国家标准《网络安全技术 USB移动存储介质管理系统技术规范》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据《全国网络安全标准化技术委员会关于17项网络安全国家标准项目立项

的通知》（网安字〔2024〕2号），推荐性国家标准《网络安全技术USB移动存储

介质管理系统技术规范》立项，由上海国际技贸联合有限公司牵头制定。国家标

准化管理委员会标准计划号：2024XXXX-T-XXX。该标准由全国网络安全标准化

技术委员会归口管理。

1.2主要起草单位和工作组成员

北京锐安科技有限公司牵头，公安部第三研究所、中国网络安全审查技术与

认证中心、北京珞安科技有限责任公司、北京北信源软件股份有限公司、北京天

融信网络安全技术有限公司等近30家单位共同参与该标准的起草工作。主要起草

人：吴其聪、贾徽徽、李旋、胡念妍等。

1.3主要工作过程

1）草稿（第一稿）

2023年7月，全国网络安全标准化技术委员会发布了《关于发布2023年度

第二批网络安全国家标准需求的通知》，USB移动存储介质管理系统技术规范是

其中一项。

根据项目工作要求，我单位立即成立了标准工作小组，并邀请该类产品生产

厂商、产品检测认证机构、科研院所等单位组建了标准编制组，联合申报该标准，

并组织编写了申报材料。在充分调研的基础上，完成了标准草案第一稿。

2）草稿（第二稿）

2023年8月，全国网络安全标准化技术委员会WG5工作组在北京召开2023

年工作组第二次全体会议，组织研讨2023年第二批立项标准。标准编制组根据

现场专家和WG5组成员单位的意见对标准草案进行了完善。

2023年9月，2023年国家网络安全宣传周期间，全国网络安全标准化技术

委员会在福州组织召开2023年第二批网络安全国家标准立项专家评审会。编制

1

组根据专家意见，结合GB42250，统一了标准的模板。

2024年2月，全国网络安全标准化技术委员会发布了立项通知（网安字〔2024〕

2号）确定标准名称为《网络安全技术USB移动存储介质管理系统技术规范》。

随后，标准编制组在全国网络安全标准化技术委员会网站公开征集参编单位，目

前编制组成员共25家。

2024年3月，国家市场监督管理总局国家标准技术审评中心组织召开2024

年信息技术领域推荐性国家标准立项评估会。标准编制组汇报了该标准立项的必

要性和可行性、适用范围、拟解决的主要问题、技术先进性和创新性、与现有法

律法规及相关标准的协调配套、实施主体及建议等内容。

2024年3月到4月，标准编制组内部针对标准草稿开展了多轮线上征求意

见和讨论工作，对标准草案进行了完善，形成了标准草案（第二稿）。

3）草稿（第三稿）

2024年4月16日，WG5工作组在北京召开14项网络安全产品标准研讨会议，

与会专家对USB移动存储介质管理系统的使用场景、防护模式等技术要求进行了

质询，并建议全文需要统一产品组件名称，对产品的技术实现方式以及部署方式

进行说明。根据专家意见，标准编制组针对标准草稿文本进行了修改：增加附录

B，在附录B中对产品的组件，技术实现方式以及部署方式进行了说明；增加了

介质识别要求，介质唯一标识要求，对于介质识别信息（生产厂商、硬件序列号

以及容量等硬件信息）通过产品采用一定的运算后生成介质唯一性标识；进一步

明确了“用户鉴别”的要求等。最终形成了标准草稿（第三稿）。

4）征求意见稿（第一稿）

2024年6月12日，全国网络安全标准化技术委员会2024年第一次会议周

WG5组全体会议上，标准编制组就标准拟解决问题、标准编制组及编制工作进展、

标准编制思路和主要内容、意见处理情况、试点应用方案进行了汇报。与会专家

针对互联互通要求和强制访问控制等方面提出了修改意见。

根据专家意见，标准编制组针对标准草稿文本进行了修改：对互联互通说明

了适用条件，细化了强制访问控制功能，增加了安全标记和强制访问控制的要求。

形成了征求意见稿（第一稿）。

5）征求意见稿（第二稿）

2

WG5工作组组织责任专家（锁延峰）和责任编辑（王秉政）对标准征求意见

稿（第一稿）的内容进行了审查，并于2024年7月22日，通过腾讯会议召开

14项网络安全产品标准研讨会议。与会专家对互联互通内容提出了修改意见，

建议按照互联互通功能接口及信息格式，归类标准中互联互通相关条款。

会后编制组根据会上专家及责任专家和责任编辑的意见，对标准文本进行了

修改，形成了征求意见稿（第二稿）。

6）征求意见稿（第三稿）

标准编制组内部以文件形式征求意见，根据收集的反馈意见和部分厂商的标

准验证结果对标准文本进行了修改，修改内容主要包括：明确了文件授权的对象

为用户，并按GB/T18336—2024修改了安全保障要求部分，形成了征求意见稿

（第三稿）。

7）征求意见稿（第四稿）

2024年9月，全国网络安全标准化技术委员会秘书处在北京组织召开网络

安全国家标准征求意见稿审查会。参会专家一致同意标准通过审查，建议编制组

根据会议意见修改后，发起公开征求意见。编制组根据专家意见，对标准进一步

修改完善。此次修改包括：对引言进一步完善，对部分安全功能要求和测评方法

进行细化，统一互联互通条款的格式并对互联互通功能、信息和接口要求进行细

化等，形成了征求意见稿（第四稿）。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1标准编制原则

USB移动存储介质管理系统是关于调整《网络关键设备和网络安全专用产品

目录》的公告（2023年第2号），指定的《网络关键设备和网络安全专用产品目

录》内的网络安全专用产品。《网络安全技术USB移动存储介质管理系统技术规

范》的编制，遵循以下原则：

1、依法合规

符合《中华人民共和国网络安全法》第二十三条，支撑网信部门、公安部门

的网络安全专用产品的检测和认证工作；

符合GB42250-2022信息安全技术网络安全专用产品安全技术要求、GB/T

3

25066-2020信息安全技术信息安全产品类别与代码

2、实用性原则

本标准用于网络安全专用产品的检测认证，考虑该类产品的现状和发展趋势，

规范、引领产品的研发和检测工作。

2）标准编制组中包含该类产品的主要厂商，能够保证标准的技术要求条款

可在产品上落地实现。

3）标准编制组包含网络安全产品测评和认证机构，能够保证标准中的测试

评价方法具有可操作性。

4）参考USB移动存储介质管理系统的销售许可和网专检测出具的近百份报

告，使标准能够指导产品厂商按照标准要求研发、生产产品，保护重要信息系统

和关键信息基础设施安全。

3、先进性原则

充分研究该类产品的安全需求、实现技术，以及发展趋势，并参考国际标准

ISO/IEC154082023，保证标准文本的先进性。

4、兼容性原则

与现有的网络安全专用产品国家标准衔接、兼容。

2.2编制背景

2023年7月3日，国家互联网信息办公室会同工业和信息化部、公安部、

国家认证认可监督管理委员会等部门更新了《网络关键设备和网络安全专用产品

目录》，将USB移动存储介质管理系统列入网络安全专用产品。USB移动存储介

质管理系统是对USB移动存储介质的访问采取身份认证、访问控制、审计机制等

管理手段，实现信息系统中对USB移动存储介质的授权访问。信息化的发展过程

中，U盘、移动硬盘等USB移动存储设备，由于使用灵活、携带方便，且储存

容量也越来越大，使它在各级应用中迅速得到普及，几乎每个单位都拥有大量的

移动存储设备，但是在使用便利的同时，也有可能使单位的机密资料外泄从而带

来严重的损失，对重要信息系统和关键信息基础设施的数据安全带来安全风险，

有的甚至可能直接威胁到国家安全，造成不可预测的后果。

2023年7月1日，强制性国家标准GB42250正式实施，但GB42250是一个

4

适用于所有网络安全专用产品的基线标准，仅对产品的安全功能要求、自身安全

要求等提出了基本要求，其安全功能要求无法体现各类网络安全专用产品的特性。

因此，其必须配合相应类别的产品国标一起使用。而USB移动存储介质管理系统

作为一类网络安全专用产品，缺少与GB42250配套的国家标准，这严重的影响

了网络安全法的实施以及网络安全专用产品的安全管理。

2023年7月20日，全国网络安全标准化技术委员会发布了《关于发布2023

年度第二批网络安全国家标准需求的通知》，USB移动存储介质管理系统的技术

规范是其中一项。

2.3编制目的

USB移动存储介质管理系统是网络安全专用系列产品中重要的一类，该国标

适用于USB移动存储介质管理系统的设计、开发、测试与评价，其制定能够解决：

1、作为强制性国家标准GB42250的配套标准，推动网络安全法的实施，支

撑网络安全专用产品的安全管理工作。

2、指导产品的设计、研发、生产，使其能够有效的应用于USB移动存储介

质的安全访问。

3、统一产品的测试评价方法，使其能够有效应用于产品的测试评价，筛选

合格产品，也能推动测试结果的互认。

2.4标准主要编制依据

1、GB42250

GB42250-2022《信息安全技术网络安全专用产品安全技术要求》是网络安

全专用产品的强制性国家标准，所有网络安全专用产品都必须符合其要求。本标

准的自身安全要求和安全保障要求引用GB42250中的条款作为通用要求。

2、GB/T18336

GB/T18336《信息技术安全技术信息技术安全评估准则》是评估信息技术

产品和系统安全性的基础准则。本标准的安全保障要求主要参考GB/T18336中

的相关条款。

3、GA/T987-2012

5

GA/T987-2012《信息安全技术USB移动存储介质管理系统安全技术要求》

是USB移动存储介质管理系统的公安行业标准。本标准的安全功能要求参考GA/T

987-2012中的相关条款。

2.5编制思路

1、安全功能要求一方面参考GA/T987-2012，一方面广泛征集USB移动存

储介质管理系统厂商和用户单位意见，对新的USB移动存储介质管理系统技术实

现、技术发展方向、用户新需求等进行充分的调研，保证安全功能可落地实现，

且体现产品的发展方向。

2、自身安全要求以GB42250为通用基础要求，在GB42250基础上，结合

产品自身特点增加其他的自身安全要求条款。

3、环境适应性要求，结合产品特点增加了IPv6网络环境要求。

4、安全保障要求主要参考GB/T18336.3—2024，主要内容包括通用要求、

设计与开发，其中通用要求应满足GB42250—2022中第6章规定的供应链安全、

设计与开发、生产和交付、运维服务保障、用户信息保护等方面的要求；当前安

全保障要求的章节框架参考GB42250—2022。。

5、测试评价方法广泛征集产品检测、认证机构意见，并在征求意见过程中，

对标准的进行测试验证，保障测试方法就有可操作性。

2.6标准主要内容

本文件将USB移动存储介质管理系统的安全技术要求分为安全功能要求、自

身安全要求、环境适应性要求和安全保障要求四类。其中，安全功能要求是对产

品应具备的安全功能提出具体要求，包括：介质管理、终端管理、用户管理、访

问控制、文件管理、安全审计和安全告警以及互联互通；自身安全要求是对产品

的自身安全保护提出具体要求，包括：通用要求、组件安全、身份标识与鉴别、

管理能力、管理审计、管理方式、支撑系统安全；环境适应性要求是对产品的应

用和管理环境提出具体要求，主要包括IPv6网络环境；安全保障要求针对产品

的研发、生产、交付等环节的安全保障提出具体要求，包括通用要求、设计与开

发。本文件针对产品的安全技术要求提出对应的测试评价方法，为使用本文件的

6

人员提供测试评价产品的技术准则。

USB移动存储介质管理系统是一类针对USB移动存储介质的访问控制产品，

在互联互通功能方面，不涉及互联互通的识别、防护、监测、处置等任意一种功

能类型；在互联互通信息方面，USB移动存储介质管理系统仅产生针对USB移动

存储介质的访问日志和告警信息，这些信息在互联互通中无广泛应用场景。因此，

本标准不包含互联互通要求。

主要条款介绍

1）终端管理、用户管理是对访问USB移动存储介质的用户、终端提出限制

主体访问要求。

2）介质管理是对访问USB移动存储介质的动作进行要求。

3）访问控制是用户/终端对USB移动存储介质的访问进行授权控制。同时，

提出了自主访问控制和强制访问控制的要求。

4）文件管理是对受控USB移动存储介质内的文件进行恶意代码防范，文件

访问动作的授权控制。

5）安全审计是能够对USB移动存储介质的访问行为、用户鉴别事件生成审

计记录。

6）组件安全是针对包含客户单组的访问件的产品提出安全要求，保证客户

端与服务端的策略要保持同步一致，防止客户端代理被非授权卸载。

7）IPv6网络环境是要求产品能在IPv6环境中使用和管理。

2.7新旧标准内容对比

制定标准，不涉及。

三、主要试验[或验证]情况分析

1、应用实施的总体目标为：将本标准作为GB42250-2022《信息安全技术网

络安全专用产品安全技术要求》的配套标准，应用于网络安全专用产品的安全管

理，指导USB移动存储介质管理系统的设计、研发、生产、使用及测评。

2、应用实施牵头单位为公安部第三研究所，本标准将依托其下属的公安部

计算机信息系统安全产品质量监督检验中心开展针对USB移动存储介质管理系

7

统的标准验证、宣贯培训、安全检测等，最终有效推进标准应用到该类产品的检

测认证、监管等工作中。

3、应用实施方案

1）、厂商试用：在标准内容基本确定后，征求意见过程中实施，目的为保证

标准条款在厂商侧能够落地，切合产品的应用场景和技术发展方向，能够指导其

设计、研发生产。

2）、检测认证机构试用：与厂商适用同步进行，保证标准的测试和评价方法

在检测认证机构侧可行，能够应用于产品测评。

3）、标准宣贯：在标准发布后（一个月内），由检测认证机构进行解读标准，

指导设计和开发，分享厂商和应用的成功案例。

4）、网专检测：在标准实施后，由网专产品监管部门推动，将标准应用于网

专产品检测中，并定期进行监督抽查，落实网专产品管理。

5）、用户推广：在标准实施后六个月内，由用户单位安装部署产品进行试用

和评估，主要用于用户侧的应用推广。

4、应用实施情况分析

目前未开展。

四、知识产权情况说明

本标准不涉及专利及知识产权问题。

五、产业化情况、推广应用论证和预期达到的经济效果

网络安全在我国处于快速发展阶段，根据统计，近10年通过销售许可和网

专检测的USB移动存储介质管理系统达到百余款，可见产品的市场巨大。

制定的USB移动存储介质管理系统国家标准能够更加有效的指导该类产品

的研发、生产、选型和采购，更加有效的推动整个产品产业链的发展，更加有效

的对重要信息系统和关键信息基础设施提供安全支撑，因此，产业化具有良好的

前景。

六、采用国际标准和国外先进标准情况

目前国际上无相关标准。

8