信息安全技术 网络安全等级保护安全管理中心技术要求-编制说明

PAGE4PAGE（一）标准制定背景及任务来源安全管理中心是对信息系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台，是信息系统安全防御体系的重要组成部分，涉及系统管理、安全管理、审计管理等各个方面。随着信息安全问题的日益突出，安全管理理论与技术的不断发展，在推动等级保护工作的过程中，安全管理中心已成为各方关注的焦点。此时，GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》和GB/T25070—2010《信息安全技术信息系统等级保护安全设计技术要求》中对安全管理中心的概括性描述已经难以满足相关产品和系统建设的指导需求，迫切需要制定一个具体的针对安全管理中心的技术要求来规范此项工作。通过本项目的研究，形成《信息安全技术网络安全等级保护安全管理中心技术要求》标准，为安全管理中心类产品和系统的开发、建设提供标准要求，为网络信息安全等级保护测评工作和信息系统安全按建设工作的开展提供理论指导，进一步完善网络信息安全等级保护标准评价体系，推动国家信息安全等级保护工作的开展。本标准是全国信息安全标准化委员会2013年9月下达的（计划编号2013bzzd-WG5-007），并由中国电子科技集团公司第十五研究所牵头，由公安部信息安全等级保护评估中心、网神信息技术（北京）股份有限公司共同参与承担的国家标准制定项目。（二）主要工作过程2012年11月成立安全管理中心技术要求编写小组；2012年11月-12月，编写小组组织公安一所、公安三所、网神、中软华泰、安恒、天融信等技术专家，对国内主流安全厂商的产品进行调研和分析，并依据GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》、GB/T25070—2010《信息安全技术信息系统等级保护安全设计技术要求》、MSTL_JGF_04-0190101--2006《信息安全技术安全管理平台产品检验规范》和GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》等标准，于2012年12月，确定了安全管理中心的形态、总体结构和技术框架；2013年1月，完成“网络安全等级保护安全管理中心技术要求”（讨论稿）的起草；2013年1月-2013年3月，多次组织相关专家和技术人员召开了安全管理中心技术要求研讨会，对技术要求进行了讨论，采纳了定义、适用范围、术语等相关建议，明确了功能要求、接口要求、自身安全要求等技术要求内容，并根据各方反馈意见对技术要求内容进行了梳理和修改，形成草案，并向安标委申请立项；2013年4月-2014年3月，结合多轮厂商意见和领域专家意见，对标准草案进行持续完善，细化了分级的具体要求；2014年4月-2014年6月，前往湖北武汉，以湖北地税业务网系统的安全管理中心作为被测对象，开展标准可行性验证测试，编制了《网络安全等级保护安全管理中心技术要求安全标准验证测评报告》，并根据现场测试标准执行情况对草案进行修订；2014年7月16日，通过了安标委组织的中期检查，针对专家提出的意见进行了修改；2015年5月-6月，多次内外部讨论修订，在安全管理中心的咨询过程中也继续征求多方意见；2016年8月，通过安标委组织的进一步意见征求，针对收集到的意见进行讨论和修订；2016年9月，原信息安全等级保护系列标准已申请变更为“网络安全等级保护”标准，为了更加契合等级保护国标的体系，且该标准属于等级保护系列标准之一，故申请变更名称为“信息安全技术网络安全等级保护安全管理中心技术要求”。（三）标准编制原则和主要技术内容确定的依据 制定原则为使技术要求能够满足科学、规范地指导相关单位设计、研发、配置和使用所需要的安全等级的安全管理中心，引导产业技术发展，推动安全等级保护工作开展，确保安全管理中心的功能要求、接口要求、自身安全性等方面符合要求，以及良好的可用性，在技术要求制定过程中，主要遵循了如下几个原则：符合国家的有关政策法规要求；与已颁布实施的相关标准相协调；充分考虑我国安全管理中心产品生产企业的发展水平；基本覆盖目前市场上主要的安全管理中心产品类型；适度考虑目前处于发展成熟过程中的技术，保持一定的前瞻性。确定主要内容的依据主要内容的确定基于如下几个方面：以GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》和GB/T25070—2010《信息安全技术信息系统等级保护安全设计技术要求》对安全管理中心的描述为总体要求，按照等级化原则，结合IPv4向IPv6过渡的应用环境，按照等级保护的不同级别研究不同技术要求，逐级扩大和加强安全管理中心技术要求范围和强度，制定出具有针对性的、可执行强的控制点和要求项；以MSTL_JGF_04-0190101--2006《信息安全技术安全管理平台产品检验规范》和GB/T18336-2008《信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求》中的部分内容作为安全管理中心功能要求和安全要求的参考，结合安全管理中心技术特点进行细化；通过对网神、天融信、安恒、中软华泰、H3C等主要安全管理中心产品生产厂家的相关产品研究和分析，总结了安全管理中心的内涵、主要技术特点和共性特征，形成了功能要求、接口要求、自身安全性要求等技术指标。（四）主要条款的说明，主要技术指标、参数、实验验证的论述本标准草案规定了对基本级和增强级的安全管理中心的技术要求，基本级要求包括16个安全类，40个控制点，125个要求项，增强级要求包括25个安全类，44个控制点，157个要求项。本规范参照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写规则》进行编制。规范的主要结构和内容如下：5基本级安全管理中心技术要求5.1功能要求5.1.1系统管理要求5.1.1.1用户身份管理5.1.1.2数据保护5.1.1.3安全事件管理5.1.1.4风险管理5.1.1.5资源监控5.1.2安全管理要求5.1.2.1安全标记5.1.2.2授权管理5.1.2.3设备策略管理5.1.3审计管理要求5.1.3.1审计策略集中管理5.1.3.2审计数据集中管理5.2接口要求5.2.1接口协议要求5.2.2接口安全要求5.3自身安全性要求5.3.1身份鉴别5.3.2访问控制5.3.3安全审计5.3.4剩余信息保护5.3.5通信完整性5.3.6通信保密性5.3.7抗抵赖5.3.8软件容错5.3.9资源控制5.3.10入侵防范5.3.11数据安全6增强级安全管理中心技术要求6.1功能要求6.1.1系统管理要求6.1.1.1用户身份管理6.1.1.2数据保护6.1.1.3安全事件管理6.1.1.4风险管理6.1.1.5资源监控6.1.2安全管理要求6.1.2.1安全标记6.1.2.2授权管理6.1.2.3设备策略管理6.1.3审计管理要求6.1.3.1审计策略集中管理6.1.3.2审计数据集中管理6.2接口要求6.2.1接口协议要求6.2.2接口安全要求6.3自身安全性要求6.3.1身份鉴别6.3.2安全标记6.3.3访问控制6.3.4可信路径6.3.5安全审计6.3.6剩余信息保护6.3.7通信完整性6.3.8通信保密性6.3.9抗抵赖6.3.10软件容错6.3.11资源控制6.3.12入侵防范6.3.13数据安全附录A（资料性附录）安全管理中心与信息系统等级对应关系附录B（资料性附录）归一化安全事件属性通过组织技术研讨会，对技术要求的合理性、科学性、可行性等进行了多次论证、研讨，并根据各方反馈意见进行了多次修订、完善。以湖北省地税局业务网系统中的安全管理中心作为被测对象，开展了标准草案可行性验证测试，编制了标准验证测试报告，根据测试执行情况对标准条款要求进行了修订。（五）与现行法律法规和强制性标准的关系本技术要求的制定符合国家现行法律法规的规定。本标准是信息安全等级保护相关系列标准之一。与本标准相关的系列标准包括：——GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》；——GB/T25070—2010《信息安全技术信息系统等级保护安全设计技术要求》。本标准与GB17859-1999、GB/T22239-2008、GB/T25070-2010、GB/T20270-2006等标准共同构成了网络安全等级保护的相关配套标准。本标准是对GB/T22239-2008和GB/T25070-2010提出的安全管理中心的相关技术要求的细化。本标准编制依据国家标准化管理委员会发布的《GB/T1.1-2009标准化工作导则第1部分：标准的结构和编写》的相关要求。（六）重大分歧意见的处理经过和依据本次安全管理中心技术要求制定过程中没有重大分歧意见。（七）标准作为强制性或推荐性标准发布的意见本标准是信息安全等级保护相关系列标准之一，建议作为推荐性标准发布，与等级保护标准体系保持一致。（八）贯彻标准的要求和措施建议1、建议国家各部委及行业主管部门将信息系统安全管理中心的建设作为各领域和行业推动信息安全等级保护工作的重要组成部分，作为信息安全专项工作给予资金支持，并加强监督检查；2、建议各行业主管单位组织本行业内的相关部门，结合各领域及行业特点，形成行标，强化其可执行性；3、对于国家财政和行业主管部门资金支持的信息系统建设项目，应明确三级及三级以上信息系统应建立安全管理中心，