《智慧科研机构安全体系建设导则》

ICS01.020

CCSA00T

团体标准

T

T/CI1.2—2024

智慧科研机构安全体系建设导则

Guidelinesfortheconstructionofsecuritysystemforintelligentscientific

researchinstitutions

征求意见稿

2023-XX-XX发布2024-XX-XX实施

中国国际科技促进会发布

智慧科研机构安全体系建设导则

1范围

本标准从规定了智慧科研机构安全体系建设的术语和定义、体系的构成、体系建设的

基本原则和目标、体系建设的基本要求、建设流程。

本标准适用于从事自主创新技术研究的智慧型科研机构的安全体系建设。

2规范性引用文件

下列文件中对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版

本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文

件。

GB/T25069-2010信息安全技术术语

GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求标准

3术语和定义

GB/T25069-2010界定的以及下列术语和定义适用于本文件。

3.1

智慧研究机构SmartResearchInstitutions

基于知识构筑的智慧化组织，其组织、决策、运营、市场营销、管理和科研生产模式

是以知识应用为基础，以创新驱动发展为目的，具有自学习、自成长、自优化、自适应的特

征，是支撑我国科研院所未来自主创新的核心科研组织。

3.2

智慧研究机构安全SecurityOfSmartResearchInstitutions

在智慧研究机构中对信息的保密性、完整性和可用性的保持，以及依此提供的信息安

全、网络安全和运行安全。

3.3

智慧研究机构安全体系建设ConstructionOfSafetySystemForScientific

ResearchInstitutions

智慧科研机构安全体系建设是指通过建立健全的安全管理制度、技术防范体系和应急

响应机制，确保科研机构的信息安全，网络安全和运行安全。

3.4

智慧研究机构安全管理者SecurityManagerofSmartResearchInstitutions

智慧科研机构信息安全组织建设、机制建设，以及协调监督的实体。

3.5

智慧研究机构安全建设者SecurityBuilderforSmartResearchInstitutions

智慧科研机构信息安全工程实施，部署智慧研究机构安全技术防护措施的实体。

3.6

智慧研究机构安全运维者ConstructionOfSafetySystemForScientificResearch

Institutions

负责智慧科研机构安全事件的监测、预警、响应、应急处置和恢复的实体。

4缩略语

下列缩略语适用于本文件。

5智慧科研机构安全目标

围绕智慧科研机构安全保护对象，智慧科研机构安全提供者、安全管理者、智慧科研机

构建设者、智慧科研机构安全运维者等安全角色相互协作，实现以下安全目标：

a)保证智慧科研机构信息系统安全运行，尤其是保证重要关键信息系统的可用性和可

靠性；

b)保证智慧科技机构的数据资产的真实性、保密性、完整性、可用性和可靠性；

c)保证智慧科研机构应用和服务的可用性、可靠性和可核查性；

d)保证智慧科技机构整体安全的合理性、鲁棒性和可扩展性。

6智慧科研机构安全体系概述

智慧科研机构安全体系建设是指通过建立健全的安全管理制度、技术方法体系和应急响

应机制，确保科研机构的信息安全、网络安全和运行安全，并且审核信息安全职能（责任）

部门制定的信息安全管理策略、工作流程和各种规章制度，监督信息安全措施的落实和执行，

领导信息安全检查工作。

6.1智慧科研机构安全保护的对象

智慧科研机构安全保护对象分为硬件设备、软件设备、信息系统、数据资产与应用服务。

硬件设备是智慧科研机构中具有独立工作能力的信息采集或处理设备，包括终端、网络

设备、安全设备、服务器等。

软件设备是服务于智慧科研机构的工具和业务应用系统等。

信息系统指应用服务、数据资产、硬件设备之外的ICT基础服务，为科研机构提供网络、

存储、计算等基础资源服务，包括虚拟化平台和云服务等。

数据资产是智慧科研机构收集、存储、传输、处理和产生的各种电子数据。

应用服务是应用系统提供的数据共享服务及数据服务和数据计算服务等。

6.2智慧科研机构安全体系框架

智慧科研机构安全体系框架是实现智慧科研机构安全目标的参考模型，由智慧科研机构

的安全保护对象、安全要素、安全角色及其相互关系组成，如图1所示。其中安全要素包含

安全管理、安全技术、安全建设、安全运营和配套安全产品及工具等方面。

图1.智慧科研机构安全体系框架

6.3智慧科研机构安全角色

6.3.1智慧科研机构安全管理者

智慧科研机构安全管理者的职责包括但不限于：

a)制定智慧科研机构安全管理机制；

b)制定智慧科研机构安全人才培养和安全意识教育计划；

c)为智慧科研机构建设者、安全运营者提供指导和必要支持。

d)定期开展智慧科研机构安全应急演练活动；

e)及时报告安全威胁信息与安全事件；

6.3.2智慧科研机构安全建设者

智慧科研机构安全建设者的职责包括但不限于：

a)实施智慧科研机构安全工程建设；

b)部署有效的智慧科研机构安全防护措施；

c)测试智慧科研机构信息工程建设安全建设方案；

d)定期对智慧科研机构安全建设方案进行评审和改进；

6.3.3智慧科研机构安全运维者

智慧科研机构安全运维者的职责包括但不限于：

a)负责智慧科研机构安全运行与维护管理；

b)监测智慧科研机构安全风险，分析安全态势；

c)发现智慧科研机构安全事件和脆弱性、防范、阻断网络攻击；

d)应急处置智慧科研机构安全风险与安全事件；

e)制定、评估并修订智慧科研机构安全事件应急预案；

f)实现对恶意行为的取证和追踪溯源；

g)保证灾后智慧科研机构信息系统快速恢复正常运转状态；

h)有效控制智慧科研机构安全事件造成的负面影响。

6.3.4智慧科研机构安全提供者

a)设计开发安全产品与应用，并提供维护技术服务；

b)按照智慧科研机构安全管理策略部署安全技术措施；

c)协助智慧科研机构安全建设者进行工程建设，提供安全产品、服务及技术服务支持；

d)协助智慧科研机构安全运营者完成应急恢复及调查取证，提供安全产品、服务及技

术支持。

6.4智慧科研机构安全要素

智慧科研机构安全管理主要包括管理制度建设、应急响应机制、人员安全意识培训、教

育培训和演练等。

智慧科研机构安全技术由智慧科研机构服务提供者研究、开发和设计应用，在物理层、

网络通信层、计算与存储层、数据及服务融合层以及智慧应用层五个层次分别部署安全技术

防御措施，应对智慧科研机构安全风险。

智慧科研机构安全建设与运营主要包括信息安全工程实施和安全运营。智慧科研机构信

息安全工程实施是指信息系统/设备开发、采购、集成、组件、配置及测试。智慧科研机构

安全运营是对信息系统运行状态的维护、监测，对安全事件的报告、应急处置、恢复，确保

并维持智慧科研机构的各项业务安全有序运行。

7智慧科研机构安全管理

7.1信息安全管理制度建设

信息安全管理制度建设包括但不限于以下内容：

a)应建立安全保卫制度；

b)应建立保密管理制度；

c)应建立信息安全风险评估制度；

d)应建立规范的信息安全管理流程。

7.2应急响应机制

应急响应机制包括但不限于以下内容：

a)安全事件应急预案及其有效性评估；

b)应急处置机制；

c)安全事件教育培训；

d)应急智慧体系。

7.3人员安全意识培训和演练

人员安全意识培训要求的主要内容：

a)加强对科研人员的教育培训，提高他们的信息安全意识和安全技能，增强他们的安

全责任干和风险意识。

b)定期组织演练，提高科研人员在面对安全事件时的应变能力。

7.4安全管理体系建设

安全管理体系建设要求的主要内容：

a)建立健全的安全管理体系，包括安全组织架构、安全管理流程、安全培训计划等，

确保安全管理工作的有效开展。

b)制定信息安全总体策略，明确机构安全工作的总体目标、范围、原则和安全框架等

内容，其安全体系也应围绕其总体策略建设。

8智慧科研机构安全技术

技术防范体系建设与网络安全防护包括但不限于以下内容：

8.1物理层提供基础的安全保障

对实验室、办公场所、网络设备等物理场所进行安全控制，避免设备被破坏、数据被泄

露等情况的发生。

8.2网络层提供安全的通信信道

a)局域网

b)广域网

c)互联网等。

8.3系统层提供技术支持和防护措施

a)软件

b)硬件

c)计算与存储

1）数据内容、数据与服务融合资源的防护措施；

2）数据存储安全；

3）基础软件安全，包括但不限于操作系统、数据库、中间件和资源管理软件的安

全。

d)通信网络

1）科研网络应支持资源分层隔离安全

2）不同保护等级的业务应分区域进行保护

3）应支持细粒度网络层安全策略访问控制

e)智慧应用

1）智慧应用的可靠性和可扩展性；

2）应用软件、职能终端、网站等防护措施；

f)数据安全及通信网络安全

1）物理或虚拟计算资源安全；

2）物理或存储资源安全；

3）身份鉴别；

4）访问控制；

5）网络接入安全；。

8.4内生安全

a)可获得性

1）软硬件基础设施资源应可持续获得

2）软硬件维护与安全支持服务应可持续获得

b)安全可控

1）软件资源应遵从安全规范开发

2）硬件设备应支持可信启动

3）软硬件及算法模块无后门

4）重要网络环境CPU、OS、服务应符合安全可靠测评要求

c)安全韧性

1）IT架构无单点故障风险

2）网络应遵从服务分层与分区域隔离

3）产品部件应具备一定故障恢复能力

4）产品部件宜具备初步入侵感知、阻断能力（密码爆破、输入校验等）

d)安全功能配置

1）产品材料应包含安全配置说明

2）应支持配置文件备份与还原

3）配置项应默认为安全选项

4）应支持弱口令防范机制、审计机制

8.5高价值资产安全

智慧科研机构场所存在高价值专用设备、高性能通用与专用计算能力、机密科研实

验与成果数据，宜在分层防御的基础上需针对此类高价值资产进行安全增强保护。

a)算力安全

1）支持算力运行状态监控

2）支持大规模算力节点认证管li6

3）支持机密计算能力

b)数据安全

1）支持敏感数据混淆与脱敏能力

2）科研成果数据如大模型微调与权重数据使用增强的访问控制

3）参考“3+2+1”数据安全备份机制，侧重隔离独立保存

4）存储与网络支持重要数据勒索防范机制

c)密码安全

1）使用证书进行设备与算力节点认证

2）密码技术产品符合密码测评安全要求

3）对重要数据进行加密存储

d)设备安全

1）专用设备应隔离部署

2）支持物理与网络访问控制

3）具备紧急关停等熔断机制

8.6事件响应层提供监测预警和处理安全事件

安全监控和预警应包括但不限于以下内容：

a)按照《国家网络安全事件应急预案》的规定进行预警分级、监测预警、预警研判及

预警响应与解除；

b)基础硬件设备的监测监控；

c)漏洞和恶意代码识别、修补和防范机制；

d)安全态势感知。

整体安全态势感知应整合各类应用服务与设备告警日志、关键流量，进行安全分析，

防范单点绕过，发现隐藏的威胁。

1）应具备网络设备的安全资产全景、风险现状、入侵事件及处置状态的统一呈现

2）应支持与多元感知数据来源对接

3）应支持对收集的日志与事件进行查询、管理

4）应具备运维入侵感知能力，可对接审计能力，及时发现口令暴力破解、异常登

录行为、非法账号创建等行为

5）宜支持基于资产的风险管理与配置核查

6）应支持高级威胁分析

7）宜支持安全事件的处置闭环

8.7安全服务层提供专业的安全服务

安全服务包括但不限于业务上线安全检测、安全基线检查、安全配置加固，安全镜像管

理，安全漏洞修复，可通过安全咨询、运营、运维服务提供。

1）安全咨询

2）安全检测

3）安全加固等。

9智慧科研机构安全建设与运营

9.1工程实施

应对项目过程进行安全管理，对相关安全角色进行授权与保密培训，管控项目验收编制

安全要求，确保安全交付有效性，业务处于被保护状态。

9.2监测预警与应急处置

9.3灾备恢复

应制定灾备恢复计划，明确灾备恢复原则与保护对象，安全角色依据计划进行安全备份

与归档及灾备资源的储备和使用，定期进行安全恢复检验与测试，确保业务和数据可用，

灾备方案有效。

《智慧科研机构安全体系建设导则》

编制说明

一、标准制定的目的、意义

随着互联网、物联网、大数据等技术的发展，也将数据安全的

问题推到我们面前，建设数据安全体系成为我们需要解决的问题。

现阶段，我国网络安全政策法规体系不断健全，网络安全工作体制

机制日益完善，发布了300余项国家标准，基本构建起网络安全政策

法规体系的四梁八柱。颁布了《网络安全法》《数据安全法》《个

人信息保护法》《关键信息基础设施安全保护条例》等一系列法律

法规，出台了《网络安全审查办法》《云计算服务安全评估办法》

《汽车数据安全管理若干规定（试行）》等政策文件，建立关键信

息基础设施安全保护、网络安全审查、云计算服务安全评估、数据

安全管理、个人信息保护等一系列的重要制度。

《中华人民共和国国民经济和社会发展第十四个五年规划和

2035年远景目标纲要》中第十五篇统筹发展和安全建设更高水平

的平安中国，包括四章内容，全部都是涉及我国安全体系的要求，

明确要求需确保公共数据安全、扩大基础公共信息数据安全有序开

放、营造开放、健康、安全的数字生态等。

近年来,我国各部委、省市及高校等科研单位纷纷建立起科学数

据共享平台。在数据共享热潮涌动的当下,科研数据安全问题日渐突

出。数据共享中的安全管理政策制定存在较大的优化空间。因此，

起草组结合国家发展战略和科研机构面临的数据安全问题，编制

《智慧科研机构安全体系建设导则》，通过建立完善的安全体系建

设导则，指导科研机构解决面临的安全问题。

通过对国内外标准的搜集和整理，现阶段，针对智慧科研机构

的概念运用并不广泛，基本没有涉及智慧科研机构安全体系方面的

国际标准、国家标准、行业标准和团体标准，但是涉及数据安全的

标准相对较多。

二、标准编制原则及依据

1.按照GB/T1.1－2020《标准化工作导则第1部分：标准化

文件的结构和起草规则》要求进行编写。

2.参照相关法律、法规和规定，在编制过程中着重考虑了科学

2

性、适用性和可操作性。

三、项目背景及工作情况

（一）任务来源

中国国际科技促进会

（二）标准起草单位

本标准的主要起草单位是国家信息技术安全研究中心、工业和

信息化部电子第五研究所、华为技术有限公司、北京可信华泰科技有

限公司、神州网安（北京）信息科技有限公司参与起草。

（三）标准研制过程及相关工作计划

本标准是由中国国际科技促进会下达的团体标准编制任务，由

中国国际科技促进会归口管理。本标准由国家信息技术安全研究中心

牵头负责编制。

2023年12月1日-2023年12月5日，国家信息技术安全研究中心成

立标准起草小组，确定工作组成员，组织召开研讨会及多次电话会议

等，形成标准编制计划。

2023年12月—2024年2月，编制组首先对国内外智慧科研机构安

全体系建设相关的资料、规范进行了调研和分析。初步完成标准草案，

形成标准讨论稿、编制说明初稿。

2024年3月，召开标准启动内部讨论稿意见征集，对标准讨论稿

的框架和内容进行充分沟通，完善标准草案。

2024年4月，起草组召开工作研讨会，会后根据各参编单位的讨

论意见，修改形成《智慧科研机构安全体系建设导则》标准征求意

见稿。

2024年6月，对标准草案征求意见稿进行网上公开，广泛征求相

关行业专家意见。

2024年6月中，汇总处理专家意见，完成标准送审稿、意见汇总

处理表、编制说明的整理并提交至标委会秘书处审核。2024年6月底，

召开技术评审会，对标准草案送审稿进行技术审查。2024年7月初，

完成评审意见处理，形成标准报批稿及相关资料。协会给标准赋号并

公开发布。

2024年7月，完成标准印制。

四、标准制定的基本原则

在编制标准过程中，遵循了以下三项原则。

3

一是遵循国家法律、法规等相关规定，制定过程严格按照程序

执行。本标准的编制过程经历了标准编制筹备阶段、标准草案编制

阶段（草案讨论、编制、内部征求意见、修改、再征求意见等环

节），制定过程严格按照国家标准制定程序要求。目前是到审定稿

的意见征求。本标准的编制严格遵循GB/T1.1-2020《标准化工作导

则——标准的结构和编写》的要求，并使用中国标准编辑器进行文

本的编辑。

二是充分借鉴