信息安全技术 网站身份和系统安全要求与评估方法-编制说明

任务来源《信息安全技术网站可信评估指标》是国家标准化管理委员会2013年下达的信息安全国家标准制定项目，国标计划号为：20130332-T-469，由中国电子技术标准化研究院主要负责起草，北龙中网(北京)、上海格尔科技发展有限公司、百度在线、奇虎科技、金山网络、腾讯科技、北京天威诚信、上海CA、河南CA、CFCA、北京CA、中国信息安全认证中心、无线网络安全技术国家工程实验室、四川大学计算机学院网络与可信计算研究所等单位共同参与该标准的起草工作。编制原则近年来，互联网应用的迅速普及，各种网站得到发展，但由此产生的网站信任问题也逐渐突出和严重。大量的假冒网站和钓鱼网站的出现已严重影响了我国网站的健康发展，很多的网民被假冒网站和钓鱼网站欺诈过，每年造成巨大的经济损失，这引发了互联网的诚信危机，也对社会和经济的发展造成了一定负面的影响。本标准规定网站可信评估指标与评估方法，使得网站标识颁发机构可以评估网站的身份真实性与系统安全，互联网各终端软件厂商（浏览器、搜索引擎、微博、安全软件和即时通讯软件等）可查询标识颁发机构验证的网站标识信息，并以适当的方式展示给网民，以实现对网民上网行为的保护，帮助网民有效甄别真假网站，净化网络环境。因此本标准制定时遵循以下原则：特点突出：重点从网站面临的身份真实性以及遭受的典型安全威胁出发，提出网站身份以及系统安全相关评估指标、防护技术要求等。综合防护：从身份和系统安全的物理层、网络层、主机层、数据层、网站层、攻击防范、安全监控与应急响应等全方位提出安全技术要求。适度控制：从网站的类别、访问量、注册用户数以及业务重要度出发，针对有不同安全防护需求的网站规定了基本、增强两级安全保护强度的技术要求。评估指导：给出符合网站建设、运维需求的评估指导，评估对系统建设方、开发方、运维方的具体落实情况。三、主要工作过程1、2012年，承担了全国信安标委信息安全专项预编制项目《网站可信评估指标》，调研国际网站可信评估指标与国内网络可信评估实际应用需求和管理需求，调研市场上已有的网站可信核验服务等。2、2012年2月，中国电子技术标准化研究院、北龙中网和上海格尔、百度在线、奇虎360、金山网络、腾讯科技、北京天威诚信、上海CA、河南CA、CFCA、北京CA等共同组成标准编制组，召开该标准编制启动工作会议。会上，对标准编制的组织形式及任务分工进行了安排。3、2012年3月至8月，标准编制组完成了国家标准《信息安全技术网站可信评估指标》（草案）。4、2012年8月30-31日在北京召开网站可信标准项目组工作会议，对草案文本进行了讨论。5、2012年9月，编制组根据意见反馈情况，对草案文本进行了修改完善。6、2012年9月19日在北京召开网站可信标准试点工作部署研讨会，讨论和布置试点工作。7、于2013年1月17日在北京召开网站可信标准项目组工作会议，进一步完善了标准文本。8、2013年6月6日在北京召开网站可信标准项目组工作会议，讨论标准草案，并明确下阶段工作任务。9、2014年8月7日在西安召开网站可信标准项目组工作会议，来自陕西省网络与信息安全测评中心相关领导、专家及产业界代表等20余人参加了此次会议，进一步完善了标准文本。10、2015年7月28日在北京召开网站可信标准项目组工作会议，讨论标准草案，并明确下阶段工作任务。11、2016年5月11日标准研制工作组在北京组织召开了标准草案专家讨论会，经过专家讨论，进一步完善了标准文本。12、2016年12月22日信安标委WG7工作组在北京组织召开了标准草案评审会，经过专家质询和讨论，通过评审。13、2016年12月至今，对文本进行了修改完善，形成了征求意见稿。四、标准的主要内容本标准规定了网站身份和系统安全评估指标、评估要求与评估方法，包括网站基本级要求、网站增强级要求、评估方法、评估结果展示和撤销等内容。本标准适用于国内所有合法接入的互联网网站。本标准主要框架如下：前言 引言 1范围 2规范性引用文件 3术语和定义 4缩略语 5评估指标 6网站基本级要求 6.1身份要求 6.2系统安全要求 7网站增强级要求 7.1身份要求 7.2系统安全要求 8网站基本级评估方法 8.1身份真实性评估 8.2系统安全评估 9网站增强级评估方法 9.1身份真实性评估 9.2系统安全评估 10评估结果展示 11评估结果撤销 附录A（资料性附录）评估流程示例 A.1评估准备 A.2评估阶段 网站可信评估指标可分为网站身份层、系统安全层。网站身份评估指标包括网站名称、网站IP地址、域名所有权属、网站经营者身份证明信息等。网站系统安全评估指标包括Web网站安全、数据安全、主机安全、网络边界安全、物理安全、综合防护等。根据上述评估指标，需要针对构成网站系统的各层面提出安全要求，并采取相应的技术措施。标准中提出了网站身份要求，为了应对日益严峻的流量劫持、数据泄漏、钓鱼欺诈等安全问题，网站经营者应向核验机构证明其真实身份，应提供的信息包括但不限于：网站名称、ICP备案信息、网站IP地址、域名所有权属、组织机构代码、工商登记信息、身份证明信息等。由于构成网站系统的物理层、网络层、主机层、数据层、网站层中的任何一层存在脆弱性，都可能导致网站出现内容篡改、服务中断、信息泄露及恶意控制等安全风险。为了实现上述安全目标，需要针对构成网站系统的各层面存在的脆弱性提出安全要求，并采取相应的技术措施，包括木马扫描、安全监控、应急响应等。本标准中的网站身份和系统安全评估可划分为基本级、增强级两个等级。各评估单位可依据网站的类别、访问量、注册用户数和业务重要度选择相应级别的要求进行评估，见表1。其中，满足任意一项级别选择指标要求的网站均宜选择增强级要求与评估。网站评估级别选择方法级别选择因素级别选择指标适用的评估级别类别交易类网站是增强级否基本级访问量有效日均访问次数≥20万PV是增强级否基本级注册用户数累计注册用户总数≥50万是增强级否基本级业务重要度网站受到破坏后，会对社会秩序和公共利益造成严重损害或者对国家安全造成损害；或按照GB/T22240要求安全保护等级级别定为三级以上(含三级)的网站是增强级否基本级有效日均访问次数应避免重复统计同一访问源在短时间内进行的多次访问。标准中基本级及增强级系统安全技术要求的区别如下表2所示：基本级及增强级系统安全技术要求的区别类一般级增强级运行支撑无分开部署要求网站系统的Web应用程序与数据库系统应部署在不同的独立物理服务器或虚拟服务器上无负载均衡要求保障负载均衡需求物理安全符合GB/T22239-2008中第二级基本要求的物理安全要求符合GB/T22239-2008中第三级基本要求的物理安全要求网络边界安全无地址绑定要求应仅允许指定的IP地址访问网站服务器提供的内容管理、系统管理等服务和端口。服务器安全无高强度鉴别方式要求对远程管理的系统管理员采用数字证书等高强度鉴别方式管理终端安全无接入身份认证要求采取技术措施对接入的管理终端进行身份认证，身份认证通过后方可接入和使用网络资源；Web应用安全提供用户名/口令身份鉴别身份鉴别功能要求高于一般级域名安全无解析监控要求对域名解析的正确性进行监控内容安全与数据安全无内容过滤要求可提供技术手段辅助进行网站发布内容的过滤定期备份要求除一般级要求外，要求对关键业务数据提供异地备份功能，并实施备份恢复演练攻击防范无培训要求加强物理安全、人员意识教育和培训以及制定安全策略、事件响应计划等控制措施，防御社会工程攻击安全监控与应急响应利用网站状态监控系统或人工监控的方式，监测网站的运行状态，对网站异常状况进行报警和处置对网站异常状况进行实时报警和处置利用木马监控系统或第三方安全服务，能及时发现网站挂马事件并迅速处理。对网站挂马情况进行实时监测和处置利用网页防篡改系统、人工方式或第三方安全服务，能及时发现网站篡改事件并迅速处理。对网站篡改事件进行实时监控和处置五、与相关法律法规及国家有关规定、国内相关标准的关系本标准提出了一个网站身份和系统安全的评估指标、评估要求与评估方法，规定了标识颁发机构在评估有关网站时应遵循的评估标准，包括网站基本级要求、网站增强级要求、评估方法、评估结果展示和撤销等内容。本标准对于网站的评估项建立、评估流程、评估结果的展示等具有十分重要的参考意义，从而推动网站信任体系的建立。重大分歧意见的处理经过和依据详见标准意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）本标准主要用于通过标准化的形式将有关网站身份验证和系统安全等内容进行规范，有助于促进和规范当前国内网站身份验证与系统安全工作的推进和管理