各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术 网站安全云防护平台技术要求》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。并将意见于2017年10月9日前反馈给信安标委秘书处。
联系人:许玉娜 xuyuna@cesi.cn 010-64102731
全国信息安全标准化技术委员会秘书处
2017年8月25日
标准文本:信息安全技术网站安全云防护平台技术要求
编制说明:
《信息安全技术 网站安全云防护平台技术要求》编制说明
一、任务来源
为规范促进我国网站安全云防护平台应用和推广,提升我国网站安全防护水平,全国信息安全标准化技术委员会于2016年立项《信息安全技术 网站安全云防护平台技术要求》国家标准,2016年7月,中央网信办网络安全协调局下达《<信息安全技术 网站安全云防护平台技术要求>国家标准制定》委托任务书,委托工业和信息化部电子科学技术情报研究所开展该标准的研制工作,并将本项目标识为重点标准。
《信息安全技术 网站安全云防护平台技术要求》由工业和信息化部电子科学技术情报研究所(更名为国家工业信息安全发展研究中心)牵头,公安部第三研究所、中国信息安全研究院有限公司、北京知道创宇信息技术有限公司、北京奇安信科技有限公司、阿里云计算有限公司、杭州安恒信息技术有限公司、深圳市深信服电子科技有限公司等单位共同参与起草。
二、项目的目的与意义
网站安全云防护平台技术要求是针对提供网站安全云防护平台提出了平台功能和平台安全要求。标准从网站安全防护、平台集中管控、平台弹性可扩展能力、网站合法性验证等方面提出了网站安全防护云平台要求,并从平台运行、优化、安全事件响应等多个方面规定了安全要求,从服务能力和能力维持方面提出了要求。对平台服务商加强自身安全服务能力,网站方选择合规性服务平台提供标准参考,有助于促进网站安全云防护平台产品的健康发展和公平竞争。
三、主要工作过程
2016年1月至3月,《信息安全技术 网站安全云防护平台技术要求》由工业和信息化部电子科学技术情报研究所牵头,公安部第三研究所、北京知道创宇信息技术有限公司、北京奇安信科技有限公司等单位共同参与,研究网站安全云防护平台技术能力要求,并形成标准讨论稿,向中央网信办领导汇报标准编制进展,并向全国信息安全标准化技术委员会提交项目申请。
2016年6月,标准通过全国信息安全标准化技术委员会大数据组会议讨论。
2016年7月,本标准获得由全国信息安全标准化技术委员会立项。
2016年7月,向中央网信办领导汇报标准进展工作,拟作为中央网信办的相关工作参考标准。
2016年7月,正式成立编制组。标准编制组召开工作会议,处理编制组对草案的反馈意见,根据第一次标准周会议上专家的意见,修改了标准草案,制定了标准框架。
2016年8月到9月,与知道创宇、360、阿里云、安恒信息、深信服等厂商,就本标准指标方法进行多次交流,并赴主要厂商进行调研,返回调研报告5份,并针对厂商反馈意见完善标准。
2016年10月,召开标准讨论封闭会议,进一步对标准草案进行了修改。同月在信安标委标准会议周上会讨论。
2016年11月到2017年3月,根据标准周答辩专家意见对标准草案进行多次研讨,修改完善草案内容。
2017年3月16日,标准编制组向中央网信办网络安全协调局杨春艳副局长、各相关处室负责同志及业内专家进行了汇报,邀请了网站安全云防护平台提供商、运营单位和用户进行了讨论。办领导、专家、平台提供商、运营单位和用户表示,当前标准草案能够符合当前网站安全云防护平台技术发展和应用需求,能够为下一步工作奠定基础,同时提出了意见建议。标准编制组会根据各方意见,进一步完善标准草案内容。
2017年4月,在武汉会议周听取专家意见,并与会后召开工作组会议根据专家意见进行讨论。
2017年5月,召开两轮专家会议。邀请大数据工作组专家、信安标委专家及网信办领导就标准定位产品及服务问题开展深入讨论,经编制组探讨现将标准定位于平台技术要求。
2017年6月,标准编制组召开三次集中会议,对标准草案进行完善,同时邀请专家对标准草案进行研讨,经多次修改,拟于工作组会议推进为征求意见稿。
2017年6月28日,标准于北京召开的大数据组工作组会议上推进为征求意见稿。
四、标准的主要内容
网站安全云防护平台由一组相互联系、统一调度的安全防护节点组成,通过DNS解析、路由转发、IP地址接入等方式引入网站流量, 集中快速地更新防护策略和规则,实现对网站恶意访问流量的过滤和清洗及过滤敏感信息等其他防护功能,将安全访问流量转发到网站上,改善网站安全状况。
本标准从网站安全云防护平台的功能要求、安全要求两个方面,规范了网站安全云防护平台的技术要求。其中,平台功能要求是对网站安全云防护平台应具备的功能提出具体要求,包括网站安全防护、集中管控、弹性可扩展等;平台安全要求是对为保障网站安全云防护平台的安全提出的要求,包括基本安全要求、平台资源监控及优化、安全事件响应等。
与其他国内标准的关联性分析:
GB/T 31168-2014是面向云服务商,提出了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求。本标准重点在于如何采用云计算服务模式的云防护平台来保障网站安全。平台提供的非云计算服务,而是安全服务。且是从平台技术要求的角度规范。在平台自身需提供的基本安全要求是参考了该标准。
GB/T 31506-2015为政府网站系统自身的物理安全、边界安全、服务器安全、管理终端安全等具体的安全实施指南,本标准在考虑最终实现目标方面参考了该标准,但重点在于对云防护平台的要求,而非目标站点自身的安全技术要求(即本标准不包含网站体检的内容)。
GB/T 32914-2016《信息安全技术 信息安全服务提供方管理要求》为信息安全服务提供方应具备的管理要求,网站安全云防护平台提供服务时可参考该标准。
GB/T 32917-2016 Web应用防火墙主要是对Web应用的防护,网站具有Web应用的特点,本标准的部分功能会与其类似,但平台架构和应用模式上有较大变化,且适用于大规模网站及不同防护形态、具备协同防御、集中管控、快速响应、功能自定义能力。
在研标准《政府门户网站云计算服务安全指南》面向对象为政府用户,应用场景为指导政府网站上云的一系列步骤及方式方法,本标准的面向对象是网站安全云防护平台,是对平台提出的应满足的功能要求和安全要求。
五、产业化情况、推广应用论证和预期达到的经济效果
《网站安全云防护平台技术要求》的标准草案,已经实现在各主要服务商进行了试点和论证,很好地帮助服务商提升安全防护服务能力和自身安全能力,促进了网站安全云防护平台的安全健康发展。
六、采用国际标准和国外先进标准情况
编制组在标准编制过程中,专门分析了美国FedRAMP对云服务商的安全评估方法,参考我国已有相关信息安全标准,综合考虑制定了本标准。
七、与相关法律法规及国家有关规定、国内相关标准的关系
本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。
八、有关问题的说明
项目组在标准编制过程中,经历了内部讨论与论证、技术研讨会等过程,项目组在工作过程中遵循GB/T1.1—2009编制原则,对国内外现状做了大量调研,完成了标准草案的编写工作。在整个过程中未遇到重大意见分歧,但对专家提出的意见和建议,我们做了应答和处理,更好地完善了我们的标准编制工作。
九、有关专利的说明
本标准不涉及专利。
标准编制组
2017年7月