11 月網絡安全國家標準：護航數字時代

一、13 項標準，重磅登場

1 月 1 日起，《網絡安全技術 信息技術安全評估準則》等 13 項網絡安全國家標準開始實施，這無疑是網絡安全領域的重大事件。這些標準將為引領網絡安全產業高質量發展，增強廣大人民群眾的獲得感、幸福感和安全感提供標準支撐。

其中，6 項對軟件、硬件、固件形式的 IT 產品及其組合進行安全測評的基礎標準，如《網絡安全技術 信息技術安全評估準則第 1 部分:簡介和一般模型》等，為產品消費者、開發者、評估者提供了基本的安全功能和保障組件。內容吸納了國際網絡安全評估領域模塊化評估、多重保障評估、供應鏈分析等最新理念，將為我國具有安全功能 IT 產品的開發、評估以及采購過程提供有力指導。據統計，這 6 項標準的實施預計將使我國 IT 產品的安全性能提升 30%以上。

兩項規定無線局域網客戶端與接入系統安全要求的標準，即《網絡安全技術 無線局域網客戶端安全技術要求》和《網絡安全技術 無線局域網接入系統安全技術要求》，規定了安全功能要求和保障要求，并給出安全問題說明，為無線局域網客戶端產品與接入系統的測試、研制和開發提供了明確方向。

另外，兩項分別規定零信任參考體系架構和證書應用綜合服務接口要求的標準，對于采用零信任體系框架的信息系統的規劃、設計，以及證書應用中間件和系統的開發等具有重要意義。

還有 3 項推薦性國家標準，分別確立了軟件供應鏈安全目標、規定了網絡安全眾測服務要求和軟件產品開源代碼安全評價方法，對軟件供應鏈管理、網絡安全眾測服務等有促進作用，助力各方對軟件產品包含的開源代碼成分進行靜態安全評價。這些標準的實施，將全面提升我國網絡安全水平，為人民群眾的數字生活保駕護航。

二、標準內容，全面解析

（一）IT 產品測評基礎標準

《網絡安全技術 信息技術安全評估準則第 1 部分:簡介和一般模型》等 6 項國家標準，為 IT 產品及其組合的安全測評提供了堅實基礎。這些標準涵蓋了軟件、硬件、固件等多種形式的 IT 產品，為產品消費者、開發者和評估者提供了明確的安全功能和保障組件。例如，標準中吸納了國際網絡安全評估領域的模塊化評估理念，使得安全測評更加精細化和高效化。多重保障評估則確保了 IT 產品在不同層面和環節都能得到充分的安全保障。供應鏈分析理念的引入，有助于從源頭把控 IT 產品的安全性，降低潛在的安全風險。這些標準的實施將為我國具有安全功能 IT 產品的開發提供科學的指導，使開發者在產品設計階段就能充分考慮安全因素，提高產品的安全性和可靠性。在評估環節，為評估者提供了統一的標準和方法，使得評估結果更加客觀、準確。對于采購過程來說，消費者可以依據這些標準選擇更加安全的 IT 產品，保障自身的信息安全。

（二）無線局域網安全標準

《網絡安全技術 無線局域網客戶端安全技術要求》和《網絡安全技術 無線局域網接入系統安全技術要求》這兩項國家標準，明確了無線局域網客戶端與接入系統的安全功能要求和安全保障要求。它們不僅給出了無線局域網客戶端與接入系統面臨的安全問題說明，還為相關產品的測試、研制和開發提供了具體的指導方向。例如，在安全功能要求方面，規定了加密技術、身份認證等方面的標準，確保無線局域網的通信安全。在安全保障要求方面，強調了系統的穩定性和可靠性，以及對潛在安全威脅的防范能力。這些標準的實施將推動無線局域網客戶端產品與接入系統的安全性能提升，為用戶提供更加安全、穩定的無線局域網服務。

（三）零信任與證書應用標準

《網絡安全技術 零信任參考體系架構》和《網絡安全技術 證書應用綜合服務接口規范》兩項國家標準，具有重要的現實意義。對于采用零信任體系框架的信息系統規劃和設計來說，零信任參考體系架構提供了明確的指導原則和方法。零信任的核心思想是“永不信任，始終驗證”，通過持續狀態感知、動態信任評估和最小權限原則等，確保資源的安全訪問。證書應用綜合服務接口規范則為面向證書應用的綜合服務提供了接口要求和相應驗證方法，對于公鑰密碼基礎設施應用技術體系下證書應用中間件和證書應用系統的開發，以及密碼應用支撐平臺的研制和檢測起到了關鍵作用。這兩項標準的實施將提升信息系統的安全性和可靠性，為數字經濟的發展提供有力保障。

（四）軟件供應鏈及眾測標準

3 項國家標準分別確立了軟件供應鏈安全目標、規定了網絡安全眾測服務要求和軟件產品開源代碼安全評價方法?！毒W絡安全技術 軟件供應鏈安全要求》確立了軟件供應鏈的安全目標，規定了風險管理、組織管理和供應活動管理的安全要求，為供需雙方進行風險管理提供了指導，同時也為第三方機構提供了檢測和評估的依據?！毒W絡安全技術 網絡安全眾測服務要求》描述了網絡安全眾測服務的角色以及職責、服務流程、安全風險和服務要求，為網絡安全眾測服務活動提供了幫助指導?！毒W絡安全技術 軟件產品開源代碼安全評價方法》為軟件產品中開源代碼的安全評價提供了要素和流程，助力各方對軟件產品包含的開源代碼成分進行靜態安全評價。這些標準的實施將促進軟件供應鏈管理的規范化和科學化，提升網絡安全眾測服務的質量和水平，降低軟件產品的開源安全風險。

三、增強獲得感，多方發力

（一）加強個人信息安全保障

在網絡時代，個人信息安全至關重要。一方面，要探索建立數據管理和安全的相關政策法規體系。例如，加緊出臺一系列細化的、有可操作性的個人數據保護方面的標準和政策法規，增強廣大人民群眾在網絡空間的安全感，強化數據安全管理。另一方面，持續開展對違法違規收集、泄露個人信息的整治。包括加強日常評估，拓展舉報渠道等，讓違法者付出應有的代價，也讓試圖效法者望而卻步。據統計，近年來通過整治行動，個人信息泄露事件減少了約 20%。

（二）發揮人民主體作用

網絡安全靠人民，要發揮廣大人民群眾在網絡安全中的主體作用，同時提升他們的網絡安全意識和風險防范能力。首先，開展全社會范圍內的宣傳教育活動以及常規性的網絡安全知識培訓。其次，注重提升重點人群的網絡安全素養。從娃娃抓起，提升中小學生的網絡安全意識，讓他們從小學安全、懂安全，更好地遨游網絡。同時，注重對包括廣大農村網民群體、老年人群體的科普教育，讓他們能夠“放心上網”。例如，通過開展網絡安全進基層等活動，為農村和老年群體普及網絡安全知識，提高他們的防范能力。

（三）堅持安全與發展同步推進

一方面，要與時俱進，加強對新技術的前瞻性研究。新技術發展到哪里，安全防護就應該跟進到哪里。重視關鍵共性技術和先進引領技術的突破與創新，充分發揮企業的作用，讓新技術新應用真正成為社會經濟發展的“動力源”，而非風險的“引爆點”。另一方面，緊跟技術發展的步伐，不斷推進和健全監管。根據技術發展的趨勢深入調研，提前研判，加強對新技術安全漏洞和應用缺陷的評估。充分發揮政策標準、行業規則和技術倫理的引導和規范作用，確保新技術新應用在法治軌道上安全行進。例如，在人工智能、物聯網等新技術領域，加強安全防護研究和監管，為人民群眾的數字生活提供更安全的保障。

四、產業影響，未來可

（一）政策推動，發展迅猛

網絡安全行業正迎來頂層規劃及法律法規的密集發布。11 月 1 日起，13 項網絡安全國家標準開始實施，為引領網絡安全產業高質量發展奠定了基礎。今年以來，我國加快推進網絡安全領域頂層設計，工信部、中央網信辦、教育部等十一部門聯合發布《關于推動新型信息基礎設施協調發展有關事項的通知》，提出基礎電信企業要加強網絡安全設施與信息基礎設施協同建設。

各地政府也將網絡安全納入重點建設范疇。四川成都重點建設天府、高新、錦江、雙流“四大園區”，分別定位為國家網絡安全戰略支撐基地與領軍人才培育基地、網絡安全高端研發與運營服務基地等。河南省鄭州市打造多個信息產業園區，吸引國內頭部網絡安全企業落戶。河北雄安新區積極推動網絡安全與數據產業領域創新發展，籌建網絡和數據安全實驗室等。

（二）技術助力，挑戰并存

人工智能在網絡安全領域的應用日益廣泛。它可以自動化完成許多網絡安全任務，如威脅檢測、事件響應和漏洞分析等，提高防護效率，減少人為錯誤的可能性。還可幫助識別新型攻擊手段，提供應對策略。以某家金融機構的數據安全服務為例，使用大語言模型對數據進行分級，可以將幾個月的時長縮短到幾天。

然而，人工智能系統本身面臨多種安全挑戰。其決策結果可能受到惡意攻擊者的影響，導致錯誤判斷或數據泄露等，給網絡安全工作帶來新的挑戰。解決這些問題需要推動人工智能技術進一步發展，如工信部近日印發的《工業和信息化領域數據安全事件應急預案（試行）》提出，“落實數據處理者的數據安全主體責任”“堅持充分發揮各方面力量，共同做好數據安全事件應急處置工作”。

（三）市場廣闊，潛力巨大

國際數據公司（IDC）中國預測，中國網絡安全市場規模預計將從 2023 年約 840 億元人民幣增長至 2028 年約 1400 億元人民幣，年復合增長率為 10.7%。根據中國網絡安全產業聯盟的統計，2023 年上半年國內共有 3984 家企業開展網絡安全業務，同比增長 22.4%。2022 年我國網絡安全市場規模約為 633 億元，2025 年有望超過 800 億元。

國金證券研報指出，重視網絡安全板塊的中長線投資機會。網安板塊個股已經連續調整三年，從 2019 - 2020 年的前置投入到 2021 - 2023 年的連續人員優化，疊加 2024 - 2025 年“十四五”收官，當下板塊已兼具性價比及困境反轉邏輯。網絡安全市場規模的增長趨勢，以及眾多企業和機構對網絡安全市場的看好，都表明網絡安全產業具有巨大的潛力和廣闊的發展前景。