PAGE4PAGE（一）標準制定背景及任務來源安全管理中心是對信息系統的安全策略及安全計算環境、安全區域邊界和安全通信網絡上的安全機制實施統一管理的平臺，是信息系統安全防御體系的重要組成部分，涉及系統管理、安全管理、審計管理等各個方面。隨著信息安全問題的日益突出，安全管理理論與技術的不斷發展，在推動等級保護工作的過程中，安全管理中心已成為各方關注的焦點。此時，GB/T22239—2008《信息安全技術信息系統安全等級保護基本要求》和GB/T25070—2010《信息安全技術信息系統等級保護安全設計技術要求》中對安全管理中心的概括性描述已經難以滿足相關產品和系統建設的指導需求，迫切需要制定一個具體的針對安全管理中心的技術要求來規范此項工作。通過本項目的研究，形成《信息安全技術網絡安全等級保護安全管理中心技術要求》標準，為安全管理中心類產品和系統的開發、建設提供標準要求，為網絡信息安全等級保護測評工作和信息系統安全按建設工作的開展提供理論指導，進一步完善網絡信息安全等級保護標準評價體系，推動國家信息安全等級保護工作的開展。本標準是全國信息安全標準化委員會2013年9月下達的（計劃編號2013bzzd-WG5-007），并由中國電子科技集團公司第十五研究所牽頭，由公安部信息安全等級保護評估中心、網神信息技術（北京）股份有限公司共同參與承擔的國家標準制定項目。（二）主要工作過程2012年11月成立安全管理中心技術要求編寫小組；2012年11月-12月，編寫小組組織公安一所、公安三所、網神、中軟華泰、安恒、天融信等技術專家，對國內主流安全廠商的產品進行調研和分析，并依據GB/T22239—2008《信息安全技術信息系統安全等級保護基本要求》、GB/T25070—2010《信息安全技術信息系統等級保護安全設計技術要求》、MSTL_JGF_04-0190101--2006《信息安全技術安全管理平臺產品檢驗規范》和GB/T18336-2008《信息技術安全技術信息技術安全性評估準則》等標準，于2012年12月，確定了安全管理中心的形態、總體結構和技術框架；2013年1月，完成“網絡安全等級保護安全管理中心技術要求”（討論稿）的起草；2013年1月-2013年3月，多次組織相關專家和技術人員召開了安全管理中心技術要求研討會，對技術要求進行了討論，采納了定義、適用范圍、術語等相關建議，明確了功能要求、接口要求、自身安全要求等技術要求內容，并根據各方反饋意見對技術要求內容進行了梳理和修改，形成草案，并向安標委申請立項；2013年4月-2014年3月，結合多輪廠商意見和領域專家意見，對標準草案進行持續完善，細化了分級的具體要求；2014年4月-2014年6月，前往湖北武漢，以湖北地稅業務網系統的安全管理中心作為被測對象，開展標準可行性驗證測試，編制了《網絡安全等級保護安全管理中心技術要求安全標準驗證測評報告》，并根據現場測試標準執行情況對草案進行修訂；2014年7月16日，通過了安標委組織的中期檢查，針對專家提出的意見進行了修改；2015年5月-6月，多次內外部討論修訂，在安全管理中心的咨詢過程中也繼續征求多方意見；2016年8月，通過安標委組織的進一步意見征求，針對收集到的意見進行討論和修訂；2016年9月，原信息安全等級保護系列標準已申請變更為“網絡安全等級保護”標準，為了更加契合等級保護國標的體系，且該標準屬于等級保護系列標準之一，故申請變更名稱為“信息安全技術網絡安全等級保護安全管理中心技術要求”。（三）標準編制原則和主要技術內容確定的依據 制定原則為使技術要求能夠滿足科學、規范地指導相關單位設計、研發、配置和使用所需要的安全等級的安全管理中心，引導產業技術發展，推動安全等級保護工作開展，確保安全管理中心的功能要求、接口要求、自身安全性等方面符合要求，以及良好的可用性，在技術要求制定過程中，主要遵循了如下幾個原則：符合國家的有關政策法規要求；與已頒布實施的相關標準相協調；充分考慮我國安全管理中心產品生產企業的發展水平；基本覆蓋目前市場上主要的安全管理中心產品類型；適度考慮目前處于發展成熟過程中的技術，保持一定的前瞻性。確定主要內容的依據主要內容的確定基于如下幾個方面：以GB/T22239—2008《信息安全技術信息系統安全等級保護基本要求》和GB/T25070—2010《信息安全技術信息系統等級保護安全設計技術要求》對安全管理中心的描述為總體要求，按照等級化原則，結合IPv4向IPv6過渡的應用環境，按照等級保護的不同級別研究不同技術要求，逐級擴大和加強安全管理中心技術要求范圍和強度，制定出具有針對性的、可執行強的控制點和要求項；以MSTL_JGF_04-0190101--2006《信息安全技術安全管理平臺產品檢驗規范》和GB/T18336-2008《信息技術安全技術信息技術安全性評估準則第2部分：安全功能要求》中的部分內容作為安全管理中心功能要求和安全要求的參考，結合安全管理中心技術特點進行細化；通過對網神、天融信、安恒、中軟華泰、H3C等主要安全管理中心產品生產廠家的相關產品研究和分析，總結了安全管理中心的內涵、主要技術特點和共性特征，形成了功能要求、接口要求、自身安全性要求等技術指標。（四）主要條款的說明，主要技術指標、參數、實驗驗證的論述本標準草案規定了對基本級和增強級的安全管理中心的技術要求，基本級要求包括16個安全類，40個控制點，125個要求項，增強級要求包括25個安全類，44個控制點，157個要求項。本規范參照GB/T1.1-2009《標準化工作導則第1部分：標準的結構和編寫規則》進行編制。規范的主要結構和內容如下：5基本級安全管理中心技術要求5.1功能要求5.1.1系統管理要求5.1.1.1用戶身份管理5.1.1.2數據保護5.1.1.3安全事件管理5.1.1.4風險管理5.1.1.5資源監控5.1.2安全管理要求5.1.2.1安全標記5.1.2.2授權管理5.1.2.3設備策略管理5.1.3審計管理要求5.1.3.1審計策略集中管理5.1.3.2審計數據集中管理5.2接口要求5.2.1接口協議要求5.2.2接口安全要求5.3自身安全性要求5.3.1身份鑒別5.3.2訪問控制5.3.3安全審計5.3.4剩余信息保護5.3.5通信完整性5.3.6通信保密性5.3.7抗抵賴5.3.8軟件容錯5.3.9資源控制5.3.10入侵防范5.3.11數據安全6增強級安全管理中心技術要求6.1功能要求6.1.1系統管理要求6.1.1.1用戶身份管理6.1.1.2數據保護6.1.1.3安全事件管理6.1.1.4風險管理6.1.1.5資源監控6.1.2安全管理要求6.1.2.1安全標記6.1.2.2授權管理6.1.2.3設備策略管理6.1.3審計管理要求6.1.3.1審計策略集中管理6.1.3.2審計數據集中管理6.2接口要求6.2.1接口協議要求6.2.2接口安全要求6.3自身安全性要求6.3.1身份鑒別6.3.2安全標記6.3.3訪問控制6.3.4可信路徑6.3.5安全審計6.3.6剩余信息保護6.3.7通信完整性6.3.8通信保密性6.3.9抗抵賴6.3.10軟件容錯6.3.11資源控制6.3.12入侵防范6.3.13數據安全附錄A（資料性附錄）安全管理中心與信息系統等級對應關系附錄B（資料性附錄）歸一化安全事件屬性通過組織技術研討會，對技術要求的合理性、科學性、可行性等進行了多次論證、研討，并根據各方反饋意見進行了多次修訂、完善。以湖北省地稅局業務網系統中的安全管理中心作為被測對象，開展了標準草案可行性驗證測試，編制了標準驗證測試報告，根據測試執行情況對標準條款要求進行了修訂。（五）與現行法律法規和強制性標準的關系本技術要求的制定符合國家現行法律法規的規定。本標準是信息安全等級保護相關系列標準之一。與本標準相關的系列標準包括：——GB/T22239—2008《信息安全技術信息系統安全等級保護基本要求》；——GB/T25070—2010《信息安全技術信息系統等級保護安全設計技術要求》。本標準與GB17859-1999、GB/T22239-2008、GB/T25070-2010、GB/T20270-2006等標準共同構成了網絡安全等級保護的相關配套標準。本標準是對GB/T22239-2008和GB/T25070-2010提出的安全管理中心的相關技術要求的細化。本標準編制依據國家標準化管理委員會發布的《GB/T1.1-2009標準化工作導則第1部分：標準的結構和編寫》的相關要求。（六）重大分歧意見的處理經過和依據本次安全管理中心技術要求制定過程中沒有重大分歧意見。（七）標準作為強制性或推薦性標準發布的意見本標準是信息安全等級保護相關系列標準之一，建議作為推薦性標準發布，與等級保護標準體系保持一致。（八）貫徹標準的要求和措施建議1、建議國家各部委及行業主管部門將信息系統安全管理中心的建設作為各領域和行業推動信息安全等級保護工作的重要組成部分，作為信息安全專項工作給予資金支持，并加強監督檢查；2、建議各行業主管單位組織本行業內的相關部門，結合各領域及行業特點，形成行標，強化其可執行性；3、對于國家財政和行業主管部門資金支持的信息系統建設項目，應明確三級及三級以上信息系統應建立安全管理中心，