信息安全技術(shù) 安全運(yùn)維系統(tǒng)技術(shù)規(guī)范-編制說明

上傳人：1*** IP屬地：浙江上傳時(shí)間：2024-06-24 格式：PDF 頁數(shù)：16 大小：431.07KB 積分：11 舉報(bào) 版權(quán)申訴

信息安全技術(shù) 安全運(yùn)維系統(tǒng)技術(shù)規(guī)范-編制說明_第2頁

信息安全技術(shù) 安全運(yùn)維系統(tǒng)技術(shù)規(guī)范-編制說明_第3頁

信息安全技術(shù) 安全運(yùn)維系統(tǒng)技術(shù)規(guī)范-編制說明_第4頁

信息安全技術(shù) 安全運(yùn)維系統(tǒng)技術(shù)規(guī)范-編制說明_第5頁

已閱讀5頁，還剩11頁未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會(huì)2022年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃，《信息安全

技術(shù)安全運(yùn)維系統(tǒng)技術(shù)規(guī)范》由上海辰銳信息科技公司負(fù)責(zé)承辦，計(jì)劃號(hào)：

20230260-T-469。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）歸口

管理。

1.2主要起草單位和工作組成員

《信息安全技術(shù)安全運(yùn)維系統(tǒng)技術(shù)規(guī)范》由上海辰銳信息科技公司牽頭制

定，參與起草單位包括：公安部第三研究所、中國科學(xué)院軟件研究所、華為技術(shù)

有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國家工業(yè)信息安全發(fā)展研究中心、

浙江齊治科技股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、奇安信網(wǎng)神信

息技術(shù)（北京）股份有限公司、北京神州綠盟科技有限公司、西安交大捷普網(wǎng)絡(luò)

科技有限公司、杭州中爾網(wǎng)絡(luò)科技有限公司、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司、

長楊科技（北京)股份有限公司、杭州安恒信息技術(shù)股份有限公司、北京時(shí)代新

威信息技術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、上海三零衛(wèi)士信息

安全有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、上海觀安信息技術(shù)股份有限

公司、廣東安創(chuàng)信息科技開發(fā)有限公司、北京神州綠盟科技有限公司、遠(yuǎn)江盛邦

（北京）網(wǎng)絡(luò)安全科技股份有限公司、藍(lán)盾信息安全技術(shù)股份有限公司、北京智

游網(wǎng)安科技有限公司、深信服科技股份有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中

心、北京信安世紀(jì)科技股份有限公司、河南中科安永科技有限公司、國網(wǎng)區(qū)塊鏈

科技（北京）有限公司、廣東省信息安全測評中心、國網(wǎng)新疆電力有限公司電力

科學(xué)研究院、廣電計(jì)量檢測集團(tuán)股份有限公司。

本文件主要起草人：張艷、鄒春明、胡津銘、沈亮、晏敏、王峰、申永波、

王沖華、于遨洋、安高峰、楊春鵬、周進(jìn)、何建鋒、葛方雋、張德保、趙華、田

麗丹、俞政臣、周瑞群、劉彪、鄢昱恒、謝江、鐘英南、周進(jìn)、劉強(qiáng)、韓云、劉

晨、馮燕飛、付軍、郭軍武、石竹玉、葉勁宏、加依達(dá)爾.金格斯、唐迪。

在編制本文件的過程中，起草單位的主要分工如下：上海辰銳信息科技公司

牽頭組織項(xiàng)目的修訂工作，制定修訂思路，組織召開項(xiàng)目評審，匯總各參與單位

的編制內(nèi)容、擬制項(xiàng)目編制說明、匯總意見匯總表等。參與起草的單位中，研發(fā)

生產(chǎn)和運(yùn)維服務(wù)廠商主要承擔(dān)應(yīng)用場景及運(yùn)維技術(shù)跟蹤、安全功能要求的編制及

應(yīng)用試點(diǎn)，以及推進(jìn)標(biāo)準(zhǔn)在產(chǎn)品研發(fā)中的應(yīng)用；檢測、認(rèn)證機(jī)構(gòu)主要負(fù)責(zé)安全保

障要求及測試評價(jià)方法的編制、測評方法的試點(diǎn)驗(yàn)證，以及推進(jìn)標(biāo)準(zhǔn)在認(rèn)證、檢

測中的應(yīng)用；科研院所機(jī)構(gòu)主要負(fù)責(zé)安全運(yùn)維技術(shù)發(fā)展跟蹤、自身安全功能要求

的編制，以及測評技術(shù)方法研究；咨詢服務(wù)機(jī)構(gòu)主要負(fù)責(zé)行業(yè)用戶需求的收集、

運(yùn)營企業(yè)側(cè)標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證，以及后續(xù)標(biāo)準(zhǔn)的宣傳、推廣。

1.3制定背景

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)環(huán)境變得日趨復(fù)雜，特別是重要信息系統(tǒng)和

關(guān)鍵信息基礎(chǔ)設(shè)施中的資產(chǎn)數(shù)量和類型均急劇增長。誤操作、違規(guī)運(yùn)維操作可能

會(huì)直接導(dǎo)致這些重要業(yè)務(wù)系統(tǒng)的宕機(jī)、數(shù)據(jù)丟失等風(fēng)險(xiǎn)，對安全運(yùn)維的規(guī)范化管

理已和外部安全防護(hù)同等重要。安全運(yùn)維系統(tǒng)已廣泛應(yīng)用于各行業(yè)信息化內(nèi)控管

理，隨著云、工控等應(yīng)用場景和安全產(chǎn)品的發(fā)展，運(yùn)維管理和審計(jì)的范疇和技術(shù)

形態(tài)都有了新的變化，云安全運(yùn)維、便攜式移動(dòng)運(yùn)維、工控運(yùn)維等新形態(tài)和新特

性不斷呈現(xiàn)。此外，近年來相關(guān)法律法規(guī)及行業(yè)規(guī)范對于系統(tǒng)的運(yùn)維管理提出了

諸多合規(guī)要求：網(wǎng)絡(luò)安全法對于網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)服務(wù)提供者提出了制定內(nèi)網(wǎng)操

作規(guī)程、持續(xù)提供安全維護(hù)、采取技術(shù)措施保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行、留存相關(guān)網(wǎng)

絡(luò)日志不少于六個(gè)月等安全保護(hù)義務(wù)；ISO27001標(biāo)準(zhǔn)中要求組織必須記錄用戶

訪問、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和

取證；國家網(wǎng)絡(luò)安全等級保護(hù)要求中對重要信息系統(tǒng)、云租戶業(yè)務(wù)應(yīng)用系統(tǒng)等保

護(hù)對象的集中身份認(rèn)證、運(yùn)維操作審計(jì)和細(xì)粒度的權(quán)限管控也提出了諸多要求。

安全運(yùn)維系統(tǒng)由于其安全功能屬性，成為系統(tǒng)的核心安全管控樞紐，存儲(chǔ)著資產(chǎn)

管理賬號(hào)、具備重要資源的訪問權(quán)限等，一旦其自身存在安全短板將會(huì)為重要信

息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施引入極大的安全風(fēng)險(xiǎn)。

因此，本標(biāo)準(zhǔn)的制定一方面支撐安全運(yùn)維系統(tǒng)的規(guī)范化管理，同時(shí)也緊密貼

合重要信息系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)維和資產(chǎn)內(nèi)控管理的合規(guī)性需求，為

等保和關(guān)基相關(guān)要求的技術(shù)實(shí)現(xiàn)規(guī)范化提供重要參考，降低運(yùn)維管理安全風(fēng)險(xiǎn)。

此外，2022年3月6日全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的“《關(guān)于發(fā)布

2022年度網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)需求的通知》（信安秘字〔2022〕47號(hào)）”中將《信

息安全技術(shù)安全運(yùn)維系統(tǒng)技術(shù)規(guī)范》列為支持的國家標(biāo)準(zhǔn)制定項(xiàng)目之一。

1.4起草過程

標(biāo)準(zhǔn)制定的主要工作過程如下：

（1）申報(bào)立項(xiàng)階段

2021年11月至2022年3月，成立了標(biāo)準(zhǔn)編制組，對安全運(yùn)維系統(tǒng)的產(chǎn)品

技術(shù)文檔、解決方案等材料進(jìn)行調(diào)研梳理，查閱有關(guān)資料，編寫標(biāo)準(zhǔn)編制提綱，

起草了標(biāo)準(zhǔn)草案初稿，形成了申報(bào)材料;

2022年4月，標(biāo)準(zhǔn)編制組在2022年信安標(biāo)委WG5第一次工作組會(huì)議上進(jìn)行

了立項(xiàng)匯報(bào)。

（2）草案階段

2022年4月，標(biāo)準(zhǔn)編制組根據(jù)工作組成員單位專家意見組織標(biāo)準(zhǔn)編制組討

論并修改了草案內(nèi)容；2022年5月至11月，標(biāo)準(zhǔn)編制組通過內(nèi)部研討、交流，

對標(biāo)準(zhǔn)草案文本進(jìn)行了進(jìn)一步的修改完善。

2022年12月7日，標(biāo)準(zhǔn)編制組在2022年信安標(biāo)準(zhǔn)周工作組會(huì)議上進(jìn)行了

標(biāo)準(zhǔn)草案的匯報(bào)，征集了成員單位專家代表的意見，并通過投票，同意修改后推

進(jìn)為征求意見稿。

（3）征求意見稿階段

標(biāo)準(zhǔn)編制組根據(jù)2022年12月7日會(huì)議周上專家代表的意見，于2022年12

月8日~2023年1月5日期間對標(biāo)準(zhǔn)草案文本進(jìn)行了多次編制組內(nèi)部的線上會(huì)議

討論、修改和完善，并提交責(zé)任專家和標(biāo)委會(huì)專家進(jìn)行審閱；標(biāo)準(zhǔn)編制組根據(jù)專

家意見進(jìn)行了進(jìn)一步修改，形成征求意見稿第一稿。

2023年2月3日，WG5工作組召開了專家研討會(huì)，對征求意見稿進(jìn)行了研討

并提出了修改意見，會(huì)后編制組根據(jù)專家意見進(jìn)行了修改完善，形成征求意見稿

第二稿。

2023年4月4日，信安標(biāo)委會(huì)秘書處召開了專家評審會(huì)，對征求意見稿進(jìn)

行了評審并提出了修改意見，會(huì)后編制組根據(jù)專家意見進(jìn)行了修改完善，并在編

制組內(nèi)部進(jìn)行了集中討論，最終形成征求意見稿第三稿。

2023年6月1日，在昆明召開的2023年第一次“標(biāo)準(zhǔn)周”會(huì)上，編制組代

表在WG5分會(huì)場上，面向全體與會(huì)人員、會(huì)員單位代表匯報(bào)了該標(biāo)準(zhǔn)的編制情況

以及標(biāo)準(zhǔn)內(nèi)容重點(diǎn)；會(huì)后，編制組對標(biāo)準(zhǔn)文稿再次進(jìn)行了審查，對部分文字表述

等進(jìn)行了修訂完善。

（4）試點(diǎn)驗(yàn)證階段

為提升標(biāo)準(zhǔn)質(zhì)量，檢驗(yàn)標(biāo)準(zhǔn)適用性和可操作性，全國信息安全標(biāo)準(zhǔn)化技術(shù)委

員會(huì)秘書處于2023年4月13日在北京組織召開了網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)試點(diǎn)工作部

署會(huì)。會(huì)后標(biāo)準(zhǔn)編制組依據(jù)《2023年度網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)試點(diǎn)工作方案》的工

作要求，征集了試點(diǎn)驗(yàn)證參與單位，并制定了試點(diǎn)工作方案。

WG5工作組于4月26日在線上組織召開了標(biāo)準(zhǔn)試點(diǎn)工作方案討論會(huì)。會(huì)后

標(biāo)準(zhǔn)編制組根據(jù)專家意見修改完善了試點(diǎn)工作方案，在編制組內(nèi)部進(jìn)行了宣貫，

明確了試點(diǎn)內(nèi)容、計(jì)劃及分工，自5月至6月開展了標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證工作。

二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)

2.1標(biāo)準(zhǔn)編制原則

為了使本標(biāo)準(zhǔn)與現(xiàn)有其他國家標(biāo)準(zhǔn)保持協(xié)調(diào)一致，本標(biāo)準(zhǔn)的制定參考了現(xiàn)行

的其他國家標(biāo)準(zhǔn)，主要有GB/T25066-2020、GB/T18336-2015、GB/T22239-2019、

GB/T36626-2018等。

本標(biāo)準(zhǔn)符合我國的實(shí)際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。具體原則與

要求如下：

1)實(shí)用性原則

標(biāo)準(zhǔn)必須是可用的，才有實(shí)際意義，本標(biāo)準(zhǔn)在制定過程中嚴(yán)格按照流程對產(chǎn)

品的現(xiàn)狀、技術(shù)等相關(guān)領(lǐng)域展開系統(tǒng)的、全面的調(diào)研工作，注重與相關(guān)產(chǎn)品生產(chǎn)

單位的交流，使得標(biāo)準(zhǔn)更貼近產(chǎn)品實(shí)際情況，保證操作性。

2)先進(jìn)性原則

標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗(yàn)的總結(jié)，同時(shí)也是技術(shù)的發(fā)展趨勢。要制定出先進(jìn)的國家標(biāo)

準(zhǔn)，必須廣泛了解市場上主流產(chǎn)品的功能，吸收其精華，制定出具有先進(jìn)水平的

標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫始終遵循這一原則。

3)兼容性原則

本標(biāo)準(zhǔn)既要與國際接軌，更要與我國現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)范等相一

致。編制組在對標(biāo)準(zhǔn)起草過程中始終遵循此原則，其內(nèi)容符合我國已經(jīng)發(fā)布的有

關(guān)政策、法律和法規(guī)。

2.2主要內(nèi)容及其確定依據(jù)

本項(xiàng)目標(biāo)準(zhǔn)規(guī)范的安全運(yùn)維系統(tǒng)，是針對系統(tǒng)內(nèi)控合規(guī)、降低運(yùn)維管理風(fēng)險(xiǎn)、

提升內(nèi)部風(fēng)險(xiǎn)控制水平等需求而形成的安全產(chǎn)品，為企業(yè)針對服務(wù)器、虛擬機(jī)、

網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等系統(tǒng)資產(chǎn)、云計(jì)算資源的安全運(yùn)維與審計(jì)提供集中的帳號(hào)、

授權(quán)、認(rèn)證和審計(jì)等管理服務(wù)。標(biāo)準(zhǔn)擬規(guī)范安全運(yùn)維系統(tǒng)的安全技術(shù)要求（安全

功能要求、自身安全要求、安全保障要求）和測試評價(jià)方法，適用于該類產(chǎn)品的

研發(fā)、采購、使用、維護(hù)、管理及檢測。

1)標(biāo)準(zhǔn)結(jié)構(gòu)

本標(biāo)準(zhǔn)的編寫格式和方法依照GB/T1.1-2020標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：

標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)則，主要結(jié)構(gòu)包括：

1.范圍

2.規(guī)范性引用文件

3.術(shù)語和定義

4.縮略語

5.概述

6.安全技術(shù)要求

7.測試評價(jià)方法

8.附錄A

2)范圍、規(guī)范性引用文件、術(shù)語和定義和縮略語

該部分定義了本標(biāo)準(zhǔn)適應(yīng)的范圍，所引用的其它標(biāo)準(zhǔn)情況及以何種方式引用，

術(shù)語和定義部分明確了該標(biāo)準(zhǔn)所涉及的一些術(shù)語。

在術(shù)語中明確了“安全運(yùn)維系統(tǒng)”、“運(yùn)維用戶”、“運(yùn)維對象”、“授權(quán)管理員”、

“運(yùn)維服務(wù)協(xié)議”等重要概念。

縮略語部分主要列出本標(biāo)準(zhǔn)中用的縮略語全稱及中文解釋。

3)概述

對安全運(yùn)維系統(tǒng)的安全目的、保護(hù)的對象以及安全技術(shù)要求分類及等級劃分

進(jìn)行了概要描述，對安全技術(shù)要求的分類、主要的指標(biāo)項(xiàng)、等級劃分的原則等進(jìn)

行了說明。

安全運(yùn)維系統(tǒng)為運(yùn)維用戶提供統(tǒng)一資源訪問入口，借助身份認(rèn)證接口實(shí)現(xiàn)對

運(yùn)維用戶的身份鑒別，對資產(chǎn)及其賬號(hào)等進(jìn)行集中管理和授權(quán)，監(jiān)控和審計(jì)運(yùn)維

操作過程，并對違規(guī)操作行為進(jìn)行報(bào)警、阻斷。該類產(chǎn)品保護(hù)的對象是服務(wù)器、

虛擬機(jī)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、數(shù)據(jù)庫、云平臺(tái)等信息系統(tǒng)重要資產(chǎn)。此外，安

全運(yùn)維系統(tǒng)本身及其內(nèi)部的重要數(shù)據(jù)也是受保護(hù)的對象。

本文件將安全運(yùn)維系統(tǒng)的安全技術(shù)要求分為安全功能要求、自身安全要求、

安全保障要求三類。本文件按照安全運(yùn)維系統(tǒng)安全功能要求強(qiáng)度劃分級別，按照

GB/T18336.3-2015劃分安全保障要求的級別。安全等級突出安全特性，分為基

本級和增強(qiáng)級，安全功能、自身安全強(qiáng)弱和安全保障要求高低是等級劃分的具體

依據(jù)。

此外說明了與基本級安全技術(shù)要求相比，本文件中增強(qiáng)級內(nèi)容有所增加或變

更的內(nèi)容在正文中通過“宋體加粗”表示。安全運(yùn)維系統(tǒng)的安全功能要求、自身

安全要求、安全保障要求應(yīng)符合GB42250-2022《信息安全技術(shù)網(wǎng)絡(luò)安全專用

產(chǎn)品安全技術(shù)要求》的相關(guān)要求。

另外，以表格形式對本標(biāo)準(zhǔn)中涉及的管理員及用戶角色進(jìn)行了詳細(xì)描述：

表1角色描述表

角色角色描述

通過安全運(yùn)維系統(tǒng)對信息資產(chǎn)進(jìn)行運(yùn)行維護(hù)和管理的用戶（人員或自動(dòng)

運(yùn)維用戶化運(yùn)維工具），通常以賬號(hào)作為用戶標(biāo)識(shí)，賬號(hào)由安全運(yùn)維系統(tǒng)進(jìn)行管

理

受安全運(yùn)維系統(tǒng)保護(hù)的信息資產(chǎn)的各類管理賬戶，該賬戶由受保護(hù)的信

管理賬戶

息資產(chǎn)進(jìn)行維護(hù)，運(yùn)維用戶登錄安全運(yùn)維系統(tǒng)后通過該賬戶對受保護(hù)的

（運(yùn)維對象）

信息資產(chǎn)進(jìn)行運(yùn)維和管理

對安全運(yùn)維系統(tǒng)進(jìn)行維護(hù)和管理的用戶角色，包括操作員、安全員、審

管理員

計(jì)員或其他自定義角色，通常不具備受保護(hù)資產(chǎn)的運(yùn)維管理權(quán)限

管理員角色的一種，具有系統(tǒng)配置管理權(quán)限，如產(chǎn)品IP地址、運(yùn)維用戶、

操作員

運(yùn)維對象管理等

安全員管理員角色的一種，具有安全管理權(quán)限，如訪問控制策略管理等

管理員角色的一種，具有審計(jì)管理權(quán)限，如審計(jì)日志的查閱、分析、管

審計(jì)員

理等

4)安全技術(shù)要求

安全技術(shù)要求分為安全功能要求、自身安全要求、安全保障要求三類。其中，

安全功能要求是對安全運(yùn)維系統(tǒng)應(yīng)具備的安全功能提出具體要求，包括運(yùn)維用戶

管理、運(yùn)維對象管理、運(yùn)維服務(wù)協(xié)議支持、運(yùn)維訪問控制、告警、遠(yuǎn)程訪問加密、

運(yùn)維審計(jì)、運(yùn)維會(huì)話管理、高可用性、設(shè)備虛擬化、IPv6支持等；自身安全要

求是對安全運(yùn)維系統(tǒng)的自身安全保護(hù)提出具體要求，包括標(biāo)識(shí)與鑒別、安全管理、

審計(jì)日志等；安全保障要求針對安全運(yùn)維系統(tǒng)的開發(fā)和使用文檔的內(nèi)容提出具體

的要求，例如開發(fā)、指導(dǎo)性文檔、生命周期支持、測試和脆弱性評定等。

5)測試評價(jià)方法

本文件針對安全運(yùn)維系統(tǒng)的安全技術(shù)要求提出對應(yīng)的測試評價(jià)方法，為使用

本文件的人員提供一個(gè)測試評價(jià)安全運(yùn)維系統(tǒng)的技術(shù)準(zhǔn)則。

測評方法部分包括了安全功能要求測評、自身安全要求測評、安全保障要求

測評等，其內(nèi)容是針對安全技術(shù)要求中的基本級安全要求和增強(qiáng)級安全要求逐項(xiàng)

制定的測試評價(jià)方法，可用于指導(dǎo)和規(guī)范安全運(yùn)維系統(tǒng)的檢測工作。

6)附錄A

針對安全運(yùn)維系統(tǒng)的典型應(yīng)用場景、部署方式進(jìn)行了描述。

2.3修訂前后技術(shù)內(nèi)容的對比[僅適用于國家標(biāo)準(zhǔn)修訂項(xiàng)目]

標(biāo)準(zhǔn)制定項(xiàng)目，不涉及。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

3.1試驗(yàn)驗(yàn)證的分析、綜述報(bào)告

為了更全面地了解企業(yè)在攻擊面管理上的現(xiàn)狀以及所面臨的困難與挑戰(zhàn)，

Randori與ESG日前開展了一項(xiàng)調(diào)查，對398位企業(yè)安全團(tuán)隊(duì)負(fù)責(zé)人進(jìn)行了訪談

和調(diào)研，并發(fā)布了《2022年攻擊面管理現(xiàn)狀報(bào)告》，報(bào)告數(shù)據(jù)顯示：67%的受訪

組織表示，他們的外部攻擊面在過去12個(gè)月中擴(kuò)大了；69%的組織因未知、未受

管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)而受到威脅。報(bào)告調(diào)研發(fā)現(xiàn)，在過去一年中，

隨著遠(yuǎn)程辦公人員數(shù)量、云解決方案和SaaS應(yīng)用程序使用量的不斷增加，企業(yè)

組織的外部攻擊面進(jìn)一步擴(kuò)大。近幾年運(yùn)維安全事故的不斷發(fā)生讓越來越多的政

企客戶意識(shí)到組織內(nèi)部人員以及第三方運(yùn)維人員的違規(guī)操作將給組織帶來巨大

的甚至難以逆轉(zhuǎn)的經(jīng)濟(jì)利益損失，政企運(yùn)維過程中的安全也成為了近兩年眾多客

戶所關(guān)注的重點(diǎn)領(lǐng)域，安全運(yùn)維管理市場呈現(xiàn)強(qiáng)勢發(fā)展的態(tài)勢。

在《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、“等

保2.0”以及各行業(yè)規(guī)范的推動(dòng)下，安全運(yùn)維系統(tǒng)的應(yīng)用市場迎來了新的發(fā)展機(jī)

遇，市場規(guī)模整體呈持續(xù)增長趨勢。2022年3月31日，安全牛發(fā)布了行業(yè)廣泛

關(guān)注的《中國網(wǎng)絡(luò)安全行業(yè)全景圖（第九版）》，涉及二級細(xì)分領(lǐng)域2609項(xiàng)。其

中，堡壘機(jī)位列收錄企業(yè)數(shù)量最多的細(xì)分領(lǐng)域TOP10。

經(jīng)調(diào)研近兩年內(nèi)國內(nèi)安全運(yùn)維系統(tǒng)相關(guān)的產(chǎn)品近300款，涉及230余家不同

廠商，包括華為、騰訊、阿里云、安恒、齊治科技、天融信、奇安信、360、杭

州美創(chuàng)、華軟金盾、山東兆物、西安交大捷普、網(wǎng)神、格爾軟件、安天、山石網(wǎng)

科、神州綠盟、啟明星辰、網(wǎng)御星云等等安全廠商。

3.2技術(shù)經(jīng)濟(jì)論證

本標(biāo)準(zhǔn)的實(shí)施將有助于為國內(nèi)相關(guān)研發(fā)廠商、安全運(yùn)維系統(tǒng)部署單位和檢驗(yàn)

檢測機(jī)構(gòu)的測評工作提供支持，確保要求、方法的一致性，提高測評的準(zhǔn)確性、

規(guī)范性、公平性，產(chǎn)品的合規(guī)性，以及重要信息系統(tǒng)安全運(yùn)維保障能力，從而降

低第三方測評機(jī)構(gòu)的測評開銷和企業(yè)自身的合規(guī)投入。

3.3預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益

根據(jù)中共中央、國務(wù)院印發(fā)的《國家標(biāo)準(zhǔn)化發(fā)展綱要》中的要求，強(qiáng)化標(biāo)準(zhǔn)

實(shí)施應(yīng)用。為此，本項(xiàng)目將遵循國家“完善認(rèn)證認(rèn)可、檢驗(yàn)檢測、政府采購、招

投標(biāo)等活動(dòng)中應(yīng)用先進(jìn)標(biāo)準(zhǔn)機(jī)制，推進(jìn)以標(biāo)準(zhǔn)為依據(jù)開展宏觀調(diào)控、產(chǎn)業(yè)推進(jìn)、

行業(yè)管理、市場準(zhǔn)入和質(zhì)量監(jiān)管”的思路，結(jié)合牽頭單位和參與單位的優(yōu)勢，開

展標(biāo)準(zhǔn)的實(shí)施應(yīng)用。

本標(biāo)準(zhǔn)的制定一方面支撐安全運(yùn)維系統(tǒng)的規(guī)范化管理，同時(shí)也緊密貼合重要

信息系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)維和資產(chǎn)內(nèi)控管理的合規(guī)性需求，為等保和

關(guān)基相關(guān)要求的技術(shù)實(shí)現(xiàn)規(guī)范化提供重要參考，降低運(yùn)維管理安全風(fēng)險(xiǎn)。

標(biāo)準(zhǔn)的適用對象包括安全運(yùn)維系統(tǒng)的生產(chǎn)廠商、部署安全運(yùn)維系統(tǒng)的系統(tǒng)運(yùn)

營單位、網(wǎng)絡(luò)安全主管部門以及進(jìn)行安全檢測評估的檢驗(yàn)檢測機(jī)構(gòu)。

本項(xiàng)目標(biāo)準(zhǔn)發(fā)布后，首先，能夠指導(dǎo)產(chǎn)品的生產(chǎn)廠商對產(chǎn)品進(jìn)行研發(fā)、生產(chǎn)

和銷售；其次、能夠指導(dǎo)檢測認(rèn)證機(jī)構(gòu)對該類型產(chǎn)品進(jìn)行測評認(rèn)證工作，標(biāo)準(zhǔn)可

應(yīng)用于幾乎所有的網(wǎng)絡(luò)安全專用產(chǎn)品管理領(lǐng)域；此外，還能夠?qū)τ脩魡挝坏膽?yīng)用

部署進(jìn)行有效指導(dǎo)，形成部署方案并落地，滿足等級保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保

護(hù)等相關(guān)法律法規(guī)的合規(guī)性要求。

四、與國際、國外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、

樣機(jī)的有關(guān)數(shù)據(jù)對比情況

目前國際上無相關(guān)標(biāo)準(zhǔn)。

五、以國際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外

標(biāo)準(zhǔn)，并說明未采用國際標(biāo)準(zhǔn)的原因

未采用國際標(biāo)準(zhǔn)。

六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)不存在沖突與矛盾，且與《中華人民

共和國網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級保護(hù)等合規(guī)性要求保持一致：

《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制

度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，

保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、

篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)

絡(luò)安全保護(hù)責(zé)任；（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措

施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。

網(wǎng)絡(luò)安全等級保護(hù)基本要求在技術(shù)層面對安全運(yùn)維提出了身份鑒別、訪問控

制、操作審計(jì)等相關(guān)要求；在安全管理層面提出了系統(tǒng)運(yùn)維管理、安全管理制度、

安全事件處置等的相關(guān)要求。

ISO27001標(biāo)準(zhǔn)中要求組織必須記錄用戶訪問、意外和信息安全事件的日志，

并保留一定期限，以便為安全事件的調(diào)查和取證。

相關(guān)的國家標(biāo)準(zhǔn)有GB/T36626-2018《信息安全技術(shù)信息系統(tǒng)安全運(yùn)維管

理指南》、GB/T34990-2017《信息安全技術(shù)信息系統(tǒng)安全管理平臺(tái)技術(shù)要求和測

試評價(jià)方法》，但上述標(biāo)準(zhǔn)與本項(xiàng)目擬制定標(biāo)準(zhǔn)存在較大差異：

1）從適用的對象和范圍來說：GB/T36626-2018是為信息系統(tǒng)運(yùn)營者針對

信息系統(tǒng)安全運(yùn)維管理體系的建設(shè)提出指導(dǎo)；GB/T34990-2017中規(guī)范的對象是

安全管理平臺(tái)，是基于等保要求對信息系統(tǒng)安全機(jī)制進(jìn)行集中管理的平臺(tái)，管理

對象是管理對象是計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)。而本項(xiàng)目標(biāo)準(zhǔn)規(guī)范的對象是

針對內(nèi)控合規(guī)、降低運(yùn)維管理風(fēng)險(xiǎn)、提升內(nèi)部風(fēng)險(xiǎn)控制水平等需求而形成的安全

產(chǎn)品，并覆蓋傳統(tǒng)信息系統(tǒng)以及云、工控等應(yīng)用場景，是對系統(tǒng)重要IT資產(chǎn)（服

務(wù)器、虛擬機(jī)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、數(shù)據(jù)庫、應(yīng)用等）的運(yùn)維過程實(shí)現(xiàn)集中鑒

別、接入控制、授權(quán)、管理、操作審計(jì)和違規(guī)阻斷。

2）從標(biāo)準(zhǔn)主要內(nèi)容來看：GB/T36626-2018主要規(guī)范了安全運(yùn)維策略、組

織、規(guī)程和支撐系統(tǒng)等方面相關(guān)活動(dòng)的目的、要求和實(shí)施指南；GB/T34990-2017

提出了安全管理平臺(tái)的安全技術(shù)要求和測評方法。而本項(xiàng)目標(biāo)準(zhǔn)擬從規(guī)范運(yùn)維管

理與審計(jì)系統(tǒng)的角度提出產(chǎn)品需符合的安全技術(shù)要求和相應(yīng)的測試評價(jià)方法，從

而為運(yùn)維管理與審計(jì)系統(tǒng)的研發(fā)、生產(chǎn)、測試等提供指導(dǎo)和參考。

因此，從解決的問題來看，本項(xiàng)目擬制定的標(biāo)準(zhǔn)一方面支撐運(yùn)維管理與審計(jì)

系統(tǒng)的規(guī)范化管理，同時(shí)也緊密貼合重要信息系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)維

和資產(chǎn)內(nèi)控管理的合規(guī)性需求，為等保和關(guān)基相關(guān)要求的技術(shù)實(shí)現(xiàn)規(guī)范化提供重

要參考，降低運(yùn)維管理安全風(fēng)險(xiǎn)。而GB/T36626-2018旨在指導(dǎo)運(yùn)營者如何開展

信息系統(tǒng)安全運(yùn)維管理體系的建立和運(yùn)行等相關(guān)活動(dòng)，GB/T34990-2017規(guī)范了

安全管理平臺(tái)對安全策略的統(tǒng)一管理和執(zhí)行流程的技術(shù)實(shí)現(xiàn)，兩者均不涉及針對

運(yùn)維管理與審計(jì)系統(tǒng)的規(guī)范化安全技術(shù)要求和測試評價(jià)方法，與本項(xiàng)目標(biāo)準(zhǔn)制定

的出發(fā)點(diǎn)、規(guī)范的對象、內(nèi)容側(cè)重點(diǎn)等各方面均有明顯區(qū)別。

七、重大分歧意見的處理經(jīng)過和依據(jù)

無。

八、涉及專利的有關(guān)說明

本標(biāo)準(zhǔn)不涉及專利。

九、實(shí)施國家標(biāo)準(zhǔn)的要求，以及組織措施、技術(shù)措施、過渡期和實(shí)施日期

的建議等措施建議

本標(biāo)準(zhǔn)為生產(chǎn)、測試和評估安全運(yùn)維系統(tǒng)產(chǎn)品提供指導(dǎo)性意見，建議將本標(biāo)

準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)在全國實(shí)施。

十、其他應(yīng)當(dāng)說明的事項(xiàng)

無。

國家標(biāo)準(zhǔn)《信息安全技術(shù)安全運(yùn)維系統(tǒng)技術(shù)規(guī)范》編制工作組

2023年6月8日