國家標準《信息安全技術 網站安全云防護平臺技術要求》征求意見稿
責編:mhshi |2017-09-01 10:42:08各相關單位和專家:
經標準編制單位的辛勤努力,現已形成國家標準《信息安全技術 網站安全云防護平臺技術要求》征求意見稿。為確保標準質量,信安標委秘書處面向社會廣泛征求意見。
懇切希望您對該標準提出寶貴意見。并將意見于2017年10月9日前反饋給信安標委秘書處。
聯系人:許玉娜???xuyuna@cesi.cn?? 010-64102731
全國信息安全標準化技術委員會秘書處
2017年8月25日
標準文本:信息安全技術網站安全云防護平臺技術要求
編制說明:
《信息安全技術 網站安全云防護平臺技術要求》編制說明
一、任務來源
為規范促進我國網站安全云防護平臺應用和推廣,提升我國網站安全防護水平,全國信息安全標準化技術委員會于2016年立項《信息安全技術 網站安全云防護平臺技術要求》國家標準,2016年7月,中央網信辦網絡安全協調局下達《<信息安全技術 網站安全云防護平臺技術要求>國家標準制定》委托任務書,委托工業和信息化部電子科學技術情報研究所開展該標準的研制工作,并將本項目標識為重點標準。
《信息安全技術 網站安全云防護平臺技術要求》由工業和信息化部電子科學技術情報研究所(更名為國家工業信息安全發展研究中心)牽頭,公安部第三研究所、中國信息安全研究院有限公司、北京知道創宇信息技術有限公司、北京奇安信科技有限公司、阿里云計算有限公司、杭州安恒信息技術有限公司、深圳市深信服電子科技有限公司等單位共同參與起草。
二、項目的目的與意義
網站安全云防護平臺技術要求是針對提供網站安全云防護平臺提出了平臺功能和平臺安全要求。標準從網站安全防護、平臺集中管控、平臺彈性可擴展能力、網站合法性驗證等方面提出了網站安全防護云平臺要求,并從平臺運行、優化、安全事件響應等多個方面規定了安全要求,從服務能力和能力維持方面提出了要求。對平臺服務商加強自身安全服務能力,網站方選擇合規性服務平臺提供標準參考,有助于促進網站安全云防護平臺產品的健康發展和公平競爭。
三、主要工作過程
2016年1月至3月,《信息安全技術 網站安全云防護平臺技術要求》由工業和信息化部電子科學技術情報研究所牽頭,公安部第三研究所、北京知道創宇信息技術有限公司、北京奇安信科技有限公司等單位共同參與,研究網站安全云防護平臺技術能力要求,并形成標準討論稿,向中央網信辦領導匯報標準編制進展,并向全國信息安全標準化技術委員會提交項目申請。
2016年6月,標準通過全國信息安全標準化技術委員會大數據組會議討論。
2016年7月,本標準獲得由全國信息安全標準化技術委員會立項。
2016年7月,向中央網信辦領導匯報標準進展工作,擬作為中央網信辦的相關工作參考標準。
2016年7月,正式成立編制組。標準編制組召開工作會議,處理編制組對草案的反饋意見,根據第一次標準周會議上專家的意見,修改了標準草案,制定了標準框架。
2016年8月到9月,與知道創宇、360、阿里云、安恒信息、深信服等廠商,就本標準指標方法進行多次交流,并赴主要廠商進行調研,返回調研報告5份,并針對廠商反饋意見完善標準。
2016年10月,召開標準討論封閉會議,進一步對標準草案進行了修改。同月在信安標委標準會議周上會討論。
2016年11月到2017年3月,根據標準周答辯專家意見對標準草案進行多次研討,修改完善草案內容。
2017年3月16日,標準編制組向中央網信辦網絡安全協調局楊春艷副局長、各相關處室負責同志及業內專家進行了匯報,邀請了網站安全云防護平臺提供商、運營單位和用戶進行了討論。辦領導、專家、平臺提供商、運營單位和用戶表示,當前標準草案能夠符合當前網站安全云防護平臺技術發展和應用需求,能夠為下一步工作奠定基礎,同時提出了意見建議。標準編制組會根據各方意見,進一步完善標準草案內容。
2017年4月,在武漢會議周聽取專家意見,并與會后召開工作組會議根據專家意見進行討論。
2017年5月,召開兩輪專家會議。邀請大數據工作組專家、信安標委專家及網信辦領導就標準定位產品及服務問題開展深入討論,經編制組探討現將標準定位于平臺技術要求。
2017年6月,標準編制組召開三次集中會議,對標準草案進行完善,同時邀請專家對標準草案進行研討,經多次修改,擬于工作組會議推進為征求意見稿。
2017年6月28日,標準于北京召開的大數據組工作組會議上推進為征求意見稿。
四、標準的主要內容
網站安全云防護平臺由一組相互聯系、統一調度的安全防護節點組成,通過DNS解析、路由轉發、IP地址接入等方式引入網站流量, 集中快速地更新防護策略和規則,實現對網站惡意訪問流量的過濾和清洗及過濾敏感信息等其他防護功能,將安全訪問流量轉發到網站上,改善網站安全狀況。
本標準從網站安全云防護平臺的功能要求、安全要求兩個方面,規范了網站安全云防護平臺的技術要求。其中,平臺功能要求是對網站安全云防護平臺應具備的功能提出具體要求,包括網站安全防護、集中管控、彈性可擴展等;平臺安全要求是對為保障網站安全云防護平臺的安全提出的要求,包括基本安全要求、平臺資源監控及優化、安全事件響應等。
與其他國內標準的關聯性分析:
GB/T 31168-2014是面向云服務商,提出了以社會化方式提供云計算服務的服務商應滿足的信息安全基本要求。本標準重點在于如何采用云計算服務模式的云防護平臺來保障網站安全。平臺提供的非云計算服務,而是安全服務。且是從平臺技術要求的角度規范。在平臺自身需提供的基本安全要求是參考了該標準。
GB/T 31506-2015為政府網站系統自身的物理安全、邊界安全、服務器安全、管理終端安全等具體的安全實施指南,本標準在考慮最終實現目標方面參考了該標準,但重點在于對云防護平臺的要求,而非目標站點自身的安全技術要求(即本標準不包含網站體檢的內容)。
GB/T 32914-2016《信息安全技術 信息安全服務提供方管理要求》為信息安全服務提供方應具備的管理要求,網站安全云防護平臺提供服務時可參考該標準。
GB/T 32917-2016 Web應用防火墻主要是對Web應用的防護,網站具有Web應用的特點,本標準的部分功能會與其類似,但平臺架構和應用模式上有較大變化,且適用于大規模網站及不同防護形態、具備協同防御、集中管控、快速響應、功能自定義能力。
在研標準《政府門戶網站云計算服務安全指南》面向對象為政府用戶,應用場景為指導政府網站上云的一系列步驟及方式方法,本標準的面向對象是網站安全云防護平臺,是對平臺提出的應滿足的功能要求和安全要求。
五、產業化情況、推廣應用論證和預期達到的經濟效果
《網站安全云防護平臺技術要求》的標準草案,已經實現在各主要服務商進行了試點和論證,很好地幫助服務商提升安全防護服務能力和自身安全能力,促進了網站安全云防護平臺的安全健康發展。
六、采用國際標準和國外先進標準情況
編制組在標準編制過程中,專門分析了美國FedRAMP對云服務商的安全評估方法,參考我國已有相關信息安全標準,綜合考慮制定了本標準。
七、與相關法律法規及國家有關規定、國內相關標準的關系
本標準與現行法律、法規以及國家標準沒有沖突與矛盾的地方。
八、有關問題的說明
項目組在標準編制過程中,經歷了內部討論與論證、技術研討會等過程,項目組在工作過程中遵循GB/T1.1—2009編制原則,對國內外現狀做了大量調研,完成了標準草案的編寫工作。在整個過程中未遇到重大意見分歧,但對專家提出的意見和建議,我們做了應答和處理,更好地完善了我們的標準編制工作。
九、有關專利的說明
本標準不涉及專利。
標準編制組
2017年7月