信息安全技術(shù) 網(wǎng)絡(luò)安全管理支撐系統(tǒng)技術(shù)要求-編制說明

一、任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會2013年下達的國家標(biāo)準(zhǔn)制修訂計劃，國家標(biāo)準(zhǔn)《信息安全技術(shù)信息網(wǎng)絡(luò)安全管理技術(shù)支撐平臺技術(shù)要求》由浙江遠(yuǎn)望信息股份有限公司承擔(dān)標(biāo)準(zhǔn)制定任務(wù)，標(biāo)準(zhǔn)計劃號為20130334-T-469。二、標(biāo)準(zhǔn)必要性和意義在信息系統(tǒng)互連互通的大環(huán)境下，信息網(wǎng)絡(luò)安全的實質(zhì)就是保障和維護國家主權(quán)、國家安全、社會穩(wěn)定、經(jīng)濟安全與發(fā)展和公民合法權(quán)益。信息網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化是信息系統(tǒng)安全性的重要保證，是國家信息安全規(guī)范化、制度化、法制化發(fā)展的首要條件。是確保有關(guān)信息安全的產(chǎn)品和系統(tǒng)在設(shè)計、研發(fā)、生產(chǎn)、建設(shè)、使用、測評中解決其一致性、可靠性、可控性、先進性和符合性的技術(shù)規(guī)范、技術(shù)依據(jù)。沒有自主開發(fā)的安全標(biāo)準(zhǔn)，就不能構(gòu)造出一個自主可控的信息安全保障體系，就難以保證國家安全和國家利益。因此，信息安全標(biāo)準(zhǔn)是我國信息安全保障體系的重要組成部分。我國信息安全標(biāo)準(zhǔn)化工作，雖然起步較晚，但是近年來發(fā)展較快，本著積極采用、鑒戒國際標(biāo)準(zhǔn)，自主規(guī)劃和制定國內(nèi)標(biāo)準(zhǔn)的原則，轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標(biāo)準(zhǔn)，制定了一批符合中國國情的信息安全標(biāo)準(zhǔn)，如在信息網(wǎng)絡(luò)安全風(fēng)險評估、事件管理、應(yīng)急響應(yīng)等方面制定了一系列的技術(shù)標(biāo)準(zhǔn)，明確了信息系統(tǒng)等級保護劃分準(zhǔn)則和一系列的等級保護實施標(biāo)準(zhǔn)，同時也制定了一系列針對特定安全風(fēng)險的安全產(chǎn)品（如入侵檢測與防護、病毒查殺與防范、邊界準(zhǔn)入與控制等）技術(shù)標(biāo)準(zhǔn)。但是針對政務(wù)和企事業(yè)單位復(fù)雜信息網(wǎng)絡(luò)環(huán)境下不斷演化的各類安全風(fēng)險，國內(nèi)尚缺乏一套從信息與網(wǎng)絡(luò)安全管理的全局性需求出發(fā)，將安全管理和安全技術(shù)有機融合的產(chǎn)品技術(shù)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)（信息安全技術(shù)信息網(wǎng)絡(luò)安全管理技術(shù)支撐平臺技術(shù)要求）以GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》、GB/T22239-2008《信息系統(tǒng)安全等級保護基本要求》、GB/Z24364-2009《信息安全風(fēng)險管理指南》、GB/Z20985-2007《信息安全事件管理指南》為依據(jù)，吸取國內(nèi)外先進的信息安全標(biāo)準(zhǔn)的相關(guān)內(nèi)容，根據(jù)我國當(dāng)前政府和企事業(yè)單位信息網(wǎng)絡(luò)安全保障的實際需求：實現(xiàn)安全管理工作的信息化；實現(xiàn)人、管理、技術(shù)三個層面的融合；實現(xiàn)安全監(jiān)管技術(shù)的融合；面對政府和企事業(yè)單位網(wǎng)絡(luò)中的邊界安全、保密安全、網(wǎng)站安全、應(yīng)用安全、數(shù)據(jù)安全、基礎(chǔ)安全、運行安全等方面風(fēng)險，構(gòu)建有效的監(jiān)測、響應(yīng)和防護的安全管理模型。制定出對我國現(xiàn)階段信息與網(wǎng)絡(luò)安全管理支撐平臺產(chǎn)品的設(shè)計、開發(fā)具有指導(dǎo)意義的標(biāo)準(zhǔn)文檔。以便于不同廠家在產(chǎn)品化過程中按照統(tǒng)一的要求和規(guī)范進行設(shè)計和生產(chǎn)，以確保產(chǎn)品功能要求符合技術(shù)要求中的規(guī)定，同時也能對作為產(chǎn)品的其它必備的功能進行規(guī)范評測，對產(chǎn)品開發(fā)過程的規(guī)范化和全程質(zhì)量管理也會有促進作用。主要工作過程（1）2012.12月—2013.6月，學(xué)習(xí)查閱我國及有關(guān)行業(yè)安全法規(guī)、政策及規(guī)范性文件；調(diào)研我國政府和企事業(yè)單位信息網(wǎng)絡(luò)安全監(jiān)管現(xiàn)狀、分析安全態(tài)勢變化及原因，提出標(biāo)準(zhǔn)草案初稿。（2）2013.6月—2015.8月，對形成的《信息安全技術(shù)信息網(wǎng)絡(luò)安全管理技術(shù)支撐平臺技術(shù)要求》標(biāo)準(zhǔn)草案初稿，廣泛征求業(yè)界和專家意見，工作組專家對標(biāo)準(zhǔn)進行了多次審查，召開了多次會議，并與專家多次商討并征求意見。（3）2015.9月—2016.5月，根據(jù)前期專家提出的意見，對標(biāo)準(zhǔn)草案初稿進行集中修改，形成較完善的標(biāo)準(zhǔn)草案。（4）2015.6月—2016.8月，向?qū)＜覅R報草案修改情況，修訂標(biāo)準(zhǔn)定位等修改完善。四、主要條款的說明，主要技術(shù)指標(biāo)、參數(shù)、實驗驗證的論述信息網(wǎng)絡(luò)安全管理技術(shù)支撐平臺是政府和企事業(yè)單位進行信息網(wǎng)絡(luò)安全管理工作的支撐產(chǎn)品，基于適合國情的信息安全保障體系的管理理念，整合物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全等方面的安全監(jiān)管分析技術(shù)，實現(xiàn)安全管理的信息化。是一個集成化、融合型的安全管理支撐產(chǎn)品。一方面實現(xiàn)安全監(jiān)管技術(shù)的融合，另一方面實現(xiàn)人、管理、技術(shù)三個層面的融合。本標(biāo)準(zhǔn)規(guī)定了在政府和企事業(yè)單位的信息網(wǎng)絡(luò)環(huán)境下，信息與網(wǎng)絡(luò)安全管理支撐平臺產(chǎn)品的技術(shù)要求，以政府和企事業(yè)單位信息網(wǎng)絡(luò)安全管理的實際需求為基礎(chǔ)，研究信息與網(wǎng)絡(luò)安全管理支撐平臺產(chǎn)品的安全功能、自身安全性和安全保證等方面的技術(shù)要求，重點如下：明確信息網(wǎng)絡(luò)安全管理支撐平臺產(chǎn)品的安全功能要求；明確信息網(wǎng)絡(luò)安全管理支撐平臺產(chǎn)品的自身安全要求；明確信息網(wǎng)絡(luò)安全管理支撐平臺產(chǎn)品的安全保證要求；明確信息網(wǎng)絡(luò)安全管理支撐平臺產(chǎn)品的分級劃分要求。標(biāo)準(zhǔn)的應(yīng)用，主要是支撐政府和企事業(yè)單位信息網(wǎng)絡(luò)安全的全局性、完整性、有效性管理，構(gòu)建針對信息網(wǎng)絡(luò)中的邊界安全、保密安全、網(wǎng)站安全、應(yīng)用安全、數(shù)據(jù)安全、基礎(chǔ)安全、運行安全等風(fēng)險的有效監(jiān)測、響應(yīng)和防護的安全管理模型，滿足等級保護基本要求，同時標(biāo)準(zhǔn)為相關(guān)生產(chǎn)廠商和測評機構(gòu)在產(chǎn)品實現(xiàn)和評測提供技術(shù)支持和一致性參考。遠(yuǎn)望信息與網(wǎng)絡(luò)安全管理技術(shù)支撐平臺是融業(yè)務(wù)管理（規(guī)范、組織、培訓(xùn)、服務(wù)）、工作流程、應(yīng)急響應(yīng)（預(yù)警、查處、通報、報告）和安全技術(shù)應(yīng)用（監(jiān)測、發(fā)現(xiàn)、處置）為一體的信息與網(wǎng)絡(luò)安全管理平臺，能有效地幫助客戶建設(shè)全面的信息安全綜合保障體系，已受到行業(yè)用戶普遍認(rèn)可并有成功的大型項目實施經(jīng)驗和良好的使用成效。五、采用國際標(biāo)準(zhǔn)和國外先進標(biāo)準(zhǔn)的，說明采標(biāo)程度，以及與國內(nèi)外同類標(biāo)準(zhǔn)水平的對比情況據(jù)起草工作組查閱和掌握資料，目前我國上沒有關(guān)于信息網(wǎng)絡(luò)安全管理技術(shù)支撐平臺技術(shù)要求相關(guān)的國家法規(guī)和標(biāo)準(zhǔn)。六、作為推薦性標(biāo)準(zhǔn)或者強制性標(biāo)準(zhǔn)的建議及其理由本標(biāo)準(zhǔn)以更好的指導(dǎo)政府和企事業(yè)單位信息系統(tǒng)的安全管理為目的，不涉及到人和財產(chǎn)的安全，建議將本標(biāo)準(zhǔn)作為推薦性標(biāo)準(zhǔn)發(fā)布實施。七、貫徹標(biāo)準(zhǔn)的措施建議為加強政府和企事業(yè)單位計算機網(wǎng)絡(luò)與信息安全，結(jié)合我國情況，提出以下貫徹本標(biāo)準(zhǔn)的建議：1）主管部門通過舉辦培訓(xùn)班、講座形式進行信息與網(wǎng)絡(luò)安全宣貫幫助各級政府機構(gòu)和企事業(yè)單位信息系統(tǒng)安全管理人員和使用人員了解標(biāo)準(zhǔn)規(guī)定的安全管理的基本內(nèi)容要求，提高安全意識；2）相關(guān)信息安全產(chǎn)品監(jiān)管部門和測評機構(gòu)通過對產(chǎn)品測評的標(biāo)準(zhǔn)要求，對信息安全該類產(chǎn)品生產(chǎn)廠家在產(chǎn)品化過程中按照統(tǒng)一的要求和規(guī)范進行設(shè)計和生產(chǎn)，以確保產(chǎn)品功能要求符合技術(shù)要求中的規(guī)定，同時也能對作為產(chǎn)品的其它必備的功能進行規(guī)范評測，對產(chǎn)品開發(fā)過程的規(guī)范化和全程質(zhì)量管理也會有促進作用《信息安全技術(shù)信息網(wǎng)