国家标准《网络安全技术 安全配置检查产品技术规范》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据《全国网络安全标准化技术委员会关于17项网络安全国家标准项目立项

的通知》（网安字〔2024〕2号），推荐性国家标准《网络安全技术安全配置检

查产品技术规范》立项，由上海国际技贸联合有限公司牵头制定，国家标准化管

理委员会标准计划号：2024XXXX-T-XXX。该标准由全国网络安全标准化技术委员

会归口管理。

1.2主要起草单位和工作组成员

上海国际技贸联合有限公司负责起草，公安部第三研究所、中国网络安全审

查技术与认证中心、北京神州绿盟科技有限公司、北京天融信网络安全技术有限

公司等40余家单位共同参与了该标准的起草工作。主要起草人：王志佳、赵云、

宋好好等。

1.3主要工作过程

1)草稿

2023年7月，全国网络安全标准化技术委员会发布了《关于发布2023年度

第二批网络安全国家标准需求的通知》，安全配置检查产品的技术规范是其中一

项。根据项目工作要求，我单位立即成立了标准申报小组，并邀请该类产品生产

厂商、产品检测认证机构、科研院所等单位组建了标准编制组，联合申报该标准，

并组织编写了申报材料。编制组人员首先对所参阅的产品、文档以及标准进行反

复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修

改的基础上，开始具体的编制工作。2023年7月至8月，对国内外不同类型的

安全配置检查产品的相关技术文档以及有关标准进行前期基础调研。在调研期间，

主要对安全配置检查产品历年计算机信息系统安全专用产品销售许可、网络安全

专用产品检测和认证的记录、报告以及相关的技术文档材料进行了筛选、汇总、

分析，对安全配置检查产品的技术发展动向进行了研究，对技术文档和标准进行

了分析理解。在充分调研的基础上，标准编制组完成了标准草案（第一稿）。

2023年8月，全国网络安全标准化技术委员会WG5组在北京召开2023年工

1

作组第二次全体会议，组织研讨2023年第二批立项标准。标准编制组介绍了安

全配置检查产品的定义、重要应用场景和作用，汇报了标准立项的意义和重要性、

标准编制组成员及相关研究基础、标准研究的目标和应用推广方案，以及标准草

案的主要架构和重要技术要求条款。现场专家和WG5组成员对标准立项材料进行

了讨论和点评，对标准编写给出了指导意见。标准编制组根据专家意见对标准草

案进行了修改完善。

2023年9月，2023年国家网络安全宣传周期间，全国网络安全标准化技术

委员会秘书处在福州组织召开2023年第二批网络安全国家标准立项专家评审会。

标准编制组汇报了标准拟解决的问题、标准草案整体框架、标准化解决方案和标

准应用实施方案。现场专家对标准立项的意义、标准化解决方案和应用实施方案

进行了质询和讨论，对标准草案进行了审查。标准编制组根据专家意见，结合

GB42250—2022《信息安全技术网络安全专用产品安全技术要求》，统一了标准

的模板。

2024年2月，全国网络安全标准化技术委员会发布了《关于17项网络安全

国家标准项目立项的通知》，同意该标准立项，并由上海国际技贸联合有限公司

牵头负责该标准的制定工作，并确定标准名称为《网络安全技术安全配置检查

产品技术规范》。随后，标准编制组在全国网络安全标准化技术委员会网站公开

征集参编单位，目前编制组成员共46家。

2024年3月，国家市场监督管理总局国家标准技术审评中心组织召开2024

年信息技术领域推荐性国家标准立项评估会。标准编制组汇报了该标准立项的必

要性和可行性、适用范围、拟解决的主要问题、技术先进性和创新性、与现有法

律法规及相关标准的协调配套、实施主体及建议等内容。

2024年3月到4月，标准编制组内部针对标准草稿开展了多轮线上征求意

见和讨论工作，对标准草案进行了完善。

2024年4月，全国网络安全标准化技术委员会WG5工作组在北京召开网络

安全产品标准研讨会，标准编制组根据WG5组成员单位的意见对标准草案进行了

修改完善，形成了标准草案（第二稿）。

2024年6月，全国网络安全标准化技术委员会在江西南昌召开网络安全标

准周活动，标准编制组对标准编制情况进行了汇报。根据WG5组会议决议，建议

2

标准形成征求意见稿。标准编制组根据WG5组成员单位的意见对标准文本行进了

修改完善，形成征求意见稿（第一稿）。

2)征求意见稿

2024年9月，全国网络安全标准化技术委员会秘书处在北京组织召开网络

安全国家标准征求意见稿审查会。参会专家一致同意标准通过审查，建议编制组

根据会议意见修改后，发起公开征求意见。编制组根据专家意见，对标准进一步

修改完善。此次修改包括：对引言和概述进一步完善，对部分配置检查要求和测

评方法进行细化，统一互联互通条款的格式并对互联互通功能、信息和接口要求

进行细化等。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1标准编制原则

为了使安全配置检查产品国标与现有其他国家标准保持一致，本标准的制定

参考了现行的其他国家标准，主要有GB42250、GB/T18336等。

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与

要求如下：

1、依法合规

本标准的制定符合相关法律法规、标准的规定。

1）符合《中华人民共和国网络安全法》第二十三条，支撑网信部门、公安

部门的网络安全专用产品的检测和认证工作；

2）符合GB42250—2022《信息安全技术网络安全专用产品安全技术要求》、

GB/T25066—2020《信息安全技术信息安全产品类别与代码》。

2、实用性原则

标准必须是使用的，才有实际意义。本标准的制定从标准的定位、使用标准

的相关方等实际出发，紧贴标准的应用范围。标准在制定过程中严格按照流程对

产品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关产品生

产单位、监管单位的交流，使得标准更贴近产品实际情况，保证操作性。

1）本标准用于支撑公安部门、网信部门网络安全专用产品的监管工作，考

虑该类产品的现状和发展趋势，规范、引领产品的研发和检测工作。

3

2）标准编制组中包含该类产品的主要厂商，能够保证标准的技术要求条款

可在产品上落地实现。

3）标准编制组包含网络安全产品检测和认证机构，能够保证标准中的测试

评价方法具有可操作性。

4）安全配置检查产品的销售许可和网专检测出具了五十余份报告，市场成

熟稳定，该标准的编制能够指导产品厂商按照标准要求研发、生产产品，保护重

要信息系统和关键信息基础设施安全。

3、先进性原则

标准是先进经验的总结，同时也是技术的发展趋势。要制定出先进的行业标

准，必须广泛了解市场上主流产品的功能，吸收其精华，制定出具有先进水平的

标准。本标准的编写始终遵循这一原则。

标准征集了产品检测认证机构、知名厂商等共同参与编制，标准文本得到了

广泛的行业认可和支持，充分研究该类产品的安全需求、实现技术以及发展趋势，

并参考国际标准ISO/IEC15408，保证标准文本的先进性。

4、兼容性原则

标准是作为GB42250—2022《信息安全技术网络安全专用产品安全技术要

求》的配套标准而编制的，引用了GB42250的部分条款作为通用要求，与强制

性国家标准兼容。

2.2编制背景

在当今严峻的网络安全形势下，众多企事业单位投入大笔资金进行网络安全

建设，但网络安全态势依旧不容乐观。其中很大一部分原因是信息系统中的主机、

数据库、中间件、网络设备和安全设备的安全策略配置不当。现阶段的安全配置

检查，大多依赖有经验的技术人员通过人工手动进行，往往需要耗费大量的人力

和时间，且引入的人为风险因素过高，难以真正全面掌握信息系统安全配置的安

全性和合规性。

安全配置检查产品是对操作系统、数据库、中间件、网络及安全设备等的安

全配置进行检查，与预定义的安全基线进行比对，判断其是否符合要求的产品。

它可以通过自动化的方式，识别违反安全基线或最佳实践的配置设置，以及存在

4

漏洞和弱点，帮助管理员或安全专家评估信息系统的整体安全性，并提供指导和

建议来改善配置和修复漏洞。安全配置检查产品在保护信息系统中极为重要，能

有效保护重要信息系统和关键信息基础设施中网络节点，提升系统整体安全。

2023年7月1日，强制性国家标准GB42250正式实施。随后，国家互联网

信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会等部门

更新了《网络关键设备和网络安全专用产品目录》，将安全配置检查产品列入网

络安全专用产品目录。安全配置检查产品用于对操作系统、数据库、中间件、网

络及安全设备等的安全配置进行检查，与预定义的安全基线进行比对，判断其是

否符合基线要求。其可以自动识别违反安全基线或最佳实践的配置，帮助管理员

或安全专家评估信息系统的整体安全性，并提供指导和建议来改善配置。但GB

42250是一个适用于所有网络安全专用产品的基线标准，仅对产品的安全功能要

求、自身安全要求等提出了基本要求，其安全功能要求无法体现各类网络安全专

用产品的特性。因此，其必须配合相应类别的产品国标一起使用。而安全配置检

查产品作为一类网络安全专用产品，缺少与GB42250配套的国家标准，这严重

的影响了网络安全法的实施以及网络安全专用产品的安全管理

2023年7月20日，全国网络安全标准化技术委员会发布了《关于发布2023

年度第二批网络安全国家标准需求的通知》，安全配置检查产品技术规范是其中

一项。

2.3编制目的

安全配置检查产品是网络安全专用系列产品中重要的一类，该国标适用于安

全配置检查产品的设计、开发、测试与评价，其制定能够解决：

1、作为强制性国家标准GB42250的配套标准，推动网络安全法的实施，支

撑网络安全专用产品的安全管理工作。

2、指导产品的设计、研发、生产，使其能够有效保护重要信息系统和关键

信息基础设施中网络节点安全。

3、统一产品的测试评价方法，使其能够有效应用于产品的测试评价，筛选

合格产品，也能推动测试结果的互认。

5

2.4标准主要编制依据

1、GB42250

GB42250-2022《信息安全技术网络安全专用产品安全技术要求》是网络安

全专用产品的强制性国家标准，所有网络安全专用产品都必须符合其要求。本标

准的自身安全要求和安全保障要求引用GB42250中的条款作为通用要求。

2、GB/T18336

GB/T18336《信息技术安全技术信息技术安全评估准则》是评估信息技术

产品和系统安全性的基础准则。本标准的安全保障要求主要参考GB/T18336中

的相关条款。

3、GA/T1142-2014、GA/T1544-2019

GA/T1142-2014《信息安全技术主机安全检查产品安全技术要求》是主机

类安全配置检查产品的公安行业标准。GA/T1544-2019《信息安全技术网络及

安全设备配置检查产品安全技术要求》是网络及安全设备类安全配置检查产品的

公安行业标准。本标准的安全功能要求参考GA/T1142-2014、GA/T1544-2019

中的相关条款。

2.5编制思路

1、安全功能要求一方面参考GA/T1142-2014、GA/T1544-2019，一方面广

泛征集安全配置检查产品厂商和用户单位意见，对新类型的配置检查对象（如：

中间件、虚拟化平台、容器等）、新技术发展方向、用户新需求等进行充分的调

研，保证安全功能可落地实现，且体现产品的发展方向。

2、自身安全要求以GB42250为通用基础要求，在GB42250基础上，结合

产品自身特点增加其他的自身安全要求条款。

3、环境适应性要求，结合产品特点增加了IPv6网络环境、虚拟化网络环境

要求。

4、安全保障要求以GB42250为通用基础要求，在GB42250基础上增加GB/T

18336中要求的安全保障条款。

5、测试评价方法广泛征集产品检测、认证机构意见，并在征求意见过程中，

对标准的进行测试验证，保障测试方法就有可操作性。

6

2.6标准主要内容及其确定依据

1、标准主要内容

本标准将技术要求分为安全功能要求、自身安全要求、环境适应性要求和安

全保障要求。其中，安全功能要求包括：安全配置基线管理、检查任务管理、配

置采集、配置检查、检查报告、互联互通；自身安全要求包括：通用要求、标识

和鉴别、管理权限安全、通信安全、用户信息安全；环境适应性要求包括：IPv6

网络环境、虚拟化网络环境；安全保障要求包括：通用要求、设计与开发。此外，

本标准针对安全技术要求提出对应的测试评价方法，为使用标准的人员提供一个

测试评价产品的技术准则。

2、主要条款确定依据

安全配置检查产品是一类通用的配置检查工具，它基于安全配置基线实现对

信息资产安全配置的检查和合规性分析。其中，安全配置基线是产品进行检查的

依据，安全配置基线可以有多种，例如：等级保护基本要求、政务计算机终端核

心配置规范等，也有行业标准、企业标准、出厂配置规范等。这些配置基线可以

由产品内置，也可以从外部导入。由于这些配置基线都有相应的标准进行规定，

因此本标准不对安全配置基线的内容进行要求。因此，引入了安全配置基线管理

要求，该要求规定产品应内置安全基线，也能导入安全基线。此外为了解决用户

个性化需求，提出了自定义安全配置基线，修改检查的安全配置项以及配置基值

要求。

安全配置检查产品运行过程中，一般会通过配置采集探针或远程登录到被检

查对象采集配置信息，为不影响检查对象，提出了采集影响相关要求，规定产品

工作过程中不能改变检查对象的配置，不影响检查对象正常运行。同时，还提出

检查任务管理要求，规定产品能够按计划任务执行配置检查，旨在可以在系统非

高峰期自动执行检查任务。

此外，本标准仅对采集配置的静态检查进行要求，不包含对配置的功能性验

证内容。例如，身份鉴别中登录失败多次锁定配置，产品在配置中检查到相关配

置及参数即认为进行了正确的配置。但是，如果要对配置和参数的有效性进行验

证，就必须要选择一个用户，让其连续登录失败达到预定义的次数。如果配置是

7

有效的，那势必会将该用户锁定。这将对被测对象的稳定运行带来极大影响。因

此，本标准不包含对配置的功能性验证相关内容。

安全配置检查产品检查信息资产的范围主要包括：操作系统、数据库、中间

件、网络及安全设备、虚拟化平台、容器等，本标准仅针对以上常用的信息资产

对象进行要求。因此提出操作系统配置检查、数据库配置检查、中间件配置检查、

网络及安全设备配置检查、虚拟化平台配置检查、容器配置检查六类对象配置检

查要求，此六类检查要求均为有则适用，本标准要求安全配置检查产品至少支持

其中一类。其中每类对象具体的检查项包括：身份鉴别、访问控制、安全审计、

远程登录、补丁安装、启动项、防火墙、网络通信、存储、备份恢复等方面的配

置检查内容。

配置检查的结果一般以检查报告的方式呈现，因此本标准提出了检查报告要

求，规定产品能够对单个配置检查项的检查结果（符合/不符合基线）进行展示，

对于不符合基线的，还需要展示当前配置项参数与安全基值的具体值，并给出修

复建议。此外，要求产品能够对检查对象整体的检查结果，如配置项符合情况统

计，安全风险分析等。

为了共享产品产生的信息，支撑监测预警、信息共享、态势感知等应用，提

出了互联互通要求。互联互通功能方面，产品涉及功能类型中的脆弱性识别功能

（即：脆弱性识别的b）项，发现已识别资产中可能存在的脆弱性，包括漏洞扫

描、代码审计、配置核查等，形成脆弱性信息）；在互联互通信息方面产品涉及

信息类型中的脆弱性信息（脆弱性信息是描述可能被一个或多个威胁利用的资产

或控制的弱点的信息，包括但不限于代码问题信息、配置错误信息等），不涉及

告警信息。

在自身安全方面，根据全国网络安全标准化技术委员会的要求，引入了GB

42250的自身安全要求作为通用要求。同时，为加强自身安全，在GB42250基

础上增强了标识和鉴别、自身访问控制、自身安全审计、通信安全四个方面提出

了增强的要求。由于安全配置检查产品采集的配置数据比较敏感，为保证用户数

据安全，要求产品采取措施保护存储的检查对象的鉴别信息、配置信息等敏感用

户信息的安全，包括：保证敏感用户信息的保密性、提供敏感用户信息删除功能。

在环境适应性要求方面，在国家大力推动IPv6网络环境的全面部署的背景

8

下，很多企事业单位的网络都组件支持了IPv6，因此提出了支持IPv6网络环境

的要求。此外，随着云计算、虚拟化技术的广泛应用，很多信息系统都部署在虚

拟化环境中，为了提高产品对操作系统、数据库、中间件、网络及安全设备、虚

拟化平台、容器等常用测评对象的支持程度，提出了支持虚拟化网络环境的要求。

在安全保障要求方面，根据全国网络安全标准化技术委员会的要求，引入了

GB42250的安全保障要求作为通用要求。在GB42250基础上，根据GB/T18336，

在设计与开发方面提出了增强的要求。

2.7新旧标准内容对比

制定标准，不涉及。

三、主要试验[或验证]情况分析

1、应用实施的总体目标为：将本标准作为GB42250-2022《信息安全技术网

络安全专用产品安全技术要求》的配套标准，应用于网络安全专用产品的安全管

理，指导安全配置检查产品的设计、研发、生产、使用及测评。

2、应用实施牵头单位为公安部第三研究所，本标准将依托其下属的公安部

计算机信息系统安全产品质量监督检验中心开展针对安全配置检查产品的标准

验证、宣贯培训、安全检测等，最终有效推进标准应用到该类产品的检测认证、

监管等工作中。

3、应用实施方案

1）、厂商试用：在标准内容基本确定后，征求意见过程中实施，目的为保证

标准条款在厂商侧能够落地，切合产品的应用场景和技术发展方向，能够指导其

设计、研发生产。

2）、检测认证机构试用：与厂商适用同步进行，保证标准的测试和评价方法

在检测认证机构侧可行，能够应用于产品测评。

3）、标准宣贯：在标准发布后（一个月内），由检测认证机构进行解读标准，

指导设计和开发，分享厂商和应用的成功案例。

4）、网专检测：在标准实施后，由网专产品监管部门推动，将标准应用于网

专产品检测中，并定期进行监督抽查，落实网专产品管理。

9

5）、用户推广：在标准实施后六个月内，由用户单位安装部署产品进行试用

和评估，主要用于用户侧的应用推广。

4、应用实施情况分析

2024年4月，根据全国网络安全标准化技术委员会《关于召开网络安全国

家标准试点工作部署会的通知》要求，编制组完成了《标准项目试点工作方案》

草稿，并提交秘书处。2024年5月，全国网络安全标准化技术委员会WG5工作

组召开试点工作方案评审，编制组根据评审专家意见对试点工作方案进行了完善。

试点工作计划在标准转为征求意见稿后开始实施。

四、知识产权情况说明

本标准不涉及专利及知识产权问题。