《信息安全技術 政務網(wǎng)站系統(tǒng)安全指南-編制說明.》

一、工作簡況

1、任務來源

《WG5工作組第2次會議（2018）工作組會議紀要》指出，為有效應對政

府網(wǎng)站入云等新型運營模式，以及網(wǎng)站服務對象多元化、系統(tǒng)結構復雜化和數(shù)據(jù)

集中化等應用新形勢，切實保障政府網(wǎng)站系統(tǒng)安全運行，建議著力完善當前政府

網(wǎng)站類安全標準。

經(jīng)中國國家標準化管理委員會批準，全國信息安全標準化技術委員會

（SAC/TC260）主任辦公會討論通過，研究修訂GB/T31506-2015《政府門戶網(wǎng)

站安全技術指南》國家標準。根據(jù)《全國信息安全標準化技術委員會關于2019

年網(wǎng)絡安全標準項目立項的通知》（信安秘字[2019]050號），該項目由全國信

息安全標準化技術委員會提出，全國信息安全標準化技術委員會歸口，由北京信

息安全測評中心負責主辦。

2、起草單位

在接到標準的任務后，北京信息安全測評中心立即與相關機構、廠商進行溝

通，并得到了政府網(wǎng)站運營機構、高校、業(yè)內(nèi)知名廠商及測評機構的積極參與和

反饋。經(jīng)篩選，最后確定由中電數(shù)據(jù)服務有限公司、首都之窗運營管理中心、中

電長城網(wǎng)際系統(tǒng)應用有限公司、黑龍江省測評中心、北京市城鄉(xiāng)經(jīng)濟信息中心、

杭州安恒信息技術有限公司、北京天融信網(wǎng)絡安全技術有限公司、桂林電子科技

大學、北京神州綠盟信息安全科技股份有限公司、新華三技術有限公司、深圳開

源互聯(lián)網(wǎng)安全技術有限公司、武漢網(wǎng)安教育科技有限公司、國家應用軟件產(chǎn)品質(zhì)

量檢測檢驗中心、北京數(shù)字認證股份有限公司、湖北省標準化與質(zhì)量研究院、國

家工業(yè)信息安全發(fā)展研究中心、北京北信源軟件股份有限公司、江蘇省信息安全

測評中心、陜西省信息化工程研究院、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心、

江遠盛邦（北京）網(wǎng)絡安全科技有限公司、恒安嘉新（北京）科技股份公司、山

谷網(wǎng)安科技股份有限公司、北京知道創(chuàng)宇信息技術股份有限公司和陜西省網(wǎng)絡與

信息安全測評中心等單位共同參與編制。

3、主要工作過程

(一)標準制定的主要工作過程如下：

1）工作啟動

1

2018年10月，北京信息安全測評中心聯(lián)合政府網(wǎng)站運營單位、業(yè)內(nèi)知名安

全服務廠商、科研機構及測評機構等組建標準編制組，編制組成員具有豐富的標

準編制經(jīng)驗、政務領域網(wǎng)絡安全研究經(jīng)驗、信息系統(tǒng)安全控制研究等經(jīng)驗。

編制組內(nèi)部制定編制工作計劃，并明確了例會工作制，以便及時溝通交流工

作情況。

2）基礎調(diào)研

2018年11月-12月，編制組研究分析了我國政府網(wǎng)站方面的相關政策和標

準文件，包括《國務院辦公廳關于印發(fā)政府網(wǎng)站發(fā)展指引的通知》（國辦發(fā)〔2017〕

47號）《關于加強黨政機關網(wǎng)站安全管理的通知》（中網(wǎng)辦發(fā)〔2014〕1號）《國

務院辦公廳關于加強政府網(wǎng)站域名管理的通知》（國辦函〔2018〕55號）《政

府網(wǎng)站集約化試點工作方案》（國辦函〔2018〕71號）《深化“互聯(lián)網(wǎng)+政務服

務”推進政務服務“一網(wǎng)、一門、一次”改革實施方案》（國辦函〔2018〕45

號）以及《云計算服務安全評估辦法》《國家網(wǎng)絡安全事件應急預案》《信息安

全技術云計算服務安全指南》《信息安全技術云計算服務安全能力要求》《信

息安全技術個人信息安全規(guī)范》《信息安全技術網(wǎng)絡安全等級保護基本要求》

等。

在此基礎上，編制組分析了國內(nèi)外政府網(wǎng)站發(fā)展現(xiàn)狀、安全保護情況以及存

在的問題，提出了標準修訂思路，以及政府網(wǎng)站安全控制要求，形成標準修訂研

究報告（見附件1）。

3）初步明確修訂方向

2018年12月30日，在北京組織召開專家研討會，會上，專家基于前期研

究成果，提出修改意見，明確增加安全管理的內(nèi)容，且提出應結合政府網(wǎng)站逐步

向移動端擴展的應用趨勢，增加移動安全方面的適應性內(nèi)容。

會后編制組根據(jù)專家意見形成標準修訂框架。

4）確定標準適用范圍

2019年1-3月，編制組針對標準修訂框架，經(jīng)過多次內(nèi)部討論和研究后，

按照組內(nèi)分工，開展具體的編制工作，形成標準草案第1稿。

2019年4月10日，在北京組織召開專家意見會，會上，專家肯定了標準分

級、增加安全管理、移動安全等方面的內(nèi)容，并針對數(shù)據(jù)安全方面提出了修改意

2

見，建議突出個人信息保護等方面的內(nèi)容。會后編制組開會討論，根據(jù)專家意見

修改標準草案第1稿的內(nèi)容。

2019年4月，北京信息安全測評中心代表編制組，在寧波標準會議周上進

行了項目申報情況的匯報，并針對WG1組專家提出的標準適用范圍等問題進行了

書面說明（見附件2），明確了該標準服務對象為政府網(wǎng)站。標準最終順利通過

全國信息安全標準化技術委員會WG5組會議討論，獲得全國信息安全標準化技術

委員會立項。

2019年5-9月，標準編制組繼續(xù)研究討論，根據(jù)標準周上專家及參會企業(yè)

意見對標準草案進行進一步修訂，重新梳理了技術內(nèi)容和管理內(nèi)容的組織架構，

形成標準草案第2稿。

2019年10月11日，WG5工作組召開的《信息安全技術智能門鎖安全技術要

求和測試評價方法》等17項國家標準研討會上進行匯報，與會專家認為標準內(nèi)

容中“應”的表述過多，建議根據(jù)指南類標準的編寫要求進行調(diào)整。會后編制組

根據(jù)專家意見繼續(xù)修改標準草案第2稿的相關內(nèi)容

5）擴充編制組，調(diào)整標準結構

2019年10月，按照《全國信息安全標準化技術委員會標準參與單位管理辦

法（暫行）》要求，公開征集參編單位，擴充編制力量。

2019年10月17日，編制組在北京組織召開項目啟動會。會上，WG5工作組

領導、全國信安標委秘書處、業(yè)內(nèi)專家等提出按照《網(wǎng)絡安全等級保護基本要求》

等國家標準，梳理文本組織架構，落地和細化《網(wǎng)絡安全法》、等級保護相關國

家要求，突出政府網(wǎng)站的特點，落實主管部門的要求等。

會后，編制組根據(jù)WG5及專家意見，重新調(diào)整了標準內(nèi)容的組織結構，形成

標準草案第3稿。

6）標準申請更名

2019年10月27日，北京信息安全測評中心代表編制組，在重慶標準會議

周上就標準草案編制情況進行了匯報，提出將標準名稱擬變更為《信息安全技術

政府網(wǎng)站系統(tǒng)安全指南》。2019年12月17日，WG5工作組在北京召開了專家會，

與會專家和WG5工作組經(jīng)過討論后建議依據(jù)GB/T1.1的要求，充分考慮與《網(wǎng)

絡安全等級保護基本要求》等國家標準的對應關系等，明確本標準作為“指南”

3

類標準繼續(xù)修訂其內(nèi)容。

2019年12月，編制組根據(jù)專家意見，經(jīng)過多次討論，從“適應我國政府網(wǎng)

站發(fā)展應用的趨勢”、“落實我國政府網(wǎng)站政策要求，解決實際工作需求”、“符

合標準化工作規(guī)定，滿足國家相關法規(guī)要求”等方面，提出了將標準名稱變更為

《信息安全技術政府網(wǎng)站系統(tǒng)安全指南》的書面申請（見附件3）。

7）草案修改

根據(jù)2019年重慶會議周期間WG5工作組內(nèi)專家意見，編制組結合2019年

10月通過的《中華人民共和國密碼法》等國家法規(guī)要求，進一步完善標準內(nèi)容，

形成了標準草案第4稿。

2020年5月8日，WG5工作組召開了國家標準專家審查會，與會專家提出了

增加抗拒絕服務攻擊等方面的內(nèi)容。會后編制組根據(jù)專家意見及時補充修改了標

準草案中相關內(nèi)容。

2020年5月13日，按照WG5工作組統(tǒng)一安排，北京信息安全測評中心主持

召開了《政府網(wǎng)站系統(tǒng)安全指南》（修訂）線上研討會，討論時長約3個小時，

共有包括等艾特塞克、東軟、衛(wèi)士通、德勤、中國聯(lián)通、啟明星辰、中國藥學會、

北京市文旅局等27家單位的31位代表參會。會上從政府信息化部門人員短缺、

網(wǎng)站集約化改革安全需求不明確等工作中面臨的實際困難出發(fā)進行了充分的討

論，針對產(chǎn)品和服務采購優(yōu)先級、人員角色及權限的明確區(qū)分，國密算法的支持、

容器等新興云計算應用等內(nèi)容的修改，共形成17條修改意見，其中2條因涉及

具體產(chǎn)品和服務品牌采購所以未采納，3條需要進一步研究并繼續(xù)征求政府信息

化部門意見后再進行修改，12條采納并已根據(jù)意見修改了標準內(nèi)容。

2020年5月15日，北京信息安全測評中心代表編制組，在通過華為云會議

召開的標準會議周上就標準草案更名后的編制情況進行了匯報，標準順利通過

WG5組工作組全體會議的討論和審議，編制組根據(jù)會上意見進行修改完善，形成

了征求意見稿。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、編制目的

近年來，隨著“互聯(lián)網(wǎng)+”的迅速發(fā)展，人們的生活方式發(fā)生了巨大改變，

我國政府及時轉變傳統(tǒng)的政務服務觀念，大力推廣“互聯(lián)網(wǎng)+政務服務”模式，

4

政府網(wǎng)站建設立足以人為本，為民辦事，及時動態(tài)地向公眾展示政府信息，隨時

接受公眾的咨詢和監(jiān)督，同時加大對新型技術平臺的投入，依托政府資源優(yōu)勢，

實現(xiàn)了多渠道政務信息公開和辦公服務。根據(jù)《國務院辦公廳關于印發(fā)政府網(wǎng)站

發(fā)展指引的通知》（國辦發(fā)〔2017〕47號）精神，政府網(wǎng)站作為政府信息公開

的主渠道和“互聯(lián)網(wǎng)+政務”的重要實踐載體，其提供的政務服務模式主要有

兩種類型：一是依托省級政府門戶網(wǎng)站的在線辦事欄目向公眾提供各種行政事項

服務。二是構建政府政務服務網(wǎng)或“一站式”辦事大廳和省、市、縣（區(qū)）多級

聯(lián)動的公共服務網(wǎng)上平臺。

因此，為了適應我國政府“互聯(lián)網(wǎng)+政務服務”的變化趨勢，落實相關政府

網(wǎng)站政策要求，支撐主管部門安全檢查工作，解決政府信息化部門實際工作需求，

同時適應云計算、移動互聯(lián)、大數(shù)據(jù)等新技術、新應用在政府網(wǎng)站系統(tǒng)中的應用，

以及完善我國網(wǎng)絡安全標準體系中針對政府網(wǎng)站安全建設和管理的標準規(guī)范，修

訂后的GB/T31506標準名稱變更為《信息安全技術政府網(wǎng)站系統(tǒng)安全指南》。

標準給出了政府網(wǎng)站系統(tǒng)的基本結構，提出在“一個中心，三重防御”思想指導

下，對政府網(wǎng)站系統(tǒng)實施安全防護時可采取的安全技術措施和安全管理措施，標

準適用于指導政府部門開展網(wǎng)站系統(tǒng)安全防護工作，也可作為對政府網(wǎng)站系統(tǒng)實

施安全監(jiān)督管理和評估檢查的依據(jù)。

2、編制原則

本標準的修訂工作遵循以下原則：

以風險防控為核心：堅持維護政府網(wǎng)站安全為根本理念，提高云計算等新技

術下政務網(wǎng)站應用的風險防范能力，關注安全措施使用、運行維護、應急響應、

隱私防護等方面的安全保障。

以協(xié)調(diào)一致為基礎：以推進標準應用為前提，確保標準與現(xiàn)有政府網(wǎng)站服務

模式相協(xié)調(diào)，與現(xiàn)行政策標準相兼容，與政府監(jiān)管要求相一致。

以規(guī)范適應為目標：以促進政府信息化發(fā)展為宗旨，提煉共性、基礎性安全

要求，兼顧部委、地方等政務應用的不同需求，提升標準適用性。

3、編制依據(jù)

本標準修訂過程主要依據(jù)和參考文獻如下：

序號名稱類型

5

1GB/T8566-2007信息技術軟件生存周期過程標準

2GB/T22240-2008信息安全技術信息系統(tǒng)安全等級保護定級指南標準

3GB/T25069-2010信息安全技術術語標準

4GB/T31167-2014信息安全技術云計算服務安全指南標準

5GB/T31168-2014信息安全技術云計算服務安全能力要求標準

6GB/T32925-2016信息安全技術政府聯(lián)網(wǎng)計算機終端安全管理基本要求標準

7GB/T33562-2017信息安全技術安全域名系統(tǒng)實施指南標準

8GB/T35273-2020信息安全技術個人信息安全規(guī)范標準

9GB/T37002-2018信息安全技術電子郵件系統(tǒng)安全技術要求標準

10GB50174-2017數(shù)據(jù)中心設計規(guī)范標準

11NISTSP800-137InformationSecurityContinuousMonitoring(ISCM)標準

forFederalInformationSystemsandOrganizations，2011

12國務院辦公廳關于印發(fā)政府網(wǎng)站發(fā)展指引的通知國辦發(fā)〔2017〕47號政策

13國務院辦公廳關于加強政府網(wǎng)站域名管理的通知國辦函〔2018〕55號政策

14政府網(wǎng)站集約化試點工作方案國辦函〔2018〕71號政策

15中共中央辦公廳國務院辦公廳關于印發(fā)《金融和重要領域密碼應用與創(chuàng)新政策

發(fā)展工作規(guī)劃（2018-2022年）》的通知廳字[2018]36號

16國家密碼管理局關于組織開展金融和重要領域密碼應用專項檢查的通知政策

國密局字[2018]423號

17《關于做好密碼應用安全性評估試點期間安全保密工作的通知》國密局字政策

[2018]290號

5、確定主要內(nèi)容的論據(jù)及解決的主要問題

本標準在確定主要內(nèi)容時主要基于如下方面：

1）修訂思路

結合云計算、大數(shù)據(jù)應用發(fā)展下我國電子政務的職能轉變，分析政府網(wǎng)站面

臨的安全風險和安全管理中遇到的挑戰(zhàn)，研究政府網(wǎng)站的功能定位、體系架構，

重點從以下方面修訂標準的主要內(nèi)容：

a.政府網(wǎng)站的展現(xiàn)形式、職能定位、功能構成等，以及與之相適應的網(wǎng)站

6

技術體系架構組成等；

b.政府網(wǎng)站的服務模式，以及新應用新模式帶來的安全問題，包括移動應

用、主流互聯(lián)網(wǎng)應用中的傳輸協(xié)議，用戶行為監(jiān)控，數(shù)據(jù)保護和信息發(fā)

布的安全措施等。

c.依托云計算平臺部署和運行的政府網(wǎng)站,虛擬計算、虛擬網(wǎng)絡、虛擬存儲

技術的應用和帶來的資源隔離、邊界防護、數(shù)據(jù)訪問控制等安全問題；

d.網(wǎng)站應用系統(tǒng)部署和實施中使用到的新技術，如CDN、域名系統(tǒng)、開源

軟件帶來的代碼和使用安全等問題；

e.原標準文本中技術指標與當下技術應用趨勢、法規(guī)政策不適應的問題，

如網(wǎng)站訪問量、服務用戶數(shù)、網(wǎng)絡帶寬、日志保存時長等具體技術指標。

f.與國家政策、標準的一致性問題，如網(wǎng)絡安全法、個人信息保護要求、

網(wǎng)站標識管理、域名管理、國產(chǎn)化要求等。

g.政府網(wǎng)站安全管理體系建立，包括網(wǎng)站運營的職責劃分、人才隊伍建設、

外包服務管理、供應鏈管理、運維監(jiān)控、預警處置、合規(guī)檢查等方面的

內(nèi)容。

2）內(nèi)容變化

本標準與GB/T31506-2015的主要變化如下：

——將標準名稱變更為《信息安全技術政府網(wǎng)站系統(tǒng)安全指南》，適用于

政府門戶網(wǎng)站、政務服務網(wǎng)、“一站式”辦事大廳和公共服務網(wǎng)上平臺等信息系

統(tǒng)，同時增加了安全管理措施；

——以“一個中心，三重防御”思想指導，調(diào)整分類為物理安全、通信網(wǎng)絡、

區(qū)域邊界、計算環(huán)境、安全管理中心、管理制度、管理機構、人員和培訓、開發(fā)

與交付、運行維護、評估檢查、系統(tǒng)退出；

——調(diào)整各分類中具體安全防護措施內(nèi)容，以適應政府網(wǎng)站上云、移動應用

等新模式；

——刪除了2015版中的規(guī)范性附錄A,本文件中增加了附錄A提出政府網(wǎng)站

系統(tǒng)安全措施級別選擇方法，增加了附件B描述政府網(wǎng)站系統(tǒng)基本結構，增加了

附錄C以表格形式列舉了基本、增強級的差異。

2）標準的文本結構

7

本標準依據(jù)GB/T1.1-2020標準化工作導則第1部分：標準化文件的結構

和起草規(guī)則的要求進行編制。本標準主要結構和內(nèi)容如下：

1.目次

2.前言

3.引言

4.標準正文共17章：范圍、規(guī)范性引用文件、術語和定義、縮略語、概述、

物理安全、通信網(wǎng)絡、區(qū)域邊界、計算環(huán)境、安全管理中心、管理制度、

管理機構、人員和培訓、開發(fā)與交付、運行維護、評估檢查、系統(tǒng)退出。

5.附錄A政府網(wǎng)站系統(tǒng)基本結構、附錄B政府網(wǎng)站系統(tǒng)安全措施級別選擇

和附錄C安全措施分級表

6.參考文獻

三、主要驗證情況分析

1、政府網(wǎng)站系統(tǒng)的常見運行模式及安全責任劃分

本標準修訂后，適用于政府網(wǎng)站系統(tǒng)三種主要的運行模式，分別是：

a)自建自管模式：單位將網(wǎng)站服務器或虛擬服務器部署在自建的機房內(nèi)并

組織管理。單位對網(wǎng)站系統(tǒng)擁有資產(chǎn)管理權和安全管理責任。

b)主機托管模式：單位將網(wǎng)站服務器或虛擬服務器委托專業(yè)的運營機構或

互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）來管理。受托機構負責物理數(shù)據(jù)中心基礎設施的安全，

單位對網(wǎng)站系統(tǒng)各種硬件、軟件和網(wǎng)絡等資產(chǎn)擁有管理權和安全管理責任。

c)主機租用模式：單位未設立網(wǎng)站服務器，租用運營商的服務器或虛擬服

務器。服務商負責云平臺等基礎設施安全，包括物理機房、IT設備（如服務器、

網(wǎng)絡等），以及各種云產(chǎn)品（如云存儲、數(shù)據(jù)庫等）等。單位基于服務商提供的

服務構建網(wǎng)站應用系統(tǒng)，綜合運用服務商產(chǎn)品的安全功能、安全服務以及第三方

安全產(chǎn)品等保護網(wǎng)站系統(tǒng)。

2、政府網(wǎng)站系統(tǒng)安全保障目標

政府網(wǎng)站系統(tǒng)的安全防護工作應重點實現(xiàn)以下目標：

a)提升網(wǎng)頁防篡改及監(jiān)測、恢復能力，降低網(wǎng)頁被篡改的安全風險；

b)提高抵抗拒絕服務攻擊的能力及系統(tǒng)可用性，降低網(wǎng)絡服務中斷的風險

c)提高入侵防護能力，強化數(shù)據(jù)安全管控措施，降低網(wǎng)站敏感信息泄露的

8

安全風險；

d)構建縱深防御體系，降低網(wǎng)站被惡意控制的風險；

e)采取網(wǎng)站防假冒措施，降低網(wǎng)站被仿冒的安全風險。

3、政府網(wǎng)站系統(tǒng)基本機構

政府網(wǎng)站系統(tǒng)采用分層設計思想，從頂層訪問到底層環(huán)境將網(wǎng)站系統(tǒng)劃分四

個層次，分別是用戶訪問層、應用功能層、信息資源層和基礎設施層，其基本結

構如圖1所示。每一層的內(nèi)容如下：

圖1政府網(wǎng)站系統(tǒng)基本結構

a)用戶訪問層

用戶訪問層是政府網(wǎng)站系統(tǒng)最頂層的內(nèi)容，是對服務對象的歸納，再結合服

務對象的不同提供不同的門戶服務內(nèi)容和訪問方式；

服務對象分為公眾、企業(yè)、政府和服務商；訪問方式包括瀏覽器、移動終端、

微信公眾號、小程序等，通過提供多種服務接入方式，為用戶提供多渠道的服務

內(nèi)容。

9

b)應用功能層

應用功能層包括前臺應用功能和后臺支撐系統(tǒng)。前臺應用功能是基于網(wǎng)站開

發(fā)的應用功能，主要包括政務公開、在線辦事、交流互動、數(shù)據(jù)開放等；后臺支

撐系統(tǒng)是為網(wǎng)站應用系統(tǒng)提供產(chǎn)品支持和應用支撐，包括提供的內(nèi)容管理及發(fā)布

系統(tǒng)、運維監(jiān)測系統(tǒng)、數(shù)據(jù)交換系統(tǒng)等。

c)信息資源層

信息資源層主要是針對網(wǎng)站應用的需要，對底層的數(shù)據(jù)資源進行統(tǒng)一管理。

數(shù)據(jù)庫按照應用建設，主要包括政務公開庫、辦事服務庫、內(nèi)容發(fā)布庫和基礎庫

等。

d)基礎設施層

IT基礎設施主要包括物理機房、網(wǎng)絡系統(tǒng)、安全系統(tǒng)、服務器、存儲系統(tǒng)，

以及配套的操作系統(tǒng)、軟件、數(shù)據(jù)庫等。

4、政府網(wǎng)站系統(tǒng)安全措施級別選擇

編制組通過與中國日報網(wǎng)、首都之窗、西部網(wǎng)、千龍網(wǎng)、湖北省國稅網(wǎng)、黑

龍江省教育廳等網(wǎng)站運營部門的溝通，將本標準中的政府網(wǎng)站系統(tǒng)安全措施按其

保障強度劃分為基本級安全措施、增強級安全措施兩個等級。各單位可依據(jù)政府

網(wǎng)站系統(tǒng)的行政級別、訪問量、注冊用戶數(shù)、業(yè)務重要度和個人敏感信息選擇相

應強度級別的安全措施，見表1。

表1政府網(wǎng)站系統(tǒng)安全措施級別選擇方法

級別選擇因素級別選擇指標適用的安全措施級別

是增強級安全措施集

行政級別部委網(wǎng)站或省級網(wǎng)站

否基本級安全措施集

訪問量有效日均訪問次數(shù)≥150萬PV是增強級安全措施集

否基本級安全措施集

注冊用戶數(shù)累計注冊用戶總數(shù)≥25萬是增強級安全措施集

否基本級安全措施集

業(yè)務重要度在線辦事程度較高或按照GB/T22240-2008是增強級安全措施集

要求安全保護等級級別定為三級以上(含三

否基本級安全措施集

級)的網(wǎng)站。

個人敏感信息屬于GB/T35273-2020中定義的“個人敏是增強級安全措施集

10

感信息”。否基本級安全措施集

h.注：有效日均訪問次數(shù)應避免重復統(tǒng)計同一訪問源在短時間內(nèi)進行的多次訪問。

5、政府網(wǎng)站系統(tǒng)安全措施

根據(jù)政府網(wǎng)系統(tǒng)的結構組成（圖1），結合對政府網(wǎng)站系統(tǒng)的安全風險分析，

政府網(wǎng)站系統(tǒng)的安全防護措施應包括安全技術、安全管理和安全管理中心三個部

分。針對構成政府網(wǎng)站系統(tǒng)結構的基礎設施層、信息資源層和應用訪問層等層面

存在的脆弱性，分層提出相應的安全技術措施，其中應用訪問安全、信息資源安

全和基礎設施安全中的相關內(nèi)容共同構成網(wǎng)站系統(tǒng)中安全技術環(huán)境的保障措施。

結合政府網(wǎng)站系統(tǒng)的建設、運維、退出等生命周期主要環(huán)節(jié)的安全防護需求，提

出相應的安全管理措施。安全管理中心是通過技術措施配合管理手段共同建立主

動防御能力的安全措施部分，實現(xiàn)對惡意代碼、補丁升級、審計數(shù)據(jù)、策略管理、

設備運行狀況及安全事件等集中式的分析與管控，如圖2所示。

圖2政府網(wǎng)站系統(tǒng)安全措施

6、政府網(wǎng)站系統(tǒng)安全措施分級對照

政府網(wǎng)站系統(tǒng)可采取的安全措施分級對照情況如表2所示。

表2安全措施分級表

安全措施基本級增強級

物理安全6.16.1+

網(wǎng)站部署6.2.16.2.1+

安全技術

通信網(wǎng)絡通信安全6.2.26.2.2+

措施

性能保障6.2.36.2.3+

區(qū)域邊界6.36.3+

11

設備安全6.4.16.4.1+

操作系統(tǒng)安全6.4.2.16.4.2.1+

通用軟件數(shù)據(jù)庫安全6.4.2.26.4.2.2+

安全中間件安全6.4.2.36.4.2.3+

開源軟件組件安全6.4.2.46.4.2.4+

管理終端安全6.4.36.4.3+

虛擬化安全6.4.46.4.4+

密碼應用6.4.56.4.5+

標識安全6.4.6.16.4.6.1

發(fā)布安全6.4.6.2.16.4.6.2.1+

內(nèi)容發(fā)布

內(nèi)容發(fā)布網(wǎng)頁防篡6.4.6.2.26.4.6.2.2+

安全

及數(shù)據(jù)安改

全個人信息安全6.4.6.36.4.6.3

計算環(huán)境

傳輸和存儲6.4.6.46.4.6.4+

備份和容災6.4.6.56.4.6.5+

身份鑒別6.4.7.16.4.7.1+

權限管理6.4.7.26.4.7.2+

應用安全應用審計6.4.7.36.4.7.3

代碼安全6.4.7.46.4.7.4

業(yè)務交互6.4.7.56.4.7.5+

移動接入安全6.4.8.16.4.8.1+

移動安全移動應用安全6.4.8.26.4.8.2+

移動數(shù)據(jù)安全6.4.8.36.4.8.3+

郵件安全6.4.96.4.9

域名管理安全6.4.10.16.4.10.1

域名安全

域名系統(tǒng)安全6.4.10.26.4.10.2+

惡意代碼防范7.17.1+

補丁管理7.27.2

安全管理

安全審計7.37.3+

中心

安全監(jiān)測7.47.4+

策略控制7.57.5+

管理制度8.18.1

管理機構8.28.2+

人員和培訓8.38.3

規(guī)劃設計8.4.18.4.1+

開發(fā)與交

安全開發(fā)8.4.28.4.2+

付

安全管理試行交付8.4.38.4.3+

措施服務商選擇8.5.1.18.5.1.1

外包服務

服務提供管理8.5.1.28.5.1.2+

管理

服務監(jiān)督管理8.5.1.38.5.1.3+

運行維護

應急處置8.5.28.5.2+

資產(chǎn)管理8.5.38.5.3

信息審核8.5.48.5.4

12

密碼管理8.5.58.5.5+

變更管理8.5.68.5.6

評估檢查8.68.6+

系統(tǒng)退出8.78.7+

注：“+”表示采取了更高的安全防護措施

四、知識產(chǎn)權情況說明

本標準不涉及專利。

五、采用國際標準和國外先進標準情況

本標準在修訂過程中，充分研究了國外政府網(wǎng)站的建設和發(fā)展情況，在云計

算基礎設施安全要求方面，參考了CSA云安全聯(lián)盟的《云計算安全技術要求》、

FedRAMP和NISTSP800-137中相關內(nèi)容，在網(wǎng)絡安全管理措施方面，參考了ISO/IEC

27002:2013《信息安全管理實踐規(guī)范》等國外標準。

六、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調(diào)性

1)與相關法律法規(guī)及國家有關規(guī)定的關系

2014年中央網(wǎng)信辦印發(fā)《關于加強黨政機關網(wǎng)站安全管理的通知》中提出，

“充分認識加強黨政機關網(wǎng)站安全管理的重要性和緊迫性”，“加強黨政機關網(wǎng)站

技術防護體系建設”和“加強對黨政機關網(wǎng)站安全管理工作的組織領導”等相關

要求；2017年國務院辦公廳印發(fā)《政府網(wǎng)站發(fā)展指引的通知》，提出強化安全保

障，明確了安全管理要求，例如“明確政府網(wǎng)站安全責任人，落實安全保護責任”

“制定完善安全管理制度和操作規(guī)程”“建立政府網(wǎng)站信息數(shù)據(jù)安全保護制度”

等。為落實我國政府網(wǎng)站政策中關于加強安全管理保障的相關要求，本標準修訂

中增加了安全管理方面的相關要求，完善了數(shù)據(jù)保護、個人信息保護等相關內(nèi)容。

同時，根據(jù)文件要求，標準中也提出了加強網(wǎng)站標識管理、電子郵件管理等方面

的安全要求?！秶鴦赵恨k公廳關于加強政府網(wǎng)站域名管理的通知》中提出了加強

域名安全防護等相關要求，標準中從域名管理、域名系統(tǒng)等方面分別提出相應的

安全防護要求等。具體內(nèi)容詳見附件4。

2)與國家標準的關系

a.與等級保護相關標準的對應關系

本標準修訂后，將結合《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T

13

22239-2019）等國家標準，立足電子政務領域，針對政府網(wǎng)站信息系統(tǒng)提出更加

明確，更有針對性的安全防護措施，同時也將結合政府網(wǎng)站特點，補充其特有的

安全要求，并進一步落實監(jiān)管部門的要求等。

本標準提出的安全措施集分為基本級和增強級，以滿足為達到等級保護二級

和三級基本要求提供參考。

b.與其他國家標準的一致性

在云計算基礎設施安全要求方面，與國家標準GB/T31167《云計算服務安全

指南》、GB/T31168《云計算服務安全能力要求》等要求一致。同時，本標準在

修訂中，增加了政府網(wǎng)站安全管理、域名管理、郵件管理等相關內(nèi)容，將與GB/T

36619《政務和公益機構域名命名規(guī)范》、GB/T33562《安全域名系統(tǒng)實施指南》

和GB/T33134《公共域名服務系統(tǒng)安全要求》等，GB/T22080《信息安全管理體

系要求》、GB/T22081《信息安全控制實踐指南》、GB/T32926《政府部門信息技

術服務外包信息安全管理規(guī)范》、GB/T37002《電子郵件系統(tǒng)安全技術要求》等

國家標準要求一致。

同時標準修訂過程中，也參考了GB/T37956-2019《信息安全技術網(wǎng)站安

全云防護平臺技術要求》、GB/T38249-2019《信息安全技術政府網(wǎng)站云計算服

務安全指南》、GB/T29766-2013《信息安全技術網(wǎng)站數(shù)據(jù)恢復產(chǎn)品技術要求與

測試評價方法》、GB/T35284-2017《信息安全技術網(wǎng)站身份和系統(tǒng)安全要求與

評估方法》等網(wǎng)站類安全標準的內(nèi)容。

c.與密碼類相關標準的一致性

2019年10月《中華人民共和國密碼法》正式發(fā)布，本標準在修訂過程中，

增加了密鑰管理、密碼保護等方面的內(nèi)容，并參考了GM/T0054《信息系統(tǒng)密碼

應用基本要求》等相關標準的內(nèi)容，結合政府網(wǎng)站的特點，補充完善了相關要求。

d.與個人信息相關標準的一致性

本標準中數(shù)據(jù)安全、個人信息保護方面的內(nèi)容，與《數(shù)據(jù)安全管理辦法》