《信息安全技术 网络安全监测基本要求与实施指南-编制说明》

一．工作简要过程

1、任务来源

本任务来自全国信息安全标准化技术委员会，由全国信息安全标准化技术委

员会WG5工作组负责管理。

该任务列入国家标准化管理委员会2014年国家标准制修订计划，计划编号为：

20141144—T—469，标准原名称为《信息安全技术网络安全自监测要求与实施

指南》，后经多轮征求意见多位专家提出更名建议，2016年8月25日WG5工作组

召开在研标准推进会讨论和审议通过决议，同意将本标准更名为《信息安全技术

网络安全监测基本要求与实施指南》。

2、起草单位与起草组

任务承担单位：国家信息中心。

任务参加单位：国家信息技术安全研究中心、北京启明星辰信息技术股份有

限公司、北京天融信科技股份有限公司、东软集团股份有限公司、亚信科技（成

都）有限公司。

该标准工作组由国家信息中心周民、罗海宁、焦迪、任飞等，国家信息技

术安全研究中心刘增益、北京启明星辰信息技术股份有限公司曾辉等、北京天融

信科技股份有限公司张锐卿、东软集团股份有限公司、亚信科技（成都）有限公

司吴大明等成员共同参与起草，其中周民同志为项目负责人，罗海宁同志为本标

准编制主持人及牵头起草人。

3、简要过程

2013年12月工信部下达标准编制任务后，国家信息中心经过与联合起草

单位沟通，筹建标准编制组，并启动调研工作，2014年5月启动编制工作，2015

年7月，标准草案经专家组初步审查通过并完成修订工作。2016年8月经过两

轮专家审议，并在WG5全体成员参加的在研标准推进大会上通过标准审查，形

成决议，由草案转为征求意见稿。

二．标准编制原则和依据

1、本规范的编制原则是：

（1）符合性

遵循我国有关法律、法规、国家标准和国密局相关的规定和技术规范。

（2）安全性

围绕已经发布国家标准明确的安全事件分类分级原则、安全风险评估框架以

及等级保护安全性考量因素综合设计安全监测体系。

（3）指导性

具备从监测基本框架构成到监测措施建立与维护流程，具有很强的指导性。

（4）实用性

适用于不同行业的应用场景，对构建网络安全监测平台或系统具有实用价值。

2、本标准主要以已发布标准以及国家电子政务外网安全标准工作实践为参

考依据，重点参考的国家标准为：

GB/T1.1-2009标准化工作导则第1部分：标准的结构和编写

GB/T18030信息技术中文编码字符集

GB/T20984信息安全技术信息安全风险评估规范

GB/T20985信息技术安全技术信息安全事件管理指南

GB/Z20986信息安全技术信息安全事件分类分级指南

GB/T22239信息安全技术信息系统安全等级保护基本要求

GB/T25069信息安全技术术语

GB/T28458信息安全技术安全漏洞标识与描述规范

GW0204-2014国家电子政务外网安全管理系统技术要求与接口规范

三、主要验证分析和技术经济论证

本标准是基于国家电子政务外网全国基础实践提出的，实施流程已经基于

国家电子政务外网安全管理平台在中央节点面向多部委应用以及湖南、新疆等多

个省（含部分地市）应用进行验证。

本标准主要内容包括网络安全监测框架、基础支撑环境、建设和运维，提

2

出了网络安全监测活动主体、对象和内容以及技术功能框架，同时给出了建设和

运维实施指南。

标准适用于指导信息系统建设运维单位、安全厂商、安全服务机构开展安

全监测体系规划设计、建设实施等具体工作，也可为各类安全监测系统产品开发

提供参考。

本标准的制定也给相关产业参与企业提供了具体而明确的产品应用方向，

为具有类似需求的用户提出了采购和使用该类产品的正确选型方法，能够具有显

著的经济效果。

四、与国内外同类标准水平的对比与协调

与相关标准的关系与定位：

——采用GB/T1.1-2009标准化工作导则第1部分：标准的结构和编写

以此为标准结构，编制标准文本；

——GB/T18030信息技术中文编码字符集

标准文本编写遵从此字符集要求；

——GB/T20984信息安全技术信息安全风险评估规范

参考其从风险维度对网络安全监测目标和内容所关联的因素；

——GB/T20985信息技术安全技术信息安全事件管理指南

参考其对网络安全监测事件关联分析和分析告警等流程指导；

——GB/Z20986信息安全技术信息安全事件分类分级指南

参考其对于信息安全事件的具体分类分级的标准，以及信息安全事件的定

义；

——GB/T22239信息安全技术信息系统安全等级保护基本要求、

参考其中对于网络安全重点关注的各安全要素；

——GB/T25069信息安全技术术语

参考部分术语，以及部分缩略语标准称谓；

——GB/T28458信息安全技术安全漏洞标识与描述规范

参考其对信息系统安全漏洞的表述和归类，以及获取漏洞的方法等。

——GW0204-2014国家电子政务外网安全管理系统技术要求与接口规范

3

参考其对于对外接口层的定义。

五、主要编制过程

1.成立专门标准编制组

2013年12月工信部下达标准编制任务后，国家信息中心筹建标准编制组，

进行了前期研究工作。2014年上半年，在国家信息中心制定发布国家电子政务

外网相关网络安全监测标准基础上，牵头联合国家信息技术安全研究中心，及行

业内主流安全公司北京启明星辰信息技术股份有限公司、北京天融信科技股份有

限公司、东软集团股份有限公司、亚信科技（成都）有限公司等联合组成编制组，

开展国家标准编写等相关工作。

2.制定工作计划

编制组首先根据“调研和收集资料、完成草稿、征求意见稿、送审稿”的

工作流程制定了相应的工作计划，并确定定期召开编制组例会并组内通报编制情

况，以便及时征求意见和交流情况。

3.确定标准内容

经编制组多次会议讨论之后，于2015年初完成了标准草稿，并多次征求专

家意见，不断完善本标准草稿，到2015年7月经WG5专家组审定基本确定标

准研究方向和主体内容。

4.主要工作过程

1)前期调研

2014年3月-2014年12月，进行标准前期调研，研究相关技术和标准，形

成标准编制思路。

2)项目启动

2014年12月，国家信息中心牵头，北京天融信科技有限公司、网神信息

技术（北京）股份有限公司、华为技术有限公司等联合成立标准编制组。并基于

政务外网安全工作实施经验，给出了一份标准草案初稿。

2014年5月20日，召开了标准项目启动会议，崔书昆、肖京华、罗锋盈

等专家参加了会议，对标准的草案进行了评审，给出了评审意见。会后编制组制

定了工作计划并对修改完善草案做了具体分工。

4

3)项目研讨

编制组从标准编制、标准与其它相关标准的关系定位进行了深入的研究探

讨。

a)2014年7月29日，标准工作组召开了第二次会议。在该次会议上，对

启动会专家意见的修改进行了讨论，探讨了对国际标准的分析结果。确立后续技

术分析及研讨的主题。

b)2014年8月20日，标准工作组召开了第三次会议。请安标委专家讲授

技术标准编制基本方法。

c)2014年11月30日，标准工作组召开了第四次会议。邀请了标准编制过

程中产学研专家进行交流。

d)2015年3月17日，标准工作组召开了第五次会议。标准编制组与

CNCERT进行了交流，讨论了如何构建运营商级安全监测体系的问题。

e)2015年6月11日，标准工作组召开了第六次会议。标准编制组完善新

一稿框架并与外网单位部分专家进行交流取得认可。

4)标准编制

标准编制组在每次研讨会后，编制组成员都对标准草稿进行了相应的修订，

并于7月初形成了相对完善的一个标准草案版本。

5)征求专家意见

a)2015年7月13日，召开了标准评审会议，崔书昆、赵战生、陈吉学、

上官晓丽、许玉娜、李佳等专家对标准草案进行了评审。根据标准定位和需求，

专家一致建议将原标准名称“信息安全技术网络安全自监测要求与实施指南”

调整为“信息安全技术网络安全监测基本要求与实施指南”。编制组根据专家意

见进行了修订。

b)2016年8月4日，再次召开标准评审会，邀请肖京华、崔书昆、周大昭、

李佳、许玉娜等专家对标准草案进行了评审，提出修改意见。编制组根据专家意

见进行了修订。

c)2016年8月18日，于WG5工作组在研标准推进会前召开标准评审会，

邀请顾健、李健、落红卫等专家对标准草案进行了评审，提出修改意见。编制组

根据专家意见进行了修订。

d)2016年8月25日，参加WG5工作组在研标准推进会，全国信息安全标

5

准化技术委员会WG5工作组及相关成员单位参会，对标准进行审查并形成征求

意见稿。会议决议通过了标准更名申请，标准正式更名为《信息安全技术网络

安全监测基本要求与实施指南》。

e)2016年9月12日参加信安标委秘书处组织的专家形式审查，专家针对

标准的格式和内容提出了修改意见。编制组根据专家意见进行了修订。

f)拟定于2016年10月，参加信安标委秘书处组织标准周活动，申请按照

流程推进标准送审稿上会审查或表决。

六、主要内容

本标准定义了网络安全监测活动框架和基本方法，提出了网络安全监测活动

各组成环节如采集、存储、分析、展示、告警以及接口等技术要求，同时给出了

实施监测建设运维过程。

本标准适用于用户单位对信息系统或网络设施实施网络安全监测的方法和

过程指导，也适用于安全产品厂商参考进行产品设计和开发，同时也适用于为安

全服务厂商实施安全监测服务提供规范和依据。

本规范共包括7章，分别为：范围、规范性引用文件、术语定义与缩略语、

网络安全监测技术框架、网络安全监测技术要求、网络安全监测基础支撑、建设

和运维。其中主体部分：第4章技术框架，描述了监测的主要构成、分类。第

5章技术要求，从监测活动主要环节采集、存储、分析、展示、告警等5个方

面，提出具体技术要求。第6章基础支撑，主要从环境要求、性能要求、自身

安全性等提出基础构建监测平台的基本条件。第7章建设和运维，从需求分析、

规范设计、系统建设实施活动、系统运维管理等5个部分提出实施指导。

七、有关事项说明

名称更改说明：

在本标准草案审查阶段，2015年7月13日编制