《网络安全技术操作系统安全技术规范》
(征求意见稿)编制说明
一、工作简况
1.1任务来源
根据《全国网络安全标准化技术委员会关于2024年44项网络安全国家标准项
目立项的通知》(网安字〔2024〕21号),推荐性国家标准《网络安全技术操
作系统安全技术规范》(修订)立项,由公安部第三研究所牵头制定。国家标准
化管理委员会标准计划号:2024XXXX-T-XXX。该标准由全国网络安全标准化技术
委员会归口管理。
1.2修订背景
本标准计划合并修订GB/T20272-2019《信息安全技术操作系统安全技术
要求》和GB/T20008-2005《信息安全技术操作系统安全评估准则》,提出操作
系统的安全功能要求、自身安全要求、安全保障要求以及对应的测试评价方法。
1)等保和关保相关要求方面
本标准拟修订的两个标准分别发布于2019年和2005年,随后GB/T
22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T39204-2022《信
息安全技术关键信息基础设施安全保护要求》标准发布,GB/T20272-2019的
要求无法完全体现网络、重要信息系统以及关键基础设施中对操作系统的安全需
求。
2)《中华人民共和国密码法》相关规定方面
同时,随着2019年10月《中华人民共和国密码法》的通过,GB/T20272-2019
对密码技术支持要求的不足,导致安全操作系统无法为密码技术的应用提供良好
的支撑作用。
3)网络安全专用产品相关要求方面
2023年7月,GB42250—2022《信息安全技术网络安全专用产品安全技术
要求》正式实施。随后,四部委联合发布“关于调整《网络关键设备和网络安全
专用产品目录》的公告”,安全操作系统进入了网络安全专用产品目录。然而,
GB42250是一个适用于所有网络安全专用产品的基线标准,仅对产品的安全功
能要求、自身安全要求等提出了基本要求,其安全功能要求无法体现各类网络安
1
全专用产品的特性。因此,其必须配合相应类别的产品国标一起使用。GB/T
20272-2019的要求无法完全体现GB42250—2022对网络安全专用产品的基线要
求,这严重的影响了网络安全法的实施以及网络安全专用产品的监管。
4)测试评价方法方面
此外,GB/T20272-2019缺少测试评价方法、GB/T20008-2005发布已近20
年,无法有效指导该类网络安全专用产品的安全检测和安全认证。
综合上述原因,为规范操作系统的安全功能、自身安全要求、安全保障要求
等,使其有效支撑网络、尤其是重要信息系统、关键信息基础设施的应用安全,
同时,为了降低该类产品潜在的安全隐患,统一操作系统的测评方法,有必要针
对修订国家标准GB/T20272和GB/T20008-2005。
因此,操作系统国家标准的修订非常有必要,一方面可以支撑操作系统的监
管,一方面为操作系统的检测和认证提供标准化技术支撑。
1.3起草过程
1、草案
2024年5月,全国网络安全标准化技术委员会发布了《关于发布2024年度
第一批网络安全国家标准需求的通知》,操作系统安全技术规范是其中一项。根
据项目工作要求,我单位立即成立了标准工作小组,并邀请该类产品生产厂商、
产品检测认证机构、科研院所等单位组建了标准编制组,联合申报该标准,并组
织编写了申报材料。在充分调研的基础上,标准编制组完成了标准草案(第一稿)。
2024年6月,全国网络安全标准化技术委员会WG5组在南昌召开2024年第
一次会议周WG5组全体会议,组织研讨2024年第一批立项标准。标准编制组根
据现场专家和WG5组成员单位的意见对标准草案进行了修改完善。
2024年7月,全国网络安全标准化技术委员会秘书处在北京组织召开2024
年第一批网络安全国家标准立项专家评审会。标准编制组根据现场专家的意见对
标准草案进行了修改完善。
2024年11月,全国网络安全标准化技术委员会发布了立项通知(网安字
〔2024〕21号),《网络安全技术操作系统安全技术规范》修订项目立项。随后,
标准编制组在全国网络安全标准化技术委员会网站