2018年9月，全國信息安全標準化技術委員會歸口的17項國家標準正式發布。這些國家標準將在2019年4月1日起正式實施。清單如下：

 1. GB/T 36618-2018 《信息安全技術 金融信息服務安全規范》

內容概述：該標準規定了金融信息服務提供商提供金融信息服務時的基本原則、服務過程要求、技術要求和管理要求。其中，技術要求部分主要涵蓋基礎設施安全、軟件安全、網絡安全、數據安全、運行安全、容災和恢復六個方面。

 2. GB/T 36619-2018 《信息安全技術 政務和公益機構域名命名規范》

內容概述：該標準主要針對由于命名不規范，使得政務和公益機構網站公眾識別度不高，再加上一些虛假網站惡意利用造成負面影響等問題，對政務和公益機構域名的命名規范做出可依據的規范說明，包含基本規則、中文規則、英文規則等。

 3. GB/T 36626-2018 《信息安全技術 信息系統安全運維管理指南》

內容引言：本標準提供了信息系統安全運維管理體系的指導和建議，給出了安全運維策略、安全運維組織的管理、安全運維規則和安全運維支撐系統等方面相關活動的目的、要求和實施指南。本標準可用于指導各組織信息系統安全運維管理體系的建立和運行。

 4. GB/T 36627-2018 《信息安全技術 網絡安全等級保護測試評估技術指南》

內容引言：網絡安全等級保護測評過程包括測評準備活動、方案編制活動、現場測評活動、報告編制活動四個基本測評活動。本標準為方案編制活動、現場測評活動中涉及的測評技術選擇與實施過程提供指導。

網絡安全等級保護相關的測評標準主要有GB/T 22239、GB/T 28448和GB/T 28449等。其中GB/T 22239是網絡安全等級保護測評的基礎性標準，GB/T 28448針對GB/T 22239中的要求，提出了不同網絡安全等級的測評要求；GB/T 28449主要規定了網絡安全等級保護測評工作的測評過程，本標準與GB/T 28448和GB/T 28449的區別在于：GB/T 28448主要描述了針對各級等級保護對象單元測評的具體測評要求和測評流程，GB/T 28449則主要對網絡安全等級保護測評的活動、工作任務以及每項任務的輸入/輸出產品等提出指導性建議，不涉及測評中具體的測試方法和技術。本標準對網絡安全等級保護測評中的相關測評技術進行明確的分類和定義，系統地歸納并闡述測評的技術方法，概述技術性安全測試和評估的要素，重點關注具體技術的實現功能、原則等，并提出建議供使用，因此本標準在應用于網絡安全等級保護測評時可作為對GB/T 28448和GB/T 28449的補充。

GB/T 36630《信息安全技術 信息技術產品安全可控評價指標》包含以下五部分：

 5.GB/T 36630.1-2018 《信息安全技術 信息技術產品安全可控評價指標 第1部分：總則》 

內容引言：隨著信息技術應用的日益深入，信息技術產品設計實現的復雜度不斷提升，設計的生命周期環節越來越多，人為設置的后門、不可控的產品供應鏈、不能持續的產品服務、未經授權的數據收集和使用等潛在的不可控因素不斷增多，嚴重損害應用方的權益，甚至可能危害國家安全和公共利益。

依據《中華人民共和國網絡安全法》網絡產品和服務安全審查辦法(試行)》等要求，為提高信息技術產品安全可控水平，防范網絡安全風險，維護國家和公共安全，進而滿足信息技術產品應用方安全可控需求，增強應用方信心，推動信息技術產業健康、快速發展，特制定GB/T 36630。

6.GB/T 36630.2-2018 《信息安全技術 信息技術產品安全可控評價指標 第2部分：中央處理器》 

 7.GB/T 36630.3-2018 《信息安全技術 信息技術產品安全可控評價指標 第3部分：操作系統》 

 8.GB/T 36630.4-2018 《信息安全技術 信息技術產品安全可控評價指標 第4部分：辦公套件》 

 9.GB/T 36630.5-2018 《信息安全技術 信息技術產品安全可控評價指標 第5部分：通用計算機》 

 10. GB/T 36631-2018 《信息安全技術 時間戳策略和時間戳業務操作規則》 

內容引言：隨著信息技術的發展，越來越多的傳統應用被網絡應用所代替，如電子商務、數字出版等網絡應用，傳統的記錄時間方式再互聯網環境下已不適用于證明時間是否發生在某一時刻，引發對可信第三方時間戳服務的需求。為此，國內多家證書認證機構及專業公司陸續開展了時間戳相關的業務服務，為電子取證、版權服務、電子商務等業務提供權威的、可信賴的、公正的第三方的時間戳服務。2003年，《電子簽名法》頒布，為時間戳業務服務的進一步發展提供了法律保障。

為規范時間戳業務發展，本標準針對第三方時間戳服務機構，在時間戳策略、時間戳業務操作規則等應包含的時間戳標識、時間戳管理、時間戳關聯方的責任與義務等內容進行規范。本標準在制定過程中參考了國內外的相關規范，結合我國時間戳服務、應用的特點進行了調整和擴充。

適用范圍：時間戳機構編制時間戳策略和時間戳業務操作規則等活動。

 11.GB/T 36633-2018 《信息安全技術 網絡用戶身份鑒別技術指南》 

內容摘要：該標準給出了網絡環境下用戶身份鑒別的主要過程和常見鑒別技術存在的威脅，并規定了抵御威脅的方法。適用于網絡環境下用戶身份鑒別系統的設計、開發與測試。

網絡用戶身份鑒別的一般過程包括：注冊和發放過程、提交和驗證以及斷言過程。該標準對鑒別過程的威脅和抵御威脅的策略進行相關規定。

 12.GB/T 36635-2018 《信息安全技術 網絡安全監測基本要求與實施指南》

適用范圍：本標準規定了網絡安全監測的基本要求，給出了網絡安全監測框架和實施指南。本標準適用于系統或網絡安全監測的實施，網絡安全監測產品的設計開發，網絡安全監測服務的提供等。

 13.GB/T 36639-2018 《信息安全技術 可信計算規范 服務器可信支撐平臺》 

適用范圍：本標準規定了服務器可信支撐平臺的功能和安全性要求，并描述了服務器可信支撐平臺的組成結構。

本標準適用于可信計算體系下服務器可信支撐平臺的設計、生產、集成、管理和測試。

 14. GB/T 36644-2018 《信息安全技術 數字簽名應用安全證明獲取方法》 

內容引言：參與數字簽名生成或驗證的實體取決于過程的真實性，該真實性可以通過獲取私鑰擁有屬性的安全證明、公鑰有效性的安全證明、數字簽名的生成時間來保證。本標準旨在規定一套數字簽名應用安全證明獲取方法，用以規范數字簽名應用安全證明過程，主要應用于需要提供數字簽名生成過程安全性和對簽名生成時間有明確要求的簽名應用場景。

適用范圍：需要提供數字簽名生成過程安全性和對簽名生成時間有明確要求的簽名應用場景。

以下推薦性標準采用了ISO、IEC等國際國外組織的標準，由于涉及版權保護問題，國家標準全文公開系統暫不提供在線閱讀服務。如需正式標準出版物，請聯系中國標準出版社。

 15.GB/T 15843.6-2018 《信息技術 安全技術 實體鑒別 第6部分：采用人工數據傳遞的機制》

 16.GB/T 34953.2-2018 《信息技術 安全技術 匿名實體鑒別 第2部分：基于群組公鑰簽名的機制》 

 17.GB/T 36624-2018 《信息技術 安全技術 可鑒別的加密機制》 

以上標準的具體內容可登陸國家標準全文公開系統進行查看。

網址：http://www.gb688.cn/bzgk/gb/index