《信息安全技術 網站安全云防護平臺技術要求-編制說明》

一、任務來源

為規(guī)范促進我國網站安全云防護平臺應用和推廣，提升我國網站安全防護

水平，全國信息安全標準化技術委員會于2016年立項《信息安全技術網站安全

云防護平臺技術要求》國家標準，2016年7月，中央網信辦網絡安全協(xié)調局下

達《<信息安全技術網站安全云防護平臺技術要求>國家標準制定》委托任務書，

委托工業(yè)和信息化部電子科學技術情報研究所開展該標準的研制工作，并將本項

目標識為重點標準。

《信息安全技術網站安全云防護平臺技術要求》由工業(yè)和信息化部電子科

學技術情報研究所（更名為國家工業(yè)信息安全發(fā)展研究中心）牽頭，公安部第三

研究所、中國信息安全研究院有限公司、北京知道創(chuàng)宇信息技術有限公司、北京

奇安信科技有限公司、阿里云計算有限公司、杭州安恒信息技術有限公司、深圳

市深信服電子科技有限公司等單位共同參與起草。

二、項目的目的與意義

網站安全云防護平臺技術要求是針對提供網站安全云防護平臺提出了平臺

功能和平臺安全要求。標準從網站安全防護、平臺集中管控、平臺彈性可擴展能

力、網站合法性驗證等方面提出了網站安全防護云平臺要求，并從平臺運行、優(yōu)

化、安全事件響應等多個方面規(guī)定了安全要求，從服務能力和能力維持方面提出

了要求。對平臺服務商加強自身安全服務能力，網站方選擇合規(guī)性服務平臺提供

標準參考，有助于促進網站安全云防護平臺產品的健康發(fā)展和公平競爭。

三、主要工作過程

2016年1月至3月，《信息安全技術網站安全云防護平臺技術要求》由工

業(yè)和信息化部電子科學技術情報研究所牽頭，公安部第三研究所、北京知道創(chuàng)宇

信息技術有限公司、北京奇安信科技有限公司等單位共同參與，研究網站安全云

防護平臺技術能力要求，并形成標準討論稿，向中央網信辦領導匯報標準編制進

展，并向全國信息安全標準化技術委員會提交項目申請。

2016年6月，標準通過全國信息安全標準化技術委員會大數(shù)據(jù)組會議討論。

2016年7月，本標準獲得由全國信息安全標準化技術委員會立項。

2016年7月，向中央網信辦領導匯報標準進展工作，擬作為中央網信辦的

1

相關工作參考標準。

2016年7月，正式成立編制組。標準編制組召開工作會議，處理編制組對

草案的反饋意見，根據(jù)第一次標準周會議上專家的意見，修改了標準草案，制定

了標準框架。

2016年8月到9月，與知道創(chuàng)宇、360、阿里云、安恒信息、深信服等廠商，

就本標準指標方法進行多次交流，并赴主要廠商進行調研，返回調研報告5份，

并針對廠商反饋意見完善標準。

2016年10月，召開標準討論封閉會議，進一步對標準草案進行了修改。同

月在信安標委標準會議周上會討論。

2016年11月到2017年3月，根據(jù)標準周答辯專家意見對標準草案進行多

次研討，修改完善草案內容。

2017年3月16日，標準編制組向中央網信辦網絡安全協(xié)調局楊春艷副局長、

各相關處室負責同志及業(yè)內專家進行了匯報，邀請了網站安全云防護平臺提供

商、運營單位和用戶進行了討論。辦領導、專家、平臺提供商、運營單位和用戶

表示，當前標準草案能夠符合當前網站安全云防護平臺技術發(fā)展和應用需求，能

夠為下一步工作奠定基礎，同時提出了意見建議。標準編制組會根據(jù)各方意見，

進一步完善標準草案內容。

2017年4月，在武漢會議周聽取專家意見，并與會后召開工作組會議根據(jù)

專家意見進行討論。

2017年5月，召開兩輪專家會議。邀請大數(shù)據(jù)工作組專家、信安標委專家

及網信辦領導就標準定位產品及服務問題開展深入討論，經編制組探討現(xiàn)將標準

定位于平臺技術要求。

2017年6月，標準編制組召開三次集中會議，對標準草案進行完善，同時

邀請專家對標準草案進行研討，經多次修改，擬于工作組會議推進為征求意見稿。

2017年6月28日，標準于北京召開的大數(shù)據(jù)組工作組會議上推進為征求意

見稿。

四、標準的主要內容

網站安全云防護平臺由一組相互聯(lián)系、統(tǒng)一調度的安全防護節(jié)點組成，通

過DNS解析、路由轉發(fā)、IP地址接入等方式引入網站流量，集中快速地更新

2

防護策略和規(guī)則，實現(xiàn)對網站惡意訪問流量的過濾和清洗及過濾敏感信息等其他

防護功能，將安全訪問流量轉發(fā)到網站上，改善網站安全狀況。

本標準從網站安全云防護平臺的功能要求、安全要求兩個方面，規(guī)范了網

站安全云防護平臺的技術要求。其中，平臺功能要求是對網站安全云防護平臺應

具備的功能提出具體要求，包括網站安全防護、集中管控、彈性可擴展等；平臺

安全要求是對為保障網站安全云防護平臺的安全提出的要求，包括基本安全要

求、平臺資源監(jiān)控及優(yōu)化、安全事件響應等。

與其他國內標準的關聯(lián)性分析：

GB/T31168-2014是面向云服務商，提出了以社會化方式提供云計算服務的

服務商應滿足的信息安全基本要求。本標準重點在于如何采用云計算服務模式的

云防護平臺來保障網站安全。平臺提供的非云計算服務，而是安全服務。且是從

平臺技術要求的角度規(guī)范。在平臺自身需提供的基本安全要求是參考了該標準。

GB/T31506-2015為政府網站系統(tǒng)自身的物理安全、邊界安全、服務器安全、

管理終端安全等具體的安全實施指南，本標準在考慮最終實現(xiàn)目標方面參考了該

標準，但重點在于對云防護平臺的要求，而非目標站點自身的安全技術要求（即

本標準不包含網站體檢的內容）。

GB/T32914-2016《信息安全技術信息安全服務提供方管理要求》為信息安

全服務提供方應具備的管理要求，網站安全云防護平臺提供服務時可參考該標

準。

GB/T32917-2016Web應用防火墻主要是對Web應用的防護，網站具有Web

應用的特點，本標準的部分功能會與其類似，但平臺架構和應用模式上有較大變

化，且適用于大規(guī)模網站及不同防護形態(tài)、具備協(xié)同防御、集中管控、快速響應、

功能自定義能力。

在研標準《政府門戶網站云計算服務安全指南》面向對象為政府用戶，應

用場景為指導政府網站上云的一系列步驟及方式方法，本標準的面向對象是網站

安全云防護平臺，是對平臺提出的應滿足的功能要求和安全要求。

五、產業(yè)化情況、推廣應用論證和預期達到的經濟效果

《網站安全云防護平臺技術要求》的標準草案，已經實現(xiàn)在各主要服務商

3

進行了試點和論證，很好地幫助服務商提升安全防護服務能力和自身安全能力，

促進了網站安全云防護平臺的安全健康發(fā)展。

六、采用國際標準和國外先進標準情況

編制組在標準編制過程中，專門分析了美國FedRAMP對云服務商的安全評

估方法，參考我國已有相關信息安全標準，綜合考慮制定了本標準。

七、與相關法律法規(guī)及國家有關規(guī)定、國內相關標準的關系

本標準與現(xiàn)行法律、法規(guī)以及國家標準沒有沖突與矛盾的地方。

八、有關問題的說明

項目組在標準編制過程中，經歷了內部討論與論證、技術研討會等過程，項

目組在工作過程中遵循GB/T1.1—2009編制原則，對國內外現(xiàn)狀做了大量調研，

完成了標準草案的編寫工作。在整個過程中未遇到重大意見分歧，但對專家提出

的意見和建議，我們做了應答和處理，更好地完善了我們的標準編制工作。

九、有關專利的說明

本標