安全419 2025-08-05 17:28 北京
用系统方法,让网络空间更安全
2025年8月1日,由中国信息安全测评中心作为牵头起草单位,中测安华总经理王琰担任牵头起草人的GB/T 45940-2025《网络安全技术 网络安全运维实施指南》国家标准正式获批发布,将于2026年2月1日正式实施。此项国标的发布实施,对全面、系统地指导网络安全运维工作,提升网络安全防护水平,规范和促进网络安全运维技术与服务产业发展,具有重要意义。
《网络安全技术 网络安全运维实施指南》
(GB/T 45940-2025)
一、科学严谨的国标研制流程
2021年8月,中国信息安全测评中心参与了网络安全国家标准研究项目《信息安全运营服务实施指南研究》的编写工作。与业界30余家单位经过为期一年的研究,研究组对网络安全运营服务产业发展、运营中心的建设与运行现状进行了充分的调研,对安全运营服务的概念定义、参考模型、服务体系构建与实施流程、运营服务效果评估等方面进行了充分的研究,形成《信息安全运营服务实施指南研究报告》和《网络安全运营实施指南国家标准草案》。
2023年8月25日,该国家标准在全国网安标委正式获批立项,经过上级主管部门研究,标准名称调整为《网络安全技术网络安全运维实施指南》,按照规定,标准编制组面向社会公开征集标准参编单位,超过100家企业和机构报名参与,经过筛选和沟通,确定30多家单位作为草案阶段的编制成员。标准草案技术内容汇集了行业多方智慧与经验,编制工作组经过10余轮的研究讨论和反复修改,2023年11月,在全国网安标委会议周全体会议上投票获得通过形成国家标准征求意见稿。在面向全社会广泛征求意见之后,结合广泛的反馈建议并按照上级主管部门对标准制定的要求,将标准规范的视角扩大覆盖到网络安全运营服务的供方、需方和第三方,增加和完善了运营服务需方所关注的一些关键要素。
2024年4-7月,为确保标准质量和技术条款的可操作性,在全国网安标委统一部署下,标准工作组组织16家单位在全国各省市以及政府机构、能源、金融等重要垂直行业开展试点验证工作,重点对该标准中“网络安全运维的网络安全运维参考框架、网络安全运维提供方和运维人员条件、网络安全运维实施内容、网络安全运维效果评估模型”等内容进行试点验证。对标准条款实际应用符合性进行简要分析,对条款的实施效果、实施难度进行评估试点验证。试点验证工作覆盖标准全部技术条款,从安全运营的供方、需方和评估方三方视角逐条验证,分析存在的差距,评估条款实施的效果、实施落地的难度,提出修改完善的建议,形成《标准试点验证评估报告》。
《标准试点验证评估报告》
二、广泛共识的技术内容
《实施指南》国标以网络安全运维的实践为基础,提出了完整的网络安全运营实施参考框架,如图1所示。包含安全运维条件、安全运维业务建立、运维实施三个方面的内容。其中安全运维条件包括了开展网络安全运维需要具备的团队、人员、运营中心建设三方面的条件。在总结目前网络安全运维的三种模式基础上,提出安全运维业务的建立过程,并将网络安全运维的实施内容总结为运维管理、识别、防护、监测分析、事件处置、协同和效果评估七个环节。
图1 网络安全运维参考框架
《实施指南》国标提出完整的网络安全运维实施流程,如图2所示。运维管理对网络安全运维的整体活动进行规划和管理,考虑组织网络安全长期改进需要做出的决策和进行的投入,提出网络安全运维整体方案;协同指通过网络安全运维活动相关方组织内外部的协调与协作,通过威胁信息共享、供应链安全管理等活动以提高网络安全运维的效能与安全防护水平,运维管理和协同是针对网络安全风险防范的常态化长期活动,在网络安全运维活动中作为一个持续性过程。识别、防护和监测分析和事件处置四个环节是针对网络安全事件进行响应和处置的应急性活动,在网络安全运维活动中作为一个快速响应过程。效果评估是在网络安全运维过程中,基于SLA对运维实际效果进行评估,根据效果评估情况进一步改进网络安全运维的管理和实施水平。
图2 网络安全运维实施过程
《实施指南》国标在附录中提出了网络安全运维能力评估模型。可以作为第三方测评机构对网络安全运维服务提供方开展能力等级验证的依据,也可为组织开展安全防护服务能力自评估提供参考,大型企业可通过能力自评估识别自身运维短板。另外,一些重要行业,如关键信息基础设施运营者可依据评估模型审核服务商能力,作为供应商筛选的依据。《实施指南》在附录中提出服务能力的评估的执行方式,更多是推荐采用自评估与第三方评估结合的方式来进行,如,由内部安全团队完成基础指标打分,外部专家或机构验证关键流程(采用渗透测试、红蓝对抗等技术手段)的有效性,对比目标等级优先解决短板问题,分等级分阶段提升能力。
三、重要意义
《实施指南》既是国内网络安全运维服务技术产业发展实践的积累和反映,也将有效规范和促进网络安全运维服务市场发展。标准的研制、发布和实施将实现以下3个方面重要意义:
一是基于产业和应用现实,拓展了原有“安全运维”的概念,在服务对象、安全保障目标,所使用的技术手段和工作流程等方面,已经远超出了对信息系统进行静态运行维护的内涵和范围。一定意义上厘清了网络安全运维服务新的范围、边界和实施内容,并最大程度地兼容吸纳了业界广泛使用的“安全运营”概念,以满足现有服务提供方、需求方以及与服务效果与能力评估第三方对标准化术语的使用。
二是解决网络安全运维管理与服务过程中供方、需方以及第三方对人员、设备、流程、机制的统筹协调问题,促进现有网络安全保障防御体系各方形成合力。在业务数字化转型、人工智能技术广泛应用的今天,明确定义网络安全运营服务的框架,准确描述运营体系各关键环节的边界与实施要素的关系,是保障新技术安全应用于运营体系、推动网络安全服务产业提质增效的基础。
三是为网络安全服务提供商提供技术和运行指导,也为网络安全运维的需求方、第三方评估机构对网络安全运维服务实施效果和安全防护水平的评估提供重要参考。
下一步,中测安华将继续以捍卫网络空间安全为核心目标,以提升网络空间安全技术能力为发展根本,打造政治过硬、技术精湛、作风优良的红色工程师队伍,深化网络安全运营标准研究探索与落地实践,为捍卫我国网络空间主权做出更大贡献。
END
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送
