編制說明《統(tǒng)一威脅管理產(chǎn)品技術(shù)要求和測試評價(jià)方法》

任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會2011年下達(dá)的國家標(biāo)準(zhǔn)制修訂計(jì)劃，國家標(biāo)準(zhǔn)《統(tǒng)一威脅管理產(chǎn)品技術(shù)要求和測試評價(jià)方法》由北京啟明星辰信息安全技術(shù)有限公司負(fù)責(zé)主辦、華北計(jì)算技術(shù)研究所和清華大學(xué)共同承擔(dān)，標(biāo)準(zhǔn)計(jì)劃號為20111620-T-469（全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2011年信息安全專項(xiàng)）。編制原則統(tǒng)一威脅管理產(chǎn)品（以下簡稱UTM產(chǎn)品）是目前信息安全市場上重要的一類產(chǎn)品，隨著近年信息安全市場的快速發(fā)展，各大廠商紛紛推出自己的UTM產(chǎn)品。但是由于沒有響應(yīng)的統(tǒng)一標(biāo)準(zhǔn)，各廠商在功能、性能要求上都有不同的定義，這也造成市場上UTM產(chǎn)品種類繁多，良莠不齊。為了統(tǒng)一UTM產(chǎn)品標(biāo)準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會于2011年2月以國家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目形式下達(dá)了《信息安全技術(shù)統(tǒng)一威脅管理產(chǎn)品技術(shù)要求和測試評價(jià)方法》標(biāo)準(zhǔn)任務(wù)。為使標(biāo)準(zhǔn)能夠滿足科學(xué)、規(guī)范地開展產(chǎn)品開發(fā)、測試與驗(yàn)證的需要，客觀反映我國UTM產(chǎn)品與技術(shù)水平，規(guī)范產(chǎn)品邊界，提高標(biāo)準(zhǔn)的可操作性，在標(biāo)準(zhǔn)制定過程中，還力求做到符合國家的有關(guān)政策法規(guī)要求；與已頒布實(shí)施的相關(guān)標(biāo)準(zhǔn)相協(xié)調(diào)并適度考慮目前處于發(fā)展成熟過程中的技術(shù)，保持一定的前瞻性。主要工作過程標(biāo)準(zhǔn)制定的主要工作過程如下：2011年2月提出標(biāo)準(zhǔn)立項(xiàng)建議，并獲得批準(zhǔn)。2011年2月北京啟明星辰信息安全技術(shù)有限公司聯(lián)合華北計(jì)算技術(shù)研究所和清華大學(xué)共成立標(biāo)準(zhǔn)項(xiàng)目組，著手標(biāo)準(zhǔn)的起草。2011年7月完成了標(biāo)準(zhǔn)第一版本草稿的撰寫。2012年4月結(jié)合廠商調(diào)研、用戶需求調(diào)研，完成了標(biāo)準(zhǔn)第二版本草稿撰寫。2012年6月結(jié)合第一次專家意見征求會議的反饋信息，完成了標(biāo)準(zhǔn)第三版本草稿的撰寫。2012年8月結(jié)合第二輪廠商調(diào)研反饋信息，完成了標(biāo)準(zhǔn)第四版本草稿的撰寫。2012年10月，參加安標(biāo)委WG5工作組專家審查會，《統(tǒng)一威脅管理產(chǎn)品技術(shù)要求和測試評價(jià)方法》草案通過了審查。會后，根據(jù)審查會專家意見進(jìn)行修改（參見標(biāo)準(zhǔn)草案稿意見匯總處理表），形成并提交《統(tǒng)一威脅管理產(chǎn)品技術(shù)要求和測試評價(jià)方法》草案（第五稿）。2013年8月，WG5組織了工作組全體成員大會對《統(tǒng)一威脅管理產(chǎn)品技術(shù)要求和測試評價(jià)方法》草案進(jìn)行投票表決，以100%投票率通過了工作組全體成員單位的投票。會后，根據(jù)反饋意見進(jìn)行了修改（參見標(biāo)準(zhǔn)草案稿意見匯總處理表），2013年9月形成并提交《統(tǒng)一威脅管理產(chǎn)品技術(shù)要求和測試評價(jià)方法》征求意見稿。標(biāo)準(zhǔn)的主要內(nèi)容及確定內(nèi)容的依據(jù)本標(biāo)準(zhǔn)的主要內(nèi)容本標(biāo)準(zhǔn)規(guī)定了統(tǒng)一威脅管理產(chǎn)品的功能要求、性能指標(biāo)、產(chǎn)品自身安全要求和產(chǎn)品保證要求，并提出了統(tǒng)一威脅管理產(chǎn)品的分級要求。本標(biāo)準(zhǔn)適用于統(tǒng)一威脅管理產(chǎn)品的設(shè)計(jì)、開發(fā)、測試和評價(jià)。其中，功能要求部分以啟明星辰為主，測評方法部分以華北計(jì)算技術(shù)研究所為主本標(biāo)準(zhǔn)主要框架如下：范圍規(guī)范性引用文件術(shù)語和定義縮略語綜述UTM等級劃分說明詳細(xì)技術(shù)要求UTM產(chǎn)品測評方法參考文獻(xiàn)與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)為國內(nèi)第一個(gè)涉及統(tǒng)一威脅管理產(chǎn)品技術(shù)要求和測試評價(jià)方法的標(biāo)準(zhǔn)，從產(chǎn)品標(biāo)準(zhǔn)方面，沒有對應(yīng)的產(chǎn)品標(biāo)準(zhǔn)。為規(guī)范術(shù)語、安全模型、過程保證模型等方面，本標(biāo)準(zhǔn)參考了如下標(biāo)準(zhǔn)的內(nèi)容：GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T25069信息安全技術(shù)術(shù)語GB/T18336.1-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分：簡介和一般模型（idtISO/IEC15408-1:2005）有關(guān)問題的說明本標(biāo)準(zhǔn)規(guī)定了統(tǒng)一威脅管理產(chǎn)品的功能要求、性能指標(biāo)、產(chǎn)品自身安全要求和產(chǎn)品保證要求、以及統(tǒng)一威脅管理產(chǎn)品的分級要求，并根據(jù)技術(shù)要求給出了測試評價(jià)方法。本標(biāo)準(zhǔn)適用于統(tǒng)一威脅管理產(chǎn)品的設(shè)計(jì)、開發(fā)、測試和評價(jià)。建議本標(biāo)準(zhǔn)以推薦性標(biāo)準(zhǔn)發(fā)布。有關(guān)專利的說明本標(biāo)準(zhǔn)不涉及專利。《統(tǒng)一威脅管理產(chǎn)品技術(shù)要求和測試評價(jià)方法》（征求意見稿）編制說明《統(tǒng)一威脅管理產(chǎn)品技術(shù)