信息安全技術(shù) 網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)要求-編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)報(bào)批資料一、工作簡(jiǎn)況《信息安全技術(shù)網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)要求》是國(guó)家互聯(lián)網(wǎng)信息辦公室2016年下達(dá)的信息安全國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目。本標(biāo)準(zhǔn)為自主制定標(biāo)準(zhǔn)，標(biāo)準(zhǔn)編制單位由華為技術(shù)有限公司、公安部第三研究所、華中科技大學(xué)、上海交通大學(xué)、北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司、杭州?？低晹?shù)字技術(shù)股份有限公司、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、聯(lián)想（北京）信息技術(shù)有限公司、中國(guó)信息安全測(cè)評(píng)中心、浪潮電子信息產(chǎn)業(yè)股份有限公司等單位組成，歸口單位為全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱(chēng)信息安全標(biāo)委會(huì)，TC260）。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題隨著信息技術(shù)的發(fā)展與應(yīng)用，我們正在由信息時(shí)代走向數(shù)據(jù)時(shí)代，數(shù)據(jù)也呈海量模式增長(zhǎng)，這就必然需要大量的存儲(chǔ)設(shè)備能夠承載海量數(shù)據(jù)的存儲(chǔ)工作。數(shù)據(jù)集中存儲(chǔ)所帶來(lái)的數(shù)據(jù)價(jià)值集中性不斷地提升存儲(chǔ)設(shè)備在整個(gè)網(wǎng)絡(luò)中的重要性，同時(shí)也大大增加了存儲(chǔ)設(shè)備所面臨的安全威脅。針對(duì)于此，國(guó)家在政策層面做出了指導(dǎo)，《國(guó)家中長(zhǎng)期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要（2006━2020年）》中明確要求建立可保障核心應(yīng)用的信息安全的安全存儲(chǔ)。然而要實(shí)現(xiàn)可保證核心應(yīng)用信息安全的存儲(chǔ)，就必須在整個(gè)存儲(chǔ)行業(yè)內(nèi)有一套存儲(chǔ)安全技術(shù)方面的標(biāo)準(zhǔn)，以達(dá)到牽引存儲(chǔ)產(chǎn)品的安全能力共同發(fā)展的目的。目前存儲(chǔ)行業(yè)中存儲(chǔ)技術(shù)和架構(gòu)達(dá)成共識(shí)的是網(wǎng)絡(luò)存儲(chǔ)，因此本標(biāo)準(zhǔn)致力于規(guī)定出網(wǎng)絡(luò)存儲(chǔ)的安全技術(shù)要求。另一方面，網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)標(biāo)準(zhǔn)的統(tǒng)一也有助于減小對(duì)于整個(gè)存儲(chǔ)市場(chǎng)不同網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品安全能力的評(píng)估難度；同時(shí)，可以讓使用網(wǎng)絡(luò)存儲(chǔ)的用戶(hù)對(duì)于網(wǎng)絡(luò)存儲(chǔ)的安全能力有一個(gè)清晰的認(rèn)識(shí)，進(jìn)而更好地建設(shè)自有信息系統(tǒng)。本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：1、規(guī)范性原則嚴(yán)格按照國(guó)家標(biāo)準(zhǔn)編制流程進(jìn)行標(biāo)準(zhǔn)的編制工作，力求達(dá)到編制的標(biāo)準(zhǔn)思路清晰、邏輯合理、文本規(guī)范、內(nèi)容完整。2、協(xié)調(diào)一致性原則廣泛征求業(yè)界專(zhuān)家的意見(jiàn)，同時(shí)充分考慮相關(guān)標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系，力求達(dá)到編制標(biāo)準(zhǔn)的不同使用方的協(xié)調(diào)一致和標(biāo)準(zhǔn)之間的協(xié)調(diào)統(tǒng)一。3、可操作性和實(shí)用性原則利用多年的實(shí)踐經(jīng)驗(yàn)，結(jié)合行業(yè)現(xiàn)狀進(jìn)行標(biāo)準(zhǔn)的編制，力求標(biāo)準(zhǔn)在具體執(zhí)行中操作性和實(shí)用性強(qiáng)。4、等級(jí)劃分原則本標(biāo)準(zhǔn)參照網(wǎng)絡(luò)存儲(chǔ)市場(chǎng)產(chǎn)品分為低端系列、中端系列和高端系列三個(gè)級(jí)別，對(duì)應(yīng)的安全能力為低、中和高三類(lèi)的現(xiàn)狀，將網(wǎng)絡(luò)存儲(chǔ)安全功能要求按安全能力的強(qiáng)弱分為第一級(jí)、第二級(jí)、第三級(jí)共三個(gè)等級(jí)，將網(wǎng)絡(luò)存儲(chǔ)安全保障要求按保障力度的大小分為第一級(jí)、第二級(jí)、第三級(jí)共三個(gè)等級(jí)，在選擇安全功能要求和安全保障要求級(jí)別時(shí)，滿(mǎn)足所選取安全保障要求的級(jí)別不低于安全功能要求的級(jí)別。若涉及到等級(jí)保護(hù)系統(tǒng)選擇網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品時(shí)，建議：1）用戶(hù)自主保護(hù)級(jí)和系統(tǒng)審計(jì)保護(hù)級(jí)的等級(jí)保護(hù)系統(tǒng)選擇滿(mǎn)足或高于第一級(jí)安全功能要求和安全保障要求的網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品；2）安全標(biāo)記保護(hù)級(jí)的等級(jí)保護(hù)系統(tǒng)選擇滿(mǎn)足或高于第二級(jí)安全功能要求和安全保障要求的網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品；3）結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)的等級(jí)保護(hù)系統(tǒng)選擇滿(mǎn)足第三級(jí)安全功能要求和安全保障要求的網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品。4）若等級(jí)保護(hù)系統(tǒng)選擇的存儲(chǔ)產(chǎn)品安全能力在上述建議情形之外，則系統(tǒng)需實(shí)施額外的安全措施，以保證整個(gè)系統(tǒng)滿(mǎn)足其等級(jí)保護(hù)級(jí)別的基本要求。5、科學(xué)性原則既充分考慮國(guó)內(nèi)外存儲(chǔ)行業(yè)目前的技術(shù)能力水平，又對(duì)于行業(yè)健康安全發(fā)展保持一定的前瞻性。三、主要試驗(yàn)[或驗(yàn)證]情況分析1、2016年6月，項(xiàng)目組組建臨時(shí)的標(biāo)準(zhǔn)預(yù)研組，對(duì)國(guó)內(nèi)外存儲(chǔ)技術(shù)、應(yīng)用、政策和標(biāo)準(zhǔn)進(jìn)行調(diào)研分析，確定存儲(chǔ)安全技術(shù)要求標(biāo)準(zhǔn)化需求。2、2016年7月，成立正式的存儲(chǔ)安全技術(shù)要求標(biāo)準(zhǔn)編制組，由華為技術(shù)有限公司、公安部第三研究所、華中科技大學(xué)、上海交通大學(xué)等單位組成標(biāo)準(zhǔn)編制組，召開(kāi)標(biāo)準(zhǔn)編制啟動(dòng)工作會(huì)議，對(duì)標(biāo)準(zhǔn)編制背景、標(biāo)準(zhǔn)化內(nèi)容等進(jìn)行了深入討論，確定了標(biāo)準(zhǔn)編制工作機(jī)制，確定了標(biāo)準(zhǔn)編制提綱，并根據(jù)編制提綱進(jìn)行了任務(wù)分工。3、2016年7月21日，標(biāo)準(zhǔn)編制組進(jìn)行了第一次編寫(xiě)進(jìn)度匯報(bào)討論，并對(duì)編寫(xiě)的方向及章節(jié)進(jìn)行了討論。4、2016年7月29——30日，標(biāo)準(zhǔn)編制組按照參與單位提供的資料匯總形成了國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)存儲(chǔ)安全技術(shù)要求》（第一版草案）。5、2016年9月，標(biāo)準(zhǔn)編制組召開(kāi)標(biāo)準(zhǔn)草案修訂會(huì)議，對(duì)草案文本進(jìn)行了討論，并根據(jù)修訂意見(jiàn)整理成第二版草案。6、2016年10月，編制組各參與單位對(duì)第二版草案章節(jié)取舍及分等級(jí)內(nèi)容進(jìn)行了討論，并根據(jù)意見(jiàn)整理得到第三版草案。6、2016年11月編制組各參與單位確認(rèn)了交叉評(píng)審的內(nèi)容分配，11月14日討論了交叉評(píng)審意見(jiàn)，并根據(jù)意見(jiàn)整理得到第四版草案。7、2017年2——3月，編制組對(duì)第四版標(biāo)準(zhǔn)草案進(jìn)行了全面深入的評(píng)審，對(duì)于發(fā)現(xiàn)的問(wèn)題進(jìn)行討論及修正，并于3月6日形成第五版草案。8、2017年3月17日，參加WG5專(zhuān)家評(píng)審會(huì)，并征求專(zhuān)家組的意見(jiàn)，會(huì)后修改整理形成第六版草案。9、2017年4月8日至12日，在TC260全會(huì)會(huì)議周上做了標(biāo)準(zhǔn)項(xiàng)目進(jìn)展匯報(bào)，專(zhuān)家針對(duì)標(biāo)準(zhǔn)的對(duì)象范圍和對(duì)象定位提出了意見(jiàn)。10、2017年4月至5月，根據(jù)會(huì)議周上專(zhuān)家提出的意見(jiàn)，并與公安部專(zhuān)家共同商討確定修改方案，至6月上旬，對(duì)標(biāo)準(zhǔn)做了以下幾方面的修改： 1）標(biāo)準(zhǔn)參考體系：首先標(biāo)準(zhǔn)對(duì)象定位于產(chǎn)品，在同時(shí)參考《GB/T18336-2015信息技術(shù)安全技術(shù)IT安全性評(píng)估準(zhǔn)則》和《GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》的基礎(chǔ)上，并充分考慮標(biāo)準(zhǔn)的易用性，對(duì)其他幾方面作了修改。2）標(biāo)準(zhǔn)安全框架：重新從分析網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品在通用業(yè)務(wù)場(chǎng)景中可能面臨的威脅出發(fā)，調(diào)整了標(biāo)準(zhǔn)的安全框架。3）標(biāo)準(zhǔn)章節(jié)劃分：對(duì)標(biāo)準(zhǔn)章節(jié)條目和內(nèi)容進(jìn)行了合并同類(lèi)項(xiàng)，使標(biāo)準(zhǔn)化繁為簡(jiǎn)并滿(mǎn)足于修改后的安全框架。4）安全功能要求：刪除了部分產(chǎn)品功能之外的要求，以保證不擴(kuò)大對(duì)象功能要求范圍；修改了安全功能要求的表述，提高了標(biāo)準(zhǔn)的易用性；5）安全保障要求：參照《GB/T18336-2015信息技術(shù)安全技術(shù)IT安全性評(píng)估準(zhǔn)則》規(guī)定了網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品生命周期內(nèi)的安全性要求。6）等級(jí)劃分：在充分考慮網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品市場(chǎng)現(xiàn)狀和今后發(fā)展以及產(chǎn)品應(yīng)用到系統(tǒng)時(shí)的操作性，對(duì)安全功能要求和安全保障要求進(jìn)行了等級(jí)劃分，并且給出了不同級(jí)別的等級(jí)保護(hù)系統(tǒng)選取存儲(chǔ)安全要求等級(jí)時(shí)的對(duì)應(yīng)性建議。修改之后，形成了第七版草案。11、2017年6月21日，在北京召開(kāi)WG5專(zhuān)家組評(píng)審會(huì)，與會(huì)專(zhuān)家對(duì)標(biāo)準(zhǔn)在會(huì)議周之后的修改成果表示贊同并提出了意見(jiàn)和建議，會(huì)后編寫(xiě)組根據(jù)意見(jiàn)修改，形成了第八版草案。12、2017年6月29日，召集浪潮、聯(lián)想、?？低暤却鎯?chǔ)相關(guān)廠商在北京召開(kāi)了編寫(xiě)組研討會(huì)議，與會(huì)單位積極提出意見(jiàn)和建議，會(huì)后還征求了IBM專(zhuān)家的意見(jiàn)；本次會(huì)議及會(huì)后共收到53條意見(jiàn)和建議，這些意見(jiàn)涉及到了標(biāo)準(zhǔn)的多個(gè)方面，根據(jù)意見(jiàn)完成修改后，形成了第八版草案。13、2017年7月26日，在信安標(biāo)委WG5工作組2017年第一次會(huì)議周上，對(duì)標(biāo)準(zhǔn)進(jìn)展做了匯報(bào)，標(biāo)準(zhǔn)順利進(jìn)入征求意見(jiàn)稿階段，并獲得WG5工作組同意申請(qǐng)將標(biāo)準(zhǔn)名稱(chēng)由《信息安全技術(shù)存儲(chǔ)安全技術(shù)要求》改為《信息安全技術(shù)網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)要求》。14、2017年8月10日，組織召開(kāi)了電話(huà)會(huì)議，有戴爾、聯(lián)想、IBM、公安三所、匡恩網(wǎng)絡(luò)等單位參加，討論了WG5工作組會(huì)議周期間收集到的意見(jiàn)處理情況，又充分聽(tīng)取和收集了與會(huì)單位的意見(jiàn)，對(duì)于未能參會(huì)的海康威視、浪潮、電子四院等多個(gè)單位單獨(dú)進(jìn)行了意見(jiàn)收集和溝通，對(duì)于收集到的意見(jiàn)進(jìn)行修改并于8月17日整理得到征求意見(jiàn)稿。四、知識(shí)產(chǎn)權(quán)情況說(shuō)明本標(biāo)準(zhǔn)不涉及專(zhuān)利。五、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況未采用國(guó)際標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)為存儲(chǔ)產(chǎn)品級(jí)國(guó)家標(biāo)準(zhǔn)，國(guó)內(nèi)無(wú)同類(lèi)標(biāo)準(zhǔn)，國(guó)外只有系統(tǒng)級(jí)存儲(chǔ)標(biāo)準(zhǔn)。六、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性(一)貫徹國(guó)家有關(guān)政策與法規(guī)本標(biāo)準(zhǔn)中涉及的密碼算法遵循國(guó)家商用密碼的有關(guān)規(guī)定。本標(biāo)準(zhǔn)項(xiàng)目主要依據(jù)現(xiàn)有法律法規(guī)制定，與我國(guó)現(xiàn)行的法律、法規(guī)及國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)不存在沖突問(wèn)題。（二）與相關(guān)國(guó)內(nèi)標(biāo)準(zhǔn)的關(guān)系標(biāo)準(zhǔn)編制過(guò)程中，參考了GB/T18336-1：2015《信息技術(shù)安全技術(shù)IT安全性評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型》、GB/T18336-2：2015《信息技術(shù)安全技術(shù)IT安全性評(píng)估準(zhǔn)則第2部分：安全功能組件》、GB/T18336-3：2015《信息技術(shù)安全技術(shù)IT安全性評(píng)估準(zhǔn)則第3部分：安全保障組件》、GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》等國(guó)家標(biāo)準(zhǔn)，保證標(biāo)準(zhǔn)相關(guān)內(nèi)容和已發(fā)布標(biāo)準(zhǔn)的一致性。七、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)專(zhuān)家在TC260全會(huì)會(huì)議周上針對(duì)標(biāo)準(zhǔn)的對(duì)象范圍、對(duì)象定位和分級(jí)原則提出了意見(jiàn)。編寫(xiě)組在會(huì)后針對(duì)專(zhuān)家意見(jiàn)做了多次討論，最終進(jìn)行了以下修改：1、標(biāo)準(zhǔn)參考體系：首先標(biāo)準(zhǔn)對(duì)象定位于產(chǎn)品，進(jìn)一步細(xì)化了標(biāo)準(zhǔn)的對(duì)象和范圍。2、安全功能要求：刪除了部分產(chǎn)品功能之外的要求，以保證不擴(kuò)大標(biāo)準(zhǔn)對(duì)象功能要求范圍；修改了安全功能要求的表述，提高了標(biāo)準(zhǔn)的易用性；3、安全保障要求：參照《GB/T18336-2015信息技術(shù)安全技術(shù)IT安全性評(píng)估準(zhǔn)則》規(guī)定了網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品生命周期內(nèi)的安全性要求。4.等級(jí)劃分：本標(biāo)準(zhǔn)參照網(wǎng)絡(luò)存儲(chǔ)市場(chǎng)產(chǎn)品分為低端系列、中端系列和高端系列三個(gè)級(jí)別，對(duì)應(yīng)的安全能力為低、中和高三類(lèi)的現(xiàn)狀，將存儲(chǔ)安全功能要求按安全能力的強(qiáng)弱分為第一級(jí)、第二級(jí)、第三級(jí)共三個(gè)等級(jí)，將存儲(chǔ)安全保障要求按保障力度的大小分為第一級(jí)、第二級(jí)、第三級(jí)共三個(gè)等級(jí)，在選擇安全功能要求和安全保障要求級(jí)別時(shí)，滿(mǎn)足所選取安全保障要求的級(jí)別不低于安全功能要求的級(jí)別。并且給出了不同級(jí)別的等級(jí)保護(hù)系統(tǒng)選取存儲(chǔ)安全要求等級(jí)時(shí)的對(duì)應(yīng)性建議。以上修改成果得到了專(zhuān)家組專(zhuān)家的高度認(rèn)可。八、標(biāo)準(zhǔn)性質(zhì)的建議本標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)。九、貫徹標(biāo)準(zhǔn)的要求和措施建議標(biāo)準(zhǔn)發(fā)布前，在存儲(chǔ)市場(chǎng)不同存儲(chǔ)廠商之間去論證標(biāo)準(zhǔn)的有效性。標(biāo)準(zhǔn)發(fā)布后，在安標(biāo)委指導(dǎo)下對(duì)進(jìn)行標(biāo)準(zhǔn)的試點(diǎn)和推廣。十、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議無(wú)。十一、其它應(yīng)予說(shuō)明的事項(xiàng)編制組在標(biāo)準(zhǔn)編制過(guò)程中，進(jìn)行了內(nèi)部討論、專(zhuān)家論證評(píng)審等過(guò)程。編制組對(duì)國(guó)內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標(biāo)準(zhǔn)草案編制工作。在整個(gè)過(guò)程中，編制組遵循編制原則，對(duì)專(zhuān)家提出的意見(jiàn)和建議做出認(rèn)真的應(yīng)答和處理，不斷對(duì)標(biāo)準(zhǔn)草案進(jìn)行完善。本標(biāo)準(zhǔn)是信息安全技術(shù)要求系列標(biāo)準(zhǔn)的重要組成部分，用以指導(dǎo)如何設(shè)計(jì)、實(shí)現(xiàn)、測(cè)試、生產(chǎn)滿(mǎn)足相應(yīng)安全等級(jí)保護(hù)要求的存儲(chǔ)，同時(shí)可為后續(xù)建立針對(duì)存儲(chǔ)系統(tǒng)的安全能力測(cè)試規(guī)范作參考。是指導(dǎo)黨政機(jī)關(guān)、重要行業(yè)和關(guān)鍵領(lǐng)域采購(gòu)