1
《网络安全技术操作系统安全技术规范》
(征求意见稿)编制说明
一、工作简况
1.1任务来源
根据《全国网络安全标准化技术委员会关于2024年44项网络安全国家标准项目立项的通知》(网安字〔2024〕21号),推荐性国家标准《网络安全技术操作系统安全技术规范》(修订)立项,由公安部第三研究所牵头制定。国家标准化管理委员会标准计划号:2024XXXX-T-XXX。该标准由全国网络安全标准化技术委员会归口管理。
1.2修订背景
本标准计划合并修订GB/T20272-2019《信息安全技术操作系统安全技术要求》和GB/T20008-2005《信息安全技术操作系统安全评估准则》,提出操作系统的安全功能要求、自身安全要求、安全保障要求以及对应的测试评价方法。
1)等保和关保相关要求方面
本标准拟修订的两个标准分别发布于2019年和2005年,随后GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T39204-2022《信息安全技术关键信息基础设施安全保护要求》标准发布,GB/T20272-2019的要求无法完全体现网络、重要信息系统以及关键基础设施中对操作系统的安全需求。
2)《中华人民共和国密码法》相关规定方面
同时,随着2019年10月《中华人民共和国密码法》的通过,GB/T20272-2019对密码技术支持要求的不足,导致安全操作系统无法为密码技术的应用提供良好的支撑作用。
3)网络安全专用产品相关要求方面
2023年7月,GB42250—2022《信息安全技术网络安全专用产品安全技术要求》正式实施。随后,四部委联合发布“关于调整《网络关键设备和网络安全专用产品目录》的公告”,安全操作系统进入了网络安全专用产品目录。然而,GB42250是一个适用于所有网络安全专用产品的基线标准,仅对产品的安全功能要求、自身安全要求等提出了基本要求,其安全功能要求无法体现各类网络安
2
全专用产品的特性。因此,其必须配合相应类别的产品国标一起使用。GB/T20272-2019的要求无法完全体现GB42250—2022对网络安全专用产品的基线要求,这严重的影响了网络安全法的实施以及网络安全专用产品的监管。
4)测试评价方法方面
此外,GB/T20272-2019缺少测试评价方法、GB/T20008-2005发布已近20年,无法有效指导该类网络安全专用产品的安全检测和安全认证。
综合上述原因,为规范操作系统的安全功能、自身安全要求、安全保障要求等,使其有效支撑网络、尤其是重要信息系统、关键信息基础设施的应用安全,同时,为了降低该类产品潜在的安全隐患,统一操作系统的测评方法,有必要针对修订国家标准GB/T20272和GB/T20008-2005。
因此,操作系统国家标准的修订非常有必要,一方面可以支撑操作系统的监管,一方面为操作系统的检测和认证提供标准化技术支撑。
1.3起草过程
1、草案
2024年5月,全国网络安全标准化技术委员会发布了《关于发布2024年度第一批网络安全国家标准需求的通知》,操作系统安全技术规范是其中一项。根据项目工作要求,我单位立即成立了标准工作小组,并邀请该类产品生产厂商、产品检测认证机构、科研院所等单位组建了标准编制组,联合申报该标准,并组织编写了申报材料。在充分调研的基础上,标准编制组完成了标准草案(第一稿)。
2024年6月,全国网络安全标准化技术委员会WG5组在南昌召开2024年第一次会议周WG5组全体会议,组织研讨2024年第一批立项标准。标准编制组根据现场专家和WG5组成员单位的意见对标准草案进行了修改完善。
2024年7月,全国网络安全标准化技术委员会秘书处在北京组织召开2024年第一批网络安全国家标准立项专家评审会。标准编制组根据现场专家的意见对标准草案进行了修改完善。
2024年11月,全国网络安全标准化技术委员会发布了立项通知(网安字〔2024〕21号),《网络安全技术操作系统安全技术规范》修订项目立项。随后,标准编制组在全国网络安全标准化技术委员会网站公开征集参编单位,目前编制组成员共55家。
3
2024年11月,全国网络安全标准化技术委员会WG5组在北京召开标准研讨会议,标准编制组根据现场专家的意见对标准草案进行了修改完善。
2024年12月,全国网络安全标准化技术委员会WG5组在海口召开2024年第二次会议周WG5组全体会议,组织研讨2024年立项的第一批标准。标准编制组根据现场专家和WG5组成员单位的意见