GBT信息安全技术网络身份服务安全技术要求编制说明.doc

《信息安全技术网络身份服务安全技术要求》
（征求意见稿）编制说明
一、工作简况

根据国家标准化管理委员会在2019年国家标准制修订计划，《信息安全技术 网络身份服务安全技术要求》由北京数字认证股份有限公司承办。该标准职责、安全架构、网络身份服务的通用安全要求和分级安全要求。
本标准适用于网络身份服务的部署、网络身份服务的评估评价。
三、 主要试验［或验证］情况分析
本课题组参与的十三五重点研发计划“身份管理互操作及可信等级评估规范 与工具”课题（2016YFB0800504）中，基于本标准内容形成了 “网络身份服务可 信度评估工具”，本课题组利用该评估工具对支付宝身份管理平台、中科院CA、 中国金融认证中心、公安部一所真实身份证明与核验系统等8个身份管理平台展 开可信度评估，评估体系的科学性、实用性在实例平台得到验证支持。
四、 知识产权情况说明
在本标准的草案稿封面，都注明了“在提交反馈意见时，请将您知道的相关 专利连同支持性文件一并附上”。截止目前，没有收到任何单位反馈的专利声明。
五、 产业化情况、推广应用论证和预期达到的经济效果
本项目的实施，将向网络身份服务参与方提供身份服务管理的安全技术指 导，指导网络身份服务参与方根据安全需求部署安全措施、实施身份服务安全自 查，同时为监管机构管理网络身份服务提供依据。为身份服务提供方、第三方应 用（依赖方）在开展和使用用户身份服务时提供安全技术指导，同时为监管机构
管理网络参与方提供安全技术指导，实现根据安全需求不同，配置不同的安全保 护措施的目的，应对网络身份服务的多样化和差异化发展，为监管方有效管理差 异化的网络身份服务提供依据，推进网络空间有序、健康发展。
通过研制网络身份服务安全要求标准，给出系统性、全面性的综合评估评价 指标体系，推动网络身份服务安全技术的规范化，推动身份服务安全技术的进步, 促进信用体系建设，增强市场活力，推进网络健康、有序发展。
六、 采用国际标准和国外先进标准情况
本标准参考了ISO、NIST、英国、欧盟等主要标准组织和发达国家在网络身 份服务领域的相关标准，包括ISO/IEC 29115 “实体鉴别保障框架”、NIST SP 800-63-3 “数字身份指南”、ISO/IEC 29003-2013 "身份证明规范”、GPG 45-2014 “个人身份证明与认证”等身份鉴别保障类标准，OpenID、SAML和OAuth 等互联互通技术标准。这些标准在国际及国内具备较高的技术先进性、创新性和 认可度。各标准选取的安全技术要素、安全要素架构值得我们研究学****同时针 对不同安全需求提出分级安全要求的思路也值得借鉴。
在参考主要标准组织和国家相关标准的基础上，本标准将立足我国实际国 情，提出符合我国国情的网络身份服务安全技术要求。此外，在分级要素选取和 具体要求制定方面也将更符合我国实际应用需求。
七、 与现行相关法律、法规、规章及相关标准的协调性
贯彻国家有关政策与法规
本标准中涉及的密码算法遵循国家商用密码的有关规定。
与相关国内相关标准的关系
本项目与现行法律、法规、强制性国家标准及相关标准协调一致。网络可信 身份服务安全要求是我国网络可信体系的一部分，主要用于规范可信身份服务领 域的安全性。我国于2017年6月