书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ３６６３０ ． ２ — ２０１８ 信息安全技术信息技术产品安全可控评价指标第 ２ 部分 ： 中央处理器 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犆狅狀狋狉狅犾犾犪犫犻犾犻狋狔犲狏犪犾狌犪狋犻狅狀犻狀犱犲狓犳狅狉狊犲犮狌狉犻狋狔狅犳犻狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔狆狉狅犱狌犮狋狊 — 犘犪狉狋 ２ ： 犆犲狀狋狉犪犾狆狉狅犮犲狊狊犻狀犵狌狀犻狋 ２０１８  ０９  １７ 发布 ２０１９  ０４  ０１ 实施 国家市场监督管理总局 中国国家标准化管理委员会 发布目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 、 缩略语 １ ……………………………………………………………………………………… 　 ３．１ 　 术语和定义 １ ………………………………………………………………………………………… 　 ３．２ 　 缩略语 １ ……………………………………………………………………………………………… ４ 　 评价指标项 １ ……………………………………………………………………………………………… ５ 　 评价方法 ２ ………………………………………………………………………………………………… 　 ５．１ 　 评价材料要求 ２ ……………………………………………………………………………………… 　 ５．２ 　 指标评价方法 ２ ……………………………………………………………………………………… 　　 ５．２．１ 　 优先评价项评价 ２ ……………………………………………………………………………… 　　 ５．２．２ 　 一般评价项评价 ３ ……………………………………………………………………………… 　 ５．３ 　 计分方法 ６ …………………………………………………………………………………………… 参考文献 ７ ……………………………………………………………………………………………………… 犌犅 ／ 犜 ３６６３０ ． ２ — ２０１８ 前 　　 言 　　 ＧＢ ／ Ｔ３６６３０ 《 信息安全技术 　 信息技术产品安全可控评价指标 》 包括以下部分 ： ——— 第 １ 部分 ： 总则 ； ——— 第 ２ 部分 ： 中央处理器 ； ——— 第 ３ 部分 ： 操作系统 ； ——— 第 ４ 部分 ： 办公套件 ； ——— 第 ５ 部分 ： 通用计算机 。 本部分为 ＧＢ ／ Ｔ３６６３０ 的第 ２ 部分 。 本部分按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 本部分由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本部分起草单位 ： 中国电子信息产业发展研究院 、 工业和信息化部软件与集成电路促进中心 、 中国电子技术标准化研究院 、 公安部第一研究所 、 中国软件评测中心 、 国家信息技术安全研究中心 、 中国信息安全测评中心 、 龙芯中科技术有限公司 、 上海高性能集成电路设计中心 、 国防科技大学 、 北京大学 、 清华大学 、 展讯通信有限公司 、 上海兆芯集成电路有限公司 、 天津飞腾信息技术有限公司 、 成都海光集成电路设计有限公司 、 贵州华芯通半导体技术有限公司等 。 本部分主要起草人 ： 王闯 、 范兵 、 李海涛 、 韩煜 、 张戈 、 叶润国 、 朱英 、 张承义 、 陆俊林 、 刘雷波 、 方进社 、 余红斌 、 高金萍 、 李冰 、 王鹏 、 陈斐利 、 刘新春 、 孙开本 、 刘权 、 刘龙庚 、 巨鹏锦 、 王超 、 李英的 、 王蓓蓓 、 马士民 、 翟艳芬 、 荣志刚 、 姚永斌 。 Ⅰ 犌犅 ／ 犜 ３６６３０ ． ２ — ２０１８ 引 　　 言 　　 依据 《 中华人民共和国网络安全法 》《 网络产品和服务安全审查办法 （ 试行 ）》 等要求 ， 为提高中央处理器产品安全可控水平 ， 防范网络安全风险 ， 维护国家和公共安全 ， 进而满足中央处理器产品应用方安全可控需求 ， 增强应用方使用信心 ， 促进中央处理器产业的健康 、 快速发展 ， 特制定 ＧＢ ／ Ｔ３６６３０ 的本部分 。 本部分评价对象为中央处理器产品 ， 评价内容为中央处理器产品的安全可控程度 ， 涵盖中央处理器产品的设计 、 流片 、 封装 、 测试 、 服务保障等环节 。 本部分所述安全可控评价指标主要用于评价中央处理器产品的安全可控程度 ， 不包含对产品本身安全功能和安全性能的评价 。 安全可控只是中央处理器产品的一个属性 ， 如需评价安全功能和安全性能等其他属性 ， 可参照相关国家标准 。 Ⅱ 犌犅 ／ 犜 ３６６３０ ． ２ — ２０１８ 信息安全技术信息技术产品安全可控评价指标第 ２ 部分 ： 中央处理器 １ 　 范围 ＧＢ ／ Ｔ３６６３０ 的本部分规定了中央处理器产品的相关概念 ， 给出了安全可控评价的指标项及相应的评价方法 。 本部分适用于评价实施方对中央处理器产品的安全可控程度进行评价 ， 也可供信息技术产品供应方和应用方在产品供应和应用过程中保障产品安全可控进行参照 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ２５０６９ — ２０１０ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ３６６３０．１ — ２０１８ 　 信息安全技术 　 信息技术产品安全可控评价指标 　 第 １ 部分 ： 总则 ３ 　 术语和定义 、 缩略语 ３ ． １ 　 术语和定义 ＧＢ ／ Ｔ２５０６９ — ２０１０ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ ． １ 　 中央处理器 　 犮犲狀狋狉犪犾狆狉狅犮犲狊狊犻狀犵狌狀犻狋 由运算器 、 控制器 、 寄存器和实现它们之间联系的各类总线 ， 以及包含在同一产品内的其他功能模块组成的集成电路 。 ３ ． １ ． ２ 　 知识产权核 　 犻狀狋犲犾犾犲犮狋狌犪犾狆狉狅狆犲狉狋狔犮狅狉犲 包含软核 、 硬核和固核在内的 ， 可通过协议由一方提供给另一方 ， 形式为逻辑单元 、 芯片设计的可重复使用模块 。 ３ ． ２ 　 缩略语 下列缩略语适用于本文件 。 ＩＰ 核 ： 知识产权核 （ ＩｎｔｅｌｌｅｃｔｕａｌＰｒｏｐｅｒｔｙＣｏｒｅ ） Ｉ ／ Ｏ ： 输入 ／ 输出 （ Ｉｎｐｕｔ ／ Ｏｕｔｐｕｔ ） ４ 　 评价指标项 依据 ＧＢ ／ Ｔ３６６３０．１ — ２０１８ 中 ５．２．１ 的评价指标体系框架 ， 结合中央处理器自身特点设定了评价指标项 。 在优先评价项方面 ， 根据国家法律和政策要求 ， 产品供应方应合法拥有或使用产品相关知识产权 ， 包 １ 犌犅 ／ 犜 ３６６３０ ． ２ — ２０１８ 括通过自主研发 、 合作研发或外部授权等方式获得的知识产权 ， 为此选取产品知识产权状况为优先评价项 。 在一般评价项方面 ， 选取了产品设计实现透明性 、 产品设计验证 、 产品关键技术研发能力 、 产品安全生态适应性 、 产品持续供应能力 、 产品供应链保障能力 、 产品服务保障能力等七个指标项 ， 如表 １ 所示 。 表 １ 　 中央处理器安全可控评价指标项及指标说明 编号 指标项 指标说明 １ 产品知识产权状况 ａ 根据产品供应方所提供的知识产权拥有情况 、 获得外部授权情况及知识产权纠纷情况 等相关材料 ， 对其产品知识产权进行评价 ２ 产品设计实现透明性根据产品供应方所提供的关键技术相关材料的真实性 、 可核查性 、 规范性和完备性 ， 对 其设计实现透明性进行评价 ， 必要时可通过技术手段等方式进行评价 ３ 产品设计验证对产品设计验证环境 、 设计验证充分性 、 设计验证结果与产品一致性等进行评价 ， 必要 时可通过技术手段等方式进行评价 ４ 产品关键技术 研发能力对产品供应方关键技术掌控能力 、 基于安全可控需求修改指令集架构及修改或替换关 键 ＩＰ 核 ｂ 的权限及能力进行评价 ５ 产品安全生态适应性对产品所适配操作系统的安全可控程度和密码合规性 ｃ 进行评价 ， 必要时可通过技术 测试的方式辅助评价 ６ 产品持续供应能力对产品供应方的产品供应情况和核心团队情况进行评价 ７ 产品供应链保障能力对产品设计环节 、 流片环节 、 封装环节 、 测试环节的供应链保障能力进行评价 ８ 产品服务保障能力对产品供应方服务及时性和服务质量进行评价 　　 ａ 特指中央处理器产品相关知识产权 ， 包括但不限于商标 、 著作权 、 专利 、 集成电路布图 。 ｂ 关键 ＩＰ 核包括但不限于密码模块 、 高速 Ｉ ／ Ｏ 接口 。 ｃ 本部分凡涉及密码算法的相关内容按国家有关法规实施 ， 凡涉及到采用密码技术解决保密性 、 完整性 、 真实 性 、 不可否认性需求的遵循密码相关国家标准和行业标准 。 ５ 　 评价方法 ５ ． １ 　 评价材料要求 评价材料包括提供给评价实施方的提交材料和供评价实施方现场核查的验证材料 。