信息安全技術(shù) 網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品技術(shù)要求與測試評價方法-編制說明

任務(wù)來源按照全國信息安全標準化技術(shù)委員會2019年信息安全標準項目立項通知（信安秘字[2019]050號），全國信息安全標準化技術(shù)委員會啟動了《信息安全技術(shù)網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品技術(shù)要求與測試評價方法》的修訂工作。本標準由中認信安（北京）技術(shù)服務(wù)有限公司牽頭組織修訂，起草單位包括：中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、公安部第三研究所、中國電子科技集團公司第十五所、上海市信息安全測評認證中心、北京信息安全測評中心、公安部第一研究所、北京天融信科技有限公司、藍盾信息安全技術(shù)股份有限公司、北京神州綠盟科技有限公司、廈門服云信息科技有限公司等，歸口單位為全國信息安全標準化技術(shù)委員會（SAC/TC260）。編制背景近幾年我國信息化發(fā)展迅猛，網(wǎng)站建設(shè)得到了空前發(fā)展。然而，據(jù)不完全統(tǒng)計，我國98%以上的站點都受到過不同程度的黑客攻擊，攻擊的種類繁多，安全防范日益成為大家關(guān)注的焦點。中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）2018年2月份發(fā)布的第41次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》中顯示，2017年CNCERT共監(jiān)測發(fā)現(xiàn)我國境內(nèi)被篡改的網(wǎng)站數(shù)量達60684個，其中政府網(wǎng)站數(shù)量累計1605個，較2016年持續(xù)遞增，形式非常嚴峻。篡改一旦發(fā)生，容易在短時間內(nèi)廣泛傳播，對企事業(yè)單位的信譽產(chǎn)生惡劣影響，需要有可靠的事前防御和事后恢復(fù)手段。目前網(wǎng)站數(shù)據(jù)恢復(fù)技術(shù)已經(jīng)發(fā)展到第三代全新防篡改技術(shù)，產(chǎn)品更加側(cè)重于事前防護，并且完全支持事前阻斷、斷線檢測、防未知攻擊威脅，另一方面，產(chǎn)品自身安全管理的安全性和易用性再進一步提升，產(chǎn)品部署形態(tài)和管理模式更加普適化。目前現(xiàn)有的標準部分技術(shù)內(nèi)容已經(jīng)不能完全適用現(xiàn)有客戶和市場產(chǎn)品發(fā)展需求，因此標準急需對內(nèi)容進行修訂。另外隨著《網(wǎng)絡(luò)安全法》進一步落地，由國家互聯(lián)網(wǎng)信息辦公室、工信部、公安部和國家認監(jiān)委等四部委聯(lián)合發(fā)布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)》公告，其中將網(wǎng)站恢復(fù)產(chǎn)品列為了網(wǎng)絡(luò)安全專用產(chǎn)品，因此為了緊跟產(chǎn)品和技術(shù)發(fā)展現(xiàn)狀，建立一套全新的產(chǎn)品安全技術(shù)要求和測試評價方法，來進一步規(guī)范產(chǎn)品的安全功能、及安全性等評價指標，也積極落實《網(wǎng)絡(luò)安全法》奠定基礎(chǔ)。編制原則本標準根據(jù)當前產(chǎn)業(yè)界網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品安全最佳實踐，結(jié)合新技術(shù)發(fā)展和國內(nèi)實際應(yīng)用情況，提出適合于我國國情，具有較強可操作性的安全標準。通過該標準的修訂及實踐，不僅可以提升產(chǎn)品自身安全能力，也為產(chǎn)品研制、生產(chǎn)、維護和測評提供指導(dǎo)。本標準的修訂遵循以下原則：符合性：應(yīng)符合國家有關(guān)政策法規(guī)的要求；兼容性：應(yīng)與已頒布實施的相關(guān)安全標準相協(xié)調(diào)；先進性：充分考慮我國網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品實際安全技術(shù)水平和發(fā)展應(yīng)用，并保持一定的前瞻性。適用性：應(yīng)結(jié)合產(chǎn)業(yè)對網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品安全實際應(yīng)用需求中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；簡要過程說明在本標準項目啟動時已經(jīng)組建了一個申報小組，成員單位有中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、公安部第三研究所、中國電子科技集團公司第十五所、北京天融信科技有限公司、藍盾信息安全技術(shù)股份有限公司。在2019年2月至2019年3月組織兩次集中討論、以及小范圍溝通，形成修訂申報材料，包括申報書、建議書和標準草案。2019年4月參加信安標委2019年第一次會議周提出修訂立項建議，于2019年8月在信安標委正式立項。2019年9月中旬標準編制組在北京召開了標準修訂項目啟動會即研討會，與會專家對標準名稱和標準涉及內(nèi)容進行研討，并針對2019年4月會議周上的專家意見和新的意見進行了討論，并根據(jù)與會專家意見，形成了標準草案討論稿V2.0。2019年9月下旬~10月上旬，標準修訂組針對草案V2.0多次討論，并根據(jù)相關(guān)意見形成標準草案討論稿V2.2。2019年10月12日，標準修訂組參加信安標委WG5組織的專家審查會，收集專家意見，會后并針對專家意見修改形成新的標準草案V3.0。2019年10月，在重慶召開的信安標委第二次會議周上，標準編制組就本標準研制情況在會上做了匯報，經(jīng)組內(nèi)成員投票，同意形成征求意見稿。2019年10月底至11月，編制組就重慶會議周上專家意見，進行深入研究討論，逐條對意見進行梳理和處理。標準結(jié)構(gòu)本標準總體上將網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品技術(shù)要求分為安全功能要求、自身安全要求和安全保障要求三部分，并根據(jù)安全功能的強弱和安全保障的高低對安全技術(shù)要求進行了安全等級劃分，即分為基本級和增強級兩個等級，最后針對安全技術(shù)要求提出了相應(yīng)的測試評價方法。具體結(jié)構(gòu)如下：安全技術(shù)要求安全功能要求：網(wǎng)站數(shù)據(jù)監(jiān)測功能、網(wǎng)站數(shù)據(jù)防篡改功能、報警功能、網(wǎng)站數(shù)據(jù)恢復(fù)功能、網(wǎng)站數(shù)據(jù)備份、網(wǎng)站數(shù)據(jù)合法更新、管理控制功能、審計功能、備份數(shù)據(jù)保護。自身安全功能要求：身份標識與鑒別、管理能力、管理審計、管理方式和程序數(shù)據(jù)保護。安全保障要求：開發(fā)、指導(dǎo)性文檔、生命周期支持、測試、脆弱性評定。測試評價方法本標準與GB/T29766-2013《信息安全技術(shù)網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品技術(shù)要求與測試評價方法》相比，主要修訂內(nèi)容如下：按照WG5組標準體系的要求，調(diào)整標準結(jié)構(gòu)：增加總體描述一節(jié)；將產(chǎn)品安全功能要求分為安全功能要求和自身安全要求；將等級劃分的內(nèi)容調(diào)整到附錄；對標準主要內(nèi)容修訂如下：順應(yīng)產(chǎn)品的技術(shù)發(fā)展形勢，側(cè)重產(chǎn)品在事前防護，因此增加了網(wǎng)站數(shù)據(jù)防篡改的要求；修改了“可審計事件”、“審計數(shù)據(jù)內(nèi)容”的要求；增加了“審計數(shù)據(jù)存儲”、“審計報表”的要求增加了產(chǎn)品自身安全功能要求，如完善了身份鑒別要求、增加了管理能力要求、增加了管理審計要求、增加了管理方式要求等。按照新的國標GB/T18336.3-2015的相關(guān)內(nèi)容，修訂了安全保障要求。主要安全功能變化情況表如下所示：修訂前修訂后安全功能要求網(wǎng)站數(shù)據(jù)監(jiān)測功能網(wǎng)站網(wǎng)頁文件監(jiān)測功能安全功能要求網(wǎng)站數(shù)據(jù)監(jiān)測功能網(wǎng)站靜態(tài)數(shù)據(jù)監(jiān)測功能動態(tài)腳本文件監(jiān)測功能網(wǎng)站動態(tài)數(shù)據(jù)監(jiān)測功能網(wǎng)站數(shù)據(jù)庫檢測功能網(wǎng)站目錄監(jiān)測功能網(wǎng)頁目錄監(jiān)測功能網(wǎng)站數(shù)據(jù)防篡改功能網(wǎng)站靜態(tài)數(shù)據(jù)防篡改功能報警功能實時報警事件網(wǎng)站動態(tài)數(shù)據(jù)防篡改功能報警方式網(wǎng)站目錄防篡改功能網(wǎng)站數(shù)據(jù)自恢復(fù)功能靜態(tài)網(wǎng)頁文件自動恢復(fù)功能報警功能實時報警事件動態(tài)網(wǎng)頁文件自動恢復(fù)功能報警方式網(wǎng)頁目錄自動恢復(fù)功能報警信息網(wǎng)站數(shù)據(jù)庫手動或自動恢復(fù)功能網(wǎng)站數(shù)據(jù)恢復(fù)功能網(wǎng)站靜態(tài)數(shù)據(jù)恢復(fù)功能網(wǎng)站數(shù)據(jù)備份網(wǎng)站數(shù)據(jù)備份初始化網(wǎng)站動態(tài)數(shù)據(jù)恢復(fù)功能網(wǎng)站數(shù)據(jù)備份功能網(wǎng)站目錄恢復(fù)功能網(wǎng)站數(shù)據(jù)備份方式網(wǎng)站數(shù)據(jù)備份網(wǎng)站數(shù)據(jù)備份初始化網(wǎng)站數(shù)據(jù)合法更新網(wǎng)站數(shù)據(jù)備份功能管理控制功能監(jiān)控對象管理網(wǎng)站數(shù)據(jù)備份方式遠程管理網(wǎng)站數(shù)據(jù)合法更新管理界面友好型管理控制功能監(jiān)控對象管理與網(wǎng)站發(fā)布系統(tǒng)的兼容性與網(wǎng)站發(fā)布系統(tǒng)的兼容性策略定制策略定制策略管理策略管理權(quán)限管理功能審計功能可審計事件身份鑒別身份鑒別審計數(shù)據(jù)內(nèi)容鑒別失敗處理審計數(shù)據(jù)存儲審計功能可審計事件內(nèi)容可讀性審計數(shù)據(jù)內(nèi)容審計記錄查詢審計數(shù)據(jù)存儲審計報表內(nèi)容可讀性備份數(shù)據(jù)保護備份數(shù)據(jù)的安全存儲審計記錄查詢備份數(shù)據(jù)的安全傳輸審計報表自身安全功能要求身份標識與鑒別用戶數(shù)據(jù)保護管理信息傳輸安全管理能力備份數(shù)據(jù)的安全存儲管理審計備份數(shù)據(jù)的安全傳輸管理方式程序數(shù)據(jù)保護程序數(shù)據(jù)保護專利說明無。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系本標準符合現(xiàn)有法律法規(guī)的要求。本標準與GB/T29765《信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測試評價方法》的區(qū)別：兩個標準是分別針對兩種完全不同的產(chǎn)品，適用于場景也不同；同時產(chǎn)品保護或防護的對象也不同，網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品更多強調(diào)對網(wǎng)站數(shù)據(jù)的監(jiān)測、防篡改、備份與恢復(fù)等保護，數(shù)據(jù)量有限，而數(shù)據(jù)備份與恢復(fù)產(chǎn)品更強調(diào)是對大量存儲數(shù)據(jù)的備份與恢復(fù)，并且對備份恢復(fù)策略有較高要求的產(chǎn)品，從實際標準內(nèi)容來看，兩個標準也差別較大，故本標準與現(xiàn)有國家標準不矛盾、不沖突，也不重復(fù)。重大分歧意見的處理經(jīng)過和依據(jù)本標準編制過程中未出現(xiàn)重大分歧。其他詳見意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）該標準為網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品研制、生產(chǎn)、維護和測評提供了指導(dǎo)。該標準在具體貫徹實施時，可要求相關(guān)測評認證機構(gòu)采用該標準作為測評依據(jù)，如《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》中對網(wǎng)站恢復(fù)產(chǎn)品的測評和認證；在政府采購設(shè)備的準入測試；網(wǎng)絡(luò)安全等級保護制度下不同保護等級的信息系統(tǒng)對網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品的選型測評；國內(nèi)相關(guān)單位的招標選型測評等，建議產(chǎn)品研制和生產(chǎn)廠商以該標準為依據(jù)，推動該產(chǎn)品的安全研發(fā)，提高產(chǎn)品自身的安全能力。其他事項說明無。國家標準《信息安全技術(shù)網(wǎng)站數(shù)據(jù)恢復(fù)產(chǎn)品技術(shù)要求與測試評價