ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 38561—2020 信息安全技术 网络安全管理支撑系统技术要求 I n f o rma t i ons e c u r i t e chno l o yt gy— Te chn i c a lr equ i r emen t sf o rc e r s e c u r i t emen ts uppo r ts s t em yb ymana g y 2020 03 06 发布 2020 10 01 实施 国家市场监督管理总局 国家标准化管理委员会 发 布 GB/T 38561—2020 目 次 前言 ………………………………………………………………………………………………………… Ⅰ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 缩略语 …………………………………………………………………………………………………… 1 5 概述 ……………………………………………………………………………………………………… 1 6 系统功能要求 …………………………………………………………………………………………… 2 6. 1 安全目标管理 ……………………………………………………………………………………… 2 6. 2 应急预案管理 ……………………………………………………………………………………… 2 6. 3 对象管理 …………………………………………………………………………………………… 2 6. 4 信息安全事件监测 ………………………………………………………………………………… 2 6. 5 运行监测 …………………………………………………………………………………………… 2 6. 6 流程处理 …………………………………………………………………………………………… 3 6. 7 统计分析 …………………………………………………………………………………………… 3 6. 8 考核管理 …………………………………………………………………………………………… 3 6. 9 发布与展示 ………………………………………………………………………………………… 3 6. 10 采集与处理 ………………………………………………………………………………………… 3 6. 11 数据交换 …………………………………………………………………………………………… 4 6. 12 备份与恢复 ………………………………………………………………………………………… 4 7 自身安全性要求 ………………………………………………………………………………………… 4 7. 1 身份鉴别 …………………………………………………………………………………………… 4 7. 2 访问控制 …………………………………………………………………………………………… 4 7. 3 权限管理 …………………………………………………………………………………………… 4 7. 4 数据安全 …………………………………………………………………………………………… 4 7. 5 安全审计 …………………………………………………………………………………………… 5 8 安全保障要求 …………………………………………………………………………………………… 5 8. 1 配置管理保障 ……………………………………………………………………………………… 5 8. 2 开发 ………………………………………………………………………………………………… 5 8. 3 测试保障 …………………………………………………………………………………………… 5 8. 4 交付与运维保障 …………………………………………………………………………………… 5 8. 5 指导性文档 ………………………………………………………………………………………… 5 8. 6 脆弱性分析 ………………………………………………………………………………………… 6 8. 7 生命周期支持 ……………………………………………………………………………………… 6 GB/T 38561—2020 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:浙江远望信息股份有限公司、公安部第一研 究 所、浙 江 省 委 办 公 厅 信 息 化 管 理 中 心、浙江省公安厅科技通信管理局、浙江省高级人民法院信息中心、浙江省信息化推进服务中心、杭州市 公安局科技信息化局、中电长城网际系统应用有限公司、北京江南天安科技有限公司。 本标准主要起 草 人:傅 如 毅、吴 文、宣 以 广、殷 云 飞、毛 林 斌、栗 红 梅、周 春 燕、邵 森 龙、蒋 行 杰、 马洪军、陈冠直、金江焕、周征宇、姚龙飞、蒋先浩、刘京玲、王雪玲。 Ⅰ GB/T 38561—2020 信息安全技术 网络安全管理支撑系统技术要求 1 范围 本标准规定了网络安全管理支撑系统的技术要求,包括系统功能要求、自身安全性要求和安全保障 要求。 本标准适用于网络安全管理工作的支撑系统的规划、设计、开发和测试。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引 用 文 件,仅 注 日 期 的 版 本 适 用 于 本 文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/Z20986—2007 信息安全技术 信息安全事件分类分级指南 3 术语和定义 3. 1 GB/Z20986—2007 界定的以及下列术语和定义适用于本文件。 网络安全管理支撑系统 c r s e c u r i t eme n ts uppo r ts s t em ybe ymana g y 基于组织的安全目标、对象、流程等,支撑组织开展网络安全管理工作的系统。 3. 2 对象 ob e c t j 网络安全管理中的实体。 注:主要包括硬件资产、软件资产、数据资产、组织人员等。 4 缩略语 下列缩略语适用于本文件。 CPU:中央处理器( Cen t r a lPr o c e s s i ng Un i t) DB:数据库( Da t aBa s e) FTP:文件传输协议( F i l eTr ans f e rPr o t o c o l) HTTP:超文本传输协议(Hype rTex tTr ans f e rPr o t o c o l) IP:互联网协议( I n t e rne tPr o t o co l) MAC:媒体访问控制(Med i aAc c e s sCon t r o l或 Med i um Ac c e s sCon t r o l) SNMP:简单网络管理协议( S imp l eNe two rk Managemen tPr o t o co l) 5 概述 网络安全管理支撑系统(以下简称支撑系统)是支撑组织开展网络 安 全 管 理 工 作 的 系 统,实 现 对 组 1 GB/T 38561—2020 织的安全目标、对象、流程等进行信息化管理。本标准将支撑系统的 技 术 要 求 分 为 系 统 功 能 要 求、自 身 安全性要求和安全保障要求三类。 系统功能要求主要包括安全目标管理、应急预案管理、对 象 管 理、信 息 安 全 事 件 监 测、运 行 监 测、流 程处理、统计分析、考核管理、发布与展示、采集与处理、数据交换、备份与恢复等。 自身安全性要求主要包括身份鉴别、访问控制、权限管理、数据安全、安全审计等。 安全保障要求主要包括配置管理保障、开发、测试保障、交付与运维保障、指导性文档、脆弱性分析、 生命周期支持等。 6 系统功能要求 6. 1 安全目标管理 支撑系统具备组织安全目标管理功能,应满足以下要求: a) 新增、删除、查询和修改安全目标; b) 对安全目标进行分类管理; c) 对安全目标进行发布与展示。 6. 2 应急预案管理 支撑系统具备应急预案管理功能,应满足以下要求: a) 新增、删除、查询和修改应急预案信息; b) 对应急预案进行分类、分级管理。 6. 3 对象管理 支撑系统具备对象管理功能,应满足以下要求: a) 修改、删除和查询对象的信息; b) 支持自动和人工方式采集对象的信息; c) 对硬件资产、软件资产、数据资产、组织人员等信息进行管理,其中: 1) 对硬件资产信息进行管理,包括但不限于IP 地址、MAC 地址、硬件型号等; 注 1:硬件资产主要包括计算机、网络设备、安全设备、存储设备、安防设备及办公设备等。 2) 对软件资产信息进行管理,包括但不限于软件版本、安装位置、安装时间等; 注 2:软件资产主要包括安全系统、操作系统、工具软件、业务系统、网站等。 3) 对数据资产信息进行管理,包括但不限于文件位置、文件发布者等; 注 3:数据资产主要包括数据库文件、文档文件、音视频文件、图片等。 4) 对组织人员信息进行管理,包括但不限于账号、权限等。 注 4:组织人员主要包括管理人员、使用人员等。 6. 4 信息安全事件监测 支撑系统具备信息安全事件监测功能,应满足以下要求: a) 参照 GB/Z20986—2007,对信息安全事件进行分类、分级管理; b) 具备自动和人工两种方式采集信息安全事件; c) 对信息安全事件进行处置管理,包括事件告警和流程处置等。 6. 5 运行监测 支撑系统具备运行监测管理功能,应满足以下要求: 2 GB/T 38561—2020 a) 对接入的安全系统的基本信息、运维情况等进行管理; b) 对安全系统的运行状态进行监测与日志记录,并提供异常日志的查询和导出; c) 对安全系统的运行指标进行监测,并进行有效性评估。 6. 6 流程处理 支撑系统具备流程处理功能,对信息安全事件、对象、运行监测等数据进行处置,应满足以下要求: a) 支持告警流程处理; b) 支持告警的自动触发功能; c) 支持对产生的告警进行清除、确认和转换流程等处理; d) 支持自动和人工方式发起流程; e) 流程支持签收、反馈、审核/审批、归档等处理; f) 配置流程模板、内容模版与回执模板等。 6.