信息安全技术 网络和终端隔离产品技术规范-编制说明

一、工作简况任务来源2022年3月6日，全国信息安全标准化技术委员会发布了“《关于发布2022年度网络安全国家标准需求的通知》（信安秘字〔2022〕47号）”，将标准《信息安全技术网络和终端隔离产品技术规范》列为支持的国家标准修订项目，拟对GB/T20277—2015和GB/T20279—2015进行修订。2022年3月16日，由公安部第三研究所牵头并与其他六家单位共同参与提出了对该标准进行修订的申请；2022年4月12日全国信息安全标准化技术委员会下发了《关于组织开展2022年网络安全国家标准立项研讨的通知》（信安秘字〔2022〕76号），通知内容中通报了关于本标准申请单位提交的标准《信息安全技术网络和终端隔离产品技术规范》的相关材料已通过初审，并敦促相关工作组进行标准研讨。2022年4月18-19日，全国信息安全标准化技术委员会WG5工作组召开了2022年第一次全体会议，本次会议讨论和审议了《信息安全技术网络和终端隔离产品技术规范》标准的立项申请，与会专家根据工作组对该标准草案的介绍形成了专家意见，并给出成员单位对标准的评分结果（185家成员单位参与评分，标准排名第三）。在2022年4月24日，全国信息安全标准化技术委员会发布了《关于进一步研究完善2022年网络安全国家标准立项申报相关材料的通知》（信安秘字〔2022〕79号），按通知要求，标准工作组将修改后的标准文本、实施应用方案和相关研究成果提交到标委会。2022年7月4日，根据全国信息安全标准化技术委员会秘书处的组织安排对申报的标准《信息安全技术网络和终端隔离产品技术规范》进行了材料和成果的审核。2022年11月2日，全国信息安全标准化技术委员会秘书处发布了《全国信息安全标准化技术委员会关于2022年网络安全国家标准项目立项的通知》（信安字[2022]26号），本标准修订工作正式获得立项。2023年3月24日，国家标准化管理委员会下达了《关于下达2023年第一批网络安全推荐性国家标准计划的通知》（信安秘字[2023]30号），本标准在该通知计划中，计划号为20230250-T-469,本标准由全国信息安全标准化技术委员会（SAC/TC260）归口管理。主要起草单位和工作组成员本标准由公安部第三研究所牵头并主要负责编制，国家工业信息安全发展研究中心、中国网络安全审查技术与认证中心、北京天融信网络安全技术有限公司、北京安盟信息技术股份有限公司、中孚信息股份有限公司、清华大学、启明星辰信息技术集团股份有限公司、珠海经济特区伟思有限公司、深圳市利谱信息技术有限公司、拓尔思天行网安信息技术有限责任公司、奇安信网神信息技术（北京）股份有限公司、北京蓝象标准咨询服务有限公司、腾讯云计算（北京）有限责任公司、西安交大捷普网络科技有限公司、北京数安行科技有限公司、山东首瀚信息科技有限公司、长扬科技（北京）股份有限公司、郑州信大捷安信息技术股份有限公司、杭州熙羚信息技术有限公司、北京神州绿盟科技有限公司。等单位共同参与了该标准的起草工作。主要参与编制人员包括：陆臻、祝国邦、李旋、顾健、吴其聪、王冲华、申永波、安高峰、刘智飞、马奥、江军、杨春华、焦蒙蒙、沈文杰、左安骥、路文立、张习雨、孙彦、张东举、胡维娜、王路晗、张凌云、张德保、余果、刘玉红、何建峰、焦少波、李士奇、常媛媛等。主要工作过程标准制定的主要工作过程如下：2021年11月至2022年3月，标准编制团队针对网络和终端隔离产品新技术、新应用场景的变化，对网络和终端隔离产品、国内外相关研究文档以及标准等材料进行反复阅读与理解，查阅有关资料的基础上，编写了标准编制提纲，在完成对提纲进行交流和修改的基础上，起草并多次修改调整标准草案初稿。按照全国信息安全标准化技术委员会2022年国家标准项目申报要求提交了2022年立项国家标准修订项目立项申请。2022年4月，标准编制组在2022年全国信息安全标准化技术委员会WG5第一次工作组会议上进行了立项汇报，WG5工作组同意本项目立项。会后，根据工作组成员单位专家意见组织编制组讨论并修改完善草案内容。2022年4月至11月，编制组通过多次研讨会议，对标准草案文本进行了进一步的修改完善。2022年11月，根据全国信息安全标准化技术委员会秘书处发布的《全国信息安全标准化技术委员会关于2022年网络安全国家标准项目立项的通知》（信安字[2022]26号），本标准正式获批为2022年网络安全国家标准修订项目。2022年11月，本项目在全国信息安全标准化技术委员会公开征集标准参编单位，在征集参编单位的过程中，学术研究、产品生产、检验和咨询等机构和厂商积极踊跃的提交了参编申请，收到的参编申请反馈单位40余家。2022年12月2日，公安部第三研究所组织参编单位邀请相关专家对该标准的立项召开了项目启动会，会上专家对标准草案提出了修改意见，会后针对修改意见对标准草案进行了修改和反馈。2022年12月5-9日，全国信息安全标准化技术委员会WG5工作组召开了2022年第三次全体会议，本次会议讨论和审议了《信息安全技术网络和终端隔离产品技术规范》标准的征求意见稿推进申请，与会专家根据工作组对该标准工作组讨论稿的介绍形成了专家意见，并形成征求意见稿。2023年02月03日，全国信息安全标准化技术委员会WG5工作组织召开了《信息安全技术网络和终端隔离产品技术规范》等11项国家标准研讨会，标准编制组重点汇报了2022年第三次标准周上专家提出的意见和建议，与会专家听取了标准编制组的汇报，提出了修改建议，并签订了《网络安全国家标准文本质量把关签字表》，一致同意标准转入征求意见稿阶段。2023年3月24日，国家标准化管理委员会下达了《关于下达2023年第一批网络安全推荐性国家标准计划的通知》（信安秘字[2023]30号），该通知计划为本标准分配计划号，计划号为20230250-T-469。2023年4月4日，全国信息安全标准化技术委员会秘书处下发了《关于召开6项网络安全国家标准专家审查会的通知》信安秘字[2023]36号，组织专家对标准进行审查，形成了专家意见，并同意通过审查，进入征求意见稿，征求意见。标准编制原则和确定主要内容的论据及解决的主要问题为了使网络和终端隔离产品国标一开始就与现有其他国家标准保持一致，本标准的修订参考了现行的其他国家标准，主要有GB/T25066、GB/T18336等。同时也与在研的强制性国家标准《信息安全技术网络安全专用产品安全技术要求》进行了标准一致性的对照。本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：实用性原则标准必须是可用的，才有实际意义，本标准在修订过程中严格按照流程对产品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关产品生产单位的交流，使得标准更贴近产品实际情况，保证操作性。先进性原则标准是先进经验的总结，同时也是技术的发展趋势。要制定出先进的行业标准，必须广泛了解市场上主流产品的功能，吸收其精华，制定出具有先进水平的标准。同时，本标准还积极的与高校联系合作，紧抓产品中的相关技术的发展方向，本标准的编写始终遵循先进性原则。兼容性原则本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，尤其是近些年发布的网络安全法、数据安全法、个人信息保护法以及关键信息基础设施安全保护条例和等级保护系列标准等，标准内容符合我国已经发布的有关政策、法律和法规。2.2编制思路GB/T18336对应国际标准《信息技术安全评估通用准则》（即CC），为信息安全产品领域国际上普遍遵循的标准。本标准引用了其第三部分安全保障要求，并参考了其PP的生成要求；标准格式上依据最新版GB/T1.1-2020进行编制，保证排板和格式等满足最新要求；广泛征集网络和终端隔离产品厂商、高等院校、网络安全厂商、网络安全咨询厂商及用户单位意见，保证标准的普适性。2.3编制背景2017年，《网络安全法》正式施行，对关键信息基础设施的运营者应尽的安全义务提出了法律层面的要求。保障信息安全除了完善的法律规章、严格的管理制度等要素外，网络安全产品的有效部署则是关键手段，这些产品的质量问题直接影响到国计民生的方方面面。网络和终端隔离类产品，是高安全度的企业级网络安全防护设备。它是一类由带有多种控制功能专用硬件，在电路上切断网络之间的物理层连接或者在逻辑上切断网络之间的链路层连接，并能够在网络间进行应用数据交换的网络安全产品。它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。该类产品在政府及企事业单位中得到了广泛的应用，是网络安全中的一个大类产品，而这类产品相关标准的指导意义就显得非常重要了。GB/T20279-2015和GB/T20277-2015是2015年发布的、适用于网络和终端隔离产品的国家标准，这两项标准分别从技术要求和测评方法两个方面，对网络和终端隔离产品进行了等级划分，并对不同等级的产品应具备的功能和性能要求进行了描述。2015版国家标准发布至今已经过去8年，网络和终端隔离产品需要应对的网络环境、应用场景和协议类型均发生了巨大的变化，尤其在物联网、大数据等此类场景中变化明显。主要包括1、原来标准中对于协议支持、攻击防护和容错的要求逐渐不能满足当前协议变化、攻击手段多样、海量数据交换的变化需求，因此对于产品支持的协议应用、恶意代码防护和多台设备构成的集群部署提出了要求；2、原标准中未对网络隔离类产品进行明确分类和定义，用户对于产品的选择上存在困惑，因此标准修订中，明确了网络隔离产品的分类为协议转换产品、网闸和网络单向导入产品，且对于不同接口速率的产品，在性能上进行了分类要求并与网络安全专用产品的要求相一致；3、原标准执行期间，国家相继出台发布了《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》和《网络安全等级保护》等法律、法规和系列标准，为适应新的法律、法规和标准的要求，需要对产品安全技术要求和级别进行重新划分和调整。为配合网络安全法的落地实施，2017年6月1日，网信办、公安部、工信部和认监委联合发布公告《关于发布<网络关键设备和网络安全专用产品目录（第一批）>的公告》，其中就安全隔离与信息交换产品的性能提出了要求；此外，《全国信息安全标准化技术委员会关于2022年网络安全国家标准项目立项的通知》（信安字[2022]26号）中提出，将本项目作为支持修订的国家标准进行研制。2.4编制目的本标准的目标是根据网络和终端隔离产品的新技术和新特性,结合最新版的GB/T18336《安全技术信息技术安全评估准则》，从安全功能要求和安全保障要求等方面，研究修订网络和终端隔离产品的安全技术要求、测试评价方法和等级划分，形成相应的国家标准。修订的国家标准可以给开发厂商进行指导，研发出更贴近市场需要、功能更为完善的网络和终端隔离产品；同时，也能指导产品测评机构、用户单位，在选择评估产品时具备切实可行的方法；通过对产品的合理分级，进一步区分产品的安全功能强度和安全保障能力。2.5标准主要修订依据修改网络和终端隔离产品技术要求修改网络和终端隔离产品的技术要求。针对网络和终端隔离产品的实现原理、技术和使用场景的变化和拓展，以及攻击类型和手段的不断攀升，在新标准中增加应用协议、信息过滤、攻击防护以及集群部署等技术要求，以使标准能够继续保障网络安全销售许可、网络安全专用产品测评工作的开展和实施。明确产品分类、细化产品性能要求明确网络和终端隔离产品的分类、细化产品性能要求。根据新技术、新应用的发展和新业态、新要求的变化，对待修订标准中的产品类型进行重新梳理和定义，明确网络隔离产品包含协议转换和网闸两种类型。根据不同接口速率的产品，对性能提出不同的要求，以使标准更加完整，普适性更强。修改IPv6网络环境要求对网络和终端隔离产品的应用环境要求进行重新整理，根据IPv6的新发展方向，细化IPv6支持的功能条款，进一步满足产品能在下一代网络环境下的正常工作。更新参考标准原标准当时参考的GB/T18336-2008、GB/T22239-2008等标准都已更新。因此，需要根据最新的GB/T18336等标准文件作为引用参考，对标准进行修订，使得修订后的网络和终端隔离产品标准在产品安全功能要求、自身安全要求和安全保障要求方面与现行安全标准体系要求相一致。对标准进行整合。对GB/T20279-2015和GB/T20277-2015标准进行整合，修订为一项标准并修改标准结构，按照信安标委相关要求，推进标准化工作。2.6标准主要内容标准结构本标准的编写格式和方法依照GB/T1.1-2020标准化工作导则第一部分：标准的结构和编写规则。本标准主要结构包括如下内容：范围规范性引用文件术语和定义缩略语概述安全技术要求测评方法附录A附录B范围、规范性引用文件、术语和定义和缩略语该部分定义了本标准适应的范围，所引用的其它标准情况及以何种方式引用，术语和定义部分明确了该标准所涉及的一些术语。在术语中明确了“协议转换”、“信息摆渡”等重要概念，在本标准的具体含义。缩略语部分主要列出本标准中用的缩略语全称及中文解释。概述对网络和终端隔离的各种产品形态，产品的主要功能、标准中的项目要求等进行了概要性质的描述，使得用户可以对该产品有一个直观的了解。网络和终端隔离产品分为网络隔离产品和终端隔离产品两大类。通常网络隔离产品又称为安全隔离与信息交换产品，从产品形态和功能上的不同，该类产品可以分为协议转换产品、网闸和网络单向导入产品三种；终端隔离产品一般指隔离卡或者隔离计算机。网络和终端隔离产品的功能目标是在不同的网络终端和网络安全域之间建立安全控制点，实现在不同的网络终端和网络安全域之间提供访问可控的服务，网络和终端隔离产品保护的资产是受安全策略保护的网络服务和资源等；此外，网络和终端隔离产品本身及其内部的相关数据也是受保护的对象。图1为终端隔离产品的一个典型部署环境。终端隔离产品一般以隔离卡的方式接入目标主机，隔离卡通过电子开关以互斥的形式同时连通安全域A所连的硬盘1和安全域A，或者安全域B所连的硬盘2和安全域B，从而实现内外两个安全域的物理隔离。该类产品也可将隔离卡整合入主机，以整机的形式作为产品。终端隔离产品典型部署环境图2为协议转换产品的一个典型部署环境。该类产品一般以双主机加专用隔离部件的方式组成，即由内部处理单元、外部处理单元和专用隔离部件组成。其中，专用隔离部件实现协议转换和数据传输。该产品用于连接两个不同的安全域，实现两个安全域之间应用代理服务、协议转换、访问控制、信息过滤和数据交换等功能。该产品中的内、外部处理单元通过专用隔离部件相连，专用隔离部件是两个安全域之间唯一的可信物理信道。该内部信道剥离了TCP/IP等公共网络协议，采用私有协议实现协议转换。协议转换产品典型部署环境图3为网闸的一个典型部署环境。该类产品的组成方式与协议转换产品类似，以双主机加专用隔离部件的方式组成。其中，专用隔离部件是采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡。该产品用于连接两个不同的安全域，实现两个安全域之间应用代理服务、信息摆渡、访问控制、信息过滤和数据交换等功能。该产品中的内、外部处理单元通过专用隔离部件相连，专用隔离部件是两个安全域之间唯一的可信物理信道。该内部信道剥离了TCP/IP等公共网络协议，采用协议转换和信息摆渡的方式实现。网闸典型部署环境图4为网络单向导入产品的一个典型部署环境。网络单向导入产品一般以双主机加单向传输部件方式组成，即数据发送处理单元、数据接收处理单元和单向传输部件。网络单向导入产品部署在两个的安全域之间，其中，数据发送处理单元网络接口连接信息发送方安全域A，数据接收处理单元网络接口连接信息接收方安全域B，信息流由发送数据的安全域A单向流入接收数据的安全域B。单向传输部件利用单向传输的物理特性建立两个安全域之间唯一的单向传输通道，数据在这个通道中只能由数据发送处理单元向数据接收处理单元方向的路径单向传输，无任何反馈信号。单向传输部件由一对单向接收部件和单向发送部件构成，单向发送部件安装在数据发送处理单元中，单向接收部件安装在数据接收处理单元中。单向传输部件的单向物理传输特性固化不可修改，任何软件配置、物理跳线等方式都不能更改其部件的单向传输特性以及传输方向，从而实现数据单向导入的可靠性。网络单向导入产品典型部署环境安全技术要求安全技术要求是对网络和终端隔离产品应具备的安全功能要求、自身安全保护要求、性能要求和安全保障要求所提出的具体要求。其中安全功能要求包括类型与结构、访问控制、应用及协议支持、信息过滤、标记和强制访问控制、攻击防护、安全隔离、高可用、数据完整性、安全审计告警与统计，以及有则适用的密码支持、IPv6支持和可选的虚拟化部署等；自身安全保护要求包括身份标识和鉴别、管理能力、管理审计、管理方式、安全支撑系统等；性能要求包括吞吐量和延时等要求；安全保障要求针对网络和终端隔离产品的开发和使用文档的内容提出具体的要求，包括开发、指导性文档、生命周期支持、测试、脆弱性评定等。测评方法测评方法部分包括了安全功能要求测试、自身安全保护要求测试、性能要求测试、安全保障要求测试等，其内容是针对安全技术要求中的基本级安全要求和增强级安全要求逐项所制定的测试评价方法，可用于指导和规范产品的检测工作。新旧标准内容对比本标准代替GB/T20279-2015《信息安全技术网络和终端隔离产品安全技术要求》和GB/T20277-2015《信息安全技术网络和终端隔离产品测试评价方法》，标准名称修改为《信息安全技术网络和终端隔离产品技术规范》，与GB/T20279-2015和GB/T20277-2015相比，除结构调整和编辑性改动外，主要技术变化如下：修改原标准中网络隔离类产品的产品分类；（见第5章）；将网络隔离类产品分为“协议转换产品”、“网闸”和“网络单向导入产品”产品三类，明确产品分类，解决厂商和用户方在产品生产、检测和选购等方面的困惑。增加了概述（见第5章）；概述中包括产品分类和总体说明，产品分类中明确了产品的分类。总体说明中明确了技术规范中包括安全技术要求和测评方法两大块内容，其中安全技术要求又分为安全功能要求、自身安全要求、性能要求和安全保障要求四个大类，测评方法针对安全技术要求中的各项内容指标设计测试评价方法，并描述了网络和终端隔离产品的等级分为基本级和增强级。增加了“结构与类型”要求（见6.1.1）；修订前的标准将产品的结构写在了产品描述的章节中，导致在测评的时候有些厂商误以为标准的技术要求中并没有对产品的结构进行要求，从而对标准产生一些误解，为了解决误会，增加结构与类型的相关要求，在标准的正文中明确了不同产品需要具备的类型结构。修改了原标准中的“信息流控制策略”要求（见）；修订后，标准中的信息流控制策略条款明确了用户使用网络隔离类产品之前需要输入切换口令或者进行身份鉴别，只有进行了身份鉴别后才能使用产品进行数据传输。修改了原标准中的“信息流控制功能”要求（见）；修订后，标准中的信息流控制功能条款明确产品需要完成的数据同步和交换功能等。修改了原标准中“残余信息保护”和“抗重放”两个要求为“客体重用”要求（见）；修订之前的标准中残余信息保护和抗重放两个功能为相关联的功能，一般用户通过产品的残余信息获取敏感数据（口令数据等）进行重放攻击，抗重放就要对残余信息进行擦除或者进行过期处理，因此标准修订后将这两个条款进行了合并，命名为客体重用。此处也体现了与网络安全等级保护的一致性。增加了“应用及协议支持”要求（见6.1.3）；修订后，标准中增加、丰富了应用协议类型，并且对协议进行了分类，以满足实际应用和不同场景的需求。增加了“信息过滤”要求（见6.1.4）；修订后，标准中针对不同的协议类型对协议的信令和关键字进行了分类要求，使要求更明确更合理，如对于数据库同步类，增加了脱敏要求，对音视频类增加了编码格式的要求等。修改了原标准中的“强制访问控制”和“标记”两个要求为“标记和强制访问控制”要求（见6.1.5）；修订之前的标准中强制访问控制和标记两个功能为相关联的功能，一般产品通过标记功能来实现强制访问控制，因此标准修订后将这两个条款进行了合并，命名为标记和强制访问控制。修改了原标准中的“抗攻击”要求为“攻击防护”要求（见6.1.6）；修订后，标准添加了恶意代码防护功能，与修订之前的抗DDoS攻击共同实现攻击防护功能，并要求能够对攻击进行审计记录和告警。修改了原标准中的“域隔离”要求为“安全隔离”要求（见6.1.7）；把标准修订之前较难以理解的域隔离功能条款进行了文字上的变化把基本的域隔离改为域隔离（即不同安全域的隔离），增强的域隔离改为标记隔离，即通过强制访问控制完成主客体之间的隔离，使标准更加容易理解。修改了原标准中的“容错”要求为“高可用”要求（见6.1.8）；修订后，标准增加了集群部署功能要求，增强在数据交互量较大的环境下产品的可用性，满足数据流量大的场景，如云平台、大数据平台之间的数据交互，间接的提高产品性能。增加了“联动（有则适用）”要求（见6.1.12）；修订后，标准对于产品的信息上报和规则策略的接收提出了要求，但是这个要求为有则适用，目前并不强制，以期推动网络安全产品之间的互联互通。修改了原标准中的“环境适应性要求”要求为“IPv6支持（有则适用）”要求（见6.1.13）；修订后，标准将持续保障推进国家下一代互联网建设，将修订前的可选项“双协议栈”，变为有则适用项，增强了IPv6支持的要求，同时删除不适用于网络隔离产品的条款，如协议转换。增加了“虚拟化支持（可选）”要求（见6.1.14）；虚拟化支持是将产品的内外端机以虚拟机或者容器的方式进行部署，也充分考虑了产品放在云环境中，可以做到租户隔离等功能，这里只是对产品的内外端机进行虚拟化，并没有改变产品的物理结构，与技术要求中结构与类型并不冲突。增加了“自身安全要求”章节（见6.2）；整合了原标准安全功能要求中与产品自身安全相关的条款，满足标准的结构化、体系化。增加了“安全支撑系统”要求（见6.2.5）；根据安全漏洞管理等相关规定，要求产品本身的健壮性以及不能有已知的中高风险漏洞。修改了原标准中的“性能要求”（见6.3）；修改了性能要求的指标，满足网专产品测试需求的同时，对产品的性能分别进行要求，针对不同网络速率的产品提出针对性更强的要求。修改了原标准中的“安全保障要求”（见6.4）；按照最新版的18336重新整理了标准的安全保障要求部分。增加了规范性附录（见附录A、附录B）。将标准的产品分类和级别要求放在了附录中，标准正文中仅提技术和保障要求等内容，使标准变的更加的简洁和清晰。三、主要试验[或验证]情况分析据咨询机构弗若斯特沙利文（Frost&Sullivan）调研显示：截止到2020年底，中国网闸市场规模达到552.8百万元人民币，较2019年增长了5.5%，预计到2021年底，网闸市场规模将达到584.8百万元人民币，年增长率达到5.8%，2021年至2025年年均复合增长率达7.3%。原标准的实施为网络和终端隔离产品在各行业的推广起到了良好的作用。在《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》、“等保2.0”以及各行业法律法规的推动下，网络和终端隔离产品市场迎来了新的发展机遇；同时，随着产品功能、性能方面的升级，其应用将会在更多垂直行业全面铺开，因而市场规模整体也将保持相对稳定增长趋势。目前，中国网络和终端隔离产品市场仍处于增长期，产品适用范围仍在不断拓展中，对政府及军队客户的依赖度较高，市场增长的贡献目前主要还是来自于这两个应用市场对于内部数据、信息安全保护方面的需求。另一方面，随着产品功能的愈发成熟以及产品市场的多元化发展，网络和终端隔离产品除了在政府、军队、医疗等传统应用行业渗透更为深入，在智能交通、智慧城市、能源、传媒、电信、教育、金融等行业的应用也不断拓展铺开，在整体应用市场规模中的份额也逐步提高，为未来网络和终端隔离产品市场的稳定发展提供了保障。此外，随着各行各业的不断发展，行业需求方对于网络和终端隔离产品的技术要求进一步提高，能够提供突出性能、稳定性、智能化协同能力网络和终端隔离产品的厂商将在行业中获得更为广泛的应用。本项目将由公安部第三研究下属的公安部计算机信息系统安全产品质量监督检验中心具体承担应用推广工作。中心从事信息安全产品质量监督检验已20余年，积累了丰富的产品检测经验，并主持、参与编制了多个国家、行业标准和检验规范。中心每年完成各类信息安全产品检测产品2000多项，其中涉及网络和终端隔离产品近100项。待标准完成修订正式发布后，将以此为依据，对国内外网络和终端隔离产品进行检测，这是将标准广泛应用推广的有效途径。公安部计算机信息系统安全产品质量监督检验中心在2019和2021三年时间内完成了大概60多家厂商研发生产的250多款不同型号/版本的网络和终端隔离产品的检测，覆盖国内网络和终端隔离产品的主流厂商。对所检测的产品进行统计分析，网络隔离产品（网闸）和网络单向导入产品占网络和终端隔离类产品的绝大部分（90%以上）且数量有逐年上升趋势，隔离卡、隔离计算机以及协议隔离产品数量稳定。同时，在产品的测试过程中，产品的性能测试结果，包括吞吐量和系统延时指标逐年变优。根据产品的分类数量分布和性能指标，引导了产品的发展方向。四、知识产权情况说明本标准不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果在1994年国务院147号令颁布了《中华人民共和国计算机信息系统安全保护条例》，为保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行提出了法律层面的保障，条例中第十六条规定“国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。”在1997年公安部第32号令发布施行了《计算机信息系统安全专用产品检测和销售许可证管理办法》，此后销售许可制度沿用至今。在2002年中国网络安全审查技术与认证中心发布了《信息安全产品测评认证管理办法》，为信息安全产品的认证提供了依据。随着网络以及网络安全技术的发展在2017年国家互联网信息办公室、公安部、工业和信息化部和国家认证认可监督管理委员会联合发文，发布了《网络关键设备和网络安全专用产品目录（第一批）》的公告，公告中明确了列入《网络关键设备和网络安全专用产品目录》的设备和产品，应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。由此可见国家对网络安全产品的销售具有严格的管理，因此标准在产品的销售许可上具有重要的作用。在GB/T22239-2019《信息安全技术网络安全等级保护基本要求》国家标准的第四级系统中明确要求被保护系统应在网络边界通过通信协议转换或通信协议隔离等方式进行数据交换，等级保护中对网络隔离类产品的应用部署提供了实施的意见和要求。因此，在国家的法律、法规和网络安全等级保护制度中均为该类产品的实施应用指明了方向，提供了指导。该标准的修订发布，首先，能够指导产品的生产厂商对产品进行设计、研发、生产和销售；第二，能够指导检测认证机构对该类型产品进行测评认证工作，包括上文中所述的公安部计算机信息系统安全专用产品销售许可证、国家信息安全产品认证、网络关键设备与网络安全专用产品认证等，标准应用于几乎所有的网络安全专用产品管理领域。第三，还能够对用户单位的应用部署进行有效指导，形成部署方案并落地，满足等级保护、关键信息基础设施保护等相关法律法规的合规性要求。在公安部计算机信息系统安全产品质量监督检验中心业务管理平台中查询到网络和终端隔离产品2019年至2021年近3年受理检测、认证的数量分别为87款、88款和83款。在中华人民公安部计算机信息系统安全专用产品销售许可服务品台，查询到销售许可证在有效期内的产品近300款，显示了自2018年6月份以来至今通过产品检测拿到销售许可的产品数量，年均通过销售许可检测的产品数量在75个左右。数据显示在2015版国家标准的执行阶段，网络和终端隔离产品的送检数量稳定，为相关厂商对产品的研发、检测提供了依据。待新标准完成修订正式发布后，将以此为依据，对国内外网络和终端隔离产品进行检测和认证，这是将标准广泛应用推广到产品厂商的有效途径。修订后的国家标准能够更加有效的指导网络和终端隔离产品的研发、生产、选型和采购，更加有效的推动整个网络和终端隔离产品产业链的发展，更加有效的对国家的网络安全进行防护，因此，产业化具有良好的前景。六、采用国际标准和国外先进标准情况网络和终端隔离产品在不同的网络终端和网络安全域之间建立安全控制点，实现了在不同的网络终端和网络安全域之间进行安全隔离和数据交换的功能，通过隔离卡、协议转换、数据摆渡和数据单向传输技术，对处于不同安全域的信息系统提供边界保护。该类产品在政府及企事业单位