2018年9月,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口的17項(xiàng)國家標(biāo)準(zhǔn)正式發(fā)布。這些國家標(biāo)準(zhǔn)將在2019年4月1日起正式實(shí)施。清單如下:
1. GB/T 36618-2018 《信息安全技術(shù) 金融信息服務(wù)安全規(guī)范》
內(nèi)容概述:該標(biāo)準(zhǔn)規(guī)定了金融信息服務(wù)提供商提供金融信息服務(wù)時(shí)的基本原則、服務(wù)過程要求、技術(shù)要求和管理要求。其中,技術(shù)要求部分主要涵蓋基礎(chǔ)設(shè)施安全、軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、運(yùn)行安全、容災(zāi)和恢復(fù)六個(gè)方面。
2. GB/T 36619-2018 《信息安全技術(shù) 政務(wù)和公益機(jī)構(gòu)域名命名規(guī)范》
內(nèi)容概述:該標(biāo)準(zhǔn)主要針對由于命名不規(guī)范,使得政務(wù)和公益機(jī)構(gòu)網(wǎng)站公眾識別度不高,再加上一些虛假網(wǎng)站惡意利用造成負(fù)面影響等問題,對政務(wù)和公益機(jī)構(gòu)域名的命名規(guī)范做出可依據(jù)的規(guī)范說明,包含基本規(guī)則、中文規(guī)則、英文規(guī)則等。
3. GB/T 36626-2018 《信息安全技術(shù) 信息系統(tǒng)安全運(yùn)維管理指南》
內(nèi)容引言:本標(biāo)準(zhǔn)提供了信息系統(tǒng)安全運(yùn)維管理體系的指導(dǎo)和建議,給出了安全運(yùn)維策略、安全運(yùn)維組織的管理、安全運(yùn)維規(guī)則和安全運(yùn)維支撐系統(tǒng)等方面相關(guān)活動的目的、要求和實(shí)施指南。本標(biāo)準(zhǔn)可用于指導(dǎo)各組織信息系統(tǒng)安全運(yùn)維管理體系的建立和運(yùn)行。
4. GB/T 36627-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南》
內(nèi)容引言:網(wǎng)絡(luò)安全等級保護(hù)測評過程包括測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、報(bào)告編制活動四個(gè)基本測評活動。本標(biāo)準(zhǔn)為方案編制活動、現(xiàn)場測評活動中涉及的測評技術(shù)選擇與實(shí)施過程提供指導(dǎo)。
網(wǎng)絡(luò)安全等級保護(hù)相關(guān)的測評標(biāo)準(zhǔn)主要有GB/T 22239、GB/T 28448和GB/T 28449等。其中GB/T 22239是網(wǎng)絡(luò)安全等級保護(hù)測評的基礎(chǔ)性標(biāo)準(zhǔn),GB/T 28448針對GB/T 22239中的要求,提出了不同網(wǎng)絡(luò)安全等級的測評要求;GB/T 28449主要規(guī)定了網(wǎng)絡(luò)安全等級保護(hù)測評工作的測評過程,本標(biāo)準(zhǔn)與GB/T 28448和GB/T 28449的區(qū)別在于:GB/T 28448主要描述了針對各級等級保護(hù)對象單元測評的具體測評要求和測評流程,GB/T 28449則主要對網(wǎng)絡(luò)安全等級保護(hù)測評的活動、工作任務(wù)以及每項(xiàng)任務(wù)的輸入/輸出產(chǎn)品等提出指導(dǎo)性建議,不涉及測評中具體的測試方法和技術(shù)。本標(biāo)準(zhǔn)對網(wǎng)絡(luò)安全等級保護(hù)測評中的相關(guān)測評技術(shù)進(jìn)行明確的分類和定義,系統(tǒng)地歸納并闡述測評的技術(shù)方法,概述技術(shù)性安全測試和評估的要素,重點(diǎn)關(guān)注具體技術(shù)的實(shí)現(xiàn)功能、原則等,并提出建議供使用,因此本標(biāo)準(zhǔn)在應(yīng)用于網(wǎng)絡(luò)安全等級保護(hù)測評時(shí)可作為對GB/T 28448和GB/T 28449的補(bǔ)充。
GB/T 36630《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價(jià)指標(biāo)》包含以下五部分:
5.GB/T 36630.1-2018 《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價(jià)指標(biāo) 第1部分:總則》
內(nèi)容引言:隨著信息技術(shù)應(yīng)用的日益深入,信息技術(shù)產(chǎn)品設(shè)計(jì)實(shí)現(xiàn)的復(fù)雜度不斷提升,設(shè)計(jì)的生命周期環(huán)節(jié)越來越多,人為設(shè)置的后門、不可控的產(chǎn)品供應(yīng)鏈、不能持續(xù)的產(chǎn)品服務(wù)、未經(jīng)授權(quán)的數(shù)據(jù)收集和使用等潛在的不可控因素不斷增多,嚴(yán)重?fù)p害應(yīng)用方的權(quán)益,甚至可能危害國家安全和公共利益。
依據(jù)《中華人名共和國網(wǎng)絡(luò)安全法》網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》等要求,為提高信息技術(shù)產(chǎn)品安全可控水平,防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn),維護(hù)國家和公共安全,進(jìn)而滿足信息技術(shù)產(chǎn)品應(yīng)用方安全可控需求,增強(qiáng)應(yīng)用方信心,推動信息技術(shù)產(chǎn)業(yè)健康、快速發(fā)展,特制定GB/T 36630。
6.GB/T 36630.2-2018 《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價(jià)指標(biāo) 第2部分:中央處理器》
7.GB/T 36630.3-2018 《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價(jià)指標(biāo) 第3部分:操作系統(tǒng)》
8.GB/T 36630.4-2018 《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價(jià)指標(biāo) 第4部分:辦公套件》
9.GB/T 36630.5-2018 《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評價(jià)指標(biāo) 第5部分:通用計(jì)算機(jī)》
10. GB/T 36631-2018 《信息安全技術(shù) 時(shí)間戳策略和時(shí)間戳業(yè)務(wù)操作規(guī)則》
內(nèi)容引言:隨著信息技術(shù)的發(fā)展,越來越多的傳統(tǒng)應(yīng)用被網(wǎng)絡(luò)應(yīng)用所代替,如電子商務(wù)、數(shù)字出版等網(wǎng)絡(luò)應(yīng)用,傳統(tǒng)的記錄時(shí)間方式再互聯(lián)網(wǎng)環(huán)境下已不適用于證明時(shí)間是否發(fā)生在某一時(shí)刻,引發(fā)對可信第三方時(shí)間戳服務(wù)的需求。為此,國內(nèi)多家證書認(rèn)證機(jī)構(gòu)及專業(yè)公司陸續(xù)開展了時(shí)間戳相關(guān)的業(yè)務(wù)服務(wù),為電子取證、版權(quán)服務(wù)、電子商務(wù)等業(yè)務(wù)提供權(quán)威的、可信賴的、公正的第三方的時(shí)間戳服務(wù)。2003年,《電子簽名法》頒布,為時(shí)間戳業(yè)務(wù)服務(wù)的進(jìn)一步發(fā)展提供了法律保障。
為規(guī)范時(shí)間戳業(yè)務(wù)發(fā)展,本標(biāo)準(zhǔn)針對第三方時(shí)間戳服務(wù)機(jī)構(gòu),在時(shí)間戳策略、時(shí)間戳業(yè)務(wù)操作規(guī)則等應(yīng)包含的時(shí)間戳標(biāo)識、時(shí)間戳管理、時(shí)間戳關(guān)聯(lián)方的責(zé)任與義務(wù)等內(nèi)容進(jìn)行規(guī)范。本標(biāo)準(zhǔn)在制定過程中參考了國內(nèi)外的相關(guān)規(guī)范,結(jié)合我國時(shí)間戳服務(wù)、應(yīng)用的特點(diǎn)進(jìn)行了調(diào)整和擴(kuò)充。
適用范圍:時(shí)間戳機(jī)構(gòu)編制時(shí)間戳策略和時(shí)間戳業(yè)務(wù)操作規(guī)則等活動。
11.GB/T 36633-2018 《信息安全技術(shù) 網(wǎng)絡(luò)用戶身份鑒別技術(shù)指南》
內(nèi)容摘要:該標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)環(huán)境下用戶身份鑒別的主要過程和常見鑒別技術(shù)存在的威脅,并規(guī)定了抵御威脅的方法。適用于網(wǎng)絡(luò)環(huán)境下用戶身份鑒別系統(tǒng)的設(shè)計(jì)、開發(fā)與測試。
網(wǎng)絡(luò)用戶身份鑒別的一般過程包括:注冊和發(fā)放過程、提交和驗(yàn)證以及斷言過程。該標(biāo)準(zhǔn)對鑒別過程的威脅和抵御威脅的策略進(jìn)行相關(guān)規(guī)定。
12.GB/T 36635-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全監(jiān)測基本要求與實(shí)施指南》
適用范圍:本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全監(jiān)測的基本要求,給出了網(wǎng)絡(luò)安全監(jiān)測框架和實(shí)施指南。本標(biāo)準(zhǔn)適用于系統(tǒng)或網(wǎng)絡(luò)安全監(jiān)測的實(shí)施,網(wǎng)絡(luò)安全監(jiān)測產(chǎn)品的設(shè)計(jì)開發(fā),網(wǎng)絡(luò)安全監(jiān)測服務(wù)的提供等。
13.GB/T 36639-2018 《信息安全技術(shù) 可信計(jì)算規(guī)范 服務(wù)器可信支撐平臺》
適用范圍:本標(biāo)準(zhǔn)規(guī)定了服務(wù)器可信支撐平臺的功能和安全性要求,并描述了服務(wù)器可信支撐平臺的組成結(jié)構(gòu)。
本標(biāo)準(zhǔn)適用于可信計(jì)算體系下服務(wù)器可信支撐平臺的設(shè)計(jì)、生產(chǎn)、集成、管理和測試。
14. GB/T 36644-2018 《信息安全技術(shù) 數(shù)字簽名應(yīng)用安全證明獲取方法》
內(nèi)容引言:參與數(shù)字簽名生成或驗(yàn)證的實(shí)體取決于過程的真實(shí)性,該真實(shí)性可以通過獲取私鑰擁有屬性的安全證明、公鑰有效性的安全證明、數(shù)字簽名的生成時(shí)間來保證。本標(biāo)準(zhǔn)旨在規(guī)定一套數(shù)字簽名應(yīng)用安全證明獲取方法,用以規(guī)范數(shù)字簽名應(yīng)用安全證明過程,主要應(yīng)用于需要提供數(shù)字簽名生成過程安全性和對簽名生成時(shí)間有明確要求的簽名應(yīng)用場景。
適用范圍:需要提供數(shù)字簽名生成過程安全性和對簽名生成時(shí)間有明確要求的簽名應(yīng)用場景。
以下推薦性標(biāo)準(zhǔn)采用了ISO、IEC等國際國外組織的標(biāo)準(zhǔn),由于涉及版權(quán)保護(hù)問題,國家標(biāo)準(zhǔn)全文公開系統(tǒng)暫不提供在線閱讀服務(wù)。如需正式標(biāo)準(zhǔn)出版物,請聯(lián)系中國標(biāo)準(zhǔn)出版社。
15.GB/T 15843.6-2018 《信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第6部分:采用人工數(shù)據(jù)傳遞的機(jī)制》
16.GB/T 34953.2-2018 《信息技術(shù) 安全技術(shù) 匿名實(shí)體鑒別 第2部分:基于群組公鑰簽名的機(jī)制》
17.GB/T 36624-2018 《信息技術(shù) 安全技術(shù) 可鑒別的加密機(jī)制》
以上標(biāo)準(zhǔn)的具體內(nèi)容可登陸國家標(biāo)準(zhǔn)全文公開系統(tǒng)進(jìn)行查看。
網(wǎng)址:http://www.gb688.cn/bzgk/gb/index
