网络安全技术 计算机基本输入输出系统（BIOS）安全技术规范.pdfVIP

国家标准报批材料

国家标准《网络安全技术计算机基本输入输出系统（BIOS）

安全技术规范》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2024年下达的国家标准制修订计划，《网络安全

技术计算机基本输入输出系统（BIOS）安全技术规范》由昆仑太科（北京）技

术股份有限公司负责承办，本标准由全国网络安全标准化技术委员会归口管理。

1.2制定背景

基本输入输出系统（BasicInputOutputSystem，BIOS）是计算设备安全

的基础，负责初始化硬件和引导操作系统。如果BIOS被破坏，将会导致整个计

算设备的安全防护体系崩溃。通过规范BIOS的基本安全功能要求，可以加强计

算设备的底层安全能力，提高计算机的安全性，保障计算机的安全应用。

美国国家标准与技术研究院持续发布了多项标准，对BIOS的开发、使用、

效果的全过程进行了规范，包括《NISTSP800-155BIOS完整性测量指南》《NIST

SP800-147BIOS保护指南》《NISTSP800-147B服务器BIOS保护指南》《NIST

SP800-193平台固件弹性指南》等相关标准。

美国国防部首席信息官备忘录（适用于DOD信息系统）要求：2012年1月1

日之后发布征集的PC客户端系统（台式微型计算机）需要符合NIST800-147

规范；美国的公众服务部备忘录（适用于联邦政府部门和代理）推荐2012年10

月1日之后的PC终端系统采购需符合800-147的要求。

2022年，美国国土安全部和商务部联合发布的《对支持美国信息和通信技

术行业的关键供应链的评估》中，明确提出由于ICT供应链中存在结构性漏洞，

并且在固件开发外包时缺乏编程规范和安全标准约束，最终集成的计算设备存在

极大安全风险。

目前，国内没有独立的BIOS安全国家标准，少量的BIOS安全要求散布在可

信和整机国家标准中，有BIOS相关的行业标准《计算机基本输入输出系统（BIOS）

测试方法第2部分：服务器》和《计算机基本输入输出系统（BIOS）技术要求第

2部分：服务器》。亟须制定独立的BIOS安全国家标准，对BIOS安全要求进行

国家标准报批材料

规范。本标准的制定过程中，将参考国际主流标准和国内已有标准内容，与相关

标准协同一致。

1.3起草过程

1.建立标准制定小组

根据2024年网络安全国家标准立项工作部署安排，该标准制定工作

由昆仑太科（北京）技术股份有限公司牵头，于2024年10月建立制

定小组。

2.确定标准制定方向和制定内容框架

标准编制组在2024年11月讨论确定标准制定方向和制定内容纲要，

并形成进一步研究任务列表；

3.形成标准草案

标准编制组根据各单位实际项目经验领取制定任务，在2024年11

月完成第一批制定任务，经整合、讨论后形成第一版制定草案。

4.进行了第一次审查会

标准编制组在2024年11月29日在江苏大厦参加了第一次审查会，

收到意见14条，全部采纳。已根据专家意见对标准内容进行了修改，

形成了第二版草案。在本次审查会中，对范围进行了明确。编制组内

部讨论后认为，本标准的基础要求适用于普通场景的计算机和服务器，

增强要求，适用于党政场景的计算机和服务器。

5.进行了第二次审查会

标准编制组在2025年12月9日在海口会议展览中心参加了第二次审

查会，收到意见5条，全部采纳。已根据专家意见对标准内容进行了

修改，形成了第三版草案。

6.进行了专家审查

标准编制组在2025年3月20日请编辑专家和责任专家对标准进行了

检查，收到意见9条，全部采纳。已根据专家意见对标准内容进行了

修改，形成了第四版草案。

7