ICS35.030 CCS M 10 YD 中华人民共和国通信行业标准 YD XXXX.2-XXXX 网络安全产品能力评价体系第2部分：指 标要求 The capability evaluation system of cyber security products Part 2: Indicators requirements (点击此处添加与国际标准一致性程度的标识) （报批稿） XXXX - XX - XX 发布 XXXX - XX- XX 实施 中华人民共和国工业和信息化部 发布 YD XXXX.2—XXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 YD/TXXXX《网络安全产品能力评价体系》计划包括通用方法和具体产品评价方法。其中，通 用方法包括如下： 一第1部分：概念和模型； 一第2部分：指标要求（本文件）； 一第3部分：评价方法； 一一第4部分：基于部署方式的安全产品测试方法； 一第5部分：安全产品研发人员能力评价方法。 具体安全产品评价方法包括： 第6部分：欺骗防御（蜜罐）产品评价方法； 一一第7部分：基于零信任架构的业务安全平台评价方法； 第8部分：威胁检测与响应产品评价方法； 一第9部分：攻击面管理产品评价方法； 一第10部分：企业网络安全措施验证平台评价方法； 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任， 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国信息通信研究院、上海观安信息技术股份有限公司、北京天融信网络安全 技术有限公司、腾讯云计算（北京）有限责任公司、楚天龙股份有限公司、新华三信息安全技术有限 公司、北京奇虎科技有限公司、北京神州绿盟科技有限公司、郑州信大捷安信息技术股份有限公司、 长扬科技（北京）股份有限公司、北京边界无限科技和有限公司、高通无线通信技术（中国）有限公 司、北京东方通网信科技有限公司、北京创安恒宇科技有限公司、深圳信息职业技术学院、中兴通讯 股份有限公司。 本文件主要起草人：孟楠、戴方芳、董悦、刘起良、沈俊霞、吴威震、鲁豫、谢江、张静、王奠、 倪平、曹海涛、邓君、柴永富、李永波、张屹、叶晓虎、叶建伟、刘为华、赵华、沈思源、王佳宁、 王江胜、陈乔、崔婷婷、安琪、赵雨秋、卢枕、孙冲武、游世林、高峰、马伟、刘敏、王继刚。 II YD XXXX.2—XXXX 引言 网络安全产品正在广泛应用于日益发展的各种业务领域，其有效的使用与网络安全防护效果有着 显著的关联，此外，市场上出现了由不同技术的组合、不同安全框架应用的安全产品。网络安全产品 分类被进一步碎片化的细分，使得行业企业很难有效选择适用于自身业务的安全产品。帮助行业企业 提供一套安全产品成熟度和质量评价的安全产品模型变得至关重要 编制YD/TXXXX.XXXX《网络安全产品能力评价体系》的总体目标是推动网络安全产业高质量 发展，为网络安全技术、产品、框架和方案的创新与应用注入强有力的动能。其定位是推动网络安全 技术创新，并助力创新技术赛道安全产品落地和应用，此外，还可以供安全产品开发方、需求方和独 立评价方单独使用。本文件拟由以下部分组成： 一第1部分：概念和模型。提出了网络安全产品能力评价体系的概念和模型，明确了安全产品 成熟度、安全产品质量和安全产品能力评价体系标准框架； 一一第2部分：指标要求。确立了网络安全产品能力评价指标要求，包括安全产品成熟度要求和 质量要求两部分； 一一第3部分：评价方法。确立了网络安全产品能力评价方法； 一第4部分：基于部署方式的安全产品测试方法。提供了针对部署方式下的网络安全产品通过 第三方测试仪表测试的方法； 一一第5部分：安全产品研发人员能力评价方法。提出了面向安全产品研发人员的知识能力、技 能能力等方面评价方法； 第6部分至第10部分：分别提出了欺骗防御（蜜罐）产品、基于零信任架构的业务安全平台、 威胁检测与响应产品、攻击面管理产品、企业网络安全措施验证平台及具有相关功能的产品 技术框架、测试检验和评价方法。 III