信息安全技術(shù) 實(shí)體鑒別保障框架-編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)征求意見(jiàn)稿稿資料工作簡(jiǎn)況任務(wù)來(lái)源根據(jù)《全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)關(guān)于2018年信息安全標(biāo)準(zhǔn)項(xiàng)目立項(xiàng)的通知》（信安秘字[2018]028號(hào)）的要求，《信息安全技術(shù)實(shí)體鑒別保障框架》國(guó)家標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）歸口并管理，項(xiàng)目編號(hào)為2018BZZD-WG4-001。標(biāo)準(zhǔn)研制組本標(biāo)準(zhǔn)由聯(lián)想（北京）有限公司（以下簡(jiǎn)稱聯(lián)想）牽頭研制，課題負(fù)責(zé)人為柴海新，合作單位包括國(guó)民認(rèn)證科技（北京）有限公司（以下簡(jiǎn)稱國(guó)民認(rèn)證）、中國(guó)科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心（以下簡(jiǎn)稱DCS中心）、中國(guó)科學(xué)院軟件研究所（以下簡(jiǎn)稱軟件所）和中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院。主要工作過(guò)程2018年2月，申請(qǐng)國(guó)家信息安全標(biāo)準(zhǔn)編制任務(wù)《信息安全技術(shù)實(shí)體鑒別保障框架》，完成標(biāo)準(zhǔn)草案的原始稿。2018年8月，簽訂國(guó)家信息安全標(biāo)準(zhǔn)編制任務(wù)合同，啟動(dòng)標(biāo)準(zhǔn)項(xiàng)目編制工作。2018年8月，課題組負(fù)責(zé)人召集標(biāo)準(zhǔn)編制課題組的相關(guān)成員開(kāi)會(huì)，具體討論和分配了小組的任務(wù)、標(biāo)準(zhǔn)制定的重要事項(xiàng)和需注意的事項(xiàng)，對(duì)下一步工作做了規(guī)劃，并在此基礎(chǔ)上形成標(biāo)準(zhǔn)草案第一稿。2018年9月，標(biāo)準(zhǔn)承擔(dān)單位在聯(lián)想總部東區(qū)召開(kāi)了標(biāo)準(zhǔn)編制項(xiàng)目啟動(dòng)會(huì)。參加會(huì)議的專家除了來(lái)自項(xiàng)目承擔(dān)單位和合作單位之外，還邀請(qǐng)了業(yè)界相關(guān)的公司和機(jī)構(gòu)的專家，包括來(lái)自中國(guó)信息通信研究院泰爾實(shí)驗(yàn)室、格爾軟件股份有限公司、數(shù)安時(shí)代科技股份有限公司、吉大正元信息技術(shù)股份有限公司、北京豆莢科技有限公司、蘋果（中國(guó)）有限公司等單位的專家。會(huì)議討論了標(biāo)準(zhǔn)草案的具體內(nèi)容，并提出了下一步修改意見(jiàn)，如參考NISTSP80063-3增加保障級(jí)別的維度、增加國(guó)密算法的支持、增加符合國(guó)情接地氣的內(nèi)容等等，會(huì)議決定將上述修改意見(jiàn)在2018年10月份召開(kāi)的信安標(biāo)委會(huì)議周由WG4工作組討論后再形成標(biāo)準(zhǔn)草案第二稿。會(huì)議結(jié)束后，格爾軟件股份有限公司和中國(guó)信息通信研究院泰爾實(shí)驗(yàn)室表示愿意成為本標(biāo)準(zhǔn)項(xiàng)目的合作單位。2018年10月，WG4工作組在北京組織召開(kāi)了組內(nèi)專家評(píng)審會(huì)。專家組聽(tīng)取了標(biāo)準(zhǔn)編制組的工作匯報(bào)，審閱了相關(guān)文檔，質(zhì)詢了有關(guān)問(wèn)題，經(jīng)過(guò)討論，提出如下修改意見(jiàn)：術(shù)語(yǔ)和定義及縮略語(yǔ)部分存在不妥之處，建議修改；建議將標(biāo)準(zhǔn)定位為后續(xù)相關(guān)標(biāo)準(zhǔn)的上位性標(biāo)準(zhǔn)，明確框架定義；標(biāo)準(zhǔn)正文內(nèi)容應(yīng)不涉及具體分級(jí)細(xì)節(jié)，可在附錄中以示例形式體現(xiàn)。參會(huì)專家一致同意通過(guò)對(duì)該項(xiàng)標(biāo)準(zhǔn)的評(píng)審，建議標(biāo)準(zhǔn)編制單位根據(jù)本次會(huì)議的意見(jiàn)修改后提交工作組。會(huì)議之后，編制組依據(jù)專家評(píng)審意見(jiàn)進(jìn)行修改，形成標(biāo)準(zhǔn)草案第二稿。2018年10月下旬，TC260在青島召開(kāi)會(huì)議周。在WG4工作組會(huì)議上，參會(huì)專家聽(tīng)取了標(biāo)準(zhǔn)編制組的工作匯報(bào)，經(jīng)過(guò)討論，提出若干修改意見(jiàn)，并進(jìn)行了投票表決，結(jié)論是形成征求意見(jiàn)稿。會(huì)議之后，編制組依據(jù)修改意見(jiàn)進(jìn)行了修改，形成標(biāo)準(zhǔn)征求意見(jiàn)稿第一稿。標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題標(biāo)準(zhǔn)編制原則本標(biāo)準(zhǔn)使用重新起草法參考ISO/IEC29115:2013《Informationtechnology–Securitytechniques-EntityAuthenticationAssuranceFramework》編制，與ISO/IEC29115:2013的一致性程度為非等效。標(biāo)準(zhǔn)解決的問(wèn)題及主要內(nèi)容本標(biāo)準(zhǔn)主要解決在實(shí)體身份鑒別過(guò)程中所有相關(guān)的程序、管理活動(dòng)和技術(shù)實(shí)現(xiàn)的可信度缺乏統(tǒng)一的衡量標(biāo)準(zhǔn)的問(wèn)題。具體體現(xiàn)在以下四個(gè)方面：不同安全域中對(duì)于實(shí)體鑒別的保障水平需求不同，對(duì)于憑證提供方、身份提供方、依賴方、評(píng)估方和審計(jì)方等各參與方缺乏統(tǒng)一的保障框架和各方認(rèn)同的保障水平的級(jí)別；對(duì)于現(xiàn)有系統(tǒng)和標(biāo)準(zhǔn)設(shè)定的保障級(jí)別無(wú)法兼容，需要進(jìn)行映射；對(duì)于實(shí)體鑒別的威脅與控制（應(yīng)對(duì)措施）缺乏明確的定義；對(duì)于實(shí)體鑒別的安全保障過(guò)于關(guān)注技術(shù)實(shí)現(xiàn)，缺乏對(duì)管理手段和組織架構(gòu)的考慮和要求。為解決以上問(wèn)題，本標(biāo)準(zhǔn)研究制定了實(shí)體身份鑒別的安全保障框架，對(duì)實(shí)體身份鑒別過(guò)程中涉及到的所有程序、管理活動(dòng)和技術(shù)實(shí)現(xiàn)的可信度進(jìn)行衡量和管理。具體內(nèi)容包括：1）框架設(shè)計(jì)。 提供了實(shí)體身份鑒別安全保障框架，分別從技術(shù)的角度和管理的角度對(duì)實(shí)體身份鑒別的過(guò)程進(jìn)行了分析；2） 角色定義。定義了實(shí)體身份鑒別各參與方（包括實(shí)體、憑證服務(wù)提供方、注冊(cè)機(jī)構(gòu)、依賴方、校驗(yàn)方和可信第三方）的角色；3）級(jí)別規(guī)定。提出保障級(jí)別的類別與分級(jí)依據(jù)；4）實(shí)現(xiàn)指南。為實(shí)現(xiàn)四級(jí)實(shí)體鑒別保障級(jí)別確定了規(guī)范和指導(dǎo)原則；

5）等級(jí)映射。為將其他鑒別保障方案映射到不同的保障等級(jí)提供指導(dǎo)；6） 風(fēng)險(xiǎn)控制。為用于減輕針對(duì)實(shí)體鑒別的威脅的控制（應(yīng)對(duì)措施）提供指導(dǎo)。從文檔結(jié)構(gòu)上看，本標(biāo)準(zhǔn)內(nèi)容包括11個(gè)章節(jié)與2個(gè)附錄組成（除去前言、引言和參考文獻(xiàn)之外）。第一章“范圍”闡述了描述了本標(biāo)準(zhǔn)的目的及適用范圍。第二章“規(guī)范性引用文件”列舉了制定本標(biāo)準(zhǔn)所參考引用的標(biāo)準(zhǔn)及規(guī)范。第三章“術(shù)語(yǔ)和定義”對(duì)本標(biāo)準(zhǔn)中涉及術(shù)語(yǔ)進(jìn)行了定義。第四章“縮略語(yǔ)”對(duì)本標(biāo)準(zhǔn)中使用的通用符號(hào)進(jìn)行了解釋說(shuō)明。第五章“保障框架”提出了實(shí)體鑒別保障框架，分別從技術(shù)的角度和管理的角度對(duì)實(shí)體身份鑒別的過(guò)程進(jìn)行了分析。第六章“保障級(jí)別”提出了保障級(jí)別的類別及劃分等級(jí)的依據(jù)，本標(biāo)準(zhǔn)不對(duì)具體等級(jí)進(jìn)行劃分。第七章“參與方”定義了實(shí)體身份鑒別各參與方（包括實(shí)體、憑證服務(wù)提供方、注冊(cè)機(jī)構(gòu)、依賴方、校驗(yàn)方和可信第三方）的角色；第八章“實(shí)體鑒別保障框架的各階段”將實(shí)體鑒別的完整流程分成若干階段，并對(duì)每個(gè)階段的詳細(xì)流程進(jìn)行了定義；第九章“管理和組織注意事項(xiàng)”從管理角度提出了若干需要注意的事項(xiàng)；第十章“威脅和控制”描述了針對(duì)實(shí)體身份鑒別的安全風(fēng)險(xiǎn)以及相應(yīng)的控制手段；第十一章“服務(wù)保障標(biāo)準(zhǔn)”對(duì)服務(wù)提出簡(jiǎn)單要求。附錄A為資料性附錄，對(duì)憑證的特性進(jìn)行了描述。附錄B為資料性附錄，隱私和個(gè)人信息的保護(hù)進(jìn)行了說(shuō)明。三、主要驗(yàn)證情況分析本標(biāo)準(zhǔn)屬于理論性框架，暫未進(jìn)行驗(yàn)證。四、知識(shí)產(chǎn)權(quán)情況說(shuō)明本標(biāo)準(zhǔn)不涉及專利。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果本標(biāo)準(zhǔn)的研究制定，對(duì)實(shí)體（包括人類和物品）的身份鑒別保障框架進(jìn)行了定義，并給出了參考示例，為身份鑒別系統(tǒng)及解決方案提供商的設(shè)計(jì)、生產(chǎn)和檢測(cè)認(rèn)證提供依據(jù)，為應(yīng)用服務(wù)方部署身份鑒別系統(tǒng)和服務(wù)提供安全保障理論基礎(chǔ)，促進(jìn)不同安全域之間互聯(lián)互通并建立互相信任機(jī)制，有利于節(jié)約社會(huì)成本，促進(jìn)身份認(rèn)證行業(yè)的健康有序快速發(fā)展，具有良好的社會(huì)效益。同時(shí)，本標(biāo)準(zhǔn)對(duì)于提高身份鑒別的安全具有重要意義，在提高互信任度和互操作能力的情況下，實(shí)現(xiàn)降低成本和提高效率，會(huì)產(chǎn)生一定的經(jīng)濟(jì)效益。此外，經(jīng)濟(jì)效益也受市場(chǎng)的影響，本標(biāo)準(zhǔn)將推動(dòng)可信框架解決方案的部署實(shí)施，在市場(chǎng)的應(yīng)用需要一定的時(shí)間，經(jīng)濟(jì)效益會(huì)隨著應(yīng)用增多而日漸凸顯。六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況本標(biāo)準(zhǔn)的制定主要參考國(guó)際標(biāo)準(zhǔn)ISO/IEC29115:2013，同時(shí)參考NISTSP80063-3規(guī)范，結(jié)合我國(guó)密碼管理要求和實(shí)際應(yīng)用環(huán)境以及針對(duì)隱私和個(gè)人信息保護(hù)的要求，能夠?yàn)閷?shí)體身份鑒別保障框架在我國(guó)的應(yīng)用和實(shí)施提供有效指導(dǎo)。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性本標(biāo)準(zhǔn)屬于“鑒別類”標(biāo)準(zhǔn)中的安全保障類標(biāo)準(zhǔn)，是對(duì)當(dāng)前“鑒別機(jī)制類”標(biāo)準(zhǔn)中的實(shí)體鑒別系列標(biāo)準(zhǔn)、匿名實(shí)體鑒別系列標(biāo)準(zhǔn)、消息鑒別碼系列標(biāo)準(zhǔn)以及實(shí)體鑒別及接入架構(gòu)等具體鑒別機(jī)制規(guī)范在安全保障方面必不可少的補(bǔ)充。八、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)無(wú)。九、標(biāo)準(zhǔn)性質(zhì)的建議建議將本標(biāo)準(zhǔn)作為推薦性標(biāo)準(zhǔn)。十、貫徹標(biāo)準(zhǔn)的要求和措施建議本標(biāo)準(zhǔn)可作為其它身份鑒別、身份核驗(yàn)以及身份分級(jí)標(biāo)準(zhǔn)的理論基礎(chǔ)。本標(biāo)準(zhǔn)的實(shí)施主體為身份鑒別領(lǐng)域內(nèi)各參與方，包括解決方案提供商、身份注冊(cè)機(jī)構(gòu)、憑證服務(wù)提供商、依賴方、檢測(cè)認(rèn)證機(jī)構(gòu)、各相關(guān)行業(yè)組織及有關(guān)科研教育機(jī)構(gòu)等。在貫徹落實(shí)本標(biāo)準(zhǔn)時(shí)，建議可采取如下具體步驟：第一步，針對(duì)實(shí)體身份鑒別的全流程實(shí)施風(fēng)險(xiǎn)評(píng)估；第二步，將已識(shí)別的安全風(fēng)險(xiǎn)映射到合適的保障級(jí)別；第三步，選擇適當(dāng)?shù)目刂疲☉?yīng)對(duì)措施）；第四步，確認(rèn)實(shí)施的控制（應(yīng)對(duì)措施）符合所需的保障級(jí)別；第五步，定期重新評(píng)估以確定技術(shù)更新需求。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議無(wú)