《信息安全技术安全处理器技术规范》(征求意见稿)
信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求内容
《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》(征求意见稿)编制说明1 工作简况1.1任务来源2015年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制订《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》国家标准,国标计划号:2015bzzd-WG5-001。
该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由公安部第三研究所、公安部计算机信息系统安全产品质量监督检验中心(以下简称“检测中心”)负责主编。
国家发改委颁布了发改办高技[2013]1965号文《国家发展改革委办公厅关于组织实施2013年国家信息安全专项有关事项的通知》,开展实施工业控制等多个领域的信息安全专用产品扶持工作。
面向现场设备环境的边界安全专用网关产品为重点扶持的工控信息安全产品之一,其中包含了隔离类设备,表明了工控隔离产品在工控领域信息安全产品中的地位,其标准的建设工作至关重要。
因此本标准项目建设工作也是为了推荐我国工业控制系统信息安全的重要举措之一。
1.2协作单位在接到《信息安全技术工业控制网络安全隔离与信息交换系统安全技术要求》标准的任务后,检测中心立即与产品生产厂商、工业控制厂商进行沟通,并得到了多家单位的积极参与和反馈。
最终确定由北京匡恩网络科技有限责任公司、珠海市鸿瑞软件技术有限公司、北京力控华康科技有限公司等单位作为标准编制协作单位。
1.3编制的背景目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业,工控系统已是国家安全战略的重要组成部分,一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏,将对工业生产和国家经济安全带来重大安全风险。
随着计算机和网络技术的发展,特别是信息化与工业化深度融合,逐步形成了管理与控制的一体化,导致生产控制系统不再是一个独立运行的系统,其接入的范围不仅扩展到了企业网甚至互联网,从而面临着来自互联网的威胁。
信息安全技术 车载网络设备信息安全技术要求-编制说明
国家标准《信息安全技术车载网络设备信息安全技术要求》(征求意见稿)编制说明一、工作简况1.任务来源国家标准《信息安全技术车载网络安全设备信息安全技术要求》制定工作由全国信息安全标准化技术委员会秘书处下达立项通知(信安秘字[2019]050号),主要承担单位为东软集团股份有限公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国软件评测中心、一汽轿车股份有限公司、长城汽车股份有限公司等。
2.协作单位任务下达后,东软集团股份有限公司立即与测评机构、业内厂商和科研院校进行沟通并得到了积极参与的反馈,并于10月30日结束的参编单位征集活动后,国家工业信息安全发展研究中心、公安部第一研究所、国汽(北京)智能网联汽车研究院有限公司、北京航空航天大学、中国软件评测中心、阿里云计算有限公司、北京奇虎科技有限公司、北京天融信网络安全技术有限公司、公安部交通管理科学研究所、工业和信息化部电子第五研究所、中国科学院信息工程研究所、中国汽车工程研究院有限公司、北京百度网讯科技有限公司、华为技术有限公司、杭州安恒信息技术股份有限公司、启明星辰信息技术集团股份有限公司、北京安天网络安全技术有限公司、中国信息通信研究院、网神信息技术(北京)股份有限公司、国家计算机网络应急技术处理协调中心、北京中电华大电子设计有限责任公司、北京理工华创电动车技术有限公司、联合汽车电子有限公司、北京梆梆安全科技有限公司、天津国芯科技有限公司、长城汽车股份有限公司、北京神州绿盟科技有限公司、重庆邮电大学、上海市信息安全测评认证中心、一汽轿车股份有限公司、任子行网络技术股份有限公司、恒安嘉新(北京)科技股份公司、电子科技大学、重庆长安汽车股份有限公司等60家单位报名加入编制组。
3.主要工作过程3.1 成立编制组本标准的制定任务由东软集团股份有限公司、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心、中国软件评测中心、一汽轿车股份有限公司、长城汽车股份有限公司和其他参编单位共同承担。
信安标委发布《信息安全技术 工业控制系统信息安全防护建设实施规范》征求意见稿
/Veivs •市场观察信安标委:发布《信息安全技术工业控制系统信息安全防护建设实施规 范》征求意见稿2020年5月,由全国信息安全标准化技术委员会归口的《信系统信息安全防护建设实施,描述了工业企业新建/存量工业控 息安全技术工业控制系统信息安全防护建设实施规范》已形成制系统信息安全防护建设实施流程及实施过程中需考虑的13个 标准征求意见稿,面向社会公开征求意见。
标准规定了工业控制方面,制定了信息安全防护效果核验及对标方法。
工业网络安全风险评估标准获批2020年8月12日,ISA 和IEC 批准了工业网络安全风险评估 标准。
该ISA / IEC 62443系列标准共同提供了一套全面的规范 性要求,这些要求适用于工业网络安全解决方案生命周期的各个 阶段,从规范和幵发到实施到操作和支持。
目标受众包括资产所有者、系统集成商、产品供应商、服务提供商和法规遵从性机 构。
此次正式批准的IEC 62443-3-2标准定义了一组工程措施, 指导组织评估特定的工业控制系统风险,识别和应用安全对策, 降低安全风险到可接受的水平。
国家密码管理局发布26项密码行业标准,自2021年7月1日起实施据国家密码管理局公告,发布GM /T 0012-2020《可信计算 可信密码模块接口规范》等26项密码行业标准,自2021年7月1 曰起实施,具体标准编号及名称如下:1. GM /T 0012-2020可信计算可信密码模块接口规范2. GM /T 0078-2020密码随机数生成模块设计指南3. GM /T 0079-2020可信计算平台直接匿名证明规范4. GM /T 0080-2020SM 9密码算法使用规范5. GM /T 0081-2020SM 9密码算法加密签名消息语法规范6. GM /T 0082-2020可信密码模块保护轮廓7. GM /T 0083-2020密码模块非入侵式攻击缓解技术指南8. GM /T 0084-2020密码模块物理攻击缓解技术指南9. GM /T 0085-2020基于SM 9标识密码算法的技术体系框架10. GM /T 0086-2020基于SM 9标识密码算法的密钥管理系统技术规范11. GM /T 0087-2020浏览器密码应用接口规范12. GM /T 0088-2020云服务器密码机管理接口规范13. GM /T 0089-2020简单证书注册协议规范14. GM /T 0090-2020标识密码应用标识格式规范15. GM /T 0091-2020基于口令的密钥派生规范16. GM /T 0092-2020基于SM 2算法的证书申请语法规范17. GM /T 0093-2020证书与密钥交换格式规范18. GM /T 0094-2020公钥密码应用技术体系框架规范19. GM /T 0095-2020电子招投标密码应用技术要求20. GM /T 0096-2020射频识别防伪系统密码应用指南21. GM /T 0097-2020射频识别电子标签统一名称解析服务安全技术规范22. GM /T 0098-2020基于IP 网络的加密语音通信密码技术规范23. GM /T 0099-2020开放式版式文档密码应用技术规范24. GM /T 0100-2020人工确权型数字签名密码应用技术要求25. GM /T 0101-2020近场通信密码安全协议检测规范26. GM /T 0102-2020密码设备应用接口符合性检测规范GM /T 0012-2012《可信计算可信密码模块接口规范》自2021年7月1日起予以废止。
信息安全技术 重要数据处理安全要求(征求意见稿)
信息安全技术重要数据处理安全要求
(征求意见稿)
2023年8月,国家标准《信息安全技术重要数据处理安全要求》(征求意见稿)经全国信息安全标准化技术委员会组织审定后,向社会公开征求意见。
该标准规定了数据处理者处理重要数据的安全要求,主要涉及设施安全、数据处理活动的安全、运行与管理安全三大方面。
从征求意见稿来看,该标准明确了重要数据的定义,并对重要数据的设施安全、数据处理活动的安全、运行与管理安全的具体标准进行了规定,为数据处理者对重要数据开展处理活动提供了指引。
信息安全技术信息安全风险评估规范-编制说明.doc-全国信息安全
国家标准《信息安全技术信息安全风险评估规范》(征求意见稿)编制说明一、工作简况1.1 任务来源2016年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)2016年第二次全会讨论通过,研究修订《信息安全技术信息安全风险评估规范》国家标准。
该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口。
1.2 主要起草单位和工作组成员国家信息中心和北京安信天行科技有限公司主要负责起草,协作起草单位包括中国信息安全认证中心、中国电子技术标准化研究院、中国信息安全测评中心、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、中国科学院信息工程研究所、北京信息安全测评中心、民航信息安全管理与测评中心和上海上讯信息技术股份有限公司等。
1.3 主要工作过程标准于2017年3月开始进行相关调研工作,于2017年7月立项,于2017年4月至9月编制完成《信息安全技术信息安全风险评估规范(修订版)》草案,并邀请国家安全主管部门、重点行业主管机关、服务资质认证机构、安全评估从业机构等对草案进行多次研讨。
在2017年9月,标准召开了专家评审会。
并将修改完成后的《信息安全技术信息安全风险评估规范(修订版)》草案提交安标委,在2017年10月根据安标委的工作安排,供专家讨论评审。
标准于2018年1月根据专家意见,形成《信息安全技术信息安全风险评估规范(修订版)》(征求意见稿),提交进行意见征集。
(1)基础研究和调研组建《信息安全风险评估规范》修订项目组,对近年来,尤其是中央网络安全与信息化领导小组成立以来所发布的关于网络安全的一系列政策文件进行研究,充分理解我国网络安全的战略规划对信息安全风险评估工作提出的新要求和新挑战;同时,组织技术力量对云计算、物联网、大数据、智慧城市等新技术应用对原有信息安全风险评估方法带来的挑战进行研究,并提出解决方案;组织人员对ISO/IEC 27005:2011、ISO/IEC 13335,NIST SP 800系列等国际标准进行研究,充分了解和掌握国际上关于信息安全风险评估工作的最新研究动态,为《信息安全风险评估规范》修订工作提供借鉴。
信息安全技术-零信任参考体系架构说明书
国家标准《信息安全技术零信任参考体系架构》(征求意见稿)编制说明国家标准《信息安全技术零信任参考体系架构》(征求意见稿)编制说明一、工作简况1.1任务来源根据国家标准化管理委员会2022年下达的国家标准制修订计划,国家标准《信息安全技术零信任参考体系架构》由网神信息技术(北京)股份有限公司负责承办,计划号:20220157-T-469。
该标准由全国信息安全标准化技术委员会归口管理。
1.2主要起草单位和工作组成员主要起草单位:奇安信网神信息技术(北京)股份有限公司、中国信息通信研究院、中国科学院软件研究所、中国科学院大学、国家计算机网络应急技术处理协调中心、中国科学技术大学、飞天诚信科技股份有限公司、国家信息技术安全研究中心、中国科学院信息工程研究所、北京天融信网络安全技术有限公司、公安部第三研究所、北京数字认证股份有限公司、江苏易安联网络技术有限公司、国民认证科技(北京)有限公司、启明星辰信息技术集团股份有限公司、深圳竹云科技股份有限公司、格尔软件股份有限公司、海信集团控股股份有限公司、大唐高鸿信安(浙江)信息科技有限公司、北京奇虎科技有限公司、上海派拉软件股份有限公司、杭州安恒信息技术股份有限公司、上海观安信息技术股份有限公司、国网区块链科技(北京)有限公司、兴唐通信科技有限公司、厦门市美亚柏科信息股份有限公司、北京百度网讯科技有限公司、北京远鉴信息技术有限公司、国家工业信息安全发展研究中心、中国信息安全测评中心、国家信息中心、公安部第一研究所、成都卫士通信息产业股份有限公司、中能融合智慧科技有限公司、北京信安世纪科技股份有限公司、长春吉大正元信息技术股份有限公司、中国科学院数据与通信保护研究教育中心、中国移动通信集团公司、深圳市腾讯计算机系统有限公司、北京协和医院、新华三技术有限公司、北京芯盾时代科技有限公司、北京神州绿盟科技有限公司、杭州海康威视数字技术股份有限公司、华为技术有限公司、云从科技集团股份有限公司、深信服科技股份有限公司、北京安博通科技股份有限公司。
《互联网个人信息安全保护指引(征求意见稿)》
对个人信息进行控制和处理的组织或个人。 3.5
个人信息持有 personal information hold 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.6 个人信息收集 collection of personal information 个人信息持有者获取个人信息的行为 3.7 个人信息使用 usage of personal information 通过自动或非自动方式对个人信息进行操作,例如收集、记录、组织、排列、存储、改编或变更、检 索、咨询、使用、披露、传播、保护或以其他方式提供、调整或组合、限制、删除或销毁等。 3.8 个人信息删除 removal of personal information 在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。 [GB/T 35273-2017,定义 3.9]
II
引 言
为指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人 信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案 件和安全监督管理工作中掌握的情况,组织北京市网络行业协会、北京邮电大学和公安部第三研究所 相关专家,研究起草了《互联网个人信息安全保护指引(征求意见稿)》。
[GB/T 35273-2017,定义 3.1] 3.2
个人信息主体 personal data subject 个人信息所标识的自然人。 [GB/T 35273-2017,定义 3.3] 3.3 个人信息生命周cle 包括个人信息主体收集、保存、使用、委托处理、共享、转让和公开披露、销毁个人信息在内的全 部生命历程。 3.4 个人信息持有者 personal information holder
网络安全法相关配套法律法规和规范性文件梳理2
《网络安全法》相关配套法律法规和规范性文件梳理《中华人民共和国网络安全法》(以下简称《网络安全法》)于2019年6月1日正式实施。
《网络安全法》作为我国网络空间安全管理的基本法律,框架性地构建了许多法律制度和要求,重点包括网络信息内容管理制度、网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查、个人信息和重要数据保护制度、数据出境安全评估、网络关键设备和网络安全专用产品安全管理制度、网络安全事件应对制度等。
为保障上述制度的有效实施,一方面,以国家互联网信息办公室(以下简称“网信办”)为主的监管部门制定了多项配套法规,进一步细化和明确了各项制度的具体要求、相关主体的职责以及监管部门的监管方式;另一方面,全国信息安全标准化技术委员会(以下简称“信安标委”)同时制定并公开了一系列以信息安全技术为主的重要标准的征求意见稿,为网络运营者提供了非常具有操作性的合规指引。
具体讲:1. 在互联网信息内容管理制度方面网信办颁布了《互联网信息内容管理行政执法程序规定》,并已经针对互联网新闻信息服务、互联网论坛社区服务、公众账户信息服务、群组信息服务、跟帖评论服务等制定了专门的管理规定或规范性文件,以期全方位多层次地保障互联网信息内容的安全和可控性;2. 在网络安全等级保护制度方面信安标委在原有的信息系统安全等级保护制度的基础之上,发布了包括《网络安全等级保护实施指南》、《网络安全等级保护基本要求》等在内的多项标准文件的征求意见稿。
考虑到现行的《信息安全等级保护管理办法》已不适用《网络安全法》的要求,新的《网络安全等级保护管理办法》也正在制定中;3. 在关键信息基础设施安全保护制度方面随着《关键信息基础设施安全保护条例》、《信息安全技术关键信息基础设施安全检查评估指南》等征求意见稿的公布,关键信息基础设施运营者的安全保护义务得以进一步明确。
但是关键信息基础设施的范围依旧有待制定中的《关键信息基础设施识别指南》进行进一步地明确;4. 在个人信息和重要数据保护制度方面其核心内容主要包括个人信息收集和使用过程中的安全规范以及个人信息和重要数据出境时的安全评估制度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《信息安全技术安全处理器技术规范》(征求意见稿)
编制说明
一、工作简况
根据国家标准化管理委员会2014年下达的国家标准制订计划:《信息安全技术安全处理器技术规范》(国标计划号:20152006-T-469),该标准由北京多思科技工业园股份有限公司负责承办。
该标准由全国信息安全标准化技术委员会归口管理。
标准编制单位由北京多思科技工业园股份有限公司作为承担单位,中国信息安全测评中心、国家密码管理局商用密码检测中心、华北电力大学、公安部第三研究所、中国电子信息产业发展研究院、杭州华澜微电子股份有限公司等作为参与单位。
二、目的意义
信息化的极速发展使信息安全问题日趋显著。
为了适用网络安全、大数据、人工智能的未来发展需要,从安全角度考虑,“安全在片”设计是解决安全问题的有效途径,是伴随信息化发展解决安全问题的趋势。
制定安全处理器标准,使其作为安全产品的核心部件,并规范和要求安全处理器具有更强的安全保护和安全功能服务能力是本标准制定的目的。
《安全处理器技术规范》具有很好地规范和引领作用,可以在产品的开发和测评方面指导产品设计与测评。
实现行业内安全处理器产品的统一,确保产品有严格的、可控制的、规范的安全特性,提升我国安全处理器产品应用的总体安全水平。
三、标准编制原则
本标准结合我国现有政策、法规与标准,以“参照国际、立足国情、服务应用、开放合作、严谨科学”为基本原则,以核心技术为基础,从保护资产,结构模型,安全目的出发,构建安全处理器技术规范内容。
四、主要工作过程
2014年12月-2015年4月,多思公司受中央网信办网络安全协调局委托承担
了此标准的制定工作,成立了“安全处理器专项工作小组”,在之前标准研究课题的基础上,进一步调研整理思路;
2015年6月11日,工作组召开了第一次会议。
在该次会议上,工作组成员讨论了本规范的编制目的、意义和原则,制定了工作计划并做了任务分工;
2015年9月11日,工作组召开了第二次会议。
成员单位就各自的研究情况作了汇报。
工作组在此基础上明确了规范的定义范围,讨论并确定了整体思路,并对下一阶段工作进行了安排;
2016年2月17日,工作组召开了第三次会议,对功能要求进行了充分论证,对文档框架进行了完善,形成了安全处理器技术规范草案;
2016年6月11日,征求专家意见;
2016年7月-9月,工作组针对专家意见进行讨论修改标准草案;
2016年10月25日,工作组召开了第四次会议,根据修改后的标准草案进行讨论,进一步完善标准草案;
2017年3月-2017年7月,多次邀请相关专家对本标准草案进行征求意见,并针对专家意见和建议进行集中讨论和修改;
2017年9月25日,工作组召开了第五次会议,根据专家征求意见表修改相关内容完善标准草案;
2018年3月,工作组召开了第六次会议,讨论标准内容及编制说明,汇总意见处理表;
2018年4月,工作组在武汉参加TC260会议并在WG5工作组做了标准草案汇报,通过投票获得多数专家的同意,进入征求意见稿阶段;
2018年5月-2018年9月,工作组根据WG5武汉会议专家提出的意见,汇总意见处理表,细化标准内容;
2018年10月16日,WG5工作组在北京召开了国家标准《信息安全技术安全处理器技术规范》组内专家评审会,与会专家包括崔书昆、顾健、李斌、李娜、郭晓蕾、许玉娜、钟力。
2018年11月-12月,标准工作组成员针对专家意见进行沟通交流确定修改思路,针对文本参与单位各自仔细研究,分别进行了通稿修改;
2018年12月19日,与国家密码管理局相关领导进行沟通讨论标准文本关于
密码部分修改完善;
2019年1月-2月,征求厂商意见,例如,上海兆芯集成电路有限公司,针对标准文本征求意见并进行了回复:“看起来这个安全处理器规范面向的是未来的,完全为了安全目的而设计的处理器,并不是针对通用处理器的安全功能,这些安全处理器的结构设计上就和一般的通用处理器不一样。
感觉这类处理器范围比较适用一些自定义的可重构的专用处理器结构。
由于规范需要的意见是在目前定义的安全处理器结构和功能的框架下,是否有实现上的困难,而我们短期内并不准备去实现类似的安全处理器结构和功能,所以我们目前对规范没有意见。
”
2019年3月-4月,征求专家意见(理工大学王安老师、邵正强老师、中科院信工所周永彬教授)相关意见汇总到意见处理表、修改完善了标准文本。
王安:针对整体文本表示结构完整,逻辑清晰,也参考各个行业标准和相关标准,内容丰富全面,但是部分文本格式和用词还需要再斟酌修改。
邵正强:就文本没有提出任何意见。
主要交流了标准什么时候制定、标准制定单位组成;产品标准和安全标准撰写和模板区别;标准与产品检测和认证的关系等内容。
2019年4月12日,WG5工作组专家评审会征求意见,专家针对文本逐一提出修改意见,意见已汇总到意见处理汇总表,并最终形成了什么是安全处理器定义及安全处理器结构特征。
安全处理器定义是指拥有独立的逻辑控制模块,用于实施物理、逻辑、应用防护以及标识安全功能服务控制的特定芯片,可以根据物理、逻辑、应用感知及安全警告,动态调整逻辑结构、重组控制文件(程序)编码,随机改变自身执行环境,在实现等价功能的同时,保障自身安全和提供对外服务安全。
2019年5月,修改专家意见内容,内容包括编制说明、文本编辑(删除引言部分、相同术语的引用、增加安全处理器必要功能)等,形成正式征求意见稿,提交工作组,公开征求意见。
五、标准的主要内容
1.建立安全处理器模型,提出技术规范。
建立一个统一的典型安全处理器概念模型。
明确安全处理器的组成部分和术语定义。
明确安全处理器应有的基本功能和技术要求。
2.依据典型安全处理器模型给出示范性设计要求。
应用防护:真随机数,密码体系,自锁自毁功能,多组密钥管理,安全协议和策略;
物理防护:安全布线,光攻击测试,高低压测试,高低频测试,安全封装,应用封装。
防止破坏攻击和窃取攻击,包括:阻止电磁攻击、能量攻击、旁路攻击和光照攻击的技术标准;
逻辑防护:指令体系可重组(执行编码,指令编码);禁止反汇编和反编译(指令标示、目标生成、指令译码标示);系统应用状态标识及处理(编译态,执行态,解释态以及混合态);安全指令控制(分支、数据访问、返回栈操作及无用单元回收指令),体系结构管理(多计时器系统,中断,多维译码器,初始化,编译控制,执行控制)支撑可信计算;阻止设计漏洞;
可控管理:版图管理,生命周期管理,文档管理,人员等。
3.为标准易于实施提供相应的规范性和资料性附录。
六、保障级选择说明
对国际的芯片测评进行统计,我们发现在最近通过测评的300多款产品中,基本上都是通过EAL4+ 、EAL5和EAL6的,其中通过EAL5的占到60%,通过EAL6的占到10%。
通过测评产品,基本上都是行业重要企业,如英飞凌、恩智浦、三星、ATMEL、STM等,因此,通过EAL5是目前的主流,随着安全需求的不断加强,EAL6、EAL7级的评估是发展趋势。
为兼顾现有,着眼未来发展,在标准中选择了EAL5、EAL6、 EAL7保障级要求。
七、采用国际标准和国外先进标准情况
目前国际国内无同类标准。
八、与现行相关法律、法规、规章及相关标准的协调性
(一)贯彻国家有关政策与法规
本标准中涉及的密码算法遵循国家商用密码的有关规定。
本标准项目主要依据现有法律法规制定,与我国现行的法律、法规及国家标准、行业标准不存在冲突问题。
(二)与相关国内标准的关系
标准编制过程中,参考了GB/T 18336-1:2015 《信息技术安全技术 IT 安全性评估准则第1部分:简介和一般模型》、GB/T 18336-2:2015 《信息技术安全技术 IT安全性评估准则第2部分:安全功能组件》、GB/T 18336-3:2015 《信息技术安全技术 IT安全性评估准则第3部分:安全保障组件》、GB/T 1.1-2009《标准化工作导则第1部分:标准的结构和编写》等国家标准,保证标准相关内容和已发布标准的一致性。
九、重大分歧意见的处理经过和依据
工作组在标准编制过程中,经历了内部讨论与论证、专家征求意见等过程,工作组在工作过程中遵循编制原则,对国内外现状做了大量调研,完成了标准编制工作。
在整个过程中遇到重大意见分歧:标准名称的问题。
专家们出现了几种建议,一种建议把《安全处理器技术规范》改为《处理器安全技术规范》;另一种建议名称改为《基于XXX的安全处理器技术规范》;还有部分专家认为如果把安全处理器作为一个特定的产品,起这个名称也无所谓,可以定义为《安全处理器技术规范》。
就此问题我们从安全处理器的定义、特点、应用方向等方面进行了沟通和说明,目前还是延续使用《安全处理器技术规范》这个名称。
十、国家标准作为强制性国家标准或推荐性国家标准的建议
建议作为推荐性国家标准发布实施。
十一、贯彻国家标准的要求和措施建议
该国标为生产、测试和评估安全处理器提供指导性意见,建议在全国推荐性实施,政府主导,企业落实。
在具体贯彻实施该标准时,首先可要求不同的产品测试机构使用该标准作为安全处理器的测试依据,例如,可使用在产品的销售许可测试、政府采购设备的准入测试、不同需求单位的招标选型测试等,由此可以进一步推动产品的生产厂商以该标准为依据,更全面地应用到产品的研发生产过程中,达到业界内全面使用该标准的局面。
十二、废止现行有关标准的建议
本标准不涉及现行有关标准。
十三、有关专利的说明
本标准暂不涉及专利。
标准编制组 2019年5月。