信息安全技术 网络安全管理支撑系统技术要求-编制说明

一、任务来源根据国家标准化管理委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息网络安全管理技术支撑平台技术要求》由浙江远望信息股份有限公司承担标准制定任务，标准计划号为20130334-T-469。二、标准必要性和意义在信息系统互连互通的大环境下，信息网络安全的实质就是保障和维护国家主权、国家安全、社会稳定、经济安全与发展和公民合法权益。信息网络安全标准化是信息系统安全性的重要保证，是国家信息安全规范化、制度化、法制化发展的首要条件。是确保有关信息安全的产品和系统在设计、研发、生产、建设、使用、测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。没有自主开发的安全标准，就不能构造出一个自主可控的信息安全保障体系，就难以保证国家安全和国家利益。因此，信息安全标准是我国信息安全保障体系的重要组成部分。我国信息安全标准化工作，虽然起步较晚，但是近年来发展较快，本着积极采用、鉴戒国际标准，自主规划和制定国内标准的原则，转化了一批国际信息安全基础技术标准，制定了一批符合中国国情的信息安全标准，如在信息网络安全风险评估、事件管理、应急响应等方面制定了一系列的技术标准，明确了信息系统等级保护划分准则和一系列的等级保护实施标准，同时也制定了一系列针对特定安全风险的安全产品（如入侵检测与防护、病毒查杀与防范、边界准入与控制等）技术标准。但是针对政务和企事业单位复杂信息网络环境下不断演化的各类安全风险，国内尚缺乏一套从信息与网络安全管理的全局性需求出发，将安全管理和安全技术有机融合的产品技术标准。本标准（信息安全技术信息网络安全管理技术支撑平台技术要求）以GB17859-1999《计算机信息系统安全保护等级划分准则》、GB/T22239-2008《信息系统安全等级保护基本要求》、GB/Z24364-2009《信息安全风险管理指南》、GB/Z20985-2007《信息安全事件管理指南》为依据，吸取国内外先进的信息安全标准的相关内容，根据我国当前政府和企事业单位信息网络安全保障的实际需求：实现安全管理工作的信息化；实现人、管理、技术三个层面的融合；实现安全监管技术的融合；面对政府和企事业单位网络中的边界安全、保密安全、网站安全、应用安全、数据安全、基础安全、运行安全等方面风险，构建有效的监测、响应和防护的安全管理模型。制定出对我国现阶段信息与网络安全管理支撑平台产品的设计、开发具有指导意义的标准文档。以便于不同厂家在产品化过程中按照统一的要求和规范进行设计和生产，以确保产品功能要求符合技术要求中的规定，同时也能对作为产品的其它必备的功能进行规范评测，对产品开发过程的规范化和全程质量管理也会有促进作用。主要工作过程（1）2012.12月—2013.6月，学习查阅我国及有关行业安全法规、政策及规范性文件；调研我国政府和企事业单位信息网络安全监管现状、分析安全态势变化及原因，提出标准草案初稿。（2）2013.6月—2015.8月，对形成的《信息安全技术信息网络安全管理技术支撑平台技术要求》标准草案初稿，广泛征求业界和专家意见，工作组专家对标准进行了多次审查，召开了多次会议，并与专家多次商讨并征求意见。（3）2015.9月—2016.5月，根据前期专家提出的意见，对标准草案初稿进行集中修改，形成较完善的标准草案。（4）2015.6月—2016.8月，向专家汇报草案修改情况，修订标准定位等修改完善。四、主要条款的说明，主要技术指标、参数、实验验证的论述信息网络安全管理技术支撑平台是政府和企事业单位进行信息网络安全管理工作的支撑产品，基于适合国情的信息安全保障体系的管理理念，整合物理安全、网络安全、系统安全、应用安全、数据安全等方面的安全监管分析技术，实现安全管理的信息化。是一个集成化、融合型的安全管理支撑产品。一方面实现安全监管技术的融合，另一方面实现人、管理、技术三个层面的融合。本标准规定了在政府和企事业单位的信息网络环境下，信息与网络安全管理支撑平台产品的技术要求，以政府和企事业单位信息网络安全管理的实际需求为基础，研究信息与网络安全管理支撑平台产品的安全功能、自身安全性和安全保证等方面的技术要求，重点如下：明确信息网络安全管理支撑平台产品的安全功能要求；明确信息网络安全管理支撑平台产品的自身安全要求；明确信息网络安全管理支撑平台产品的安全保证要求；明确信息网络安全管理支撑平台产品的分级划分要求。标准的应用，主要是支撑政府和企事业单位信息网络安全的全局性、完整性、有效性管理，构建针对信息网络中的边界安全、保密安全、网站安全、应用安全、数据安全、基础安全、运行安全等风险的有效监测、响应和防护的安全管理模型，满足等级保护基本要求，同时标准为相关生产厂商和测评机构在产品实现和评测提供技术支持和一致性参考。远望信息与网络安全管理技术支撑平台是融业务管理（规范、组织、培训、服务）、工作流程、应急响应（预警、查处、通报、报告）和安全技术应用（监测、发现、处置）为一体的信息与网络安全管理平台，能有效地帮助客户建设全面的信息安全综合保障体系，已受到行业用户普遍认可并有成功的大型项目实施经验和良好的使用成效。五、采用国际标准和国外先进标准的，说明采标程度，以及与国内外同类标准水平的对比情况据起草工作组查阅和掌握资料，目前我国上没有关于信息网络安全管理技术支撑平台技术要求相关的国家法规和标准。六、作为推荐性标准或者强制性标准的建议及其理由本标准以更好的指导政府和企事业单位信息系统的安全管理为目的，不涉及到人和财产的安全，建议将本标准作为推荐性标准发布实施。七、贯彻标准的措施建议为加强政府和企事业单位计算机网络与信息安全，结合我国情况，提出以下贯彻本标准的建议：1）主管部门通过举办培训班、讲座形式进行信息与网络安全宣贯帮助各级政府机构和企事业单位信息系统安全管理人员和使用人员了解标准规定的安全管理的基本内容要求，提高安全意识；2）相关信息安全产品监管部门和测评机构通过对产品测评的标准要求，对信息安全该类产品生产厂家在产品化过程中按照统一的要求和规范进行设计和生产，以确保产品功能要求符合技术要求中的规定，同时也能对作为产品的其它必备的功能进行规范评测，对产品开发过程的规范化和全程质量管理也会有促进作用《信息安全技术信息网