2018年9月,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的17項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布。這些國(guó)家標(biāo)準(zhǔn)將在2019年4月1日起正式實(shí)施。清單如下:
1. GB/T 36618-2018 《信息安全技術(shù) 金融信息服務(wù)安全規(guī)范》
內(nèi)容概述:該標(biāo)準(zhǔn)規(guī)定了金融信息服務(wù)提供商提供金融信息服務(wù)時(shí)的基本原則、服務(wù)過(guò)程要求、技術(shù)要求和管理要求。其中,技術(shù)要求部分主要涵蓋基礎(chǔ)設(shè)施安全、軟件安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、運(yùn)行安全、容災(zāi)和恢復(fù)六個(gè)方面。
2. GB/T 36619-2018 《信息安全技術(shù) 政務(wù)和公益機(jī)構(gòu)域名命名規(guī)范》
內(nèi)容概述:該標(biāo)準(zhǔn)主要針對(duì)由于命名不規(guī)范,使得政務(wù)和公益機(jī)構(gòu)網(wǎng)站公眾識(shí)別度不高,再加上一些虛假網(wǎng)站惡意利用造成負(fù)面影響等問(wèn)題,對(duì)政務(wù)和公益機(jī)構(gòu)域名的命名規(guī)范做出可依據(jù)的規(guī)范說(shuō)明,包含基本規(guī)則、中文規(guī)則、英文規(guī)則等。
3. GB/T 36626-2018 《信息安全技術(shù) 信息系統(tǒng)安全運(yùn)維管理指南》
內(nèi)容引言:本標(biāo)準(zhǔn)提供了信息系統(tǒng)安全運(yùn)維管理體系的指導(dǎo)和建議,給出了安全運(yùn)維策略、安全運(yùn)維組織的管理、安全運(yùn)維規(guī)則和安全運(yùn)維支撐系統(tǒng)等方面相關(guān)活動(dòng)的目的、要求和實(shí)施指南。本標(biāo)準(zhǔn)可用于指導(dǎo)各組織信息系統(tǒng)安全運(yùn)維管理體系的建立和運(yùn)行。
4. GB/T 36627-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》
內(nèi)容引言:網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程包括測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、報(bào)告編制活動(dòng)四個(gè)基本測(cè)評(píng)活動(dòng)。本標(biāo)準(zhǔn)為方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中涉及的測(cè)評(píng)技術(shù)選擇與實(shí)施過(guò)程提供指導(dǎo)。
網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)的測(cè)評(píng)標(biāo)準(zhǔn)主要有GB/T 22239、GB/T 28448和GB/T 28449等。其中GB/T 22239是網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的基礎(chǔ)性標(biāo)準(zhǔn),GB/T 28448針對(duì)GB/T 22239中的要求,提出了不同網(wǎng)絡(luò)安全等級(jí)的測(cè)評(píng)要求;GB/T 28449主要規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作的測(cè)評(píng)過(guò)程,本標(biāo)準(zhǔn)與GB/T 28448和GB/T 28449的區(qū)別在于:GB/T 28448主要描述了針對(duì)各級(jí)等級(jí)保護(hù)對(duì)象單元測(cè)評(píng)的具體測(cè)評(píng)要求和測(cè)評(píng)流程,GB/T 28449則主要對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的活動(dòng)、工作任務(wù)以及每項(xiàng)任務(wù)的輸入/輸出產(chǎn)品等提出指導(dǎo)性建議,不涉及測(cè)評(píng)中具體的測(cè)試方法和技術(shù)。本標(biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的相關(guān)測(cè)評(píng)技術(shù)進(jìn)行明確的分類(lèi)和定義,系統(tǒng)地歸納并闡述測(cè)評(píng)的技術(shù)方法,概述技術(shù)性安全測(cè)試和評(píng)估的要素,重點(diǎn)關(guān)注具體技術(shù)的實(shí)現(xiàn)功能、原則等,并提出建議供使用,因此本標(biāo)準(zhǔn)在應(yīng)用于網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)時(shí)可作為對(duì)GB/T 28448和GB/T 28449的補(bǔ)充。
GB/T 36630《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo)》包含以下五部分:
5.GB/T 36630.1-2018 《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo) 第1部分:總則》
內(nèi)容引言:隨著信息技術(shù)應(yīng)用的日益深入,信息技術(shù)產(chǎn)品設(shè)計(jì)實(shí)現(xiàn)的復(fù)雜度不斷提升,設(shè)計(jì)的生命周期環(huán)節(jié)越來(lái)越多,人為設(shè)置的后門(mén)、不可控的產(chǎn)品供應(yīng)鏈、不能持續(xù)的產(chǎn)品服務(wù)、未經(jīng)授權(quán)的數(shù)據(jù)收集和使用等潛在的不可控因素不斷增多,嚴(yán)重?fù)p害應(yīng)用方的權(quán)益,甚至可能危害國(guó)家安全和公共利益。
依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》等要求,為提高信息技術(shù)產(chǎn)品安全可控水平,防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn),維護(hù)國(guó)家和公共安全,進(jìn)而滿(mǎn)足信息技術(shù)產(chǎn)品應(yīng)用方安全可控需求,增強(qiáng)應(yīng)用方信心,推動(dòng)信息技術(shù)產(chǎn)業(yè)健康、快速發(fā)展,特制定GB/T 36630。
6.GB/T 36630.2-2018 《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo) 第2部分:中央處理器》
7.GB/T 36630.3-2018 《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo) 第3部分:操作系統(tǒng)》
8.GB/T 36630.4-2018 《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo) 第4部分:辦公套件》
9.GB/T 36630.5-2018 《信息安全技術(shù) 信息技術(shù)產(chǎn)品安全可控評(píng)價(jià)指標(biāo) 第5部分:通用計(jì)算機(jī)》
10. GB/T 36631-2018 《信息安全技術(shù) 時(shí)間戳策略和時(shí)間戳業(yè)務(wù)操作規(guī)則》
內(nèi)容引言:隨著信息技術(shù)的發(fā)展,越來(lái)越多的傳統(tǒng)應(yīng)用被網(wǎng)絡(luò)應(yīng)用所代替,如電子商務(wù)、數(shù)字出版等網(wǎng)絡(luò)應(yīng)用,傳統(tǒng)的記錄時(shí)間方式再互聯(lián)網(wǎng)環(huán)境下已不適用于證明時(shí)間是否發(fā)生在某一時(shí)刻,引發(fā)對(duì)可信第三方時(shí)間戳服務(wù)的需求。為此,國(guó)內(nèi)多家證書(shū)認(rèn)證機(jī)構(gòu)及專(zhuān)業(yè)公司陸續(xù)開(kāi)展了時(shí)間戳相關(guān)的業(yè)務(wù)服務(wù),為電子取證、版權(quán)服務(wù)、電子商務(wù)等業(yè)務(wù)提供權(quán)威的、可信賴(lài)的、公正的第三方的時(shí)間戳服務(wù)。2003年,《電子簽名法》頒布,為時(shí)間戳業(yè)務(wù)服務(wù)的進(jìn)一步發(fā)展提供了法律保障。
為規(guī)范時(shí)間戳業(yè)務(wù)發(fā)展,本標(biāo)準(zhǔn)針對(duì)第三方時(shí)間戳服務(wù)機(jī)構(gòu),在時(shí)間戳策略、時(shí)間戳業(yè)務(wù)操作規(guī)則等應(yīng)包含的時(shí)間戳標(biāo)識(shí)、時(shí)間戳管理、時(shí)間戳關(guān)聯(lián)方的責(zé)任與義務(wù)等內(nèi)容進(jìn)行規(guī)范。本標(biāo)準(zhǔn)在制定過(guò)程中參考了國(guó)內(nèi)外的相關(guān)規(guī)范,結(jié)合我國(guó)時(shí)間戳服務(wù)、應(yīng)用的特點(diǎn)進(jìn)行了調(diào)整和擴(kuò)充。
適用范圍:時(shí)間戳機(jī)構(gòu)編制時(shí)間戳策略和時(shí)間戳業(yè)務(wù)操作規(guī)則等活動(dòng)。
11.GB/T 36633-2018 《信息安全技術(shù) 網(wǎng)絡(luò)用戶(hù)身份鑒別技術(shù)指南》
內(nèi)容摘要:該標(biāo)準(zhǔn)給出了網(wǎng)絡(luò)環(huán)境下用戶(hù)身份鑒別的主要過(guò)程和常見(jiàn)鑒別技術(shù)存在的威脅,并規(guī)定了抵御威脅的方法。適用于網(wǎng)絡(luò)環(huán)境下用戶(hù)身份鑒別系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)與測(cè)試。
網(wǎng)絡(luò)用戶(hù)身份鑒別的一般過(guò)程包括:注冊(cè)和發(fā)放過(guò)程、提交和驗(yàn)證以及斷言過(guò)程。該標(biāo)準(zhǔn)對(duì)鑒別過(guò)程的威脅和抵御威脅的策略進(jìn)行相關(guān)規(guī)定。
12.GB/T 36635-2018 《信息安全技術(shù) 網(wǎng)絡(luò)安全監(jiān)測(cè)基本要求與實(shí)施指南》
適用范圍:本標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全監(jiān)測(cè)的基本要求,給出了網(wǎng)絡(luò)安全監(jiān)測(cè)框架和實(shí)施指南。本標(biāo)準(zhǔn)適用于系統(tǒng)或網(wǎng)絡(luò)安全監(jiān)測(cè)的實(shí)施,網(wǎng)絡(luò)安全監(jiān)測(cè)產(chǎn)品的設(shè)計(jì)開(kāi)發(fā),網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)的提供等。
13.GB/T 36639-2018 《信息安全技術(shù) 可信計(jì)算規(guī)范 服務(wù)器可信支撐平臺(tái)》
適用范圍:本標(biāo)準(zhǔn)規(guī)定了服務(wù)器可信支撐平臺(tái)的功能和安全性要求,并描述了服務(wù)器可信支撐平臺(tái)的組成結(jié)構(gòu)。
本標(biāo)準(zhǔn)適用于可信計(jì)算體系下服務(wù)器可信支撐平臺(tái)的設(shè)計(jì)、生產(chǎn)、集成、管理和測(cè)試。
14. GB/T 36644-2018 《信息安全技術(shù) 數(shù)字簽名應(yīng)用安全證明獲取方法》
內(nèi)容引言:參與數(shù)字簽名生成或驗(yàn)證的實(shí)體取決于過(guò)程的真實(shí)性,該真實(shí)性可以通過(guò)獲取私鑰擁有屬性的安全證明、公鑰有效性的安全證明、數(shù)字簽名的生成時(shí)間來(lái)保證。本標(biāo)準(zhǔn)旨在規(guī)定一套數(shù)字簽名應(yīng)用安全證明獲取方法,用以規(guī)范數(shù)字簽名應(yīng)用安全證明過(guò)程,主要應(yīng)用于需要提供數(shù)字簽名生成過(guò)程安全性和對(duì)簽名生成時(shí)間有明確要求的簽名應(yīng)用場(chǎng)景。
適用范圍:需要提供數(shù)字簽名生成過(guò)程安全性和對(duì)簽名生成時(shí)間有明確要求的簽名應(yīng)用場(chǎng)景。
以下推薦性標(biāo)準(zhǔn)采用了ISO、IEC等國(guó)際國(guó)外組織的標(biāo)準(zhǔn),由于涉及版權(quán)保護(hù)問(wèn)題,國(guó)家標(biāo)準(zhǔn)全文公開(kāi)系統(tǒng)暫不提供在線閱讀服務(wù)。如需正式標(biāo)準(zhǔn)出版物,請(qǐng)聯(lián)系中國(guó)標(biāo)準(zhǔn)出版社。
15.GB/T 15843.6-2018 《信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第6部分:采用人工數(shù)據(jù)傳遞的機(jī)制》
16.GB/T 34953.2-2018 《信息技術(shù) 安全技術(shù) 匿名實(shí)體鑒別 第2部分:基于群組公鑰簽名的機(jī)制》
17.GB/T 36624-2018 《信息技術(shù) 安全技術(shù) 可鑒別的加密機(jī)制》
以上標(biāo)準(zhǔn)的具體內(nèi)容可登陸國(guó)家標(biāo)準(zhǔn)全文公開(kāi)系統(tǒng)進(jìn)行查看。
網(wǎng)址:http://www.gb688.cn/bzgk/gb/index
