一、工作簡況

1.1任務來源

根據國家標準化管理委員會2022年下達的國家標準制修訂計劃，《信息安全

技術安全運維系統技術規范》由上海辰銳信息科技公司負責承辦，計劃號：

20230260-T-469。該標準由全國信息安全標準化技術委員會（SAC/TC260）歸口

管理。

1.2主要起草單位和工作組成員

《信息安全技術安全運維系統技術規范》由上海辰銳信息科技公司牽頭制

定，參與起草單位包括：公安部第三研究所、中國科學院軟件研究所、華為技術

有限公司、中國網絡安全審查技術與認證中心、國家工業信息安全發展研究中心、

浙江齊治科技股份有限公司、北京天融信網絡安全技術有限公司、奇安信網神信

息技術（北京）股份有限公司、北京神州綠盟科技有限公司、西安交大捷普網絡

科技有限公司、杭州中爾網絡科技有限公司、北京藍象標準咨詢服務有限公司、

長楊科技（北京)股份有限公司、杭州安恒信息技術股份有限公司、北京時代新

威信息技術有限公司、北京啟明星辰信息安全技術有限公司、上海三零衛士信息

安全有限公司、成都衛士通信息產業股份有限公司、上海觀安信息技術股份有限

公司、廣東安創信息科技開發有限公司、北京神州綠盟科技有限公司、遠江盛邦

（北京）網絡安全科技股份有限公司、藍盾信息安全技術股份有限公司、北京智

游網安科技有限公司、深信服科技股份有限公司、陜西省網絡與信息安全測評中

心、北京信安世紀科技股份有限公司、河南中科安永科技有限公司、國網區塊鏈

科技（北京）有限公司、廣東省信息安全測評中心、國網新疆電力有限公司電力

科學研究院、廣電計量檢測集團股份有限公司。

本文件主要起草人：張艷、鄒春明、胡津銘、沈亮、晏敏、王峰、申永波、

王沖華、于遨洋、安高峰、楊春鵬、周進、何建鋒、葛方雋、張德保、趙華、田

麗丹、俞政臣、周瑞群、劉彪、鄢昱恒、謝江、鐘英南、周進、劉強、韓云、劉

晨、馮燕飛、付軍、郭軍武、石竹玉、葉勁宏、加依達爾.金格斯、唐迪。

在編制本文件的過程中，起草單位的主要分工如下：上海辰銳信息科技公司

牽頭組織項目的修訂工作，制定修訂思路，組織召開項目評審，匯總各參與單位

的編制內容、擬制項目編制說明、匯總意見匯總表等。參與起草的單位中，研發

1

生產和運維服務廠商主要承擔應用場景及運維技術跟蹤、安全功能要求的編制及

應用試點，以及推進標準在產品研發中的應用；檢測、認證機構主要負責安全保

障要求及測試評價方法的編制、測評方法的試點驗證，以及推進標準在認證、檢

測中的應用；科研院所機構主要負責安全運維技術發展跟蹤、自身安全功能要求

的編制，以及測評技術方法研究；咨詢服務機構主要負責行業用戶需求的收集、

運營企業側標準試點驗證，以及后續標準的宣傳、推廣。

1.3制定背景

隨著網絡技術的迅速發展，網絡環境變得日趨復雜，特別是重要信息系統和

關鍵信息基礎設施中的資產數量和類型均急劇增長。誤操作、違規運維操作可能

會直接導致這些重要業務系統的宕機、數據丟失等風險，對安全運維的規范化管

理已和外部安全防護同等重要。安全運維系統已廣泛應用于各行業信息化內控管

理，隨著云、工控等應用場景和安全產品的發展，運維管理和審計的范疇和技術

形態都有了新的變化，云安全運維、便攜式移動運維、工控運維等新形態和新特

性不斷呈現。此外，近年來相關法律法規及行業規范對于系統的運維管理提出了

諸多合規要求：網絡安全法對于網絡運營者、網絡服務提供者提出了制定內網操

作規程、持續提供安全維護、采取技術措施保障網絡安全穩定運行、留存相關網

絡日志不少于六個月等安全保護義務；ISO27001標準中要求組織必須記錄用戶

訪問、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調查和

取證；國家網絡安全等級保護要求中對重要信息系統、云租戶業務應用系統等保

護對象的集中身份認證、運維操作審計和細粒度的權限管控也提出了諸多要求。

安全運維系統由于其安全功能屬性，成為系統的核心安全管控樞紐，存儲著資產

管理賬號、具備重要資源的訪問權限等，一旦其自身存在安全短板將會為重要信

息系統和關鍵信息基礎設施引入極大的安全風險。

因此，本標準的制定一方面支撐安全運維系統的規范化管理，同時也緊密貼

合重要信息系統及關鍵信息基礎設施安全運維和資產內控管理的合規性需求，為

等保和關基相關要求的技術實現規范化提供重要參考，降低運維管理安全風險。

此外，2022年3月6日全國信息安全標準化技術委員會發布的“《關于發布

2022年度網絡安全國家標準需求的通知》（信安秘字〔2022〕47號）”中將《信

息安全技術安全運維系統技術規范》列為支持的國家標準制定項目之一。

2

1.4起草過程

標準制定的主要工作過程如下：

（1）申報立項階段

2021年11月至2022年3月，成立了標準編制組，對安全運維系統的產品

技術文檔、解決方案等材料進行調研梳理，查閱有關資料，編寫標準編制提綱，

起草了標準草案初稿，形成了申報材料;

2022年4月，標準編制組在2022年信安標委WG5第一次工作組會議上進行

了立項匯報。

（2）草案階段

2022年4月，標準編制組根據工作組成員單位專家意見組織標準編制組討

論并修改了草案內容；2022年5月至11月，標準編制組通過內部研討、交流，

對標準草案文本進行了進一步的修改完善。

2022年12月7日，標準編制組在2022年信安標準周工作組會議上進行了

標準草案的匯報，征集了成員單位專家代表的意見，并通過投票，同意修改后推

進為征求意見稿。

（3）征求意見稿階段

標準編制組根據2022年12月7日會議周上專家代表的意見，于2022年12

月8日~2023年1月5日期間對標準草案文本進行了多次編制組內部的線上會議

討論、修改和完善，并提交責任專家和標委會專家進行審閱；標準編制組根據專

家意見進行了進一步修改，形成征求意見稿第一稿。

2023年2月3日，WG5工作組召開了專家研討會，對征求意見稿進行了研討

并提出了修改意見，會后編制組根據專家意見進行了修改完善，形成征求意見稿

第二稿。

2023年4月4日，信安標委會秘書處召開了專家評審會，對征求意見稿進

行了評審并提出了修改意見，會后編制組根據專家意見進行了修改完善，并在編

制組內部進行了集中討論，最終形成征求意見稿第三稿。

2023年6月1日，在昆明召開的2023年第一次“標準周”會上，編制組代

表在WG5分會場上，面向全體與會人員、會員單位代表匯報了該標準的編制情況

以及標準內容重點；會后，編制組對標準文稿再次進行了審查，對部分文字表述

3

等進行了修訂完善。

（4）試點驗證階段

為提升標準質量，檢驗標準適用性和可操作性，全國信息安全標準化技術委

員會秘書處于2023年4月13日在北京組織召開了網絡安全國家標準試點工作部

署會。會后標準編制組依據《2023年度網絡安全國家標準試點工作方案》的工

作要求，征集了試點驗證參與單位，并制定了試點工作方案。

WG5工作組于4月26日在線上組織召開了標準試點工作方案討論會。會后

標準編制組根據專家意見修改完善了試點工作方案，在編制組內部進行了宣貫，

明確了試點內容、計劃及分工，自5月至6月開展了標準試點驗證工作。

二、標準編制原則、主要內容及其確定依據

2.1標準編制原則

為了使本標準與現有其他國家標準保持協調一致，本標準的制定參考了現行

的其他國家標準，主要有GB/T25066-2020、GB/T18336-2015、GB/T22239-2019、

GB/T36626-2018等。

本標準符合我國的實際情況，遵從我國有關法律、法規的規定。具體原則與

要求如下：

1)實用性原則

標準必須是可用的，才有實際意義，本標準在制定過程中嚴格按照流程對產

品的現狀、技術等相關領域展開系統的、全面的調研工作，注重與相關產品生產

單位的交流，使得標準更貼近產品實際情況，保證操作性。

2)先進性原則

標準是先進經驗的總結，同時也是技術的發展趨勢。要制定出先進的國家標

準，必須廣泛了解市場上主流產品的功能，吸收其精華，制定出具有先進水平的

標準。本標準的編寫始終遵循這一原則。

3)兼容性原則

本標準既要與國際接軌，更要與我國現有的政策、法規、標準、規范等相一

致。編制組在對標準起草過程中始終遵循此原則，其內容符合我國已經發布的有

關政策、法律和法規。

2.2主要內容及其確定依據

4

本項目標準規范的安全運維系統，是針對系統內控合規、降低運維管理風險、

提升內部風險控制水平等需求而形成的安全產品，為企業針對服務器、虛擬機、

網絡設備、數據庫等系統資產、云計算資源的安全運維與審計提供集中的帳號、

授權、認證和審計等管理服務。標準擬規范安全運維系統的安全技術要求（安全

功能要求、自身安全要求、安全保障要求）和測試評價方法，適用于該類產品的

研發、采購、使用、維護、管理及檢測。

1)標準結構

本標準的編寫格式和方法依照GB/T1.1-2020標準化工作導則第一部分：

標準的結構和編寫規則，主要結構包括：

1.范圍

2.規范性引用文件

3.術語和定義

4.縮略語

5.概述

6.安全技術要求

7.測試評價方法

8.附錄A

2)范圍、規范性引用文件、術語和定義和縮略語

該部分定義了本標準適應的范圍，所引用的其它標準情況及以何種方式引用，

術語和定義部分明確了該標準所涉及的一些術語。

在術語中明確了“安全運維系統”、“運維用戶”、“運維對象”、“授權管理員”、

“運維服務協議”等重要概念。

縮略語部分主要列出本標準中用的縮略語全稱及中文解釋。

3)概述

對安全運維系統的安全目的、保護的對象以及安全技術要求分類及等級劃分

進行了概要描述，對安全技術要求的分類、主要的指標項、等級劃分的原則等進

行了說明。

安全運維系統為運維用戶提供統一資源訪問入口，借助身份認證接口實現對

運維用戶的身份鑒別，對資產及其賬號等進行集中管理和授權，監控和審計運維

5

操作過程，并對違規操作行為進行報警、阻斷。該類產品保護的對象是服務器、

虛擬機、網絡設備、安全產品、數據庫、云平臺等信息系統重要資產。此外，安

全運維系統本身及其內部的重要數據也是受保護的對象。

本文件將安全運維系統的安全技術要求分為安全功能要求、自身安全要求、

安全保障要求三類。本文件按照安全運維系統安全功能要求強度劃分級別，按照

GB/T18336.3-2015劃分安全保障要求的級別。安全等級突出安全特性，分為基

本級和增強級，安全功能、自身安全強弱和安全保障要求高低是等級劃分的具體

依據。

此外說明了與基本級安全技術要求相比，本文件中增強級內容有所增加或變

更的內容在正文中通過“宋體加粗”表示。安全運維系統的安全功能要求、自身

安全要求、安全保障要求應符合GB42250-2022《信息安全技術網絡安全專用

產品安全技術要求》的相關要求。

另外，以表格形式對本標準中涉及的管理員及用戶角色進行了詳細描述：

表1角色描述表

角色角色描述

通過安全運維系統對信息資產進行運行維護和管理的用戶（人員或自動化

運維用戶

運維工具），通常以賬號作為用戶標識，賬號由安全運維系統進行管理

受安全運維系統保護的信息資產的各類管理賬戶，該賬戶由受保護的信息

管理賬戶

資產進行維護，運維用戶登錄安全運維系統后通過該賬戶對受保護的信息

（運維對象）

資產進行運維和管理

對安全運維系統進行維護和管理的用戶角色，包括操作員、安全員、審計

管理員

員或其他自定義角色，通常不具備受保護資產的運維管理權限

管理員角色的一種，具有系統配置管理權限，如產品IP地址、運維用戶、

操作員

運維對象管理等

安全員管理員角色的一種，具有安全管理權限，如訪問控制策略管理等

管理員角色的一種，具有審計管理權限，如審計日志的查閱、分析、管理

審計員

等

4)安全技術要求

安全技術要求分為安全功能要求、自身安全要求、安全保障要求三類。其中，

安全功能要求是對安全運維系統應具備的安全功能提出具體要求，包括運維用戶

管理、運維對象管理、運維服務協議支持、運維訪問控制、告警、遠程訪問加密、

運維審計、運維會話管理、高可用性、設備虛擬化、IPv6支持等；自身安全要

求是對安全運維系統的自身安全保護提出具體要求，包括標識與鑒別、安全管理、

6

審計日志等；安全保障要求針對安全運維系統的開發和使用文檔的內容提出具體

的要求，例如開發、指導性文檔、生命周期支持、測試和脆弱性評定等。

5)測試評價方法

本文件針對安全運維系統的安全技術要求提出對應的測試評價方法，為使用

本文件的人員提供一個測試評價安全運維系統的技術準則。

測評方法部分包括了安全功能要求測評、自身安全要求測評、安全保障要求

測評等，其內容是針對安全技術要求中的基本級安全要求和增強級安全要求逐項

制定的測試評價方法，可用于指導和規范安全運維系統的檢測工作。

6)附錄A

針對安全運維系統的典型應用場景、部署方式進行了描述。

2.3修訂前后技術內容的對比[僅適用于國家標準修訂項目]

標準制定項目，不涉及。

三、主要試驗[或驗證]情況分析

3.1試驗驗證的分析、綜述報告

為了更全面地了解企業在攻擊面管理上的現狀以及所面臨的困難與挑戰，

Randori與ESG日前開展了一項調查，對398位企業安全團隊負責人進行了訪談

和調研，并發布了《2022年攻擊面管理現狀報告》，報告數據顯示：67%的受訪

組織表示，他們的外部攻擊面在過去12個月中擴大了；69%的組織因未知、未受

管理或管理不善的面向互聯網的資產而受到威脅。報告調研發現，在過去一年中，

隨著遠程辦公人員數量、云解決方案和SaaS應用程序使用量的不斷增加，企業

組織的外部攻擊面進一步擴大。近幾年運維安全事故的不斷發生讓越來越多的政

企客戶意識到組織內部人員以及第三方運維人員的違規操作將給組織帶來巨大

的甚至難以逆轉的經濟利益損失，政企運維過程中的安全也成為了近兩年眾多客

戶所關注的重點領域，安全運維管理市場呈現強勢發展的態勢。

在《網絡安全法》、《數據安全法》、《關鍵信息基礎設施安全保護條例》、“等

保2.0”以及各行業規范的推動下，安全運維系統的應用市場迎來了新的發展機

遇，市場規模整體呈持續增長趨勢。2022年3月31日，安全牛發布了行業廣泛

關注的《中國網絡安全行業全景圖（第九版）》，涉及二級細分領域2609項。其

7

中，堡壘機位列收錄企業數量最多的細分領域TOP10。

經調研近兩年內國內安全運維系統相關的產品近300款，涉及230余家不同

廠商，包括華為、騰訊、阿里云、安恒、齊治科技、天融信、奇安信、360、杭

州美創、華軟金盾、山東兆物、西安交大捷普、網神、格爾軟件、安天、山石網

科、神州綠盟、啟明星辰、網御星云等等安全廠商。

3.2技術經濟論證

本標準的實施將有助于為國內相關研發廠商、安全運維系統部署單位和檢驗

檢測機構的測評工作提供支持，確保要求、方法的一致性，提高測評的準確性、

規范性、公平性，產品的合規性，以及重要信息系統安全運維保障能力，從而降

低第三方測評機構的測評開銷和企業自身的合規投入。

3.3預期的經濟效益、社會效益和生態效益

根據中共中央、國務院印發的《國家標準化發展綱要》中的要求，強化標準

實施應用。為此，本項目將遵循國家“完善認證認可、檢驗檢測、政府采購、招

投標等活動中應用先進標準機制，推進以標準為依據開展宏觀調控、產業推進、

行業管理、市場準入和質量監管”的思路，結合牽頭單位和參與單位的優勢，開

展標準的實施應用。

本標準的制定一方面支撐安全運維系統的規范化管理，同時也緊密貼合重要

信息系統及關鍵信息基礎設施安全運維和資產內控管理的合規性需求，為等保和

關基相關要求的技術實現規范化提供重要參考，降低運維管理安全風險。

標準的適用對象包括安全運維系統的生產廠商、部署安全運維系統的系統運

營單位、網絡安全主管部門以及進行安全檢測評估的檢驗檢測機構。

本項目標準發布后，首先，能夠指導產品的生產廠商對產品進行研發、生產

和銷售；其次、能夠指導檢測認證機構對該類型產品進行測評認證工作，標準可

應用于幾乎所有的網絡安全專用產品管理領域；此外，還能夠對用戶單位的應用

部署進行有效指導，形成部署方案并落地，滿足等級保護、關鍵信息基礎設施保

護等相關法律法規的合規性要求。

四、與國際、國外同類標準技術內容的對比情況，或者與測試的國外樣品、

樣機的有關數據對比情況

8

目前國際上無相關標準。

五、以國際標準為基礎的起草情況，以及是否合規引用或者采用國際國外

標準，并說明未采用國際標準的原因

未采用國際標準。

六、與有關法律、行政法規及相關標準的關系

本標準與現行法律、法規以及國家標準不存在沖突與矛盾，且與《中華人民

共和國網絡安全法》、網絡安全等級保護等合規性要求保持一致：

《中華人民共和國網絡安全法》第二十一條國家實行網絡安全等級保護制

度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，

保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、

篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網

絡安全保護責任；（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措

施，并按照規定留存相關的網絡日志不少于六個月。

網絡安全等級保護基本要求在技術層面對安全運維提出了身份鑒別、訪問控

制、操作審計等相關要求；在安全管理層面提出了系統運維管理、安全管理制度、

安全事件處置等的相關要求。

ISO27001標準中要求組織必須記錄用戶訪問、意外和信息安全事件的日志，

并保留一定期限，以便為安全事件的調查和取證。

相關的國家標準有GB/T36626-2018《信息安全技術信息系統安全運維管

理指南》、GB/T34990-2017《信息安全技術信息系統安全管理平臺技術要求和測

試評價方法》，但上述標準與本項目擬制定標準存在較大差異：

1）從適用的對象和范圍來說：GB/T36626-2018是為信息系統運營者針對

信息系統安全運維管理體系的建設提出指導；GB/T34990-2017中規范的對象是

安全管理平臺，是基于等保要求對信息系統安全機制進行集中管理的平臺，管理

對象是管理對象是計算環境、區域邊界和通信網絡。而本項目標準規范的對象是

針對內控合規、降低運維管理風險、提升內部風險控制水平等需求而形成的安全

產品，并覆蓋傳統信息系統以及云、工控等應用場景，是對系統重要