信息安全技术 信息系统安全管理平台产品技术要求和测试评价方法-编制说明

一、任务来源本任务来自全国信息系统安全标准化技术委员会，由全国信息安全标准化技术委员会WG5工作组负责管理任务承担单位北京中科网威信息技术有限公司、公安部计算机信息系统安全产品质量监督检验中心、北京启明星辰信息技术股份有限公司、公安部第一研究所等

二、编制的目标和原则、编制目标

2.1本标准的编制意在规范安全管理平台产品的研制、开发、测试、评估和产品的采购等方面，起到与其他相关法规和标准相辅相成的作用在编制过程中，以当前国内外网络安全领域广泛使用的安全管理平台类产品所具备的基本功能为基础来规定安全管理平台产品的技术要求，以国内外同类产品的测试、评估办法为基础来规定安全管理平台产品的评估准则力求广泛吸取国内外先进的信息安全标准的相关内容，根据我国实际国情和信息安全状况制定出领先的、对信息系统安全管理平台产品的生产、应用、评测具有指导意义的产品技术及评测标准、编制原则

2.2本标准力求符合我国信息安全的现状，遵从我国有关法律法规的规定，并与国际接轨主要原则如下先进性1本标准的编制要符合技术发展的要求，对技术和产品研发、测评应具有引导、规范和推动作用，同时应参考国际先进标准，吸取其精华实用性2本标准必须保证是可用的，才能对产品的生产、应用和评测评估起到指导和规范作用兼容性3本标准必须要与我国现有的政策、法律、法规相一致，适当兼顾与国际接轨可操作性4本标准中的功能和性能指标必须具有可测量性，测评方法必须具有良好的可操作性，才能成为一个产品评测和对比的客观标准据原发证据的功能；）应具有在请求的情况下为数据原发者或接收者提供数据3b接收证据的功能2）应提供数据有效性检验功能，保证通过人机接口输入或a软件容错通过通信接口输入的数据格式或长度符合系统设定要求；）应提供自动保护功能，当故障发生时自动保护当前所有3b状态，保证系统能够进行恢复）当应用系统的通信双方中的一方在一段时间内未作任何2a响应，另一方应能够自动结束会话；）应能够对系统的最大并发会话连接数进行限制；b2）应能够对单个帐户的多重并发会话进行限制；c23）应能够对一个时间段内可能的并发会话连接数进行限制；d资源控制）应能够对一个访问帐户或一个请求进程占用的资源分配3e最大限额和最小限额；）应能够对系统服务水平降低到预先规定的最小值进行检3f测和报警；）应提供服务优先级设定功能，并在安装后根据安全策略3g设定访问帐户或请求进程的优先级，根据优先级分配系统资源）应能够检测到系统管理数据、鉴别信息和重要业务数据2-3a在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；数据完整性）应能够检测到系统管理数据、鉴别信息和重要业务数据3b在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施）应采用加密或其他有效措施实现系统管理数据、鉴别信3a数据安全及息和重要业务数据传输保密性；数据保密性备份恢复）应采用加密或其他保护措施实现系统管理数据、鉴别信2-3b息和重要业务数据存储保密性）应提供本地数据备份与恢复功能，完全数据备份至少每3a天一次，备份介质场外存放；）应提供异地数据备份功能，利用通信网络将关键数据定3b备份和恢复时批量传送至备用场地；3）应采用冗余技术设计网络拓扑结构，避免关键节点存在c单点故障；）应提供主要网络设备、通信线路和数据处理系统的硬件3d冗余，保证系统的高可用性

5.

6、本标准与GB/T25070・2010（等级保护设计要求）的关系本标准在安全机制管理方面，各级产品的功能完全涵盖了《信息安全技GB/T25070-2010术信息系统等级保护安全设计技术要求》中对安全管理中心的要求，以及其中提到的所有安全机制如下表等级保护设计要求等级保护二级等级保护三级安全机制等级保护四级安a）用户身份鉴应支持用户标识和用户鉴别在对每一个应支持用户标识和用户鉴别在对每一个用户注应支持用户标识和用户鉴别在每一个用户注册到系统余别用户注册到系统时，采用用户名和用户标册到系统时，采用用户名和用户标识符标识用户时，采用用户名和用户标识符标识用户身份，并确保在计识符标识用户身份，并确保在系统整个生身份，并确保在系统整个生存周期用户标识的唯系统整个生存周期用户标识的唯一性；在每次用户登录算存周期用户标识的唯一性；在每次用户登一性；在每次用户登录系统时，采用受安全管理制重新连接系统时，采用受安全管理中心控制的口令、环录系统时，采用受控的口令或具有相应安中心控制的口令、令牌、基于生物若征、教■宇基于生物特征的数据、数字证书以及其他具有相应安全境全强度的其他机制进行用户身份鉴别，并证•声以及其他具有相应安全强度的两种或两种强度的两种或两种以上的组合机制进行用户身份鉴别,且对鉴别数据进行保密拴双院螫性保护以上的组合机制选行强户身尬鉴别，并对鉴别数其中一种鉴别技术产生的鉴别数据走了可替代物并对鉴据进行保密性和完整性保护别数据进行保密性和完整性保护b）自主访问应在安全策略控制范围内，使用户对其创应在安全策略控制范围内，使用户对其创建的客应在安全策略控制范围内，使用户对其创建的客体具有控制建的客体具有相应的访问操作权限，并能体具有相应的访问操作权限，并能将这些权限的相应的访问操作权限，并能将这些权限部分或全部授予将这些权限的部分或全部授予其他用户部分或全部授予其他用户自主访问控制主体的其他用户自主访问控制主体的粒度为用户级，客体的访问控制主体的粒度为用户级，客体的粒粒度为用户级，客体的粒度为文件或数据库表级粒度为文件或数据库表级和（或）记录或字段级自主度为文件或数据库表级访问操作包括对双7（或）记录或字段级自主访问操作包括对访问操作包括对客体的创建、读、写、修改和删除等客体的创建、读、写、修改和删除等客体的创建、读、写、修改和删除等c）标记和强在对安全管理员进行身份鉴别和权限控制的基在对安全管理员进行身份鉴别和权限控制的基础上，应制访问控制础上,应由安全管理员通过特定操作界面对主、客由安全管理员通过特定操作界面对主、客体进行安全标体进行安全标记;应按安全标记和强制访问控制记,将自主和强制访问控制扩展到所有主体与客如；应按规则,对确定主体访问客体的操作进行控制强制安全标记和强制访问控制规则，对确定主体访问客体的访问控制主体的粒度为用户级,客体的粒度为文操作进行控制0强制访问控制主体的粒度为用户级，客件或数据库表级应确保安全计算环境内的所有体的粒度为文件或数据库表级应确保安全计算环境内主、客体具有一致的标记信息,并实施相同的强制的所有主、客体具有一致的标记信息，并实施相同的强访问控制规则制访问控制规则d）系统安全应提供安全审计机制,记录系统的相关安应记录系统的相关安全事件审计记录包括安全应记录系统相关安全事件审计记录包括安全事件的主审计全事件审计记录包括安全事件的主体、事件的主体、客体、时间、类型和结果等内容体、客体、时间、类型和结果等内容应提供审计记录客体、时间、类型和结果等内容该机制应提供审计记录查询、分类、分析和存悌保护；查询、分类、分析和存储保护；能对特定安全事件进行应提供审计记录查询、分类和存储保护,并能对特定安全事件进行报警;确保审计记录不被报警，终止违例进程等;确保审计记录不被破坏或非授权可由安全管理中心管理破坏或非授权访问应为安全管理中心提供接口;访问以及防止声讨记灵去关箓应为安全管理中心提供接对不能由系统独立处理的安全事件,提供由授权口；对不能由系统独立处理的安全事件，提供由授权主主体调用的接口体调用的接口e）用户数据可采用常规校验机制，检验存储的用户数应采用密码机制支持的完整性校验机制或其］他应采用密码机制支持的完整性校验机制或其他具有相应完整性保护据的完整性，以发现其完整性是否被破坏具有相应安全强度的完整性校验机制,检验存储安全强度的完整性校验机制，检验存储和处理的用户数和处理的用户数据的完整性，以发现其完整性是据的完整性，以发现其完整性是否被破坏，且在其受到否被破坏，且在其受到破坏时能对重要数据进行破坏时能对重要数据进行恢复恢复f）用户数据保可采用密码技术支持的保密性保护机制，采用密码技术支持的保密性保护机制或其他具采用密码技术支持的保密性保护机制或其他具有相应安密性保护对在安全计算环境中存储和处理的用户数有相应安全强度的保密性保护机制，对在安全计全强度的保密性保护机制，对在安全计算环境中的用户据进行保密性保护算环境中存储和处理的用户数据进行保密性保数据进行保密性保护护g）客体安全应采用具有安全客体复用功能的系统软件应采用具有安全客体复用功能的系统软件或具应采用具有安全客体复用功能的系统软件或具有相应功重用或具有相应功能的信息技术产品，对用户有相应功能的信息技术产品，对用户使用的客体能的信息技术产品，对用户使用的客体资源，在这些客使用的客体资源，在这些客体资源重新分资源，在这些客体资源重新分配前，对其原使用体资源重新分配前，对其原使用者的信息进行清除，以配前，对其原使用者的信息进行清除，以确保信息不被泄露者的信息进行清除，以确保信息不被泄露确保信息不被泄露h）恶意代码应安装防恶意代码软件或配置具有相应安防范全功能的操作系统，并定期进行升级和更新，以防范和清除恶意代码i）程序可信执可构建从操作系统到上层应用的信任链,其中可应构建从操作系统到上层应用的信任链，其中可采用可行保护采用可信计算等技术,以实现系统运行过程中可信计算技术，以实现系统运行过程中可执行程序的完整执行程序的完整性检验,防范恶意代码等攻击,并性检验，防范恶意代码等攻击，并在检测到其完整性受在检测到其完整性受到破坏到破坏时采取有效的恢复措施时采取有效的恢复措施安a）区域边界应在安全区域边界设置自主和强制访问控制机应在安全区域边界设置自主和强制访问控制机制，实施全访问控制制,实施相应的访问控制策略,对进出安全区域边相应的访问控制策略，对进出安全区域边界的数据信息区界的数据信息进行控制,阻止非授权访问进行控制，阻止非授权访问域边b）区域边界应根据区域边界安全控制策略，通过检查应根据区域边界安全控制策略,通过检查数据包应根据区域边界安全控制策略，通过检查数据包的源地界包过滤数据包的源地址、目的地址、传输层协议的源地址、目的地址、传输层协议、请求的服务址、目的地址、传输层协议、请求的服务等，确定是否和请求的服务等，确定是否允许该数据包等，确定是否允许该数据包进出该区域边界允许该数据包进出受保护的区域边界通过该区域边界c）区域边界应在安全区域边界设置审计机制,并由安应在安全区域边界设置审计机制，由安全管理中应在安全区域边界设置审计机制，通过安全管理中心集安全审计全管理中心统一管理心集中管理，并对确认的违规行为及时报警中管理,对确认的违规行为及时报警并做出相应先置d）区域边界应在安全区域边界设置防恶意代码网关,恶意代码防范由安全管理中心管理e）区域边界应在区域边界设置探测器,探测非法外联应在区域边界设置探测器，例如外接探测软件,应在区域边界设置探测器，例如外接探测软件，探测非完整性保护等行为,并及时报告安全管理中心探测非法外联加1侵方为，并及时报告安全管理法外联和入侵行为，并及时报告安全管理中心中心安a）通信网络应在安全通信网络设置审计机制,由安全应在安全通信网络设置审计机制，由安全管理中应在安全通信网络设置审计机制，由安全管理中心集中全安全审计管理中心管理心集中管理，并对确认的违规行为进行报警管理，并对确认的违规行为进行报警，且做出相应处置通信b）通信网络可采用由密码技术支持的完整性校验机制应采用由密码技术支持的完整性校验机制或具应采用由密码技术支持的完整性校验机制,以实现通信网网数据传输完整或具有相应强度的其他安全机制,以实现网有相应安全强度的其他安全机制，以实现通信网络数据传输完整性保护，并在发现完整性被破坏时进行络性保护络数据传输完整性保护络数据传输完整性保护,并在发现完整性被破坏恢复时进行恢复c）通信网络可采用由密码技术支持的保密性保护机制采用由密码技术支持的保密性保护机制或具有采用由密码技术支持的保密性保护机制或具有相应安全数据传输保密或具有相应强度的其他安全机制,以实现网相应安全强度的其他安全机制，以实现网络数据强度的其他安全机制，以实现网络数据传输保密性保护性保护络数据传输保密性保护传输保密性保护d）通信网络可采用由密码技术支持的可信网络连接机制，通应采用由密码技术支持的可信网络连接机制，通过对连可信接入保过对连接到通信网络的设备进行可信检验，确保接到网络的设备进行可信检验，确保接入网络的设备真护接入通信网络的设备真实可信，防止设备的非法实可信，防止设备的非法接入接入安系统管理可通过系统管理员对系统的资源和运行进应通过系统管理员对系统的资源和运行进行配应通过系统管理员对系统的资源和运行进行配置、控制全行配置、控制和管理，包括用户身份和授置、控制和管理，包括用户身份管理、系统资源和管理，包括用户身份管理、系统资源配置、系统加载管权管理、系统资源配置、系统加我和启动、配置、系统加载和启动、系统运行的异常处理.和启动、系统运行的异常处理以及支持管理本地双7异理系统运行的异常处理、数据和设备的备份以及支持管理本地和（或）异地灾难备份与恢复地灾难备份与恢复等中与恢复以及恶意代码防范等等心审计管理可通过安全审计员对分布在系统各个组成应通过安全审计员对分布在系统各个组成部分部分的安全审计机制进行集中管理，包括的安全审计机制进行集中管理,包括根据安全审应通过安全审计员对分布在系统各个组成部分的安全审根据安全审计策略对审计记录进行分类；计策略对审计记录进行分类;提供按时间段开启计机制进行集中管理，包括根据安全审计策略对审计记提供按时间段开启和关闭相应类型的安全和关闭相应类型的安全审计机制；对各类审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管录进行存储•、管理和查询等对审计记录应进行审计机制；对各类审计记录进行存储、管理和查询等理和查询等分析，并根据分析结果进行处理对审计记录应进行分析，并根据分析结果进行及时处理安全管理应通过安全管理员对系统中的主体、客体进行统应通过安全管理员对系统中的主体、客体进行统一标记，一标记,对主体进行授权,配置一致的安全策略对主体进行授权，配置一致的安全策略，并确保标记、授权和安全策略的数据完整性自身安全管应对系统管理员进行身份鉴别，只允许其应对系统管理员进行身份鉴别，只允许其通过特应对系统管理员进行身份鉴别，只允许其通过特定的命理通过特定的命令或操作界面进行系统管理定的命令或操作界面进行系统管理操作，并对这令或操作界面进行系统管理操作，并对这些操作进行审操作，并对这些操作进行审计应对安全些操作进行审计计审计员进行身份鉴别，并只允许其通过特应对安全审计员进行身份鉴别，只允许其通过特应对安全审计员进行身份鉴别，只允许其通过特定的命定的命令或操作界面进行安全审计操作定的命令或操作界面进行安全审计操作令或操作界面进行安全审计操作应对安全管理员进行身份鉴别,只允许其通过特应对安全管理员进行身份鉴别，只允许其通过特定的命定的命令或操作界面进行安全管理操作,并进行令或操作界面进行安全管理操作，并进行审计审计、本标准与的关系

5.7GB/T

22081.2008ISO27001本标准中各级产品的功能基本涵盖了《信息安全技术信息安全管理GB/T22081-2008实用规则》中对信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统开发和维护、信息安全事件管理、业务连续性管理、符合性等的控制措施要求控制类控制项控制子项控制措施信息安全的管理承诺信息安全协

6.

1.2信息安全活动应由来自组织不同部门并具调备相关角色和工作职责的代表进行协调所有的信息安全职责应予以清晰地定义信息安全职责的

6.

1.3分配信息处理设

6.

1.4新信息处理设施应定义和实施一个管理授施的授权过程权过程内部

6.1保密性协议组织6信息安全

6.

1.6与政府部门的联组织系与特定利益

6.

1.7集团的联系组织管理信息安全的方法及其实施（例如信息安全的控制目标、控制措施、策略、过信息安全的

6.

1.8程和程序）应按计划的时间间隔进行独立独立评审评审，当安全实施发生重大变化时，也要进行独立评审应识别涉及外部各方业务过程中组织的信外部

6.2与外部各方相关

6.

2.1息和信息处理设施的风险，并在允许访问各方风险的识别前实施适当的控制措施处理与顾客应在允许顾客访问组织信息或资产之前处

6.

2.2有关的安全问题理所有确定的安全要求涉及访问、处理或管理组织的信息或信息处处理第三方

6.

2.3理设施以及与之通信的第三方协议，或在协议中的安全问题信息处理设施中增加产品或服务的第三方协议，应涵盖所有相关的安全要求应清晰的识别所有资产，编制并维护所有重资产清单要资产的清单与信息处理设施有关的所有信息和资产应

7.1对资资产责任人由组织的指定部门或人员承担责任产负责7资产

7.

1.3资产的合格与信息处理设施有关的信息和资产使用允管理使用许规则应被确定、形成文件并加以实施分类指南信息应按照它对组织的价值、法律要求、敏信息

7.2感性和关键性予以分类分类

7.

2.2信息的标记应按照组织所采纳的分类机制建立和实施和处理一组合适的信息标记和处理程序雇员、承包方人员和第三方人员的安全角色角色和职责和职责应按照组织的信息安全方针定义并任用

8.1形成文件之前审查任用条款和

8.

1.3人力8条件资源安全管理职责信息安全意

8.

2.

28.2任用中识、教育和培训纪律处理过对于安全违规的雇员，应有一个正式的纪律

8.

2.3程处理过程任用终止职责任用终止或任用变化的职责应清晰的定

8.3的终止或义和分配变化所有的雇员、承包方人员和第三方人员在终资产的归还止任用、合同或协议时，应归还他们使用的所有组织资产所有雇员、承包方人员和第三方人员对信息撤销访问权和信息处理设施的访问权应在任用、合同或协议终止时删除，或在变化时调整应使用安全边界（诸如墙、卡控制的入口或物理安全边界有人管理的接待台等屏障）来保护包含信

9.

1.1息和信息处理设施的区域安全区域应由适合的入口控制所保护，以确

9.

1.2物理入口控制保只有授权的人员才允许访问办公室、房间和设施应为办公室、房间和设施设计并采取物理安的安全保护全措施安全

9.1为防止火灾、洪水、地震、爆炸、社会动荡外部和环境威胁

9.

1.4区域和其他形式的自然或人为灾难引起的破坏，9物理和的安全防护应设计和采取物理保护措施环境安全在安全区域

9.

1.5应设计和运用用于安全区域工作的物理保工作护和指南访问点（例如交接区）和未授权人员可进入公共访问、交接区安办公场所的其他点应加以控制，如果可能，全要与信息处理设施隔离，以避免未授权访问应安置或保护设备，以减少由环境威胁和危设备安置和

9.

2.1设备安

9.2险所造成的各种风险以及未授权访问的机保护全会文件化的操操

10.1通信和10作程序和作程序操作管理变更管理对信息处理设施和系统的变更应加以控职责制各类责任及职责范围应加以分割，以降低未责任分割授权或无意识的修改或者不当使用组织资产的机会开发、测试开发、测试和运行设施应分离，以减少未授和运行设施分离权访问或改变运行系统的风险服务交付

10.2第第三方服务的监视和三方服务评审交付管理第三方服务的变更管理资源的使用应加以监视、调整，并应作出对容量管理于未来容量要求的预测，以确保拥有所需系统

10.3的系统性能规划和验应建立对新信息系统、升级及新版本的验收收系统验收准则，并且在开发中和验收前对系统进行适当的测试应实施恶意代码的监测、预防和恢复的控制控制恶意代

10.

4.1措施，以及适当的提高用户安全意识的程码防范

10.4序恶意和移当授权使用移动代码时，其配置应确保授权控制移动代动代码的移动代码按照清晰定义的安全策略运行，码应阻止执行未授权的移动代码备

10.5应按照已设的备份策略，定期备份和测试信信息备份份息和软件应充分管理和控制网络，以防止威胁的发网

10.6网络控制生，维护系统和使用网络的应用程序的安络安全管全，包括传输中的信息理网络服务安安全特性、服务级别以及所有网络服务的

三、本标准依据的规范性引用文件有以下各项:GB/T17859-1999计算机信息系统安全保护等级划分准则GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求GB/T20984-2007信息安全技术信息安全风险评估规范本标准保持了与相关标准的一致性，主要参考了以下资料:1U!＞前期（年年初）

4.12007・2009北京中科网威信息技术有限公司于年筹建标准编写组，进行了前期研究工作首先根2007据调研和收集资料、完成草稿、征求意见稿、送审稿的工作流程制定了相应的工作计划,并确定定期召开编写组人员会议或组内通报编写情况，以及时征求到意见和交流情况年底，项目启动，确定本标准涉及的范围，了解目前国内外相关产品的行业法规等2007这期间，详细了解目前国内外该类产品的主要功能、技术特点、性能指标，开展了广泛大量的调研其间参考的主要产品或方案有启明星辰泰合信息安全运营中心、复旦光华系统ITVIEW运行管理平台、天融信安全信息管理系统、天一银河网络安全管理中心TopAnalyzer HM-SOC等通过对大量产品的观察研究，编写组对安全管理平台产品的功能要求和发展趋势进行了总结归纳经编写组几次会议讨论之后，首先编写了标准的技术要求部分，包括功能要求、性能要求、安全保证要求测评方法部分对测试环境和测评方法、步骤进行了规范完全基于技术要求部分，所以编写组决定，在技术要求部分经过专家初步讨论后，再结合专家要求，完成测试评价方法部分年月，完成了草案第一稿20084年中，组织了专家讨论评审由于草案第一稿在产品定位上把握不准，在功能上缺2008乏对安全管理功能主线的把握，因此根据专家建议重新编写年，由于中科网威本项目的负责人离职，本项目陷于停顿2008年底，中科网威重新组织人员组成编写组，由公司战略发展部牵头，组织产品研发2008部一线研发人员参与编写，于年初完成了标准草案第二稿2009全管理要求应予以确定并包括在所有网络服务协议中，无论这些服务是由内部提供的还是外包的可移动介质应有适当的可移动介质的管理程序的管理介质的处置介

10.7应建立信息的处理及存储程序，以防止信息质处置信息处理程序的未授权的泄漏或不当使用系统文件安应保护系统文件以防止未授权的访问全应有正式的交换策略、程序和控制措施，以信息交换策略和程序保护通过使用各种类型通信设施的信息交换交换协议信息运输中的物

10.8的交换理介质电子消息发

10.

8.4包含在电子消息发送中的信息应给予适当送的保护业务信息系统应建立并实施策略和程序，以保护与业务信息系统互联相关的信息包含在使用公共网络的电子商务中的信息电子商务应受保护，以防止欺诈活动、合同争议和

10.9电子未授权的泄露和修改商务服包含在在线交易中的信息应受保护，以防止务不完全传输、错误路由、未授权的消息篡在线交易改、未授权的泄露、未授权的消息复制或重放公共可用信在公共可用系统中可用信息的完整性应受息保护，以防止未授权的修改应产生记录用户活动、异常和信息安全事态监

10.10审计日志

10.

10.1的审计日志，并要保持一个已设的周期以视支持将来的调查和访问控制监视监视系统应建立信息处理设施的监视使用程序，监视

10.

10.2的使用活动的结果要经常评审日志信息记录日志的设施和日志信息应加以保护，以

10.

10.3的保护防止篡改和未授权的访问管理员和

10.

10.4系统管理员和系统操作员的活动应记入日操作员日志志故障日志故障应被记录、分析，并采取适当的措施一个组织或安全域内的所有相关信息处理时钟同步

10.

10.6设施的时钟应使用已设的精确时间源进行同步访访问控制策略应建立、形成文件，并基于业

11.1访问控制策问控制的务和访问的安全要求进行评审略业务要求应有正式的用户注册及注销程序，来授权和用户注册撤销对所有信息系统及服务的访问特殊权限管应限制和控制特殊权限的分配及使用用

11.2理户访问管11访问

11.

2.3用户口令管应通过正式的管理过程控制口令的分配理控制理用户访问权管理者应定期使用正式过程对用户的访问的复查权进行复查应要求用户在选择及使用口令时，遵循良好口令使用

11.

3.1的安全习惯用

11.3用户应确保无人值守的用户设备有适当的户职责无人值守的保护用户设备清空桌面和应采取清空桌面上文件、可移动存储介质的屏幕策略策略和清空信息处理设施屏幕的策略使用网络服务的策略用户应仅能访问已获专门授权使用的服务外部连接的应使用适当的鉴别方法以控制远程用户的用户鉴别访问网络上的设应考虑自动设备标识，将其作为鉴别特定位备标识置和设备连接的方法远程诊断和对于诊断和配置端口的物理和逻辑访问应网

11.4配置端口的保护加以控制络访问控应在网络中隔离信息服务、用户及信息系网络隔离制统对于共享的网络，特别是越过组织边界的网网络连接控

11.

4.6络，用户的联网能力应按照访问控制策略制和业务应用要求加以限制（见）

11.1应在网络中实施路由控制，以确保计算机连网络路由控

11.

4.7接和信息流不违反业务应用的访问控制策制略安全登录程访问操作系统应通过安全登录程序加以控序制所有用户应有唯一的、专供其个人使用的标用户标识和识符（用户）应选择一种适当的鉴别技ID,鉴别操术证实用户所宣称的身份

11.5口令管理系

11.

5.3作系统访口令管理系统应是交互式的，并应确保优质统问控制的口令可能超越系统和应用程序控制措施的实用系统实用工具的使用工具的使用应加以限制并严格控制会话超时

11.

5.5不活动会话应在一个设定的休止期后关闭联机时间的应使用联机时间的限制，为高风险应用程序限定提供额外的安全用户和支持人员对信息和应用系统功能的信息访问限应用访问应依照已确定的访问控制策略加以限

11.6制和信息访制敏感系统应有专用的（隔离的）运算环境问控制敏感系统隔离应有正式策略并且采用适当的安全措施，以移移动计算和通信防范使用移动计算和通信设施时所造成的

11.7动计算和风险远程工作应为远程工作活动开发和实施策略、操作计远程工作划和程序信息在新的信息系统或增强已有信息系统的业

12.1安全要求分

12.

1.1系统的安务要求陈述中，应规定对安全控制措施的析和说明全要求要求输入数据验输入应用系统的数据应加以验证，以确保数证据是正确且恰当的内部处理的验证检查应整合到应用中，以检查由于处理控制信息系的错误或故意的行为造成的信息的讹误12应用

12.2统获取、中的正确应用中的确保真实性和保护消息完整性的开发和维消息完整性处理要求应得到识别，适当的控制措施也应得护到识别并实施从应用系统输出的数据应加以验证，以确保输出数据验

12.

2.4对所存储信息的处理是正确的且适于环境证的使用密码控应开发和实施使用密码控制措施来保护信密

12.3制的策略息的策略码控制密钥管理应有密钥管理以支持组织使用密码技术系统应有程序来控制在运行系统上安装软件

12.4文件的安运行软件的控制全系统测试数测试数据应认真地加以选择、保护和控制据的保护对程序源代应限制访问程序源代码码的访问控制变更控制程序应使用正式的变更控制程序控制变更的实施开发当操作系统发生变更后，应对业务的关键应

12.5和支持过操作系统变更后应用用进行评审和测试，以确保对组织的运行程中的安的技术评审和安全没有负面影响全软件包变更应对软件包的修改进行劝阻，限制必要的变的限制更，且对所有的变更加以严格控制信息泄露应防止信息泄露的可能性技术应及时得到现用信息系统技术脆弱性的信

12.6技术脆弱性脆弱性管息，评价组织对这些脆弱性的暴露程度，的控制理并采取适当的措施来处理相关的风险报告信息安信息安全事态应该尽可能快地通过适当的

13.1报告全事态管理渠道进行报告信息安全报告安全弱事态和弱应要求信息系统和服务的所有雇员、承包方点信息安点人员和第三方人员记录并报告他们观察到13全事件管的或怀疑的任何系统或服务的安全弱点理应建立管理职责和程序，以确保能对信息安职责和程序信息

13.2全事件做出快速、有效和有序的响应安全事件对信息安全应有一套机制量化和监视信息安全事件的和改进的事件的总结类型、数量和代价管理证据的收集当一个信息安全事件涉及到诉讼（民事的或刑事的），需要进一步对个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符合相关诉讼管辖权应为贯穿于组织的业务连续性开发和保持业务连续性管理过程一个管理过程，以解决组织的业务连续性中包含的信息安全所需的信息安全要求应识别能引起业务过程中断的事态，这种中业务连续性断发生的概率和影响，以及它们对信息安和风险评估全所造成的后果业务

14.1业务

14.

1.3制定和实施包应制定和实施计划来保持或恢复运行，以在14连续性管含信息安全的连续性关键业务过程中断或失败后能够在要求的连续性管理的信息计划水平和时间内确保信息的可用性理安全方面应保持一个唯一的业务连续性计划框架，以业务连续性确保所有计划是一致的，能够协调地解决计划框架信息安全要求，并为测试和维护确定优先级业务连续性计划应定期测试和更新，以确保测试、维护和再评估其及时性和有效性业务连续性计划对每一个信息系统和组织而言，所有相关的可用法律的法令、法规和合同要求，以及为满足这些识别要求组织所采用的方法，应加以明确地定义、形成文件并保持更新符

15.1符合15应实施适当的程序，以确保在使用具有知识知识产权合法律要

15.

1.2性产权的材料和具有所有权的软件产品时，求IPR符合法律、法规和合同的要求保护组织的应防止重要的记录遗失、毁坏和伪造，以满记录足法令、法规、合同和业务的要求数据保护和应依照相关的法律、法规和合同条款的要个人信息的隐私求，确保数据保护和隐私防止滥用信应禁止用户使用信息处理设施用于未授权

15.

1.5息处理设施的目的符合管理人员应确保在其职责范围内的所有安

15.2安全策略符合安全策略和标准全程序被正确地执行，以确保符合安全策和标准以略及标准技术符合性及技术符信息系统应被定期检查是否符合安全实施检查合性标准涉及对运行系统检查的审核要求和活动，应信息系统审信息谨慎地加以规划并取得批准，以便最小化

15.3核控制措施系统审核造成业务过程中断的风险信息系统审考虑对于信息系统审核工具的访问应加以保护，核工具的保护以防止任何能的滥用或损害nJ、本标准与的关系

5.8GB/T20984-2007本标准参照了《信息安全技术信息安全风险评估规范》中对资产、威胁、GB/T20984-2007脆弱性、安全措施的定义，产品功能能够实现对风险四要素的收集、处理和展示，可以作为信息系统风险评估的主要信息来源信息系统安全管理平台产品技术要求和测试评价方法（送审稿）编制说明信息系统安全管理平台产品技术要求和测试评价方法（送审稿）编制说明信息系统安全管理平台产品技术要求和测试评价方法（送审稿）编制说明信息系统安全管理平台产品技术要求和测试评价方法（送审稿）编制说明年月日，组专家在北京中科网威公司召开了标准检查会，对标准草案的第二2009320WG5稿进行了审查会上，与会专家提出了要下气力研究“管理”；应深刻理解信息系统管理的思想，从技术层面建立安全管理平台功能模型；要解决实际问题，适应市场需求，必须结合等级IT保护要求；要凸显管理策略，将功能结构化；要符合等级保护安全设计技术要求中对安全管理中心的要求；要联合安全管理平台厂家，多家共同讨论等意见会后，中科网威专门组织了与启明星辰、天融信等安全管理平台厂商参与的技术研讨，大家对安全管理平台的定位、功能等都提出了意见和建议、中期（年中年中）

4.22009-2010为了促进本项目的开展，组安排由中科网威公司牵头，公安三所和启明星辰公司参与标WG5准的编写到年月初，编写组经过讨论修改，完成了标准草案第三稿20099年月日，组专家在北京中科网威公司召开了标准审查会，对标准草案的第三200999WG5稿进行了审查会上，与会专家肯定了标准在符合等级保护要求方面有一定进步，但同时也提出了更明确的改进要求例如标准定位问题，标准结构问题，产品模型问题等等特别提出还要在“管理”上多下功夫在综合了专家意见，对第三稿进行了较大的调整改写后，形成了标准草案的第四稿主要是围绕资产，即安全管理所保护的目标，从安全策略的制定和收集，到信息系统运行监控，直到事件响应处置，都进行了规定年月日，组专家在北京贵州大厦召开了标准检查会，对标准草案的第四稿进2010429WG5行了审查会上，与会专家肯定了标准在产品功能研究方面有一定进步，但同时也提出了更明确的改进要求例如术语定义问题，与其他产品及标准关系问题，产品模型问题、分级问题、功能范围等

4.

3、后期（2010年中-2012年）经过编制组的反复研究以及与专家的多次讨论，年月下旬完成了标准草案的第五稿，20112将本标准内容明确为以为指导，以等级保护设计要求标准为基本依据，以等级保护基GB17859本要求和等标准为参照，将针对信息系统安全机制的管理作为安全管理平台产品的核ISO27002心任务年月日，组专家在北京中科网威公司召开了标准检查会，对标准草案的第五2011225WG5稿进行了审查会上，与会专家提出了安全管理平台是用于实现对安全机制状态的监控；要研究对信息系统安全机制的管理，突破安全机制属性定义的难点；要增加测试用例，包括状态指标，风险指标，分析指标等可测试性指标，解决实际问题，适应市场需求；要注意文本格式，如消除悬置段、增加缩略语注释等；在表述内容上应去掉一些不切实际的内容,如形式化、板卡、芯片等描述，同时对一些内容需要详细描述，如采集对象标准编写组在专家意见基础上，重新对标准内容进行了梳理和修改，删除了不切实际的内容，丰富了功能状态和性能测试参数指标，形成了标准草案的第六稿年月日，组召开了全体会议，标准草案第六稿通过了审查，成为征求意见稿2011513WG5标准编写组根据专家反馈意见，对标准草案进行了部分修改，形成征求意见第一稿，并在此基础上继续征询广泛意见年月，征求意见第一稿在网上公布，公开征集意见月日，安标委组织了与美国20118913信息产业协会的座谈会，征集了包括国外厂商在内的业内专家意见标准编写组根据国内外厂商的反馈意见，对标准草案进行了部分修改,删除了部分非必需的网络管理功能要求，适度减少了第

一、二级产品的安全机制功能要求，以便更加接近现有安全管理平台产品的实际状况，形成征求意见第二稿年月日，组在北京中科网威公司召开了标准研讨会，各位专家及浙江远望公201224WG5司的技术人员与标准编写组一起对标准文稿进行了讨论，专家普遍认为安全管理平台产品应作为安全管理中心的主要组成部分，能够保证定级系统安全策略的执行，实现对定级系统安全机制的集中管理，能够实时发现、判别、记录、处置安全事件，能够适应信息系统的发展（如云计算）标准文稿还需要进一步修改推敲，争取做成标准中的精品根据专家的意见，标准编写组吸收了浙江远望电子有限公司、中国电信股份有限公司北京研究院、合众信息技术股份有限公司等作为新的参与编写单位，经过几个月的反复讨论修改，共同完成了征求意见第三稿和第四稿的编写标准编写组根据专家和各厂商的反馈意见，参照专家提出的产品模型，重点修改了产品的安全机制功能要求，以便更能体现安全管理平台产品的实际需求五.有关问题的说明（包括专家意见的处理）、国外相关标准情况

5.1目前尚未发现国际和国外关于信息系统安全管理平台产品的类似评估标准根据调研发现，英国和加拿大主要是根据进行安全产品的测评和认证及相关的及报告，另外也查询CC ITPP ST了国家测评中心、军队信息安全检测中心、公安部等单位由于是通用的产品开发、测评的CC准则，对各个安全类有详细的说明和要求，但也由于它的广泛通用性，导致了它对某一特定类别的安全产品的评测缺乏可操作性和针对性、关于标准结构的说明

5.2本标准主要由技术要求和测试评价方法两部分组成技术要求划分为功能要求、性能要求、保证要求三类测试评价方法对测试环境和测评方法、步骤进行了规范，测试内容来自于本标准中技术要求部分相关章节本标准确定了所有的测试项目及预期结果，力求准确全面附录部分包含规范性附录和资料性附录，规定了各级产品管理的安全规则表以及安全事件分类表，便于读者对本标准中安全机制管理和安全事件管理内容的理解和执行、关于本标准编写中的焦点问题

5.3本标准在编写过程中的焦点问题主要有两个，一是安全机制应如何管理和测评？二是现有产品是否具备以及能否实现安全机制管理功能？首先，对于安全机制应如何管理及测评，经过标准编写组与专家反复讨论，认为安全管理平台产品主要职责就是管理信息系统的安全机制，应根据等级保护设计要求中对安全管理中心的要求进行设计，对于不同级别的信息系统应该设计相应的平台产品，实现对该级别安全保障所需要的安全机制的管理因此，本标准产品从技术要求上必然要覆盖所有安全机制在测评时，需要厂商提供该产品所管理的其他安全机制产品以便进行验证考虑到具体实施的问题，本标准没有限定必须支持的安全机制产品的数量和品牌，以便各个行业测评机构灵活掌握其次，对于现有安全产品是否具备以及能否实现相应功能的问题，标准编写组经过反复讨论，认为对于市场上现有的同类产品，多数没有具备标准规定的对安全机制管理的最低要求但是从技术上讲，安全机制的集中管理并非不可实现，只是受不同厂商不同产品没有标准统一的接口的局限和制约因此，本标准的指导作用就至为关键根据专家们的意见，本标准中坚持提出了对于安全机制的集中管理要求，按照等级保护设计要求和基本要求的内容,对不同级别安全机制应执行的安全规则做出了规定，希望以本标准的发布作为契机，指导该类产品厂商与其他各类安全产品厂商共同努力，开发并完善安全集中管理接口标准，最终实现对所有安全机制的统一管理、本标准与的关系

5.4GB17859-1999本标准征求意见第四稿中的产品分级参照了计算机信息系统安全保护等级划GB17859-1999分准则中的分级标准，将安全管理平台产品由低到高分为一级、二级和三级，其中一级产品对应等级保护要求的

一、二级，二级产品对应等级保护要求的三级，三级产品对应等级保护要求的

四、五级、本标准与（等级保护基本要求）的关系

5.5GB/T

22239.2008本标准中在安全机制管理方面，参照并覆盖了《信息安全技术信息系GB/T22239-2008统安全等级保护基本要求》中的主要技术要求和管理要求以三级为例，包括:安全机制目安全机制要求级别安全机制标物理访问控重要区域应配置电子门禁系统，控制、鉴别和记录进入的人3制员防盗窃和防应对机房设置监控报警系统3破坏物理安全机房应设置温、湿度自动调节设施，使机房温、湿度的变化2-3温湿度控制在设备运行所允许的范围之内应提供短期的备用电力供应，至少满足关键（主要）设备在2电力供应断电情况下的正常运行要求；）应保证主要网络设备的业务处理能力具备冗余空间，满2a足业务高峰期需要；）应保证网络各个部分的带宽满足业务高峰期需要；b2）应在业务终端与业务服务器之间进行路由控制建立安全3c的访问路径；）应绘制与当前运行情况相符的网络拓扑结构图；d2）应根据各部门的工作职能、重要性和所涉及信息的重要2e结构安全程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；）应避免将重要网段部署在网络边界处且直接连接外部信3f息系统，重要网段与其他网段之间采取可靠的技术隔离手段；）应按照对业务服务的重要次序来指定带宽分配优先级另3g保证在网络发生拥堵的时候优先保护重要主机U,网络安全）应在网络边界部署访问控制设备，启用访问控制功能；a2）应能根据会话状态信息为数据流提供明确的允许/拒绝访2-3b问的能力，控制粒度为（网段级）端口级；3）应对进出网络的信息内容进行过滤，实现对应用层c、、、、等协议命令级的控制；HTTP FTPTELNET SMTPPOP3访问控制）应在会话处于非活跃一定时间或会话结束后终止网络连3d接；）应限制网络最大流量数及网络连接数；e3）重要网段应采取技术手段防止地址欺骗；f3）应按用户和系统之间的允许访问规则，决定允许或拒绝2g用户对受控系统进行资源访问，控制粒度为单个用户；）应限制具有拨号访问权限的用户数量h2安全审计a）应对网络系统中的网络设备运行状况、网络流量、用2户行为等进行日志记录；）审计记录应包括事件的日期和时间、用户、事件类型、2b事件是否成功及其他与审计相关的信息；）应能够根据记录数据进行分析，并生成审计报表；C3）应对审计记录进行保护，避免受到未预期的删除、修改3d或覆盖等）应能够对非授权设备私自联到内部网络的行为进行检查，3a边界完整性准确定出位置，并对其进行有效阻断；检查）应能够对内部网络用户私自联到外部网络的行为进行检2-3b查，准确定出位置，并对其进行有效阻断）应在网络边界处监视以下攻击行为端口扫描、强力攻2a击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP入侵防范碎片攻击和网络蠕虫攻击等；）当检测到攻击行为时，记录攻击源、攻击类型、攻击3b IP目的、攻击时间，在发生严重入侵事件时应提供报警恶意代码防）应在网络边界处对恶意代码进行检测和清除；a3范）应维护恶意代码库的升级和检测系统的更新b3）应对登录网络设备的用户进行身份鉴别；a2）应对网络设备的管理员登录地址进行限制；b2）网络设备用户的标识应唯一；c2）主要网络设备应对同一用户选择两种或两种以上组合的3d鉴别技术来进行身份鉴别；网络设备防）身份鉴别信息应具有不易被冒用的特点，口令应有复杂2e护度要求并定期更换；应具有登录失败处理功能，可采取结束会话、限制非法登20录次数和当网络登录连接超时自动退出等措施；）当对网络设备进行远程管理时，应采取必要措施防止鉴2g别信息在网络传输过程中被窃听；）应实现设备特权用户的权限分离h3）应对登录操作系统和数据库系统的用户进行身份标识和2a鉴别；）操作系统和数据库系统管理用户身份标识应具有不易被2b冒用的特点，口令应有复杂度要求并定期更换；）应启用登录失败处理功能，可采取结束会话、限制非法2c登录次数和自动退出等措施；身份鉴别）当对服务器进行远程管理时，应采取必要措施，防止鉴2d主机安全别信息在网络传输过程中被窃听；）应为操作系统和数据库系统的不同用户分配不同的用户2e名，确保用户名具有唯一性）应采用两种或两种以上组合的鉴别技术对管理用户进行3f身份鉴别）应启用访问控制功能，依据安全策略控制用户对资源的2a访问控制访问；）应根据管理用户的角色分配权限，实现管理用户的权b3限分离，仅授予管理用户所需的最小权限；）应实现操作系统和数据库系统特权用户的权限分离；C2）应严格限制默认帐户的访问权限，重命名系统默认帐户，2d修改这些帐户的默认口令；2）应及时删除多余的、过期的帐户，避免共享帐户的存在e）应对重要信息资源设置敏感标记；f3）应依据安全策略严格控制用户对有敏感标记重要信息资3g源的操作；）审计范围应覆盖到服务器和重要客户端上的每个操作系2-3a统用户和数据库用户；）审计内容应包括重要用户行为、系统资源的异常使用和2b重要系统命令的使用等系统内重要的安全相关事件；女全申计）审计记录应包括事件的日期、时间、类型、主体标识、客2c体标识和结果等；）应能够根据记录数据进行分析，并生成审计报表；d3）应保护审计进程，避免受到未预期的中断；e3）应保护审计记录，避免受到未预期的删除、修改或覆盖2f等）应保证操作系统和数据库系统用户的鉴别信息所在的存3a储空间，被释放或再分配给其他用户前得到完全清除，无论剩余信息保这些信息是存放在硬盘上还是在内存中；护3）应确保系统内的文件、目录和数据库记录等资源所在的b存储空间，被释放或重新分配给其他用户前得到完全清除）应能够检测到对重要服务器进行入侵的行为，能够记录3a入侵的源、攻击的类型、攻击的目的、攻击的时间，并在IP发生严重入侵事件时提供报警；）应能够对重要程序的完整性进行检测，并在检测到完整3b入侵防范性受到破坏后具有恢复的措施；）操作系统应遵循最小安装的原则，仅安装需要的组件和2c应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新）应安装防恶意代码软件，并及时更新防恶意代码软件版2a本和恶意代码库；恶意代码防）主机防恶意代码产品应具有与网络防恶意代码产品不同3b范的恶意代码库；）应支持防恶意代码的统一管理c2）应通过设定终端接入方式、网络地址范围等条件限制终2a端登录；）应根据安全策略设置登录终端的操作超时锁定；b2资源控制）应对重要服务器进行监视，包括监视服务器的、硬3c CPU盘、内存、网络等资源的使用情况；）应限制单个用户对系统资源的最大或最小使用限度；d2）应能够对系统的服务水平降低到预先规定的最小值进行e3检测和报警）应提供专用的登录控制模块对登录用户进行身份标识和2a鉴别；）应对同一用户采用两种或两种以上组合的鉴别技术实现3b用户身份鉴别；）应提供用户身份标识唯一和鉴别信息复杂度检查功能，2c保证应用系统中不存在重复用户身份标识，身份鉴别信息不身份鉴别易被冒用；）应提供登录失败处理功能，可采取结束会话、限制非法2d登录次数和自动退出等措施；）应启用身份鉴别、用户身份标识唯一性检查、用户身份2e鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数）应提供访问控制功能，依据安全策略控制用户对文件、数2a据库表等客体的访问；）访问控制的覆盖范围应包括与资源访问相关的主体、客2b体及它们之间的操作；）应由授权主体配置访问控制策略，并严格限制默认帐户2c访问控制的访问权限；）应授予不同帐户为完成各自承担任务所需的最小权限，2d并在它们之间形成相互制约的关系）应具有对重要信息资源设置敏感标记的功能；e3应用安全应依据安全策略严格控制用户对有敏感标记重要信息资源30的操作；）应提供覆盖到每个用户的安全审计功能，对应用系统重2a要安全事件进行审计；）应保证无法单独中断审计进程，无法删除、修改或覆盖3b审计记录；安全审计）审计记录的内容至少应包括事件的日期、时间、发起者2c信息、类型、描述和结果等；）应提供对审计记录数据进行统计、查询、分析及生成审3d计报表的功能）应保证用户鉴别信息所在的存储空间被释放或再分配给3a其他用户前得到完全清除，无论这些信息是存放在硬盘上还剩余信息保是在内存中；护3）应保证系统内的文件、目录和数据库记录等资源所在的b存储空间被释放或重新分配给其他用户前得到完全清除通信完整性应米用密码技术保证通信过程中数据的完整性2-3）在通信双方建立连接之前，应用系统应利用密码技术进2a通信保密性行会话初始化验证；）应对通信过程中的整个报文或会话过程进行加密b2-3抗抵赖a）应具有在请求的情况下为数据原发者或接收者提供数3。