还剩3页未读,继续阅读
文本内容:
国家标准《信息安全技术终端计算机通用安全技术规范》(征求意见稿)编制说明
一、工作简况任务来源根据国家标准化管理委员会2022年国家标准制修订计划,《信息安全技术终端计算机通用安全技术规范》由公安部第三研究所承办,计划号20230233-T-469o该标准由全国信息安全标准化技术委员会归口2主要起草单位和工作组成员本标准由公安部第三研究所主要负责起草,郑州信大捷安信息技术股份有限公司、深信服科技股份有限公司、联想(北京)有限公司、三六零科技集团有限公司、奇安信网神信息技术(北京)股份有限公司、启明星辰信息技术集团股份有限公司、杭州安恒信息技术股份有限公司、腾讯云计算(北京)有限责任公司、北京天融信网络安全技术有限公司、长扬科技(北京)股份有限公司、蓝盾信息安全技术股份有限公司、西安交大捷普网络科技有限公司、深圳融安网络科技有限公司、北京蓝象标准咨询服务有限公司、中国电子科技集团公司第十五研究所、安天科技集团股份有限公司、中电科网络安全科技股份有限公司、中国惠普有限公司、戴尔(中国)有限公司、浪潮电子信息产业股份有限公司、北京数安行科技有限公司、中科信息安全共性技术国家工程研究中心有限公司、飞腾信息技术有限公司、北京珞安科技有限责任公司、中孚信息股份有限公司、国网区块链科技(北京)有限公司、华为技术有限公司、北京百度网讯科技有限公司、北京山石网科信息技术有限公司、东软集团股份有限公司、国网新疆电力有限公司电力科学研究院、博智安全科技股份有限公司、大唐高鸿信安(浙江)信息科技有限公司、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、北京升鑫网络科技有限公司、泰康保险集团股份有限公司、亚信安全科技股份有限公司等共同参与该标准的起草工作
1.3主要工作过程
(1)2022年11月至28月,标准起草组讨论并确定标准的范围、框架及主要技术内容,开展标准文本的起草工作,完成了标准草案
(2)2022年12月7日,WG5工作组以华为云会议形式组织召开了2022第3次全体会议经过全体成员单位投票,本标准建议形成征求意见稿编制组根据成员单位的意见,修改完善后形成征求意见稿(第一稿)2023年2月3日,WG5工作组以腾讯会议形式组织召开了标准研讨会与会专家对标准征求意见稿进行了审议编制组根据专家意见,经过全体参编单位多轮讨论,修改完善后形成征求意见稿(第二稿)2023年4月4日,全国信息安全标准化技术委员会秘书处在北京组织召开了国家标准《信息安全技术终端计算机通用安全技术规范》(征求意见稿)专家审查会与会专家听取了编制组的汇报,对标准征求意见稿及相关材料进行了审查和质询,并同意通过本标准的审查编制组根据专家意见,经过全体参编单位多轮讨论,修改完善后形成征求意见稿(第三稿)
二、标准编制原则和确定主要内容的论据及解决的主要问题
(一)本标准基于以下原则编制.遵循现行国家标准,采用和借鉴国内外先进标准本标准按国家标准GB/T
1.-2020规定的格式予以编写.贯彻国家有关政策与法规本标准中涉及的密码算法遵循国家密码管理部门的有关规定.认真听取、分析各方意见,做好意见的处理和反馈《信息安全技术终端计算机通用安全技术规范》标准草案稿的编制过程中各起草单位齐心协力,进行了充分地沟通和交流,形成了标准起草组内统一的标准文本,并按照信安标委的要求开展了广泛的征求意见工作
(二)本标准的主要内容本标准为对GB/T29240—2012《信息安全技术终端计算机通用安全技术要求与测试评价方法》的修订随着各类新技术的发展,终端安全的防护手段和要求发生了很大的变化,原标准已经发布10年,不能适应现有的安全防护需求,因此该标准在这些年并没有得到广泛的应用本标准的修订内容主要包括1)将原来的5级调整为2级原标准GB/T29240—2012基于GB17859-1999将终端计算机分为5级,但是在标准应用实施过程中,发现当前的实际条件下终端计算机无法满足高等级的要求同时,根据目前WG5工作组的大部分产品标准都将产品等级划分为基本级和增强级,因此本次修订计划将终端计算机的安全等级调整为2个基本级和增强级;2)根据最新的技术发展,本标准拟新增硬件接口安全、BIOS固件安全、个人信息安全、访问控制、可信度量、无线安全、配置基线检查等安全功能要求对于可信度量,在增强级中要求支持可信密码模块作为信任根;3)原标准GB/T29240—2012的参考引用标准:GB/T
18336、GB/T
20272、GB/T22239近年来也进行了比较大的修订,因此本次修订将根据以上参考标准的最新版本对相应技术要求进行调整;4)根据终端安全需求,本标准拟将新威胁、新技术的相关内容在标准中进行修改完善,主要包括身份标识与鉴别、运行时防护、安全审计、安全性分析、备份和恢复等安全功能要求的修改;5)根据标准应用情况,删除了原标准中的部分内容,如SSOTC自身安全保护、SSOTC管理、设备安全可用、设备防盗、数据传输保护、数据存储保护、密码支持、操作系统等技术要求;6)依据最新修订的安全功能要求和安全保障要求,同步修改了测试评价方法中的内容
(三)本标准在确定主要内容时主要基于如下几个方面本标准从终端计算机面临的被盗和丢失、主机保护、隐私泄露、非法访问、终端滥用、恶意软件、网络攻击、漏洞利用等安全威胁,从硬件、固件、操作系统、应用软件4个层面,设计了硬件接口安全、BIOS固件安全、个人信息安全、身份标识与鉴别、访问控制、安全审计、运行时防护、安全性分析、备份和恢复、可信度量、无线安全、配置基线检查等12项安全功能要求
三、主要试验[或验证]情况分析本标准在编制过程中,将组织国内一流的检测机构、主流的终端安全厂商,对标准内容的可行性一并进行验证,以确保标准内容的完备、准确标准实施主体主要为公安部第三研究所,具体由其下属部门“公安部计算机信息系统安全产品质量监督检验中心”负责承担,具体主管部门为公安部网络安全保卫局GB/T29240适用于对终端安全防护类产品的研制、测评和使用本标准的修订也得到了国内主流终端安全防护厂商的积极支持,他们在标准修订过程中,在带来最前沿的终端安全技术的同时,也会将标准修订内容反哺到产品的研制、开发过程中,推动标准的应用、实施
四、知识产权情况说明本标准未涉及已知的专利等知识产权内容
五、产业化情况、推广应用论证和预期达到的经济效果本标准适用于终端计算机设计生产企业、终端安全防护类厂商、终端使用单位和安全测评机构开展终端计算机安全产品的设计、实现、使用和测评工作
六、采用国际标准和国外先进标准情况国际上尚未有终端安全的测评相关标准,因此本标准未采用国际标准和国外先进标准
七、与现行相关法律、法规、规章及相关标准的协调性终端计算机作为信息网络系统中数量最庞大、分布最广泛的计算设备,是信息系统安全防御体系中最薄弱、最困难的环节因此需要将终端计算机列为信息安全体系建设的重点对象,使其成为信息系统的安全堡垒为此,应为终端计算机制定专门的安全技术规范,提供不同等级的安全防护能力本标准的编制,参考了GB/T
18336、GB/T20272GB/T22239GB/T29829等标准,和相关国家标准保持了一致和协调本标准在增强级“配置基线检查”中,要求宜支持按照GB/T30278—2013中的“6核心配置基本要求”,对终端计算机的配置进行基线检查
八、重大分歧意见的处理经过和依据暂无
九、标准性质的建议建议本标准作为推荐性国家标准发布实施
十、贯彻标准的要求和措施建议本标准的技术已较为成熟,实施难度不大,建议本标准的发布日期与实施日期相隔六个月的时间为了使标准的规定得到有效贯彻,建议信安标委及时通知行业内各单位本标准的发布信息,在过渡期内组织编写标准宣贯材料及宣贯活动
十一、替代或废止现行相关标准的建议本标准修订GB/T29240-2012《信息安全技术终端计算机通用安全技术要求与测试评价方法》,本标准发布后,建议废止GB/T29240—2012o
十二、其它应予说明的事项无《信息安全技术终端计算机通用安全技术规范》标准编制组2023-04-19。