信息安全技術(shù) 安全運維系統(tǒng)技術(shù)規(guī)范-編制說明

一、工作簡況

1.1任務來源

根據(jù)國家標準化管理委員會2022年下達的國家標準制修訂計劃，《信息安全

技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范》由上海辰銳信息科技公司負責承辦，計劃號：

20230260-T-469。該標準由全國信息安全標準化技術(shù)委員會（SAC/TC260）歸口

管理。

1.2主要起草單位和工作組成員

《信息安全技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范》由上海辰銳信息科技公司牽頭制

定，參與起草單位包括：公安部第三研究所、中國科學院軟件研究所、華為技術(shù)

有限公司、中國網(wǎng)絡安全審查技術(shù)與認證中心、國家工業(yè)信息安全發(fā)展研究中心、

浙江齊治科技股份有限公司、北京天融信網(wǎng)絡安全技術(shù)有限公司、奇安信網(wǎng)神信

息技術(shù)（北京）股份有限公司、北京神州綠盟科技有限公司、西安交大捷普網(wǎng)絡

科技有限公司、杭州中爾網(wǎng)絡科技有限公司、北京藍象標準咨詢服務有限公司、

長楊科技（北京)股份有限公司、杭州安恒信息技術(shù)股份有限公司、北京時代新

威信息技術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、上海三零衛(wèi)士信息

安全有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、上海觀安信息技術(shù)股份有限

公司、廣東安創(chuàng)信息科技開發(fā)有限公司、北京神州綠盟科技有限公司、遠江盛邦

（北京）網(wǎng)絡安全科技股份有限公司、藍盾信息安全技術(shù)股份有限公司、北京智

游網(wǎng)安科技有限公司、深信服科技股份有限公司、陜西省網(wǎng)絡與信息安全測評中

心、北京信安世紀科技股份有限公司、河南中科安永科技有限公司、國網(wǎng)區(qū)塊鏈

科技（北京）有限公司、廣東省信息安全測評中心、國網(wǎng)新疆電力有限公司電力

科學研究院、廣電計量檢測集團股份有限公司。

本文件主要起草人：張艷、鄒春明、胡津銘、沈亮、晏敏、王峰、申永波、

王沖華、于遨洋、安高峰、楊春鵬、周進、何建鋒、葛方雋、張德保、趙華、田

麗丹、俞政臣、周瑞群、劉彪、鄢昱恒、謝江、鐘英南、周進、劉強、韓云、劉

晨、馮燕飛、付軍、郭軍武、石竹玉、葉勁宏、加依達爾.金格斯、唐迪。

1

在編制本文件的過程中，起草單位的主要分工如下：上海辰銳信息科技公司

牽頭組織項目的修訂工作，制定修訂思路，組織召開項目評審，匯總各參與單位

的編制內(nèi)容、擬制項目編制說明、匯總意見匯總表等。參與起草的單位中，研發(fā)

生產(chǎn)和運維服務廠商主要承擔應用場景及運維技術(shù)跟蹤、安全功能要求的編制及

應用試點，以及推進標準在產(chǎn)品研發(fā)中的應用；檢測、認證機構(gòu)主要負責安全保

障要求及測試評價方法的編制、測評方法的試點驗證，以及推進標準在認證、檢

測中的應用；科研院所機構(gòu)主要負責安全運維技術(shù)發(fā)展跟蹤、自身安全功能要求

的編制，以及測評技術(shù)方法研究；咨詢服務機構(gòu)主要負責行業(yè)用戶需求的收集、

運營企業(yè)側(cè)標準試點驗證，以及后續(xù)標準的宣傳、推廣。

1.3制定背景

隨著網(wǎng)絡技術(shù)的迅速發(fā)展，網(wǎng)絡環(huán)境變得日趨復雜，特別是重要信息系統(tǒng)和

關(guān)鍵信息基礎設施中的資產(chǎn)數(shù)量和類型均急劇增長。誤操作、違規(guī)運維操作可能

會直接導致這些重要業(yè)務系統(tǒng)的宕機、數(shù)據(jù)丟失等風險，對安全運維的規(guī)范化管

理已和外部安全防護同等重要。安全運維系統(tǒng)已廣泛應用于各行業(yè)信息化內(nèi)控管

理，隨著云、工控等應用場景和安全產(chǎn)品的發(fā)展，運維管理和審計的范疇和技術(shù)

形態(tài)都有了新的變化，云安全運維、便攜式移動運維、工控運維等新形態(tài)和新特

性不斷呈現(xiàn)。此外，近年來相關(guān)法律法規(guī)及行業(yè)規(guī)范對于系統(tǒng)的運維管理提出了

諸多合規(guī)要求：網(wǎng)絡安全法對于網(wǎng)絡運營者、網(wǎng)絡服務提供者提出了制定內(nèi)網(wǎng)操

作規(guī)程、持續(xù)提供安全維護、采取技術(shù)措施保障網(wǎng)絡安全穩(wěn)定運行、留存相關(guān)網(wǎng)

絡日志不少于六個月等安全保護義務；ISO27001標準中要求組織必須記錄用戶

訪問、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和

取證；國家網(wǎng)絡安全等級保護要求中對重要信息系統(tǒng)、云租戶業(yè)務應用系統(tǒng)等保

護對象的集中身份認證、運維操作審計和細粒度的權(quán)限管控也提出了諸多要求。

安全運維系統(tǒng)由于其安全功能屬性，成為系統(tǒng)的核心安全管控樞紐，存儲著資產(chǎn)

管理賬號、具備重要資源的訪問權(quán)限等，一旦其自身存在安全短板將會為重要信

息系統(tǒng)和關(guān)鍵信息基礎設施引入極大的安全風險。

因此，本標準的制定一方面支撐安全運維系統(tǒng)的規(guī)范化管理，同時也緊密貼

合重要信息系統(tǒng)及關(guān)鍵信息基礎設施安全運維和資產(chǎn)內(nèi)控管理的合規(guī)性需求，為

等保和關(guān)基相關(guān)要求的技術(shù)實現(xiàn)規(guī)范化提供重要參考，降低運維管理安全風險。

2

此外，2022年3月6日全國信息安全標準化技術(shù)委員會發(fā)布的“《關(guān)于發(fā)布

2022年度網(wǎng)絡安全國家標準需求的通知》（信安秘字〔2022〕47號）”中將《信

息安全技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范》列為支持的國家標準制定項目之一。

1.4起草過程

標準制定的主要工作過程如下：

（1）申報立項階段

2021年11月至2022年3月，成立了標準編制組，對安全運維系統(tǒng)的產(chǎn)品

技術(shù)文檔、解決方案等材料進行調(diào)研梳理，查閱有關(guān)資料，編寫標準編制提綱，

起草了標準草案初稿，形成了申報材料;

2022年4月，標準編制組在2022年信安標委WG5第一次工作組會議上進行

了立項匯報。

（2）草案階段

2022年4月，標準編制組根據(jù)工作組成員單位專家意見組織標準編制組討

論并修改了草案內(nèi)容；2022年5月至11月，標準編制組通過內(nèi)部研討、交流，

對標準草案文本進行了進一步的修改完善。

2022年12月7日，標準編制組在2022年信安標準周工作組會議上進行了

標準草案的匯報，征集了成員單位專家代表的意見，并通過投票，同意修改后推

進為征求意見稿。

（3）征求意見稿階段

標準編制組根據(jù)2022年12月7日會議周上專家代表的意見，于2022年12

月8日~2023年1月5日期間對標準草案文本進行了多次編制組內(nèi)部的線上會議

討論、修改和完善，并提交責任專家和標委會專家進行審閱；標準編制組根據(jù)專

家意見進行了進一步修改，形成征求意見稿第一稿。

2023年2月3日，WG5工作組召開了專家研討會，對征求意見稿進行了研討

并提出了修改意見，會后編制組根據(jù)專家意見進行了修改完善，形成征求意見稿

第二稿。

2023年4月4日，信安標委會秘書處召開了專家評審會，對征求意見稿進

行了評審并提出了修改意見，會后編制組根據(jù)專家意見進行了修改完善，并在編

制組內(nèi)部進行了集中討論，最終形成征求意見稿第三稿。

3

2023年6月1日，在昆明召開的2023年第一次“標準周”會上，編制組代

表在WG5分會場上，面向全體與會人員、會員單位代表匯報了該標準的編制情況

以及標準內(nèi)容重點；會后，編制組對標準文稿再次進行了審查，對部分文字表述

等進行了修訂完善。

（4）試點驗證階段

為提升標準質(zhì)量，檢驗標準適用性和可操作性，全國信息安全標準化技術(shù)委

員會秘書處于2023年4月13日在北京組織召開了網(wǎng)絡安全國家標準試點工作部

署會。會后標準編制組依據(jù)《2023年度網(wǎng)絡安全國家標準試點工作方案》的工

作要求，征集了試點驗證參與單位，并制定了試點工作方案。

WG5工作組于4月26日在線上組織召開了標準試點工作方案討論會。會后

標準編制組根據(jù)專家意見修改完善了試點工作方案，在編制組內(nèi)部進行了宣貫，

明確了試點內(nèi)容、計劃及分工，自5月至6月開展了標準試點驗證工作。

二、標準編制原則、主要內(nèi)容及其確定依據(jù)

2.1標準編制原則

為了使本標準與現(xiàn)有其他國家標準保持協(xié)調(diào)一致，本標準的制定參考了現(xiàn)行

的其他國家標準，主要有GB/T25066-2020、GB/T18336-2015、GB/T22239-2019、

GB/T36626-2018等。

本標準符合我國的實際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。具體原則與

要求如下：

1)實用性原則

標準必須是可用的，才有實際意義，本標準在制定過程中嚴格按照流程對產(chǎn)

品的現(xiàn)狀、技術(shù)等相關(guān)領(lǐng)域展開系統(tǒng)的、全面的調(diào)研工作，注重與相關(guān)產(chǎn)品生產(chǎn)

單位的交流，使得標準更貼近產(chǎn)品實際情況，保證操作性。

2)先進性原則

標準是先進經(jīng)驗的總結(jié)，同時也是技術(shù)的發(fā)展趨勢。要制定出先進的國家標

準，必須廣泛了解市場上主流產(chǎn)品的功能，吸收其精華，制定出具有先進水平的

標準。本標準的編寫始終遵循這一原則。

3)兼容性原則

本標準既要與國際接軌，更要與我國現(xiàn)有的政策、法規(guī)、標準、規(guī)范等相一

4

致。編制組在對標準起草過程中始終遵循此原則，其內(nèi)容符合我國已經(jīng)發(fā)布的有

關(guān)政策、法律和法規(guī)。

2.2主要內(nèi)容及其確定依據(jù)

本項目標準規(guī)范的安全運維系統(tǒng)，是針對系統(tǒng)內(nèi)控合規(guī)、降低運維管理風險、

提升內(nèi)部風險控制水平等需求而形成的安全產(chǎn)品，為企業(yè)針對服務器、虛擬機、

網(wǎng)絡設備、數(shù)據(jù)庫等系統(tǒng)資產(chǎn)、云計算資源的安全運維與審計提供集中的帳號、

授權(quán)、認證和審計等管理服務。標準擬規(guī)范安全運維系統(tǒng)的安全技術(shù)要求（安全

功能要求、自身安全要求、安全保障要求）和測試評價方法，適用于該類產(chǎn)品的

研發(fā)、采購、使用、維護、管理及檢測。

1)標準結(jié)構(gòu)

本標準的編寫格式和方法依照GB/T1.1-2020標準化工作導則第一部分：

標準的結(jié)構(gòu)和編寫規(guī)則，主要結(jié)構(gòu)包括：

1.范圍

2.規(guī)范性引用文件

3.術(shù)語和定義

4.縮略語

5.概述

6.安全技術(shù)要求

7.測試評價方法

8.附錄A

2)范圍、規(guī)范性引用文件、術(shù)語和定義和縮略語

該部分定義了本標準適應的范圍，所引用的其它標準情況及以何種方式引用，

術(shù)語和定義部分明確了該標準所涉及的一些術(shù)語。

在術(shù)語中明確了“安全運維系統(tǒng)”、“運維用戶”、“運維對象”、“授權(quán)管理員”、

“運維服務協(xié)議”等重要概念。

縮略語部分主要列出本標準中用的縮略語全稱及中文解釋。

3)概述

對安全運維系統(tǒng)的安全目的、保護的對象以及安全技術(shù)要求分類及等級劃分

進行了概要描述，對安全技術(shù)要求的分類、主要的指標項、等級劃分的原則等進

5

行了說明。

安全運維系統(tǒng)為運維用戶提供統(tǒng)一資源訪問入口，借助身份認證接口實現(xiàn)對

運維用戶的身份鑒別，對資產(chǎn)及其賬號等進行集中管理和授權(quán)，監(jiān)控和審計運維

操作過程，并對違規(guī)操作行為進行報警、阻斷。該類產(chǎn)品保護的對象是服務器、

虛擬機、網(wǎng)絡設備、安全產(chǎn)品、數(shù)據(jù)庫、云平臺等信息系統(tǒng)重要資產(chǎn)。此外，安

全運維系統(tǒng)本身及其內(nèi)部的重要數(shù)據(jù)也是受保護的對象。

本文件將安全運維系統(tǒng)的安全技術(shù)要求分為安全功能要求、自身安全要求、

安全保障要求三類。本文件按照安全運維系統(tǒng)安全功能要求強度劃分級別，按照

GB/T18336.3-2015劃分安全保障要求的級別。安全等級突出安全特性，分為基

本級和增強級，安全功能、自身安全強弱和安全保障要求高低是等級劃分的具體

依據(jù)。

此外說明了與基本級安全技術(shù)要求相比，本文件中增強級內(nèi)容有所增加或變

更的內(nèi)容在正文中通過“宋體加粗”表示。安全運維系統(tǒng)的安全功能要求、自身

安全要求、安全保障要求應符合GB42250-2022《信息安全技術(shù)網(wǎng)絡安全專用

產(chǎn)品安全技術(shù)要求》的相關(guān)要求。

另外，以表格形式對本標準中涉及的管理員及用戶角色進行了詳細描述：

表1角色描述表

角色角色描述

通過安全運維系統(tǒng)對信息資產(chǎn)進行運行維護和管理的用戶（人員或自動

運維用戶化運維工具），通常以賬號作為用戶標識，賬號由安全運維系統(tǒng)進行管

理

受安全運維系統(tǒng)保護的信息資產(chǎn)的各類管理賬戶，該賬戶由受保護的信

管理賬戶

息資產(chǎn)進行維護，運維用戶登錄安全運維系統(tǒng)后通過該賬戶對受保護的

（運維對象）

信息資產(chǎn)進行運維和管理

對安全運維系統(tǒng)進行維護和管理的用戶角色，包括操作員、安全員、審

管理員

計員或其他自定義角色，通常不具備受保護資產(chǎn)的運維管理權(quán)限

管理員角色的一種，具有系統(tǒng)配置管理權(quán)限，如產(chǎn)品IP地址、運維用戶、

操作員

運維對象管理等

安全員管理員角色的一種，具有安全管理權(quán)限，如訪問控制策略管理等

管理員角色的一種，具有審計管理權(quán)限，如審計日志的查閱、分析、管

審計員

理等

4)安全技術(shù)要求

安全技術(shù)要求分為安全功能要求、自身安全要求、安全保障要求三類。其中，

安全功能要求是對安全運維系統(tǒng)應具備的安全功能提出具體要求，包括運維用戶

6

管理、運維對象管理、運維服務協(xié)議支持、運維訪問控制、告警、遠程訪問加密、

運維審計、運維會話管理、高可用性、設備虛擬化、IPv6支持等；自身安全要

求是對安全運維系統(tǒng)的自身安全保護提出具體要求，包括標識與鑒別、安全管理、

審計日志等；安全保障要求針對安全運維系統(tǒng)的開發(fā)和使用文檔的內(nèi)容提出具體

的要求，例如開發(fā)、指導性文檔、生命周期支持、測試和脆弱性評定等。

5)測試評價方法

本文件針對安全運維系統(tǒng)的安全技術(shù)要求提出對應的測試評價方法，為使用

本文件的人員提供一個測試評價安全運維系統(tǒng)的技術(shù)準則。

測評方法部分包括了安全功能要求測評、自身安全要求測評、安全保障要求

測評等，其內(nèi)容是針對安全技術(shù)要求中的基本級安全要求和增強級安全要求逐項

制定的測試評價方法，可用于指導和規(guī)范安全運維系統(tǒng)的檢測工作。

6)附錄A

針對安全運維系統(tǒng)的典型應用場景、部署方式進行了描述。

2.3修訂前后技術(shù)內(nèi)容的對比[僅適用于國家標準修訂項目]

標準制定項目，不涉及。

三、主要試驗[或驗證]情況分析

3.1試驗驗證的分析、綜述報告

為了更全面地了解企業(yè)在攻擊面管理上的現(xiàn)狀以及所面臨的困難與挑戰(zhàn)，

Randori與ESG日前開展了一項調(diào)查，對398位企業(yè)安全團隊負責人進行了訪談

和調(diào)研，并發(fā)布了《2022年攻擊面管理現(xiàn)狀報告》，報告數(shù)據(jù)顯示：67%的受訪

組織表示，他們的外部攻擊面在過去12個月中擴大了；69%的組織因未知、未受

管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)而受到威脅。報告調(diào)研發(fā)現(xiàn)，在過去一年中，

隨著遠程辦公人員數(shù)量、云解決方案和SaaS應用程序使用量的不斷增加，企業(yè)

組織的外部攻擊面進一步擴大。近幾年運維安全事故的不斷發(fā)生讓越來越多的政

企客戶意識到組織內(nèi)部人員以及第三方運維人員的違規(guī)操作將給組織帶來巨大

的甚至難以逆轉(zhuǎn)的經(jīng)濟利益損失，政企運維過程中的安全也成為了近兩年眾多客

戶所關(guān)注的重點領(lǐng)域，安全運維管理市場呈現(xiàn)強勢發(fā)展的態(tài)勢。

在《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎設施安全保護條例》、“等

7

保2.0”以及各行業(yè)規(guī)范的推動下，安全運維系統(tǒng)的應用市場迎來了新的發(fā)展機

遇，市場規(guī)模整體呈持續(xù)增長趨勢。2022年3月31日，安全牛發(fā)布了行業(yè)廣泛

關(guān)注的《中國網(wǎng)絡安全行業(yè)全景圖（第九版）》，涉及二級細分領(lǐng)域2609項。其

中，堡壘機位列收錄企業(yè)數(shù)量最多的細分領(lǐng)域TOP10。

經(jīng)調(diào)研近兩年內(nèi)國內(nèi)安全運維系統(tǒng)相關(guān)的產(chǎn)品近300款，涉及230余家不同

廠商，包括華為、騰訊、阿里云、安恒、齊治科技、天融信、奇安信、360、杭

州美創(chuàng)、華軟金盾、山東兆物、西安交大捷普、網(wǎng)神、格爾軟件、安天、山石網(wǎng)

科、神州綠盟、啟明星辰、網(wǎng)御星云等等安全廠商。

3.2技術(shù)經(jīng)濟論證

本標準的實施將有助于為國內(nèi)相關(guān)研發(fā)廠商、安全運維系統(tǒng)部署單位和檢驗

檢測機構(gòu)的測評工作提供支持，確保要求、方法的一致性，提高測評的準確性、

規(guī)范性、公平性，產(chǎn)品的合規(guī)性，以及重要信息系統(tǒng)安全運維保障能力，從而降

低第三方測評機構(gòu)的測評開銷和企業(yè)自身的合規(guī)投入。

3.3預期的經(jīng)濟效益、社會效益和生態(tài)效益

根據(jù)中共中央、國務院印發(fā)的《國家標準化發(fā)展綱要》中的要求，強化標準

實施應用。為此，本項目將遵循國家“完善認證認可、檢驗檢測、政府采購、招

投標等活動中應用先進標準機制，推進以標準為依據(jù)開展宏觀調(diào)控、產(chǎn)業(yè)推進、

行業(yè)管理、市場準入和質(zhì)量監(jiān)管”的思路，結(jié)合牽頭單位和參與單位的優(yōu)勢，開

展標準的實施應用。

本標準的制定一方面支撐安全運維系統(tǒng)的規(guī)范化管理，同時也緊密貼合重要

信息系統(tǒng)及關(guān)鍵信息基礎設施安全運維和資產(chǎn)內(nèi)控管理的合規(guī)性需求，為等保和

關(guān)基相關(guān)要求的技術(shù)實現(xiàn)規(guī)范化提供重要參考，降低運維管理安全風險。

標準的適用對象包括安全運維系統(tǒng)的生產(chǎn)廠商、部署安全運維系統(tǒng)的系統(tǒng)運

營單位、網(wǎng)絡安全主管部門以及進行安全檢測評估的檢驗檢測機構(gòu)。

本項目標準發(fā)布后，首先，能夠指導產(chǎn)品的生產(chǎn)廠商對產(chǎn)品進行研發(fā)、生產(chǎn)

和銷售；其次、能夠指導檢測認證機構(gòu)對該類型產(chǎn)品進行測評認證工作，標準可

應用于幾乎所有的網(wǎng)絡安全專用產(chǎn)品管理領(lǐng)域；此外，還能夠?qū)τ脩魡挝坏膽?/p>

部署進行有效指導，形成部署方案并落地，滿足等級保護、關(guān)鍵信息基礎設施保

護等相關(guān)法律法規(guī)的合規(guī)性要求。

8

四、與國際、國外同類標準技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、

樣機的有關(guān)數(shù)據(jù)對比情況

目前國際上無相關(guān)標準。

五、以國際標準為基礎的起草情況，以及是否合規(guī)引用或者采用國際國外

標準，并說明未采用國際標準的原因

未采用國際標準。

六、與有關(guān)法律、行政法規(guī)及相關(guān)標準的關(guān)系

本標準與現(xiàn)行法律、法規(guī)以及國家標準不存在沖突與矛盾，且與《中華人民

共和國網(wǎng)絡安全法》、網(wǎng)絡安全等級保護等合規(guī)性要求保持一致：

《中華人民共和國網(wǎng)絡安全法》第二十一條國家實行網(wǎng)絡安全等級保護制

度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務，

保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、

篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)

絡安全保護責任；（三）采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術(shù)措

施，并按照規(guī)定留存相關(guān)的網(wǎng)絡日志不少于六個月。

網(wǎng)絡安全等級保護基本要求在技術(shù)層面對安全運維提出了身份鑒別、訪問控

制、操作審計等相關(guān)要求；在安全管理層面提出了系統(tǒng)運維管理、安全管理制度、

安全事件處置等的相關(guān)要求。

ISO27001標準中要求組織必須記錄用戶訪問、意外和信息安全事件的日志，

并保留一定期限，以便為安全事件的調(diào)查和取證。

相關(guān)的國家標準有GB/T36626-2018《信息安全技術(shù)信息系統(tǒng)安全運維管

理指南》、GB/T34990-2017《信息安全技術(shù)信息系統(tǒng)安全管理平臺技術(shù)要求和測

試評價方法》，但上述標準與本項目擬制定標準存在較大差異：

1）從適用的對象和范圍來說：GB/T36626-2018是為信息系統(tǒng)運營者針對

信息系統(tǒng)安全運維管理體系的建設提出指導；GB/T34990-2017中規(guī)范的對象是

安全管理平臺，是基于等保要求對信息系統(tǒng)安全機制進行集中管理的平臺，管理

9

對象是管理對象是計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡。而本項目標準規(guī)范的對象是

針對內(nèi)控合規(guī)、降低運維管理風險、提升內(nèi)部風險控制水平等需求而形成的安全

產(chǎn)品，并覆蓋傳統(tǒng)信息系統(tǒng)以及云、工控等應用場景，是對系統(tǒng)重要IT資產(chǎn)（服

務器、虛擬機、網(wǎng)絡設備、安全產(chǎn)品、數(shù)據(jù)庫、應用等）的運維過程實現(xiàn)集中鑒

別、接入控制、授權(quán)、管理、操作審計和違規(guī)阻斷。

2）從標準主要內(nèi)容來看：GB/T36626-2018主要規(guī)范了安全運維策略、組

織、規(guī)程和支撐系統(tǒng)等方面相關(guān)活動的目的、要求和實施指南；GB/T34990-2017

提出了安全管理平臺的安全技術(shù)要求和測評方法。而本項目標準擬從規(guī)范運維管

理與審計系統(tǒng)的角度提出產(chǎn)品需符合的安全技術(shù)要求和相應的測試評價方法，從

而為運維管理與審計系統(tǒng)的研發(fā)、生產(chǎn)、測試等提供指導和參考。

因此，從解決的問題來看，本項目擬制定的標準一方面支撐運維管理與審計

系統(tǒng)的規(guī)范化管理，同時也緊密貼合重要信息系統(tǒng)及關(guān)鍵信息基礎設施安全運維

和資產(chǎn)內(nèi)控管理的合規(guī)性需求，為等保和關(guān)基相關(guān)要求的技術(shù)實現(xiàn)規(guī)范化提供重

要參考，降低運維管理安全風險。而GB/T36626-2018旨在指導運營者如何開展

信息系統(tǒng)安全運維管理體系的建立和運行等相關(guān)活動，GB/T34990-2017規(guī)范了

安全管理平臺對安全策略的統(tǒng)一管理和執(zhí)行流程的技術(shù)實現(xiàn)，兩者均不涉及針對

運維管理與審計系統(tǒng)的規(guī)范化安全技術(shù)要求和測試評價方法，與本項目標準制定

的出發(fā)點、規(guī)范的對象、內(nèi)容側(cè)重點等各方面均有明顯區(qū)別。

七、重大分歧意見的處理經(jīng)過和依據(jù)

無。

八、涉及專利的有關(guān)說明

本標準不涉及專利。

九、實施國家標準的要求，以及組織措施、技術(shù)措施、過渡期和實施日期

的建議等措施建議

本標準為生產(chǎn)、測試和評估安全運維系統(tǒng)產(chǎn)品提供指導性意見，建議將本標

準作為推薦性國家標準在全國實施。

10

十、其他應當說明的事項

無。

國家標準《信息安全技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范》編制工作組

2023年6月8日

11

一、工作簡況

1.1任務來源

根據(jù)國家標準化管理委員會2022年下達的國家標準制修訂計劃，《信息安全

技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范》由上海辰銳信息科技公司負責承辦，計劃號：

20230260-T-469。該標準由全國信息安全標準化技術(shù)委員會（SAC/TC260）歸口

管理。

1.2主要起草單位和工作組成員

《信息安全技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范》由上海辰銳信息科技公司牽頭制

定，參與起草單位包括：公安部第三研究所、中國科學院軟件研究所、華為技術(shù)

有限公司、中國網(wǎng)絡安全審查技術(shù)與認證中心、國家工業(yè)信息安全發(fā)展研究中心、

浙江齊治科技股份有限公司、北京天融信網(wǎng)絡安全技術(shù)有限公司、奇安信網(wǎng)神信

息技術(shù)（北京）股份有限公司、北京神州綠盟科技有限公司、西安交大捷普網(wǎng)絡

科技有限公司、杭州中爾網(wǎng)絡科技有限公司、北京藍象標準咨詢服務有限公司、

長楊科技（北京)股份有限公司、杭州安恒信息技術(shù)股份有限公司、北京時代新

威信息技術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、上海三零衛(wèi)士信息

安全有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、上海觀安信息技術(shù)股份有限

公司、廣東安創(chuàng)信息科技開發(fā)有限公司、北京神州綠盟科技有限公司、遠江盛邦

（北京）網(wǎng)絡安全科技股份有限公司、藍盾信息安全技術(shù)股份有限公司、北京智

游網(wǎng)安科技有限公司、深信服科技股份有限公司、陜西省網(wǎng)絡與信息安全測評中

心、北京信安世紀科技股份有限公司、河南中科安永科技有限公司、國網(wǎng)區(qū)塊鏈

科技（北京）有限公司、廣東省信息安全測評中心、國網(wǎng)新疆電力有限公司電力

科學研究院、廣電計量檢測集團股份有限公司。

本文件主要起草人：張艷、鄒春明、胡津銘、沈亮、晏敏、王峰、申永波、

王沖華、于遨洋、安高峰、楊春鵬、周進、何建鋒、葛方雋、張德保、趙華、田

麗丹、俞政臣、周瑞群、劉彪、鄢昱恒、謝江、鐘英南、周進、劉強、韓云、劉

晨、馮燕飛、付軍、郭軍武、石竹玉、葉勁宏、加依達爾.金格斯、唐迪。

1

在編制本文件的過程中，起草單位的主要分工如下：上海辰銳信息科技公司

牽頭組織項目的修訂工作，制定修訂思路，組織召開項目評審，匯總各參與單位

的編制內(nèi)容、擬制項目編制說明、匯總意見匯總表等。參與起草的單位中，研發(fā)

生產(chǎn)和運維服務廠商主要承擔應用場景及運維技術(shù)跟蹤、安全功能要求的編制及

應用試點，以及推進標準在產(chǎn)品研發(fā)中的應用；檢測、認證機構(gòu)主要負責安全保

障要求及測試評價方法的編制、測評方法的試點驗證，以及推進標準在認證、檢

測中的應用；科研院所機構(gòu)主要負責安全運維技術(shù)發(fā)展跟蹤、自身安全功能要求

的編制，以及測評技術(shù)方法研究；咨詢服務機構(gòu)主要負責行業(yè)用戶需求的收集、

運營企業(yè)側(cè)標準試點驗證，以及后續(xù)標準的宣傳、推廣。

1.3制定背景

隨著網(wǎng)絡技術(shù)的迅速發(fā)展，網(wǎng)絡環(huán)境變得日趨復雜，特別是重要信息系統(tǒng)和

關(guān)鍵信息基礎設施中的資產(chǎn)數(shù)量和類型均急劇增長。誤操作、違規(guī)運維操作可能

會直接導致這些重要業(yè)務系統(tǒng)的宕機、數(shù)據(jù)丟失等風險，對安全運維的規(guī)范化管

理已和外部安全防護同等重要。安全運維系統(tǒng)已廣泛應用于各行業(yè)信息化內(nèi)控管

理，隨著云、工控等應用場景和安全產(chǎn)品的發(fā)展，運維管理和審計的范疇和技術(shù)

形態(tài)都有了新的變化，云安全運維、便攜式移動運維、工控運維等新形態(tài)和新特

性不斷呈現(xiàn)。此外，近年來相關(guān)法律法規(guī)及行業(yè)規(guī)范對于系統(tǒng)的運維管理提出了

諸多合規(guī)要求：網(wǎng)絡安全法對于網(wǎng)絡運營者、網(wǎng)絡服務提供者提出了制定內(nèi)網(wǎng)操

作規(guī)程、持續(xù)提供安全維護、采取技術(shù)措施保障網(wǎng)絡安全穩(wěn)定運行、留存相關(guān)網(wǎng)

絡日志不少于六個月等安全保護義務；ISO27001標準中要求組織必須記錄用戶

訪問、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和

取證；國家網(wǎng)絡安全等級保護要求中對重要信息系統(tǒng)、云租戶業(yè)務應用系統(tǒng)等保

護對象的集中身份認證、運維操作審計和細粒度的權(quán)限管控也提出了諸多要求。

安全運維系統(tǒng)由于其安全功能屬性，成為系統(tǒng)的核心安全管控樞紐，存儲著資產(chǎn)

管理賬號、具備重要資源的訪問權(quán)限等，一旦其自身存在安全短板將會為重要信

息系統(tǒng)和關(guān)鍵信息基礎設施引入極大的安全風險。

因此，本標準的制定一方面支撐安全運維系統(tǒng)的規(guī)范化管理，同時也緊密貼

合重要信息系統(tǒng)及關(guān)鍵信息基礎設施安全運維和資產(chǎn)內(nèi)控管理的合規(guī)性需求，為

等保和關(guān)基相關(guān)要求的技術(shù)實現(xiàn)規(guī)范化提供重要參考，降低運維管理安全風險。

2

此外，2022年3月6日全國信息安全標準化技術(shù)委員會發(fā)布的“《關(guān)于發(fā)布

2022年度網(wǎng)絡安全國家標準需求的通知》（信安秘字〔2022〕47號）”中將《信

息安全技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范》列為支持的國家標準制定項目之一。

1.4起草過程

標準制定的主要工作過程如下：

（1）申報立項階段

2021年11月至2022年3月，成立了標準編制組，對安全運維系統(tǒng)的產(chǎn)品

技術(shù)文檔、解決方案等材料進行調(diào)研梳理，查閱有關(guān)資料，編寫標準編制提綱，

起草了標準草案初稿，形成了申報材料;

2022年4月，標準編制組在2022年信安標委WG5第一次工作組會議上進行

了立項匯報。

（2）草案階段

2022年4月，標準編制組根據(jù)工作組成員單位專家意見組織標準編制組討

論并修改了草案內(nèi)容；2022年5月至11月，標準編制組通過內(nèi)部研討、交流，

對標準草案文本進行了進一步的修改完善。

2022年12月7日，標準編制組在2022年信安標準周工作組會議上進行了

標準草案的匯報，征集了成員單位專家代表的意見，并通過投票，同意修改后推

進為征求意見稿。

（3）征求意見稿階段

標準編制組根據(jù)2022年12月7日會議周上專家代表的意見，于2022年12

月8日~2023年1月5日期間對標準草案文本進行了多次編制組內(nèi)部的線上會議

討論、修改和完善，并提交責任專家和標委會專家進行審閱；標準編制組根據(jù)專

家意見進行了進一步修改，形成征求意見稿第一稿。

2023年2月3日，WG5工作組召開了專家研討會，對征求意見稿進行了研討

并提出了修改意見，會后編制組根據(jù)專家意見進行了修改完善，形成征求意見稿

第二稿。

2023年4月4日，信安標委會秘書處召開了專家評審會，對征求意見稿進

行了評審并提出了修改意見，會后編制組根據(jù)專家意見進行了修改完善，并在編

制組內(nèi)部進行了集中討論，最終形成征求意見稿第三稿。

3

2023年6月1日，在昆明召開的2023年第一次“標準周”會上，編制組代

表在WG5分會場上，面向全體與會人員、會員單位代表匯報了該標準的編制情況

以及標準內(nèi)容重點；會后，編制組對標準文稿再次進行了審查，對部分文字表述

等進行了修訂完善。

（4）試點驗證階段

為提升標準質(zhì)量，檢驗標準適用性和可操作性，全國信息安全標準化技術(shù)委

員會秘書處于2023年4月13日在北京組織召開了網(wǎng)絡安全國家標準試點工作部

署會。會后標準編制組依據(jù)《2023