国家标准计划《网络安全技术 身份鉴别产品技术规范》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。

主要起草单位 中国科学院软件研究所 。

随着新一代信息技术的应用和发展，数字经济与实体经济深度融合，越来越多的数字服务和业务基于互联网来实施，数字化、网络化、智能化水平提升，对业务操作实体身份鉴别的准确、高效、安全等要求进一步提高。

身份鉴别作为一项基础性的网络安全技术手段，是确认一个实体所声称身份的过程，可以确保业务操作和访问数字服务的主体置于基于身份鉴别技术的控制之下。

身份鉴别技术对保障业务操作行为的真实可信至关重要，是防止非授权业务操作和数字服务以及出现争议时的实现责任认定的基础，能够降低网络系统非授权访问风险、提高网络系统抗抵赖性，目前已被广泛应用于各种网络业务系统中，市场上已出现多类基于安全电子介质、生物特征识别技术等身份鉴别产品。

由于当前身份鉴别技术应用于开放网络环境，业已成为网络攻击的入口和数据泄露的出口，加上身份鉴别技术手段多样、产品功能不统一，所采用的的身份鉴别产品也成为攻击的重点对象，面临着诸多威胁与风险。

身份鉴别产品技术规范的制定，将统一规范终身份鉴别产品的安全功能、自身安全以及安全保障要求，为产品的开发测试提供指导；该标准作为GB 42250-2022的配套标准，能够为监管部门加强该类产品的监管，落实《网络安全法》相关条款要求提供依据；依据标准研制的产品，能够确认应用系统使用的身份信息，提高应用系统对业务操作实体和数字服务访问者的身份鉴别能力，保障网络业务系统运行安全。

本项目拟制定推荐性国家标准，作为GB 42250-2022的配套标准，确保身鉴别产品的安全性。主要规范身份鉴别产品的安全功能要求、自身安全功能要求、安全保障要求和测试方法，适用于身份鉴别产品的研发、采购、使用、维护、管理和检测。其中： (1)安全功能要求：主要包括用户标识、鉴别方式、鉴别过程、鉴别数据保护、鉴别失败处理等。 (2)自身安全要求：主要包括身份识别和鉴别、管理能力、审计管理、安全管理等。 (3)安全保障要求：主要包括开发、指导性文档、生命周期支持、测试、脆弱性评定等。 (4)测试方法：针对身份鉴别产品的安全技术要求，逐项提出对应的测试评价方法，为使用本标准的人员提供一个测试评价身份鉴别产品的技术准则。 (5)产品分级方面：根据产品安全功能与自身安全的强弱、以及安全保障要求的高低，拟分为基本级和增强级，推荐应用于不同等级的系统。