国家标准报批材料
国家标准《网络安全技术计算机基本输入输出系统(BIOS)
安全技术规范》(征求意见稿)编制说明
一、工作简况
1.1任务来源
根据国家标准化管理委员会2024年下达的国家标准制修订计划,《网络安全
技术计算机基本输入输出系统(BIOS)安全技术规范》由昆仑太科(北京)技
术股份有限公司负责承办,本标准由全国网络安全标准化技术委员会归口管理。
1.2制定背景
基本输入输出系统(BasicInputOutputSystem,BIOS)是计算设备安全
的基础,负责初始化硬件和引导操作系统。如果BIOS被破坏,将会导致整个计
算设备的安全防护体系崩溃。通过规范BIOS的基本安全功能要求,可以加强计
算设备的底层安全能力,提高计算机的安全性,保障计算机的安全应用。
美国国家标准与技术研究院持续发布了多项标准,对BIOS的开发、使用、
效果的全过程进行了规范,包括《NISTSP800-155BIOS完整性测量指南》《NIST
SP800-147BIOS保护指南》《NISTSP800-147B服务器BIOS保护指南》《NIST
SP800-193平台固件弹性指南》等相关标准。
美国国防部首席信息官备忘录(适用于DOD信息系统)要求:2012年1月1
日之后发布征集的PC客户端系统(台式微型计算机)需要符合NIST800-147
规范;美国的公众服务部备忘录(适用于联邦政府部门和代理)推荐2012年10
月1日之后的PC终端系统采购需符合800-147的要求。
2022年,美国国土安全部和商务部联合发布的《对支持美国信息和通信技
术行业的关键供应链的评估》中,明确提出由于ICT供应链中存在结构性漏洞,
并且在固件开发外包时缺乏编程规范和安全标准约束,最终集成的计算设备存在
极大安全风险。
目前,国内没有独立的BIOS安全国家标准,少量的BIOS安全要求散布在可
信和整机国家标准中,有BIOS相关的行业标准《计算机基本输入输出系统(BIOS)
测试方法第2部分:服务器》和《计算机基本输入输出系统(BIOS)技术要求第
2部分:服务器》。亟须制定独立的BIOS安全国家标准,对BIOS安全要求进行
国家标准报批材料
规范。本标准的制定过程中,将参考国际主流标准和国内已有标准内容,与相关
标准协同一致。
1.3起草过程
1.建立标准制定小组
根据2024年网络安全国家标准立项工作部署安排,该标准制定工作
由昆仑太科(北京)技术股份有限公司牵头,于2024年10月建立制
定小组。
2.确定标准制定方向和制定内容框架
标准编制组在2024年11月讨论确定标准制定方向和制定内容纲要,
并形成进一步研究任务列表;
3.形成标准草案
标准编制组根据各单位实际项目经验领取制定任务,在2024年11
月完成第一批制定任务,经整合、讨论后形成第一版制定草案。
4.进行了第一次审查会
标准编制组在2024年11月29日在江苏大厦参加了第一次审查会,
收到意见14条,全部采纳。已根据专家意见对标准内容进行了修改,
形成了第二版草案。在本次审查会中,对范围进行了明确。编制组内
部讨论后认为,本标准的基础要求适用于普通场景的计算机和服务器,
增强要求,适用于党政场景的计算机和服务器。
5.进行了第二次审查会
标准编制组在2025年12月9日在海口会议展览中心参加了第二次审
查会,收到意见5条,全部采纳。已根据专家意见对标准内容进行了
修改,形成了第三版草案。
6.进行了专家审查
标准编制组在2025年3月20日请编辑专家和责任专家对标准进行了
检查,收到意见9条,全部采纳。已根据专家意见对标准内容进行了
修改,形成了第四版草案。
7