GBT 18336.2 安全功能组件标准立项修订与发展报告.docxVIP

《GB/T18336.2安全功能组件》标准修订发展报告

EnglishTitle:DevelopmentReportontheRevisionofGB/T18336.2:SecurityFunctionalComponents

摘要

本报告旨在系统阐述国家标准《信息技术安全技术信息技术安全评估准则第2部分：安全功能组件》（GB/T18336.2）的修订背景、核心内容、技术要点及其对行业发展的深远意义。随着云计算、物联网、人工智能等新一代信息技术的迅猛发展，网络空间面临的安全威胁日益复杂多变，对信息技术产品与系统的安全功能提出了更高、更精细的要求。GB/T18336（等同采用ISO/IEC15408，即“通用准则”，CommonCriteria,CC）是我国信息技术安全评估的基石性标准体系。本次对GB/T18336.2-2015的修订，核心目标是等同采用最新的国际标准ISO/IEC15408-2:2022，确保我国标准与国际前沿技术发展保持同步。修订工作重点在于更新和扩充安全功能组件，特别是在密码支持（FCS）、用户数据保护（FDP）等关键类别中，新增了适配当前技术生态的安全功能族与组件，并对原有组件内容进行了优化。本次修订显著提升了标准的时效性、科学性和可操作性，为信息技术产品的安全设计、开发、测评及采购提供了更全面、更规范的权威指引，对筑牢国家网络安全屏障、促进安全产业高质量发展具有重要的战略价值和实践意义。

关键词：

信息技术安全评估准则；通用准则；GB/T18336.2；安全功能组件；标准修订；网络安全；密码学；隐私保护

InformationTechnologySecurityEvaluationCriteria;CommonCriteria;GB/T18336.2;SecurityFunctionalComponents;StandardRevision;Cybersecurity;Cryptography;PrivacyProtection

正文

一、修订背景与目的意义

网络安全是国家安全的重要组成部分，是数字经济健康发展的基石。信息技术安全评估是确保产品与系统满足预定安全要求的核心手段。国家标准GB/T18336系列（等同采用国际通用准则ISO/IEC15408）自引入我国以来，已成为信息技术产品安全性评估、检测认证以及政府采购安全审查的关键依据，广泛应用于操作系统、数据库、网络设备、智能卡、工业控制系统等领域。

GB/T18336.2-2015《信息技术安全技术信息技术安全评估准则第2部分：安全功能组件》作为该系列标准的核心组成部分，定义了为实现安全目标而可供选择的安全功能要求（SFR）集合。然而，自2015年以来，信息技术领域发生了颠覆性变革。量子计算潜力的显现对传统密码算法构成长期威胁，零信任架构的兴起改变了网络边界防护模式，数据隐私保护法规（如我国的《个人信息保护法》、欧盟的GDPR）的全球实施对用户数据保护提出了更严格的法律要求。与此同时，国际标准化组织（ISO）和国际电工委员会（IEC）已于2022年发布了ISO/IEC15408-2:2022，对安全功能组件进行了全面更新，以反映近二十年的安全实践和技术演进。

因此，对GB/T18336.2进行修订已势在必行。本次修订的核心目的与意义在于：

1.保持国际同步与先进性：通过等同采用ISO/IEC15408-2:2022，确保我国信息安全评估标准与国际最新技术发展动态接轨，避免因标准滞后导致的技术壁垒和贸易障碍。

2.增强标准的时效性与适用性：将当前主流和新兴信息技术（如后量子密码、可信执行环境、隐私增强技术）的安全要求纳入标准框架，使标准能够有效指导新一代安全产品的开发与评估。

3.提升科学性与规范性：基于全球范围内大量的评估实践，对安全功能组件的定义、层级和关系进行优化，使标准结构更清晰、逻辑更严谨，为开发者、评估者和使用者提供更精确的“技术语言”。

4.支撑国家网络安全战略：修订后的标准将为落实《网络安全法》、《关键信息基础设施安全保护条例》等法律法规中关于产品和服务安全性的要求，提供更坚实、更前沿的技术标准支撑。

二、修订范围与主要技术内容

本项目是对GB/T18336.2-2015的全面修订，修订范围覆盖该标准的全部内容，目标是实现与ISO/IEC15408-2:2022的等同采用。此次修订并非简单的文字更新，而是基于国际信息技术安全领域二十余年的测评实践与经验总结，进行的一次重要的技术内容升级与完善。

主要技术内容的更新与增强体现在以下几个方面：

1.密码支持类（FCS）的扩充与强化：为应对日益严峻的密码攻击威胁和