《网络安全技术身份鉴别产品技术规范》编制说明.doc

PAGE

PAGE13

国家标准《网络安全技术身份鉴别产品技术规范》编制说明

一、工作简况

1.1任务来源

根据2024年2月19日全国网络安全标准化技术委员会秘书处发布的《关于17项网络安全国家标准项目立项的通知》（网安秘字[2024]2号），《网络安全技术身份鉴别产品技术规范》由中国科学院软件研究所、公安部第三研究所、中国网络安全审查技术与认证中心等单位承担。该标准由全国网络安全标准化技术委员会归口管理。

1.2主要起草单位和工作组成员

中国科学院软件研究所负责起草，公安部第三研究所、北京眼神科技有限公司、启明星辰信息技术集团股份有限公司、上海商汤智能科技有限公司、腾讯云计算（北京）有限责任公司、奇安信网神信息技术（北京）股份有限公司、长扬科技（北京）股份有限公司、北京数字认证股份有限公司、北京天融信网络安全技术有限公司、西安交大捷普网络科技有限公司、格尔软件股份有限公司、中国网络安全审查技术与认证中心、深圳市联软科技股份有限公司、中国软件评测中心（工业和信息化部软件与集成电路促进中心）、中电科网络安全科技股份有限公司、西安电子科技大学、广电计量检测集团股份有限公司、郑州信大捷安信息技术股份有限公司、大唐高鸿信安（浙江）信息科技有限公司、广东中科粤信安全科技有限公司、北京远鉴信息技术有限公司、杭州安恒信息技术股份有限公司、国民认证科技（北京）有限公司等五十家单位申请参与了该标准的起草工作。

1.3主要工作过程

根据《中华人民共和国网络安全法》第二十三条，GB42250《信息安全技术网络安全专用产品安全技术要求》等有关要求，编制组人员基于身份鉴别类网络安全专用产品的技术特点和其提供者需满足的基线要求，通过深入研究国内外身份鉴别技术的发展趋势，及时跟进生物特征识别、短信验证码技术鉴别等标准的研制进度，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。

草稿

2024年01月至02月，编制组主要承担单位对国内外不同类型的身份鉴别产品的相关技术文档以及有关标准进行前期基础调研，对静态口令鉴别、密码技术鉴别、生物特征识别、二维码技术鉴别、短信验证码技术等多类鉴别技术及其存在的网络安全风险进行深入研究，针对单点登录、零信任等应用服务支撑技术进行理解分析。调研期间，对身份鉴别类产品历年销售许可证及网络安全专用产品检测的记录、报告以及相关的技术文档材料进行了筛选、汇总和分析，对身份鉴别产品的发展动向进行了研究，对技术文档和标准进行了分析理解。在以上研究的基础上，形成了标准草稿（第一稿）。

2024年02月底至03月中旬，编制组根据02月28日和03月04日网安标委会组织的专项会议中专家意见和要求，对身份鉴别技术和标准进行了进一步完善。首先，对国家标准，金融行业、公共安全行业、通信行业等行业标准以及ISO、CommonCriteria，NIST、CEN等国外身份鉴别相关标准进行充分调研，借鉴先进经验；同时对GB42250-2022《信息安全技术网络安全专用产品安全技术要求》、GB/T35273-2020《信息安全技术个人信息安全规范》、GB/T40660-2021《信息安全技术生物特征识别信息保护基本要求》、GB/T41479-2022《信息安全技术网络数据处理安全要求》等通用安全标准进行梳理，使本标准与上述标准相协调；此外，还对GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、JR/T0060-2021《证券期货业网络安全等级保护基本要求》、JR/T0071.2-2020《金融行业网络安全等级保护实施指引》等信息系统等级保护要求中“身份鉴别”要求进行归纳，对本标准能够支撑重要信息系统安全，最终形成标准草稿（第二稿）。

2024年03月中下旬至4月上旬，2024年03月初，“全国网安标委”微信公众号发布了关于征集《网络安全技术身份鉴别产品技术规范》标准参编单位的通知。工作组全体参编单位通过线上方式组织召开了标准制定工作的启动会，明确了标准制定的工作方向，对各参与单位的工作任务和责任进行分工，并面向全体编制组征求意见，合计共收到249条反馈意见，征求意见具有广泛性和代表性。意见处理结果为采纳157条、部分采纳13条、未采纳79条，其中部分采纳和未采纳项与提出单位进行了沟通；在此基础上进行了相应完善修改，形成了标准草稿（第三稿）。

2024年4月中旬至6月上旬，2024年4月16日-17日，网安标委在北京江苏大厦组织召开了“《网络安全技术网络型流量控制产品技术规范》等14项网络安全产品标准研讨会”，与会专家包括了中国电子科技集团有限公司、国家信息中心、公安部第三研究所、信息产业信息安全测评中心、中国信息安全测评中心、中国网络安全审查