GB/T 47685-2026 网络安全技术 存储安全指南

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T47685—2026

网络安全技术存储安全指南

Cybersecuritytechnology—Guidelinesforstoragesecurity

ISO/IEC270402024Informationtechnolo—Securittechniues—

(:,gyyq

StoraesecuritMOD

gy,)

2026-05-25发布2026-12-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T47685—2026

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………5

总述

5………………………7

存储的组织管理措施

6……………………14

存储的人员管理措施

7……………………15

存储的物理控制措施

8……………………15

存储的技术控制措施

9……………………17

附录资料性本文件与结构编号对照情况

A()ISO/IEC27040:2024………………50

附录资料性存储安全管理和控制措施概要

B()………52

参考文献

……………………58

Ⅰ

GB/T47685—2026

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件修改采用信息技术安全技术存储安全

ISO/IEC27040:2024《》。

本文件与相比在结构上有较多调整两个文件之间的结构编号变化对照

ISO/IEC27040:2024,。

一览表见附录

A。

本文件与的技术差异及其原因如下

ISO/IEC27040:2024:

将中的要求性条款更改为推荐性条款以适应我国指南类标准的编制

———ISO/IEC27040:2024,

要求见第章第章第章

(1、6~9);

术语和定义引导语中用替换了并增加了

———“”GB/T29246—2023ISO/IEC27000,GB/T25069—

和的引用见第章

2022、GB/T37939GB/T43697—2024(3);

删除了的存储数据传输数据设备光纤信道协议网络附加存

———ISO/IEC27040:2024“”“”“”“”“

储存储区域网络存储介质消磁销毁清理清除存储清除逻辑存储清除介质

”“”“”“”“”“”“”“”“”“

清除数据安全性受损数据完整性多因子鉴别恶意软件安全强度强鉴别归档

”“”“”“”“”“”“”“”

证据元数据和带外等术语和定义这些术语在网络安全相关国家标准中已定义且专业

“”“”“”,

的使用者不存在理解不一致以符合我国标准化文件的起草规则

,;

更改了术语光纤信道的定义以增强定义描述的准确性见

———“”,(3.1.4);

更改了术语存储的定义将动词和名词定义合并描述以适应中文阅读习惯见

———“”,,(3.1.7);

增加了存储基础设施监管链术语和定义以提高条款的易读性便于本文件的应用见

———“”“”,,(

3.1.10、3.6.1);

增加了等缩略语见

———“AD”“OAuth”“iWARP”“LDAP”“PSK”“RFC”“RoCE”“SAML”“WAN”(

第章删除了和等缩

4),“AES”“BCM”“DDos”“Dos”“ICT”“ID”“ISMS”“PII”“SHA”“VM”

略语

;

增加了未能满足法定监管或法律要求的数据安全风险中合规问题的举例以适应我国数据安

———、,

全相关法律法规要求见

(5.4.5);

更改了组织控制人员控制的描述以增强相关描述的准确性见第章和第章

———“”“”,(5.5、67);

用替换了替换了

———GB/T22080—2025ISO/IEC27001、GB/T22081—2024ISO/IEC27002,

同时更改了管理和控制措施标签采用的形式以适应我国指南类标准的编制要求见

,(5.5);

增加了存储安全管理和控制措施的主题与相应代号的对照情况以提升组织人员物理和技

———,、、

术管理和控制措施的易读性见表

(2);

更改了涉及数据级别的有关描述以与我国对数据级别的定义保持一致见

———,(6.2、9.2.2.2);

更改了概念及方法论相关内容在本文件的呈现方式以提升本文件的易读性见

———IRBC,(6.3);

增加了存储实施数据保密措施的举例以增强控制措施的实用性见

———,(6.4);

增加了管理接口的物理访问限制措施的举例以增强控制措施的实用性见

———,(8.3);

更改了安全初始化的控制措施体现固件安全初始化以保障存储基础设施在启动引导阶段的

———,,

完整性见

(9.2.2.4);

更改了数据完整性保护技术的控制措施以体现数据完整性保护技术的全面性见

———,(9.2.3.4);

增加了对所有部分的引用对强鉴别集中式身份鉴别解决方案进行列举以

———GB/T15843(),、,

体现相关鉴别技术方案的全面性见

(9.4.2.1);

Ⅲ

GB/T47685—2026

增加了数字证书管理的控制措施以保障存储管理活动中所使用的数字证书的安全性和有效

———,

性见

(9.4.2.2);

增加了远程管理会话安全的控制措施以提升存储远程管理过程的安全性见

———,(9.4.3);

更改了加密过程和加密方式相关内容以提升本文件的易读性见

———,(9.5.1);

更改了涉及密码算法有关条款以适应我国的技术条件见

———,(9.5.2~9.5.5、9.16);

增加了加密对数据存取速度的影响因素以更好地评估存储加密解决方案的合理性见

———,(9.5.3);

更改了保护存储加密密钥的控制措施增加了对的引用以更全面地保证

———,GM/T0110—2021,

密钥安全性见

(9.5.5);

删除了的存储清除条款及内容以更好地与我国信息清除相关

———ISO/IEC27040:202410.6“”,

标准协调一致

;

更改了安全使用快照的控制措施以更好地保护快照的完整性见

———,(9.7.4);

将磁盘阵列更改为盘阵列以符合存储介质材料多样性的现状见

———“”“”,(9.10.2.1);

增加了集中机制实施身份鉴别和访问控制的控制措施以保证访问控制方案的全面性

———,NFS

见

(9.12.2)。

本文件做了下列编辑性改动

:

为与我国网络安全领域标准命名保持一致将标准名称更改为网络安全技术存储安全指南

———,《》;

将存储安全涵盖范围的描述从第章调整至见

———15.3(5.3);

删除了中有关术语数据库网址的内容

———ISO/IEC27040:2024ISO、IEC;

删除了资料性引用

———FIPS140-3;

删除了的中的条文脚注

———ISO/IEC27040:20246.3;

删除了的和的注

———ISO/IEC27040:202410.5.5j)10.9.1b)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位浪潮电子信息产业股份有限公司中国电子技术标准化研究院北京工业大学

:、、、

中国移动通信集团有限公司中国联合网络通信集团有限公司华为技术有限公司江苏保旺达软件技

、、、

术有限公司唯品会中国有限公司新华三技术有限公司南方电网数字电网集团信息通信科技有限

、()、、

公司中移动信息技术有限公司中国科学院软件研究所英韧科技股份有限公司公安部第三研究所

、、、、、

联想北京有限公司中科信息安全共性技术国家工程研究中心有限公司北京数安行科技有限公司

()、、、

北京赛西认证有限责任公司兴唐通信科技有限公司飞创信息科技有限公司昆仑太科北京技术股

、、、()

份有限公司深圳市数存科技有限公司深圳市图美电子技术有限公司司法鉴定科学研究院中通服咨

、、、、

询设计研究院有限公司长扬科技北京股份有限公司启明星辰信息技术集团股份有限公司山东省

、()、、

网络安全与信息化技术中心郑州信大捷安信息技术股份有限公司上海市信息安全测评认证中心

、、、

曙光信息产业北京有限公司中国电力科学研究院有限公司

()、。

本文件主要起草人何伟王惠莅刘雁鸣曹玲苏志远李童尹瑞平邱勤聂晓帆邢希双

:、、、、、、、、、、

白欣璐宋桂香孟凡辉刘险峰杨文峰周映万晓兰李晶冯轶杨晨魏柯陈妍刘俊伊鹏达

、、、、、、、、、、、、、、

刘玉红赵丽华蔡子凡庞力荣陈小春孙亮晏敏徐胜旺周彤彦郭弘王小鹏张亚京杨天识

、、、、、、、、、、、、、

李雅娜刘为华徐佟海石静肖红阳

、、、、。

Ⅳ

GB/T47685—2026

网络安全技术存储安全指南

1范围

本文件界定了存储安全的相关概念与定义提供了与典型存储场景和存储技术领域相关的威胁设

,、

计和管理控制方面的指南

。

本文件适用于数据存储设备存储介质和存储网络的设计开发使用和运营

、、、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

所有部分信息技术安全技术实体鉴别所有部分

GB/T15843()[ISO/IEC9798()]

注信息技术安全技术实体鉴别第部分总则

:GB/T15843.1—20171:(ISO/IEC9798-1:2010,IDT)

网络安全技术实体鉴别第部分采用鉴别式加密的机制

GB/T15843.2—20242:(ISO/IEC9798-2:2019,

MOD)

信息技术安全技术实体鉴别第部分采用数字签名技术的机制

GB/T15843.3—20233:(ISO/IEC9798-

3:2019,IDT)

网络安全技术实体鉴别第部分采用密码校验函数的机制

GB/T15843.4—20244:(ISO/IEC9798-4:

1999,MOD)

信息技术安全技术实体鉴别第部分使用零知识技术的机制

GB/T15843.5—20055:(ISO/IEC9798-

5:1999,IDT)

信息技术安全技术实体鉴别第部分采用人工数据传递的机制

GB/T15843.6—20186:(ISO/IEC9798-

6:2010,IDT)

网络安全技术信息安全管理体系要求

GB/T22080—2025(ISO/IEC27001:2022,IDT)

网络安全技术信息安全控制

GB/T22081—2024(ISO/IEC27002:2022,IDT)

信息安全技术术语

GB/T25069—2022

信息安全技术信息安全管理体系概述和词汇

GB/T29246—2023(ISO/IEC27000:2018,

IDT)

网络安全技术网络存储安全技术要求

GB/T37939

数据安全技术数据分类分级规则

GB/T43697—2024

密钥管理互操作协议规范

GM/T0110—2021

3术语和定义

和界定的以及下列术

GB/T29246—2023、GB/T25069—2022、GB/T37939GB/T43697—2024

语和定义适用于本文件

。

31与存储技术相关的术语

.

311

..

块block

在存储设备和存储介质上存储和检索数据的单元

(3.1.7)。

1