国家标准《网络安全技术 统一威胁管理产品（UTM）技术规范》（征求意见稿）编制说明

国家标准报批材料

一、工作简况

1.1任务来源

根据国家标准化管理委员会2024年下达的国家标准制修订计划，《网络安全

技术统一威胁管理产品（UTM）技术规范》由启明星辰信息技术集团股份有限公

司负责承办，计划号：20241504-T-469。本标准由全国网络安全标准化技术委员

会归口管理。

1.2制定背景

统一威胁管理产品作为网络安全产品中的重要组成部分，其产品的发展和质

量不容忽视。现行国标编制于2015年，随着人工智能、云计算、大数据、物联

网等技术的广泛应用，网络安全面临的威胁日益复杂多变。原有的标准可能无法

完全覆盖这些新兴技术带来的安全风险，因此有必要进行修订，以更好地应对新

的挑战。

为落实《中华人民共和国网络安全法》第二十三条要求，GB42250《信息安

全技术网络安全专用产品安全技术要求》规定了网络安全专用产品和其提供者

均需满足的基线要求。作为GB42250的配套标准。GB42250与本修订标准将共

同用于指导统一威胁管理产品的研发、生产、服务、检测和认证工作。

本标准修订后，在以下方面可以发挥重要的作用。

（1）本修订标准可作为产品技术标准，来支撑国家对统一威胁管理产品的

安全管理工作。按照网络安全专用产品的市场准入要求，统一威胁管理产品须由

具备资格的机构依据GB42250和本标准安全认证合格或者安全检测符合要求后，

方可销售或者提供。《信息安全技术统一威胁管理产品（UTM）技术规范》发布

实施后，能够统一和规范UTM产品的安全认证和安全检测的依据。

（2）该标准也将作为市场监督管理部门对统一威胁管理产品开展质量监督

抽查的依据。

（3）产品研制单位也可以按照标准所规定的安全功能要求、自身安全要求

和安全保障要求研制生产统一威胁管理产品，规范产品的生命周期管理。

（4）政府、金融、医疗、教育、企业等行业对各种威胁提出安全防护要求，

因此，用户单位按照此标准的技术要求，应用部署统一威胁管理产品，不仅能够

保障中小企业对信息安全的需求，还能够支撑信息安全项目的建设和改造工作。

1

国家标准报批材料

1.3起草过程

1）立项申请阶段

2023年7月，标准编制团队启动标准修订工作。编制组对待修订标准GB/T

31499-2015开展了相关立项筹备工作，在充分调研了国内、国际对统一威胁管

理产品的市场及标准的相关环境，开展了包括对修订范围、等级、详细技术要求、

产品测评方法等内容进行了初步的研究，以及立项前的筹备工作。

2023年8月，标准编制团队参加了网安标委2023年度第二次立项研讨会议。

在本次会议上，标准牵头单位做了立项汇报。会议中听取了评审专家和与会各单

位的意见，会后针对专家提出的对标准修订的意见，进行了相关修订内容的调整。

2023年9月，标准牵头单位参加了网络安全国家标准立项答辩，汇报了标

准拟解决的问题，标准的整体框架，标准化解决方案，以及实施应用方案等内容，

并针对专家组的提问，进行了答辩。

2）起草阶段

2024年2月，根据《全国网络安全标准化技术委员会关于17项网络安全国

家标准立项的通知》（网安字[2024]2号）发布的通知，本标准正式获批为2024

年网络安全标准修订项目。

2024年3月，标准牵头单位参加了网络安全国家标准项目会议。围绕标准

成熟度、模板符合度、责任体系、工作中的困难以及工作计划等内容，进行了项

目汇报。

2024年3月20日，标准牵头单位在互联网线上向参与本标准修订的各成员

单位，发出了待修订标准的征求意见通知，邀请各成员单位针对当前已立项的标

准草案，进行修改建议征集。

2024年4月9日，标准牵头单位在互联网线上组织召开了本标准的标准研

讨会，各成员单位代表约60余人共同参与，明确了标准制定的工作方向，各单

位的工作任务和责任，并对标准草稿进行第一次集中讨论。

2024年4月12日，标准牵头单位针对草稿讨论结果，汇总形成了标准修订

草案、汇报PPT、编制说明、意见处理汇总表等。

2024年4月16日-17日，标准牵头单位参加《网络安全技术网络型流量控

制技术规范》等14项网络安全产品标准研讨会，对标准修订草案进行说明，由

2

国家标准报批材料

专家进行评审。

4月23日，网安标委秘书处组织召开“2023年度标准立项项目试点工作部

署会”，宣讲试点目的、原则、试点相关方等。

4月29日，启明星辰组织召开“UTM标准研讨会”，召集核心参编单位研讨

UTM标准草案的目录框架，针对专家提的“要突出统一威胁管理的概念和优势”

建议进行深入研讨，重新梳理文本框架。

5月13日，参加WG5工作组召开“19项国标试点验证工作方案评审会”并

汇报标准试点工作方案，会后根据专家意见修改完善标准草案。

5月中下旬，针对更新的标准文本，组内征集意见。

5月至8月，开展标准试点验证工作，对标准技术要求和重要指标等开展验

证，目的是提升标准合理性、适用性和可操作性。

6月6日，组织“UTM国标研讨会”，研讨标准草案和组内意见，并根据会

议讨论结果修改完善文本。

6月12日-15日，标准编制团队参加了网安标委2024年度第一次标准周会

议。在WG5工作组会议上，标准牵头单位做了汇报。会议中听取了专家和与会代

表的意见，会后针对专家提出的意见，对标准文本进行修改完善。

7月22日，参加WG5工作组组织召开的“14项网专产品标准专家评审会”

并在会上重点汇报南昌标准周意见处理情况。

9月14日，参加网安标委秘书处组织的“14项网络安全国家标准专家审查

会”，上会汇报并通过评审。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

为了使统一威胁管理产品的国标与现有其他国家标准保持一致，本标准的修

订参考了现行的其他国家标准，主要有GB/T42250-2022、GB/T20281-2020。

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与

要求如下：

1.实用性原则

标准必须是可用的，才有实际意义，本标准在制定过程中严格按照流程对产

品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关产品生产

3

国家标准报批材料

单位的交流，使得标准更贴近产品实际情况，保证操作性。

2.先进性原则

标准是先进经验的总结，同时也是技术的发展趋势。要制定出先进的行业标

准，必须广泛了解市场上主流产品的功能，吸收其精华，制定出具有先进水平的

标准。本标准的编写始终遵循这一原则。

3.兼容性原则

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一

致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有

关政策、法律和法规。

2.2主要内容及其确定依据

落实《中华人民共和国网络安全法》第二十三条，GB42250《信息安全技术

网络安全专用产品安全技术要求》规定了网络安全专用产品和其提供者均需满足

的基线要求。

本文件是GB42250的配套标准。GB42250与本文件共同用于指导统一威胁

管理产品（UTM）的研发、生产、服务、检测和认证工作。

本文件规定了统一威胁管理产品（UTM）的安全功能要求、自身安全要求、

环境适应性要求、性能要求、安全保障要求和等级划分要求，并给出了相应的测

试评价方法。

本文件适用于统一威胁管理产品（UTM）的设计、研发、生产、服务、检测

和认证。

本文件将统一威胁管理产品（UTM）的安全技术要求分为安全功能要求、自

身安全要求、环境适应性要求、性能要求和安全保障要求。其中，安全功能要求

为该类产品对外所提供的安全功能，包括访问控制、入侵防范、恶意程序防范、

安全组网、管理控制、安全审计；自身安全要求是对产品的自身安全保护提出要

求，包括标识与鉴别、自身访问控制、自身安全审计、支撑系统安全、安全管理、

抗渗透、安全配置恢复和互联互通；性能要求是对产品应达到的性能指标作出规

定，包括网络层吞吐量、混合应用层吞吐量、延迟、HTTP并发连接数、HTTP请

求速率；环境适应性要求是对产品的适应能力提出要求，包括支持IPv6网络环

境、支持双协议栈、高可用部署、虚拟化部署、云管理平台对接；安全保障要求

4

国家标准报批材料

针对产品的开发和使用文档的内容提出具体的要求。本文件针对统一威胁管理产

品（UTM）的安全技术要求提出对应的测试评价方法，为使用本文件的人员提供

一个测试评价统一威胁管理产品（UTM）的技术准则。

2.3修订前后技术内容的对比[仅适用于国家标准修订项目]

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的

结构和起草规则》的规定起草。

本文件代替GB/T31499-2015《信息安全技术统一威胁管理产品技术要求

和测试评价方法》，与GB/T31499-2015相比，除结构调整和编辑性修改外，主

要技术变化如下：

——标准名称修改为：网络安全技术统一威胁管理产品（UTM）技术规范

——修改了“规范性引用文件”相关内容（见第2章，2015版的第2章）；

——修改了术语和定义相关内容（见第3章，2015版的第3章）；

——修改了缩略语相关内容（见第4章，2015版的第4章）；

——修改了概述相关内容（见第5章，2015版的第5、6章）；

——修改了“访问控制”的要求和测评方法（见6.1.1、7.2.1，2015版的

、、、、、、、、

、、）；

——修改了“入侵防范”的要求和测评方法（见6.1.2、7.2.2，2015版的

、、）；

——修改了“恶意程序防范”的要求和测评方法（见6.1.3、7.2.3，2015

版的、、）

——修改了“安全组网”的要求和测评方法（见6.1.4、7.2.4，2015版的

、、）；

——修改了“管理控制”的要求和测评方法（见6.1.5、7.2.5，2015版的

、、）；

——修改了“安全审计”的要求和测评方法（见6.1.6、7.2.6，2015版的

、）；

——增加了“互联互通”的要求和测评方法（见6.1.7、7.2.7）；

——修改了“自身安全”的要求和测评方法（见6.2、7.3，2015版的7.1.2、

5

国家标准报批材料

7.2.2、8.2.4）；

——修改了“性能”要求和测评方法（见6.3、7.4，2015版的7.3、8.3）；

——增加了“环境适应性”要求和测评方法（见6.4、7.5）

——修改了“安全保障”的要求和测评方法（见6.5、7.6，2015版的7.1.3、

7.2.3、8.2.5“产品保证要求”）

——增加了规范性附录（见附录A）。

随着人工智能技术的不断发展，开始出现产品能够自动地学习和理解垃圾邮

件的行为模式并在检测到垃圾邮件时触发告警，从而实现对垃圾邮件的监测与告

警。各安全厂商积极探索人工智能技术在统一威胁管理产品（UTM）中的应用，

GB/T31499-2015中反垃圾邮件功能中有相关描述“.2邮件自学习：

UTM应支持通过对标记的邮件学习，具备对垃圾邮件的智能识别能力”，我们会

在后续的试点过程中验证此条的合理性和可操作性，并根据试点验证结果修改完

善标准文本。

随着虚拟专用网技术在统一威胁管理产品中的大规模使用，本次修订新增

“虚拟专用网”相关内容：a)虚拟专用网配置使用的密码技术，应符

合国家密码管理部门的相关要求；b)产品应支持IKE规则基本配置，如：IKE

名称、类型、地址、协议、认证方式等；c)产品应支持隧道基本配置，如：隧

道名称、地址、VPN规则等；d)产品应支持组建的VPN隧道状态进行实时监控

和查询，如：名称、类型、本端信息、对端信息、流量状态等。

增加“互联互通”相关内容：产品应支持网络安全产品互联互通，提供的互

联互通功能和互联互通信息应符合GB/TAAAAA-AAAA《网络安全技术网络安全

产品互联互通》规定的互联互通信息格式和互联互通功能接口要求。

随着云计算的普及、网络架构的复杂化、数据量的激增以及IPv6、SDN和

NFV技术的大规模应用，产品部署形态正逐渐向云端、分布式和虚拟化转变。本

次修订增加了环境适应性要求，即对产品的适应能力提出要求，包括支持IPv6

网络环境、支持双协议栈、高可用部署、虚拟化部署、云管理平台对接相关内容。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

6

国家标准报批材料

1.应用场景：

（1）可作为产品技术标准支撑国家对统一威胁管理产品的安全管理工作。

按照网络安全专用产品的市场准入要求，统一威胁管理产品须由具备资格的机构

依据GB42250和本标准安全认证合格或者安全检测符合要求后，方可销售或者

提供。《信息安全技术统一威胁管理产品（UTM）技术规范》发布实施后，能够

统一和规范UTM产品的安全认证和安全检测的依据。

（2）该标准也将作为市场监督管理部门对统一威胁管理产品开展质量监督

抽查的依据。

（3）产品研制单位可按照标准规定的安全功能要求、自身安全要求和安全

保障要求研制生产统一威胁管理产品，规范产品的生命周期管理。

2.具体实施应用相关方

（1）政府主管部门：国家互联网信息办公室、公安部、国家认证认可监督

管理委员可依据本标准开展全国范围内的UTM产品市场准入工作。国家或地方市

场监督管理局可依据本标准针对UTM产品开展质量检测抽查工作。

（2）检测认证机构：根据计算机信息系统安全专用产品销售许可服务平台

结果显示，获得过《计算机信息系统安全专用产品销售许可证》的UTM产品近三

十款。同时，随着统一威胁管理产品应用安全性评估的深入推进，同时为满足中

小企业对复杂威胁的安全要求，统一威胁管理产品市场及检测认证需求将进一步

快速提升。

（3）研制厂商：目前国内UTM产品研制单位包括启明星辰、天融信、奇安

信、网御星云、交大捷普、绿盟、山石网科、长扬科技、新华三、深信服、安恒、

蓝盾等十余家安全企业。UTM产品研制单位可参照标准中的技术要求对产品进行

研发、迭代生产，也可参考标准中的测试评价方法开展内部质量检测工作。

（4）用户单位：政府、金融、医疗、教育、企业等行业对各种威胁提出安

全防护要求，因此，用户单位按照此标准的技术要求，应用部署统一威胁管理产

品，不仅能够保障中小企业对信息安全的需求，还能够支撑信息安全项目的建设

和改造工作。

3.应用推广的方式方法：

《信息安全技术统一威胁管理产品（UTM）技术规范》发布后，应用实施相

7

国家标准报批材料

关方包括国家主管部门、安全认证和安全检测技术服务机构、统一威胁管理产品

研制单位、用户单位等。主要实施应用模式如下：

（1）国家主管部门推动

该标准将作为技术标准支撑《网络关键设备和网络安全专用产品目录》中“统

一威胁管理产品”的安全管理工作。国家主管部门通过管理和发布满足GB42250

和此标准要求的“UTM产品安全认证和安全检测结果”，推动标准的广泛使用。

公安部计算机信息系统安全产品质量监督检验中心（公安部第三研究所）承

担UTM产品安全检测工作，中国网络安全审查技术与认证中心承担UTM产品安全

认证工作。通过上述技术服务机构的应用实施，能够统一和规范统一威胁管理产

品的安全认证和安全检测的依据，提升安全认证和安全检测结果互认效果。

（2）宣贯培训、检测认证

公安部第三研究所作为应用推广牵头单位，在标准解读培训、检测方案制定、

产品检测实施具备良好的标准应用推广基础。

标准宣贯：组织相关方深入解读标准技术内容和相关条款，并针对统一威胁

管理技术发展趋势、应用场景、标准应用中遇到的各类情况进行技术分析，提升

标准的应用实效。

检测认证：组织技术服务机构基于标准开发安全检测方案或认证实施规则、

部署仿真测试环境、制定作业指导书及测试用例、开展能力培训和验证，避免出

现与标准方法不一致的情形。

（3）应用推广活动

标准编制组深入开展标准实施应用效果自评估工作，持续推动标准在测评、

培训、认证等方面开展的业务规模。

组织标准编制组成员单位积极参与主管部门的相关活动，如网络安全宣传周、

网络安全国家标准实施应用效果调研、网络安全国家标准优秀实践案例评选等活

动，加强对UTM产品国家标准的宣传推广，全方位提升标准的影响力。

（4）技术跟踪

标准编制组将持续跟踪UTM产品的市场需求和技术发展，收集产品研制、检

测认证、监督管理、应用部署过程中遇到的实际问题，为统一威胁管理产品国家

标准后续修订奠定基础。

8

国家标准报批材料

3.2技术经济论证

1)经济社会和产业发展的需求：随着互联网的普及和信息化程度的提高，

网络攻击、数据泄露等网络安全事件频发，给企业和个人带来了很大的经济损失

和隐私泄露风险。因此，修订GB/T31499-2015标准可以更好地满足经济社会和

产业发展的需求，提高网络安全的保障能力。

2)相关法律法规、政策规划的要求：落实《中华人民共和国网络安全法》

第二十三条要求，GB42250《信息安全技术网络安全专用产品安全技术要求》

规定了网络安全专用产品和其提供者均需满足的基线要求。本标准是强制性标准

GB42250的配套标准。GB42250与本修订标准将共同用于指导统一威胁管理产

品的研发、生产、服务、检测和认证工作。

3)标准实施后重大经济、社会、生态效益分析：修订GB/T31499-2015标

准将有助于提高产品的安全性和有效性，减少网络安全事故的发生，降低企业的

经济损失。同时，也可以促进国内UTM产业的发展和创新，提高国内企业在国际

市场上的竞争力。此外，该标准还可以为政府、企业和个人提供更加可靠的安全

保障，维护社会稳定和公共利益。

3.3预期的经济效益、社会效益和生态效益

1)产业发展情况：UTM产业是网络安全领域的重要组成部分，其技术的发

展和应用对于保障国家网络安全具有重要意义。目前，国内UTM产业已经具备了

较为完善的技术基础和条件，可以支持标准的修订工作。同时，国内UTM市场也

呈现出快速增长的趋势，为标准的实施提供了广阔的应用前景。

2)有关技术的成熟度和经济性分析：经过多年的研究和应用，UTM技术已

经逐渐成熟，并且在市场上得到了广泛应用。同时，UTM产品的成本也在不断降

低，使得更多企业能够购买和使用这些产品。这为UTM产品的普及和应用提供了

良好的基础，也为标准的修订创造了有利条件。

3)如果实施标准对企业生产经营成本影响较大，应进行综合成本分析：虽

然GB/T31499-2015的修订会对企业生产经营成本产生一定的影响，但是从长远

来看，通过提高产品的质量和安全性，可以减少网络安全事故的发生，降低企业

的经济损失。同时，也可以促进国内UTM产业的发展和创新，提高国内企业在国

际市场上的竞争力。因此，综合来看，标准的修订对于企业的长远发展是有利的。

9

国家标准报批材料

4)已经具备的研究基础和条件：国内已经有很多企业和机构在UTM领域开

展了研究工作，并且取得了一定的成果。同时，国内UTM产业也具备了较为完善

的技术基础和条件可以支持标准的修订工作。这为标准的修订提供了强大的技术

资源和研究实力支撑。此外国内外众多的标准化组织已经开展了一些相关的研究

工作并取得了一定的进展这为标准的修订提供了良好的参考和借鉴。

因此，修订GB/T31499-2015标准是非常必要且可行的。通过修订标准可以

提高UTM产品的安全性和有效性，促进国内UTM产业的发展和创新，提高国内企

业在国际市场上的竞争力。同时也可以减少网络安全事故的发生，保障公共安全

和利益对于经济社会和产业发展来说是非常重要的.

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

目前国外暂无统一威胁管理产品相关的标准。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

本标准修订未参考或采用国际国外标准

六、与有关法律、行政法规及相关标准的关系

落实《中华人民共和国网络安全法》第二十三条，GB42250《信息安全技术

网络安全专用产品安全技术要求》规定了网络安全专用产品和其提供者均需满足

的基线要求。

此外，2023年7月1日起，列入《网络关键设备和网络安全专用产品目录》

的网络安全专用产品应当按照《信息安全技术网络安全专用产品安全技术要求》

等相关国家标准的强制性要求，由具备资