《信息安全技術(shù) 網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)要求-編制說(shuō)明》

國(guó)家標(biāo)準(zhǔn)報(bào)批資料

一、工作簡(jiǎn)況

《信息安全技術(shù)網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)要求》是國(guó)家互聯(lián)網(wǎng)信息辦公室2016年

下達(dá)的信息安全國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目。本標(biāo)準(zhǔn)為自主制定標(biāo)準(zhǔn)，標(biāo)準(zhǔn)編制單位由華

為技術(shù)有限公司、公安部第三研究所、華中科技大學(xué)、上海交通大學(xué)、北京匡恩

網(wǎng)絡(luò)科技有限責(zé)任公司、杭州海康威視數(shù)字技術(shù)股份有限公司、中國(guó)電子技術(shù)標(biāo)

準(zhǔn)化研究院、聯(lián)想（北京）信息技術(shù)有限公司、中國(guó)信息安全測(cè)評(píng)中心、浪潮電

子信息產(chǎn)業(yè)股份有限公司等單位組成，歸口單位為全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員

會(huì)（簡(jiǎn)稱信息安全標(biāo)委會(huì)，TC260）。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題

隨著信息技術(shù)的發(fā)展與應(yīng)用，我們正在由信息時(shí)代走向數(shù)據(jù)時(shí)代，數(shù)據(jù)也呈

海量模式增長(zhǎng)，這就必然需要大量的存儲(chǔ)設(shè)備能夠承載海量數(shù)據(jù)的存儲(chǔ)工作。數(shù)

據(jù)集中存儲(chǔ)所帶來(lái)的數(shù)據(jù)價(jià)值集中性不斷地提升存儲(chǔ)設(shè)備在整個(gè)網(wǎng)絡(luò)中的重要

性，同時(shí)也大大增加了存儲(chǔ)設(shè)備所面臨的安全威脅。針對(duì)于此，國(guó)家在政策層面

做出了指導(dǎo)，《國(guó)家中長(zhǎng)期科學(xué)和技術(shù)發(fā)展規(guī)劃綱要（2006━2020年）》中明

確要求建立可保障核心應(yīng)用的信息安全的安全存儲(chǔ)。然而要實(shí)現(xiàn)可保證核心應(yīng)用

信息安全的存儲(chǔ)，就必須在整個(gè)存儲(chǔ)行業(yè)內(nèi)有一套存儲(chǔ)安全技術(shù)方面的標(biāo)準(zhǔn)，以

達(dá)到牽引存儲(chǔ)產(chǎn)品的安全能力共同發(fā)展的目的。目前存儲(chǔ)行業(yè)中存儲(chǔ)技術(shù)和架構(gòu)

達(dá)成共識(shí)的是網(wǎng)絡(luò)存儲(chǔ)，因此本標(biāo)準(zhǔn)致力于規(guī)定出網(wǎng)絡(luò)存儲(chǔ)的安全技術(shù)要求。另

一方面，網(wǎng)絡(luò)存儲(chǔ)安全技術(shù)標(biāo)準(zhǔn)的統(tǒng)一也有助于減小對(duì)于整個(gè)存儲(chǔ)市場(chǎng)不同網(wǎng)絡(luò)

存儲(chǔ)產(chǎn)品安全能力的評(píng)估難度；同時(shí)，可以讓使用網(wǎng)絡(luò)存儲(chǔ)的用戶對(duì)于網(wǎng)絡(luò)存儲(chǔ)

的安全能力有一個(gè)清晰的認(rèn)識(shí)，進(jìn)而更好地建設(shè)自有信息系統(tǒng)。

本標(biāo)準(zhǔn)的研究與編制工作遵循以下原則：

1、規(guī)范性原則

嚴(yán)格按照國(guó)家標(biāo)準(zhǔn)編制流程進(jìn)行標(biāo)準(zhǔn)的編制工作，力求達(dá)到編制的標(biāo)準(zhǔn)思路

清晰、邏輯合理、文本規(guī)范、內(nèi)容完整。

2、協(xié)調(diào)一致性原則

廣泛征求業(yè)界專家的意見(jiàn)，同時(shí)充分考慮相關(guān)標(biāo)準(zhǔn)的關(guān)聯(lián)關(guān)系，力求達(dá)到編

制標(biāo)準(zhǔn)的不同使用方的協(xié)調(diào)一致和標(biāo)準(zhǔn)之間的協(xié)調(diào)統(tǒng)一。

3、可操作性和實(shí)用性原則

國(guó)家標(biāo)準(zhǔn)報(bào)批資料

利用多年的實(shí)踐經(jīng)驗(yàn)，結(jié)合行業(yè)現(xiàn)狀進(jìn)行標(biāo)準(zhǔn)的編制，力求標(biāo)準(zhǔn)在具體執(zhí)行

中操作性和實(shí)用性強(qiáng)。

4、等級(jí)劃分原則

本標(biāo)準(zhǔn)參照網(wǎng)絡(luò)存儲(chǔ)市場(chǎng)產(chǎn)品分為低端系列、中端系列和高端系列三個(gè)級(jí)

別，對(duì)應(yīng)的安全能力為低、中和高三類的現(xiàn)狀，將網(wǎng)絡(luò)存儲(chǔ)安全功能要求按安全

能力的強(qiáng)弱分為第一級(jí)、第二級(jí)、第三級(jí)共三個(gè)等級(jí)，將網(wǎng)絡(luò)存儲(chǔ)安全保障要求

按保障力度的大小分為第一級(jí)、第二級(jí)、第三級(jí)共三個(gè)等級(jí)，在選擇安全功能要

求和安全保障要求級(jí)別時(shí)，滿足所選取安全保障要求的級(jí)別不低于安全功能要求

的級(jí)別。

若涉及到等級(jí)保護(hù)系統(tǒng)選擇網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品時(shí)，建議：

1）用戶自主保護(hù)級(jí)和系統(tǒng)審計(jì)保護(hù)級(jí)的等級(jí)保護(hù)系統(tǒng)選擇滿足或高于第一

級(jí)安全功能要求和安全保障要求的網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品；

2）安全標(biāo)記保護(hù)級(jí)的等級(jí)保護(hù)系統(tǒng)選擇滿足或高于第二級(jí)安全功能要求和

安全保障要求的網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品；

3）結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)的等級(jí)保護(hù)系統(tǒng)選擇滿足第三級(jí)安全功

能要求和安全保障要求的網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品。

4）若等級(jí)保護(hù)系統(tǒng)選擇的存儲(chǔ)產(chǎn)品安全能力在上述建議情形之外，則系統(tǒng)

需實(shí)施額外的安全措施，以保證整個(gè)系統(tǒng)滿足其等級(jí)保護(hù)級(jí)別的基本要求。

5、科學(xué)性原則

既充分考慮國(guó)內(nèi)外存儲(chǔ)行業(yè)目前的技術(shù)能力水平，又對(duì)于行業(yè)健康安全發(fā)展

保持一定的前瞻性。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

1、2016年6月，項(xiàng)目組組建臨時(shí)的標(biāo)準(zhǔn)預(yù)研組，對(duì)國(guó)內(nèi)外存儲(chǔ)技術(shù)、應(yīng)用、

政策和標(biāo)準(zhǔn)進(jìn)行調(diào)研分析，確定存儲(chǔ)安全技術(shù)要求標(biāo)準(zhǔn)化需求。

2、2016年7月，成立正式的存儲(chǔ)安全技術(shù)要求標(biāo)準(zhǔn)編制組，由華為技術(shù)有限

公司、公安部第三研究所、華中科技大學(xué)、上海交通大學(xué)等單位組成標(biāo)準(zhǔn)編制組，

召開(kāi)標(biāo)準(zhǔn)編制啟動(dòng)工作會(huì)議，對(duì)標(biāo)準(zhǔn)編制背景、標(biāo)準(zhǔn)化內(nèi)容等進(jìn)行了深入討論，

確定了標(biāo)準(zhǔn)編制工作機(jī)制，確定了標(biāo)準(zhǔn)編制提綱，并根據(jù)編制提綱進(jìn)行了任務(wù)分

工。

國(guó)家標(biāo)準(zhǔn)報(bào)批資料

3、2016年7月21日，標(biāo)準(zhǔn)編制組進(jìn)行了第一次編寫進(jìn)度匯報(bào)討論，并對(duì)編寫

的方向及章節(jié)進(jìn)行了討論。

4、2016年7月29——30日，標(biāo)準(zhǔn)編制組按照參與單位提供的資料匯總形成了

國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)存儲(chǔ)安全技術(shù)要求》（第一版草案）。

5、2016年9月，標(biāo)準(zhǔn)編制組召開(kāi)標(biāo)準(zhǔn)草案修訂會(huì)議，對(duì)草案文本進(jìn)行了討論，

并根據(jù)修訂意見(jiàn)整理成第二版草案。

6、2016年10月，編制組各參與單位對(duì)第二版草案章節(jié)取舍及分等級(jí)內(nèi)容進(jìn)

行了討論，并根據(jù)意見(jiàn)整理得到第三版草案。

6、2016年11月編制組各參與單位確認(rèn)了交叉評(píng)審的內(nèi)容分配，11月14日討

論了交叉評(píng)審意見(jiàn)，并根據(jù)意見(jiàn)整理得到第四版草案。

7、2017年2——3月，編制組對(duì)第四版標(biāo)準(zhǔn)草案進(jìn)行了全面深入的評(píng)審，對(duì)

于發(fā)現(xiàn)的問(wèn)題進(jìn)行討論及修正，并于3月6日形成第五版草案。

8、2017年3月17日，參加WG5專家評(píng)審會(huì)，并征求專家組的意見(jiàn)，會(huì)后修改

整理形成第六版草案。

9、2017年4月8日至12日，在TC260全會(huì)會(huì)議周上做了標(biāo)準(zhǔn)項(xiàng)目進(jìn)展匯報(bào)，專

家針對(duì)標(biāo)準(zhǔn)的對(duì)象范圍和對(duì)象定位提出了意見(jiàn)。

10、2017年4月至5月，根據(jù)會(huì)議周上專家提出的意見(jiàn)，并與公安部專家共同

商討確定修改方案，至6月上旬，對(duì)標(biāo)準(zhǔn)做了以下幾方面的修改：

1）標(biāo)準(zhǔn)參考體系：首先標(biāo)準(zhǔn)對(duì)象定位于產(chǎn)品，在同時(shí)參考《GB/T

18336-2015信息技術(shù)安全技術(shù)IT安全性評(píng)估準(zhǔn)則》和《GB17859-1999計(jì)算

機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》的基礎(chǔ)上，并充分考慮標(biāo)準(zhǔn)的易用性，對(duì)其

他幾方面作了修改。

2）標(biāo)準(zhǔn)安全框架：重新從分析網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品在通用業(yè)務(wù)場(chǎng)景中可能面

臨的威脅出發(fā)，調(diào)整了標(biāo)準(zhǔn)的安全框架。

3）標(biāo)準(zhǔn)章節(jié)劃分：對(duì)標(biāo)準(zhǔn)章節(jié)條目和內(nèi)容進(jìn)行了合并同類項(xiàng)，使標(biāo)準(zhǔn)

化繁為簡(jiǎn)并滿足于修改后的安全框架。

4）安全功能要求：刪除了部分產(chǎn)品功能之外的要求，以保證不擴(kuò)大對(duì)

象功能要求范圍；修改了安全功能要求的表述，提高了標(biāo)準(zhǔn)的易用性；

國(guó)家標(biāo)準(zhǔn)報(bào)批資料

5）安全保障要求：參照《GB/T18336-2015信息技術(shù)安全技術(shù)IT安

全性評(píng)估準(zhǔn)則》規(guī)定了網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品生命周期內(nèi)的安全性要求。

6）等級(jí)劃分：在充分考慮網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品市場(chǎng)現(xiàn)狀和今后發(fā)展以及產(chǎn)品

應(yīng)用到系統(tǒng)時(shí)的操作性，對(duì)安全功能要求和安全保障要求進(jìn)行了等級(jí)劃分，并且

給出了不同級(jí)別的等級(jí)保護(hù)系統(tǒng)選取存儲(chǔ)安全要求等級(jí)時(shí)的對(duì)應(yīng)性建議。

修改之后，形成了第七版草案。

11、2017年6月21日，在北京召開(kāi)WG5專家組評(píng)審會(huì)，與會(huì)專家對(duì)標(biāo)準(zhǔn)在會(huì)議

周之后的修改成果表示贊同并提出了意見(jiàn)和建議，會(huì)后編寫組根據(jù)意見(jiàn)修改，形

成了第八版草案。

12、2017年6月29日，召集浪潮、聯(lián)想、?？低暤却鎯?chǔ)相關(guān)廠商在北京召

開(kāi)了編寫組研討會(huì)議，與會(huì)單位積極提出意見(jiàn)和建議，會(huì)后還征求了IBM專家的

意見(jiàn)；本次會(huì)議及會(huì)后共收到53條意見(jiàn)和建議，這些意見(jiàn)涉及到了標(biāo)準(zhǔn)的多個(gè)方

面，根據(jù)意見(jiàn)完成修改后，形成了第八版草案。

13、2017年7月26日，在信安標(biāo)委WG5工作組2017年第一次會(huì)議周上，對(duì)標(biāo)準(zhǔn)

進(jìn)展做了匯報(bào)，標(biāo)準(zhǔn)順利進(jìn)入征求意見(jiàn)稿階段，并獲得WG5工作組同意申請(qǐng)將標(biāo)

準(zhǔn)名稱由《信息安全技術(shù)存儲(chǔ)安全技術(shù)要求》改為《信息安全技術(shù)網(wǎng)絡(luò)存儲(chǔ)安

全技術(shù)要求》。

14、2017年8月10日，組織召開(kāi)了電話會(huì)議，有戴爾、聯(lián)想、IBM、公安三所、

匡恩網(wǎng)絡(luò)等單位參加，討論了WG5工作組會(huì)議周期間收集到的意見(jiàn)處理情況，又

充分聽(tīng)取和收集了與會(huì)單位的意見(jiàn)，對(duì)于未能參會(huì)的?？低?、浪潮、電子四院

等多個(gè)單位單獨(dú)進(jìn)行了意見(jiàn)收集和溝通，對(duì)于收集到的意見(jiàn)進(jìn)行修改并于8月17

日整理得到征求意見(jiàn)稿。

四、知識(shí)產(chǎn)權(quán)情況說(shuō)明

本標(biāo)準(zhǔn)不涉及專利。

五、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況

未采用國(guó)際標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)為存儲(chǔ)產(chǎn)品級(jí)國(guó)家標(biāo)準(zhǔn)，國(guó)內(nèi)無(wú)同類標(biāo)準(zhǔn)，國(guó)外只

有系統(tǒng)級(jí)存儲(chǔ)標(biāo)準(zhǔn)。

六、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

(一)貫徹國(guó)家有關(guān)政策與法規(guī)

國(guó)家標(biāo)準(zhǔn)報(bào)批資料

本標(biāo)準(zhǔn)中涉及的密碼算法遵循國(guó)家商用密碼的有關(guān)規(guī)定。

本標(biāo)準(zhǔn)項(xiàng)目主要依據(jù)現(xiàn)有法律法規(guī)制定，與我國(guó)現(xiàn)行的法律、法規(guī)及國(guó)家標(biāo)

準(zhǔn)、行業(yè)標(biāo)準(zhǔn)不存在沖突問(wèn)題。

（二）與相關(guān)國(guó)內(nèi)標(biāo)準(zhǔn)的關(guān)系

標(biāo)準(zhǔn)編制過(guò)程中，參考了GB/T18336-1：2015《信息技術(shù)安全技術(shù)IT

安全性評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型》、GB/T18336-2：2015《信息技

術(shù)安全技術(shù)IT安全性評(píng)估準(zhǔn)則第2部分：安全功能組件》、GB/T18336-3：

2015《信息技術(shù)安全技術(shù)IT安全性評(píng)估準(zhǔn)則第3部分：安全保障組件》、

GB17859-1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》等國(guó)家標(biāo)準(zhǔn)，保證

標(biāo)準(zhǔn)相關(guān)內(nèi)容和已發(fā)布標(biāo)準(zhǔn)的一致性。

七、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)

專家在TC260全會(huì)會(huì)議周上針對(duì)標(biāo)準(zhǔn)的對(duì)象范圍、對(duì)象定位和分級(jí)原則提出

了意見(jiàn)。編寫組在會(huì)后針對(duì)專家意見(jiàn)做了多次討論，最終進(jìn)行了以下修改：

1、標(biāo)準(zhǔn)參考體系：首先標(biāo)準(zhǔn)對(duì)象定位于產(chǎn)品，進(jìn)一步細(xì)化了標(biāo)準(zhǔn)的對(duì)象和

范圍。

2、安全功能要求：刪除了部分產(chǎn)品功能之外的要求，以保證不擴(kuò)大標(biāo)準(zhǔn)對(duì)

象功能要求范圍；修改了安全功能要求的表述，提高了標(biāo)準(zhǔn)的易用性；

3、安全保障要求：參照《GB/T18336-2015信息技術(shù)安全技術(shù)IT安全性

評(píng)估準(zhǔn)則》規(guī)定了網(wǎng)絡(luò)存儲(chǔ)產(chǎn)品生命周期內(nèi)的安全性要求。

4.等級(jí)劃分：本標(biāo)準(zhǔn)參照網(wǎng)絡(luò)存儲(chǔ)市場(chǎng)產(chǎn)品分為低端系列、中端系列和高端

系列三個(gè)級(jí)別，對(duì)應(yīng)的安全能力為低、中和高三類的現(xiàn)狀，將存儲(chǔ)安全功能要求

按安全能力的強(qiáng)弱分為第一級(jí)、第二級(jí)、第三級(jí)共三個(gè)等級(jí)，將存儲(chǔ)安全保障要

求按保障力度的大小分為第一級(jí)、第二級(jí)、第三級(jí)共三個(gè)等級(jí)，在選擇安全功能

要求和安全保障要求級(jí)別時(shí)，滿足所選取安全保障要求的級(jí)別不低于安全功能要

求的級(jí)別。并且給出了不同級(jí)別的等級(jí)保護(hù)系統(tǒng)選取存儲(chǔ)安全要求等級(jí)時(shí)的對(duì)應(yīng)

性建議。

以上修改成果得到了專家組專家的高度認(rèn)可。

八、標(biāo)準(zhǔn)性質(zhì)的建議

本標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)。

國(guó)家標(biāo)準(zhǔn)報(bào)批資料

九、貫徹標(biāo)準(zhǔn)的要求和措施建議

標(biāo)準(zhǔn)發(fā)布前，在存儲(chǔ)市場(chǎng)不同存儲(chǔ)廠商之間去論證標(biāo)準(zhǔn)的有效性。

標(biāo)準(zhǔn)發(fā)布后，在安標(biāo)委指導(dǎo)下對(duì)進(jìn)行標(biāo)準(zhǔn)的試點(diǎn)和推廣。

十、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

無(wú)。

十一、其它應(yīng)予說(shuō)明的事項(xiàng)

編制組在標(biāo)準(zhǔn)編制過(guò)程中，進(jìn)行了內(nèi)部討論、專家論證評(píng)審等過(guò)程。編制組

對(duì)國(guó)內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標(biāo)準(zhǔn)草案編制工作。在整個(gè)過(guò)程中，編制組

遵循編制原則，對(duì)專家提出的意見(jiàn)和建議做出認(rèn)真的應(yīng)答和處理，不斷對(duì)標(biāo)準(zhǔn)草

案進(jìn)行完善。

本標(biāo)準(zhǔn)是信息安全技術(shù)要求系列標(biāo)準(zhǔn)的重要組成部分，用以指導(dǎo)如何設(shè)計(jì)、

實(shí)現(xiàn)、測(cè)試、生產(chǎn)