强有力的动能.

其定位是推动网络安全 技术创新，并助力创新技术赛道安全产品落地和应用，此外，还可以供安全产品开发方、需求方和独 立评价方单独使用.

本文件拟由以下部分组成： 一一第1部分：概念和模型.

提出了网络安全产品能力评价体系的概念和模型，明确了安全产品 成熟度、安全产品质量和安全产品能力评价体系标准框架： 一一第2部分：指标要求.

确立了网络安全产品能力评价指标要求，包括安全产品成熟度要求和 质量要求两部分： 一一第3部分：评价方法.

确立了网络安全产品能力评价方法； 一一第4部分：基于部署方式的安全产品测试方法.

提供了针对部署方式下的网络安全产品通过 第三方测试仪表测试的方法： 一第5部分：安全产品研发人员能力评价方法.

提出了面向安全产品研发人员的知识能力、技 能能力等方面评价方法： 一第6部分至第10部分：分别提出了欺骗防御（密罐）产品、基于零信任架构的业务安全平 台、威胁检测与响应产品、攻击面管理产品、企业网络安全措施验证平台及具有相关功能的 产品技术框架、测试检验和评价方法.

行业标准信息服务平台 II1
YD/TXXXX.1-XXXX 网络安全产品能力评价体系 第1部分：概念和模型 1范围 本文件提出了网络安全产品能力评价体系的概念和模型，明确了安全产品成熟度、安全产品质量 和安全产品能力评价体系标准框架.

本文件适用于指导和规范网络安全产品能力评价工作开展和评价体系的构建.

2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.

其中，注日期的引用文 件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适 用于本文件.

GB/T25069信息安全技术术语 GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用 软件产品（RUSP）的质量要求和测试细则 3术语和定义 GB/T25069、GB/T25000.51-2016界定的以及下列术语和定义适用于本文件.

3. 1 技术就绪水平techinology readiness level scale;TRLS 网络工作分解单元的技术成熟程度.

3. 2 就绪可用网络安全产品readytousecybersecurityproducts 无论是否付费，任何用户可以不经历开发活动就能获得的具有安全能力的价值交付物或安全运营 平台.

其形态可以是具备安全能力的独立形态的硬件、软件、云服务等多种形式，也可以是某个系统 或平台的安全接口、组件、模块、分/子系统等形式.

[来源：GB/T25000.51-2016 4.1.6，有修改] 注：在本文件中可简称为“网络安全产品”或“安全产品” 3. 3 网络安全产品成熟度cyber security products maturity 评价和度量安全产品研发所处发展状态的量化标准，它反映了安全产品对于预期应用目标的满足 程度.

注：在本文件中，网络安全产品成熟度简称为“安全产品成熟度”.

3. 4 网络安全产品质量cyber sccurity products quality 在规定条件下使用时，网络安全产品满足功能、性能、易用性、安全性等产品质量属性的能力.

注：在本文件中，网络安全产品质量简称为“安全产品质量”.