《信息安全技术 网络安全等级保护安全管理中心技术要求-编制说明》

（一）标准制定背景及任务来源

安全管理中心是对信息系统的安全策略及安全计算环境、安全区域边界和安

全通信网络上的安全机制实施统一管理的平台，是信息系统安全防御体系的重要

组成部分，涉及系统管理、安全管理、审计管理等各个方面。

随着信息安全问题的日益突出，安全管理理论与技术的不断发展，在推动等

级保护工作的过程中，安全管理中心已成为各方关注的焦点。此时，GB/T22239

—2008《信息安全技术信息系统安全等级保护基本要求》和GB/T25070—2010

《信息安全技术信息系统等级保护安全设计技术要求》中对安全管理中心的概

括性描述已经难以满足相关产品和系统建设的指导需求，迫切需要制定一个具体

的针对安全管理中心的技术要求来规范此项工作。

通过本项目的研究，形成《信息安全技术网络安全等级保护安全管理中心

技术要求》标准，为安全管理中心类产品和系统的开发、建设提供标准要求，为

网络信息安全等级保护测评工作和信息系统安全按建设工作的开展提供理论指

导，进一步完善网络信息安全等级保护标准评价体系，推动国家信息安全等级保

护工作的开展。

本标准是全国信息安全标准化委员会2013年9月下达的（计划编号

2013bzzd-WG5-007），并由中国电子科技集团公司第十五研究所牵头，由公安部

信息安全等级保护评估中心、网神信息技术（北京）股份有限公司共同参与承担

的国家标准制定项目。

（二）主要工作过程

（1）2012年11月成立安全管理中心技术要求编写小组；

（2）2012年11月-12月，编写小组组织公安一所、公安三所、网神、中

软华泰、安恒、天融信等技术专家，对国内主流安全厂商的产品进行

调研和分析，并依据GB/T22239—2008《信息安全技术信息系统安

全等级保护基本要求》、GB/T25070—2010《信息安全技术信息系统

等级保护安全设计技术要求》、MSTL_JGF_04-0190101--2006《信息

安全技术安全管理平台产品检验规范》和GB/T18336-2008《信息

技术安全技术信息技术安全性评估准则》等标准，于2012年12

1

月，确定了安全管理中心的形态、总体结构和技术框架；

（3）2013年1月，完成“网络安全等级保护安全管理中心技术要求”（讨

论稿）的起草；

（4）2013年1月-2013年3月，多次组织相关专家和技术人员召开了安全

管理中心技术要求研讨会，对技术要求进行了讨论，采纳了定义、适

用范围、术语等相关建议，明确了功能要求、接口要求、自身安全要

求等技术要求内容，并根据各方反馈意见对技术要求内容进行了梳理

和修改，形成草案，并向安标委申请立项；

（5）2013年4月-2014年3月，结合多轮厂商意见和领域专家意见，对标

准草案进行持续完善，细化了分级的具体要求；

（6）2014年4月-2014年6月，前往湖北武汉，以湖北地税业务网系统的

安全管理中心作为被测对象，开展标准可行性验证测试，编制了《网

络安全等级保护安全管理中心技术要求安全标准验证测评报告》，并

根据现场测试标准执行情况对草案进行修订；

（7）2014年7月16日，通过了安标委组织的中期检查，针对专家提出的

意见进行了修改；

（8）2015年5月-6月，多次内外部讨论修订，在安全管理中心的咨询过

程中也继续征求多方意见；

（9）2016年8月，通过安标委组织的进一步意见征求，针对收集到的意

见进行讨论和修订；

（10）2016年9月，原信息安全等级保护系列标准已申请变更为“网络安

全等级保护”标准，为了更加契合等级保护国标的体系，且该标准属

于等级保护系列标准之一，故申请变更名称为“信息安全技术网络

安全等级保护安全管理中心技术要求”。

（三）标准编制原则和主要技术内容确定的依据

1.制定原则

为使技术要求能够满足科学、规范地指导相关单位设计、研发、配置和使用

所需要的安全等级的安全管理中心，引导产业技术发展，推动安全等级保护工作

开展，确保安全管理中心的功能要求、接口要求、自身安全性等方面符合要求，

以及良好的可用性，在技术要求制定过程中，主要遵循了如下几个原则：

2

（1）符合国家的有关政策法规要求；

（2）与已颁布实施的相关标准相协调；

（3）充分考虑我国安全管理中心产品生产企业的发展水平；

（4）基本覆盖目前市场上主要的安全管理中心产品类型；

（5）适度考虑目前处于发展成熟过程中的技术，保持一定的前瞻性。

2.确定主要内容的依据

主要内容的确定基于如下几个方面：

（1）以GB/T22239—2008《信息安全技术信息系统安全等级保护基本要

求》和GB/T25070—2010《信息安全技术信息系统等级保护安全设

计技术要求》对安全管理中心的描述为总体要求，按照等级化原则，

结合IPv4向IPv6过渡的应用环境，按照等级保护的不同级别研究不

同技术要求，逐级扩大和加强安全管理中心技术要求范围和强度，制

定出具有针对性的、可执行强的控制点和要求项；

（2）以MSTL_JGF_04-0190101--2006《信息安全技术安全管理平台产品

检验规范》和GB/T18336-2008《信息技术安全技术信息技术安全

性评估准则第2部分：安全功能要求》中的部分内容作为安全管理

中心功能要求和安全要求的参考，结合安全管理中心技术特点进行细

化；

（3）通过对网神、天融信、安恒、中软华泰、H3C等主要安全管理中心产

品生产厂家的相关产品研究和分析，总结了安全管理中心的内涵、主

要技术特点和共性特征，形成了功能要求、接口要求、自身安全性要

求等技术指标。

（四）主要条款的说明，主要技术指标、参数、实验验证的论述

本标准草案规定了对基本级和增强级的安全管理中心的技术要求，基本级要

求包括16个安全类，40个控制点，125个要求项，增强级要求包括25个安全类，

44个控制点，157个要求项。

本规范参照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写

规则》进行编制。规范的主要结构和内容如下：

5基本级安全管理中心技术要求

5.1功能要求

3

5.1.1系统管理要求

5.1.1.1用户身份管理

5.1.1.2数据保护

5.1.1.3安全事件管理

5.1.1.4风险管理

5.1.1.5资源监控

5.1.2安全管理要求

5.1.2.1安全标记

5.1.2.2授权管理

5.1.2.3设备策略管理

5.1.3审计管理要求

5.1.3.1审计策略集中管理

5.1.3.2审计数据集中管理

5.2接口要求

5.2.1接口协议要求

5.2.2接口安全要求

5.3自身安全性要求

5.3.1身份鉴别

5.3.2访问控制

5.3.3安全审计

5.3.4剩余信息保护

5.3.5通信完整性

5.3.6通信保密性

5.3.7抗抵赖

5.3.8软件容错

5.3.9资源控制

5.3.10入侵防范

5.3.11数据安全

6增强级安全管理中心技术要求

6.1功能要求

4

6.1.1系统管理要求

6.1.1.1用户身份管理

6.1.1.2数据保护

6.1.1.3安全事件管理

6.1.1.4风险管理

6.1.1.5资源监控

6.1.2安全管理要求

6.1.2.1安全标记

6.1.2.2授权管理

6.1.2.3设备策略管理

6.1.3审计管理要求

6.1.3.1审计策略集中管理

6.1.3.2审计数据集中管理

6.2接口要求

6.2.1接口协议要求

6.2.2接口安全要求

6.3自身安全性要求

6.3.1身份鉴别

6.3.2安全标记

6.3.3访问控制

6.3.4可信路径

6.3.5安全审计

6.3.6剩余信息保护

6.3.7通信完整性

6.3.8通信保密性

6.3.9抗抵赖

6.3.10软件容错

6.3.11资源控制

6.3.12入侵防范

6.3.13数据安全

5

附录A（资料性附录）安全管理中心与信息系统等级对应关系

附录B（资料性附录）归一化安全事件属性

通过组织技术研讨会，对技术要求的合理性、科学性、可行性等进行了多次

论证、研讨，并根据各方反馈意见进行了多次修订、完善。

以湖北省地税局业务网系统中的安全管理中心作为被测对象，开展了标准草

案可行性验证测试，编制了标准验证测试报告，根据测试执行情况对标准条款要

求进行了修订。

（五）与现行法律法规和强制性标准的关系

本技术要求的制定符合国家现行法律法规的规定。

本标准是信息安全等级保护相关系列标准之一。

与本标准相关的系列标准包括：

——GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》；

——GB/T25070—2010《信息安全技术信息系统等级保护安全设计技术要

求》。

本标准与GB17859-1999、GB/T22239-2008、GB/T25070-2010、GB/T

20270-2006等标准共同构成了网络安全等级保护的相关配套标准。本标准是对

GB/T22239-2008和GB/T25070-2010提出的安全管理中心的相关技术要求的细

化。

本标准编制依据国家标准化管理委员会发布的《GB/T1.1-2009标准化工作

导则第1部分：标准的结构和编写》的相关要求。

（六）重大分歧意见的处理经过和依据

本次安全管理中心技术要求制定过程中没有重大分歧意见。

（七）标准作为强制性或推荐性标准发布的意见

本标准是信息安全等级保护相关系列标准之一，建议作为推荐性标准发布，

与等级保护标准体系保持一致。

（八）贯彻标准的要求和措施建议

1、建议国家各部委及行业主管部门将信息系统安全管理中心的建设作为各

6

领域和行业推动信息安全等级保护工作的