11、《GB/T 20273-2019数据库管理系统安全技术要求》
该标准规定了数据库管理系统评估对象描述,不同评估保障级的数据库管理系统安全问题定义、安全目的和安全要求,安全问题定义与安全目的、安全目的与安全要求之间的基本原理,适用于数据库管理系统的测试、评估和采购,也可用于指导数据库管理系统的研发。
12、《GB/T 37980-2019工业控制系统安全检查指南》
随着工业化和信息化的深度融合,工业控制系统广泛应用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供、供热以及其他与国计民生紧密相关的領域。工业控制系统指应用于工业領域的数据釆集、监视与控制系统,是由计算机设备、工业过程控制组件和网络组成的控制系统,是工业領域的神经中枢。工业領域使用的控制系統包括监控与数据采集系统(SCADA),分布式控制系统(DCS)、可编程逻辑控制器(PLC)系统等。近年来针对工业控制系统的攻击事件层出不穷,工业控制系统的安全性将直接关系到国家重要基础工业设施生产的正常运行和广大公众的利益。
该标准制定的目的是为了指导我国国家关健基础设施中相关工业控制系统行业用户开展工业控制系統信息安全自评工作,掌握工业控制系統信息安全总体状况,及时有效发现工业控制系統存在的问题和薄弱环节环节,进一步健全工业控制系统信息安全管理制度,完善工业控制系统信息安全技术措施,提高工业控制系统信息安全防护能力,为国家对重点行业工业控制系統信息安全检査等工作提供支撑,为实现更安全的工业控制系统并在其内部进行有效的风险管理提供帮助。
该标准輸出了工业控制系统信息安全检査的范围、方式、流程、方法和内容,适用于开展工业控制系統的信息安全监督检査、委托检査工作,同时也适用于各企业在本集团(系统)范围内开展相关系统的信息安全自检査。
13、《GB/T 37931-2019 Web应用安全检测系统安全技术要求和测试评价方法》
该标准规定了Web应用安全检测系统的安全技术要求、测评方法及等级划分,适用于Web应用安全检测系统的设计、开发与测评。
14、《GB/T 37934-2019工业控制网络安全隔离与信息交换系统安全技术要求》
该标准规定了工业控制网络安全隔离与信息交换系统的安全功能要求、自身安全要求和安全保障要求,适用于工业控制网络安全隔离与信息交换系统的设计、开发及测试。
15、《GB/T 37932-2019数据交易服务安全要求》
数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。数据交易可以促进数据资源流通,破除数据孤岛,有效支撑数据应用的快速发展,发挥数据资源的经济价值。然而,数据交易面临诸多安全问题和挑战,影响了数据应用的进一步健康发展。为规范数据资源交易行为,建立良好的数据交易秩序,促进数据交易服务参与者安全保障能力提升,本标准将对数据交易服务进行安全规范,增强对数据交易服务的安全管控能力,在确保数据安全的前提下,促进数据资源自由流通,从而带动整个数据产业的安全、健康、快速发展。
该标准规定了通过数据交易服务机构进行数据交易服务的安全要求,包括数据交易参与方、交易对象和交易过程的安全要求,适用于数据交易服务机构进行安全自评估,也可供第三方测评机构对数据交易服务机构进行安全评估时参考。
16、《GB/T 37933-2019信息安全技术工业控制系统专用防火墙技术要求》
该标准规定了工业控制系统专用防火墙(以下简称工控防火墙)的安全功能要求、自身安全要求、性能要求和安全保障要求,适用于工控防火墙的设计、开发和测试。
随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁,通用防火墙在面对工业控制系统的安全防护时显得力不从心,因此急需要一种能应用于工业控制环境的防火墙对工业控制系统进行安全防护。
应用于工业控制环境的防火墙与通用防火墙的主要差异体现在:
——通用防火墙除了需具备基本的五元组过滤外,还需要具备一定的应用层过滤防护能力。
用于工业控制环境的防火墙除了具有通用防火墙的部分通用协议应用层过滤能力外,还具有对工业控制协议应用层的过滤能力。
——用于工业控制环境的防火墙比通用防火墙具有更高的环境适应能力。
——工业控制环境中,通常流量相对较小,但对控制命令的执行要求具有实时性。
因此,工业控制防火墙的吞吐量性能要求可相对低一些,而对实时性要求较高。
——工业控制环境下的防火墙比通用防火墙具有更高的可靠性、稳定性等要求。