GB／T 25066-2020 标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

GB／T 25066-2020 信息安全技术 信息安全产品类别与代码

A.1.2物理安全（A2)

A.1.2.1防盗（A201)

本类产品采用相关信息技术为支撑NY/T 2420-2013 植株全钾含量测定 火焰光度计法，提供对设备或部件的防盗保护（如网络探测报警），目的是 备和部件免遭人为盗窃。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（A201)

A.1.2.2防毁（A202)

本类产品采用相关信息技术为支撑，提供对设备的防毁保护，目的是保护设备免遭 和八为 段坏。 本类产品所提供的安全功能可主要归纳为两个方面： a）对抗自然力的破坏，使用一定的防毁措施（如网络远程控制防护）保护系统设备和部件； b）对抗人为的破坏，使用一定的防毁措施（如网络远程防拆报警）保护系统设备和部件。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归人本类（A202）

A.1.2.3防线路截获（A203）

本类产品采用相关信息技术为支撑，防止通信线路中传输的信息被非授权截获，目的是提高敏感信 息在传输过程中的安全性。 本类产品的安全功能可主要归纳为两个方面： a）探测线路截获，发现线路截获并报警； b）定位线路截获，发现线路截获设备工作的位置。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归人本类（A203）。 A.1.2.4电源保护（A204） 本米产日

.1.2.4电源保护（A204

本类产品采用相关信息技术为支撑，为系统设备的 急定性。 本类产品的安全功能可主要归纳为两个方面： a）对工作电源的工作连续性的保护，如不间断电源； b）对工作电源的工作稳定性的保护，如纹波抑制器。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归人本类（A204）

GB/T25066—2020

A.1.2.5介质安全（A205）

本类产品采用相关信息技术为支撑，提供对介质及其承载数据的防护或销毁，目的是防正数据被非 授权访问、删除或者已删除的敏感数据被非授权恢复。 本类产品的安全功能可主要归纳为三个方面： a）介质数据的防盗，如防止介质数据被非授权拷贝； b）介质数据的销毁，包括介质的物理销毁和介质数据的彻底销毁（如消磁等），防止介质数据删除 或销毁后被他人恢复而泄露信息； c）介质数据的防毁，防止意外或故意的破坏使介质数据丢失， 任何提供以上一种或数种功能，且该功能为 主导性功能的产品，均可归入本类（A205）

物理环境安全其他（A》

A.2通信网络安全（B

A.2.1通信安全(B1)

虚拟专用网（B101） 本类产品提供在公共通信基础网络上以逻辑方式隔离出安全通讯链路的基本功能，目的是在互联 网链路或移动互联网链路等物理链路上建立专用的安全传输通道，保障数据网络传输的安全性。 本类产品的安全功能可主要归纳为五个方面： a）通信方的身份鉴别； b）密钥协商，通过协商产生工作密钥等； c） 安全传输隧道建立； d） 安全数据传输，通过对传输数据的分段、压缩及解压缩、加密及解密、完整性校验等保证数据的 安全传输； e） 密钥动态更新。

A.2.2网络监测与控制（B2)

A.2.2.1网络入侵检测（B201)

安全策略的行为和被攻击的迹象， ?(B201)

A.2.2.2网络活动监测与分析（B202）

本类产品对网络传输信息进行监测与分析，目的是为管理员进行网络管理提供支持。 本类产品的安全功能可主要归纳为两个方面： a）根据不同的网络协议进行监测，对网络通信信息进行记录并还原； b）通过流量分析等手段将网络活动信息与预先设置好的安全策略进行匹配，从而发现网络活动 异常。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类（B202）

本类产品对网络传输信息进行监测与分析，目的是为管理员进行网络管理提供支持， 本类产品的安全功能可主要归纳为两个方面： a）根据不同的网络协议进行监测，对网络通信信息进行记录并还原； b）通过流量分析等手段将网络活动信息与预先设置好的安全策略进行匹配，从而发现网络活动 异常。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类（B202）。

A.2.2.3流量控制（B203）

本类产品是对安全域的网络进行流量监测和带宽控制的流量管理系统，可实现合理的带宽分配，目 的是优化带宽资源的使用，避免网络拥塞，从而保护关键应用的带宽占用，提高带宽利用率。 本类产品的安全功能可主要归纳为两个方面： a）流量监测，监测和分析网络流量的分布情况； b）带宽控制，提供带宽限制、带宽预留、带宽保证等带宽管理功能。 任何提供以上全部功能，且该功能为主导性功能的产品，均可归人本类（B203）

A.2.2.4上网行为管理（B204）

A.2.2.6信息过滤（B206）

本类产品根据预先定义的规则来过滤网络信息，目的是对过滤策略中定义的网络流入/流出信息进 行筛选控制。 本类产品的安全功能可主要归纳为四个方面： a）文本过滤； b）图片过滤； c）多媒体流过滤； d）其他信息过滤。 任何提供以上一种或数种功能

A.2.3通信网络安全其他（BX

不能归为上述2类的通信网络安全类产品暂归为通信网络安全其他类（BX)。

A.3区域边界安全（C)

A.3.1隔离(C1)

4.3.1.1终端隔离(C101

离卡或安全隔离计算机，

A.3.1.2网终隔离(C102)

本类产品是位于两个不同安全域之间，采用协议隔离技术在网络上实现安全隔离与信息交换的 产品。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（C102）

本类产品是位于两个不同安全域之间，采用协议隔离技术在网络上实现安全隔离与信息交换的 产品。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（C102）

A.3.1.3网络单向导入(C103)

本类产品位于两个不同安全域之间，通过物理方式构造信息单向传输的唯一通道，实现信 人，并且保证只有安全策略充许传输的信息可以通过，同时反方向无任何信息传输或反馈。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（C103）。 3.2入侵防范(C2)

本类产品位于两个不同安全域之间，通过物理方式构造信息单向传输的唯一通道，实现信息单向 并且保证只有安全策略允许传输的信息可以通过，同时反方向无任何信息传输或反馈。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（C103）。 2入防范(C2)

人，并且保证只有安全策略允许传输的信息可以通过，同时反方向无任何信息传输或反馈

A.3.2.1网络入侵防御（C201)

本类产品在网络入侵行为进入被保护网络之前通过报警阻断或干扰隔离（如蜜罐技术）等措施为网 络提供防护，目的是对网络人侵行为进行阻止。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（C201）

A.3.2.2网络恶意代码防范（C202)

本类产品侧重于防护网络系统资源，针对恶意代码（如木马、恶意脚本、病毒等）的网际传播提供过 虑功能，目的是防止恶意代码通过网络进行扩散。 本类产品的安全功能可主要归纳为两个方面： a）防病毒网关； b）网际恶意代码防范。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类（C202)

抗拒绝服务攻击（C203

A.3.3边界访问控制（C3)

A.3.3.1防火墙（C301)

本类产品部署于不同安全域之间，针对系统的网络数据流人/流出提供深度内容检测和防御，目 止安全域外部连接的非授权进入内部或者是内部的异常行为或流量外发，以及通过多元素、精细 问控制手段阻断特定的内外连接。 任何提供以上功能.且该功能为主导性功能的产品，均可归人本类（C301）

A.3.3.2安全路由器（C302)

本类产品集成常规路由功能与网络安全功能，除普通路由功能以外，内置防火墙、IPSec等模块，提 供网络互连、流量控制、网络和信息安全维护等安全功能，目的是阻止安全域外部连接的非授权进人内 部，以及保障网络通信的安全性。 任何提供以上功能且该功能为主导性功能的产品，均可归入本类（C302）

A.3.3.3安全交换机（C303）

制、VLAN、基于802.1X的接人控制等安全功能，目的是保障安全域数据交换的安全性， 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（C303）

A.3.4接入安全(C4)

终端接入控制（C401） 本类产品提供对接入网络的终端进行访问控制的功能，能发现终端接入网络的行为，并能根据访问 空制策略采取行动（如允许授权终端接人、断开非授权的终端连接等），目的是通过对终端接人的控制， 保障安全域边界安全。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（C401

A.3.5区域边界安全其他（CX）

不能归为上述4类的区域边界安全类产品暂归为区域边界安全其他类（CX)。

A.4计算环境安全（D)

A.4.1计算环境防护(D1)

.4.1.1可信计算（D101

本类产品利用可信计算平台模块，对主机用户进行身份鉴别以及信息加密，目的是提供可信 境。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（D101)

A.4.1.2身份鉴别（主机）（D102）

本类产品在主机设备的用户执行授权操作前，要求用户提供以电子信息或生物信息为载体的身份 及鉴别信息，对其进行鉴别，目的是确认主机系统使用者的身份。 本类产品的安全功能可主要归纳为六个方面： a 基于智能卡的身份鉴别，包括COS、芯片和读卡器： b PKI/CA证书身份鉴别； C 动态口令身份鉴别； d) 基于RFID的身份鉴别； e) 基于生物特征的身份鉴别，如手形、指纹/掌纹、脸形、虹膜、视网膜、脉搏、耳廓等； f） 基于行为特征的身份鉴别，如签字、语音、按键力度等。 任何提供以上一种或数种功能，目该功能为主导性功能的产品，均可归人本类（D102)

GB/T 250662020

A.4.1.3主机入侵检测(D103）

本类产品对抵达主机的数据进行监测，从主机或服务器上采集包括操作系统日志、系统进程、文件 方同和注册表访问等数据，并根据事先设定的策略判断数据是否异常，从而决定采取报警、控制等措施， 目的是对人侵主机行为进行发现和阻止。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D103）

A.4.1.4主机访问控制（D104)

本类产品针对受控主机，统一分配用户对主机资源的访问权限，用户根据预先定义的访问控制策略 对受控主机的资源（如系统登录权限、文件和文件夹、外设接口、应用程序、进程等）进行访问，目的是保 护主机资源不被非授权访问和使用。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D104）

A.4.1.5主机型防火墙（D105

本类产品针对主机设备上的入站和出站网络连接提供保护功能，并能够通过预先定义的规则，执行 基于网络地址和基于应用的访问控制，一般为软件，目的是对主机设备提供网络综合防护。一般运行于 服务器上的主机型防火墙还可以对所有的节点进行统一控制，实施统一的安全策略与响应。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D105）

A.4.1.6终端使用安全（D106）

本类产品提供对接入系统的终端进行保护的功能，目的是保障终端资源和运行环境的安全 本类产品的安全功能可主要归纳为六个方面： a） 防止对终端的未授权使用（如终端使用口令保护等）； b） 阻止恶意程序运行； c） 钓鱼检测与拦截； d） 软件升级与管理； e） 系统资源回收： 系统环境备份与恢复。 Z1C 任何提供以上一种或数种功能 导性功能的产品，均可归入本类（D106）

A.4.1.7移动存储设备安全管理（D107

本类产品通过对移动存储设备采取身份认证、访问控制、审计机制等管理手段，实现移动存储设备 与主机设备之间的可信访同，以保护主机设备资源安全 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D107)

.4.2防恶意代码（D2）

主机恶意代码防治（D201） 本类产品提供对主机恶意代码的防治功能，侧重于防护本地主机资源。通过对内容或行为的判断 建立系统保护机制，预防、检测、隔离、清除、删除主机恶意代码，目的是检测发现或阻止恶意代码的传播 以及对主机操作系统、应用软件和用户文件的篡改、破坏和非法占有等。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D201）

A.4.3操作系统安全（D3)

1安全操作系统（D301)

本类产品是指从系统设计、实现和使用等名 段都遵循了一套完整的安全策略的操作系统，如嵌 人式安全操作系统、移动智能终端安全操作系统等，目的是在操作系统层面保障系统安全。 任何具有不同安全级别的安全操作系统 可归入本类（D301）

A.4.3.2操作系统安全部件（D302)

本类产品以安全部件的形式增强现有操作系统的安全性，目的是在操作系统层面保障系统安全。 本类产品的安全功能可主要归纳为两个方面： a）通过构造安全模块，增强现有操作系统的安全性； b）通过构造安全外罩，增强现有操作系统的安全性。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归人本类（D302）

A.4.4应用安全防护（D4)

A.4.4.1身份鉴别（应用）（D401）

本类产品在应用服务的用户执行授权操作前，要求用户提供以电子信息或生物信息为载体的身份 及鉴别信息，对其进行鉴别，目的是确认应用系统使用者的身份 本类产品的安全功能可主要归纳为六个方面： a 基于智能卡的身份鉴别，包括COS、芯片和读卡器； b）PKI/CA证书身份鉴别; ） 动态口令身份鉴别； d 基于RFID的身份鉴别； e 基于生物特征的身份鉴别，如手形、指纹/掌纹、脸形、虹膜、视网膜、脉搏、耳廓等； f）基于行为特征的身份鉴别，如签字、语音、按键力度等。 任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归人本类（D401）

WEB应用防火墙（D4

本类产品部署于WEB应用和WEB服务器之前，通过分析WEB应用层协议，根据预先定义的过 滤规则和防护策略，对所有WEB应用和服务器的访问请求与响应进行过滤，目的是实现对WEB应用 及WEB服务器的安全防护。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（D402)

A.4.4.3邮件安全防护（D403）

4.4.4.4网站恢复（D404

本类产品提供对网站内容（包括静态网页文件、动态脚本文件、网页目录、网站数据库等）的实日 对网站内容的非授权更改进行识别，并能用备份文件进行自动恢复，目的是实现对网站内容的 护。

GB/T25066—2020

任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D404

A.4.4.5应用安全加固（D405）

A.4.5应用安全支持（D5）

A.4.5.1业务流程监控(D501)

立，针对业务行为、业务内容设置访问控制策略，对检测到的攻击行为执行阻断或联动其他设备进行阻 新，并采用行为分析技术检测网络攻击行为和保密性问题，实现有效检测ODay攻击和APT攻击 本类产品的安全功能可主要归纳为三个方面： a）业务流程监控； SA b）业务行为监控； ）网络攻击检测与监控。 任何提供以上全部功能，且该功能为主导性功能的产品，均可归入本类（D501）

.4.5.2源代码审计（D5

本类产品是针对系统开发过程中的源代码进行安全审计检测，检测缓冲区溢出、代码注入、跨站脚 本、输入验证、API误用等缺陷，检测编码规范性，目的是对源代码安全问题进行分析和验证。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D502)

A.4.5.3网站监测(D503)

本类产品针对天规模网站进行持续、多维度（如WEB系统扫描监控、网站防钓鱼监控、网负术马监 则、网页篡改监测、网页敏感信息监测、暗链检测、网站应用监测、域名监测等）安全监测，并可结合安全 风险评估模型实时进行网站安全风险评估，目的是实时了解所有WEB资产面临的风险，实现快速故障 定位。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D503）

A.4.5.4应用软件安全管理（D504）

本类产品基于应用软件安全管理策略（如软件白名单、证书签名、服务端策略等)对设备上的应用软 件安装、运行等进行安全管理，目的是保障设备上应用软件的安全和可控 本类产品的安全功能可主要归纳为三个方面： a）对设备上应用软件的安装进行管理； b）对设备上应用软件的启动进行管理； c）对设备上应用软件所能访问的设备资源进行权限控制。 任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归入本类（D504)

A.4.5.5应用代理（D505

本类产品为应用提供代理服务，实现对应用层通信流的协议剥离、数据落地、内容审计、异常告警

GB/T250662020

协议转换及数据缓存等功能， 之间应用服务的安全性。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（D505）

A.4.5.6负载均衡(D506)

本类产品提供链路负载均衡、服务器负载均衡、网络流量优化和智能处理等功能，目的是降低负载， 优化网络性能，提高服务运行的稳定性，提高资源利用率、应用性能和用户体验。 本类产品的安全功能可主要归纳为两个方面： a）将用户的访问请求根据一定的算法合理分摊到不同的网络线路上传输，保障传输的可靠性，提 升传输效率； b）将用户的访问请求根据一定的算法合理分摊到不同的服务器上处理，保障应用的可靠性和连 续性，优化服务器处理性能。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归人本类（D506）

A.4.5.7数字签名（D507)）

本类产品提供签名验签、完整性和不可否认性鉴别等功能，目的是保障应用数据的完整 寸不可 人性。 本类产品的安全功能可主要归纳为两个方面 a）签名：提取数据的摘要信息，并使用用户的私钥对摘要信息进行签名； b）验签：使用用户的公钥对签名信息进行验证，并以此验证原始信息的完整性与不可否认性 任何提供以上两种功能，且该功能为主导性功能的产品，均可归入本类（D507）

本类产品提供签名验签、完整性和不可否认性鉴别等功能，目的是保障应用数据的完整性与不 性。 本类产品的安全功能可主要归纳为两个方面： a）签名：提取数据的摘要信息，并使用用户的私钥对摘要信息进行签名； b）验签：使用用户的公钥对签名信息进行验证，并以此验证原始信息的完整性与不可否认性 任何提供以上两种功能，且该功能为主导性功能的产品，均可归入本类（D507)

A.4.6数据安全防护(D6)

A.4.6.1数据加密（D601)

本类产品用于防御攻击者窃取以文件等形式存储的数据，目的是保障存储数据的安全。 本类产品的安全功能可主要归纳为两个方面： a）采用密码技术对存储的数据进行加密（如文件加密、整盘加密等手段），确保攻击者即使获取数 据仍无法解析出明文； b）采用信息隐藏技术实现数据的隐蔽存储，确保攻击者即使获取数据仍无法获取隐藏的信息。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归人本类（D601）。

A.4.6.2数据泄露防护（D602)

本类产品在主机、文印设备、网络中通过对安全域内部敏感信息输出的主要途径进行控制和审计 的是防止安全域内部敏感信息被非授权泄露。 本类产品的安全功能可主要归纳为三个方面： a）外设接口输出控制和审计； b）文印设备（如打印机、复印机、扫描仪、刻录机等）输出控制和审计； C 网络输出控制和审计（控制点包括网络边界出口或主机）。 任何提供以上一种或数种功能，且该功能为主导性功能的产品，均可归人本类（D602）

A.4.6.3数据脱敏（D603)

据变形，目的是防范敏感信息外泄。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（D603）

GB/T 250662020

A.4.6.4数据清除（D604）

本类产品采用信息技术（如覆写）进行逻辑级底层数据清除，实现对存储介质所承载数据的彻底销 毁，目的是防止已删除的敏感数据被非授权恢复导致数据外泄。 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D604)

A.4.6.5数据备份与恢复（D605）

A.4.7数据平台安全（D7

A.4.7.1安全数据库（D701)

本类产品是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略 系统，目的是在数据库层面保障数据安全。 任何具有不同安全级别的安全数据库系统均可归入本类（D701）

A.4.7.2数据库安全部件（D702

本类产品是以现有数据库系统所提供的功售 以安全部件的形式增强现有数 据库系统的安全性，目的是在数据库层面保障数据安全， 本类产品的安全功能可主要归纳为两个方面： a）通过构造安全模块，增强现有数据库系统的安全性； b）通过构造安全外罩，增强现有数据库系统的安全性。 任何提供以上一种或两种功能.且该功能为主导性功能的产品，均可归入本类（D702）

本类产品是以现有数据库系统所提供的功能 以安全部件的形式增强现有 系统的安全性，目的是在数据库层面保障数据安全， 本类产品的安全功能可主要归纳为两个方面： a）通过构造安全模块，增强现有数据库系统的安全性； b）通过构造安全外罩，增强现有数据库系统的安全性。 任何提供以上一种或两种功能，且该功能为主导性功能的产品，均可归入本类（D702)

A.4.7.3数据库防火墙（D703）

本类产品基于数据库协议分析与防火墙控制技术提供对数据库的访问控制、语句拦截、操作阻迷 审计等功能，目的是保障数据库系统的安全， 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D703）

本类产品基于数据库协议分析与防火墙控制技术提供对数据库的访同控制、语句拦截、操 行为审计等功能，目的是保障数据库系统的安全 任何提供以上功能，且该功能为主导性功能的产品，均可归人本类（D703）

A.4.8计算环境安全其他（DX

A.5安全管理支持（E)

A.5.1综合审计（E1)

GB/T250662020

DB41T 1896-2019 钢丝绳电动葫芦用减速机密封性试验规程A.5.2应急响应支持（E2）

A.5.3密码管理(E3)

5.3.1密码设备（E301

本类产品提供密码信息存储并执行密码算法运算，目的是为保障信息的保密性提供基础设施支持， 如商用加密机、加密卡等。相关要求均应遵照国家有关密码政策执行。 任何提供以上功能，且该功能为主导性功能的产品，均可归入本类（E301）

TB/T 2074-2020 电气化铁路接触网零部件试验方法A.5.3.2公钥基础设施（E302)

本类产品支持公钥管理体制的基础设 别、加密、完整性和不可否认服务。组件一般食 证机构CA、注册机构RA、密钥管理中心KMC、证书目录服务等关键组件。 任何提供以上功能或组件的产品，均可归人本类（E302）

A.5.4风险评估与处置（E4)