新闻资讯
NEWS CENTER
NEWS CENTER
《中华人民共和国网络安全法》对于网络运营者、网络服务提供者提出了规范运维操作规程、建设安全维护能力、留存网络日志等安全保护义务。
网络安全等级保护和关键信息基础设施保护制度中要求对重要信息系统、云租户业务应用系统等保护对象采取集中身份认证、运维操作审计和细粒度权限管控等技术措施。
重要信息系统和关键信息基础设施中的资产数量和类型急剧增长为集中运维管控带来极大挑战,集中运维管控产品的短板效应愈发凸显。
本标准一方面规范了运维安全管理产品安全技术要求和测试评价方法,另一方面紧密贴合重要信息系统及关键信息基础设施安全运维和资产内控管理的合规性需求,为等保和关保相关要求的技术落地提供标准化参考,降低运维管理安全风险。
本标准规定了运维安全管理产品的安全功能要求、自身安全要求、安全保障要求及测试评价方法,并提出产品等级划分要求;适用于运维安全管理产品的设计、研发、生产、服务、检测和认证。
运维安全管理产品是指为运维用户提供统一资源访问入口,借助身份认证接口实现对运维用户的身份鉴别,对服务器、云主机、数据库、网络设备、应用系统等被保护资产及其账户等进行集中管理和授权,监控和审计运维操作过程,并对违规操作行为进行报警、阻断的产品。
本标准将运维安全管理产品安全技术要求分为安全功能要求、自身安全要求、安全保障要求三类;同时,针对安全技术要求提出对应的测试评价方法。安全功能包括运维用户管理、运维对象管理、运维服务协议支持、运维访问控制、告警、运维审计、运维会话管理、高可用性、虚拟化部署、IPv6支持、互联互通等;自身安全要求包括通用要求、标识与鉴别、自身访问控制、自身安全审计、通信安全、配置备份与恢复、时钟同步等;安全保障要求包括供应链安全、设计与开发、生产和交付、运维服务保障、用户信息保护等。
目前,运维安全管理产品已列入《网络关键设备和网络安全专用产品目录》,本标准与GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》配合使用,支撑网络安全专用产品中运维安全管理产品类的安全检测工作。通过“以标准促规范、用标准抓落实”的方法,大大增强我国运维安全管理产品研发能力和应用水平,从而更有效满足等级保护、关键信息基础设施保护等相关法律法规的合规性要求。
公网安[2025]1846号文关于对网络安全等级保护有关工作事项进一步说明的函原文
瓷器活科技应邀参与完成“LED 可变信息标志内容安全管控产品安全技术规范”的编制
