GB／T 25066-2020 标准规范下载简介

GB／T 25066-2020 信息安全技术 信息安全产品类别与代码

本类产品集成常规路由功能与网络安全功能，除普通路由功能以外，内置防火墙、IPSec等模块，提 供网络互连、流量控制、网络和信息安全维护等安全功能，目的是阻止安全域外部连接的非授权进人内 部，以及保障网络通信的安全性。 任何提供以上功能且该功能为主导性功能的产品，均可归入本类（C302）

A.3.3.3安全交换机（C303）

制、VLAN、基于802.1X的接人控制等安全功能，目的是保障安全域数据交换的安全性， 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（C303）

A.3.4接入安全(C4)

终端接入控制（C401） 本类产品提供对接入网络的终端进行访问控制的功能，能发现终端接入网络的行为CJJ／T273-2019 橡胶沥青路面技术标准及条文说明，并能根据访问 空制策略采取行动（如允许授权终端接人、断开非授权的终端连接等），目的是通过对终端接人的控制， 保障安全域边界安全。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（C401

A.3.5区域边界安全其他（CX）

不能归为上述4类的区域边界安全类产品暂归为区域边界安全其他类（CX)。

A.4计算环境安全（D)

A.4.1计算环境防护(D1)

.4.1.1可信计算（D101

本类产品利用可信计算平台模块，对主机用户进行身份鉴别以及信息加密，目的是提供可信 境。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（D101)

A.4.1.2身份鉴别（主机）（D102）

本类产品在主机设备的用户执行授权操作前，要求用户提供以电子信息或生物信息为载体的身份 及鉴别信息，对其进行鉴别，目的是确认主机系统使用者的身份。 本类产品的安全功能可主要归纳为六个方面： a 基于智能卡的身份鉴别，包括COS、芯片和读卡器： b PKI/CA证书身份鉴别； C 动态口令身份鉴别； d) 基于RFID的身份鉴别； e) 基于生物特征的身份鉴别，如手形、指纹/掌纹、脸形、虹膜、视网膜、脉搏、耳廓等； f） 基于行为特征的身份鉴别，如签字、语音、按键力度等。 任何提供以上一种或数种功能，目该功能为主导性功能的产品，均可归人本类（D102)

GB/T 250662020

A.4.1.3主机入侵检测(D103）

本类产品对抵达主机的数据进行监测，从主机或服务器上采集包括操作系统日志、系统进程、文件 方同和注册表访问等数据，并根据事先设定的策略判断数据是否异常，从而决定采取报警、控制等措施， 目的是对人侵主机行为进行发现和阻止。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D103）

A.4.1.4主机访问控制（D104)

本类产品针对受控主机，统一分配用户对主机资源的访问权限，用户根据预先定义的访问控制策略 对受控主机的资源（如系统登录权限、文件和文件夹、外设接口、应用程序、进程等）进行访问，目的是保 护主机资源不被非授权访问和使用。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D104）

A.4.1.5主机型防火墙（D105

本类产品针对主机设备上的入站和出站网络连接提供保护功能，并能够通过预先定义的规则，执行 基于网络地址和基于应用的访问控制，一般为软件，目的是对主机设备提供网络综合防护。一般运行于 服务器上的主机型防火墙还可以对所有的节点进行统一控制，实施统一的安全策略与响应。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D105）

A.4.1.6终端使用安全（D106）

本类产品提供对接入系统的终端进行保护的功能，目的是保障终端资源和运行环境的安全 本类产品的安全功能可主要归纳为六个方面： a） 防止对终端的未授权使用（如终端使用口令保护等）； b） 阻止恶意程序运行； c） 钓鱼检测与拦截； d） 软件升级与管理； e） 系统资源回收： 系统环境备份与恢复。 Z1C 任何提供以上一种或数种功能 导性功能的产品，均可归入本类（D106）

A.4.1.7移动存储设备安全管理（D107

本类产品通过对移动存储设备采取身份认证、访问控制、审计机制等管理手段，实现移动存储设备 与主机设备之间的可信访同，以保护主机设备资源安全 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D107)

.4.2防恶意代码（D2）

主机恶意代码防治（D201） 本类产品提供对主机恶意代码的防治功能，侧重于防护本地主机资源。通过对内容或行为的判断 建立系统保护机制，预防、检测、隔离、清除、删除主机恶意代码，目的是检测发现或阻止恶意代码的传播 以及对主机操作系统、应用软件和用户文件的篡改、破坏和非法占有等。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D201）

A.4.3操作系统安全（D3)

1安全操作系统（D301)

本类产品是指从系统设计、实现和使用等名 段都遵循了一套完整的安全策略的操作系统，如嵌 人式安全操作系统、移动智能终端安全操作系统等，目的是在操作系统层面保障系统安全。 任何具有不同安全级别的安全操作系统 可归入本类（D301）

A.4.3.2操作系统安全部件（D302)

本类产品以安全部件的形式增强现有操作系统的安全性，目的是在操作系统层面保障系统安全。 本类产品的安全功能可主要归纳为两个方面： a）通过构造安全模块，增强现有操作系统的安全性； b）通过构造安全外罩，增强现有操作系统的安全性。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归人本类（D302）

A.4.4应用安全防护（D4)

A.4.4.1身份鉴别（应用）（D401）

本类产品在应用服务的用户执行授权操作前，要求用户提供以电子信息或生物信息为载体的身份 及鉴别信息，对其进行鉴别，目的是确认应用系统使用者的身份 本类产品的安全功能可主要归纳为六个方面： a 基于智能卡的身份鉴别，包括COS、芯片和读卡器； b）PKI/CA证书身份鉴别; ） 动态口令身份鉴别； d 基于RFID的身份鉴别； e 基于生物特征的身份鉴别，如手形、指纹/掌纹、脸形、虹膜、视网膜、脉搏、耳廓等； f）基于行为特征的身份鉴别，如签字、语音、按键力度等。 任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归人本类（D401）

WEB应用防火墙（D4

本类产品部署于WEB应用和WEB服务器之前，通过分析WEB应用层协议，根据预先定义的过 滤规则和防护策略，对所有WEB应用和服务器的访问请求与响应进行过滤，目的是实现对WEB应用 及WEB服务器的安全防护。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（D402)

A.4.4.3邮件安全防护（D403）

4.4.4.4网站恢复（D404

本类产品提供对网站内容（包括静态网页文件、动态脚本文件、网页目录、网站数据库等）的实日 对网站内容的非授权更改进行识别，并能用备份文件进行自动恢复，目的是实现对网站内容的 护。

GB/T25066—2020

任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D404

A.4.4.5应用安全加固（D405）

A.4.5应用安全支持（D5）

A.4.5.1业务流程监控(D501)

立，针对业务行为、业务内容设置访问控制策略，对检测到的攻击行为执行阻断或联动其他设备进行阻 新，并采用行为分析技术检测网络攻击行为和保密性问题，实现有效检测ODay攻击和APT攻击 本类产品的安全功能可主要归纳为三个方面： a）业务流程监控； SA b）业务行为监控； ）网络攻击检测与监控。 任何提供以上全部功能，且该功能为主导性功能的产品，均可归入本类（D501）

.4.5.2源代码审计（D5

本类产品是针对系统开发过程中的源代码进行安全审计检测，检测缓冲区溢出、代码注入、跨站脚 本、输入验证、API误用等缺陷，检测编码规范性，目的是对源代码安全问题进行分析和验证。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D502)

A.4.5.3网站监测(D503)

本类产品针对天规模网站进行持续、多维度（如WEB系统扫描监控、网站防钓鱼监控、网负术马监 则、网页篡改监测、网页敏感信息监测、暗链检测、网站应用监测、域名监测等）安全监测，并可结合安全 风险评估模型实时进行网站安全风险评估，目的是实时了解所有WEB资产面临的风险，实现快速故障 定位。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D503）

A.4.5.4应用软件安全管理（D504）

本类产品基于应用软件安全管理策略（如软件白名单、证书签名、服务端策略等)对设备上的应用软 件安装、运行等进行安全管理，目的是保障设备上应用软件的安全和可控 本类产品的安全功能可主要归纳为三个方面： a）对设备上应用软件的安装进行管理； b）对设备上应用软件的启动进行管理； c）对设备上应用软件所能访问的设备资源进行权限控制。 任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类（D504)

A.4.5.5应用代理（D505

本类产品为应用提供代理服务，实现对应用层通信流的协议剥离、数据落地、内容审计、异常告警

GB/T250662020

协议转换及数据缓存等功能， 之间应用服务的安全性。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（D505）

A.4.5.6负载均衡(D506)

本类产品提供链路负载均衡、服务器负载均衡、网络流量优化和智能处理等功能，目的是降低负载， 优化网络性能，提高服务运行的稳定性，提高资源利用率、应用性能和用户体验。 本类产品的安全功能可主要归纳为两个方面： a）将用户的访问请求根据一定的算法合理分摊到不同的网络线路上传输，保障传输的可靠性，提 升传输效率； b）将用户的访问请求根据一定的算法合理分摊到不同的服务器上处理，保障应用的可靠性和连 续性，优化服务器处理性能。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归人本类（D506）

A.4.5.7数字签名（D507)）

本类产品提供签名验签、完整性和不可否认性鉴别等功能，目的是保障应用数据的完整 寸不可 人性。 本类产品的安全功能可主要归纳为两个方面 a）签名：提取数据的摘要信息，并使用用户的私钥对摘要信息进行签名； b）验签：使用用户的公钥对签名信息进行验证，并以此验证原始信息的完整性与不可否认性 任何提供以上两种功能，且该功能为主导性功能的产品，均可归入本类（D507）

本类产品提供签名验签、完整性和不可否认性鉴别等功能，目的是保障应用数据的完整性与不 性。 本类产品的安全功能可主要归纳为两个方面： a）签名：提取数据的摘要信息，并使用用户的私钥对摘要信息进行签名； b）验签：使用用户的公钥对签名信息进行验证，并以此验证原始信息的完整性与不可否认性 任何提供以上两种功能，且该功能为主导性功能的产品，均可归入本类（D507)

A.4.6数据安全防护(D6)

A.4.6.1数据加密（D601)

本类产品用于防御攻击者窃取以文件等形式存储的数据，目的是保障存储数据的安全。 本类产品的安全功能可主要归纳为两个方面： a）采用密码技术对存储的数据进行加密（如文件加密、整盘加密等手段），确保攻击者即使获取数 据仍无法解析出明文； b）采用信息隐藏技术实现数据的隐蔽存储，确保攻击者即使获取数据仍无法获取隐藏的信息。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归人本类（D601）。

A.4.6.2数据泄露防护（D602)

本类产品在主机、文印设备、网络中通过对安全域内部敏感信息输出的主要途径进行控制和审计 的是防止安全域内部敏感信息被非授权泄露。 本类产品的安全功能可主要归纳为三个方面： a）外设接口输出控制和审计； b）文印设备（如打印机、复印机、扫描仪、刻录机等）输出控制和审计； C 网络输出控制和审计（控制点包括网络边界出口或主机）。 任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归人本类（D602）

A.4.6.3数据脱敏（D603)

据变形，目的是防范敏感信息外泄。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（D603）

GB/T 250662020

A.4.6.4数据清除（D604）

本类产品采用信息技术（如覆写）进行逻辑级底层数据清除，实现对存储介质所承载数据的彻底销 毁，目的是防止已删除的敏感数据被非授权恢复导致数据外泄。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D604)

A.4.6.5数据备份与恢复（D605）

A.4.7数据平台安全（D7

A.4.7.1安全数据库（D701)

本类产品是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略 系统，目的是在数据库层面保障数据安全。 任何具有不同安全级别的安全数据库系统均可归入本类（D701）

A.4.7.2数据库安全部件（D702

本类产品是以现有数据库系统所提供的功售 以安全部件的形式增强现有数 据库系统的安全性，目的是在数据库层面保障数据安全， 本类产品的安全功能可主要归纳为两个方面： a）通过构造安全模块，增强现有数据库系统的安全性； b）通过构造安全外罩，增强现有数据库系统的安全性。 任何提供以上一种或两种功能.且该功能为主导性功能的产品，均可归入本类（D702）

本类产品是以现有数据库系统所提供的功能 以安全部件的形式增强现有 系统的安全性，目的是在数据库层面保障数据安全， 本类产品的安全功能可主要归纳为两个方面： a）通过构造安全模块，增强现有数据库系统的安全性； b）通过构造安全外罩，增强现有数据库系统的安全性。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类（D702)

A.4.7.3数据库防火墙（D703）

本类产品基于数据库协议分析与防火墙控制技术提供对数据库的访问控制、语句拦截、操作阻迷 审计等功能，目的是保障数据库系统的安全， 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D703）

本类产品基于数据库协议分析与防火墙控制技术提供对数据库的访同控制、语句拦截、操 行为审计等功能，目的是保障数据库系统的安全 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D703）

A.4.8计算环境安全其他（DX

A.5安全管理支持（E)

A.5.1综合审计（E1)

GB/T250662020

A.5.2应急响应支持（E2）

A.5.3密码管理(E3)

5.3.1密码设备（E301

本类产品提供密码信息存储并执行密码算法运算，目的是为保障信息的保密性提供基础设施支持， 如商用加密机、加密卡等。相关要求均应遵照国家有关密码政策执行。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（E301）

A.5.3.2公钥基础设施（E302)

本类产品支持公钥管理体制的基础设 别、加密、完整性和不可否认服务。组件一般食 证机构CA、注册机构RA、密钥管理中心KMC、证书目录服务等关键组件。 任何提供以上功能或组件的产品，均可归人本类（E302）

A.5.4风险评估与处置（E4)

A.5.4.1系统风险评估（E401)

本类产品提供对系统进行半自动或自动的风险评估，目的是提高系统安全性。 本类产品的安全功能可主要归纳为三个方面： a）系统设计前的风险评估，通过分析业务系统固有的脆弱性，旨在发现系统设计前潜在的安全 隐惠； b） 系统试运行前的风险评估，根据系统试运行期的运行状态和结果，分析系统的潜在安全隐惠 旨在发现系统设计的安全漏洞； C 系统运行期的风险评估，提供系统运行记录，跟踪系统状态的变化，分析系统运行期的安全隐 惠，旨在发现系统运行期的安全漏洞。 任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归人本类（E401）

A.5.4.2安全性检测分析（E402）

本类产品针对系统特定对象进行安全性检测分析，该分析过程一般包括脆弱性扫描、分析与建 过程，目的是提高系统安全性。 本类产品的安全功能可主要归纳为七个方面： a）操作系统安全性检测分析：

GB/T 250662020

b） 数据库及数据库管理系统安全性检测分析； ） 传输、网络系统安全性检测分析； d) 应用系统安全性检测分析； e) 硬件系统安全性检测分析； f） 软件源代码安全性检测分析； g） 攻击性和渗透性检测分析。 任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类（E402）。

A.5.4.3配置核查（E403)

）的安全配置检测和合规性分析，生成安全配置建议和合规性报告，目的是发现并指导消除资产 全配置不当导致的安全隐惠， 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（E403）

A.5.4.4漏洞挖掘（E404)

本类产品针对系统或单个产品进行安全性检测分析，通过自动化构造的测试用例，检测分析系统的 原码、目的代码、运行内存和通信状态等，发现系统或产品的未知安全漏洞，并能给出初步分析，从而帮 助提高系统或产品的安全性。 本类产品的安全功能可主要归纳为五个方面： a）操作系统漏洞挖掘分析； b） 数据存储相关系统漏洞挖掘分析； C 网络通信系统漏洞挖掘分析； d 应用系统漏洞挖掘分析； e） 硬件系统漏洞挖掘分析。 任何提供以上一种或数种功能， 幼能的产品，均可归入本类（E404）

A.5.4.5态势感知（E405)

A.5.4.6高级持续威胁检测（E406）

本类产品针对网络中的文件进行深度、智能、持续性的分析，识别各类已知、未知的安全威胁，对可 能用于APT攻击的文件进行行为揭示，并通过文件分析报告呈现鉴定分析结果。目的是帮助用户掌 握网络威胁状况，提高网络安全威胁检测和响应能力。 本类产品所提供的安全功能可主要归纳为五个方面： a） 静态检测，如格式识别解析、Shellcode发现、堆喷射检测、字符串信息提取以及漏洞检测等； b） 动态检测，如将未知文件投放到虚拟执行环境中运行，利用系统监控和网络监控等手段，监控 记录其运行的本地行为，或通过对代码结构及API调用指令等信息的分析提取潜在行为； c）病毒特征库检测，基于病毒特征库，对已知威胁进行识别； d）关联分析，基于文件结构包含或行为后果关联关系（如文件释放、压缩包包含、资源节包含等关

本类产品针对网络中的文件进行深度、智能、持续性的分析，识别各类已知、未知的安全威胁，对可 用于APT攻击的文件进行行为揭示，并通过文件分析报告呈现鉴定分析结果。目的是帮助用户掌 网络威胁状况，提高网络安全威胁检测和响应能力。 本类产品所提供的安全功能可主要归纳为五个方面： a 静态检测，如格式识别解析、Shellcode发现、堆喷射检测、字符串信息提取以及漏洞检测等； b 动态检测，如将未知文件投放到虚拟执行环境中运行，利用系统监控和网络监控等手段，监控 记录其运行的本地行为，或通过对代码结构及API调用指令等信息的分析提取潜在行为； c）病毒特征库检测，基于病毒特征库，对已知威胁进行识别； d）关联分析，基于文件结构包含或行为后果关联关系（如文件释放、压缩包包含、资源节包含等关 18

GB/T250662020

系）对关联文件进行分析判定： e）对发现的安全威胁提供识别结果，如相关的文件、域名、IP、URL、互斥量等具备实际响应提 支撑作用的信息。 任何提供以上全部功能，且该功能为主导性功能的产品，均可归人本类（E406)

A.5.4.7奥情分析（E407)

本类产品基于采集的海量网络舆情信息，对某个特定同题的舆情进行监测、汇总和分析，识别其中 的关键信息，形成奥情报表或报告，目的是得到奥情相关的结论。 本类产品的安全功能可主要归纳为三个方面： a）奥情监测； b）奥情分析； c）奥情预测、预警。 任何提供以上一种或数种功能， 导性功能的产品，均可归人本类（E407）

A.5.5安全管理（E5

A.5.5.1安全管理平台（

本类产品是一个信息交换、存储和处理平台，能够对安全信息进行控制管理，目的是对信息安全资 产进行统一管理，增强资产管理的时效性、可控性和全面性。 本类产品的安全功能可主要归纳为七个方面： a 安全产品管理，该平台充许授权主体对安全属性（访问控制列表、能力表等）进行查看或修改 提供对角色的统一管理；对日志信息进行统一收集和处理； b） 补丁管理，对操作系统和安全软件的补丁安装情况设置统一的策略，进行统一的管理； C 升级管理，对操作系统和安全软件的版本升级情况设置统一的策略，进行统一的管理； d）对资产（包括网络设备、安全设备和服务器等）进行监控； 对安全设备进行配置、管理，监测网络上的数据通信； 对安全系统的整体状态进行监测； 其他信息安全相关的资产管理。 任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归人本类（E501）

A.5.5.2安全监控（E502)

5.5.3运维安全管理（E

产品为运维用户提供统一的身份认证 授权，监控和审计运维操作过程，并对违规操作行为进行报警、阻断。该类产品保护的对象是服务器、网 络设备、安全产品、数据库等系统重要资产。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（E503）

A.5.5.4统一身份鉴别与授权（E504）

本类产品针对应用系统进行集中管理，目的是实现一次登录后就可访问所有有权限访问的应用 系统。 本类产品所提供的安全功能可主要归纳为两个方面： a）鉴别管理，通过构建统一用户信息数据库，实现对服务、组织、人员、组、策略以及其他资源的集 中、分层、分组管理； b 授权管理，可授权指定的应用系统给指定的人员访问或使用，并可针对其访问权限进行时间 网段等策略级别控制。 任何提供以上两种功能，且该功能为主导性功能的产品，均可归人本类（E504）

A.5.6安全管理支持其他（EX）

不能归为上述5类的安全管理支持类产品暂归为安全管理支持其他类（EX）

DB41／T 1884-2019 固定式压力容器改造与重大修理监督检验规则不能归为上述5类的信息安全产品暂归为其他类（X)

附录B （规范性附录） 领域属性描述 信息安全产品可具有适用领域属性，领域属性代码为1位字母，见表B.1

信息安全产品可具有适用领域属性，领域属性代码为1位字母，见表B.1。

表B.1信息安全产品适用领域属性与代码

对于三级分类产品具有特定适用领域属性的情况，可在三级分类代码后增加领域属性代码，产品名 你默认为三级分类产品名称前增加其领域属性简称（有特殊命名方式的不作说明）。 以防火墙产品（三级分类代码为C301）为例，当需要说明其具有特定适用领域时GB／T 50558-2019 水泥工厂环境保护设施设计标准，可使用代码 301B代表该产品是适用于工业控制系统领域的防火墙，C301C代表该产品是适用于云计算领域的防 火墙，C301D代表该产品是适用于移动互联领域的防火墙（目前尚未有适用于物联网领域和大数据领 域的防火墙产品，因此C301E和C301F未列出）。 若三级分类产品同时适用于多个领域，可在三级分类代码后依序增加所有适用领域的属性代码。 以防火墙产品（三级分类代码为C301)为例，若该产品同时适用于传统领域和工业控制系统领域， 则其代码为C301AB；若该产品同时适用于工业控制系统领域和移动互联领域，则其代码为C301BD；若 该产品同时适用于传统领域、工业控制系统领域和移动互联领域，则其代码为C301ABD

GB/T25066—2020参考文献[1] GB/T 20271—2006信息安全技术信息系统通用安全技术要求[2]中华人民共和国网络安全法，2016年11月7日.22