信息安全技術 網站身份和系統(tǒng)安全要求與評估方法-編制說明

任務來源《信息安全技術網站可信評估指標》是國家標準化管理委員會2013年下達的信息安全國家標準制定項目，國標計劃號為：20130332-T-469，由中國電子技術標準化研究院主要負責起草，北龍中網(北京)、上海格爾科技發(fā)展有限公司、百度在線、奇虎科技、金山網絡、騰訊科技、北京天威誠信、上海CA、河南CA、CFCA、北京CA、中國信息安全認證中心、無線網絡安全技術國家工程實驗室、四川大學計算機學院網絡與可信計算研究所等單位共同參與該標準的起草工作。編制原則近年來，互聯(lián)網應用的迅速普及，各種網站得到發(fā)展，但由此產生的網站信任問題也逐漸突出和嚴重。大量的假冒網站和釣魚網站的出現已嚴重影響了我國網站的健康發(fā)展，很多的網民被假冒網站和釣魚網站欺詐過，每年造成巨大的經濟損失，這引發(fā)了互聯(lián)網的誠信危機，也對社會和經濟的發(fā)展造成了一定負面的影響。本標準規(guī)定網站可信評估指標與評估方法，使得網站標識頒發(fā)機構可以評估網站的身份真實性與系統(tǒng)安全，互聯(lián)網各終端軟件廠商（瀏覽器、搜索引擎、微博、安全軟件和即時通訊軟件等）可查詢標識頒發(fā)機構驗證的網站標識信息，并以適當的方式展示給網民，以實現對網民上網行為的保護，幫助網民有效甄別真假網站，凈化網絡環(huán)境。因此本標準制定時遵循以下原則：特點突出：重點從網站面臨的身份真實性以及遭受的典型安全威脅出發(fā)，提出網站身份以及系統(tǒng)安全相關評估指標、防護技術要求等。綜合防護：從身份和系統(tǒng)安全的物理層、網絡層、主機層、數據層、網站層、攻擊防范、安全監(jiān)控與應急響應等全方位提出安全技術要求。適度控制：從網站的類別、訪問量、注冊用戶數以及業(yè)務重要度出發(fā)，針對有不同安全防護需求的網站規(guī)定了基本、增強兩級安全保護強度的技術要求。評估指導：給出符合網站建設、運維需求的評估指導，評估對系統(tǒng)建設方、開發(fā)方、運維方的具體落實情況。三、主要工作過程1、2012年，承擔了全國信安標委信息安全專項預編制項目《網站可信評估指標》，調研國際網站可信評估指標與國內網絡可信評估實際應用需求和管理需求，調研市場上已有的網站可信核驗服務等。2、2012年2月，中國電子技術標準化研究院、北龍中網和上海格爾、百度在線、奇虎360、金山網絡、騰訊科技、北京天威誠信、上海CA、河南CA、CFCA、北京CA等共同組成標準編制組，召開該標準編制啟動工作會議。會上，對標準編制的組織形式及任務分工進行了安排。3、2012年3月至8月，標準編制組完成了國家標準《信息安全技術網站可信評估指標》（草案）。4、2012年8月30-31日在北京召開網站可信標準項目組工作會議，對草案文本進行了討論。5、2012年9月，編制組根據意見反饋情況，對草案文本進行了修改完善。6、2012年9月19日在北京召開網站可信標準試點工作部署研討會，討論和布置試點工作。7、于2013年1月17日在北京召開網站可信標準項目組工作會議，進一步完善了標準文本。8、2013年6月6日在北京召開網站可信標準項目組工作會議，討論標準草案，并明確下階段工作任務。9、2014年8月7日在西安召開網站可信標準項目組工作會議，來自陜西省網絡與信息安全測評中心相關領導、專家及產業(yè)界代表等20余人參加了此次會議，進一步完善了標準文本。10、2015年7月28日在北京召開網站可信標準項目組工作會議，討論標準草案，并明確下階段工作任務。11、2016年5月11日標準研制工作組在北京組織召開了標準草案專家討論會，經過專家討論，進一步完善了標準文本。12、2016年12月22日信安標委WG7工作組在北京組織召開了標準草案評審會，經過專家質詢和討論，通過評審。13、2016年12月至今，對文本進行了修改完善，形成了征求意見稿。四、標準的主要內容本標準規(guī)定了網站身份和系統(tǒng)安全評估指標、評估要求與評估方法，包括網站基本級要求、網站增強級要求、評估方法、評估結果展示和撤銷等內容。本標準適用于國內所有合法接入的互聯(lián)網網站。本標準主要框架如下：前言 引言 1范圍 2規(guī)范性引用文件 3術語和定義 4縮略語 5評估指標 6網站基本級要求 6.1身份要求 6.2系統(tǒng)安全要求 7網站增強級要求 7.1身份要求 7.2系統(tǒng)安全要求 8網站基本級評估方法 8.1身份真實性評估 8.2系統(tǒng)安全評估 9網站增強級評估方法 9.1身份真實性評估 9.2系統(tǒng)安全評估 10評估結果展示 11評估結果撤銷 附錄A（資料性附錄）評估流程示例 A.1評估準備 A.2評估階段 網站可信評估指標可分為網站身份層、系統(tǒng)安全層。網站身份評估指標包括網站名稱、網站IP地址、域名所有權屬、網站經營者身份證明信息等。網站系統(tǒng)安全評估指標包括Web網站安全、數據安全、主機安全、網絡邊界安全、物理安全、綜合防護等。根據上述評估指標，需要針對構成網站系統(tǒng)的各層面提出安全要求，并采取相應的技術措施。標準中提出了網站身份要求，為了應對日益嚴峻的流量劫持、數據泄漏、釣魚欺詐等安全問題，網站經營者應向核驗機構證明其真實身份，應提供的信息包括但不限于：網站名稱、ICP備案信息、網站IP地址、域名所有權屬、組織機構代碼、工商登記信息、身份證明信息等。由于構成網站系統(tǒng)的物理層、網絡層、主機層、數據層、網站層中的任何一層存在脆弱性，都可能導致網站出現內容篡改、服務中斷、信息泄露及惡意控制等安全風險。為了實現上述安全目標，需要針對構成網站系統(tǒng)的各層面存在的脆弱性提出安全要求，并采取相應的技術措施，包括木馬掃描、安全監(jiān)控、應急響應等。本標準中的網站身份和系統(tǒng)安全評估可劃分為基本級、增強級兩個等級。各評估單位可依據網站的類別、訪問量、注冊用戶數和業(yè)務重要度選擇相應級別的要求進行評估，見表1。其中，滿足任意一項級別選擇指標要求的網站均宜選擇增強級要求與評估。網站評估級別選擇方法級別選擇因素級別選擇指標適用的評估級別類別交易類網站是增強級否基本級訪問量有效日均訪問次數≥20萬PV是增強級否基本級注冊用戶數累計注冊用戶總數≥50萬是增強級否基本級業(yè)務重要度網站受到破壞后，會對社會秩序和公共利益造成嚴重損害或者對國家安全造成損害；或按照GB/T22240要求安全保護等級級別定為三級以上(含三級)的網站是增強級否基本級有效日均訪問次數應避免重復統(tǒng)計同一訪問源在短時間內進行的多次訪問。標準中基本級及增強級系統(tǒng)安全技術要求的區(qū)別如下表2所示：基本級及增強級系統(tǒng)安全技術要求的區(qū)別類一般級增強級運行支撐無分開部署要求網站系統(tǒng)的Web應用程序與數據庫系統(tǒng)應部署在不同的獨立物理服務器或虛擬服務器上無負載均衡要求保障負載均衡需求物理安全符合GB/T22239-2008中第二級基本要求的物理安全要求符合GB/T22239-2008中第三級基本要求的物理安全要求網絡邊界安全無地址綁定要求應僅允許指定的IP地址訪問網站服務器提供的內容管理、系統(tǒng)管理等服務和端口。服務器安全無高強度鑒別方式要求對遠程管理的系統(tǒng)管理員采用數字證書等高強度鑒別方式管理終端安全無接入身份認證要求采取技術措施對接入的管理終端進行身份認證，身份認證通過后方可接入和使用網絡資源；Web應用安全提供用戶名/口令身份鑒別身份鑒別功能要求高于一般級域名安全無解析監(jiān)控要求對域名解析的正確性進行監(jiān)控內容安全與數據安全無內容過濾要求可提供技術手段輔助進行網站發(fā)布內容的過濾定期備份要求除一般級要求外，要求對關鍵業(yè)務數據提供異地備份功能，并實施備份恢復演練攻擊防范無培訓要求加強物理安全、人員意識教育和培訓以及制定安全策略、事件響應計劃等控制措施，防御社會工程攻擊安全監(jiān)控與應急響應利用網站狀態(tài)監(jiān)控系統(tǒng)或人工監(jiān)控的方式，監(jiān)測網站的運行狀態(tài)，對網站異常狀況進行報警和處置對網站異常狀況進行實時報警和處置利用木馬監(jiān)控系統(tǒng)或第三方安全服務，能及時發(fā)現網站掛馬事件并迅速處理。對網站掛馬情況進行實時監(jiān)測和處置利用網頁防篡改系統(tǒng)、人工方式或第三方安全服務，能及時發(fā)現網站篡改事件并迅速處理。對網站篡改事件進行實時監(jiān)控和處置五、與相關法律法規(guī)及國家有關規(guī)定、國內相關標準的關系本標準提出了一個網站身份和系統(tǒng)安全的評估指標、評估要求與評估方法，規(guī)定了標識頒發(fā)機構在評估有關網站時應遵循的評估標準，包括網站基本級要求、網站增強級要求、評估方法、評估結果展示和撤銷等內容。本標準對于網站的評估項建立、評估流程、評估結果的展示等具有十分重要的參考意義，從而推動網站信任體系的建立。重大分歧意見的處理經過和依據詳見標準意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議本標準作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議（包括組織措施、技術措施、過渡辦法等內容）本標準主要用于通過標準化的形式將有關網站身份驗證和系統(tǒng)安全等內容進行規(guī)范，有助于促進和規(guī)范當前國內網站身份驗證與系統(tǒng)安全工作的推進和管理