《信息安全技術 網絡安全管理支撐系統(tǒng)技術要求-編制說明》

一、任務來源

根據(jù)國家標準化管理委員會2013年下達的國家標準制修訂計劃，

國家標準《信息安全技術信息網絡安全管理技術支撐平臺技術要求》

由浙江遠望信息股份有限公司承擔標準制定任務，標準計劃號為

20130334-T-469。

二、標準必要性和意義

在信息系統(tǒng)互連互通的大環(huán)境下，信息網絡安全的實質就是保障

和維護國家主權、國家安全、社會穩(wěn)定、經濟安全與發(fā)展和公民合法

權益。信息網絡安全標準化是信息系統(tǒng)安全性的重要保證，是國家信

息安全規(guī)范化、制度化、法制化發(fā)展的首要條件。是確保有關信息安

全的產品和系統(tǒng)在設計、研發(fā)、生產、建設、使用、測評中解決其一

致性、可靠性、可控性、先進性和符合性的技術規(guī)范、技術依據(jù)。沒

有自主開發(fā)的安全標準，就不能構造出一個自主可控的信息安全保障

體系，就難以保證國家安全和國家利益。因此，信息安全標準是我國

信息安全保障體系的重要組成部分。

我國信息安全標準化工作，雖然起步較晚，但是近年來發(fā)展較快，

本著積極采用、鑒戒國際標準，自主規(guī)劃和制定國內標準的原則，轉

化了一批國際信息安全基礎技術標準，制定了一批符合中國國情的信

息安全標準，如在信息網絡安全風險評估、事件管理、應急響應等方

面制定了一系列的技術標準，明確了信息系統(tǒng)等級保護劃分準則和一

系列的等級保護實施標準，同時也制定了一系列針對特定安全風險的

安全產品（如入侵檢測與防護、病毒查殺與防范、邊界準入與控制等）

技術標準。但是針對政務和企事業(yè)單位復雜信息網絡環(huán)境下不斷演化

的各類安全風險，國內尚缺乏一套從信息與網絡安全管理的全局性需

求出發(fā)，將安全管理和安全技術有機融合的產品技術標準。

本標準（信息安全技術信息網絡安全管理技術支撐平臺技術要

求）以GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》、

GB/T22239-2008《信息系統(tǒng)安全等級保護基本要求》、GB/Z

24364-2009《信息安全風險管理指南》、GB/Z20985-2007《信息安全

事件管理指南》為依據(jù)，吸取國內外先進的信息安全標準的相關內容，

根據(jù)我國當前政府和企事業(yè)單位信息網絡安全保障的實際需求：實現(xiàn)

安全管理工作的信息化；實現(xiàn)人、管理、技術三個層面的融合；實現(xiàn)

安全監(jiān)管技術的融合；面對政府和企事業(yè)單位網絡中的邊界安全、保

密安全、網站安全、應用安全、數(shù)據(jù)安全、基礎安全、運行安全等方

面風險，構建有效的監(jiān)測、響應和防護的安全管理模型。制定出對我

國現(xiàn)階段信息與網絡安全管理支撐平臺產品的設計、開發(fā)具有指導意

義的標準文檔。以便于不同廠家在產品化過程中按照統(tǒng)一的要求和規(guī)

范進行設計和生產，以確保產品功能要求符合技術要求中的規(guī)定，同

時也能對作為產品的其它必備的功能進行規(guī)范評測，對產品開發(fā)過程

的規(guī)范化和全程質量管理也會有促進作用。

三、主要工作過程

（1）2012.12月—2013.6月，學習查閱我國及有關行業(yè)安全法規(guī)、

政策及規(guī)范性文件；調研我國政府和企事業(yè)單位信息網絡安全監(jiān)管現(xiàn)

狀、分析安全態(tài)勢變化及原因，提出標準草案初稿。

（2）2013.6月—2015.8月，對形成的《信息安全技術信息網絡

安全管理技術支撐平臺技術要求》標準草案初稿，廣泛征求業(yè)界和專

家意見，工作組專家對標準進行了多次審查，召開了多次會議，并與

專家多次商討并征求意見。

（3）2015.9月—2016.5月，根據(jù)前期專家提出的意見，對標準

草案初稿進行集中修改，形成較完善的標準草案。

（4）2015.6月—2016.8月，向專家匯報草案修改情況，修訂標

準定位等修改完善。

四、主要條款的說明，主要技術指標、參數(shù)、實驗驗證的論述

信息網絡安全管理技術支撐平臺是政府和企事業(yè)單位進行信息

網絡安全管理工作的支撐產品，基于適合國情的信息安全保障體系的

管理理念，整合物理安全、網絡安全、系統(tǒng)安全、應用安全、數(shù)據(jù)安

全等方面的安全監(jiān)管分析技術，實現(xiàn)安全管理的信息化。是一個集成

化、融合型的安全管理支撐產品。一方面實現(xiàn)安全監(jiān)管技術的融合，

另一方面實現(xiàn)人、管理、技術三個層面的融合。

本標準規(guī)定了在政府和企事業(yè)單位的信息網絡環(huán)境下，信息與網

絡安全管理支撐平臺產品的技術要求，以政府和企事業(yè)單位信息網

絡安全管理的實際需求為基礎，研究信息與網絡安全管理支撐平臺

產品的安全功能、自身安全性和安全保證等方面的技術要求，重點

如下：

明確信息網絡安全管理支撐平臺產品的安全功能要求；

明確信息網絡安全管理支撐平臺產品的自身安全要求；

明確信息網絡安全管理支撐平臺產品的安全保證要求；

明確信息網絡安全管理支撐平臺產品的分級劃分要求。

標準的應用，主要是支撐政府和企事業(yè)單位信息網絡安全的全局

性、完整性、有效性管理，構建針對信息網絡中的邊界安全、保密

安全、網站安全、應用安全、數(shù)據(jù)安全、基礎安全、運行安全等風

險的有效監(jiān)測、響應和防護的安全管理模型，滿足等級保護基本要

求，同時標準為相關生產廠商和測評機構在產品實現(xiàn)和評測提供技

術支持和一致性參考。

遠望信息與網絡安全管理技術支撐平臺是融業(yè)務管理（規(guī)范、組

織、培訓、服務）、工作流程、應急響應（預警、查處、通報、報告）

和安全技術應用（監(jiān)測、發(fā)現(xiàn)、處置）為一體的信息與網絡安全管理

平臺，能有效地幫助客戶建設全面的信息安全綜合保障體系，已受到

行業(yè)用戶普遍認可并有成功的大型項目實施經驗和良好的使用成效。

五、采用國際標準和國外先進標準的，說明采標程度，以及與國

內外同類標準水平的對比情況

據(jù)起草工作組查閱和掌握資料，目前我國上沒有關于信息網絡安

全管理技術支撐平臺技術要求相關的國家法規(guī)和標準。

六、作為推薦性標準或者強制性標準的建議及其理由

本標準以更好的指導政府和企事業(yè)單位信息系統(tǒng)的安全管理為

目的，不涉及到人和財產的安全，建議將本標準作為推薦性標準發(fā)布

實施。

七、貫徹標準的措施建議

為加強政府和企事業(yè)單位計算機網絡與信息安全，結合我國情況，

提出以下貫徹本標準的建議：1）主管部門通過舉辦培訓班、講座形

式進行信息與網絡安全宣貫幫助各級政府機構和企事業(yè)單位信息系

統(tǒng)安全管理人員和使用人員了解標準規(guī)定的安全管理的基本內容要

求，提高安全意識；2