1.0.1 为规范我国互联网网络安全设施工程建设,确保网络安全设施与互联网业务系统同步规划、同步建设、同步使用,做到技术先进、经济合理、安全适用,制定本标准。
【条文说明扩展】
网络安全与信息化是一体之双翼、驱动之双轮,随着数字中国和网络强国战略的推行,互联网与社会经济、生产生活的关系日益紧密,网络安全的重要性也越发受到全社会的关注。2017年6月1日起正式施行的《中华人民共和国网络安全法》明确:“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。”我国相当数量的关键信息基础设施为互联网业务系统,制定一套互联网网络安全工程技术标准,遵循技术先进、经济合理、安全适用的原则开展相关工程建设工作,为互联网业务和数字中国保驾护航,具有十分重要的意义。
1.0.2 本标准适用于互联网网络安全设施的新建、改建和扩建工程,涵盖互联网网络安全工程规划、设计、施工、验收、运维全过程的技术要求。
【条文说明扩展】
互联网网络安全工程主要包括互联网网络安全设施新建工程、改建工程和扩建工程三类,本标准涵盖这三类工程从前期规划设计,到中期施工验收,直至后期运行维护全过程的相关技术要求。其他非面向公共互联网业务的如企业内网及专网网络安全工程可参照本标准执行。
1.0.3 互联网网络安全设施工程建设应贯彻国家网络安全管理方针政策和技术经济政策,同时应密切结合互联网业务快速发展的实际,充分考虑网络安全设施的弹性扩容升级能力。
【条文说明扩展】
近年来国家高度重视网络安全工作,相关部门就网络安全管理和网络安全技术出台了一系列的政策和要求,包括网络安全等级保护制度、关键信息基础设施安全保护制度、网络安全审查制度、个人信息和重要数据管理制度等。已发布的网络安全工程相关主要现行法律法规参见表1。
表1 网络安全工程相关现行法律法规
同时我国互联网业务发展迅速,各类互联网业务不断涌现,注册用户数和活跃用户数屡创新高,对网络安全设施的功能和性能都提出了全新的要求。
互联网网络安全工程建设一方面需要严格贯彻落实国家网络安全相关的管理要求和技术要求,在合规的前提下开展建设;另一方面需要充分分析所防护的互联网业务发展规模和发展速度,在网络安全工程的规划设计和设备选型等方面充分考虑网络安全设施在功能和性能方面的弹性扩容升级能力。
1.0.4 互联网网络安全工程建设应充分调查分析互联网业务系统的网络安全需求及运营维护需求,并应考虑新业务、新技术对网络安全设施架构、功能、性能的影响。
【条文说明扩展】
网络安全工程建设前期需要做好工程建设的需求调研工作,网络安全工程需求调查分析主要包括两个方面:一是互联网业务系统自身可用性、完整性、保密性等方面的网络安全保障需求;二是网络安全设施日常运行维护、事件响应等方面的网络安全运营管理需求。需求调研的对象既包括互联网业务部门,也包括网络安全运营保障部门。
此外,随着5G、大数据、人工智能等新技术的引入,我国互联网业务将快速发展和空前繁荣,各类互联网新业务、新技术将不断涌现。在进行网络安全需求分析时需要针对新业务、新技术做好网络安全风险评估工作,重点研究分析互联网新业务、新技术对网络安全设施在体系架构、防护功能、防护性能等方面的特定要求。
1.0.5 互联网网络安全设施工程建设应充分利用已有的网络安全设施,通过安全能力共享、集中管控等方式进行集约化建设。
【条文说明扩展】
互联网网络安全工程建设需要对已有的网络安全设施现状进行调查分析,遵循安全设施集约化建设的原则,通过安全能力资源共享、技术手段统一纳管等方式充分利用已有的网络安全设施和安全能力,在避免投资浪费的同时节约后续安全运营成本。
互联网网络安全工程新增的网络安全设施应和已有的网络安全设施实现数据互通、相互联动,形成一体化的网络安全防护监测和处置能力。
1.0.6 互联网网络安全设施工程建设除应执行本标准外,尚应符合《信息安全技术 信息系统安全工程管理要求》GB/T 20282等国家现行有关标准的规定。
【条文说明扩展】
本标准侧重于互联网网络安全工程全过程的相关技术要求,对于网络安全工程建设中所涉及的各类具体软硬件系统的相关技术要求,还应参照全国信息安全标准化技术委员会(TC260)和中国通信标准化协会(CCSA)等标准化组织所拟定的网络安全现行国家标准和行业标准的规定。在工程建设管理方面应参照现行国家标准《信息安全技术 信息系统安全工程管理要求》GB/T 20282等相关标准的规定。与互联网网络安全设施工程关系较紧密的常用技术标准参见表2。
表2 互联网网络安全工程常用技术标准
续表2
续表2