國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 安全運(yùn)維系統(tǒng)技術(shù)規(guī)范》（征求意見(jiàn)稿）編制說(shuō)明

一、工作簡(jiǎn)況1.1任務(wù)來(lái)源根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2022年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，《信息安全技術(shù)安全運(yùn)維系統(tǒng)技術(shù)規(guī)范》由上海辰銳信息科技公司負(fù)責(zé)承辦，計(jì)劃號(hào)：20230260-T-469。該標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）歸口管理。1.2主要起草單位和工作組成員《信息安全技術(shù)安全運(yùn)維系統(tǒng)技術(shù)規(guī)范》由上海辰銳信息科技公司牽頭制定，參與起草單位包括：公安部第三研究所、中國(guó)科學(xué)院軟件研究所、華為技術(shù)有限公司、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國(guó)家工業(yè)信息安全發(fā)展研究中心、浙江齊治科技股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司、北京神州綠盟科技有限公司、西安交大捷普網(wǎng)絡(luò)科技有限公司、杭州中爾網(wǎng)絡(luò)科技有限公司、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司、長(zhǎng)楊科技（北京)股份有限公司、杭州安恒信息技術(shù)股份有限公司、北京時(shí)代新威信息技術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、上海三零衛(wèi)士信息安全有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、上海觀安信息技術(shù)股份有限公司、廣東安創(chuàng)信息科技開(kāi)發(fā)有限公司、北京神州綠盟科技有限公司、遠(yuǎn)江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司、藍(lán)盾信息安全技術(shù)股份有限公司、北京智游網(wǎng)安科技有限公司、深信服科技股份有限公司、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、北京信安世紀(jì)科技股份有限公司、河南中科安永科技有限公司、國(guó)網(wǎng)區(qū)塊鏈科技（北京）有限公司、廣東省信息安全測(cè)評(píng)中心、國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研究院、廣電計(jì)量檢測(cè)集團(tuán)股份有限公司。本文件主要起草人：張艷、鄒春明、胡津銘、沈亮、晏敏、王峰、申永波、王沖華、于遨洋、安高峰、楊春鵬、周進(jìn)、何建鋒、葛方雋、張德保、趙華、田麗丹、俞政臣、周瑞群、劉彪、鄢昱恒、謝江、鐘英南、周進(jìn)、劉強(qiáng)、韓云、劉晨、馮燕飛、付軍、郭軍武、石竹玉、葉勁宏、加依達(dá)爾.金格斯、唐迪。在編制本文件的過(guò)程中，起草單位的主要分工如下：上海辰銳信息科技公司牽頭組織項(xiàng)目的修訂工作，制定修訂思路，組織召開(kāi)項(xiàng)目評(píng)審，匯總各參與單位的編制內(nèi)容、擬制項(xiàng)目編制說(shuō)明、匯總意見(jiàn)匯總表等。參與起草的單位中，研發(fā)生產(chǎn)和運(yùn)維服務(wù)廠商主要承擔(dān)應(yīng)用場(chǎng)景及運(yùn)維技術(shù)跟蹤、安全功能要求的編制及應(yīng)用試點(diǎn)，以及推進(jìn)標(biāo)準(zhǔn)在產(chǎn)品研發(fā)中的應(yīng)用；檢測(cè)、認(rèn)證機(jī)構(gòu)主要負(fù)責(zé)安全保障要求及測(cè)試評(píng)價(jià)方法的編制、測(cè)評(píng)方法的試點(diǎn)驗(yàn)證，以及推進(jìn)標(biāo)準(zhǔn)在認(rèn)證、檢測(cè)中的應(yīng)用；科研院所機(jī)構(gòu)主要負(fù)責(zé)安全運(yùn)維技術(shù)發(fā)展跟蹤、自身安全功能要求的編制，以及測(cè)評(píng)技術(shù)方法研究；咨詢服務(wù)機(jī)構(gòu)主要負(fù)責(zé)行業(yè)用戶需求的收集、運(yùn)營(yíng)企業(yè)側(cè)標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證，以及后續(xù)標(biāo)準(zhǔn)的宣傳、推廣。1.3制定背景隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)環(huán)境變得日趨復(fù)雜，特別是重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施中的資產(chǎn)數(shù)量和類(lèi)型均急劇增長(zhǎng)。誤操作、違規(guī)運(yùn)維操作可能會(huì)直接導(dǎo)致這些重要業(yè)務(wù)系統(tǒng)的宕機(jī)、數(shù)據(jù)丟失等風(fēng)險(xiǎn)，對(duì)安全運(yùn)維的規(guī)范化管理已和外部安全防護(hù)同等重要。安全運(yùn)維系統(tǒng)已廣泛應(yīng)用于各行業(yè)信息化內(nèi)控管理，隨著云、工控等應(yīng)用場(chǎng)景和安全產(chǎn)品的發(fā)展，運(yùn)維管理和審計(jì)的范疇和技術(shù)形態(tài)都有了新的變化，云安全運(yùn)維、便攜式移動(dòng)運(yùn)維、工控運(yùn)維等新形態(tài)和新特性不斷呈現(xiàn)。此外，近年來(lái)相關(guān)法律法規(guī)及行業(yè)規(guī)范對(duì)于系統(tǒng)的運(yùn)維管理提出了諸多合規(guī)要求：網(wǎng)絡(luò)安全法對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)服務(wù)提供者提出了制定內(nèi)網(wǎng)操作規(guī)程、持續(xù)提供安全維護(hù)、采取技術(shù)措施保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行、留存相關(guān)網(wǎng)絡(luò)日志不少于六個(gè)月等安全保護(hù)義務(wù)；ISO27001標(biāo)準(zhǔn)中要求組織必須記錄用戶訪問(wèn)、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和取證；國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)要求中對(duì)重要信息系統(tǒng)、云租戶業(yè)務(wù)應(yīng)用系統(tǒng)等保護(hù)對(duì)象的集中身份認(rèn)證、運(yùn)維操作審計(jì)和細(xì)粒度的權(quán)限管控也提出了諸多要求。安全運(yùn)維系統(tǒng)由于其安全功能屬性，成為系統(tǒng)的核心安全管控樞紐，存儲(chǔ)著資產(chǎn)管理賬號(hào)、具備重要資源的訪問(wèn)權(quán)限等，一旦其自身存在安全短板將會(huì)為重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施引入極大的安全風(fēng)險(xiǎn)。因此，本標(biāo)準(zhǔn)的制定一方面支撐安全運(yùn)維系統(tǒng)的規(guī)范化管理，同時(shí)也緊密貼合重要信息系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)維和資產(chǎn)內(nèi)控管理的合規(guī)性需求，為等保和關(guān)基相關(guān)要求的技術(shù)實(shí)現(xiàn)規(guī)范化提供重要參考，降低運(yùn)維管理安全風(fēng)險(xiǎn)。此外，2022年3月6日全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的“《關(guān)于發(fā)布2022年度網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)需求的通知》（信安秘字〔2022〕47號(hào)）”中將《信息安全技術(shù)安全運(yùn)維系統(tǒng)技術(shù)規(guī)范》列為支持的國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目之一。1.4起草過(guò)程標(biāo)準(zhǔn)制定的主要工作過(guò)程如下：申報(bào)立項(xiàng)階段2021年11月至2022年3月，成立了標(biāo)準(zhǔn)編制組，對(duì)安全運(yùn)維系統(tǒng)的產(chǎn)品技術(shù)文檔、解決方案等材料進(jìn)行調(diào)研梳理，查閱有關(guān)資料，編寫(xiě)標(biāo)準(zhǔn)編制提綱，起草了標(biāo)準(zhǔn)草案初稿，形成了申報(bào)材料;2022年4月，標(biāo)準(zhǔn)編制組在2022年信安標(biāo)委WG5第一次工作組會(huì)議上進(jìn)行了立項(xiàng)匯報(bào)。草案階段2022年4月，標(biāo)準(zhǔn)編制組根據(jù)工作組成員單位專(zhuān)家意見(jiàn)組織標(biāo)準(zhǔn)編制組討論并修改了草案內(nèi)容；2022年5月至11月，標(biāo)準(zhǔn)編制組通過(guò)內(nèi)部研討、交流，對(duì)標(biāo)準(zhǔn)草案文本進(jìn)行了進(jìn)一步的修改完善。2022年12月7日，標(biāo)準(zhǔn)編制組在2022年信安標(biāo)準(zhǔn)周工作組會(huì)議上進(jìn)行了標(biāo)準(zhǔn)草案的匯報(bào)，征集了成員單位專(zhuān)家代表的意見(jiàn)，并通過(guò)投票，同意修改后推進(jìn)為征求意見(jiàn)稿。征求意見(jiàn)稿階段標(biāo)準(zhǔn)編制組根據(jù)2022年12月7日會(huì)議周上專(zhuān)家代表的意見(jiàn)，于2022年12月8日~2023年1月5日期間對(duì)標(biāo)準(zhǔn)草案文本進(jìn)行了多次編制組內(nèi)部的線上會(huì)議討論、修改和完善，并提交責(zé)任專(zhuān)家和標(biāo)委會(huì)專(zhuān)家進(jìn)行審閱；標(biāo)準(zhǔn)編制組根據(jù)專(zhuān)家意見(jiàn)進(jìn)行了進(jìn)一步修改，形成征求意見(jiàn)稿第一稿。2023年2月3日，WG5工作組召開(kāi)了專(zhuān)家研討會(huì)，對(duì)征求意見(jiàn)稿進(jìn)行了研討并提出了修改意見(jiàn)，會(huì)后編制組根據(jù)專(zhuān)家意見(jiàn)進(jìn)行了修改完善，形成征求意見(jiàn)稿第二稿。2023年4月4日，信安標(biāo)委會(huì)秘書(shū)處召開(kāi)了專(zhuān)家評(píng)審會(huì)，對(duì)征求意見(jiàn)稿進(jìn)行了評(píng)審并提出了修改意見(jiàn)，會(huì)后編制組根據(jù)專(zhuān)家意見(jiàn)進(jìn)行了修改完善，并在編制組內(nèi)部進(jìn)行了集中討論，最終形成征求意見(jiàn)稿第三稿。2023年6月1日，在昆明召開(kāi)的2023年第一次“標(biāo)準(zhǔn)周”會(huì)上，編制組代表在WG5分會(huì)場(chǎng)上，面向全體與會(huì)人員、會(huì)員單位代表匯報(bào)了該標(biāo)準(zhǔn)的編制情況以及標(biāo)準(zhǔn)內(nèi)容重點(diǎn)；會(huì)后，編制組對(duì)標(biāo)準(zhǔn)文稿再次進(jìn)行了審查，對(duì)部分文字表述等進(jìn)行了修訂完善。試點(diǎn)驗(yàn)證階段為提升標(biāo)準(zhǔn)質(zhì)量，檢驗(yàn)標(biāo)準(zhǔn)適用性和可操作性，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處于2023年4月13日在北京組織召開(kāi)了網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)試點(diǎn)工作部署會(huì)。會(huì)后標(biāo)準(zhǔn)編制組依據(jù)《2023年度網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)試點(diǎn)工作方案》的工作要求，征集了試點(diǎn)驗(yàn)證參與單位，并制定了試點(diǎn)工作方案。WG5工作組于4月26日在線上組織召開(kāi)了標(biāo)準(zhǔn)試點(diǎn)工作方案討論會(huì)。會(huì)后標(biāo)準(zhǔn)編制組根據(jù)專(zhuān)家意見(jiàn)修改完善了試點(diǎn)工作方案，在編制組內(nèi)部進(jìn)行了宣貫，明確了試點(diǎn)內(nèi)容、計(jì)劃及分工，自5月至6月開(kāi)展了標(biāo)準(zhǔn)試點(diǎn)驗(yàn)證工作。二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)2.1標(biāo)準(zhǔn)編制原則為了使本標(biāo)準(zhǔn)與現(xiàn)有其他國(guó)家標(biāo)準(zhǔn)保持協(xié)調(diào)一致，本標(biāo)準(zhǔn)的制定參考了現(xiàn)行的其他國(guó)家標(biāo)準(zhǔn)，主要有GB/T25066-2020、GB/T18336-2015、GB/T22239-2019、GB/T36626-2018等。本標(biāo)準(zhǔn)符合我國(guó)的實(shí)際情況，遵從我國(guó)有關(guān)法律、法規(guī)的規(guī)定。具體原則與要求如下：實(shí)用性原則標(biāo)準(zhǔn)必須是可用的，才有實(shí)際意義，本標(biāo)準(zhǔn)在制定過(guò)程中嚴(yán)格按照流程對(duì)產(chǎn)品的現(xiàn)狀、技術(shù)等相關(guān)領(lǐng)域展開(kāi)系統(tǒng)的、全面的調(diào)研工作，注重與相關(guān)產(chǎn)品生產(chǎn)單位的交流，使得標(biāo)準(zhǔn)更貼近產(chǎn)品實(shí)際情況，保證操作性。先進(jìn)性原則標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗(yàn)的總結(jié)，同時(shí)也是技術(shù)的發(fā)展趨勢(shì)。要制定出先進(jìn)的國(guó)家標(biāo)準(zhǔn)，必須廣泛了解市場(chǎng)上主流產(chǎn)品的功能，吸收其精華，制定出具有先進(jìn)水平的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫(xiě)始終遵循這一原則。兼容性原則本標(biāo)準(zhǔn)既要與國(guó)際接軌，更要與我國(guó)現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、規(guī)范等相一致。編制組在對(duì)標(biāo)準(zhǔn)起草過(guò)程中始終遵循此原則，其內(nèi)容符合我國(guó)已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。2.2主要內(nèi)容及其確定依據(jù)本項(xiàng)目標(biāo)準(zhǔn)規(guī)范的安全運(yùn)維系統(tǒng)，是針對(duì)系統(tǒng)內(nèi)控合規(guī)、降低運(yùn)維管理風(fēng)險(xiǎn)、提升內(nèi)部風(fēng)險(xiǎn)控制水平等需求而形成的安全產(chǎn)品，為企業(yè)針對(duì)服務(wù)器、虛擬機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等系統(tǒng)資產(chǎn)、云計(jì)算資源的安全運(yùn)維與審計(jì)提供集中的帳號(hào)、授權(quán)、認(rèn)證和審計(jì)等管理服務(wù)。標(biāo)準(zhǔn)擬規(guī)范安全運(yùn)維系統(tǒng)的安全技術(shù)要求（安全功能要求、自身安全要求、安全保障要求）和測(cè)試評(píng)價(jià)方法，適用于該類(lèi)產(chǎn)品的研發(fā)、采購(gòu)、使用、維護(hù)、管理及檢測(cè)。標(biāo)準(zhǔn)結(jié)構(gòu)本標(biāo)準(zhǔn)的編寫(xiě)格式和方法依照GB/T1.1-2020標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫(xiě)規(guī)則，主要結(jié)構(gòu)包括：范圍規(guī)范性引用文件術(shù)語(yǔ)和定義縮略語(yǔ)概述安全技術(shù)要求測(cè)試評(píng)價(jià)方法附錄A范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義和縮略語(yǔ)該部分定義了本標(biāo)準(zhǔn)適應(yīng)的范圍，所引用的其它標(biāo)準(zhǔn)情況及以何種方式引用，術(shù)語(yǔ)和定義部分明確了該標(biāo)準(zhǔn)所涉及的一些術(shù)語(yǔ)。在術(shù)語(yǔ)中明確了“安全運(yùn)維系統(tǒng)”、“運(yùn)維用戶”、“運(yùn)維對(duì)象”、“授權(quán)管理員”、“運(yùn)維服務(wù)協(xié)議”等重要概念?？s略語(yǔ)部分主要列出本標(biāo)準(zhǔn)中用的縮略語(yǔ)全稱及中文解釋。概述對(duì)安全運(yùn)維系統(tǒng)的安全目的、保護(hù)的對(duì)象以及安全技術(shù)要求分類(lèi)及等級(jí)劃分進(jìn)行了概要描述，對(duì)安全技術(shù)要求的分類(lèi)、主要的指標(biāo)項(xiàng)、等級(jí)劃分的原則等進(jìn)行了說(shuō)明。安全運(yùn)維系統(tǒng)為運(yùn)維用戶提供統(tǒng)一資源訪問(wèn)入口，借助身份認(rèn)證接口實(shí)現(xiàn)對(duì)運(yùn)維用戶的身份鑒別，對(duì)資產(chǎn)及其賬號(hào)等進(jìn)行集中管理和授權(quán)，監(jiān)控和審計(jì)運(yùn)維操作過(guò)程，并對(duì)違規(guī)操作行為進(jìn)行報(bào)警、阻斷。該類(lèi)產(chǎn)品保護(hù)的對(duì)象是服務(wù)器、虛擬機(jī)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、數(shù)據(jù)庫(kù)、云平臺(tái)等信息系統(tǒng)重要資產(chǎn)。此外，安全運(yùn)維系統(tǒng)本身及其內(nèi)部的重要數(shù)據(jù)也是受保護(hù)的對(duì)象。本文件將安全運(yùn)維系統(tǒng)的安全技術(shù)要求分為安全功能要求、自身安全要求、安全保障要求三類(lèi)。本文件按照安全運(yùn)維系統(tǒng)安全功能要求強(qiáng)度劃分級(jí)別，按照GB/T18336.3-2015劃分安全保障要求的級(jí)別。安全等級(jí)突出安全特性，分為基本級(jí)和增強(qiáng)級(jí)，安全功能、自身安全強(qiáng)弱和安全保障要求高低是等級(jí)劃分的具體依據(jù)。此外說(shuō)明了與基本級(jí)安全技術(shù)要求相比，本文件中增強(qiáng)級(jí)內(nèi)容有所增加或變更的內(nèi)容在正文中通過(guò)“宋體加粗”表示。安全運(yùn)維系統(tǒng)的安全功能要求、自身安全要求、安全保障要求應(yīng)符合GB42250-2022《信息安全技術(shù)網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品安全技術(shù)要求》的相關(guān)要求。另外，以表格形式對(duì)本標(biāo)準(zhǔn)中涉及的管理員及用戶角色進(jìn)行了詳細(xì)描述：表1角色描述表角色角色描述運(yùn)維用戶通過(guò)安全運(yùn)維系統(tǒng)對(duì)信息資產(chǎn)進(jìn)行運(yùn)行維護(hù)和管理的用戶（人員或自動(dòng)化運(yùn)維工具），通常以賬號(hào)作為用戶標(biāo)識(shí)，賬號(hào)由安全運(yùn)維系統(tǒng)進(jìn)行管理管理賬戶（運(yùn)維對(duì)象）受安全運(yùn)維系統(tǒng)保護(hù)的信息資產(chǎn)的各類(lèi)管理賬戶，該賬戶由受保護(hù)的信息資產(chǎn)進(jìn)行維護(hù)，運(yùn)維用戶登錄安全運(yùn)維系統(tǒng)后通過(guò)該賬戶對(duì)受保護(hù)的信息資產(chǎn)進(jìn)行運(yùn)維和管理管理員對(duì)安全運(yùn)維系統(tǒng)進(jìn)行維護(hù)和管理的用戶角色，包括操作員、安全員、審計(jì)員或其他自定義角色，通常不具備受保護(hù)資產(chǎn)的運(yùn)維管理權(quán)限操作員管理員角色的一種，具有系統(tǒng)配置管理權(quán)限，如產(chǎn)品IP地址、運(yùn)維用戶、運(yùn)維對(duì)象管理等安全員管理員角色的一種，具有安全管理權(quán)限，如訪問(wèn)控制策略管理等審計(jì)員管理員角色的一種，具有審計(jì)管理權(quán)限，如審計(jì)日志的查閱、分析、管理等安全技術(shù)要求安全技術(shù)要求分為安全功能要求、自身安全要求、安全保障要求三類(lèi)。其中，安全功能要求是對(duì)安全運(yùn)維系統(tǒng)應(yīng)具備的安全功能提出具體要求，包括運(yùn)維用戶管理、運(yùn)維對(duì)象管理、運(yùn)維服務(wù)協(xié)議支持、運(yùn)維訪問(wèn)控制、告警、遠(yuǎn)程訪問(wèn)加密、運(yùn)維審計(jì)、運(yùn)維會(huì)話管理、高可用性、設(shè)備虛擬化、IPv6支持等；自身安全要求是對(duì)安全運(yùn)維系統(tǒng)的自身安全保護(hù)提出具體要求，包括標(biāo)識(shí)與鑒別、安全管理、審計(jì)日志等；安全保障要求針對(duì)安全運(yùn)維系統(tǒng)的開(kāi)發(fā)和使用文檔的內(nèi)容提出具體的要求，例如開(kāi)發(fā)、指導(dǎo)性文檔、生命周期支持、測(cè)試和脆弱性評(píng)定等。測(cè)試評(píng)價(jià)方法本文件針對(duì)安全運(yùn)維系統(tǒng)的安全技術(shù)要求提出對(duì)應(yīng)的測(cè)試評(píng)價(jià)方法，為使用本文件的人員提供一個(gè)測(cè)試評(píng)價(jià)安全運(yùn)維系統(tǒng)的技術(shù)準(zhǔn)則。測(cè)評(píng)方法部分包括了安全功能要求測(cè)評(píng)、自身安全要求測(cè)評(píng)、安全保障要求測(cè)評(píng)等，其內(nèi)容是針對(duì)安全技術(shù)要求中的基本級(jí)安全要求和增強(qiáng)級(jí)安全要求逐項(xiàng)制定的測(cè)試評(píng)價(jià)方法，可用于指導(dǎo)和規(guī)范安全運(yùn)維系統(tǒng)的檢測(cè)工作。附錄A針對(duì)安全運(yùn)維系統(tǒng)的典型應(yīng)用場(chǎng)景、部署方式進(jìn)行了描述。2.3修訂前后技術(shù)內(nèi)容的對(duì)比[僅適用于國(guó)家標(biāo)準(zhǔn)修訂項(xiàng)目]標(biāo)準(zhǔn)制定項(xiàng)目，不涉及。三、主要試驗(yàn)[或驗(yàn)證]情況分析3.1試驗(yàn)驗(yàn)證的分析、綜述報(bào)告為了更全面地了解企業(yè)在攻擊面管理上的現(xiàn)狀以及所面臨的困難與挑戰(zhàn)，Randori與ESG日前開(kāi)展了一項(xiàng)調(diào)查，對(duì)398位企業(yè)安全團(tuán)隊(duì)負(fù)責(zé)人進(jìn)行了訪談和調(diào)研，并發(fā)布了《2022年攻擊面管理現(xiàn)狀報(bào)告》，報(bào)告數(shù)據(jù)顯示：67%的受訪組織表示，他們的外部攻擊面在過(guò)去12個(gè)月中擴(kuò)大了；69%的組織因未知、未受管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)而受到威脅。報(bào)告調(diào)研發(fā)現(xiàn)，在過(guò)去一年中，隨著遠(yuǎn)程辦公人員數(shù)量、云解決方案和SaaS應(yīng)用程序使用量的不斷增加，企業(yè)組織的外部攻擊面進(jìn)一步擴(kuò)大。近幾年運(yùn)維安全事故的不斷發(fā)生讓越來(lái)越多的政企客戶意識(shí)到組織內(nèi)部人員以及第三方運(yùn)維人員的違規(guī)操作將給組織帶來(lái)巨大的甚至難以逆轉(zhuǎn)的經(jīng)濟(jì)利益損失，政企運(yùn)維過(guò)程中的安全也成為了近兩年眾多客戶所關(guān)注的重點(diǎn)領(lǐng)域，安全運(yùn)維管理市場(chǎng)呈現(xiàn)強(qiáng)勢(shì)發(fā)展的態(tài)勢(shì)。在《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、“等保2.0”以及各行業(yè)規(guī)范的推動(dòng)下，安全運(yùn)維系統(tǒng)的應(yīng)用市場(chǎng)迎來(lái)了新的發(fā)展機(jī)遇，市場(chǎng)規(guī)模整體呈持續(xù)增長(zhǎng)趨勢(shì)。2022年3月31日，安全牛發(fā)布了行業(yè)廣泛關(guān)注的《中國(guó)網(wǎng)絡(luò)安全行業(yè)全景圖（第九版）》，涉及二級(jí)細(xì)分領(lǐng)域2609項(xiàng)。其中，堡壘機(jī)位列收錄企業(yè)數(shù)量最多的細(xì)分領(lǐng)域TOP10。經(jīng)調(diào)研近兩年內(nèi)國(guó)內(nèi)安全運(yùn)維系統(tǒng)相關(guān)的產(chǎn)品近300款，涉及230余家不同廠商，包括華為、騰訊、阿里云、安恒、齊治科技、天融信、奇安信、360、杭州美創(chuàng)、華軟金盾、山東兆物、西安交大捷普、網(wǎng)神、格爾軟件、安天、山石網(wǎng)科、神州綠盟、啟明星辰、網(wǎng)御星云等等安全廠商。3.2技術(shù)經(jīng)濟(jì)論證本標(biāo)準(zhǔn)的實(shí)施將有助于為國(guó)內(nèi)相關(guān)研發(fā)廠商、安全運(yùn)維系統(tǒng)部署單位和檢驗(yàn)檢測(cè)機(jī)構(gòu)的測(cè)評(píng)工作提供支持，確保要求、方法的一致性，提高測(cè)評(píng)的準(zhǔn)確性、規(guī)范性、公平性，產(chǎn)品的合規(guī)性，以及重要信息系統(tǒng)安全運(yùn)維保障能力，從而降低第三方測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)開(kāi)銷(xiāo)和企業(yè)自身的合規(guī)投入。3.3預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益根據(jù)中共中央、國(guó)務(wù)院印發(fā)的《國(guó)家標(biāo)準(zhǔn)化發(fā)展綱要》中的要求，強(qiáng)化標(biāo)準(zhǔn)實(shí)施應(yīng)用。為此，本項(xiàng)目將遵循國(guó)家“完善認(rèn)證認(rèn)可、檢驗(yàn)檢測(cè)、政府采購(gòu)、招投標(biāo)等活動(dòng)中應(yīng)用先進(jìn)標(biāo)準(zhǔn)機(jī)制，推進(jìn)以標(biāo)準(zhǔn)為依據(jù)開(kāi)展宏觀調(diào)控、產(chǎn)業(yè)推進(jìn)、行業(yè)管理、市場(chǎng)準(zhǔn)入和質(zhì)量監(jiān)管”的思路，結(jié)合牽頭單位和參與單位的優(yōu)勢(shì)，開(kāi)展標(biāo)準(zhǔn)的實(shí)施應(yīng)用。本標(biāo)準(zhǔn)的制定一方面支撐安全運(yùn)維系統(tǒng)的規(guī)范化管理，同時(shí)也緊密貼合重要信息系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)維和資產(chǎn)內(nèi)控管理的合規(guī)性需求，為等保和關(guān)基相關(guān)要求的技術(shù)實(shí)現(xiàn)規(guī)范化提供重要參考，降低運(yùn)維管理安全風(fēng)險(xiǎn)。標(biāo)準(zhǔn)的適用對(duì)象包括安全運(yùn)維系統(tǒng)的生產(chǎn)廠商、部署安全運(yùn)維系統(tǒng)的系統(tǒng)運(yùn)營(yíng)單位、網(wǎng)絡(luò)安全主管部門(mén)以及進(jìn)行安全檢測(cè)評(píng)估的檢驗(yàn)檢測(cè)機(jī)構(gòu)。本項(xiàng)目標(biāo)準(zhǔn)發(fā)布后，首先，能夠指導(dǎo)產(chǎn)品的生產(chǎn)廠商對(duì)產(chǎn)品進(jìn)行研發(fā)、生產(chǎn)和銷(xiāo)售；其次、能夠指導(dǎo)檢測(cè)認(rèn)證機(jī)構(gòu)對(duì)該類(lèi)型產(chǎn)品進(jìn)行測(cè)評(píng)認(rèn)證工作，標(biāo)準(zhǔn)可應(yīng)用于幾乎所有的網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品管理領(lǐng)域；此外，還能夠?qū)τ脩魡挝坏膽?yīng)用部署進(jìn)行有效指導(dǎo)，形成部署方案并落地，滿足等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等相關(guān)法律法規(guī)的合規(guī)性要求。四、與國(guó)際、國(guó)外同類(lèi)標(biāo)準(zhǔn)技術(shù)內(nèi)容的對(duì)比情況，或者與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況目前國(guó)際上無(wú)相關(guān)標(biāo)準(zhǔn)。五、以國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國(guó)際國(guó)外標(biāo)準(zhǔn)，并說(shuō)明未采用國(guó)際標(biāo)準(zhǔn)的原因未采用國(guó)際標(biāo)準(zhǔn)。六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國(guó)家標(biāo)準(zhǔn)不存在沖突與矛盾，且與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級(jí)保護(hù)等合規(guī)性要求保持一致：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求在技術(shù)層面對(duì)安全運(yùn)維提出了身份鑒別、訪問(wèn)控制、操作審計(jì)等相關(guān)要求；在安全管理層面提出了系統(tǒng)運(yùn)維管理、安全管理制度、安全事件處置等的相關(guān)要求。ISO27001標(biāo)準(zhǔn)中要求組織必須記錄用戶訪問(wèn)、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和取證。相關(guān)的國(guó)家標(biāo)準(zhǔn)有GB/T36626-2018《信息安全技術(shù)信息系統(tǒng)安全運(yùn)維管理指南》、GB/T34990-2017《信息安全技術(shù)信息系統(tǒng)安全管理平臺(tái)技術(shù)要求和測(cè)試評(píng)價(jià)方法》，但上述標(biāo)準(zhǔn)與本項(xiàng)目擬制定標(biāo)準(zhǔn)存在較大差異：1）從適用的對(duì)象和范圍來(lái)說(shuō)：GB/T36626-2018是為信息系統(tǒng)運(yùn)營(yíng)者針對(duì)信息系統(tǒng)安全運(yùn)維管理體系的建設(shè)提出指導(dǎo)；GB/T34990-2017中規(guī)范的對(duì)象是安全管理平臺(tái)，是基于等保要求對(duì)信息系統(tǒng)安全機(jī)制進(jìn)行集中管理的平臺(tái)，管理對(duì)象是管理對(duì)象是計(jì)算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)。而本項(xiàng)目標(biāo)準(zhǔn)規(guī)范的對(duì)象是針對(duì)內(nèi)控合規(guī)、降低運(yùn)維管理風(fēng)險(xiǎn)、提升內(nèi)部風(fēng)險(xiǎn)控制水平等需求而形成的安全產(chǎn)品，并覆蓋傳統(tǒng)信息系統(tǒng)以及云、工控等應(yīng)用場(chǎng)景，是對(duì)系統(tǒng)重要