国家标准计划《信息安全技术 安全运维系统技术规范》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 上海辰锐信息科技公司 、公安部第三研究所 、中国科学院软件研究所 、中国网络安全审查技术与认证中心 、国家工业信息安全发展研究中心 、华为技术有限公司 、浙江齐治科技股份有限公司 、北京天融信网络安全技术有限公司 、奇安信网神信息技术（北京）股份有限公司 、杭州中尔网络科技有限公司 。

随着网络技术的迅速发展，网络环境变得日趋复杂，特别是重要信息系统和关键信息基础设施中的资产数量和类型均急剧增长。

误操作、违规运维操作可能会直接导致这些重要业务系统的宕机、数据丢失等风险，对安全运维的规范化管理已和外部安全防护同等重要。

为了提升运维过程的合规性和安全性，有效减少潜在的安全隐患,有必要制定针对安全运维系统的标准。

安全运维系统已广泛应用于各行业信息化内控管理，随着云、工控等应用场景和安全产品的发展，运维管理和审计的范畴和技术形态都有了新的变化，云安全运维、便携式移动运维、工控运维等新形态和新特性不断呈现。

此外，网络安全等级保护要求中对重要信息系统、云租户业务应用系统等保护对象的集中身份认证、运维操作审计和细粒度的权限管控也提出了诸多要求。

安全运维系统由于其安全功能属性，成为系统的核心安全管控枢纽，存储着资产管理账号、具备重要资源的访问权限等，一旦其自身存在安全短板将会为重要信息系统和关键信息基础设施引入极大的安全风险。

因此，本文件一方面可支撑安全运维系统的规范化管理，同时也紧密贴合重要信息系统及关键信息基础设施安全运维和资产内控管理的合规性需求，为等保和关基相关要求的技术实现规范化提供重要参考，降低运维管理安全风险。

本文件规范的安全运维系统，是针对系统内控合规、降低运维管理风险、提升内部风险控制水平等需求而形成的安全产品，为企业针对服务器、虚拟机、网络设备、数据库等系统资产、云计算资源的安全运维与审计提供集中的帐号、授权、认证和审计等管理服务。本文件拟规范安全运维系统的安全技术要求（安全功能要求、自身安全要求、安全保障要求）和测试评价方法，适用于该类产品的研发、采购、使用、维护、管理及检测。主要内容有： （1）安全功能要求：主要包括单点登录、访问控制、操作审计、会话监视、会话回放、事件告警、违规阻断、高可用性、设备虚拟化、IPv6支持等。 （2）自身安全要求：主要包括标识与鉴别、安全管理、远程管理加密、鉴别数据保护、集中管理、升级安全、审计日志等。 （3）安全保障要求：主要包括开发、指导性文档、生命周期支持、测试、脆弱性评定等。 （4）产品分级：根据产品的功能强度及网络安全等级保护和关键信息基础设施保护的要求等对上述安全技术要求进行分级，拟分为基本级和增强级。 （5）测试评价方法：针对安全技术要求提出对应的测试评价方法，为使用本文件的人员提供了一个测试评价安全运维系统的技术准则。