信息安全技术 操作系统安全技术规范标准立项修订与发展报告.docxVIP

《信息安全技术操作系统安全技术规范》国家标准修订发展报告

EnglishTitle:DevelopmentReportontheRevisionofNationalStandard“InformationSecurityTechnology—TechnicalSpecificationforOperatingSystemSecurity”

摘要

随着全球数字化转型的深入，操作系统作为信息系统的核心基础软件，其安全性直接关系到网络空间的整体安全。为应对日益严峻的网络安全威胁，满足国家网络安全等级保护制度、关键信息基础设施安全保护条例以及《中华人民共和国密码法》等法律法规提出的新要求，对现有操作系统安全标准体系进行整合与升级势在必行。本报告聚焦于国家标准GB/T20272-2019《信息安全技术操作系统安全技术要求》与GB/T20008-2005《信息安全技术操作系统安全评估准则》的合并修订项目。报告系统阐述了此次修订的背景动因、核心目的与战略意义，详细分析了修订标准所涵盖的范围与拟定的主要技术内容。本次修订旨在构建一套涵盖安全功能要求、自身安全要求、安全保障要求及配套测试评价方法的综合性技术规范，以填补现有标准在支撑密码应用、适配关保要求、统一测评方法等方面的不足。报告结论指出，该标准的修订与实施将有力推动我国安全操作系统产业的规范化、高质量发展，为网络运营者、监管机构及检测认证单位提供权威、统一的技术依据，对筑牢国家网络安全屏障具有重要的现实意义和长远的战略价值。

关键词：操作系统安全；国家标准修订；网络安全专用产品；等级保护；关键信息基础设施；密码技术；测试评价；标准化技术委员会

Keywords:OperatingSystemSecurity;NationalStandardRevision;CybersecurityDedicatedProducts;ClassifiedProtectionofCybersecurity;CriticalInformationInfrastructure;CryptographyTechnology;TestingandEvaluation;StandardizationTechnicalCommittee

正文

一、修订背景与目的意义

网络安全是国家安全的重要组成部分。2023年7月，国家互联网信息办公室联合工业和信息化部、公安部、国家认证认可监督管理委员会等部门更新发布了《网络关键设备和网络安全专用产品目录》，明确将“安全操作系统”列为网络安全专用产品进行管理。这标志着操作系统安全已从一般性技术问题上升至国家强制性监管范畴，对其技术规范提出了更高、更统一的要求。

当前，我国操作系统安全领域主要依据GB/T20272-2019《信息安全技术操作系统安全技术要求》和GB/T20008-2005《信息安全技术操作系统安全评估准则》两项国家标准。然而，随着技术演进和法规环境变化，现有标准体系已显现出多方面的不适应性与滞后性，亟需进行系统性修订与整合。

1.适应网络安全等级保护与关键信息基础设施保护的新要求。GB/T20272-2019发布后，GB/T22239-2019《信息安全技术网络安全等级保护基本要求》和GB/T39204-2022《信息安全技术关键信息基础设施安全保护要求》相继出台，对信息系统，特别是关键信息基础设施的安全防护提出了更全面、更严格的要求。现有操作系统安全技术要求未能充分体现和对接这些新规中关于网络、重要信息系统及关键基础设施的特定安全需求，存在标准间协调性不足的问题。

2.强化密码技术应用的支撑能力。《中华人民共和国密码法》于2019年10月正式颁布，确立了密码在网络安全中的核心支撑地位。GB/T20272-2019在密码技术的原生支持、合规调用与管理方面要求较为薄弱，导致安全操作系统难以有效承载和支撑商用密码的深度应用，无法满足法律法规对密码保障的强制性要求。

3.完善测试评价方法以指导产品检测认证。GB/T20272-2019侧重于技术要求，缺乏配套的、可操作的测试评价方法；而GB/T20008-2005作为评估准则，其发布已近二十年，技术内容陈旧，无法有效指导当前安全操作系统作为“网络安全专用产品”所必需的安全检测与认证工作，给市场监管和产品准入带来了技术依据不统一的挑战。

综上所述，为系统性解决上述问题，本项目计划对GB/T20272-2019和GB/T20008-2005进行合并修订。其核心目的与意义在于：一是构建一套技术先进、要求全面、逻辑统一的《操作系统安全技术规范》，规范操作系统的安全功能、自身安全及安全保障要求，