注册

国家标准计划《网络安全技术 安全配置检查产品技术规范》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准委

主要起草单位 上海国际技贸联合有限公司公安部第三研究所中国网络安全审查技术与认证中心北京神州绿盟科技有限公司北京天融信网络安全技术有限公司启明星辰信息技术集团股份有限公司新华三技术有限公司长扬科技(北京)股份有限公司北京北信源软件股份有限公司西安交大捷普网络科技有限公司北京神州泰岳软件股份有限公司蓝盾信息安全技术股份有限公司北京万里红科技有限公司深圳市联软科技股份有限公司杭州海康威视数字技术股份有限公司中国科学院软件研究所厦门市美亚柏科信息股份有限公司

目录

基础信息

制修订
制定
项目周期
18个月
申报日期
2024-02-21
公示开始日期
2024-04-22
公示截止日期
2024-05-22
标准类别
产品
国际标准分类号
35.030
35 信息技术、办公机械
归口单位
全国网络安全标准化技术委员会
执行单位
全国网络安全标准化技术委员会
主管部门
国家标准委

起草单位

目的意义

在当今严峻的网络安全形势下,众多公司单位投入大笔资金进行网络安全建设,但网络安全态势依旧不容乐观。

其原因主要是信息系统的主机、数据库、中间件、网络安全设备的安全策略配置不当。

现阶段的安全配置检查,大多依赖有经验的技术人员通过人工手动进行,往往需要耗费大量的人力和时间,且引入的人为风险因素过高,难以真正全面掌握信息系统安全配置的安全性和合规性。

安全配置检查产品是对操作系统、数据库、中间件、网络及安全设备等的安全配置进行检查,与预定义的安全基线进行比对,判断其是否符合要求的产品。

它可以通过自动化的方式,识别违反安全基线或最佳实践的配置设置,以及存在漏洞和弱点,帮助管理员或安全专家评估信息系统的整体安全性,并提供指导和建议来改善配置和修复漏洞。

强制性国家标准GB 42250已于2023年7月1日开始实施,但其必须配合相应的产品标准一起使用,而作为网络安全专用产品目录中安全配置检查类产品并没有相应的国标,这严重的影响了网络安全法的实施以及网络安全专用产品的安全管理。

因此需要制定国标《信息安全技术 网络及安全设备配置检查产品安全技术要求》。

本标准适用于安全配置检查产品的设计、开发、测试和评价。

范围和主要技术内容

本项目计划制定《信息安全技术 安全配置检查产品技术规范》国家标准。标准的编制遵循网络安全法、网络安全等级保护制度、关键信息基础设施安全保护制度的相关要求,主要规范安全配置检查产品的安全功能要求、环境适应性要求、安全保障要求和测试评价方法,适用于安全配置检查产品的设计、开发、测试和评价,使其更好地应用于重要信息系统和关键信息基础设施中。其中: 1、安全功能要求主要包括:检测策略、配置采集、配置检查、检查结果。 2、自身安全要求主要包括:标识与鉴别、管理权限安全、自身管理审计、传输安全、存储安全、支撑系统安全。 3、环境适应性要求主要包括:IPv6应用环境、IPv6管理环境。 4、安全保障要求主要包括:开发、指导性文档、生命周期支持、测试和脆弱性评定。 5、测试评价方法主要对测试环境以及技术要求的测试方法、预期结果和判定方法进行了说明。