《信息安全技术 关键信息基础设施安全监测预警产品技术要求》（征求意见稿）编制说明

1一、工作简况（一）任务来源本标准2023年由公安部第一研究所向中国基本建设优化研究会（简称：中基会）提出立项，中基会于2023年5月31日正式下达立项计划，计划编号为：P2023-04。本标准由中国基本建设优化研究会提出并归口。本标准由公安部第一研究所为牵头单位的起草小组组织起草。（二）标准制订的背景以美国为代表的发达国家非常重视网络安全监测预警工作，将其列为网络安全发展的优先计划，制定了相应的《网络安全信息共享法案》和《网络威胁信息共享指南》等法案和标准。美国的网络安全监测预警与关键基础设施保护存在密切联系，美国政府为了建立和完善政府与关键基础设施运营企业之间的监测预警机制，通过《网络安全信息共享法案（2015）》（CybersecurityInformationSharingActof2015）在法律上支持和规范了网络安全监测预警制度。在标准上，美国国家标准技术研究所（NIST）发布了《网络威胁信息共享指南》（NISTSP800-150）。在工程上，美国政府从2004年开始实施的“爱因斯坦”安全项目非常重视网络安全监测预警，其中“爱因斯坦-3”系统不仅部署在整个联邦政府网络上，而且还部署到了公共互联网络，其主要创新在于强调面向网络的实时态势分析、威胁感知、主动防御。我国政府高度重视关键信息基础设施保护和监测预警工作，习总书记的讲话和《网络安全法》都强调了相关内容。现有国家标准《网络安全预警指南》，及已立项的《网络安全态势感知通用技术要求》和《政务网络安全监测平台技术规范》等研究成果侧重于保护工作部门和运营者监测预警要求。我国安全公司倾向于提供全套自身产品的监测预警方案，有些产品方案可以基于自有的多维度海量互联网数据，进行自动化挖掘与云端关联分析，并向客户推送定制的专属威胁情报；同时结合部署在本地的大数据平台，进行流量深度分析，从而提升本地监测和预警能力等。但是我国关键信息基础设施面临的网络安全形势严峻复杂，仅靠单一公司产品无法实现关键信息基础设施的运营者、保护工作部门、安全服务机构，以及公安机关之间的监测预警信息协同和联动。因此亟需制定相关标准，为关键信息基础设施构建立体化监测预警体系制定统一的要求。（三）主要工作过程（1）项目预研项目前期，主编单位、中国基本建设优化研究会、北京蓝象标准咨询服务有限公司对信息安全技术进行了系统的研究，针对关键信息基础设施的市场情况、需求情况等进行了资料查证和企业走访调研，并结合专家意见形成了立项建议书和标准草案框架。2023年5月29日召开了立项评估会，经专家论证，同意该标准立项。中国基本建设优化研究会于2023年5月31日下达了标准制定计划。2（2）项目立项2023年5月31日上午，中国基本建设优化研究会下达了《信息安全技术关键信息基础设施安全监测预警产品技术要求》等7项“信息安全技术”系列团体标准立项通知，要求标准主要起草单位抓紧落实和实施计划，在标准起草过程中加强与有关方面的协调，广泛听取意见，保证标准质量和水平，按时完成团体标准制订任务。（3）项目启动及首次研讨会2023年6月27日，由中国基本建设优化研究会主办、北京蓝象标准咨询服务有限公司承办的《信息安全技术关键信息基础设施安全监测预警产品技术要求》等7项“信息安全技术”系列团体标准启动会在北京召开。中国基本建设优化研究会党委书记（会长）孙晓洲、中国标准化委员会委员（博士生导师）强毅出席会议并致辞，中国基本建设优化研究会秘书长宫然、中国基本建设优化研究会标准化技术委员会主任委员段小莉出席会议并总结发言，公安部科技信息化局原局长厉剑、中国科学院计算机网络信息中心大数据部副主任（国家基础学科公共科学数据中心主任）胡良霖、中国标准化研究院高新技术与信息标准化研究所副所长王志强、国家信息技术安全研究中心原副总工程师宫亚峰等领导和专家出席会议。会议由中国基本建设优化研究会标准化技术委员会副主任委员（北京蓝象标准咨询服务有限公司首席技术官）张德保主持。《信息安全技术关键信息基础设施安全监测预警产品技术要求》等7项“信息安全技术”系列团体标准首次研讨会由中国基本建设优化研究会标准化技术委员会副主任委员（中国科学院计算机网络信息中心大数据部副主任、国家基础学科公共科学数据中心主任）胡良霖主持，公安部第一研究所代表标准起草组，对《信息安全技术关键信息基础设施安全监测预警产品技术要求》标准的主笔单位、研制背景、标准主要内容和标准编制情况进行了介绍，并汇报了会议前收到的修改意见预处理情况。随后，参会代表结合意见预处理情况，围绕标准的名称、技术框架、条款的陈述方式等方面展开了热烈的讨论，主编单位代表对各参会代表所提建议和意见进行了详细的记录和解答。会后，标准起草组针对启动会会前和会上，和专家提出的136条建议和意见进行分析和研究，对标准草案进行相应修改与完善，形成新一版的标准文本。（4）第二次研讨会2023年10月20日，由中国基本建设优化研究会主办，北京蓝象标准咨询服务有限公司、中国工业互联网研究院联合承办的《信息安全技术关键信息基础设施安全监测预警产品技术要求》等7项信息安全技术系列团体标准第二次研讨会在京成功召开。中国基本建设优化研究会标准化技术委员会主任委员、北京蓝象标准咨询服务有限公司总经理段小莉，中国工业互联网研究院主任薛强出席会议并致辞，公安部科技信息化局原党委书记、局长（研究员）厉剑作为特邀专家出席会议并做点评。自59家企事业单位60余名代表参加了会议，会议由中国基本建设优化研究会标准化技术委员会标准化工程师吴建全主持。主编单位公安部第一研究所代表标准起草组介绍标准讨论稿和意见处理情况，参会领导、专家和企业代表重点围绕标准的范围和定位、技术框架、性能指标、条款内容等方面展开了热烈的讨论，并对标准文本的修改和完善提出了很多宝贵的建议和意见。同时，特邀专家公安部科技信息化局原党委书记、局长3（研究员）厉剑从专业技术角度对标准进行了专业点评。主编单位代表对各参编单位代表所提建议和意见进行了详细的记录和解答，会后，标准起草组针对各单位和专家提出的61条修改建议进行了处理，并对相应的标准文本进行修改。（四）主要参加起草单位和工作组成员所做的工作本标准起草工作组由公安部第一研究所为牵头单位组成。起草组承担了标准起草的组织、标准文本的编制、重点企业意见征求、标准编制说明的撰写和内审等工作。二、标准编制原则和确定标准主要内容的依据（一）标准编写原则本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。起草过程，充分考虑现有相关标准的统一和协调；标准的要求充分考虑了国内当前的行业技术水平，对草案内容进行多次征求意见和充分讨论。（二）确定标准主要技术指标的基本原则(1)参与者多元化：参与者包括相关企事业单位、行业工作者、政府相关负责人等，确保制定的全面性和权威性。(2)公正、公平：保证各方权利得到平衡和尊重，并承担相应的义务。(3)透明、开放：充分考虑各方利益和意见，通过公开渠道对外公开与团体标准化活动有关的信息。(4)独立、自主：保持独立自主，不受任何个人或组织的影响和干扰。(5)科学、合理：遵循科学、合理的原则，基于客观事实和可靠数据，制定符合实际情况的标准。(6)国际化、标准化：遵循国际化、标准化的原则，与国际标准接轨，保证标准通用性和互操作性。三.、主要内容本标准规定了关键信息基础设施安全监测预警产品的功能要求、安全要求、数据服务接口要求和保障要求，适用于关键信息基础设施产品提供者进行产品的设计和研发，以及指导第三方测评机构对产品4进行测评，也可用于产品使用者参考使用。(1)概述：概述了关键信息基础设施安监测预警技术框架。(2)功能要求：安全监测、应用隐身保护、溯源画像、风险分析、态势展示、预警通报、系统管理。(3)安全要求：身份标识与鉴别、授权与访问控制、通信安全、系统平台安全、日志记录与审计。(4)保障要求：设计与开发、生产与交付、运行与维护。三、数据验证本标准通过收集、整理当前信息安全技术关键信息基础设施安全监测预警产品技术相关国内外文献60余篇，查阅《GB/T20986—2023信息安全技术网络安全事件分类分级指南》、《GB/T31509—2015信息安全技术信息安全风险评估实施指南》、《GB/T39204—2022信息安全技术关键信息基础设施安全保护要求》等数字化相关现行国家、行业标准12项，并调研北信源、中科信安、麒麟软件等涉及信息安全技术关键信息基础设施安全监测预警产品技术应用的企业10余家。四、预期的社会经济效果本标准的制定和实施主要有以下几个方面的作用：（1）实现我国关键信息基础设施保护工作部门、运营者、安全服务机构及公安机关监测预警的协同和联动，支撑关键信息基础设施的精准防护、动态防御和联防联控；（2）可为关键信息基础设施用户选择相关产品提供合理依据，避免社会资源浪费；（3）可为关键信息基础设施相关产品的研制、生产、测试、评估和认证提供指导；（4）为相关政府部门和检测认证机构在政策制定、市场监管等方面提供技术支撑。5五、与有关法律、行政法规及相关标准关系的说明（一）国际有关现行法律、法规和相关标准的说明美国国家标准与技术研究院（NIST）于2014年发布了《改善关键基础设施网络安全的框架》，该框架定义了一套着眼于安全风险，应用于关键基础设施的安全风险管控流程。框架并没有提出新的安全要求，但是引用了NIST的特别出版物、国际标准、行业标准、团体标准等相关条款，同时还进一步考虑对《框架》的完善和对标准体系的扩充。2018年，NIST对《框架》进行了修订，并强调文档不仅仅适用于关键基础设施，还适用于其他组织。2017年12月5日，NIST发布了《提供关键信息基础设施网络安全路线图V1.1（草案）》。基于路线图，提出了在关键基础设施框架下一步工作中考虑的开发和协调一致的12个领域，包括网络攻击生命周期、网络安全人员、网络供应链风险管理、一致性评估、身份管理、隐私工程等。为支撑框架的落地执行，美国能源部和国土安全部开发了C2M2模型，定义了4个能力成熟度级别该模型适用于各种类型的机构对其信息系统、工控系统等资产进行安全评估。模型定义了10个安全域，每个安全域分别从组织内网络安全实践的实现情况（方法层面）和安全实践的制度化程度（管理层面）对组织安全能力进行评估。在关键信息基础设施方面，欧洲信息安全局（ENISA）相继发布了多份研究报告和白皮书，用以指导欧盟层面关键信息基础设施安全保护工作。其中，2014年12月发布的《识别关键信息基础设施服务和资产的方法论》，提出识别关键信息基础设施中的服务和资产的步骤和方法；2016年12月发布的《数字服务提供商实施最低安全控制措施技术指南》，提出了27个安全目标、控制措施及对目前已有标准的映射。2020年和2021年发布了在5G、电力方面的安全指导文件。此外，ENISA还在互联网基础设施、ICSSCADA、智能电网、金融、健康、船舶等方面发布了相关规定。（二）与我国有关现行法律、法规和其他强制性标准的关系2021年中华人民共和国国务院第745号令，发布了《关键信息基础设施安全保护条例》，其颁布实施既是落实《网络安全法》要求、构建国家关键信息基础设施安全保护体系的顶层设计和重要举措，更是保障国家安全、社会稳定和经济发展的现实需要。条例的第三十四条明确指出：国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设施安全保护工作。截至目前，国内关于信息安全技术关键信息基础设施方面的相关标准不多，目前发布了国家标准1项、地方标准1项、团体标准6项。有8项国家标准计划，主要侧重于信息安全技术关键信息基础设施安全保护要求、防控方法、指标体系和评估。暂且没有强制性标准的发布。本文件的制定将填补关键信息基础设施安全监测预警产品的标准空白，本文件适用于关键信息基础设施产品提供者进行产品的设计和研发，以及指导第三方评测机构对产品进行评测，也可用于产品使用者参考使用。本文是关键信息基础设施安全保护的相关系列标准之一。本文件主要拟参考引用以下标准：6GB/T20986—2023信息安全技术网络安全事件分类分级指南GB/T25069—2022信息安全术语术语GB/T31509—2015信息安全技术信息安全风险评估实施指南GB/T36635—2018信息安全技术网络安全监测基本要求与实施指南G