GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》之81:

“8技術(shù)控制-8.23網(wǎng)頁過濾”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料(編制-2025A0)

GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8技術(shù)控制

8.23網(wǎng)頁過濾

8.23.1屬性表

網(wǎng)頁過濾屬性表見表83.

表83:網(wǎng)頁過濾屬性表

控制類型信息安全屬性網(wǎng)絡(luò)空間安全概念運(yùn)行能力安全領(lǐng)域

#保密性

#預(yù)防#完整性#防護(hù)#系統(tǒng)和網(wǎng)絡(luò)安全#防護(hù)

#可用性

8技術(shù)控制-8.23網(wǎng)頁過濾-8.23.1屬性表

網(wǎng)頁過濾見表83,

“表83:網(wǎng)頁過迪”屬性表解析

屬性維度屬性值屬性涵義解讀應(yīng)用說明與實(shí)施要點(diǎn)

(1)通用涵義：“控制類型”指旨在防止信息安全事件發(fā)生的控制，1)組織需將網(wǎng)頁過濾明確納入預(yù)防型控制體系，與惡意

通過預(yù)先建立規(guī)則、技術(shù)或流程，從源頭阻斷風(fēng)險(xiǎn)觸發(fā)條件，降低事軟件防范(8.7)、技術(shù)脆弱性管理(8.8)等其他預(yù)防

件發(fā)生概率，是信息安全控制體系中“事前防控”的核心類型：控制協(xié)同，形成“多層防御”機(jī)制，避免單一控制失效

控制類型#預(yù)防(2)特定涵義：通過預(yù)先配置“允許/禁止訪問規(guī)則”(如域名黑白名導(dǎo)致風(fēng)險(xiǎn)突破；

單、內(nèi)容特征匹配),在用戶發(fā)起網(wǎng)頁請求時(shí)實(shí)時(shí)校驗(yàn)，阻斷對惡意2)實(shí)施前需結(jié)合業(yè)務(wù)場景明確“預(yù)防目標(biāo)”(如阻止惡

網(wǎng)頁(含釣魚、惡意軟件傳播、非法內(nèi)容類網(wǎng)頁)的訪問，從源頭防意網(wǎng)頁訪問、限制非法內(nèi)容傳播),避免過度過濾影響

止惡意代碼植入、敏感信息泄露、系統(tǒng)可用性破壞等信息安全事件發(fā)合法業(yè)務(wù)訪問；

加油努力你行的

屬性雄度屬性值屬性涵義解讀應(yīng)用說明與實(shí)施要點(diǎn)

生，是網(wǎng)絡(luò)邊界防護(hù)的關(guān)鍵預(yù)防手段。3)適用于所有類型組織，中小企業(yè)可優(yōu)先部署基礎(chǔ)預(yù)防

規(guī)則(如默認(rèn)阻止已知惡意IP/域名),大型組織雷結(jié)合

威脅情報(bào)動(dòng)態(tài)優(yōu)化預(yù)防策略。

(1)通用涵義?！靶畔踩珜傩浴笔切畔踩暮诵娜髮傩裕?/p>

-保密性：防止信息被未授權(quán)實(shí)體披露的特性：

完整性：防止信息被未授權(quán)篡改、破壞或損壞的特性；1)組織實(shí)施網(wǎng)頁過濾時(shí)，需同步覆蓋三大屬性，避免“

-可用性：確保信息及信息處理設(shè)施在需要時(shí)可被授權(quán)實(shí)體訪問和使重保密性輕可用性”或“重阻斷輕完整性校驗(yàn)”;

用的特性，2)針對不同分級的信息資產(chǎn)(如內(nèi)部敏感信息、公開業(yè)

(2)特定涵義務(wù)信息),調(diào)整網(wǎng)頁過濾對三大屬性的保護(hù)強(qiáng)度，例如：

#保密性

-保密性：通過阻斷釣魚網(wǎng)頁、非法信息收集類網(wǎng)頁訪問，防止用戶處理敏感信息的終端需強(qiáng)化“保密性+完整性”防護(hù)(如

信息安全屬性#完整性

因誤操作泄露賬號密碼、業(yè)務(wù)數(shù)據(jù)等敏感信息；阻斷含數(shù)據(jù)上傳功能的非業(yè)務(wù)網(wǎng)頁),業(yè)務(wù)公開終端需

#可用性

-完整性：通過攔截含惡意代碼(如JavaSeript篡改腳本)的網(wǎng)頁，平衡“可用性+安全性”;

防止網(wǎng)頁內(nèi)容被篡改(如暗鏈植入、內(nèi)容替換》,保障用戶訪問的網(wǎng)3)定期市計(jì)網(wǎng)頁過濾日志，驗(yàn)證三大屬性保護(hù)效果(如

頁內(nèi)容真實(shí)、未被破壞；是否存在未授權(quán)網(wǎng)頁訪問導(dǎo)致的保密性泄露、惡意網(wǎng)頁

-可用性：通過阻止訪問含“拒絕服務(wù)攻擊腳本”“資源耗盡型代碼募改內(nèi)容導(dǎo)致的完整性破壞)。

”的網(wǎng)頁，防止終端設(shè)備被劫持(如挖礦病毒占用CPU資源》、網(wǎng)絡(luò)

帶寬被耗盡，保障終端及網(wǎng)絡(luò)的正?？捎谩?/p>

(1)通用涵義：“網(wǎng)絡(luò)空間安全概念”指建立并維護(hù)防護(hù)機(jī)制，保護(hù)1)網(wǎng)頁過濾作為“防護(hù)”環(huán)節(jié)的技術(shù)手段，需與“識別”

網(wǎng)絡(luò)空間安全信息及信息處理設(shè)施免受已知威脅侵害的網(wǎng)絡(luò)空間安全活動(dòng)，是網(wǎng)絡(luò)環(huán)節(jié)(如威脅情報(bào)收集5.7)聯(lián)動(dòng)，確保防護(hù)規(guī)則覆蓋最

#防護(hù)

概念空間安全“識別-防護(hù)-發(fā)現(xiàn)-響應(yīng)-恢復(fù)”全流程中的核心環(huán)節(jié)。新戚脅(如基于威脅情報(bào)更新惡意域名列表);

(2)特定涵義：指通過技術(shù)手段(如URL特征匹配、內(nèi)容指紋識別、行2)防護(hù)機(jī)制需支持“靜態(tài)規(guī)則+動(dòng)態(tài)適配”,靜態(tài)規(guī)則應(yīng)

加油努力你行的

屬性雄度屬性值屬性涵義解讀應(yīng)用說明與實(shí)施要點(diǎn)

為分析)建立網(wǎng)頁訪問“防護(hù)屏障”,實(shí)時(shí)攔截對威脅網(wǎng)頁的訪問請對已知威脅(如固定惡意IP),動(dòng)態(tài)適配應(yīng)對變異威脅

求，具體包括：(如啟發(fā)式檢測未知惡意網(wǎng)頁特征);

一對“已知威脅網(wǎng)頁”(如已納入黑名單的釣魚網(wǎng)站)直接阻斷：3)所有組織實(shí)施時(shí)，需明確網(wǎng)頁過濾在網(wǎng)絡(luò)空間安全框

一對“可疑威脅網(wǎng)頁”(如含異常腳本但未明確歸類的網(wǎng)頁)觸發(fā)二架中的定位，避免孤立部署，需與“發(fā)現(xiàn)”(如日志監(jiān)

次校驗(yàn)(如提示用戶風(fēng)險(xiǎn)并需審批訪問);視8.15)、“響應(yīng)”(如事件處置5.26)環(huán)節(jié)銜接，確

一對“合法網(wǎng)頁”按規(guī)則允許訪問，形成“允許-校驗(yàn)-阻斷”的閉保防護(hù)失效后可快速溯源。

環(huán)防護(hù)流程，保護(hù)終端及網(wǎng)絡(luò)免受網(wǎng)頁竭威脅侵害。

1)組織需優(yōu)先提升“系統(tǒng)和網(wǎng)絡(luò)安全”能力中的“邊界

(1)通用涵義：“運(yùn)行能力”指從業(yè)者保障信息系統(tǒng)及網(wǎng)絡(luò)安全運(yùn)行防護(hù)子能力”,確保網(wǎng)頁過濾與防火墻、入侵防御系統(tǒng)

的核心能力，涵蓋網(wǎng)絡(luò)邊界防護(hù)、終端安全、威脅攔截等技術(shù)與管理(IPS)等技術(shù)協(xié)同，例如：防火墻阻斷惡意IP,網(wǎng)頁過

活動(dòng)，是姐織實(shí)現(xiàn)信息安全控制的基礎(chǔ)能力支撐。濾阻斷該IP下的惡意域名，形成“IP-域名-內(nèi)容”多層

(2)特定涵義。指組織通過部署網(wǎng)頁過濾技術(shù)(如網(wǎng)關(guān)級網(wǎng)頁過濾設(shè)防護(hù)；

備、終端瀏覽器插件、云端過濾服務(wù)),實(shí)現(xiàn)對“終端-網(wǎng)絡(luò)-云端

運(yùn)行能力#系統(tǒng)和2)中小企業(yè)可通過部署一體化安全設(shè)備(含網(wǎng)頁過濾功

網(wǎng)絡(luò)安全”全路徑網(wǎng)頁訪問的安全管控能力，具體包括：能)快速具備基礎(chǔ)能力，大型組織需建立“分布式網(wǎng)頁

-終端側(cè)：阻止本地瀏覽器訪問威脅網(wǎng)頁：過濾體系”(如終端端+網(wǎng)關(guān)端雙重過濾),覆蓋遠(yuǎn)程辦

-網(wǎng)絡(luò)側(cè)；在網(wǎng)關(guān)處攔截全網(wǎng)用戶的威脅網(wǎng)頁請求；公、分支機(jī)構(gòu)等場景；

-云端：通過云端威脅庫實(shí)時(shí)更新過濾規(guī)則，支撐分布式網(wǎng)絡(luò)的統(tǒng)一3)定期開展“系統(tǒng)和網(wǎng)絡(luò)安全”能力評估，驗(yàn)證網(wǎng)頁過

防護(hù)，是“系統(tǒng)和網(wǎng)絡(luò)安全”能力在網(wǎng)頁訪問場景的具體落地。濾規(guī)則有效性(如誤攔率、漏攔率),并結(jié)合評估結(jié)果

憂化配置，

(1)通用涵義：“安全領(lǐng)域”指涵蓋IT安全架構(gòu)、IT安全管理、身份1)組織需將網(wǎng)頁過濾納入“防護(hù)”領(lǐng)域的技術(shù)控制清單，

安全領(lǐng)域#防護(hù)

和訪問管理、IT安全維護(hù)及物理和環(huán)境安全的信息安全領(lǐng)域，核心目與身份訪問管理(5.16)、物理安全(第7章)等其他防

加油努力你行的

解讀維度“8.23.2(網(wǎng)頁過濾》控制”解讀與應(yīng)用說明

全事件發(fā)生概率，最終提升組織網(wǎng)絡(luò)邊界防護(hù)與整體信息安全防護(hù)能力。該條款為推薦性控制措施，充分考虐不同規(guī)模、業(yè)務(wù)模式組織的差異

性，支持靈活適配實(shí)施，適用于各類組織(含中小企業(yè)、大型企業(yè)及重點(diǎn)行業(yè)組織)。

1)風(fēng)險(xiǎn)前置防御：有效降低因訪問非法或惡意網(wǎng)站導(dǎo)致的數(shù)據(jù)泄露、病毒感染、網(wǎng)絡(luò)釣魚、拒絕服務(wù)攻擊等安全事件的發(fā)生率，是網(wǎng)絡(luò)邊界“

事前防控”的關(guān)鍵技術(shù)手段：

本條款實(shí)施的2)多層防御支撐：可與惡意軟件防范(8.7)、技術(shù)脆弱性管理(B.8)、防火墻/入侵防御系統(tǒng)(IPS)等其他安全控制協(xié)同，形成“IP-域名

核心價(jià)值-內(nèi)容”多層防御機(jī)制，避免單一控制失效導(dǎo)致風(fēng)險(xiǎn)突破；

3)合規(guī)與業(yè)務(wù)保障：支撐組織符合《網(wǎng)絡(luò)安全等級保護(hù)基本要求》等合規(guī)要求，同時(shí)通過“按需允許/禁止”規(guī)則平衡安全與業(yè)務(wù)，避免過度

過濾影響合法業(yè)務(wù)訪問(如禁止非業(yè)務(wù)相關(guān)的信息上傳類網(wǎng)站，同時(shí)放行業(yè)務(wù)必需網(wǎng)站)。

“宜管理對外部網(wǎng)站的訪問，以減少對惡意內(nèi)容的暴露?！?/p>

1)“宜管理”:為國家標(biāo)準(zhǔn)推薦性用語(非強(qiáng)制性),強(qiáng)調(diào)組織需結(jié)合自身業(yè)務(wù)場景(如遠(yuǎn)程辦公、分支機(jī)構(gòu)覆蓋需求)、信息資產(chǎn)分級(如

敏感信息處理終端vs公開業(yè)務(wù)終端)制定適配的訪問控制策略，而非“一刀切”實(shí)施：

本條款深度解

2)“對外部網(wǎng)站的訪問”;明確控制對象為組織網(wǎng)絡(luò)邊界以外的互聯(lián)網(wǎng)資源，聚焦“外部不可控風(fēng)險(xiǎn)”,與內(nèi)部網(wǎng)站訪問控制形成互補(bǔ)，避免

讀與內(nèi)涵解析

外部惡意資源對內(nèi)部網(wǎng)絡(luò)環(huán)境、終端設(shè)備及敏感數(shù)據(jù)造成威脅；

3)“以減少對惡意內(nèi)容的暴露”:核心是通過“允許-校驗(yàn)-阻斷”的閉環(huán)機(jī)制實(shí)現(xiàn)主動(dòng)防護(hù)，不僅包括已知惡意內(nèi)容(如黑名單網(wǎng)站),還

涵蓋可疑惡意內(nèi)容(如含異常腳本但未明確歸類的網(wǎng)頁》,需聯(lián)動(dòng)威脅情報(bào)(5.7)動(dòng)態(tài)更新防護(hù)規(guī)則，確保對變異威脅的覆蓋。

1)技術(shù)部署與協(xié)同：

本條款實(shí)施要-中小企業(yè)可優(yōu)先部署一體化安全設(shè)備(含網(wǎng)頁過濾功能)或基礎(chǔ)網(wǎng)頁過濾軟件，默認(rèn)阻止已知惡意IP/域名；

點(diǎn)與組織應(yīng)用大型組織需建立“終端端+網(wǎng)關(guān)端+云端”分布式網(wǎng)頁過濾體系，覆蓋遠(yuǎn)程辦公、分支機(jī)構(gòu)場景，并與防火墻、IPS協(xié)同(如防火墻阻斷惡意

建議IP,網(wǎng)頁過濾阻斷該IP下的惡意域名):

2)策略制定與優(yōu)化；

加油努力你行的

解讀維度“8.23.2(網(wǎng)頁過濾)控制”解讀與應(yīng)用說明

一明確“禁止訪問類型”(參考8.23.4指南):重點(diǎn)阻止已知/可疑惡意網(wǎng)站、命令和控制服務(wù)器、威脅情報(bào)推送的惡意網(wǎng)站、無合理業(yè)務(wù)原

因的信息上傳類網(wǎng)站、非法內(nèi)容分享網(wǎng)站：

-基于信息資產(chǎn)分級調(diào)整策略：處理版感信息的終端需強(qiáng)化“保密性+完整性”防護(hù)《如阻斷含數(shù)據(jù)上傳功能的非業(yè)務(wù)網(wǎng)頁),業(yè)務(wù)公開終端

需平衡“可用性+安全性”;

3)日志與審計(jì)：定期審計(jì)網(wǎng)頁過德日志，驗(yàn)證控制效果(如是否存在未授權(quán)網(wǎng)頁訪問導(dǎo)致的保密性泄露、惡意網(wǎng)頁篡改內(nèi)容導(dǎo)致的完整性破壞

),并基于日志分析優(yōu)化過濾規(guī)則；

4)威脅情報(bào)聯(lián)動(dòng)：接入權(quán)威威脅情報(bào)源(見5.7),動(dòng)態(tài)更新惡意IP/域名黑名單、惡意內(nèi)容特征庫，確保對新型、變異威脅的防護(hù)能力：

5)人員培訓(xùn)與意識：向工作人員提供網(wǎng)頁安全使用培訓(xùn)，內(nèi)容包括組織的網(wǎng)頁訪問規(guī)則、可疑網(wǎng)站識別方法、安全問題報(bào)告聯(lián)絡(luò)點(diǎn)、受限網(wǎng)頁

訪問的例外審批流程，特別培訓(xùn)工作人員不忽視瀏覽器“網(wǎng)站不安全”的預(yù)警提示；

6)例外機(jī)制：建立“業(yè)務(wù)必需網(wǎng)頁”的臨時(shí)訪問例外流程(如申請-審批-審計(jì)閉環(huán)),避免因嚴(yán)格過濾影響緊急業(yè)務(wù)開展。

(2)“8.23.2控制”條款與GB/T22080-2025相關(guān)條款的邏輯關(guān)聯(lián)關(guān)系；

“B.23.2控制”與GB/T22080相關(guān)條款的邏輯關(guān)聯(lián)關(guān)系分析表

關(guān)聯(lián)GB/T22080條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

網(wǎng)頁過濾需滿足相關(guān)方(如客戶、監(jiān)管機(jī)構(gòu)、內(nèi)部業(yè)務(wù)部門)的需求：客戶要求保護(hù)其數(shù)據(jù)不被惡

4.2理解相關(guān)方的需求和期望意網(wǎng)站竊取，監(jiān)管機(jī)構(gòu)要求符合合規(guī)要求，業(yè)務(wù)部門要求保障合法訪問：需通過溝通明確這些雷求需求輸入關(guān)系

并融入過濾規(guī)則。

需明確網(wǎng)頁過濾控制是否納入ISS范圍(如是否覆蓋遠(yuǎn)程辦公終端、分支機(jī)構(gòu)網(wǎng)絡(luò)),確保其與

4.3確定信息安全管理體系范圍范圍界定關(guān)系

ISMS整體邊界一致，避免控制遺漏或超出范圍。

5.3組織的崗位、職責(zé)和權(quán)限需明確網(wǎng)頁過濾的管理角色(如IT部門負(fù)責(zé)配置維護(hù)、安全部門負(fù)責(zé)規(guī)則更新)和權(quán)限(如誰可權(quán)責(zé)分配關(guān)系

加油努力你行的

關(guān)聯(lián)GB/T22080條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

修改規(guī)則、誰可審批例外訪問),避免責(zé)任不清導(dǎo)致控制失效。

網(wǎng)頁過濾是應(yīng)對網(wǎng)絡(luò)威脅的一種控制措施，其必要性應(yīng)基于信息安全風(fēng)險(xiǎn)評估的結(jié)果確定，以確保

6.1.2信息安全風(fēng)險(xiǎn)評估對惡意內(nèi)容的暴露風(fēng)險(xiǎn)(如釣魚網(wǎng)站、惡意軟件傳播頁風(fēng)險(xiǎn))得到識別和評估，為過濾規(guī)則優(yōu)先級直接輸入關(guān)系

制定提供依據(jù)。

網(wǎng)頁過濾屬于風(fēng)險(xiǎn)處置措施之一，用于處置識別出的與外部網(wǎng)絡(luò)訪問相關(guān)的信息安全風(fēng)險(xiǎn)(如“

6.1.3信息安全風(fēng)險(xiǎn)處置處置措施關(guān)系

訪問惡意網(wǎng)站導(dǎo)致數(shù)據(jù)泄露”風(fēng)險(xiǎn)),需將其實(shí)施要求納入風(fēng)險(xiǎn)處置計(jì)劃并明確處置目標(biāo)。

網(wǎng)頁過濾需服務(wù)于信息安全目標(biāo)(如“2025年底外部惡意網(wǎng)站阻斷率達(dá)99.9%”),需制定目標(biāo)

6.2信息安全目標(biāo)及其實(shí)現(xiàn)策劃目標(biāo)支撐關(guān)系

實(shí)現(xiàn)策劃(如分階段部署終端+網(wǎng)關(guān)雙重過濾),確保控制與目標(biāo)聯(lián)動(dòng)。

當(dāng)外部威脅(如新型惡意網(wǎng)站出現(xiàn)》或業(yè)務(wù)需求(如新增業(yè)務(wù)需訪問特定網(wǎng)站》變更時(shí)，需策劃網(wǎng)

6.3針對變更的策劃變更策劃關(guān)系

頁過濾的變更(如更新黑名單、調(diào)整例外規(guī)則),避免變更導(dǎo)致控制失效或影響業(yè)務(wù)。

實(shí)施網(wǎng)頁過濾需配置必要資源；硬件(如網(wǎng)關(guān)級過濾設(shè)備)、軟件(如終端插件、云端服務(wù))、人

7.1資源資源保障關(guān)系

員(如威脅分析人員)、資金(如威脅情報(bào)訂閱費(fèi)),資源保障是控制落地的基礎(chǔ)。

實(shí)施和管理網(wǎng)頁過濾系統(tǒng)的人員需具備相應(yīng)能力，包括技術(shù)知識(如過濾規(guī)則配置方法、威脅情報(bào)

7.2能力分析》和操作技能(如日志分析、系統(tǒng)故障排查),需通過培訓(xùn)確保能力達(dá)標(biāo)以保障控制有效運(yùn)行支持保障關(guān)系

用戶應(yīng)具備安全意識，理解網(wǎng)頁過濾的目的(保護(hù)終端安全、避免數(shù)據(jù)泄露)和重要性，配合組織

7.3意識意識支持關(guān)系

安全策略(如不繞過過濾訪問高危網(wǎng)站、及時(shí)報(bào)告誤攔問題),避免因用戶誤操作導(dǎo)致控制失效。

加油努力你行的

關(guān)聯(lián)GB/T22080條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

需在組織內(nèi)溝通網(wǎng)頁過濾策略(如告知禁止訪問的網(wǎng)站類型)、操作流程(如例外訪問中請路徑)

7.4溝通溝通協(xié)調(diào)關(guān)系

,并收集用戶反饋(如合法網(wǎng)站誤攔投訴),確?？刂频玫接脩衾斫夂团浜?。

網(wǎng)頁過濾的策略(如禁止/允許訪問規(guī)則)、配置(如設(shè)備參數(shù))、操作流程(如規(guī)則更新步驟)

7.5文件化信息、例外審批記錄等應(yīng)形成文件化信息，并受控管理(如版本控制，權(quán)限訪問),確保過程可迫溯、文件化要求關(guān)系

規(guī)則可復(fù)用。

網(wǎng)頁過濾作為一項(xiàng)具體的安全控制措施，應(yīng)在運(yùn)行過程中進(jìn)行策劃(如規(guī)則更新頻率、日常巡檢內(nèi)

8.1運(yùn)行策劃和控制容)、實(shí)施(如部署過濾設(shè)備、同步威脅情報(bào))和控制(如應(yīng)急故障處置),確保其持續(xù)有效運(yùn)行運(yùn)行控制關(guān)系

網(wǎng)頁過濾的實(shí)施效果應(yīng)通過定期的或事件驅(qū)動(dòng)的風(fēng)險(xiǎn)評估進(jìn)行驗(yàn)證(如每季度評估漏攔率是否超標(biāo)

8.2信息安全風(fēng)險(xiǎn)評估驗(yàn)證與反饋關(guān)系

、新型惡意網(wǎng)站是否被覆蓋),確保其對風(fēng)險(xiǎn)的控制效果持續(xù)滿足組織風(fēng)險(xiǎn)接受準(zhǔn)則。

網(wǎng)頁過濾是風(fēng)險(xiǎn)處置計(jì)劃的一部分，其實(shí)現(xiàn)情況(如已部署的過濾層級、規(guī)則更新記錄、例外審批

8.3信息安全風(fēng)險(xiǎn)處置執(zhí)行與記錄關(guān)系

情況)應(yīng)記錄并作為風(fēng)險(xiǎn)處置結(jié)果的證據(jù)，若評估發(fā)現(xiàn)效果不達(dá)標(biāo)需及時(shí)調(diào)整處置措施。

應(yīng)對網(wǎng)頁過濾措施的有效性進(jìn)行持續(xù)監(jiān)視和測量(如統(tǒng)計(jì)惡意網(wǎng)站阻斷數(shù)量、漏攔率、誤攔率),

9.1監(jiān)視、測量、分析和評價(jià)分析其是否達(dá)到預(yù)期安全目標(biāo)(如漏攔率≤0.1%),識別改進(jìn)空間(如某類惡意網(wǎng)站漏攔率高需優(yōu)績效評價(jià)關(guān)系

化規(guī)則).

需將網(wǎng)頁過濾納入內(nèi)部審核范圍；審核過濾策略是否符合ISMS要求、規(guī)則配置是否與策略一致、

9.2內(nèi)部審核審核驗(yàn)證關(guān)系

日志記錄是否完整、例外審批是否合規(guī)，驗(yàn)證控制的符合性和有效性，發(fā)現(xiàn)不符合項(xiàng)并督促整改。

加油努力你行的

關(guān)聯(lián)GB/T22080條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

10.1持續(xù)改進(jìn)基于監(jiān)視測量、內(nèi)部審核的結(jié)果(如漏攔率超標(biāo)、用戶投訴集中),持續(xù)改進(jìn)網(wǎng)頁過濾控制(如優(yōu)持續(xù)改進(jìn)關(guān)系

化規(guī)則算法、引入AI識別技術(shù)),提升控制的有效性和效率，適應(yīng)威脅環(huán)境變化。

當(dāng)網(wǎng)頁過濾控制出現(xiàn)不符合(如惡意網(wǎng)站突破過濾導(dǎo)致終端感染)時(shí)，需分析原因(如規(guī)則未覆蓋

10.2不符合與糾正措施新型域名、威脅情報(bào)滯后),采取糾正措施(如緊急更新規(guī)則、更換情報(bào)源),并驗(yàn)證措施有效性糾正改進(jìn)關(guān)系

,防止問題重復(fù)發(fā)生。

(3)“8.23.2控制”與GB/T22081-2024其他條款邏輯關(guān)聯(lián)關(guān)系。

“8.23.2控制”與GB/T22081-2024其他條款邏輯關(guān)聯(lián)關(guān)系分析表

關(guān)聯(lián)GB/T22081條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

網(wǎng)頁過濾的實(shí)施雷以組織制定的信息安全策略為依據(jù)，策略中應(yīng)明確允許或禁止訪問的外部網(wǎng)站類型、控制目標(biāo)

5.1信息安全策略策略依據(jù)

等核心要求，確保網(wǎng)頁過濾方向與組織整體安全目標(biāo)一致。

網(wǎng)頁過濾需依賴威脅情報(bào)(如惡意網(wǎng)站IP地址、域名列表)精準(zhǔn)識別需攔截的外部惡意資源，威脅情報(bào)的及時(shí)性

5.7威脅情報(bào)信息支撐

與準(zhǔn)確性直接決定網(wǎng)頁過濾對惡意內(nèi)容的攔截效果，是網(wǎng)頁過濾控制的關(guān)鍵信息輸入。

5.15訪問控制網(wǎng)頁過濾是訪問控制在網(wǎng)絡(luò)層面針對外部網(wǎng)站的具體落地手段，通過限制對高風(fēng)險(xiǎn)外部網(wǎng)站的訪問權(quán)限，補(bǔ)充完實(shí)施與支持

善訪問控制體系，實(shí)現(xiàn)“按需訪問”原則在外部網(wǎng)絡(luò)資源維度的延伸。

6.3信息安全意識，教網(wǎng)頁過濾控制需配合用戶意識培訓(xùn)，確保用戶理解網(wǎng)頁過濾的目的(如防范惡意軟件、避免信息泄露)、政策要意識支持

育和培訓(xùn)求及違規(guī)訪問的后果，減少用戶因誤操作或刻意規(guī)避控制導(dǎo)致的安全風(fēng)險(xiǎn)，

加油努力你行的

關(guān)聯(lián)GB/T22081條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

6.8信息安全事態(tài)的報(bào)若網(wǎng)頁過濾系統(tǒng)檢測到異常訪問行為(如用戶頻繁嘗試突破攔截訪問惡意網(wǎng)站、大量設(shè)備同時(shí)訪問可疑外部網(wǎng)站)

事態(tài)處置支撐

告,此類情況屬于信息安全事態(tài)，需按本條款要求啟動(dòng)報(bào)告流程，確保事態(tài)及時(shí)處置。

網(wǎng)頁過濾是惡意軟件防范的前置控制措施，通過攔截用戶訪問攜帶惡意軟件(如病毒、木馬)的外部網(wǎng)站，從源

8.7惡意軟件防范預(yù)防與補(bǔ)充

頭減少惡意軟件進(jìn)入組織網(wǎng)絡(luò)的途徑，與終端惡意軟件檢測工具形成“縱深防御”。

網(wǎng)頁過濾需與網(wǎng)絡(luò)活動(dòng)監(jiān)視協(xié)同工作：網(wǎng)頁過濾系統(tǒng)記錄用戶訪問外部網(wǎng)站的行為日志，監(jiān)視活動(dòng)可基于這些日

8.16監(jiān)視活動(dòng)協(xié)同與監(jiān)控

志分析異常訪問模式(如非工作時(shí)間大量訪問境外可疑網(wǎng)站),同時(shí)監(jiān)視結(jié)果也可反哺網(wǎng)頁過濾規(guī)則優(yōu)化。

網(wǎng)頁過濾是網(wǎng)絡(luò)安全體系的核心組成部分，直接作用于組織與外部網(wǎng)絡(luò)的交互邊界，通過管控外部網(wǎng)站訪問行為，

8.20網(wǎng)絡(luò)安全組成部分

防范因訪問惡意資源引發(fā)的網(wǎng)絡(luò)入侵、數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)，支撐網(wǎng)絡(luò)安全目標(biāo)實(shí)現(xiàn)。

網(wǎng)頁過濾與網(wǎng)絡(luò)隔離形成協(xié)同強(qiáng)化關(guān)系：網(wǎng)絡(luò)隔離通過劃分安全域(如辦公域、訪客域)實(shí)現(xiàn)網(wǎng)絡(luò)邊界隔離，網(wǎng)

8.22網(wǎng)絡(luò)隔離頁過濾則在各域內(nèi)進(jìn)一步精細(xì)化控制對外部網(wǎng)站的訪問(如訪客域僅允許訪問少數(shù)合規(guī)外部網(wǎng)站),提升邊界防協(xié)同強(qiáng)化

護(hù)顆粒度。

網(wǎng)頁過濾的核心規(guī)則(如允許訪問的網(wǎng)站白名單、禁止訪間的惡意網(wǎng)站黑名單)變更需遵循變更管理流程，包括

8.32變更管理變更申請、風(fēng)險(xiǎn)評估、測試驗(yàn)證、審批發(fā)布等環(huán)節(jié)，確保規(guī)則變更合規(guī)、可追溯，避免因未授權(quán)變更導(dǎo)致控制失流程保障

效。

GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8.23.3目的

保護(hù)系統(tǒng)不受惡意軟件的危害，并防止訪問未授權(quán)的網(wǎng)頁資源。

8.23.3目的

加油努力你行的

“8.23.3(網(wǎng)頁過濾)目的”解讀說明表

內(nèi)容雄度“8.23.3(網(wǎng)頁過濾)目的”解讀說明

本條款“8.23.3目的”旨在確立網(wǎng)頁過濾技術(shù)在信息安全體系中的戰(zhàn)略定位，其本質(zhì)是通過技術(shù)手段防止用戶訪問非法、有害或未經(jīng)授權(quán)的網(wǎng)

總述(本條款

頁資源，從而有效抵御惡意軟忤的入侵，保障組織信息系統(tǒng)與數(shù)據(jù)資產(chǎn)的安全性、完整性與可用性，同時(shí)支撐信息安全核心三屬性《保密性、

的核心意圖與

完整性、可用性)的實(shí)現(xiàn)。該條款在《GB/T22081-2024》標(biāo)準(zhǔn)中屬于“網(wǎng)頁過濾”控制措施的頂層設(shè)計(jì)部分，為后續(xù)技術(shù)實(shí)施、策略制定與管

定位)

理機(jī)制提供方向性依據(jù)，并與標(biāo)準(zhǔn)內(nèi)惡意軟件防范(8.7)、訪問控制(5.15)、咸脅情報(bào)(5.7)等條款形成協(xié)同防護(hù)邏輯。

1)提升系統(tǒng)安全性：通過阻斷惡意網(wǎng)站及非法網(wǎng)頁資源的訪問路徑，降低因訪問非法鏈接而導(dǎo)致的惡意軟件感染風(fēng)險(xiǎn)，同時(shí)保障信息的保密性

(防止釣魚網(wǎng)頁竊取賬號密碼等敏感信息)、完整性(攔截含JavaScript篡改腳本的網(wǎng)頁);

2)增強(qiáng)訪問控制能力：實(shí)現(xiàn)對用戶網(wǎng)頁訪問行為的精細(xì)化控制，確保訪問行為符合組織的安全策略和合規(guī)要求，覆蓋“已知惡意資源+可疑成

脅資源+違規(guī)業(yè)務(wù)無關(guān)資源”的全場景攔截：

本條款實(shí)施的

3)建立縱深防御機(jī)制：作為信息安全縱深防御體系的重要組成部分，網(wǎng)頁過濾與防火墻、入侵檢測、終端防護(hù)等共同形成多層防護(hù)結(jié)構(gòu)，尤其

核心價(jià)值和預(yù)

在網(wǎng)絡(luò)邊界防護(hù)中承擔(dān)“前置攔截”角色：

期結(jié)果

4)保障業(yè)務(wù)連續(xù)性：減少因惡意軟件政擊(如挖礦病毒占用CPU)或違規(guī)訪問(如訪問資源耗盡型網(wǎng)頁)導(dǎo)致的系統(tǒng)故障、數(shù)據(jù)泄露或服務(wù)中

斷，維護(hù)信息及信息處理設(shè)施的可用性，保障組織業(yè)務(wù)的穩(wěn)定運(yùn)行；

5)促進(jìn)合規(guī)性建設(shè)：滿足國家信息安全法律法規(guī)(如《中華人民共和國網(wǎng)絡(luò)安全法》)及行業(yè)標(biāo)準(zhǔn)(如《網(wǎng)絡(luò)安全等級保護(hù)基本要求》)對信

息訪問控制的要求，同時(shí)響應(yīng)標(biāo)準(zhǔn)內(nèi)“5.31法律、法規(guī)、規(guī)章和合同要求”條款，提升組織整體合規(guī)水平。

“保護(hù)系統(tǒng)不受悉意軟件的危害，并防止訪問未授權(quán)的網(wǎng)頁資源?！?/p>

本條款深度解1)“保護(hù)系統(tǒng)不受惡意軟件的危害”;

讀與內(nèi)涵解析-惡意軟件(Malvare)是當(dāng)前信息安全領(lǐng)域最常見、最具破壞性的威脅之一。網(wǎng)頁作為惡意軟件傳播的主要載體之一，存在掛馬網(wǎng)頁、釣魚

網(wǎng)站、惡意腳本(如JavaScript惡意代碼)、勒索軟件傳播頁等多種攻擊方式，本條款明確指出網(wǎng)頁過濾的首要任務(wù)是通過識別、攔截和阻斷

惡意網(wǎng)頁內(nèi)容，防止惡意軟件進(jìn)入組織網(wǎng)絡(luò)環(huán)境，從根本上降低系統(tǒng)被破壞、數(shù)據(jù)被盜或終端被劫持(如挖礦)的風(fēng)險(xiǎn)；

加油努力你行的

內(nèi)容維度“8.23.3(網(wǎng)頁過濾)目的”解讀說明

一該句體現(xiàn)了網(wǎng)頁過濾與終端防護(hù)、網(wǎng)絡(luò)隔離等安全控制措施之間的協(xié)同關(guān)系。網(wǎng)頁過濾作為邊界防御和前端攔截機(jī)制，與后端的殺毒軟件、

終端檢測工具共同建立多層次防御體系，尤其與標(biāo)準(zhǔn)“8.7惡意軟件防范”條款形成前置協(xié)同——網(wǎng)頁過濾從“訪問源頭”阻斷惡意軟件傳播

路徑，減少后端惡意軟件檢測與清除的壓力；

一“系統(tǒng)”不僅指終端設(shè)備(如電腦、移動(dòng)終端),還涵蓋組織內(nèi)部網(wǎng)絡(luò)、敏感業(yè)務(wù)系統(tǒng)(如財(cái)務(wù)系統(tǒng)、核心業(yè)務(wù)平臺),即網(wǎng)頁過濾需覆蓋

“終端-網(wǎng)絡(luò)-業(yè)務(wù)系統(tǒng)”全鏈路，防止惡意軟件通過網(wǎng)頁訪問滲透至核心資產(chǎn)。

2)“并防止訪問未授權(quán)的網(wǎng)頁資源”。

-“未授權(quán)的網(wǎng)頁資源”涵蓋非法網(wǎng)站(如傳播非法內(nèi)容的站點(diǎn))、違反組織政策的網(wǎng)站(如非業(yè)務(wù)相關(guān)的娛樂、賠博、色情類站點(diǎn))、未備

案或非法運(yùn)營的網(wǎng)站，還包括威脅情報(bào)(見5.7)推送的惡意網(wǎng)站、命令和控制服務(wù)器(C2服務(wù)器》、無合理業(yè)務(wù)原因的信息上傳類網(wǎng)站。網(wǎng)

頁過濾應(yīng)具備基于策略的動(dòng)態(tài)訪間控制能力，能夠根據(jù)組織安全策略、員工角色(如敏感崗位vs普通崗位)、訪問場景(如辦公網(wǎng)vs遠(yuǎn)程辦公

)等維度靈活調(diào)整訪問權(quán)限；

一該句強(qiáng)調(diào)網(wǎng)頁過濾不僅是安全手段，也是組織內(nèi)部訪問管理與行為監(jiān)管的重要工具，其目的是防止員工因誤操作(如誤點(diǎn)釣魚鏈接)或故意

行為(如繞過控制訪問違規(guī)網(wǎng)站)訪問高風(fēng)險(xiǎn)網(wǎng)頁，從面引發(fā)安全事件(如數(shù)據(jù)泄露)或違反組織政策。同時(shí)呼應(yīng)“5.15訪問控制”條軟中“

按需訪問”“最小權(quán)限”原則，確保用戶僅能訪問與其工作職責(zé)相關(guān)的網(wǎng)頁資源；

-本句隱含對“風(fēng)險(xiǎn)前置防控”的要求——通過提前界定“授權(quán)/未授權(quán)”網(wǎng)頁資源范圍，減少組織網(wǎng)絡(luò)暴露面，降低因“未知風(fēng)險(xiǎn)網(wǎng)頁”引

發(fā)的潛在安全隱患，尤其支持大型組織對分支機(jī)構(gòu)、運(yùn)程辦公場景的網(wǎng)頁訪問統(tǒng)一管控。

GB/T220B1-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8.23.4指南

組織宜降低工作人員訪問包含非法信息或包含病毒或釣魚內(nèi)容的網(wǎng)站的風(fēng)險(xiǎn)?？刹捎米柚瓜嚓P(guān)網(wǎng)站IP地址或域的技術(shù)，一些瀏覽器和反惡意軟件會自動(dòng)地或

進(jìn)行人工配直后執(zhí)行此操作。

組織宜為工作人員確定應(yīng)或不應(yīng)訪問的網(wǎng)站類型，宜考慮阻止對以下類型網(wǎng)站的訪問：

a)具有信息上傳功能的網(wǎng)站，除非有合理的業(yè)務(wù)原因；

加油努力你行的

b)已知或可疑的悉意網(wǎng)站(例如，傳播惡意軟件或網(wǎng)絡(luò)釣魚內(nèi)容的網(wǎng)站);

c)命令和控制服務(wù)器；

d)從威脅情報(bào)中獲取的惡意網(wǎng)站(見5.7);

e)分享非法內(nèi)容的網(wǎng)站。

在部署此控制之前，組織宜建立安全適當(dāng)使用在線資源的規(guī)則，包括對不良或不適宜的網(wǎng)站以及基于wob的應(yīng)用程序的任何限制。這些規(guī)則宜保持更新。

宜向工作人員提供有關(guān)安全適當(dāng)使用在線資源(包括訪問網(wǎng)頁》的培訓(xùn)。培訓(xùn)宜包括坦織的規(guī)則、報(bào)告安全問題的聯(lián)絡(luò)點(diǎn)以及出于合理的業(yè)務(wù)需要訪問受服網(wǎng)

頁資源的例外過程；還宜培訓(xùn)工作人員，確保在瀏覽器報(bào)告網(wǎng)站不安全但允許用戶繼續(xù)使用的情況下，他們不會拒絕瀏覽器建議。

8.23.4指南

(1)本指南條款核心涵義解析(理解要點(diǎn)解讀):

“8.23.4《網(wǎng)頁過濾)指南”條款核心涵義解析《理解要點(diǎn)解讀》說明表

內(nèi)容維度“8.23.4《網(wǎng)頁過濾)指南”條款核心涵義解析(理解要點(diǎn)解讀》說明

本條款旨在指導(dǎo)組織通過網(wǎng)頁過濾技術(shù)手段，降低工作人員訪問非法、惡意或高風(fēng)險(xiǎn)網(wǎng)站的可能性。標(biāo)準(zhǔn)明確建議采用阻止特定IP地址或

域名的技術(shù)實(shí)現(xiàn)控制，強(qiáng)調(diào)可借助瀏覽器與反惡意軟件的自動(dòng)防護(hù)或人工配置強(qiáng)化效果；要求組織明確“應(yīng)訪問/不應(yīng)訪問”的網(wǎng)站類型清

條款內(nèi)容總體概述

單，提前建立在線資源安全使用規(guī)則并動(dòng)態(tài)更新；同時(shí)強(qiáng)制關(guān)聯(lián)員工培訓(xùn)，覆蓋規(guī)則傳達(dá)、安全問題上報(bào)、例外訪問流程，尤其規(guī)范瀏覽

器安全警告的響應(yīng)行為，確保技術(shù)控制與人員意識形成閉環(huán)，適用于各類組織的網(wǎng)絡(luò)邊界防護(hù)場景。

“組織宜降低工作人員訪問包含非法信息或包含病毒或釣魚內(nèi)容的網(wǎng)站的風(fēng)險(xiǎn)?？刹捎米柚瓜嚓P(guān)網(wǎng)站IP地址或域的技術(shù)。一些瀏覽器和反

惡意軟件會自動(dòng)地或進(jìn)行人工配置后執(zhí)行此操作。"

本條款核心涵義解建立網(wǎng)頁訪問風(fēng)險(xiǎn)技術(shù)控制機(jī)制

析(理解要點(diǎn)詳細(xì)本條明確組織對高風(fēng)險(xiǎn)網(wǎng)頁訪問的風(fēng)險(xiǎn)管控責(zé)任，核心是通過“技術(shù)手段+工具協(xié)同”降低安全威脅引入概率。

解讀)1)風(fēng)險(xiǎn)定位：“包含非法信息、病毒或釣魚內(nèi)容的網(wǎng)站”是核心防控對象，此類網(wǎng)站可能直接導(dǎo)致終端感染惡意代碼(如病毒、木馬),

員工泄露賬號密碼/敏感數(shù)據(jù)(釣魚攻擊)、組織違反法律法規(guī)(訪問非法信息),因此需憂先阻斷；

2)技術(shù)路徑：“阻止相關(guān)網(wǎng)站IP地址或域的技術(shù)”是核心控制手段，包括IP黑名單(精準(zhǔn)阻斷特定服務(wù)器)、域名黑名單(覆蓋該域名下

加油努力你行的

內(nèi)容維度“8.23.4(網(wǎng)頁過濾)指南”條款核心涵義解析(理解要點(diǎn)解讀》說明

所有子域名),可靈活適配不同網(wǎng)絡(luò)架構(gòu)(如網(wǎng)關(guān)級、終端級過濾);

3)工具協(xié)同：“自動(dòng)地或進(jìn)行人工配置后執(zhí)行此操作”表明組織可結(jié)合技術(shù)工具的內(nèi)置能力(如瀏覽器安全插件、反惡意軟件實(shí)時(shí)防護(hù))

與人工配置(如管理員手動(dòng)添加黑名單),形成分層防護(hù)——無雷完全依賴獨(dú)立網(wǎng)頁過濾系統(tǒng)，中小組織可通過啟用現(xiàn)有工具功能快速落

地，降低實(shí)施門檻與成本。

“組織宜為工作人員確定應(yīng)或不應(yīng)訪問的網(wǎng)站類型，宜考慮阻止對以下類型網(wǎng)站的訪問：a)具有信息上傳功能的網(wǎng)站，除非有合理的業(yè)務(wù)

原國；b)已知或可疑的惡意網(wǎng)站(例如，傳播惡意軟件成網(wǎng)絡(luò)釣魚內(nèi)容的網(wǎng)站);c)命令和控制服務(wù)器；d)從威脅情報(bào)中獲取的惡意網(wǎng)站(

見5.7);e)分享非法內(nèi)容的網(wǎng)站?！?/p>

制定網(wǎng)站訪問類型負(fù)面清單與管控邏輯：本條通過列舉五類高風(fēng)險(xiǎn)網(wǎng)站，為組織提供明確的訪問限制依據(jù)，核心是“基于風(fēng)險(xiǎn)等級與業(yè)務(wù)

必要性劃分管控范圍”,避兔“一刀切”。