信息安全技术 网络存储安全技术要求-编制说明

国家标准报批资料一、工作简况《信息安全技术网络存储安全技术要求》是国家互联网信息办公室2016年下达的信息安全国家标准制定项目。本标准为自主制定标准，标准编制单位由华为技术有限公司、公安部第三研究所、华中科技大学、上海交通大学、北京匡恩网络科技有限责任公司、杭州海康威视数字技术股份有限公司、中国电子技术标准化研究院、联想（北京）信息技术有限公司、中国信息安全测评中心、浪潮电子信息产业股份有限公司等单位组成，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会，TC260）。二、标准编制原则和确定主要内容的论据及解决的主要问题随着信息技术的发展与应用，我们正在由信息时代走向数据时代，数据也呈海量模式增长，这就必然需要大量的存储设备能够承载海量数据的存储工作。数据集中存储所带来的数据价值集中性不断地提升存储设备在整个网络中的重要性，同时也大大增加了存储设备所面临的安全威胁。针对于此，国家在政策层面做出了指导，《国家中长期科学和技术发展规划纲要（2006━2020年）》中明确要求建立可保障核心应用的信息安全的安全存储。然而要实现可保证核心应用信息安全的存储，就必须在整个存储行业内有一套存储安全技术方面的标准，以达到牵引存储产品的安全能力共同发展的目的。目前存储行业中存储技术和架构达成共识的是网络存储，因此本标准致力于规定出网络存储的安全技术要求。另一方面，网络存储安全技术标准的统一也有助于减小对于整个存储市场不同网络存储产品安全能力的评估难度；同时，可以让使用网络存储的用户对于网络存储的安全能力有一个清晰的认识，进而更好地建设自有信息系统。本标准的研究与编制工作遵循以下原则：1、规范性原则严格按照国家标准编制流程进行标准的编制工作，力求达到编制的标准思路清晰、逻辑合理、文本规范、内容完整。2、协调一致性原则广泛征求业界专家的意见，同时充分考虑相关标准的关联关系，力求达到编制标准的不同使用方的协调一致和标准之间的协调统一。3、可操作性和实用性原则利用多年的实践经验，结合行业现状进行标准的编制，力求标准在具体执行中操作性和实用性强。4、等级划分原则本标准参照网络存储市场产品分为低端系列、中端系列和高端系列三个级别，对应的安全能力为低、中和高三类的现状，将网络存储安全功能要求按安全能力的强弱分为第一级、第二级、第三级共三个等级，将网络存储安全保障要求按保障力度的大小分为第一级、第二级、第三级共三个等级，在选择安全功能要求和安全保障要求级别时，满足所选取安全保障要求的级别不低于安全功能要求的级别。若涉及到等级保护系统选择网络存储产品时，建议：1）用户自主保护级和系统审计保护级的等级保护系统选择满足或高于第一级安全功能要求和安全保障要求的网络存储产品；2）安全标记保护级的等级保护系统选择满足或高于第二级安全功能要求和安全保障要求的网络存储产品；3）结构化保护级和访问验证保护级的等级保护系统选择满足第三级安全功能要求和安全保障要求的网络存储产品。4）若等级保护系统选择的存储产品安全能力在上述建议情形之外，则系统需实施额外的安全措施，以保证整个系统满足其等级保护级别的基本要求。5、科学性原则既充分考虑国内外存储行业目前的技术能力水平，又对于行业健康安全发展保持一定的前瞻性。三、主要试验[或验证]情况分析1、2016年6月，项目组组建临时的标准预研组，对国内外存储技术、应用、政策和标准进行调研分析，确定存储安全技术要求标准化需求。2、2016年7月，成立正式的存储安全技术要求标准编制组，由华为技术有限公司、公安部第三研究所、华中科技大学、上海交通大学等单位组成标准编制组，召开标准编制启动工作会议，对标准编制背景、标准化内容等进行了深入讨论，确定了标准编制工作机制，确定了标准编制提纲，并根据编制提纲进行了任务分工。3、2016年7月21日，标准编制组进行了第一次编写进度汇报讨论，并对编写的方向及章节进行了讨论。4、2016年7月29——30日，标准编制组按照参与单位提供的资料汇总形成了国家标准《信息安全技术存储安全技术要求》（第一版草案）。5、2016年9月，标准编制组召开标准草案修订会议，对草案文本进行了讨论，并根据修订意见整理成第二版草案。6、2016年10月，编制组各参与单位对第二版草案章节取舍及分等级内容进行了讨论，并根据意见整理得到第三版草案。6、2016年11月编制组各参与单位确认了交叉评审的内容分配，11月14日讨论了交叉评审意见，并根据意见整理得到第四版草案。7、2017年2——3月，编制组对第四版标准草案进行了全面深入的评审，对于发现的问题进行讨论及修正，并于3月6日形成第五版草案。8、2017年3月17日，参加WG5专家评审会，并征求专家组的意见，会后修改整理形成第六版草案。9、2017年4月8日至12日，在TC260全会会议周上做了标准项目进展汇报，专家针对标准的对象范围和对象定位提出了意见。10、2017年4月至5月，根据会议周上专家提出的意见，并与公安部专家共同商讨确定修改方案，至6月上旬，对标准做了以下几方面的修改： 1）标准参考体系：首先标准对象定位于产品，在同时参考《GB/T18336-2015信息技术安全技术IT安全性评估准则》和《GB17859-1999计算机信息系统安全保护等级划分准则》的基础上，并充分考虑标准的易用性，对其他几方面作了修改。2）标准安全框架：重新从分析网络存储产品在通用业务场景中可能面临的威胁出发，调整了标准的安全框架。3）标准章节划分：对标准章节条目和内容进行了合并同类项，使标准化繁为简并满足于修改后的安全框架。4）安全功能要求：删除了部分产品功能之外的要求，以保证不扩大对象功能要求范围；修改了安全功能要求的表述，提高了标准的易用性；5）安全保障要求：参照《GB/T18336-2015信息技术安全技术IT安全性评估准则》规定了网络存储产品生命周期内的安全性要求。6）等级划分：在充分考虑网络存储产品市场现状和今后发展以及产品应用到系统时的操作性，对安全功能要求和安全保障要求进行了等级划分，并且给出了不同级别的等级保护系统选取存储安全要求等级时的对应性建议。修改之后，形成了第七版草案。11、2017年6月21日，在北京召开WG5专家组评审会，与会专家对标准在会议周之后的修改成果表示赞同并提出了意见和建议，会后编写组根据意见修改，形成了第八版草案。12、2017年6月29日，召集浪潮、联想、海康威视等存储相关厂商在北京召开了编写组研讨会议，与会单位积极提出意见和建议，会后还征求了IBM专家的意见；本次会议及会后共收到53条意见和建议，这些意见涉及到了标准的多个方面，根据意见完成修改后，形成了第八版草案。13、2017年7月26日，在信安标委WG5工作组2017年第一次会议周上，对标准进展做了汇报，标准顺利进入征求意见稿阶段，并获得WG5工作组同意申请将标准名称由《信息安全技术存储安全技术要求》改为《信息安全技术网络存储安全技术要求》。14、2017年8月10日，组织召开了电话会议，有戴尔、联想、IBM、公安三所、匡恩网络等单位参加，讨论了WG5工作组会议周期间收集到的意见处理情况，又充分听取和收集了与会单位的意见，对于未能参会的海康威视、浪潮、电子四院等多个单位单独进行了意见收集和沟通，对于收集到的意见进行修改并于8月17日整理得到征求意见稿。四、知识产权情况说明本标准不涉及专利。五、采用国际标准和国外先进标准情况未采用国际标准，本标准为存储产品级国家标准，国内无同类标准，国外只有系统级存储标准。六、与现行相关法律、法规、规章及相关标准的协调性(一)贯彻国家有关政策与法规本标准中涉及的密码算法遵循国家商用密码的有关规定。本标准项目主要依据现有法律法规制定，与我国现行的法律、法规及国家标准、行业标准不存在冲突问题。（二）与相关国内标准的关系标准编制过程中，参考了GB/T18336-1：2015《信息技术安全技术IT安全性评估准则第1部分：简介和一般模型》、GB/T18336-2：2015《信息技术安全技术IT安全性评估准则第2部分：安全功能组件》、GB/T18336-3：2015《信息技术安全技术IT安全性评估准则第3部分：安全保障组件》、GB17859-1999《计算机信息系统安全保护等级划分准则》等国家标准，保证标准相关内容和已发布标准的一致性。七、重大分歧意见的处理经过和依据专家在TC260全会会议周上针对标准的对象范围、对象定位和分级原则提出了意见。编写组在会后针对专家意见做了多次讨论，最终进行了以下修改：1、标准参考体系：首先标准对象定位于产品，进一步细化了标准的对象和范围。2、安全功能要求：删除了部分产品功能之外的要求，以保证不扩大标准对象功能要求范围；修改了安全功能要求的表述，提高了标准的易用性；3、安全保障要求：参照《GB/T18336-2015信息技术安全技术IT安全性评估准则》规定了网络存储产品生命周期内的安全性要求。4.等级划分：本标准参照网络存储市场产品分为低端系列、中端系列和高端系列三个级别，对应的安全能力为低、中和高三类的现状，将存储安全功能要求按安全能力的强弱分为第一级、第二级、第三级共三个等级，将存储安全保障要求按保障力度的大小分为第一级、第二级、第三级共三个等级，在选择安全功能要求和安全保障要求级别时，满足所选取安全保障要求的级别不低于安全功能要求的级别。并且给出了不同级别的等级保护系统选取存储安全要求等级时的对应性建议。以上修改成果得到了专家组专家的高度认可。八、标准性质的建议本标准为推荐性标准。九、贯彻标准的要求和措施建议标准发布前，在存储市场不同存储厂商之间去论证标准的有效性。标准发布后，在安标委指导下对进行标准的试点和推广。十、替代或废止现行相关标准的建议无。十一、其它应予说明的事项编制组在标准编制过程中，进行了内部讨论、专家论证评审等过程。编制组对国内外现状做了大量调研，完成了标准草案编制工作。在整个过程中，编制组遵循编制原则，对专家提出的意见和建议做出认真的应答和处理，不断对标准草案进行完善。本标准是信息安全技术要求系列标准的重要组成部分，用以指导如何设计、实现、测试、生产满足相应安全等级保护要求的存储，同时可为后续建立针对存储系统的安全能力测试规范作参考。是指导党政机关、重要行业和关键领域采购