《信息安全技术 网络弹性评价准则》编制说明

国家标准编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全

技术网络弹性评价准则》由大连理工大学负责承办，计划号：20230791-T-469。

本标准由全国信息安全标准化技术委员会归口管理。

1.2制定背景

随着物联网、5G、卫星通信网络、大数据、云计算、人工智能等新技术的

迅猛发展和广泛应用，网络规模和数据量呈爆炸式增长，网络拓扑结构日益复杂

成为超网络的新系统形态，为网络安全保障带来巨大的挑战。漏洞利用、勒索病

毒、APT威胁等各种新型攻击方法层出不穷，使传统的网络安全保证模式呈现被

动、滞后的特点，网络安全需要新框架。2022年2月发生的俄乌冲突事件，国

际黑客组织大规模攻击他国关键信息基础设施，显示网络战正在成为未来混合战

争的一种主要形式，国家安全将受到威胁。

网络无法做到绝对的安全。攻击不可能100%被发现，也很难做到所有漏洞

都及时得到修复，因此需要转换思路，考虑在系统中存在攻击的情境下，特别是

考虑存在高级持久性威胁（APT）的条件下，如何保证系统中关键业务和使命任

务的平稳连续运行，并实现应急响应和恢复成为亟待解决的问题。

在此背景下，为落实国家《网络安全法》和《关键信息基础设施安全保护条

例》，本文件在国家网络安全等级保护制度的基础上，借鉴了已有网络安全检测、

评估工作的成熟经验，充分吸收国内外网络弹性领域最前沿的研究成果和相关规

范性文献，从包含网络资源的信息系统弹性功能和结构的视角出发，提出一种多

指标综合网络弹性能力评价方法，基本原则如下：

1）面向攻防。面对零日漏洞高发和层出不穷的网络攻击新模式，保证系统

关键业务平稳运行，必要情况下使能系统战略威慑能力，是信息系统开发方和运

营方必须要解决的问题。网络弹性评价准则旨在评估系统对威胁事件的“预测、

承受、恢复和适应”能力，保证关键业务功能的稳定运行，实现系统主动防御能

国家标准编制说明

力。对于应对日益严峻的网络安全态势、指导网络弹性能力建设具有重要意义和

必要性；

2）关注系统应急响应和恢复能力。弹性概念基本特征之一就是从系统破坏

中迅速恢复的能力，因此对威胁事件采取应急响应措施，将损失降低到最低可接

受水平，并采取适当的恢复或重构策略实现业务的迅速恢复，是网络弹性能力的

重要目标之一；

3）以业务风险为核心，提高系统对威胁事件的耐受能力，保住底线。基于

组织风险管理策略实现网络弹性目的、网络弹性能力目标和网络弹性架构的选择

定制和决策权衡，必要时平稳降级以保证关键业务和使命任务的生存性，实现网

络安全风险管理对组织风险管理的支持，提高网络安全投资效率；

4）实现网络弹性功能与弹性架构的统一。通过网络弹性能力目标与网络弹

性架构的分解，可以构建网络弹性功能与结构要素的映射关系，实现网络弹性功

能与结构的一致性，为系统弹性功能和结构的设计与实现提供指导。

1.3起草过程

大连理工大学负责组织起草，中国软件评测中心，中国科学技术大学，国家

工业信息安全发展研究中心，网络通信与安全紫金山实验室，联想（北京）有限

公司，北京天融信网络安全技术有限公司，腾讯云计算（北京）有限责任公司，

公安部第三研究所，中国信息通信研究院，国家计算机网络应急处理协调中心，

中国检验认证（集团）有限公司，中国电信研究院，天翼云科技有限公司，中车

大连机车车辆有限公司，国电南京自动化股份有限公司，中能融合智慧科技有限

公司，华能信息技术有限公司，中国电子科技集团公司第十五研究所，国家信息

技术安全研究中心，华为技术有限公司，中兴通讯股份有限公司，信华信技术股

份有限公司，欧亚高科数字技术有限公司，湖北省烟草公司，解放军战略支援部

队信息工程大学，东南大学，北京理工大学，北京路云天网络安全技术研究院有

限公司，陕西省信息化工程研究院，长阳科技（北京）股份有限公司，深圳开源

互联网安全技术有限公司，嵩山实验室，安芯网盾（北京）科技有限公司，郑州

昂视信息科技有限公司，南京南瑞信息通信科技有限公司，深信服科技股份有限

公司，南京汇荣信息技术有限公司，山石网科通信技术股份有限公司，广东网安

联认证中心，中邦网络安全技术（深圳）有限公司，中电科网络安全科技股份有

国家标准编制说明

限公司，北京永信至诚科技股份有限公司，启明星辰信息技术集团股份有限公司，

广东云百科技有限公司等单位共同参与了本标准的起草工作。具体起草过程如下：

（1）标准草案阶段

1）2022年5月，信安标委发布《信息安全技术网络弹性评价准则》编

制需求工作的通知，在网络安全管理工作组WG7立项申请和答辩。

2）2022年6月-8月，根据第一次标准申请答辩专家提出的意见，对标

准草案进行修改。

3）2022年9月，第二次标准答辩。

4）2022年9-11月，根据第二次答辩专家提出的意见，对标准草案进行

进一步完善。

5）2023年2月，正式启动标准编制项目，组建标准编制组，完善标准

草案。

6）2023年3月1日，标准编制组召开第一次标准讨论会议，对标准草

案内容进行讨论并修改完善。

7）2023年3月8日，标准编制组召开第二次标准讨论会议，对标准草

案内容进行讨论并修改完善。

8）2023年3月19日，标准编制组以网络会议形式召开第三次标准讨论

会，对标准草案内容进一步修改完善。

9）2023年3月25日，标准编制组以网络会议形式召开第四次标准讨论

会，对标准草案内容进行修改完善。

10）2023年5月8日，信安标委WG7工作组试点工作计划意见会，听取

与会专家的意见，对试点验证工作计划进行完善。

11）2023年5月9日，信安标委WG7工作组专家意见会进行讨论，听取

与会专家的意见，对标准进行完善。

12）2023年5月15日，根据5月8日信安标委WG7工作组专家意见会建

议，对标准试点验证计划修改完善，提交工作组。

13）2023年5月18-21日，与两家国有企业网络安全部门讨论标准的具

体评价指标、评价方法，对草案进行完善，提高标准的可操作性。

14）2023年5月24日，根据5月9日信安标委WG7工作组专家意见会建

国家标准编制说明

议，对标准草案修改完善，提交工作组。

15）2023年5月31日，在信安标委2023年会议周WG7工作组会议上汇

报标准编制的进展情况，听取与会专家的意见，经工作组讨论决议，

同意转征求意见稿。

16）2023年6月2日-13日，根据安标委会议周上专家所提意见，对标准

草案进行修改，6月13日提交工作组，准备专家评审会。

（2）标准征求意见稿阶段

1）2023年7月3日，在信安标委专家评审会上汇报标准编制的进展情

况，听取与会专家意见。

2）2023年7月7日，在大连理工大学经济管理学院召开标准编制工作

推进会，讨论专家评审会上所提修改意见的修改情况。

3）2023年7月8日-20日，对专家意见进行修改。

4）2023年7月24日，启动标准试点验证工作，收集企业修改意见和建

议，并根据标准试点验证情况对标准文本进行修改完善，提交工作

组。

5）2023年7月29日，再次组织专家研讨会，对标准文本提出修改意见。

6）2023年7月30日-8月15日，对7月29日专家研讨会专家锁帖意

见进行修改完善，8月15日，提交标准工作组。

7）2023年8月17-18日，根据责任编辑的意见对标准文件进行修改。

8）2023年8月23日，参加安标委组织的专家评审会，再次听取专家对

标准的修改意见，与会专家同意通过对该项标准的审查，建议编制

工作组根据本次会议意见修改后，发起公开征求意见。

9）2023年8月23-24日，根据8月23日专家评审会意见进一步修改标

准文件，提交信安标委，形成公开征求意见稿。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准的研制工作遵循以下原则：

1)规范性：严格按照国家标准编制流程和国家标准规范GB/T1.1—2020

《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定进行标准

国家标准编制说明

的编制工作，力求达到编制的标准思路清晰、逻辑合理、文本规范、内容完整；

2)可操作性和实用性：研究已有网络弹性相关文献和实践案例，结合试

点项目的实践经验，力求标准在具体执行中具有较好的可操作性和实践指导价值；

3）协调一致性：广泛征求业界专家的意见，同时充分考虑与现有相关标准

的关联关系，力求达到编制标准的不同使用方的协调一致和标准之间的协调统一；

4)科学性与先进性：借鉴国际网络弹性工程领域前沿研究成果和规范性

文献的科学方法及思路，进行标准文本的设计和编写。

2.2主要内容及其确定依据

主要内容依据：

GB/T20988－2007信息安全技术信息系统灾难恢复规范

GB/T25069－2022信息安全技术术语

GB/T28827.3－2012信息技术服务运行维护第3部分：应急响应规范

GB/T30146－2013/ISO22301:2012业务连续性管理体系

GB/T39204－2022信息安全技术关键信息基础设施安全保护要求

本标准适用于一个组织或部门包含网络资源的系统，特别是具有复杂网络连

接的多业务协同的系统。

本标准旨在制定一个组织或部门的网络弹性能力评价准则；适用于组织对系

统网络弹性能力的自评价，网络安全服务机构对系统弹性能力的第三方评价，也

适用于系统网络弹性能力的设计、建设和提升。

2.3修订前后技术内容的对比

非修订标准。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

在标准研制过程中，选取典型行业领域与应用场景，对标准内容的可操作性

和适用性进行验证，充分征求工作组、业界专家、技术支撑单位等相关方意见。

标准试点工作拟选取中车大连机车车辆有限公司、天翼云科技股份有限公司、

网络通信与安全紫金山实验室、华能信息技术有限公司、国电南京自动化股份有

限公司、中能融合智慧科技有限公司等单位开展，以验证标准中相关条款的科学

国家标准编制说明

性、有效性和合理性。

3.2技术经济论证

a)网络弹性是新一代的业务风险治理模型，在系统遭受复杂攻击或灾难事件

时，帮助企业承受攻击并实现快速响应和恢复，保证关键业务和使命攸关的重要

任务在灾难中生存下来的能力；

b)实现网络安全风险治理与业务风险治理的一致性，提高网络安全投资效率；

c)优化现有的网络安全体系结构，充分发挥网络安全投资的效用，在系统架

构层面实现网络弹性目标，为实现网络安全、国家安全提供标准支撑。

3.3预期的经济效益、社会效益和生态效益

本标准旨在用于网络弹性能力的评价，或作为组织实施与建设网络弹性能力

的指南。

社会效益：指导组织网络弹性能力的建设，提高系统对攻击的预测、承受、

恢复以及适应的能力，保证系统遭受攻击时关键业务和使命任务的平稳运行，为

关键信息基础设施等重要网络信息系统的业务连续性保障提供支撑，为实现国家

安全战略提供标准支撑。

经济效益：在系统遭受攻击或灾难事件时，保证关键业务和使命任务的持续

交付，减少网络安全事件所造成的生命财产损失，并降低风险级联效应导致的间

接损失，使网络安全投资产生正的成本收益。

生态效益：

通过利益相关方群体的协同防御策略，提高网络安全态势感知、安全防

御措施的效率，提高网络空间安全生态水平；

对供应链中关键信息资产和服务提出了安全与弹性要求，提高网络空间

安全生态水平。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

本标准借鉴了国际上最新的网络弹性领域相关的标准规范，是网络弹性领域

创新性的标准。主要分析了与NISTSP800-160Vol.2的对比情况：

a）对NISTSP800-160Vol.2中网络弹性概念进行了扩展。

国家标准编制说明

NISTSP800-160Vol.2对于网络弹性的定义：预测、承受、恢复、适应对

抗条件、压力、攻击或者破坏的能力。主要假设系统中存在长期持久性威胁(APT)。

本方案网络弹性的定义：网络面临不利条件、压力、攻击或妥协时，进行预

测、承受、恢复和适应的能力。此定义明确了“预测、承受、恢复和适应”是网

络弹性能力4个基本要素和预期输出结果。

b）提出生存性评价指标，强调对攻击和灾难事件的耐受能力，保住底线。

包括安全失效模式、防故障模式、降级模式、吸收模式等四个生存能力三级指标，

即使在系统出现失效的情况下，也是以可控的方式失效，而不会对自身安全造成

不可接受的伤害，保证关键业务和使命任务的生存性。

c）基于结构决定功能原理,提出网络弹性架构与网络弹性能力目标的统一，

采用自顶向下的方法，将网络弹性能力目标分解为网络弹性功能，将网络弹性架

构分解为逻辑架构、物理架构和通信网络架构,指导网络弹性功能和结构设计，

满足标准需求。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

除上面所述NISTSP800-160Vol.2以及卡内基梅隆大学的网络弹性能力成熟

度模型RMM，尚未发现网络弹性评价相关国际标准。

六、与有关法律、行政法规及相关标准的关系

本标准与国务院令（第745号）《关键信息基础设施安全保护条例》有关法

律、行政法规以及相关标准协调一致。

本文件网络弹性评价准则是在网络安全等级保护制度基础上的业务风险治

理模型，在涵盖网络弹性能力评价指标的同时，还涵盖了应急响应、业务连续性、

信息安全事件管理等方面内容。其中，GB/T28827－2012为应急响应提供了指

南，GB/T30146－2013/ISO22301:2012提出了业务连续性管理体系的要求，

GB/T20988－2007为信息安全事件管理提供了指南等等，本文件相关部分内容与

这些标准保持一致。

七、重大分歧意见的处理经过和依据

本标准编制过程中未出现重大分歧。

八、涉及专利的有关说明

国家标准编制说明

本标准不涉及专利。

九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期

的建议等措施建议

建议本标准作为推荐性国家标准发布实施。

为加快推广《信息安全技术网络弹性评价准则》标准化经验，推动企业运

用标准组织生产、经营、管理和服务，加速标准化成果应用转化，拟从标准编制

组内单位开始，在能源电力等关键信息基础设施、装备制造等行业开展标准应用

试点，由标准编制和实施推广牵头单位牵头，通过标准宣贯会、标准工作交流会、

技术研讨会等形式组织开展，其余参编单位可视情况申请组织相关宣贯活动。宣

贯会、标准工作交流会、技术研讨会内容应包含《信息安全技术网络弹性评价

准则》标准工作进展、标准解读、技术研讨及企业应用实例分享等。

同时，从标准发布到标准实施，建议过渡期设置为6个月。

十、其他应当说明的事项

暂无。

《信息安全技术网络弹性评价准则》标准编制组

2023年8月

国家标准编制说明

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全

技术网络弹性评价准则》由大连理工大学负责承办，计划号：20230791-T-469。

本标准由全国信息安全标准化技术委员会归口管理。

1.2制定背景

随着物联网、5G、卫星通信网络、大数据、云计算、人工智能等新技术的

迅猛发展和广泛应用，网络规模和数据量呈爆炸式增长，网络拓扑结构日益复杂

成为超网络的新系统形态，为网络安全保障带来巨大的挑战。漏洞利用、勒索病

毒、APT威胁等各种新型攻击方法层出不穷，使传统的网络安全保证模式呈现被

动、滞后的特点，网络安全需要新框架。2022年2月发生的俄乌冲突事件，国

际黑客组织大规模攻击他国关键信息基础设施，显示网络战正在成为未来混合战

争的一种主要形式，国家安全将受到威胁。

网络无法做到绝对的安全。攻击不可能100%被发现，也很难做到所有漏洞

都及时得到修复，因此需要转换思路，考虑在系统中存在攻击的情境下，特别是

考虑存在高级持久性威胁（APT）的条件下，如何保证系统中关键业务和使命任

务的平稳连续运行，并实现应急响应和恢复成为亟待解决的问题。

在此背景下，为落实国家《网络安全法》和《关键信息基础设施安全保护条

例》，本文件在国家网络安全等级保护制度的基础上，借鉴了已有网络安全检测、

评估工作的成熟经验，充分吸收国内外网络弹性领域最前沿的研究成果和相关规

范性文献，从包含网络资源的信息系统弹性功能和结构的视角出发，提出一种多

指标综合网络弹性能力评价方法，基本原则如下：

1）面向攻防。面对零日漏洞高发和层出不穷的网络攻击新模式，保证系统

关键业务平稳运行，必要情况下使能系统战略威慑能力，是信息系统开发方和运

营方必须要解决的问题。网络弹性评价准则旨在评估系统对威胁事件的“预测、

承受、恢复和适应”能力，保证关键业务功能的稳定运行，实现系统主动防御能

国家标准编制说明

力。对于应对日益严峻的网络安全态势、指导网络弹性能力建设具有重要意义和

必要性；

2）关注系统应急响应和恢复能力。弹性概念基本特征之一就是从系统破坏

中迅速恢复的能力，因此对威胁事件采取应急响应措施，将损失降低到最低可接

受水平，并采取适当的恢复或重构策略实现业务的迅速恢复，是网络弹性能力的

重要目标之一；

3）以业务风险为核心，提高系统对威胁事件的耐受能力，保住底线。基于

组织风险管理策略实现网络弹性目的、网络弹性能力目标和网络弹性架构的选择

定制和决策权衡，必要时平稳降级以保证关键业务和使命任务的生存性，实现网

络安全风险管理对组织风险管理的支持，提高网络安全投资效率；

4）实现网络弹性功能与弹性架构的统一。通过网络弹性能力目标与网络弹

性架构的分解，可以构建网络弹性功能与结构要素的映射关系，实现网络弹性功

能与结构的一致性，为系统弹性功能和结构的设计与实现提供指导。

1.3起草过程

大连理工大学负责组织起草，中国软件评测中心，中国科学技术大学，国家

工业信息安全发展研究中心，网络通信与安全紫金山实验室，联想（北京）有限

公司，北京天融信网络安全技术有限公司，腾讯云计算（北京）有限责任公司，

公安部第三研究所，中国信息通信研究院，国家计算机网络应急处理协调中心，

中国检验认证（集团）有限公司，中国电信研究院，天翼云科技有限公司，中车

大连机车车辆有限公司，国电南京自动化股份有限公司，中能融合智慧科技有限

公司，华能信息技术有限公司，中国电子科技集团公司第十五研究所，国家信息

技术安全研究中心，华为技术有限公司，中兴通讯股份有限公司，信华信技术股

份有限公司，欧亚高科数字技术有限公司，湖北省烟草公司，解放军战略支援部

队信息工程大学，东南大学，北京理工大学，北京路云天网络安全技术研究院有

限公司，陕西省信息化工程研究院，长阳科技（北京）股份有限公司，深圳开源

互联网安全技术有限公司，嵩山实验室，安芯网盾（北京）科技有限公司，郑州

昂视信息科技有限公司，南京南瑞信息通信科技有限公司，深信服科技股份有限

公司，南京汇荣信息技术有限公司，山石网科通信技术股份有限公司，广东网安

联认证中心，中邦网络安全技术（深圳）有限公司，中电科网络安全科技股份有

国家标准编制说明

限公司，北京永信至诚科技股份有限公司，启明星辰信息技术集团