PAGE任務(wù)來源為規(guī)范促進(jìn)我國(guó)網(wǎng)站安全云防護(hù)平臺(tái)應(yīng)用和推廣，提升我國(guó)網(wǎng)站安全防護(hù)水平，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2016年立項(xiàng)《信息安全技術(shù)網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)要求》國(guó)家標(biāo)準(zhǔn)，2016年7月，中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局下達(dá)《<信息安全技術(shù)網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)要求>國(guó)家標(biāo)準(zhǔn)制定》委托任務(wù)書，委托工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所開展該標(biāo)準(zhǔn)的研制工作，并將本項(xiàng)目標(biāo)識(shí)為重點(diǎn)標(biāo)準(zhǔn)?！缎畔踩夹g(shù)網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)要求》由工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所（更名為國(guó)家工業(yè)信息安全發(fā)展研究中心）牽頭，公安部第三研究所、中國(guó)信息安全研究院有限公司、北京知道創(chuàng)宇信息技術(shù)有限公司、北京奇安信科技有限公司、阿里云計(jì)算有限公司、杭州安恒信息技術(shù)有限公司、深圳市深信服電子科技有限公司等單位共同參與起草。項(xiàng)目的目的與意義網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)要求是針對(duì)提供網(wǎng)站安全云防護(hù)平臺(tái)提出了平臺(tái)功能和平臺(tái)安全要求。標(biāo)準(zhǔn)從網(wǎng)站安全防護(hù)、平臺(tái)集中管控、平臺(tái)彈性可擴(kuò)展能力、網(wǎng)站合法性驗(yàn)證等方面提出了網(wǎng)站安全防護(hù)云平臺(tái)要求，并從平臺(tái)運(yùn)行、優(yōu)化、安全事件響應(yīng)等多個(gè)方面規(guī)定了安全要求，從服務(wù)能力和能力維持方面提出了要求。對(duì)平臺(tái)服務(wù)商加強(qiáng)自身安全服務(wù)能力，網(wǎng)站方選擇合規(guī)性服務(wù)平臺(tái)提供標(biāo)準(zhǔn)參考，有助于促進(jìn)網(wǎng)站安全云防護(hù)平臺(tái)產(chǎn)品的健康發(fā)展和公平競(jìng)爭(zhēng)。主要工作過程2016年1月至3月，《信息安全技術(shù)網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)要求》由工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所牽頭，公安部第三研究所、北京知道創(chuàng)宇信息技術(shù)有限公司、北京奇安信科技有限公司等單位共同參與，研究網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)能力要求，并形成標(biāo)準(zhǔn)討論稿，向中央網(wǎng)信辦領(lǐng)導(dǎo)匯報(bào)標(biāo)準(zhǔn)編制進(jìn)展，并向全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提交項(xiàng)目申請(qǐng)。2016年6月，標(biāo)準(zhǔn)通過全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)大數(shù)據(jù)組會(huì)議討論。2016年7月，本標(biāo)準(zhǔn)獲得由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)立項(xiàng)。2016年7月，向中央網(wǎng)信辦領(lǐng)導(dǎo)匯報(bào)標(biāo)準(zhǔn)進(jìn)展工作，擬作為中央網(wǎng)信辦的相關(guān)工作參考標(biāo)準(zhǔn)。2016年7月，正式成立編制組。標(biāo)準(zhǔn)編制組召開工作會(huì)議，處理編制組對(duì)草案的反饋意見，根據(jù)第一次標(biāo)準(zhǔn)周會(huì)議上專家的意見，修改了標(biāo)準(zhǔn)草案，制定了標(biāo)準(zhǔn)框架。2016年8月到9月，與知道創(chuàng)宇、360、阿里云、安恒信息、深信服等廠商，就本標(biāo)準(zhǔn)指標(biāo)方法進(jìn)行多次交流，并赴主要廠商進(jìn)行調(diào)研，返回調(diào)研報(bào)告5份，并針對(duì)廠商反饋意見完善標(biāo)準(zhǔn)。2016年10月，召開標(biāo)準(zhǔn)討論封閉會(huì)議，進(jìn)一步對(duì)標(biāo)準(zhǔn)草案進(jìn)行了修改。同月在信安標(biāo)委標(biāo)準(zhǔn)會(huì)議周上會(huì)討論。2016年11月到2017年3月，根據(jù)標(biāo)準(zhǔn)周答辯專家意見對(duì)標(biāo)準(zhǔn)草案進(jìn)行多次研討，修改完善草案內(nèi)容。2017年3月16日，標(biāo)準(zhǔn)編制組向中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局楊春艷副局長(zhǎng)、各相關(guān)處室負(fù)責(zé)同志及業(yè)內(nèi)專家進(jìn)行了匯報(bào)，邀請(qǐng)了網(wǎng)站安全云防護(hù)平臺(tái)提供商、運(yùn)營(yíng)單位和用戶進(jìn)行了討論。辦領(lǐng)導(dǎo)、專家、平臺(tái)提供商、運(yùn)營(yíng)單位和用戶表示，當(dāng)前標(biāo)準(zhǔn)草案能夠符合當(dāng)前網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)發(fā)展和應(yīng)用需求，能夠?yàn)橄乱徊焦ぷ鞯於ɑA(chǔ)，同時(shí)提出了意見建議。標(biāo)準(zhǔn)編制組會(huì)根據(jù)各方意見，進(jìn)一步完善標(biāo)準(zhǔn)草案內(nèi)容。2017年4月，在武漢會(huì)議周聽取專家意見，并與會(huì)后召開工作組會(huì)議根據(jù)專家意見進(jìn)行討論。2017年5月，召開兩輪專家會(huì)議。邀請(qǐng)大數(shù)據(jù)工作組專家、信安標(biāo)委專家及網(wǎng)信辦領(lǐng)導(dǎo)就標(biāo)準(zhǔn)定位產(chǎn)品及服務(wù)問題開展深入討論，經(jīng)編制組探討現(xiàn)將標(biāo)準(zhǔn)定位于平臺(tái)技術(shù)要求。2017年6月，標(biāo)準(zhǔn)編制組召開三次集中會(huì)議，對(duì)標(biāo)準(zhǔn)草案進(jìn)行完善，同時(shí)邀請(qǐng)專家對(duì)標(biāo)準(zhǔn)草案進(jìn)行研討，經(jīng)多次修改，擬于工作組會(huì)議推進(jìn)為征求意見稿。2017年6月28日，標(biāo)準(zhǔn)于北京召開的大數(shù)據(jù)組工作組會(huì)議上推進(jìn)為征求意見稿。標(biāo)準(zhǔn)的主要內(nèi)容網(wǎng)站安全云防護(hù)平臺(tái)由一組相互聯(lián)系、統(tǒng)一調(diào)度的安全防護(hù)節(jié)點(diǎn)組成，通過DNS解析、路由轉(zhuǎn)發(fā)、IP地址接入等方式引入網(wǎng)站流量，集中快速地更新防護(hù)策略和規(guī)則，實(shí)現(xiàn)對(duì)網(wǎng)站惡意訪問流量的過濾和清洗及過濾敏感信息等其他防護(hù)功能，將安全訪問流量轉(zhuǎn)發(fā)到網(wǎng)站上，改善網(wǎng)站安全狀況。本標(biāo)準(zhǔn)從網(wǎng)站安全云防護(hù)平臺(tái)的功能要求、安全要求兩個(gè)方面，規(guī)范了網(wǎng)站安全云防護(hù)平臺(tái)的技術(shù)要求。其中，平臺(tái)功能要求是對(duì)網(wǎng)站安全云防護(hù)平臺(tái)應(yīng)具備的功能提出具體要求，包括網(wǎng)站安全防護(hù)、集中管控、彈性可擴(kuò)展等；平臺(tái)安全要求是對(duì)為保障網(wǎng)站安全云防護(hù)平臺(tái)的安全提出的要求，包括基本安全要求、平臺(tái)資源監(jiān)控及優(yōu)化、安全事件響應(yīng)等。與其他國(guó)內(nèi)標(biāo)準(zhǔn)的關(guān)聯(lián)性分析：GB/T31168-2014是面向云服務(wù)商，提出了以社會(huì)化方式提供云計(jì)算服務(wù)的服務(wù)商應(yīng)滿足的信息安全基本要求。本標(biāo)準(zhǔn)重點(diǎn)在于如何采用云計(jì)算服務(wù)模式的云防護(hù)平臺(tái)來保障網(wǎng)站安全。平臺(tái)提供的非云計(jì)算服務(wù)，而是安全服務(wù)。且是從平臺(tái)技術(shù)要求的角度規(guī)范。在平臺(tái)自身需提供的基本安全要求是參考了該標(biāo)準(zhǔn)。GB/T31506-2015為政府網(wǎng)站系統(tǒng)自身的物理安全、邊界安全、服務(wù)器安全、管理終端安全等具體的安全實(shí)施指南，本標(biāo)準(zhǔn)在考慮最終實(shí)現(xiàn)目標(biāo)方面參考了該標(biāo)準(zhǔn)，但重點(diǎn)在于對(duì)云防護(hù)平臺(tái)的要求，而非目標(biāo)站點(diǎn)自身的安全技術(shù)要求（即本標(biāo)準(zhǔn)不包含網(wǎng)站體檢的內(nèi)容）。GB/T32914-2016《信息安全技術(shù)信息安全服務(wù)提供方管理要求》為信息安全服務(wù)提供方應(yīng)具備的管理要求，網(wǎng)站安全云防護(hù)平臺(tái)提供服務(wù)時(shí)可參考該標(biāo)準(zhǔn)。GB/T32917-2016Web應(yīng)用防火墻主要是對(duì)Web應(yīng)用的防護(hù)，網(wǎng)站具有Web應(yīng)用的特點(diǎn)，本標(biāo)準(zhǔn)的部分功能會(huì)與其類似，但平臺(tái)架構(gòu)和應(yīng)用模式上有較大變化，且適用于大規(guī)模網(wǎng)站及不同防護(hù)形態(tài)、具備協(xié)同防御、集中管控、快速響應(yīng)、功能自定義能力。在研標(biāo)準(zhǔn)《政府門戶網(wǎng)站云計(jì)算服務(wù)安全指南》面向?qū)ο鬄檎脩簦瑧?yīng)用場(chǎng)景為指導(dǎo)政府網(wǎng)站上云的一系列步驟及方式方法，本標(biāo)準(zhǔn)的面向?qū)ο笫蔷W(wǎng)站安全云防護(hù)平臺(tái)，是對(duì)平臺(tái)提出的應(yīng)滿足的功能要求和安全要求。產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果《網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)要求》的標(biāo)準(zhǔn)草案，已經(jīng)實(shí)現(xiàn)在各主要服務(wù)商進(jìn)行了試點(diǎn)和論證，很好地幫助服務(wù)商提升安全防護(hù)服務(wù)能力和自身安全能力，促進(jìn)了網(wǎng)站安全云防護(hù)平臺(tái)的安全健康發(fā)展。采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況編制組在標(biāo)準(zhǔn)編制過程中，專門分析了美國(guó)FedRAMP對(duì)云服務(wù)商的安全評(píng)估方法，參考我國(guó)已有相關(guān)信息安全標(biāo)準(zhǔn)，綜合考慮制定了本標(biāo)準(zhǔn)。與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定、國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國(guó)家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。有關(guān)問題的說明項(xiàng)目組在標(biāo)準(zhǔn)編制過程中，經(jīng)歷了內(nèi)部討論與論證、技術(shù)研討會(huì)等過程，項(xiàng)目組在工作過程中遵循GB/T1.1—2009編制原則，對(duì)國(guó)內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標(biāo)準(zhǔn)草案的編寫工作。在整個(gè)過程中未遇到重大意見分歧，但對(duì)專家提出的意見和建議，我們做了應(yīng)答和處理，更好地完善了我們的標(biāo)準(zhǔn)編制工作。有關(guān)專利的說明本標(biāo)準(zhǔn)不涉及專利?！缎畔踩夹g(shù)網(wǎng)站安全云防