ICS 35.030 CCS M 10 中 华 人 民 共 和 国 通 信行 业 标 准 YD/T XXXX.1 —XXXX YD 网络安全产品能力评价体系 第1部分：概 念和模型 The capability evaluation system of cybersecurity products — Part 1： Concepts and model (点击此处添加与国际标准一致性程度的标识 ) （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部   发布 YD/T XXXX.1—XXXX I目次 前 言 ............................................................................ II 引 言 ........................................................................... III 1 范围 .................................................................................. 4 2 规范性引用文件 ........................................................................ 4 3 术语和定义 ............................................................................ 4 4 缩略语 ................................................................................ 5 5 安全产品能力评价模型 .................................................................. 5 5.1 安全产品成熟度评价 ................................................................ 6 5.2 安全产品质量评价 .................................................................. 6 5.2.1 通用部分 ...................................................................... 6 5.2.2 关键部分 ...................................................................... 8 参 考 文 献 ............................................................................ 9 YD/T XXXX.1—XXXX II 前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 YD/T XXXX 《网络安全产品能力评价体系》计划包括通用方法和具体产品评价方法。其中，通 用方法包括如下： —— 第1部分：概念和模型（本文件）； —— 第2部分：指标要求； —— 第3部分：评价方法； —— 第4部分：基于部署方式的安全产品测试方法； —— 第5部分：安全产品研发人员能力评价方法。 具体安全产品评价方法包括： —— 第6部分：欺骗防御（蜜罐）产品评价方法； —— 第7部分：基于零信任架构的业务安全平台评价方法； —— 第8部分：威胁检测与响应产品评价方法； —— 第9部分：攻击面管理产品评价方法； —— 第10部分：企业网络安全措施验证平台评价方法； 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、北京天融信网络安全技术有限公司、郑州信大捷安信息 技术股份有限公司、北京奇虎科技有限公司、徐州中国矿业大学大学科技园有限责任公司、北京神州 绿盟科技有限公司、长扬科技（北京）股份有限公司、新华三信息安全技术有限公司、腾讯云计算 （北京）有限责任公司、高通无线通信技术（中国）有限公司、楚天龙股份有限公司、北京创安恒宇 科技有限公司、上海观安信息技术股份有限公司、北京安盟信息技术股份有限公司、北京东方通网信 科技有限公司、深圳信息职业技术学院、中兴通讯股份有限公司。 本文件主要起草人：孟楠、戴方芳、董悦、刘起良、沈俊霞、查选、王龑、张静、刘为华、张屹、 王森、张可伦、叶晓虎、叶建伟、程潞样、赵华、柴永富、李永波、倪平、王江胜、蒋曲明、方丹、 安琪、赵雨秋、谢江、张大伟、张喜龙、陈乔、崔婷婷、卢忱，张运生、游世林、高峰、马伟、刘敏、 王继刚。 YD/T XXXX.1—XXXX III 引 言 网络安全产品正在广泛应用于日益发展的各种业务领域，其有效的使用与网络安全防护效果有着 显著的关联，此外，市场上出现了由不同技术的组合、不同安全框架应用的安全产品。网络安全产品 分类被进一步碎片化的细分，使得行业企业很难有效选择适用于自身业务的安全产品。帮助行业企业 提供一套安全产品成熟度和质量评价的安全产品模型变得至关重要。 编制 YD/T XXXX.XXXX 《网络安全产品能力评价体系》 的总体目标是推动网络安全产业高质量 发展，为网络安全技术、产品、框架和方案的创新与应用注入强有力的动能。 其定位是推动网络安全 技术创新，并助力创新技术赛道安全产品落地和应用，此外，还可以供安全产品开发方、需求方和独 立评价方单独使用。本文件拟由以下部分组成： —— 第1部分：概念和模型。提出了网络安全产品能力评价体系的概念和模型，明确了安全产品 成熟度、安全产品质量和安全产品能力评价体系标准框架； —— 第2部分：指标要求。确立了网络安全产品能力评价指标要求，包括安全产品成熟度要求和 质量要求两部分； —— 第3部分：评价方法。确立了网络安全产品能力评价方法； —— 第4部分：基于部署方式的安全产品测试方法。提供了针对部署方式下的网络安全产品通过 第三方测试仪表测试的方法； —— 第5部分：安全产品研发人员能力评价方法。提出了面向安全产品研发人员的知识能力、技 能能力等方面评价方法； —— 第6部分至第10部分：分别提出了欺骗防御（蜜罐）产品、基于零信任架构的业务安全平 台、威胁检测与响应产品、攻击面管理产品、企业网络安全措施验证平台及具有相关功能的 产品技术框架、测试检验和评价方法。 YD/T XXXX.1—XXXX 4 网络安全产品能力评价体系 第1部分：概念和模型 1　范围 本文件提出了网络安全产品能力评价体系的概念和模型，明确了安全产品成熟度、安全产品质量 和安全产品能力评价体系标准框架。 本文件适用于指导和规范网络安全产品能力评价工作开展和评价体系的构建。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适 用于本文件。 GB/T 25069 信息安全技术 术语 GB/T 25000.51-2016 系统与软件工程 系统与软件质量要求和评价（ SQuaRE）第 51部分：就绪可用 软件产品（ RUSP）的质量要求和测试细则 3　术语和定义 GB/T 25069、GB/T 25000.51-2016 界定的以及下列术语和定义适用于本文件。 3.1　 技术就绪水平 technology readiness level scale; TRLS 网络工作分解单元的技术成熟程度 。 3.2　 就绪可用网络安全产品 ready to use cybersecurity products 无论是否付费，任何用户可以不经历开发活动就能获得的具有安全能力的价值交付物或安全运营 平台。其形态可以是具备安全能力的独立形态的硬件、软件、云服务等多种形式，也可以是某个系统 或平台的安全接口、组件、模块、分 /子系统等形式。 ［来源： GB/T 25000.51-2016 ，4.1.6，有修改］ 注：在本文件中可简称为“网络安全产品”或“安全产品”。 3.3　 网络安全产品成熟度 cyber security products maturity 评价和度量安全产品研发所处发展状态的量化标准，它反映了安全产品对于预期应用目标的满足 程度。 注：在本文件中，网络安全产品成熟度简称为“安全产品成熟度”。 3.4　 网络安全产品质量 cyber security products quality 在规定条