《信息安全技術(shù) 網(wǎng)絡(luò)安全監(jiān)測基本要求與實施指南-編制說明》

一．工作簡要過程

1、任務(wù)來源

本任務(wù)來自全國信息安全標準化技術(shù)委員會，由全國信息安全標準化技術(shù)委

員會WG5工作組負責(zé)管理。

該任務(wù)列入國家標準化管理委員會2014年國家標準制修訂計劃，計劃編號為：

20141144—T—469，標準原名稱為《信息安全技術(shù)網(wǎng)絡(luò)安全自監(jiān)測要求與實施

指南》，后經(jīng)多輪征求意見多位專家提出更名建議，2016年8月25日WG5工作組

召開在研標準推進會討論和審議通過決議，同意將本標準更名為《信息安全技術(shù)

網(wǎng)絡(luò)安全監(jiān)測基本要求與實施指南》。

2、起草單位與起草組

任務(wù)承擔單位：國家信息中心。

任務(wù)參加單位：國家信息技術(shù)安全研究中心、北京啟明星辰信息技術(shù)股份有

限公司、北京天融信科技股份有限公司、東軟集團股份有限公司、亞信科技（成

都）有限公司。

該標準工作組由國家信息中心周民、羅海寧、焦迪、任飛等，國家信息技

術(shù)安全研究中心劉增益、北京啟明星辰信息技術(shù)股份有限公司曾輝等、北京天融

信科技股份有限公司張銳卿、東軟集團股份有限公司、亞信科技（成都）有限公

司吳大明等成員共同參與起草，其中周民同志為項目負責(zé)人，羅海寧同志為本標

準編制主持人及牽頭起草人。

3、簡要過程

2013年12月工信部下達標準編制任務(wù)后，國家信息中心經(jīng)過與聯(lián)合起草

單位溝通，籌建標準編制組，并啟動調(diào)研工作，2014年5月啟動編制工作，2015

年7月，標準草案經(jīng)專家組初步審查通過并完成修訂工作。2016年8月經(jīng)過兩

輪專家審議，并在WG5全體成員參加的在研標準推進大會上通過標準審查，形

成決議，由草案轉(zhuǎn)為征求意見稿。

二．標準編制原則和依據(jù)

1、本規(guī)范的編制原則是：

（1）符合性

遵循我國有關(guān)法律、法規(guī)、國家標準和國密局相關(guān)的規(guī)定和技術(shù)規(guī)范。

（2）安全性

圍繞已經(jīng)發(fā)布國家標準明確的安全事件分類分級原則、安全風(fēng)險評估框架以

及等級保護安全性考量因素綜合設(shè)計安全監(jiān)測體系。

（3）指導(dǎo)性

具備從監(jiān)測基本框架構(gòu)成到監(jiān)測措施建立與維護流程，具有很強的指導(dǎo)性。

（4）實用性

適用于不同行業(yè)的應(yīng)用場景，對構(gòu)建網(wǎng)絡(luò)安全監(jiān)測平臺或系統(tǒng)具有實用價值。

2、本標準主要以已發(fā)布標準以及國家電子政務(wù)外網(wǎng)安全標準工作實踐為參

考依據(jù)，重點參考的國家標準為：

GB/T1.1-2009標準化工作導(dǎo)則第1部分：標準的結(jié)構(gòu)和編寫

GB/T18030信息技術(shù)中文編碼字符集

GB/T20984信息安全技術(shù)信息安全風(fēng)險評估規(guī)范

GB/T20985信息技術(shù)安全技術(shù)信息安全事件管理指南

GB/Z20986信息安全技術(shù)信息安全事件分類分級指南

GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求

GB/T25069信息安全技術(shù)術(shù)語

GB/T28458信息安全技術(shù)安全漏洞標識與描述規(guī)范

GW0204-2014國家電子政務(wù)外網(wǎng)安全管理系統(tǒng)技術(shù)要求與接口規(guī)范

三、主要驗證分析和技術(shù)經(jīng)濟論證

本標準是基于國家電子政務(wù)外網(wǎng)全國基礎(chǔ)實踐提出的，實施流程已經(jīng)基于

國家電子政務(wù)外網(wǎng)安全管理平臺在中央節(jié)點面向多部委應(yīng)用以及湖南、新疆等多

個?。ê糠值厥校?yīng)用進行驗證。

本標準主要內(nèi)容包括網(wǎng)絡(luò)安全監(jiān)測框架、基礎(chǔ)支撐環(huán)境、建設(shè)和運維，提

2

出了網(wǎng)絡(luò)安全監(jiān)測活動主體、對象和內(nèi)容以及技術(shù)功能框架，同時給出了建設(shè)和

運維實施指南。

標準適用于指導(dǎo)信息系統(tǒng)建設(shè)運維單位、安全廠商、安全服務(wù)機構(gòu)開展安

全監(jiān)測體系規(guī)劃設(shè)計、建設(shè)實施等具體工作，也可為各類安全監(jiān)測系統(tǒng)產(chǎn)品開發(fā)

提供參考。

本標準的制定也給相關(guān)產(chǎn)業(yè)參與企業(yè)提供了具體而明確的產(chǎn)品應(yīng)用方向，

為具有類似需求的用戶提出了采購和使用該類產(chǎn)品的正確選型方法，能夠具有顯

著的經(jīng)濟效果。

四、與國內(nèi)外同類標準水平的對比與協(xié)調(diào)

與相關(guān)標準的關(guān)系與定位：

——采用GB/T1.1-2009標準化工作導(dǎo)則第1部分：標準的結(jié)構(gòu)和編寫

以此為標準結(jié)構(gòu)，編制標準文本；

——GB/T18030信息技術(shù)中文編碼字符集

標準文本編寫遵從此字符集要求；

——GB/T20984信息安全技術(shù)信息安全風(fēng)險評估規(guī)范

參考其從風(fēng)險維度對網(wǎng)絡(luò)安全監(jiān)測目標和內(nèi)容所關(guān)聯(lián)的因素；

——GB/T20985信息技術(shù)安全技術(shù)信息安全事件管理指南

參考其對網(wǎng)絡(luò)安全監(jiān)測事件關(guān)聯(lián)分析和分析告警等流程指導(dǎo)；

——GB/Z20986信息安全技術(shù)信息安全事件分類分級指南

參考其對于信息安全事件的具體分類分級的標準，以及信息安全事件的定

義；

——GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求、

參考其中對于網(wǎng)絡(luò)安全重點關(guān)注的各安全要素；

——GB/T25069信息安全技術(shù)術(shù)語

參考部分術(shù)語，以及部分縮略語標準稱謂；

——GB/T28458信息安全技術(shù)安全漏洞標識與描述規(guī)范

參考其對信息系統(tǒng)安全漏洞的表述和歸類，以及獲取漏洞的方法等。

——GW0204-2014國家電子政務(wù)外網(wǎng)安全管理系統(tǒng)技術(shù)要求與接口規(guī)范

3

參考其對于對外接口層的定義。

五、主要編制過程

1.成立專門標準編制組

2013年12月工信部下達標準編制任務(wù)后，國家信息中心籌建標準編制組，

進行了前期研究工作。2014年上半年，在國家信息中心制定發(fā)布國家電子政務(wù)

外網(wǎng)相關(guān)網(wǎng)絡(luò)安全監(jiān)測標準基礎(chǔ)上，牽頭聯(lián)合國家信息技術(shù)安全研究中心，及行

業(yè)內(nèi)主流安全公司北京啟明星辰信息技術(shù)股份有限公司、北京天融信科技股份有

限公司、東軟集團股份有限公司、亞信科技（成都）有限公司等聯(lián)合組成編制組，

開展國家標準編寫等相關(guān)工作。

2.制定工作計劃

編制組首先根據(jù)“調(diào)研和收集資料、完成草稿、征求意見稿、送審稿”的

工作流程制定了相應(yīng)的工作計劃，并確定定期召開編制組例會并組內(nèi)通報編制情

況，以便及時征求意見和交流情況。

3.確定標準內(nèi)容

經(jīng)編制組多次會議討論之后，于2015年初完成了標準草稿，并多次征求專

家意見，不斷完善本標準草稿，到2015年7月經(jīng)WG5專家組審定基本確定標

準研究方向和主體內(nèi)容。

4.主要工作過程

1)前期調(diào)研

2014年3月-2014年12月，進行標準前期調(diào)研，研究相關(guān)技術(shù)和標準，形

成標準編制思路。

2)項目啟動

2014年12月，國家信息中心牽頭，北京天融信科技有限公司、網(wǎng)神信息

技術(shù)（北京）股份有限公司、華為技術(shù)有限公司等聯(lián)合成立標準編制組。并基于

政務(wù)外網(wǎng)安全工作實施經(jīng)驗，給出了一份標準草案初稿。

2014年5月20日，召開了標準項目啟動會議，崔書昆、肖京華、羅鋒盈

等專家參加了會議，對標準的草案進行了評審，給出了評審意見。會后編制組制

定了工作計劃并對修改完善草案做了具體分工。

4

3)項目研討

編制組從標準編制、標準與其它相關(guān)標準的關(guān)系定位進行了深入的研究探

討。

a)2014年7月29日，標準工作組召開了第二次會議。在該次會議上，對

啟動會專家意見的修改進行了討論，探討了對國際標準的分析結(jié)果。確立后續(xù)技

術(shù)分析及研討的主題。

b)2014年8月20日，標準工作組召開了第三次會議。請安標委專家講授

技術(shù)標準編制基本方法。

c)2014年11月30日，標準工作組召開了第四次會議。邀請了標準編制過

程中產(chǎn)學(xué)研專家進行交流。

d)2015年3月17日，標準工作組召開了第五次會議。標準編制組與

CNCERT進行了交流，討論了如何構(gòu)建運營商級安全監(jiān)測體系的問題。

e)2015年6月11日，標準工作組召開了第六次會議。標準編制組完善新

一稿框架并與外網(wǎng)單位部分專家進行交流取得認可。

4)標準編制

標準編制組在每次研討會后，編制組成員都對標準草稿進行了相應(yīng)的修訂，

并于7月初形成了相對完善的一個標準草案版本。

5)征求專家意見

a)2015年7月13日，召開了標準評審會議，崔書昆、趙戰(zhàn)生、陳吉學(xué)、

上官曉麗、許玉娜、李佳等專家對標準草案進行了評審。根據(jù)標準定位和需求，

專家一致建議將原標準名稱“信息安全技術(shù)網(wǎng)絡(luò)安全自監(jiān)測要求與實施指南”

調(diào)整為“信息安全技術(shù)網(wǎng)絡(luò)安全監(jiān)測基本要求與實施指南”。編制組根據(jù)專家意

見進行了修訂。

b)2016年8月4日，再次召開標準評審會，邀請肖京華、崔書昆、周大昭、

李佳、許玉娜等專家對標準草案進行了評審，提出修改意見。編制組根據(jù)專家意

見進行了修訂。

c)2016年8月18日，于WG5工作組在研標準推進會前召開標準評審會，

邀請顧健、李健、落紅衛(wèi)等專家對標準草案進行了評審，提出修改意見。編制組

根據(jù)專家意見進行了修訂。

d)2016年8月25日，參加WG5工作組在研標準推進會，全國信息安全標

5

準化技術(shù)委員會WG5工作組及相關(guān)成員單位參會，對標準進行審查并形成征求

意見稿。會議決議通過了標準更名申請，標準正式更名為《信息安全技術(shù)網(wǎng)絡(luò)

安全監(jiān)測基本要求與實施指南》。

e)2016年9月12日參加信安標委秘書處組織的專家形式審查，專家針對

標準的格式和內(nèi)容提出了修改意見。編制組根據(jù)專家意見進行了修訂。

f)擬定于2016年10月，參加信安標委秘書處組織標準周活動，申請按照

流程推進標準送審稿上會審查或表決。

六、主要內(nèi)容

本標準定義了網(wǎng)絡(luò)安全監(jiān)測活動框架和基本方法，提出了網(wǎng)絡(luò)安全監(jiān)測活動

各組成環(huán)節(jié)如采集、存儲、分析、展示、告警以及接口等技術(shù)要求，同時給出了

實施監(jiān)測建設(shè)運維過程。

本標準適用于用戶單位對信息系統(tǒng)或網(wǎng)絡(luò)設(shè)施實施網(wǎng)絡(luò)安全監(jiān)測的方法和

過程指導(dǎo)，也適用于安全產(chǎn)品廠商參考進行產(chǎn)品設(shè)計和開發(fā)，同時也適用于為安

全服務(wù)廠商實施安全監(jiān)測服務(wù)提供規(guī)范和依據(jù)。

本規(guī)范共包括7章，分別為：范圍、規(guī)范性引用文件、術(shù)語定義與縮略語、

網(wǎng)絡(luò)安全監(jiān)測技術(shù)框架、網(wǎng)絡(luò)安全監(jiān)測技術(shù)要求、網(wǎng)絡(luò)安全監(jiān)測基礎(chǔ)支撐、建設(shè)

和運維。其中主體部分：第4章技術(shù)框架，描述了監(jiān)測的主要構(gòu)成、分類。第

5章技術(shù)要求，從監(jiān)測活動主要環(huán)節(jié)采集、存儲、分析、展示、告警等5個方

面，提出具體技術(shù)要求。第6章基礎(chǔ)支撐，主要從環(huán)境要求、性能要求、自身

安全性等提出基礎(chǔ)構(gòu)建監(jiān)測平臺的基本條件。第7章建設(shè)和運維，從需求分析、

規(guī)范設(shè)計、系統(tǒng)建設(shè)實施活動、系統(tǒng)運維管理等5個部分提出實施指導(dǎo)。

七、有關(guān)事項說明

名稱更改說明：

在本標準草案審查階段，2015年7月13日編制