国家标准《网络安全技术 电子文档安全管理产品技术规范》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据《全国网络安全标准化技术委员会关于17项网络安全国家标准项目立项

的通知》（网安字〔2024〕2号），推荐性国家标准《网络安全技术电子文档安

全管理产品技术规范》立项，由上海国际技贸联合有限公司牵头制定。国家标准

化管理委员会标准计划号：2024XXXX-T-XXX。该标准由全国网络安全标准化技术

委员会归口管理。

1.2主要起草单位和工作组成员

上海国际技贸联合有限公司、公安部第三研究所牵头，中国网络安全审查认

证和市场监管大数据中心、西安交大捷普网络科技有限公司、北京天融信网络安

全技术有限公司等近30家单位共同参与该标准的起草工作。主要起草人：宋好好、

王志佳等。

1.3主要工作过程

1、草案

2023年7月，全国网络安全标准化技术委员会发布了《关于发布2023年度

第二批网络安全国家标准需求的通知》，电子文档安全管理产品技术规范是其中

一项。根据项目工作要求，我单位立即成立了标准工作小组，并邀请该类产品生

产厂商、产品检测认证机构、科研院所等单位组建了标准编制组，联合申报该标

准，并组织编写了申报材料。在充分调研的基础上，标准编制组完成了标准草案

（第一稿）。

2023年8月，全国网络安全标准化技术委员会WG5组在北京召开2023年工

作组第二次全体会议，组织研讨2023年第二批立项标准。标准编制组根据现场

专家和WG5组成员单位的意见对标准草案进行了修改完善。

2023年9月，2023年国家网络安全宣传周期间，全国网络安全标准化技术

委员会秘书处在福州组织召开2023年第二批网络安全国家标准立项专家评审会。

标准编制组根据专家意见，结合GB42250—2022《信息安全技术网络安全专用

产品安全技术要求》，统一了标准的模板。

1

2024年2月，全国网络安全标准化技术委员会发布了立项通知（网安字〔2024〕

2号），确定标准名称为《网络安全技术电子文档安全管理产品技术规范》。随

后，标准编制组在全国网络安全标准化技术委员会网站公开征集参编单位，目前

编制组成员共29家。

2024年3月，国家市场监督管理总局国家标准技术审评中心组织召开2024

年信息技术领域推荐性国家标准立项评估会。标准编制组汇报了该标准立项的必

要性和可行性、适用范围、拟解决的主要问题、技术先进性和创新性、与现有法

律法规及相关标准的协调配套、实施主体及建议等内容。

2024年3月到4月，标准编制组内部针对标准草稿开展了多轮线上征求意

见和讨论工作，对标准草案进行了完善。

2024年4月，全国网络安全标准化技术委员会WG5组在北京召开网络安全

产品标准研讨会，标准编制组根据WG5组成员单位的意见对标准草案进行了修改

完善，形成了标准草案（第二稿）。

2024年6月，全国网络安全标准化技术委员会在江西南昌召开网络安全标

准周活动，标准编制组对标准编制情况进行了汇报。根据WG5组会议决议，建议

标准形成征求意见稿。标准编制组根据现场专家意见对标准文本行进了修改完善，

形成征求意见稿。

2、征求意见稿

2024年9月，全国网络安全标准化技术委员会秘书处在北京组织召开网络

安全国家标准征求意见稿审查会。参会专家一致同意标准通过审查，建议编制组

根据会议意见修改后，发起公开征求意见。编制组根据专家意见，对标准进一步

修改完善，修改了“组件安全”等自身安全要求，并结合产品安全特性和专家意

见删除了“互联互通”相关要求。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1标准编制原则

电子文档安全管理产品是关于调整《网络关键设备和网络安全专用产品目录》

的公告（2023年第2号），指定的《网络关键设备和网络安全专用产品目录》内

2

的网络安全专用产品。《网络安全技术电子文档安全管理产品技术规范》的编制，

遵循以下原则：

1、依法合规

符合《中华人民共和国网络安全法》第二十三条，支撑网信部门、公安部门

的网络安全专用产品的检测和认证工作；

符合GB42250—2022《信息安全技术网络安全专用产品安全技术要求》、

GB/T25066—2020《信息安全技术信息安全产品类别与代码》。

2、实用性原则

1）本标准用于网络安全专用产品的检测认证，考虑该类产品的现状和发展

趋势，规范、引领产品的研发和检测工作。

2）标准编制组中包含该类产品的主要厂商，能够保证标准的技术要求条款

可在产品上落地实现。

3）标准编制组包含网络安全产品测评和认证机构，能够保证标准中的测试

评价方法具有可操作性。

4）参考电子文档安全管理产品的销售许可和网专检测出具的上百份报告，

使标准能够指导产品厂商按照标准要求研发、生产产品，保护重要信息系统和关

键信息基础设施安全。

3、先进性原则

充分研究该类产品的安全需求、实现技术以及发展趋势，并参考国际标准

ISO/IEC15408，保证标准文本的先进性。

4、兼容性原则

与现有的网络安全专用产品国家标准衔接、兼容。

2.2编制背景

随着信息化建设的迅速发展，电子资产的安全管理变得异常重要；其中，电

子文档已经成为企、事业单位最重要的资产之一，甚至是赖以生存的基础。重要

电子文档的丢失、非授权读取和篡改将会给企、事业单位造成重大的经济损失。

许多单位或部门都在加强对电子文档的访问控制与行为审计，从而有效的防止企、

事业单位重要文件的非授权外泄、读取和篡改。电子文档安全管理产品针对电子

3

文档自身安全性低、容易丢失、非授权读取、篡改且难于统一管理的特点，通过

对电子文档的身份认证、访问控制、审计机制等管理手段，实现阻止对电子文档

的非授权操作，形成对电子文档的统一管理、统一认证、监控和审计。

电子文档安全管理产品由于其安全功能属性，成为网络运营者、关键信息基

础设施运营者管理电子文档的重要技术抓手，一旦产品自身存在安全隐患，将会

为重要信息系统和关键信息基础设施引入极大的安全风险。标准的制定能够更好

的规范电子文档安全管理产品的安全功能，使其有效保护企、事业单位的重要电

子文档，降低该类产品潜在的安全隐患。

2023年7月，GB42250—2022《信息安全技术网络安全专用产品安全技术

要求》正式实施。随后，四部委联合发布“关于调整《网络关键设备和网络安全

专用产品目录》的公告”，电子文档安全管理产品进入了网络安全专用产品目录。

然而，GB42250是一个适用于所有网络安全专用产品的基线标准，仅对产品的

安全功能要求、自身安全要求等提出了基本要求，其安全功能要求无法体现各类

网络安全专用产品的特性。因此，其必须配合相应类别的产品国家标准一起使用。

而电子文档安全管理产品缺少与GB42250配套的国家标准，这严重的影响了网

络安全法的实施以及网络安全专用产品的监管。

因此，电子文档安全管理产品国家标准的制定非常有必要，一方面可以支撑

电子文档安全管理产品的监管，一方面为电子文档安全管理产品的检测和认证提

供标准化技术支撑。

2.3编制目的

电子文档安全管理产品是网络安全专用系列产品中重要的一类，该国家标准

适用于电子文档安全管理产品的设计、开发、测试与评价，其制定能够解决：

1、作为强制性国家标准GB42250的配套标准，推动网络安全法的实施，支

撑网络安全专用产品的安全管理工作。

2、指导产品的设计、研发、生产，使其能够有效的应用于电子文档的安全

管理，保证文档安全。

3、统一产品的测试评价方法，使其能够有效应用于产品的测试评价，筛选

合格产品，也能推动测试结果的互认。

4

2.4标准主要编制依据

1、GB42250

GB42250-2022《信息安全技术网络安全专用产品安全技术要求》是网络安

全专用产品的强制性国家标准，所有网络安全专用产品都必须符合其要求。本标

准的自身安全要求和安全保障要求引用GB42250中的条款作为通用要求。

2、GB/T18336

GB/T18336《信息技术安全技术信息技术安全评估准则》是评估信息技术

产品和系统安全性的基础准则。本标准的安全保障要求主要参考GB/T18336中

的相关条款。

3、GA/T989-2012

GA/T989-2012《信息安全技术电子文档安全管理产品安全技术要求》是电

子文档安全管理产品的公安行业标准。本标准的安全功能要求参考GA/T

989-2012中的相关条款。

2.5编制思路

1、安全功能要求一方面参考GA/T989-2012，一方面广泛征集电子文档安

全管理产品厂商和用户单位意见，对新的电子文档保护技术、技术发展方向、用

户新需求等进行充分的调研，保证安全功能可落地实现，且体现产品的发展方向。

2、自身安全要求以GB42250为通用基础要求，在GB42250基础上，结合

产品自身特点增加其他的自身安全要求条款。

3、环境适应性要求，结合产品特点增加了IPv6网络环境要求。

4、安全保障要求以GB42250为通用基础要求，在GB42250基础上增加GB/T

18336中要求的安全保障条款。

5、测试评价方法广泛征集产品检测、认证机构意见，并在征求意见过程中，

对标准的进行测试验证，保障测试方法就有可操作性。

2.6标准主要内容及其确定依据

1、标准主要内容

5

本标准将电子文档安全管理产品的安全技术要求分为安全功能要求、自身安

全要求、环境适应性要求和安全保障要求四类。其中，安全功能要求是对产品应

具备的安全功能提出具体要求，包括用户管理、电子文档管理、授权终端管理、

访问控制、电子文档监测告警、电子文档访问审计；自身安全要求是对产品的自

身安全保护提出具体要求，包括通用要求、标识和鉴别、自身安全审计、组件安

全；环境适应性要求是对产品的应用和管理环境提出具体要求，包括IPv6网络

环境；安全保障要求针对产品的研发、生产、交付等环节的安全保障提出具体要

求，包括通用要求、设计与开发。测试评价方法对测试环境与工具，以及技术要

求的测试方法、预期结果和结果判定进行了说明。

2、主要条款确定依据

电子文档安全管理产品是一类专门针对电子文档的访问控制产品。访问控制

的三要素即为：访问主体、访问客体和允许访问的动作。在电子文档访问控制的

场景中，访问主体即为用户，访问客体即为受保护的电子文档，允许访问的动作

即为安全管理策略（访问控制策略）。因此，在标准的安全功能要求中，首先即

提出了电子文档管理、用户管理、访问控制三项基本要求。

电子文档管理、用户管理要求的提出是为了对电子文档进行统一集中的管理。

访问控制在模型上可以分为自主访问控制（DAC）和强制访问控制（MAC）两类。

自主访问控制允许主体以用户或用户组的身份访问策略规定的客体，同时阻止非

授权主体访问客体。主体也可以自主地把自己所拥有的客体的访问权限授予其他

主体。强制访问控制是一种多级访问控制策略，系统事先给访问主体和受控客体

分配不同的安全级别属性，在实施访问控制时，系统对访问主体和受控客体的安

全级别属性进行比较，决定访问主体能否访问该受控对象。安全属性是强制性的

规定，一般是由安全管理员设置的，访问主体不能加以修改。因此，本标准在访

问控制要求中加入了自主访问控制和强制访问控制两种要求。其中自主访问控制

的策略，根据电子文档的使用场景，涵盖了文档的读、写、复制、打印以及时间

和次数的要求。同时，为保证访问控制策略有效，还提出了策略不可旁路的要求。

根据电子文档的特点，在电子文档管理中我们提出了文档水印、文档分类分

级、文档存储保护功能。其中，水印是电子文档特有的一种保护措施，主要用于

对文档提供版权保护、完整性验证等功能。因此，本标准引入了文档水印要求。

6

《中华人民共和国数据安全法》针对数据安全提出了分类分级要求，通过数据分

类分级可以明确哪些数据是敏感的、关键的，如涉及国家安全、个人隐私、商业

机密等重要数据，对其采取更严格的安全保护措施，如加密、访问控制、数据备

份等，降低数据泄露、篡改、破坏的风险，增强数据的安全性。因此，本标准引

入了文档分类分级要求。电子文档往往包含敏感的信息，如果产品未对电子文档

存储保密性提出要求，一旦文档内容泄露，将会给国家、企业、个人带来极大危

害，电子文档的安全管理就毫无意义。因此，本标准引入了文档存储保护要求以

解决文档内容保密性的需求。

根据电子文档安全管理产品的定义（对电子文档进行统一管理、监控和审计，

防止电子文档被非授权访问的产品）和使用场景，提出了电子文档的监测告警、

电子文档访问审计和访问终端限制要求。电子文档的监测告警是要求能够监测对

电子文档的访问行为，并对违反策略的行为进行告警。电子文档访问审计是要求

能够记录对电子文档的访问行为。访问终端限制是要求能够限制访问受控电子文

档的终端，防止非授权的访问。

在自身安全方面，根据全国网络安全标准化技术委员会的要求，引入了GB

42250的自身安全要求作为通用要求。为加强自身安全，在GB42250基础上增

强了标识和鉴别、自身安全审计，提出了细化的要求。同时，由于很多电子文档

安全管理产品都包含了客户端（Agent）组件，而客户端大多存储了访问控制策

略，是实际执行访问控制的组件，因此，客户端的自身安全也尤为重要。一方面

是针对客户端的监测和控制需求。如果客户端的时间、策略与服务端不一致，将

严重影响电子文档访问控制策略的执行，因此提出对客户端运行状态监测的要求，

并提出禁止异常客户端访问电子文档要求，保护电子文档。针对上述问题，提出

了同步客户端时间、策略的要求。此外，为了保证客户端存储策略、客户端组件

和服务安全，提出了防止查看/修改客户端策略和配置、防止修改客户端组件和

服务的要求。

电子文档安全管理产品是一类针对电子文档的访问控制产品，在互联互通功

能方面，不涉及互联互通的识别、防护、监测、处置等任意一种功能类型；在互

联互通信息方面，电子文档安全管理产品仅产生针对电子文档的访问日志和异常

访问告警信息，这些信息在互联互通中无广泛应用场景。该类产品不涉及和其他

7

产品进行功能协同或者信息报送的情况。因此，本标准不包含互联互通要求。

在环境适应性要求方面，在国家大力推动IPv6网络环境的全面部署的背景

下，很多企事业单位的网络都组件支持了IPv6，因此提出了支持IPv6网络环境

的要求。

在安全保障要求方面，根据全国网络安全标准化技术委员会的要求，引入了

GB42250的安全保障要求作为通用要求。在GB42250基础上，根据GB/T18336，

在设计与开发方面提出了增强的要求。

2.7新旧标准内容对比

制定标准，不涉及。

三、主要试验[或验证]情况分析

1、应用实施的总体目标为：将本标准作为GB42250-2022《信息安全技术网

络安全专用产品安全技术要求》的配套标准，应用于网络安全专用产品的安全管

理，指导电子文档安全管理产品的设计、研发、生产、使用及测评。

2、应用实施牵头单位为公安部第三研究所，本标准将依托其下属的公安部

计算机信息系统安全产品质量监督检验中心开展针对电子文档安全管理产品的

标准验证、宣贯培训、安全检测等，最终有效推进标准应用到该类产品的检测认

证、监管等工作中。

3、应用实施方案

1）、厂商试用：在标准内容基本确定后，征求意见过程中实施，目的为保证

标准条款在厂商侧能够落地，切合产品的应用场景和技术发展方向，能够指导其

设计、研发生产。

2）、检测认证机构试用：与厂商适用同步进行，保证标准的测试和评价方法

在检测认证机构侧可行，能够应用于产品测评。

3）、标准宣贯：在标准发布后（一个月内），由检测认证机构进行解读标准，

指导设计和开发，分享厂商和应用的成功案例。

4）、网专检测：在标准实施后，由网专产品监管部门推动，将标准应用于网

专产品检测中，并定期进行监督抽查，落实网专产品管理。

8

5）、用户推广：在标准实施后六个月内，由用户单位安装部署产品进行试用

和评估，主要用于用户侧的应用推广。

4、应用实施情况分析

2024年4月，根据全国网络安全标准化技术委员会《关于召开网络安全国

家标准试点工作部署会的通知》要求，编制组完成了《标准项目试点工作方案》

草稿，并提交秘书处。2024年5月，全国网络安全标准化技术委员会WG5组召

开试点工作方案评审，编制组根据评审专家意见对试点工作方案进行了完善。试

点工作计划在标准转为征求意见稿后开始实施。

四、知识产权情况说明

本标准不涉及专利及知识产权问题。

五、产业化情况、推广应用论证和预期达到的经济效果

网络安全在我国处于快速发展阶段，根据统计，近10年通过销售许可和网

专检测的电子文档安全管理产品达到百余款，可见产品的市场巨大。

制定的电子文档安全管理产品国家标准能够更加有效的