压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

各相關(guān)單位和專家：

經(jīng)標準編制單位的辛勤努力，現(xiàn)已形成國家標準《信息安全技術(shù) 網(wǎng)站安全云防護平臺技術(shù)要求》征求意見稿。為確保標準質(zhì)量，信安標委秘書處面向社會廣泛征求意見。

懇切希望您對該標準提出寶貴意見。并將意見于2017年10月9日前反饋給信安標委秘書處。

聯(lián)系人：許玉娜???xuyuna@cesi.cn?? 010-64102731

全國信息安全標準化技術(shù)委員會秘書處

2017年8月25日

標準文本：信息安全技術(shù)網(wǎng)站安全云防護平臺技術(shù)要求

編制說明：

《信息安全技術(shù) 網(wǎng)站安全云防護平臺技術(shù)要求》編制說明

一、任務(wù)來源

為規(guī)范促進我國網(wǎng)站安全云防護平臺應用和推廣，提升我國網(wǎng)站安全防護水平，全國信息安全標準化技術(shù)委員會于2016年立項《信息安全技術(shù) 網(wǎng)站安全云防護平臺技術(shù)要求》國家標準，2016年7月，中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局下達《<信息安全技術(shù) 網(wǎng)站安全云防護平臺技術(shù)要求>國家標準制定》委托任務(wù)書，委托工業(yè)和信息化部電子科學技術(shù)情報研究所開展該標準的研制工作，并將本項目標識為重點標準。

《信息安全技術(shù) 網(wǎng)站安全云防護平臺技術(shù)要求》由工業(yè)和信息化部電子科學技術(shù)情報研究所（更名為國家工業(yè)信息安全發(fā)展研究中心）牽頭，公安部第三研究所、中國信息安全研究院有限公司、北京知道創(chuàng)宇信息技術(shù)有限公司、北京奇安信科技有限公司、阿里云計算有限公司、杭州安恒信息技術(shù)有限公司、深圳市深信服電子科技有限公司等單位共同參與起草。

二、項目的目的與意義

網(wǎng)站安全云防護平臺技術(shù)要求是針對提供網(wǎng)站安全云防護平臺提出了平臺功能和平臺安全要求。標準從網(wǎng)站安全防護、平臺集中管控、平臺彈性可擴展能力、網(wǎng)站合法性驗證等方面提出了網(wǎng)站安全防護云平臺要求，并從平臺運行、優(yōu)化、安全事件響應等多個方面規(guī)定了安全要求，從服務(wù)能力和能力維持方面提出了要求。對平臺服務(wù)商加強自身安全服務(wù)能力，網(wǎng)站方選擇合規(guī)性服務(wù)平臺提供標準參考，有助于促進網(wǎng)站安全云防護平臺產(chǎn)品的健康發(fā)展和公平競爭。

三、主要工作過程

2016年1月至3月，《信息安全技術(shù) 網(wǎng)站安全云防護平臺技術(shù)要求》由工業(yè)和信息化部電子科學技術(shù)情報研究所牽頭，公安部第三研究所、北京知道創(chuàng)宇信息技術(shù)有限公司、北京奇安信科技有限公司等單位共同參與，研究網(wǎng)站安全云防護平臺技術(shù)能力要求，并形成標準討論稿，向中央網(wǎng)信辦領(lǐng)導匯報標準編制進展，并向全國信息安全標準化技術(shù)委員會提交項目申請。

2016年6月，標準通過全國信息安全標準化技術(shù)委員會大數(shù)據(jù)組會議討論。

2016年7月，本標準獲得由全國信息安全標準化技術(shù)委員會立項。

2016年7月，向中央網(wǎng)信辦領(lǐng)導匯報標準進展工作，擬作為中央網(wǎng)信辦的相關(guān)工作參考標準。

2016年7月，正式成立編制組。標準編制組召開工作會議，處理編制組對草案的反饋意見，根據(jù)第一次標準周會議上專家的意見，修改了標準草案，制定了標準框架。

2016年8月到9月，與知道創(chuàng)宇、360、阿里云、安恒信息、深信服等廠商，就本標準指標方法進行多次交流，并赴主要廠商進行調(diào)研，返回調(diào)研報告5份，并針對廠商反饋意見完善標準。

2016年10月，召開標準討論封閉會議，進一步對標準草案進行了修改。同月在信安標委標準會議周上會討論。

2016年11月到2017年3月，根據(jù)標準周答辯專家意見對標準草案進行多次研討，修改完善草案內(nèi)容。

2017年3月16日，標準編制組向中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局楊春艷副局長、各相關(guān)處室負責同志及業(yè)內(nèi)專家進行了匯報，邀請了網(wǎng)站安全云防護平臺提供商、運營單位和用戶進行了討論。辦領(lǐng)導、專家、平臺提供商、運營單位和用戶表示，當前標準草案能夠符合當前網(wǎng)站安全云防護平臺技術(shù)發(fā)展和應用需求，能夠為下一步工作奠定基礎(chǔ)，同時提出了意見建議。標準編制組會根據(jù)各方意見，進一步完善標準草案內(nèi)容。

2017年4月，在武漢會議周聽取專家意見，并與會后召開工作組會議根據(jù)專家意見進行討論。

2017年5月，召開兩輪專家會議。邀請大數(shù)據(jù)工作組專家、信安標委專家及網(wǎng)信辦領(lǐng)導就標準定位產(chǎn)品及服務(wù)問題開展深入討論，經(jīng)編制組探討現(xiàn)將標準定位于平臺技術(shù)要求。

2017年6月，標準編制組召開三次集中會議，對標準草案進行完善，同時邀請專家對標準草案進行研討，經(jīng)多次修改，擬于工作組會議推進為征求意見稿。

2017年6月28日，標準于北京召開的大數(shù)據(jù)組工作組會議上推進為征求意見稿。

四、標準的主要內(nèi)容

網(wǎng)站安全云防護平臺由一組相互聯(lián)系、統(tǒng)一調(diào)度的安全防護節(jié)點組成，通過DNS解析、路由轉(zhuǎn)發(fā)、IP地址接入等方式引入網(wǎng)站流量， 集中快速地更新防護策略和規(guī)則，實現(xiàn)對網(wǎng)站惡意訪問流量的過濾和清洗及過濾敏感信息等其他防護功能，將安全訪問流量轉(zhuǎn)發(fā)到網(wǎng)站上，改善網(wǎng)站安全狀況。

本標準從網(wǎng)站安全云防護平臺的功能要求、安全要求兩個方面，規(guī)范了網(wǎng)站安全云防護平臺的技術(shù)要求。其中，平臺功能要求是對網(wǎng)站安全云防護平臺應具備的功能提出具體要求，包括網(wǎng)站安全防護、集中管控、彈性可擴展等；平臺安全要求是對為保障網(wǎng)站安全云防護平臺的安全提出的要求，包括基本安全要求、平臺資源監(jiān)控及優(yōu)化、安全事件響應等。

與其他國內(nèi)標準的關(guān)聯(lián)性分析：

GB/T 31168-2014是面向云服務(wù)商，提出了以社會化方式提供云計算服務(wù)的服務(wù)商應滿足的信息安全基本要求。本標準重點在于如何采用云計算服務(wù)模式的云防護平臺來保障網(wǎng)站安全。平臺提供的非云計算服務(wù)，而是安全服務(wù)。且是從平臺技術(shù)要求的角度規(guī)范。在平臺自身需提供的基本安全要求是參考了該標準。

GB/T 31506-2015為政府網(wǎng)站系統(tǒng)自身的物理安全、邊界安全、服務(wù)器安全、管理終端安全等具體的安全實施指南，本標準在考慮最終實現(xiàn)目標方面參考了該標準，但重點在于對云防護平臺的要求，而非目標站點自身的安全技術(shù)要求（即本標準不包含網(wǎng)站體檢的內(nèi)容）。

GB/T 32914-2016《信息安全技術(shù) 信息安全服務(wù)提供方管理要求》為信息安全服務(wù)提供方應具備的管理要求，網(wǎng)站安全云防護平臺提供服務(wù)時可參考該標準。

GB/T 32917-2016 Web應用防火墻主要是對Web應用的防護，網(wǎng)站具有Web應用的特點，本標準的部分功能會與其類似，但平臺架構(gòu)和應用模式上有較大變化，且適用于大規(guī)模網(wǎng)站及不同防護形態(tài)、具備協(xié)同防御、集中管控、快速響應、功能自定義能力。

在研標準《政府門戶網(wǎng)站云計算服務(wù)安全指南》面向?qū)ο鬄檎脩簦瑧脠鼍盀橹笇дW(wǎng)站上云的一系列步驟及方式方法，本標準的面向?qū)ο笫蔷W(wǎng)站安全云防護平臺，是對平臺提出的應滿足的功能要求和安全要求。

五、產(chǎn)業(yè)化情況、推廣應用論證和預期達到的經(jīng)濟效果

《網(wǎng)站安全云防護平臺技術(shù)要求》的標準草案，已經(jīng)實現(xiàn)在各主要服務(wù)商進行了試點和論證，很好地幫助服務(wù)商提升安全防護服務(wù)能力和自身安全能力，促進了網(wǎng)站安全云防護平臺的安全健康發(fā)展。

六、采用國際標準和國外先進標準情況

編制組在標準編制過程中，專門分析了美國FedRAMP對云服務(wù)商的安全評估方法，參考我國已有相關(guān)信息安全標準，綜合考慮制定了本標準。

七、與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標準的關(guān)系

本標準與現(xiàn)行法律、法規(guī)以及國家標準沒有沖突與矛盾的地方。

八、有關(guān)問題的說明

項目組在標準編制過程中，經(jīng)歷了內(nèi)部討論與論證、技術(shù)研討會等過程，項目組在工作過程中遵循GB/T1.1—2009編制原則，對國內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標準草案的編寫工作。在整個過程中未遇到重大意見分歧，但對專家提出的意見和建議，我們做了應答和處理，更好地完善了我們的標準編制工作。

九、有關(guān)專利的說明

本標準不涉及專利。

標準編制組

2017年7月