6项信息安全相关标准将于5月1日起正式实施

2018年10月10日，全国信息安全标准化技术委员会归口的6项国家标准正式发布，四维创智为广大安全从业者们整理了5月将要落地实施的6项信息安全国家标准。清单如下：

公民网络电子身份标识安全方面的3项国家标准

随着数字化服务在我们的日常生活、工作当中的所起到的重要作用日益凸显，在应用技术和应用范围方面也在不断进步。尤其是公民网络电子身份认证的出现，再也不用担心忘记带证件的事情出现。但是与此同时，安全问题成为重中之重。5月1日起，关于公民网络电子身份标识安全技术将进行具体规定，包括以下三部分：

图片来源于网络

1. GB/T 36629.1-2018 《信息安全技术 公民网络电子身份标识安全技术要求 第1部分：读写机具安全技术要求》

本部分规定了公民网络电子身份标识读写机具的基本安全要求、数据初始化安全要求、密码应用管理安全要求和密码应用服务安全要求。

2. GB/T 36629.2-2018 《信息安全技术 公民网络电子身份标识安全技术要求 第2部分：载体安全技术要求》

本部分规定了公民网络电子身份标识载体基本安全要求、芯片操作系统和应用安全要求、载体密钥应用管理安全要求和载体密码应用服务安全技术要求。

本部分适用于公民网络电子身份标识载体的设计、开发、测试、生产和应用。

3. GB/T 36632-2018 《信息安全技术 公民网络电子身份标识格式规范》

本部分规定了公民网络电子身份标识验证服务与应用服务提供方间传递的消息及其编码出力规则。

本部分适用于公民网络点女子身份标识验证服务及应用该服务的应用与系统的设计和开发。

4. GB/T 36637-2018 《信息安全技术 ICT供应链安全风险管理指南》

随着信息通信技术的普及应用，加强ICT供应链的安全可控保障变得至关重要。目前，世界各国和ICT行业已普遍认识到，相比传统行业，ICT行业供应链更加复杂，存在安全风险的概率更大，加强ICT供应链安全管理，可增强客户对ICT供应链以及ICT行业的安全信任。

与传统供应链相比，ICT供应链具有许多不同的特点，例如：ICT供应链覆盖ICT产品和服务的全生命周期，不仅包括传统供应链的生产、集成、仓储、交付等供应阶段，也包括产品服务的设计开发阶段和售后运维阶段；ICT产品由全球分布的供应商开发、集成或交付，供应链的全球分布性使得客户对供应链的掌握情况和安全风险控制能力在下降；传统供应链主要关注如何将产品有效地交付给客户，或者供应链健壮性的强度，而ICT供应链安全更关注是否会有额外的功能注入产品和服务中，交付的产品和服务是否与预期一致等，这些特点使得ICT供应链比传统供应链存在更多的安全风险，加强ICT供应链的安全风险管理刻不容缓。

图片来源于《信息安全技术 ICT供应链安全风险管理指南》

本标准规定了信息通信技术（以下简称ICT）供应链的安全风险管理过程和控制措施。

本标准适用于重要信息系统和关键信息基础设施的ICT攻防和运营者对ICT供应链进行安全风险管理，也适用于指导ICT产品和服务的供方和需方加强供应链安全管理，同时还可供第三方测评机构对ICT供应链进行安全风险评估时参考。

5. GB/T 36643-2018 《信息安全技术 网络安全威胁信息格式规范》

随着网络攻防对抗博弈的日益加剧，网络攻击放视和攻击手法呈现出多样性、复杂性等特点，网络安全威胁具有越来越明显的普遍性和持续性，且攻击者获取工具越来越便利，导致网络攻击成本大大降低，检测网络攻击的难度却越来越大，传统的网络安全防护方案仅仅依靠各个组织独立实施垂直的防护机制，在应对这些复杂网络攻击时显得越来越低效，亟待采取新的技术手段来提升整体网络安全防护能力。

网络安全威胁信息共享和利用是提升整体网络安全防护效率的重要措施，旨在采用多种技术手段，通过采集大规模、多渠道的碎片式攻击或异常数据，集中地进行深度融合，归并和分析，形成与网络安全防护有关的威胁信息线索，并在此基础上进行主动、协同式的网络安全威胁预警、检测和响应，以降低网络安全威胁的防护成本，并提升整体的网络安全防护效率。

网络安全威胁信息的共享和利用是实现关键信息基础设施安全防护的重要环节，有利于实现跨组织的网络安全威胁信息的快速传递，进而实现对复杂网络安全威胁的及时发现和快速响应。

规范网络安全威胁信息的格式和变换方式是实现网络安全威胁信息共享和利用的前提和基础，因此它在推动网络安全威胁信息技术发展和产品化应用方面具有重要意义。

图片来源于《信息安全技术 网络安全威胁信息格式规范》

本标准规定了网络安全威胁信息模型和网络安全威胁信息组件，包括网络安全威胁信息中各组件的属性和属性值格式等信息。

本标准适用于网络安全威胁信息供方和需方之间进行网络安全威胁信息的生成、共享和使用，网络安全威胁信息共享平台的建设和运营可参考使用。

6. GB/T 36651-2018 《信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架》

图片来源于《信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架》

本标准规定了基于可信环境的生物特征识别身份鉴别协议框架，包括协议框架、协议流程、协议规则以及协议接口等内容。

本标准适用于生物特征识别身份鉴别服务的开发、测试和评价。

以上信息安全标准具体内容可登录国家标准全文公开系统http://www.gb688.cn/bzgk/gb/进行查看。就在刚刚开始的全国信息安全标准化技术委员会（以下简称信安标委）2019年第一次工作组“会议周”上，对68项2019年网络安全国家标准立项项目建议进行讨论，推进31项在研标准制修订项目、13项标准研究项目，并持续完善各技术领域标准体系和路线图。

更多规范标准关注：四维创智