《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求-編制說(shuō)明》

（一）標(biāo)準(zhǔn)制定背景及任務(wù)來(lái)源

安全管理中心是對(duì)信息系統(tǒng)的安全策略及安全計(jì)算環(huán)境、安全區(qū)域邊界和安

全通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)，是信息系統(tǒng)安全防御體系的重要

組成部分，涉及系統(tǒng)管理、安全管理、審計(jì)管理等各個(gè)方面。

隨著信息安全問(wèn)題的日益突出，安全管理理論與技術(shù)的不斷發(fā)展，在推動(dòng)等

級(jí)保護(hù)工作的過(guò)程中，安全管理中心已成為各方關(guān)注的焦點(diǎn)。此時(shí)，GB/T22239

—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》和GB/T25070—2010

《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》中對(duì)安全管理中心的概

括性描述已經(jīng)難以滿足相關(guān)產(chǎn)品和系統(tǒng)建設(shè)的指導(dǎo)需求，迫切需要制定一個(gè)具體

的針對(duì)安全管理中心的技術(shù)要求來(lái)規(guī)范此項(xiàng)工作。

通過(guò)本項(xiàng)目的研究，形成《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心

技術(shù)要求》標(biāo)準(zhǔn)，為安全管理中心類產(chǎn)品和系統(tǒng)的開(kāi)發(fā)、建設(shè)提供標(biāo)準(zhǔn)要求，為

網(wǎng)絡(luò)信息安全等級(jí)保護(hù)測(cè)評(píng)工作和信息系統(tǒng)安全按建設(shè)工作的開(kāi)展提供理論指

導(dǎo)，進(jìn)一步完善網(wǎng)絡(luò)信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)評(píng)價(jià)體系，推動(dòng)國(guó)家信息安全等級(jí)保

護(hù)工作的開(kāi)展。

本標(biāo)準(zhǔn)是全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)2013年9月下達(dá)的（計(jì)劃編號(hào)

2013bzzd-WG5-007），并由中國(guó)電子科技集團(tuán)公司第十五研究所牽頭，由公安部

信息安全等級(jí)保護(hù)評(píng)估中心、網(wǎng)神信息技術(shù)（北京）股份有限公司共同參與承擔(dān)

的國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目。

（二）主要工作過(guò)程

（1）2012年11月成立安全管理中心技術(shù)要求編寫(xiě)小組；

（2）2012年11月-12月，編寫(xiě)小組組織公安一所、公安三所、網(wǎng)神、中

軟華泰、安恒、天融信等技術(shù)專家，對(duì)國(guó)內(nèi)主流安全廠商的產(chǎn)品進(jìn)行

調(diào)研和分析，并依據(jù)GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安

全等級(jí)保護(hù)基本要求》、GB/T25070—2010《信息安全技術(shù)信息系統(tǒng)

等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》、MSTL_JGF_04-0190101--2006《信息

安全技術(shù)安全管理平臺(tái)產(chǎn)品檢驗(yàn)規(guī)范》和GB/T18336-2008《信息

技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》等標(biāo)準(zhǔn)，于2012年12

1

月，確定了安全管理中心的形態(tài)、總體結(jié)構(gòu)和技術(shù)框架；

（3）2013年1月，完成“網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求”（討

論稿）的起草；

（4）2013年1月-2013年3月，多次組織相關(guān)專家和技術(shù)人員召開(kāi)了安全

管理中心技術(shù)要求研討會(huì)，對(duì)技術(shù)要求進(jìn)行了討論，采納了定義、適

用范圍、術(shù)語(yǔ)等相關(guān)建議，明確了功能要求、接口要求、自身安全要

求等技術(shù)要求內(nèi)容，并根據(jù)各方反饋意見(jiàn)對(duì)技術(shù)要求內(nèi)容進(jìn)行了梳理

和修改，形成草案，并向安標(biāo)委申請(qǐng)立項(xiàng)；

（5）2013年4月-2014年3月，結(jié)合多輪廠商意見(jiàn)和領(lǐng)域?qū)＜乙庖?jiàn)，對(duì)標(biāo)

準(zhǔn)草案進(jìn)行持續(xù)完善，細(xì)化了分級(jí)的具體要求；

（6）2014年4月-2014年6月，前往湖北武漢，以湖北地稅業(yè)務(wù)網(wǎng)系統(tǒng)的

安全管理中心作為被測(cè)對(duì)象，開(kāi)展標(biāo)準(zhǔn)可行性驗(yàn)證測(cè)試，編制了《網(wǎng)

絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求安全標(biāo)準(zhǔn)驗(yàn)證測(cè)評(píng)報(bào)告》，并

根據(jù)現(xiàn)場(chǎng)測(cè)試標(biāo)準(zhǔn)執(zhí)行情況對(duì)草案進(jìn)行修訂；

（7）2014年7月16日，通過(guò)了安標(biāo)委組織的中期檢查，針對(duì)專家提出的

意見(jiàn)進(jìn)行了修改；

（8）2015年5月-6月，多次內(nèi)外部討論修訂，在安全管理中心的咨詢過(guò)

程中也繼續(xù)征求多方意見(jiàn)；

（9）2016年8月，通過(guò)安標(biāo)委組織的進(jìn)一步意見(jiàn)征求，針對(duì)收集到的意

見(jiàn)進(jìn)行討論和修訂；

（10）2016年9月，原信息安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)已申請(qǐng)變更為“網(wǎng)絡(luò)安

全等級(jí)保護(hù)”標(biāo)準(zhǔn)，為了更加契合等級(jí)保護(hù)國(guó)標(biāo)的體系，且該標(biāo)準(zhǔn)屬

于等級(jí)保護(hù)系列標(biāo)準(zhǔn)之一，故申請(qǐng)變更名稱為“信息安全技術(shù)網(wǎng)絡(luò)

安全等級(jí)保護(hù)安全管理中心技術(shù)要求”。

（三）標(biāo)準(zhǔn)編制原則和主要技術(shù)內(nèi)容確定的依據(jù)

1.制定原則

為使技術(shù)要求能夠滿足科學(xué)、規(guī)范地指導(dǎo)相關(guān)單位設(shè)計(jì)、研發(fā)、配置和使用

所需要的安全等級(jí)的安全管理中心，引導(dǎo)產(chǎn)業(yè)技術(shù)發(fā)展，推動(dòng)安全等級(jí)保護(hù)工作

開(kāi)展，確保安全管理中心的功能要求、接口要求、自身安全性等方面符合要求，

以及良好的可用性，在技術(shù)要求制定過(guò)程中，主要遵循了如下幾個(gè)原則：

2

（1）符合國(guó)家的有關(guān)政策法規(guī)要求；

（2）與已頒布實(shí)施的相關(guān)標(biāo)準(zhǔn)相協(xié)調(diào)；

（3）充分考慮我國(guó)安全管理中心產(chǎn)品生產(chǎn)企業(yè)的發(fā)展水平；

（4）基本覆蓋目前市場(chǎng)上主要的安全管理中心產(chǎn)品類型；

（5）適度考慮目前處于發(fā)展成熟過(guò)程中的技術(shù)，保持一定的前瞻性。

2.確定主要內(nèi)容的依據(jù)

主要內(nèi)容的確定基于如下幾個(gè)方面：

（1）以GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要

求》和GB/T25070—2010《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)

計(jì)技術(shù)要求》對(duì)安全管理中心的描述為總體要求，按照等級(jí)化原則，

結(jié)合IPv4向IPv6過(guò)渡的應(yīng)用環(huán)境，按照等級(jí)保護(hù)的不同級(jí)別研究不

同技術(shù)要求，逐級(jí)擴(kuò)大和加強(qiáng)安全管理中心技術(shù)要求范圍和強(qiáng)度，制

定出具有針對(duì)性的、可執(zhí)行強(qiáng)的控制點(diǎn)和要求項(xiàng)；

（2）以MSTL_JGF_04-0190101--2006《信息安全技術(shù)安全管理平臺(tái)產(chǎn)品

檢驗(yàn)規(guī)范》和GB/T18336-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全

性評(píng)估準(zhǔn)則第2部分：安全功能要求》中的部分內(nèi)容作為安全管理

中心功能要求和安全要求的參考，結(jié)合安全管理中心技術(shù)特點(diǎn)進(jìn)行細(xì)

化；

（3）通過(guò)對(duì)網(wǎng)神、天融信、安恒、中軟華泰、H3C等主要安全管理中心產(chǎn)

品生產(chǎn)廠家的相關(guān)產(chǎn)品研究和分析，總結(jié)了安全管理中心的內(nèi)涵、主

要技術(shù)特點(diǎn)和共性特征，形成了功能要求、接口要求、自身安全性要

求等技術(shù)指標(biāo)。

（四）主要條款的說(shuō)明，主要技術(shù)指標(biāo)、參數(shù)、實(shí)驗(yàn)驗(yàn)證的論述

本標(biāo)準(zhǔn)草案規(guī)定了對(duì)基本級(jí)和增強(qiáng)級(jí)的安全管理中心的技術(shù)要求，基本級(jí)要

求包括16個(gè)安全類，40個(gè)控制點(diǎn)，125個(gè)要求項(xiàng)，增強(qiáng)級(jí)要求包括25個(gè)安全類，

44個(gè)控制點(diǎn)，157個(gè)要求項(xiàng)。

本規(guī)范參照GB/T1.1-2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫(xiě)

規(guī)則》進(jìn)行編制。規(guī)范的主要結(jié)構(gòu)和內(nèi)容如下：

5基本級(jí)安全管理中心技術(shù)要求

5.1功能要求

3

5.1.1系統(tǒng)管理要求

5.1.1.1用戶身份管理

5.1.1.2數(shù)據(jù)保護(hù)

5.1.1.3安全事件管理

5.1.1.4風(fēng)險(xiǎn)管理

5.1.1.5資源監(jiān)控

5.1.2安全管理要求

5.1.2.1安全標(biāo)記

5.1.2.2授權(quán)管理

5.1.2.3設(shè)備策略管理

5.1.3審計(jì)管理要求

5.1.3.1審計(jì)策略集中管理

5.1.3.2審計(jì)數(shù)據(jù)集中管理

5.2接口要求

5.2.1接口協(xié)議要求

5.2.2接口安全要求

5.3自身安全性要求

5.3.1身份鑒別

5.3.2訪問(wèn)控制

5.3.3安全審計(jì)

5.3.4剩余信息保護(hù)

5.3.5通信完整性

5.3.6通信保密性

5.3.7抗抵賴

5.3.8軟件容錯(cuò)

5.3.9資源控制

5.3.10入侵防范

5.3.11數(shù)據(jù)安全

6增強(qiáng)級(jí)安全管理中心技術(shù)要求

6.1功能要求

4

6.1.1系統(tǒng)管理要求

6.1.1.1用戶身份管理

6.1.1.2數(shù)據(jù)保護(hù)

6.1.1.3安全事件管理

6.1.1.4風(fēng)險(xiǎn)管理

6.1.1.5資源監(jiān)控

6.1.2安全管理要求

6.1.2.1安全標(biāo)記

6.1.2.2授權(quán)管理

6.1.2.3設(shè)備策略管理

6.1.3審計(jì)管理要求

6.1.3.1審計(jì)策略集中管理

6.1.3.2審計(jì)數(shù)據(jù)集中管理

6.2接口要求

6.2.1接口協(xié)議要求

6.2.2接口安全要求

6.3自身安全性要求

6.3.1身份鑒別

6.3.2安全標(biāo)記

6.3.3訪問(wèn)控制

6.3.4可信路徑

6.3.5安全審計(jì)

6.3.6剩余信息保護(hù)

6.3.7通信完整性

6.3.8通信保密性

6.3.9抗抵賴

6.3.10軟件容錯(cuò)

6.3.11資源控制

6.3.12入侵防范

6.3.13數(shù)據(jù)安全

5

附錄A（資料性附錄）安全管理中心與信息系統(tǒng)等級(jí)對(duì)應(yīng)關(guān)系

附錄B（資料性附錄）歸一化安全事件屬性

通過(guò)組織技術(shù)研討會(huì)，對(duì)技術(shù)要求的合理性、科學(xué)性、可行性等進(jìn)行了多次

論證、研討，并根據(jù)各方反饋意見(jiàn)進(jìn)行了多次修訂、完善。

以湖北省地稅局業(yè)務(wù)網(wǎng)系統(tǒng)中的安全管理中心作為被測(cè)對(duì)象，開(kāi)展了標(biāo)準(zhǔn)草

案可行性驗(yàn)證測(cè)試，編制了標(biāo)準(zhǔn)驗(yàn)證測(cè)試報(bào)告，根據(jù)測(cè)試執(zhí)行情況對(duì)標(biāo)準(zhǔn)條款要

求進(jìn)行了修訂。

（五）與現(xiàn)行法律法規(guī)和強(qiáng)制性標(biāo)準(zhǔn)的關(guān)系

本技術(shù)要求的制定符合國(guó)家現(xiàn)行法律法規(guī)的規(guī)定。

本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一。

與本標(biāo)準(zhǔn)相關(guān)的系列標(biāo)準(zhǔn)包括：

——GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》；

——GB/T25070—2010《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要

求》。

本標(biāo)準(zhǔn)與GB17859-1999、GB/T22239-2008、GB/T25070-2010、GB/T

20270-2006等標(biāo)準(zhǔn)共同構(gòu)成了網(wǎng)絡(luò)安全等級(jí)保護(hù)的相關(guān)配套標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)是對(duì)

GB/T22239-2008和GB/T25070-2010提出的安全管理中心的相關(guān)技術(shù)要求的細(xì)

化。

本標(biāo)準(zhǔn)編制依據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《GB/T1.1-2009標(biāo)準(zhǔn)化工作

導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫(xiě)》的相關(guān)要求。

（六）重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)

本次安全管理中心技術(shù)要求制定過(guò)程中沒(méi)有重大分歧意見(jiàn)。

（七）標(biāo)準(zhǔn)作為強(qiáng)制性或推薦性標(biāo)準(zhǔn)發(fā)布的意見(jiàn)

本標(biāo)準(zhǔn)是信息安全等級(jí)保護(hù)相關(guān)系列標(biāo)準(zhǔn)之一，建議作為推薦性標(biāo)準(zhǔn)發(fā)布，

與等級(jí)保護(hù)標(biāo)準(zhǔn)體系保持一致。

（八）貫徹標(biāo)準(zhǔn)的要求和措施建議

1、建議國(guó)家各部委及行業(yè)主管部門(mén)將信息系統(tǒng)安全管理中心的建設(shè)作為各

6

領(lǐng)域和行業(yè)推動(dòng)信息安全等級(jí)保護(hù)工作的