速下载|历经23年累计359项网络与数据安全国标全景剖析
技术标准是安全建设的“尺子”。在推进中国式现代化的新征程中,国家安全是民族复兴的根基,而技术标准是国家安全保障的重要组成,在构建网络强国、推动“十四五”数字安全体系建设方面发挥着重要支撑作用。我国坚持紧贴实际需求,密集发布强制性、推荐性和指导技术文件等国家标准,建立起与《网络安全法》《密码法》《数据安全法》《个人信息保护法》等法律法规相配套的网络与数据安全标准体系,为需求侧、供给侧、监管侧等产业主体提供规范指引,以适应新时代对安全标准化工作的更高要求。
安全国标折射产业品类权威划分。网络与数据安全产品及服务品类繁多,如何对其权威划分,一直是热点也是难点。网络与数据安全产业经过二十年以上的发展,形成了359项国标,这些国标的发布情况是权威的、客观的、真实的,通过对其进行细分类别,可以反向复原出安全产业的产品品类划分与市场格局。炼石尝试对每项国标进行归纳和分类,形成下图所示的“安全产业之3大赛道、5大维度、29项细分”,以供产业人士参考。
网络与数据安全国标分类图
关注本公众号“炼石网络CipherGateway”并后台回复关键词“ 炼石就是数据安全033 ”,即可打包下载359项安全国标图谱图片及本文所有国家标准高清PDF文件,助力产业同仁了解安全产业品类全貌、洞悉安全市场规律和发展风向。
进一步分析网络与数据安全国标发现,在国家政策、网络威胁、供需关系以及资本市场等多方面因素推动下,我国安全国标步入发展快车道。
图1 1999-2022年安全国标各年度发布总量及三大类所占数量分布
国标发布总量稳步增长。如图1,从年度发布总量看,自1999年开始,安全国标年度发布总量呈快速增长态势,助力产业确立清晰目标,厘清建设准则,提升我国各领域自身的安全防护水平。2019年后受疫情影响发布总量有短期回落,但仍有大量标准处于制定和修订状态,随着疫情结束,也逐步回归正轨。近日,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,明确数据要素安全保障要求,同时2023年《网络数据安全管理条例》《商用密码管理条例(修订)》等重磅政策将发布,在这一系列政策推动下,安全产业将加速持续向好。
数据安全发展势头强劲。从三大类所占比例看,网络安全类国标仍占据绝对份额。然而,随着《数据安全法》和《个人信息保护法》等法规政策颁布,数据安全和个人信息保护被赋予法定性、提到前所未有的高度。自2021年开始,我国数据安全相关国标发布数量快速增多,2022年“数据安全类”国标超越“网络安全类”成为当年发布数量最多的一类,数据安全产业迎来发展黄金时代。
洞察安全产业发展风向。总体来看,安全国标二十多年的发展历程,折射出产业升级的风向标。早期,网络安全与密码技术并行;当前来看,一方面产业需求从网络攻防对抗的安全,逐步转向“以数据保护为中心”的安全,数据安全成为下一风口赛道;另一方面在“三法两条例”等法律法规推动下,数据安全国标及数据安全的核心技术密码专项对应国标迎来拐点,这与需求侧预算重心切换相吻合,也与资本市场投资风向相契合。
图2 1999-2022年安全国标在各维度下的发布总量及细类数量分布
标准化与产业应用紧密互动。如图2,安全国标包含6个维度、29个细类,可见网络与数据安全产品种类丰富、应用场景不断拓宽,从单点防御产品逐步扩展到六大维度的综合、纵深式防护体系。
从属性维度看,安全国标一直与安全领域的产业发展、技术创新及用户需求等热点,紧密衔接且有益互动。密码技术专项数量最多,其中密码安全占比超过50%。一直以来,密码作为保障网络空间安全秩序的国之利器,在我国发挥着基础支撑作用。面对日益严峻的数据窃取、隐私泄漏等安全威胁,密码产业不断升级,产品供给从“硬件为主”转向“软硬协同”方向,出现“免改造技术”、“高性能密码”等创新产品以充分满足各领域需求。从信息技术栈维度看,应用系统安全数量占比过半,在应用系统侧施加安全防护成为主流技术趋势。从IPDRR安全能力维度看,安全评估所占份额最多,体现我国对各类安全技术和产品应用的合规性、正确性和有效性评估需求旺盛,各地区、各部门也推出等保、密评等相应政策文件,提升安全技术和产品的安全性和合规性。从场景属性维度看,个人信息保护相关标准数量稳步提高,成为市场新宠,与大数据、云计算、物联网等新兴技术场景融合,推动网络与数据安全市场加速进化。从行业属性维度看,工控、电子政务行业的国标发布数量最多,汽车、金融、医疗等领域也在推动安全国标制定,全面提升各领域安全防护能力。从四大合规维度看,2022年我国先后发布“数据安全管理认证”和“个人信息保护认证”,进一步规范网络数据处理活动,加强网络数据安全和个人信息保护,形成“等保”“关保”“密评”“数评”的认证体系,有效支撑安全产业链结构健康升级。
图3 五大标准定位数量分布
如图3,从标准定位看,信息系统安全要求数量最多,其次为安全产品及服务要求,可见国标定位主要侧重指引需求侧和供给侧的安全建设方向,帮助其厘清技术和管理方面的建设目标,为安全体系建设提供适用性和先进性的工程化指南。同时,针对监管侧的评估认证等需求提供对应准则。
图4 1999-2022年安全国标采用国际标准形式统计图
根据2001年国家质量监督检验检疫总局发布施行的《采用国际标准和国外先进标准管理办法》,我国标准采用国际标准的程度,分为等同采用、修改采用、非等效采用。
· IDT:等同采用(identical),指与国际标准在技术内容和文本结构上相同,或者与国际标准在技术内容上相同,只存在少量编辑性修改。
· MOD:修改采用(modified),指与国际标准之间存在技术性差异,并清楚地标明这些差异以及解释其产生的原因,允许包含编辑性修改。修改采用不包括只保留国际标准中少量或者不重要的条款的情况。
· NEQ:非等效采用(notequivalent),指与相应国际标准在技术内容和文本结构上不同,它们之间的差异没有被清楚地标明。非等效不属于采用国际标准,只表明我国标准与相应标准有对应关系。
如图4宏观来看,在我国国标发展初期,由于标准化工作刚刚起步,为减少技术性贸易壁垒和适应国际贸易的需要,提高我国产品质量和技术水平,多为“等同采用”国际标准。随着标准化工作逐步增强,“修改采用”数量逐渐增多。从1999-2022年国标发展的整个历程看,“未采用”的比例仍占绝对份额,尤其在2012年后“未采用”数量大幅增加,2020年出现可对标国际标准的“非等效采用”,体现我国标准自主制定能力不断增强,技术和产品的自主创新水平不断提升。
声明:为助力行业进步,欢迎转载引用,但需要注明出处,未经授权,不得用于商业目的。
注:本文的国标文件来自国家标准全文公开系统或互联网公开材料,如有侵权,请联系删除。