GB/T 45409-2025 网络安全技术 运维安全管理产品技术规范

ICS35040

CCSL.80

中华人民共和国国家标准

GB/T45409—2025

网络安全技术运维安全管理产品

技术规范

Cybersecuritytechnology—Technicalspecificationsforoperationand

maintenancesecuritymanagementproducts

2025-03-28发布2025-10-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T45409—2025

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

通则

5………………………2

安全技术要求

6……………3

安全功能要求

6.1………………………3

自身安全要求

6.2………………………6

安全保障要求

6.3………………………8

测试评价方法

7……………9

总体说明与测试环境

7.1………………9

安全功能测评

7.2………………………10

自身安全测评

7.3………………………16

安全保障测评

7.4………………………23

附录规范性运维安全管理产品技术要求等级划分和对应测试评价方法

A()………28

安全技术要求等级划分

A.1…………28

测试评价方法

A.2……………………29

附录资料性运维安全管理产品典型应用场景

B()……………………31

Ⅰ

GB/T45409—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位公安部第三研究所浙江齐治科技股份有限公司中国科学院软件研究所华为技

:、、、

术有限公司上海辰锐信息科技有限公司中国网络安全审查认证和市场监管大数据中心国家工业信

、、、

息安全发展研究中心奇安信网神信息技术北京股份有限公司北京天融信网络安全技术有限公司

、()、、

北京神州绿盟科技有限公司西安交大捷普网络科技有限公司北京邮电大学杭州中尔网络科技有限

、、、

公司蓝象标准北京科技有限公司远江盛邦北京网络安全科技股份有限公司深信服科技股份有

、()、()、

限公司长扬科技北京股份有限公司杭州安恒信息技术股份有限公司北京时代新威信息技术有限

、()、、

公司北京启明星辰信息安全技术有限公司上海三零卫士信息安全有限公司中电科网络安全科技股

、、、

份有限公司上海观安信息技术股份有限公司广东安创信息科技开发有限公司蓝盾信息安全技术股

、、、

份有限公司北京智游网安科技有限公司陕西省网络与信息安全测评中心河南中科安永科技有限公

、、、

司国网区块链科技北京有限公司广东省信息安全测评中心广电计量检测集团股份有限公司内蒙

、()、、、

古数字经济安全科技有限公司国网新疆电力有限公司电力科学研究院

、。

本文件主要起草人张艳邹春明胡津铭赵戈沈亮徐鹏吴强蔡永娟晏敏杨晨王峰王曦

:、、、、、、、、、、、、

申永波王冲华宋小宝姜威周进何建锋马向亮葛方隽张德保王成义刘晨汪义舟吴焱

、、、、、、、、、、、、、

王连强周瑞群刘彪鄢昱恒谢江钟英南刘强韩云冯燕飞郭军武石竹玉叶劲宏唐迪蔡宇渊

、、、、、、、、、、、、、、

加依达尔金格斯

·。

Ⅲ

GB/T45409—2025

引言

为落实中华人民共和国网络安全法第二十三条信息安全技术网络安全专用产品

《》,GB42250《

安全技术要求规定了网络安全专用产品和其提供者均需满足的基线要求

》。

本文件是的配套标准与本文件共同用于指导运维安全管理产品的研发生

GB42250。GB42250、

产服务检测和认证工作

、、。

Ⅳ

GB/T45409—2025

网络安全技术运维安全管理产品

技术规范

1范围

本文件规定了运维安全管理产品的安全功能要求自身安全要求安全保障要求及测试评价方法

、、,

并提出产品等级划分要求

。

本文件适用于运维安全管理产品的设计研发生产服务检测和认证

、、、、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

所有部分网络安全技术信息技术安全评估准则

GB/T18336()

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术术语

GB/T25069

信息安全技术信息系统安全运维管理指南

GB/T36626—2018

信息安全技术信息系统密码应用基本要求

GB/T39786—2021

信息技术远程运维技术参考模型

GB/T39837—2021

信息安全技术网络安全专用产品安全技术要求

GB42250—2022

3术语和定义

所有部分界定的以及下列术语和定义适用于本文件

GB/T18336()、GB/T25069。

31

.

运维安全管理产品operationandmaintenancesecuritymanagementproduct

为运维用户提供统一的身份认证接口多种远程运维管理方式对资产及其账号等进行集中管理和

、,

授权监控和审计运维操作过程并对违规操作行为进行报警阻断的产品

,,、。

32

.

运维对象operationandmaintenanceobject

受运维安全管理产品保护通过运维安全管理产品进行远程运维管理的信息资产

、。

注常见运维对象包括操作系统数据库管理系统网络设备安全设备等

:、、、。

33

.

运维用户operationandmaintenanceuser

通过运维安全管理产品对信息资产进行运行维护和管理的用户人员或自动化运维工具

()。

注运维用户通常以账号作为用户标识账号由运维安全管理产品进行管理维护

:,。

34

.

授权管理员authorizedadministrator

对运维安全管理产品自身进行管理的管理员

。

注授权管理员包括系统管理员安全管理员审计管理员其职责仅限于对运维安全管理产品自身的管理

:、、,。

1

GB/T45409—2025

35

.

运维服务协议operationandmaintenanceserviceprotocol

对运维对象进行运维操作和管理的网络应用协议

。

36

.

统一身份认证系统unifiedidentityauthenticationsystem

专门为用户提供统一的身份标识和鉴别反馈鉴别结果的系统

,。

4缩略语

下列缩略语适用于本文件

。

中央处理单元

CPU:(CentralProcessingUnit)

网际协议

IP:(InternetProtocol)

网际协议版本

IPv4:4(InternetProtocolversion4)

网际协议版本

IPv6:6(InternetProtocolversion6)

轻型目录访问协议

LDAP:(LightweightDirectoryAccessProtocol)

远程用户拨号认证服务

RADIUS:(RemoteAuthenticationDialInUserService)

远程桌面协议

RDP:(RemoteDesktopProtocol)

简单网络管理协议

SNMP:(SimpleNetworkManagementProtocol)

安全外壳协议

SSH:(SecureShell)

5通则

运维安全管理产品为运维用户提供统一资源访问入口通过身份认证接口实现对运维用户的身份

,

鉴别对资产及其管理账户等进行集中管理和授权监控和审计运维操作过程并对违规操作行为进行

,,,

报警阻断该类产品保护的对象是操作系统数据库管理系统虚拟机网络设备安全产品云平台等

、。、、、、、

信息系统重要资产此外运维安全管理产品本身及其内部的重要数据产品自身及托管的账号和口

。,(

令安全配置数据审计数据等也是受保护的对象见图

、、),1。

图1运维安全管理产品逻辑架构图

本文件将运维安全管理产品的安全技术要求分为安全功能要求自身安全要求安全保障要求三

、、

类其中安全功能要求是对运维安全管理产品应具备的安全功能提出具体要求包括运维用户管理

。,,、

运维对象管理运维服务协议支持运维访问控制运维会话管理运维审计告警可用性虚拟化部署

、、、、、、、、

支持互联互通等自身安全要求是对运维安全管理产品的自身安全保护提出具体要求包括通用

IPv6、;,

2

GB/T45409—2025

要求标识与鉴别自身访问控制自身安全审计通信安全配置备份与恢复时钟同步等安全保障要

、、、、、、;

求针对运维安全管理产品的开发和使用文档等内容提出具体的要求包括供应链安全设计与开发生

,、、

产和交付运维服务保障用户信息保护等此外本文件针对运维安全管理产品的安全技术要求提出

、、。,

了对应的测试评价方法为使用本文件的人员提供一个测试评价运维安全管理产品的技术准则

,。

本文件将运维安全管理产品分为基本级和增强级安全功能与自身安全的强弱以及安全保障要求

,,

的高低是等级划分的具体依据等级突出安全特性基本级要求主要支撑第二级安全要

,。GB/T22239

求安全计算环境中资产运维安全及资产自身安全的相关要求增强级要求主要支撑第三

,GB/T22239

级安全要求安全计算环境中资产运维安全及资产自身安全中设备和计算安全中资产运

、GB/T39786

维的密码应用安全相关要求与基本级内容相比增强级中要求有所增加或变更的内容在正文中通过

。,

宋体加粗表示安全技术要求的等级划分和对应测试评价方法应符合附录的要求

“”。A。

运维安全管理产品在实际应用时为防止其安全策略被绕过通常需要结合外部安全措施来保障

,,,

在附录中给出了运维安全管理产品的典型应用场景以及所需采取的外部安全措施

B,。

6安全技术要求

61安全功能要求

.

611运维用户管理

..

产品应支持对运维用户进行管理

:

运维用户账户的增加删除

a)、;

运维用户安全属性定义与修改包括但不限于账户用户姓名联系电话鉴别信息等

b),、、、;

本地运维用户账户分组管理

c);

与统一身份认证系统对接由统一身份认证系统对运维用户进行身份鉴别

d),。

612运维对象管理

..

产品应支持对运维对象进行管理

:

运维对象的唯一性标识

a);

运维对象的增加删除修改

b)、、;

运维对象安全属性定义与修改包括但不限于运维对象的资产类别地址运维服务协议

c),、IP、、

运维对象账户及口令等

;

运维对象分组分类管理

d);

运维对象连通性测试

e);

对运维对象账号及鉴别信息进行托管并支持对鉴别信息进行定期更换更换周期和鉴别信息

f),,

复杂度可设置

;

采用密码技术保障所托管的运维对象管理账户及鉴别信息在存储过程中的保密性和完整性

g)。

613运维服务协议支持

..

产品应至少支持以下运维服务协议对运维对象进行网络运维

:

等命令行方式的运维协议

a)SSH;

等图形界面方式的运维协议

b)RDP。

614运维访问控制

..

6141用户登录策略

...

产品应提供统一的身份鉴别功能实现运维用户的单点登录运维用户需经过产品的身份鉴别后

,,,

3

GB/T45409—2025

方可访问授权范围内的资产

。

6142访问控制策略

...

产品应支持以下条件对运维过程实施访问控制且默认禁止

,:

主体运维用户运维用户组源地址等

a):、、;

客体运维对象类别运维对象及其账户等

b):、;

运维服务协议

c);

运维时间段

d)。

6143违规操作控制

...

产品应依据访问控制策略操作命令对违规操作进行告警阻断操作命令或会话阻断确保运维

、,、(),

用户访问过程的合规性

。

6144敏感操作提示

...

产品应支持敏感操作定义依据安全策略对敏感操作提请授权人员进行二次确认确认后才能继续

,,

进行运维操作

。

615运维会话管理

..

6151会话监视

...

产品应支持授权人员对运维会话过程进行实时监视

。

6152会话回放

...

产品应提供历史运维会话回放功能

:

通过视频方式对运维会话过程的回放

a);

按操作命令或时间进行回放定位

b)。

616运维审计

..

6161运维审计记录

...

产品应对运维用户的运维操作进行审计生成审计记录应至少包括

,,:

运维操作的起止日期和时间

a);

运维用户账号登录地址

b)、IP;

运维对象名称地址及账户

c)、IP;

运维服务协议

d);

命令行方式运维服务协议至少包括操作命令操作时间返回内容

e):、、;

图形界面方式运维服务协议通用视频格式的录屏文件并保证清晰度

f):,。

6162运维审计查阅

...

产品应仅允许授权管理员查阅审计记录支持条件查询并以通用格式导出查询条件应至少包括

,,:

操作日期和时间段

a);

运维用户登录地址

b)、IP;

运维对象名称地址及账户

c)、IP;

运维服务协议

d);

4

GB/T45409—2025

操作命令等

e)。

6163审计报表

...

产品应支持基于时间段运维用户运维对象等条件生成运维审计报表并支持一种或者多种通用

、、