下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
一、工作简况
1.1任务来源
根据国家标准化管理委员会在2019年国家标准制修订计划,《信息安全技术
网络身份服务安全技术要求》由北京数字认证股份有限公司承办。该标准由全国
信息安全标准化技术委员会归口。
1.2主要起草单位和工作组成员
本标准由北京数字认证股份有限公司主要负责起草,中国科学院数据与通信
保护研究教育中心、公安部第一研究所、中国电子技术标准化研究院、支付宝(中
国)网络技术有限公司、中国科学院软件研究所、联想(北京)有限公司、国民
认证科技(北京)有限公司、北京中盾安信科技发展有限公司等共同参与该标准
的起草工作。
1.3主要工作过程
(1)2018年9月至12月,标准起草组讨论并确定标准的范围、框架及主要技
术内容。
(2)2019年1月至3月,研究国内外相关标准内容和技术,结合实际情况,
开展标准文本的起草工作,形成标准草案初稿。
(3)2019年4月,参加2019年WG4工作组国家标准专家审查会,以及参加信
安标委2019年第一次工作组“会议周”,专家针对标准范围、分级角度等提出意
见和建议,编制组根据专家意见对标准草案进行修改。
(4)2019年10月,参加2019年WG4工作组国家标准专家审查会及2019年第二
次工作组会议,专家针对标准中文字表述、与等保安全要求的关系等方面提出意
见额建议,根据专家意见对标准草案进行修改。
1.4各阶段意见处理情况
(1)草案稿阶段:工作组草案阶段,收到来自WG4工作组专家意见33条,采
纳25条,部分采纳2条,未采纳6条。
二、标准编制原则和确定主要内容的论据及解决的主要问题
(一)本标准基于以下原则编制:
1.遵循现行国家标准,采用和借鉴国内外先进标准
本标准按国家标准GB/T1.1-2009规定的格式予以编写。
2.贯彻国家有关政策与法规
本标准中涉及的密码算法遵循国家商用密码的有关规定。
3.认真听取、分析各方意见,做好意见的处理和反馈
《信息安全技术网络身份服务安全技术要求》标准草案稿的编制过程中,
各起草单位齐心协力,进行了充分地沟通和交流,形成了标准起草组内统一的标
准文本。
(二)本标准的主要内容
本标准规定了网络身份服务的安全要求,包括网络身份服务的参与方、参与
方的角色和职责、安全架构、网络身份服务的通用安全要求和分级安全要求。
本标准适用于网络身份服务的部署、网络身份服务的评估评价。
三、主要试验[或验证]情况分析
本课题组参与的十三五重点研发计划“身份管理互操作及可信等级评估规范
与工具”课题(2016YFB0800504)中,基于本标准内容形成了“网络身份服务可
信度评估工具”,本课题组利用该评估工具对支付宝身份管理平台、中科院CA、
中国金融认证中心、公安部一所真实身份证明与核验系统等8个身份管理平台展
开可信度评估,评估体系的科学性、实用性在实例平台得到验证支持。
四、知识产权情况说明
在本标准的草案稿封面,都注明了“在提交反馈意见时,请将您知道的相关
专利连同支持性文件一并附上”。截止目前,没有收到任何单位反馈的专利声明。
五、产业化情况、推广应用论证和预期达到的经济效果
本项目的实施,将向网络身份服务参与方提供身份服务管理的安全技术指
导,指导网络身份服务参与方根据安全需求部署安全措施、实施身份服务安全自
查,同时为监管机构管理网络身份服务提供依据。为身份服务提供方、第三方应
用(依赖方)在开展和使用用户身份服务时提供安全技术指导,同时为监管机构
管理网络参与方提供安全技术指导,实现根据安全需求不同,配置不同的安全保
护措施的目的,应对网络身份服务的多样化和差异化发展,为监管方有效管理差
异化的网络身份服务提供依据,推进网络空间有序、健康发展。
通过研制网络身份服务安全要求标准,给出系统性、全面性的综合评估评价
指标体系,推动网络身份服务安全技术的规范化,推动身份服务安全技术的进步,
促进信用体系建设,增强市场活力,推进网络健康、有序发展。
六、采用国际标准和国外先进标准情况
本标准参考了ISO、NIST、英国、欧盟等主要标准组织和发达国家在网络身
份服务领域的相关标准,包括ISO/IEC29115“实体鉴别保障框架”、NISTSP
800-63-3“数字身份指南”、ISO/IEC29003-2013“身份证明规范”、GPG
45-2014“个人身份证明与认证”等身份鉴别保障类标准,OpenID、SAML和OAuth
等互联互通技术标准。这些标准在国际及国内具备较高的技术先进性、创新性和
认可度。各标准选取的安全技术要素、安全要素架构值得我们研究学习,同时针
对不同安全需求提出分级安全要求的思路也值得借鉴。
在参考主要标准组织和国家相关标准的基础上,本标准将立足我国实际国
情,提出符合我国国情的网络身份服务安全技术要求。此外,在分级要素选取和
具体要求制定方面也将更符合我国实际应用需求。
七、与现行相关法律、法规、规章及相关标准的协调性
(一)贯彻国家有关政策与法规
本标准中涉及的密码算法遵循国家商用密码的有关规定。
(二)与相关国内相关标准的关系
本项目与现行法律、法规、强制性国家标准及相关标准协调一致。网络可信
身份服务安全要求是我国网络可信体系的一部分,主要用于规范可信身份服务领
域的安全性。我国于2017年6月正式实施《中华人民共和国网络安全法》,从法
律的角度为网络空间身份服务管理提供一定依据。针对个人信息保护,我国积
极开展标准研制工作,包括“个人信息安全规范”(GB/T35273-2017)、“公
共及商用服务信息系统个人信息保护指南”(GB/Z28812-2012)、“个人信息去
标识化指南”、“个人信息安全影响评估指南”等,针对个人信息面临的安全问
题,规范网络身份服务中个人信息控制者在收集、保存、使用、共享等信息环节
中的相关行为,对个人信息的处理过程、去标识化方法、安全影响评估多方面进
行规范,提供指导。2018年立项的国标“实体鉴别保障框架”,给出了网络实体
鉴别总体框架,规定实体鉴别的保障级别,并确定实现这些保障级别的规范和指
导原则。本标准在安全等级划分和安全要求制定时,参考了网络安全等级保护相
关标准(GB/T22239-2019信息安全技术网络安全等级保护基本要求、GB/T
22240-2008息安全技术信息系统安全等级保护定级指南)。提供网络身份服务
网络身份服务系统应满足GB/T22239-2019(信息安全技术网络安全等级保护基
本要求)中相应的技术要求和管理要求。
本项目提出《信息安全技术网络身份服务安全技术要求》,可作为身份管
理类的标准,系统性、全面性对网络身份服务安全进行评价和技术指导,为网络
身份服务安全提供技术指导。本标准将与以上法律和标准统一规范网络身份服务
领域安全要求,对我国互联网、金融、政务等领域的可信身份服务提供保障。
八、重大分歧意见的处理经过和依据
本标准起草过程中未出现重大分歧。
九、标准性质的建议
本标准应作为一项推荐性国家标准。
十、贯彻标准的要求和措施建议
暂无。
十一、替代或废止现行相关标准的建议
本标准首次制定,无废止、替代标准。
十二、其它应予说明的事项
暂无。
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025届云南省保山隆阳区高三3月份第一次模拟考试物理试卷含解析
- 湖南省汨罗第二中学2025届高三最后一模物理试题含解析
- 2025届陕西省西安八校联考高考仿真卷物理试题含解析
- 建筑行业内部承包合同2024年
- 广东省肇庆学院附属中学2025届高考物理一模试卷含解析
- 绿化苗木合同书2024年
- 机械租赁合同经典2024年
- 2024年木地板购销合同30440
- 广东省肇庆市怀集中学2025届高考冲刺模拟物理试题含解析
- 2025届河南省洛阳市汝阳县实验高中高三下学期第六次检测物理试卷含解析
- 物理化学实验教材电子
- 护坦专项施工方案
- 承接查验协议书
- 冲压件常用公式及数据表
- 中国签证邀请函模板
- 警惕‘委托代办邮政业务’之规定被曲解与滥用
- 完整版高低压开关柜投标文件技术标
- 部编语文五年级上册习作:缩写故事ppt课件
- 学校五好关工委方案
- 吊篮计算书(精编版)
- 基于S7200PLC的全自动洗衣机控制系统设计毕业设计(论文)
评论
0/150
提交评论