GB/T 45409-2025 网络安全技术 运维安全管理产品技术规范

ICS35.040

CCSL80

中华人民共和国国家标准

/—

GBT454092025

网络安全技术运维安全管理产品

技术规范

—

CbersecurittechnoloTechnicalsecificationsforoerationand

yygypp

maintenancesecuritmanaementroducts

ygp

2025-03-28发布2025-10-01实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT454092025

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………2

5通则………………………2

6安全技术要求……………3

6.1安全功能要求………………………3

6.2自身安全要求………………………6

6.3安全保障要求………………………8

7测试评价方法……………9

7.1总体说明与测试环境………………9

7.2安全功能测评………………………10

7.3自身安全测评………………………16

7.4安全保障测评………………………23

()………

附录规范性运维安全管理产品技术要求等级划分和对应测试评价方法

A28

A.1安全技术要求等级划分…………28

A.2测试评价方法……………………29

()……………………

附录资料性运维安全管理产品典型应用场景

B31

Ⅰ

/—

GBT454092025

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由全国网络安全标准化技术委员会(/)提出并归口。

SACTC260

:、、、

本文件起草单位公安部第三研究所浙江齐治科技股份有限公司中国科学院软件研究所华为技

、、、

术有限公司上海辰锐信息科技有限公司中国网络安全审查认证和市场监管大数据中心国家工业信

、()、、

息安全发展研究中心奇安信网神信息技术北京股份有限公司北京天融信网络安全技术有限公司

、、、

北京神州绿盟科技有限公司西安交大捷普网络科技有限公司北京邮电大学杭州中尔网络科技有限

、()、()、

公司蓝象标准北京科技有限公司远江盛邦北京网络安全科技股份有限公司深信服科技股份有

、()、、

限公司长扬科技北京股份有限公司杭州安恒信息技术股份有限公司北京时代新威信息技术有限

、、、

公司北京启明星辰信息安全技术有限公司上海三零卫士信息安全有限公司中电科网络安全科技股

、、、

份有限公司上海观安信息技术股份有限公司广东安创信息科技开发有限公司蓝盾信息安全技术股

、、、

份有限公司北京智游网安科技有限公司陕西省网络与信息安全测评中心河南中科安永科技有限公

、()、、、

司国网区块链科技北京有限公司广东省信息安全测评中心广电计量检测集团股份有限公司内蒙

、。

古数字经济安全科技有限公司国网新疆电力有限公司电力科学研究院

:、、、、、、、、、、、、

本文件主要起草人张艳邹春明胡津铭赵戈沈亮徐鹏吴强蔡永娟晏敏杨晨王峰王曦

、、、、、、、、、、、、、

申永波王冲华宋小宝姜威周进何建锋马向亮葛方隽张德保王成义刘晨汪义舟吴焱

、、、、、、、、、、、、、、

王连强周瑞群刘彪鄢昱恒谢江钟英南刘强韩云冯燕飞郭军武石竹玉叶劲宏唐迪蔡宇渊

·。

加依达尔金格斯

Ⅲ

/—

GBT454092025

引言

《》,《

为落实中华人民共和国网络安全法第二十三条信息安全技术网络安全专用产品

GB42250

》。

安全技术要求规定了网络安全专用产品和其提供者均需满足的基线要求

。、

本文件是GB42250的配套标准GB42250与本文件共同用于指导运维安全管理产品的研发生

、、。

产服务检测和认证工作

Ⅳ

/—

GBT454092025

网络安全技术运维安全管理产品

技术规范

1范围

、、,

本文件规定了运维安全管理产品的安全功能要求自身安全要求安全保障要求及测试评价方法

并提出产品等级划分要求。

、、、、。

本文件适用于运维安全管理产品的设计研发生产服务检测和认证

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/()

所有部分网络安全技术信息技术安全评估准则

GBT18336

/—信息安全技术网络安全等级保护基本要求

GBT222392019

/信息安全技术术语

GBT25069

/—信息安全技术信息系统安全运维管理指南

GBT366262018

/—信息安全技术信息系统密码应用基本要求

GBT397862021

/—信息技术远程运维技术参考模型

GBT398372021

—信息安全技术网络安全专用产品安全技术要求

GB422502022

3术语和定义

/()、/。

GBT18336所有部分GBT25069界定的以及下列术语和定义适用于本文件

3.1

运维安全管理产品oerationandmaintenancesecuritmanaementroduct

pygp

、,

为运维用户提供统一的身份认证接口多种远程运维管理方式对资产及其账号等进行集中管理和

,,、。

授权监控和审计运维操作过程并对违规操作行为进行报警阻断的产品

3.2

运维对象oerationandmaintenanceobect

pj

、。

受运维安全管理产品保护通过运维安全管理产品进行远程运维管理的信息资产

:、、、。

注常见运维对象包括操作系统数据库管理系统网络设备安全设备等

3.3

运维用户oerationandmaintenanceuser

p

()。

通过运维安全管理产品对信息资产进行运行维护和管理的用户人员或自动化运维工具

:,。

注运维用户通常以账号作为用户标识账号由运维安全管理产品进行管理维护

3.4

授权管理员authorizedadministrator

对运维安全管理产品自身进行管理的管理员。

:、、,。

注授权管理员包括系统管理员安全管理员审计管理员其职责仅限于对运维安全管理产品自身的管理

1