《信息安全技术 网络空间资产测绘安全要求》（征求意见稿）编制说明

1一、工作简况（一）任务来源本标准2023年由联通数字科技有限公司向中国基本建设优化研究会（简称：中基会）提出立项，中基会于2023年5月31日正式下达立项计划，计划编号为：P2023-02。本标准由中国基本建设优化研究会提出并归口。本标准由联通数字科技有限公司为牵头单位的起草小组组织起草。（二）标准制订的目的和意义随着全球信息化的发展，互联网已经覆盖到了社会中生产和生活的诸多领域。特别是近些年来，5G网络、大数据、AI人工智能、物联网等新兴信息技术正在迅速普及和推广，推动着物理空间加速信息化和网络化。网络空间（Cyberspace）逐渐形成了物理空间的全息映射，已经成为人类生产生活的第二类生存空间，也被认为是继陆、海、空、天之后的国家主权的第五空间。网络空间是构建在包括互联网、电信网、物联网、传感网、各种计算机系统、工业互联网在内的各类信息通信技术基础设施之上的人造空间，用以支撑人们在该空间中开展各类与信息通信技术相关的活动，包括人类对信息的创造、改变、传输、使用及展示等过程。因此，网络空间蕴含着大量涉及国计民生相关的信息资产，如何更好地保护这些信息资产，了解这些信息资产的状态，不仅要静态测量，更需动态测量，对信息资产进行测绘就显得尤为重要。然而，国内外还没有网络空间资产测绘的标准、法令或政策对其进行规范，在现有的资产测绘平台，也没有对其进行规范。因此，对这项标准的需求有来自产业界对于网络空间安全高效管理的现实需求，更来自于国家有关主管部门对网络空间治理的管理性需求，也因此急需填补这一空白。建设网络强国是国家战略，网络空间资产测绘是网络空间治理的前提条件，本标准的实施将为我国维护好网络安全，保障网络空间资产的安全和有效带来重要效益，为保障我国网络空间安全具有重要意义。本标准将对网络空间资产安全全面要求规范，适用对象包括在实施网络空间资产测绘过程中，各类系统与平台的安全要求规范。本标准应用场景适用于网络空间资产测绘的安全管理相关工作，对网络空间资产测绘形成管理规范，使用方包括各类测绘组织、国家监管部门、相关主管部门、第三方机构等组织开展网络空间资产测绘的安全监督管理、评估等工作。本标准拟主要解决以下问题：（1）网络空间资产测绘安全框架要求；（2）网络空间资产测绘数据安全要求；（3）网络空间资产测绘应用安全要求；（4）网络空间资产测绘安全保障。（三）主要工作过程2（1）项目预研项目前期，主编单位、中国基本建设优化研究会、北京蓝象标准咨询服务有限公司对信息安全技术进行了系统的研究，针对网络空间资产测绘产品的市场情况、需求情况等进行了资料查证和企业走访调研，并结合专家意见形成了立项建议书和标准草案框架。2023年5月29日召开了立项评估会，经专家论证，同意该标准立项。中国基本建设优化研究会于2023年5月31日下达了标准制定计划。（2）项目立项2023年5月31日上午，中国基本建设优化研究会下达了《信息安全技术网络空间资产测绘安全要求》等7项“信息安全技术”系列团体标准立项通知，要求标准主要起草单位抓紧落实和实施计划，在标准起草过程中加强与有关方面的协调，广泛听取意见，保证标准质量和水平，按时完成团体标准制订任务。（2）项目启动及首次研讨会2023年6月27日，由中国基本建设优化研究会主办、北京蓝象标准咨询服务有限公司承办的《信息安全技术网络空间资产测绘安全要求》等7项“信息安全技术”系列团体标准启动会在北京召开。中国基本建设优化研究会党委书记（会长）孙晓洲、中国标准化委员会委员（博士生导师）强毅出席会议并致辞，中国基本建设优化研究会秘书长宫然、中国基本建设优化研究会标准化技术委员会主任委员段小莉出席会议并总结发言，公安部科技信息化局原局长厉剑、中国科学院计算机网络信息中心大数据部副主任（国家基础学科公共科学数据中心主任）胡良霖、中国标准化研究院高新技术与信息标准化研究所副所长王志强、国家信息技术安全研究中心原副总工程师宫亚峰等领导和专家出席会议。会议由中国基本建设优化研究会标准化技术委员会副主任委员（北京蓝象标准咨询服务有限公司首席技术官）张德保主持。《信息安全技术网络空间资产测绘安全要求》等7项“信息安全技术”系列团体标准首次研讨会由中国基本建设优化研究会标准化技术委员会副主任委员（中国科学院计算机网络信息中心大数据部副主任、国家基础学科公共科学数据中心主任）胡良霖主持，联通数字科技有限公司代表标准起草组，对《信息安全技术网络空间资产测绘安全要求》标准的主笔单位、研制背景、标准主要内容和标准编制情况进行了介绍，并汇报了会议前收到的修改意见预处理情况。随后，参会代表结合意见预处理情况，围绕标准的名称、技术框架、条款的陈述方式等方面展开了热烈的讨论，主编单位代表对各参会代表所提建议和意见进行了详细的记录和解答。会后，标准起草组针对启动会会前和会上，和专家提出的26条建议和意见进行分析和研究，对标准草案进行相应修改与完善，形成新一版的标准文本。（4）第二次研讨会2023年10月20日，由中国基本建设优化研究会主办，北京蓝象标准咨询服务有限公司、中国工业互联网研究院联合承办的《信息安全技术网络空间资产测绘安全要求》等7项信息安全技术系列团体标准第二次研讨会在京成功召开。中国基本建设优化研究会标准化技术委员会主任委员、北京蓝象标准咨询服务有限公司总经理段小莉，中国工业互联网研究院主任薛强出席会议并致辞，公安部科技信息化局原党委书记、局长（研究员）厉剑作为特邀专家出席会议并做点评。自59家企事业单位60余名代表参加了会议，会议由中国基本建设优化研究会标准化技术委员会标准化工程师吴建全主持。主编单位联通数字科技有限3公司代表标准起草组介绍标准讨论稿和意见处理情况，参会领导、专家和企业代表重点围绕标准的范围和定位、技术框架、性能指标、条款内容等方面展开了热烈的讨论，并对标准文本的修改和完善提出了很多宝贵的建议和意见。同时，特邀专家公安部科技信息化局原党委书记、局长（研究员）厉剑从专业技术角度对标准进行了专业点评。主编单位代表对各参编单位代表所提建议和意见进行了详细的记录和解答，会后，标准起草组针对各单位和专家提出的23条修改建议进行了处理，并对相应的标准文本进行修改。（四）主要参加起草单位和工作组成员所做的工作本标准起草工作组由联通数字科技有限公司为牵头单位组成。起草组承担了标准起草的组织、标准文本的编制、重点企业意见征求、标准编制说明的撰写和内审等工作。二、标准编制原则和确定标准主要内容的依据（一）标准编写原则本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。起草过程，充分考虑现有相关标准的统一和协调；标准的要求充分考虑了国内当前的行业技术水平，对草案内容进行多次征求意见和充分讨论。（二）确定标准主要技术指标的基本原则（1）适用性：既不要让标准所涵盖的领域过宽，使编制的标准没有实际技术内容；也不要让标准所涵盖的领域过窄，造成对标准的肢解，无谓地增加标准项目。（2）先进性：编写标准草案时在充分调查研究的基础上，认真分析国内外同类技术标准的技术水平，在预期可达到的条件下，积极把先进技术纳入标准，提高产品技术水平。（3）协调性；编制过程中注意符合法律法规的规定以及与相关标准协调，避免与法律法规、相关标准之间出现矛盾，给标准的实施造成困难。（三）主要内容本标准规定了网络空间资产测绘的框架要求、数据安全要求、应用安全要求和安全保障要求。（1）资产测绘框架从网络空间资产测绘数据安全、应用安全、安全保障三个方面提出网络空间资产测绘的安全要求和框架。——资产测绘数据安全要求。资产测绘数据安全要求方面，提出了数据采集和数据处理的网络空间——资产测绘服务的数据安全要求，涵盖了资产测绘的数据在采集和处理等方面的主要安全要素。——资产测绘应用安全要求。资产测绘应用安全要求，归纳了资产管理与关键基础设施保护、数字孪生及智慧城市感知与运营、互联网安全监管中的“挂图作战”、网络战中的沙盘推演等多种应用形式及要求。——资产测绘安全保障要求。资产测绘安全保障方面，从管理制度、机构和人员、业务连续性、运4行和维护等四个维度，提出了网络空间资产绘制的安全保障要求。（2）数据安全要求资产测绘数据安全要求方面，提出了数据采集和数据处理的网络空间资产测绘服务的数据安全要求，涵盖了资产测绘的数据在采集和处理等方面的主要安全要素。（3）应用安全要求资产测绘应用安全要求，归纳了资产管理与关键基础设施保护、数字孪生及智慧城市感知与运营、互联网安全监管中的“挂图作战”、网络战中的沙盘推演等多种应用形式及要求。（4）安全保障要求资产测绘安全保障方面，从管理制度、机构和人员、业务连续性、运行和维护等四个维度，提出了网络空间资产绘制的安全保障要求。三、与国际、国外同类标准技术内容的对比情况国外还没有网络空间资产测绘的标准、法令或政策对其进行规范，在现有的资产测绘平台，也没有对其进行规范。四、与有关法律、行政法规及相关标准关系的说明国内还没有网络空间资产测绘的标准、法令或政策对其进行规范，在现有的资产测绘平台，也没有对其进行规范。本标准符合我国现行《标准化法》和《质量法》等法律法规要求，与现行法律法规无冲突和违背情况。五、重大分歧意见的处理经过和依据本文件在起草过程中，对标准中的技术内容没有发生重大分歧。六、涉及专利的有关说明本文件不涉及专利。5七、数据验证在制定本标准时，我们详细界定了一系列技术参数，并依据具体的数据来源和官方文档来源来确保这些参数的准确性和实用性：1、参考标准（1）《GB/T25069-2022信息安全技术术语》：安全、安全分级、脆弱性、存储、第三方、端口访问控制表、分布式拒绝服务攻击、风险、风险识别、风险处置等信息安全技术术语的参考。（2）《40685-2021信息技术服务数据资产管理要求》：数据资源的定义、管理目标、管理原则等内容，以及数据资产识别、数据资产确权、数据资产应用、数据资产盘点、数据资产评估、数据资产安全管理、数据资源管理保障等内容。（3）《GB/T42453-2023信息安全技术网络安全态势感知通用技术要求》：威胁、威胁信息、画像等网络安全态势感知属于的概念，以及网络安全态势感知技术框架、数据存储、数据转换、资产风险分析等内容。2、性能参数来源:（1）应用和服务安全参数:部分参考OWASP（开放式网络应用安全项目）安全最佳实践指南。涉及应用程序安全的各项指标，如输入验证、加密方法等。（2）安全事件分级参数：部分参考《GB/T32924-2016信息安全技术网络安全预警指南》，涉及不同级别安全事件的影响、范围、涉及保护对象的重要程度等。3、可行性验证内容（1）资产测绘实施：通过masscan、Nmap等探测工具以及KaliLinux中的工具套件进行网络空间资产测绘的实施。（2）安全漏洞分析：通过KaliLinux中的工具套件和OWASP指南进行系统安全性测试。每一项技术参数都经过了从理论研究到实际应用的全面验证，确保了本标准的科学性、前瞻性和可操作性。（3）实际应用模拟：在仿真环境中部署和测试，模拟现实世界中网络空间资产的存在形式、面临的的攻击、以及应对场景。以验证在实际应用场景中的可行性和效果。八、预期社会经济效益网络空间是构建在包括互联网、电信网、物联网、传感网、各种计算机系统、工业互联网在内的各类信息通信技术基础设施之上的人造空间，用以支撑人们在该空间中开展各类与信息通信技术相关的活动，包括人类对信息的创造、改变、传输、使用及展示等过程。因此，网络空间蕴含着大量涉及国计民生相关的信息资产，如何更好地保护这些信息资产，了解这些信息资产的状态，不仅要静态测量，更需动态测量，对信息资产进行测绘就显得尤为重要。利用网络空间资产测绘技术，网络空间用户能够收集所属互联网资产数据，实现网络空间资产检索、分析、监控等功能，从而更好地化解威胁所属网络空间安全的网络攻击风险。然而，现有网6络资产测绘活动的数据采集、存储、处理、应用等方面缺乏必要的规范，容易造成互联网安全秩序混乱，所存储的巨量网络空间资产数据也存在重大安全风险。本标准将对网络