運維安全管理產品是指為運維用戶提供統一資源訪問入口�,借助身份認證接口實現對運維用戶的身份鑒別����,對服務器�、云主機、數據庫、網絡設備��、應用系統等被保護資產及其賬戶等進行集中管理和授權����,監控和審計運維操作過程���,并對違規操作行為進行報警����、阻斷的產品。
本標準將運維安全管理產品安全技術要求分為安全功能要求����、自身安全要求����、安全保障要求三類����;同時,針對安全技術要求提出對應的測試評價方法�����。安全功能包括運維用戶管理�����、運維對象管理�、運維服務協議支持����、運維訪問控制、告警����、運維審計、運維會話管理�����、高可用性�、虛擬化部署、IPv6支持�����、互聯互通等;自身安全要求包括通用要求��、標識與鑒別����、自身訪問控制、自身安全審計��、通信安全����、配置備份與恢復、時鐘同步等����;安全保障要求包括供應鏈安全����、設計與開發����、生產和交付、運維服務保障��、用戶信息保護等�。
4��、標準應用場景
目前����,運維安全管理產品已列入《網絡關鍵設備和網絡安全專用產品目錄》����,本標準與GB 42250-2022《信息安全技術 網絡安全專用產品安全技術要求》配合使用,支撐網絡安全專用產品中運維安全管理產品類的安全檢測工作���。通過“以標準促規范、用標準抓落實”的方法�,大大增強我國運維安全管理產品研發能力和應用水平���,從而更有效滿足等級保護�、關鍵信息基礎設施保護等相關法律法規的合規性要求�����。
