信息安全技术网络安全管理支撑系统技术要求(GB-T 38561-2020).pdf

《信息安全技术网络安全管理支撑系统技术要求(GB-T 38561-2020).pdf》由会员分享，可在线阅读，更多相关《信息安全技术网络安全管理支撑系统技术要求(GB-T 38561-2020).pdf（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术信息网络安全管理技术支撑平台技术要求Information security technologyTechnical requirements for information network security management technicalsupport platform（报批稿）（本稿完成日期：2018-01-09）XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.II1 范围.12 规范性引用文件.13 术语和

2、定义.14 缩略语.15 产品形态.26 安全功能要求.36.1 安全目标管理.36.2 应急预案管理.36.3 客体管理.36.4 风险事件监测.36.5 运行监测.36.6 业务处理.36.7 统计分析.46.8 考核管理.46.9 发布及展示.46.10 采集与标准化处理.46.11 多级平台级联.46.12 备份与恢复.46.13 可靠性.57 自身安全要求.57.1 身份鉴别.57.2 访问控制.57.3 权限管理.57.4 数据安全.57.5 安全审计.58 安全保障要求.68.1 配置管理保障.68.2 测试保障.68.3 交付与运维保障.68.4 指导性文档.69 等级划分要求

3、.69.1 划分概述.69.2 等级说明.6GB/T XXXXXXXXXII前言本标准按照GB/T 1.1-2009标准化工作导则第1部分：标准的结构和编写给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。本标准起草单位：浙江远望信息股份有限公司、公安部科技信息化局、公安部第一研究所、浙江省委办公厅信息化管理中心、浙江省公安厅科技通信管理局、浙江省高级人民法院信息中心、浙江省信息化推进服务中心、杭州市公安局科技信息化局、中电长城网际系统应用有限公司、西安未来国际信息股份有限公司、

4、北京江南天安科技有限公司。本标准主要起草人：傅如毅、邵森龙、蒋行杰、吴文、殷云飞、毛林斌、宣以广、周春燕、李海涛、张翔、李安颖、陈冠直、金江焕、周征宇、姚龙飞、蒋先浩、刘京玲、王雪玲。GB/T XXXXXXXXX1信息安全技术信息网络安全管理技术支撑平台技术要求1范围本标准规定了信息网络安全管理技术支撑平台产品的技术要求。本标准适用于信息网络安全管理技术支撑平台产品的设计、开发与测评。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/Z 20986-2007 信息安全

5、技术 信息安全事件分类分级指南GB/T 25069-2010 信息安全技术 术语3术语和定义GB/T 25069-2010界定的以及下列术语和定义适用于本文件。3.1信息网络安全管理技术支撑平台 information network security management technical support platform对信息网络安全管理过程中涉及的目标、对象、内容、方式、过程等进行支撑的信息技术系统或产品。3.2客体 objects信息网络安全管理技术支撑平台的管理对象，包括硬件资产、软件资产、信息资产、组织人员等。3.3风险事件 risk incidents是指酿成事故和损失的直接原

6、因和条件，其发生会使潜在的危险转化成为现实的损失。3.4安全元数据 security metadata客体上产生的，有关安全管理的原始数据信息，包括但不仅限于客体对象的网络位置信息、风险分类和扩展信息、事件信息等。4缩略语下列缩略语适用于本文件。IP：网络之间互连的协议（Internet Protocol）GB/T XXXXXXXXX2MAC：媒体访问控制（Media Access Control或者Medium Access Control）CPU：中央处理器（Central Processing Unit）DB：数据库（Data Base）HTTP：超文本传输协议（Hyper Text T

7、ransfer Protocol）FTP：文件传输协议（File Transfer Protocol）SNMP：简单网络管理协议（Simple Network Management Protocol）5产品形态信息网络专指电子信息传输的通道,是构成这种通道的线路、设备的总称。信息网络是信息资源开发利用和信息技术应用的基础，是信息传输、交换和共享的必要手段，只有强化信息网络的信息安全管理，才能充分发挥信息化的整体效益。信息网络安全管理技术支撑平台（以下简称支撑平台）是进行信息安全管理工作的技术支撑产品。支撑平台是对信息网络安全管理过程中涉及的目标、对象、内容、方式、过程等进行支撑的信息技术系统或

8、产品。可以是一个独立的产品，也可以是若干产品的组合。提供的总体功能应包括：a)对安全管理工作中可信息化的内容和过程实现技术支撑；b)对安全目标、应急预案等指导性内容以文档的形式进行管理；c)对客体、风险事件进行信息采集和管理；d)对信息网络相关安全功能模块进行有效性评估；e)提供业务处理、考核等手段支持有效落实安全管理要求；f)通过有关统计分析等辅助安全管理的决策支持。图1是支撑平台功能组成示意图，分为采集处理、存储分析和人机交互三个主要部分。采集处理：提供多种数据接入与交换接口，采集软硬件资产、风险事件等信息，并进行分类及标准化等预处理；存储分析：对采集预处理之后的信息进行入库存储、关联分析

9、等，形成多种业务处理库，对上提供多种安全管理服务；人机交互：支撑平台的安全管理员、系统管理员、安全审计员（以下简称用户），通过人机交互方式完成对资产、风险事件等进行分析展示及相关业务处理。图1 支撑平台功能组成示意图GB/T XXXXXXXXX36安全功能要求6.1安全目标管理信息网络安全管理技术支撑平台应能对安全目标信息进行管理，支持以下内容：a)新增、删除、查询和修改安全目标信息；b)对安全目标进行分类管理；c)对安全目标进行发布与展示。6.2应急预案管理支撑平台应能对应急预案信息进行管理，支持以下内容：a)新增、删除、查询和修改应急预案信息；b)对应急预案进行分类、分级管理。6.3客体管

10、理支撑平台应能对客体进行信息采集和管理，支持以下内容：a)能够对客体信息进行修改、删除和查询；b)应支持自动和人工两种方式采集客体信息；c)能够对硬件资产、软件资产、信息资产、组织人员等客体进行管理，其中：1)硬件资产包括但不仅限于计算机、网络设备、安全设备、存储设备、安防设备及办公设备等，对硬件资产进行管理包括但不仅限于 IP 地址、MAC 地址、硬件型号、操作系统类型等；2)软件资产包括但不仅限于安全系统、操作系统、工具软件、业务系统、网站等，对软件资产进行管理包括但不仅限于软件版本、安装位置、安装时间等；3)信息资产包括但不仅限于数据库文件、文档文件、音视频文件、图片，对信息资产进行管理

11、包括但不仅限于信息版本、安装位置、安装时间、发布者等；4)组织人员包括但不仅限于管理人员、使用人员等，对组织人员进行管理包括但不仅限于账号、权限等。6.4风险事件监测支撑平台应能对风险事件进行信息采集和管理，支持以下内容：a)应按照 GB/Z 20986-2007 中的方法，对风险事件进行分类、分级管理；b)应具备自动和人工两种方式，采集风险事件；c)对风险事件进行处置管理，包括事件告警和流程处置等。6.5运行监测支撑平台应能进行运行监测，并支持对相关信息进行以下管理：a)对接入的安全系统的基本信息、建设情况、运维情况等信息进行管理；b)对安全系统的运行状态进行探测与日志记录，并提供异常日志的

12、查询和导出；c)对安全系统的运行指标进行探测与进行，并进行有效性评估。6.6业务处理支撑平台应具备业务处理功能，能对管理对象、风险事件、运行监测等数据进行处置，包括以下内容：GB/T XXXXXXXXX4a)支持告警、流程处理等方式的业务处理方式；b)支持告警的自动触发功能；c)支持对产生的告警进行清除、确认和转换流程等处理；d)支持流程的自动和人工发起；e)流程应支持签收、反馈、审核/审批、归档等处理；f)应能够配置流程模版、内容模版与回执模版等。6.7统计分析支撑平台应具备对收集到的数据进行统计分析的功能，支持以下内容：a)根据单位、部门、类型、状态对硬件、软件、信息和人员等资产数据进行统

13、计；b)根据单位、部门、类型、威胁级别对风险事件数据进行统计；c)根据单位、部门、正常率对运行监测数据进行统计；d)根据单位、部门、类型、状态、等级对告警数据进行统计；e)根据单位、部门、类型、状态对流程数据进行统计；f)发现资产数据、风险事件之间的关联点；g)根据多类数据进行综合性分析，提供安全报告，为决策提供数据支持。6.8考核管理支撑平台应具备考核管理功能，包括以下内容：a)应能进行考核项的配置和修改；b)支持对考核项进行人工和自动评测；c)应能输出完整的考核报告，并提供报告导出功能。6.9发布及展示支撑平台应具备信息发布、法规宣贯及安全态势展示功能，包括以下内容：a)信息发布及法规宣贯

14、的内容包括但不仅限于安全目标、通知通报及法律法规等；b)安全态势展示内容包括但不仅限于资产信息、风险事件、运行监测信息等，可采用地图展示、趋势图和比重图等表现形式。6.10采集与标准化处理支撑平台应具备对安全元数据的采集与标准化处理功能，支持以下内容：a)对资产数据、风险事件数据和运行监测数据等进行采集；b)对第三方系统的检查结果数据、评估结果数据等进行采集，并支持多种数据采集方式和协议，包括但不仅限于：DB、HTTP、FTP 和 SNMP 等；c)对采集的数据进行标准化处理和集中化存储。6.11多级平台级联支撑平台应具备上下级级联功能，包括以下内容：a)支持本级平台与上级、下级平台之间进行数

15、据交互；b)上下级之间交互的数据内容包括但不仅限于平台状态信息、安全策略信息和统计数据等。6.12备份与恢复支撑平台应具备数据备份与恢复功能，包括以下内容：GB/T XXXXXXXXX5a)恢复六个月内所有的数据，包括但不仅限于资产、风险事件、运行监测、告警、流程、统计和考核等数据；b)已存储的记录数据不被覆盖和删除，并在存储资源耗尽前告警。6.13可靠性支撑平台在可靠性要求，包括以下内容：a)具有纠错报警和容错保护的能力，能对录入数据、相关参数等进行有效性和完整性检查，并能进行损坏恢复；b)能够对支撑平台自身各功能模块的工作状态进行检测，工作状态异常时应告警。7自身安全要求7.1身份鉴别支撑

16、平台身份鉴别包括以下内容：a)在每一个用户注册到系统时，采用用户名和用户标识符标识用户身份；b)在每次用户登录系统时，采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别；c)采用至少两种身份鉴别机制，身份鉴别机制包括但不仅限于：“用户名+口令”鉴别方式、数字证书鉴别方式、生物特征鉴别方式；d)采用“用户名+口令”的鉴别方式时，应能保证口令复杂度；并可设定用户登录尝试阈值，当用户的不成功登录尝试超过阈值时，能锁定管理员账号，并生成审计日志。7.2访问控制支撑平台应采用相关访问控制策略，包括以下内容：a)能根据管理员用户角色和权限允许或禁止其对平台功能及资产等进行访问；b)对于越权访问的非

17、法操作及尝试应记录并告警。7.3权限管理支撑平台权限管理包括以下内容：a)采用三权分立的管理模式，管理员角色至少分为系统管理员、安全管理员、安全审计员三种，不同角色权限不能交叉；b)每个管理员只能通过特定的命令或界面操作；c)系统管理员负责用户帐号的管理和相关系统配置项的管理；d)安全管理员负责对用户帐号进行授权；e)安全审计员负责对管理员和用户的操作进行日志记录，并对审计记录进行备份、整理。7.4数据安全支撑平台在数据安全方面包括以下内容：a)能够对支撑平台的数据传输进行通信保护，确保各组件之间传输的数据（如信息采集、策略下发等）不被泄漏或篡改；b)具有数据安全备份与恢复功能，并支持在数据存

18、储空间达到阈值时能够向管理员告警；c)能检查支撑平台内存储数据的完整性和有效性。7.5安全审计GB/T XXXXXXXXX6支撑平台在安全审计方面包括以下内容：a)能生成针对管理员用户所有操作行为的日志记录；系统日志应记录管理员用户名、操作行为发生的日期和时间、功能模块、操作内容等，能进行组合查询、排序、数据输出，系统日志由安全审计员管理；b)支持将安全审计记录与被管理的目标信息系统的信息数据分开保存到不同的记录文件或数据库（或同一数据库的不同表）中，方便安全审计员查阅和分析。8安全保障要求8.1配置管理保障配置管理保障包括以下内容：a)针对不同用户提供唯一的授权标识；b)根据不同用户提供相应

19、的配置管理文档。8.2测试保障在提供支撑平台产品的同时，应提供该产品的测试文档，包括以下内容：a)测试文档应确定将要测试的产品功能，并描述将要达到的测试目标；b)测试文档至少由测试计划、测试过程描述、测试结果以及测试预期与测试结果对比组成；c)测试过程的描述应确定将要进行的测试，并描述测试每一功能的实际情况。8.3交付与运维保障提供安装和运维指南，详尽描述支撑平台产品的安装、配置和启动运行所必需的基本步骤。8.4指导性文档支撑平台应提供管理员指南，应至少包括如下内容：a)管理员可使用的管理功能和接口；b)管理员怎样安全地管理支撑平台；c)管理员应进行控制的功能和权限；d)描述所有受管理员控制的

20、安全参数，并给出合适的参数值；e)详细介绍怎样安全配置支撑平台产品的指令；f)描述在支撑平台产品安装过程中的所有配置选项。9等级划分要求9.1划分概述依据支撑平台实际应用情况，对安全功能要求、自身安全要求和安全保证要求等划分成两个等级，即基本级和增强级。9.2等级说明支撑平台的等级划分如表1、表2和表3所示。基本级规定了支撑平台的基本功能要求；增强级产品除具备基本级产品的所有功能外，还增加了一些扩展性功能。符合基本级的支撑平台产品应满足表1、GB/T XXXXXXXXX7表2和表3中所标明的基本级产品应满足的所有项目；符合增强级的支撑平台产品应满足表1、表2和表3中所标明的增强级产品应满足的所

21、有项目。表 1 信息网络安全管理技术支撑平台安全功能要求等级划分安全功能要求基本级增强级安全目标管理6.16.1应急预案管理6.26.2客体管理6.3 a)d)6.3风险事件监测6.4 a),b)6.4运行监测6.5 a),b)6.5业务处理6.6 a)f)6.6统计分析6.7 a)e)6.7考核管理6.86.8发布及展示6.9 a)6.9采集与标准化处理6.106.10多级平台级联6.11备份与恢复6.12 a)6.12可靠性6.13 a)6.13表 2 信息网络安全管理技术支撑平台自身安全要求等级划分自身安全要求基本级增强级身份鉴别7.1 a),b)7.1访问控制7.27.2权限管理7.37.3数据安全7.4安全审计7.5 a)7.5表 3 信息网络安全管理技术支撑平台安全保障要求等级划分安全保证要求基本级增强级配置管理保障8.18.1测试保障8.28.2交付与运维保障8.38.3指导性文档8.48.4