《網(wǎng)站恢復(fù)產(chǎn)品認(rèn)證技術(shù)規(guī)范》的編制說(shuō)明（一）制定認(rèn)證技術(shù)規(guī)范的必要性；網(wǎng)站是目前一種重要的信息發(fā)布平臺(tái)，與社會(huì)、政治、經(jīng)濟(jì)生活都有著密切的關(guān)系。近年來(lái)，涉及各類網(wǎng)站的網(wǎng)頁(yè)篡改事件十分嚴(yán)重，并有日益上升

《網(wǎng)站恢復(fù)產(chǎn)品認(rèn)證技術(shù)規(guī)范》

的編制說(shuō)明

（一）制定認(rèn)證技術(shù)規(guī)范的必要性；

網(wǎng)站是目前一種重要的信息發(fā)布平臺(tái)，與社會(huì)、政治、經(jīng)濟(jì)生活都有著密切的關(guān)系。近年來(lái)，涉及各類網(wǎng)站的網(wǎng)頁(yè)篡改事件十分嚴(yán)重，并有日益上升的趨勢(shì)。2006年，僅被CNCERT/CC監(jiān)測(cè)到的中國(guó)大陸被篡改網(wǎng)站總數(shù)就達(dá)到24477個(gè)，比2005年同期增長(zhǎng)接近一倍。

網(wǎng)站恢復(fù)產(chǎn)品作為一種保護(hù)網(wǎng)頁(yè)，并在網(wǎng)頁(yè)被篡改后及時(shí)進(jìn)行恢復(fù)的信息安全產(chǎn)品，對(duì)保護(hù)網(wǎng)站起著十分重要的作用。隨著研究和應(yīng)用的深入，網(wǎng)站恢復(fù)產(chǎn)品的生產(chǎn)銷售正逐步增多，網(wǎng)站恢復(fù)產(chǎn)品市場(chǎng)正逐漸形成。而在測(cè)評(píng)認(rèn)證方面，雖然公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心等檢測(cè)機(jī)構(gòu)都已經(jīng)展開對(duì)網(wǎng)站恢復(fù)產(chǎn)品的檢測(cè)工作，但專門針對(duì)網(wǎng)站恢復(fù)產(chǎn)品的國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)尚未形成。

基于現(xiàn)有工作基礎(chǔ)，制定網(wǎng)站恢復(fù)產(chǎn)品認(rèn)證技術(shù)規(guī)范，對(duì)于引導(dǎo)網(wǎng)站恢復(fù)產(chǎn)品生產(chǎn)研制，以及規(guī)范相應(yīng)的測(cè)評(píng)認(rèn)證活動(dòng)都是十分必要的，同時(shí)也是可行的。

（二）與相關(guān)法律法規(guī)以及國(guó)家有關(guān)規(guī)定的關(guān)系；

2005年12月23日頒布的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定（公安部82號(hào)令）》中，第九條第三款規(guī)定：開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務(wù)網(wǎng)站的，能夠防范網(wǎng)站、網(wǎng)頁(yè)被篡改，被篡改后能夠自動(dòng)恢復(fù)。網(wǎng)站恢復(fù)產(chǎn)品認(rèn)證技術(shù)規(guī)范主要根據(jù)該規(guī)定對(duì)網(wǎng)站恢復(fù)產(chǎn)品提出安全技術(shù)要求。

本認(rèn)證技術(shù)規(guī)范的制定符合國(guó)家現(xiàn)行法律法規(guī)的規(guī)定。

（三）與現(xiàn)行標(biāo)準(zhǔn)的關(guān)系，包括存在的差異及理由；

目前沒有專門針對(duì)網(wǎng)站恢復(fù)產(chǎn)品的國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，可供參考的國(guó)家標(biāo)準(zhǔn)主要是GB/T18336-2001《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》。該標(biāo)準(zhǔn)在框架、模型、通用的安全要求方面做出規(guī)定，沒有具體針對(duì)網(wǎng)站恢復(fù)產(chǎn)品的安全技術(shù)要求。本技術(shù)規(guī)范根據(jù)GB/T18336-2001提出的框架和通用安全要求，針對(duì)網(wǎng)站恢復(fù)產(chǎn)品特點(diǎn)，提出了具體的安全技術(shù)要求和性能要求。 1

（四）參與制定認(rèn)證技術(shù)規(guī)范的各方的情況；

1. 中國(guó)信息安全認(rèn)證中心

中國(guó)信息安全認(rèn)證中心是經(jīng)中央編制委員會(huì)批準(zhǔn)于2006年11月正式成立的正局級(jí)事業(yè)單位，隸屬于國(guó)家質(zhì)檢總局，由國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)管理。中國(guó)信息安全認(rèn)證中心是由國(guó)務(wù)院信息化工作辦公室、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、公安部、國(guó)家安全部、信息產(chǎn)業(yè)部、國(guó)家保密局、國(guó)家密碼局、國(guó)家質(zhì)檢總局八部委授權(quán)，依據(jù)國(guó)家有關(guān)強(qiáng)制性產(chǎn)品認(rèn)證、信息安全管理的法律法規(guī)，負(fù)責(zé)實(shí)施信息安全認(rèn)證的專門機(jī)構(gòu)。

中國(guó)信息安全認(rèn)證中心依據(jù)國(guó)家信息安全管理的法律法規(guī)、《認(rèn)證認(rèn)可條例》和相關(guān)技術(shù)標(biāo)準(zhǔn)，對(duì)信息安全產(chǎn)品實(shí)施認(rèn)證，開展信息安全有關(guān)的管理體系認(rèn)證和人員培訓(xùn)、技術(shù)研發(fā)等工作。

（五）制定原則、確定主要內(nèi)容的依據(jù)和驗(yàn)證情況；

1. 制定原則

為使技術(shù)規(guī)范能夠滿足科學(xué)、規(guī)范地開展認(rèn)證工作的需要，客觀反映我國(guó)網(wǎng)站恢復(fù)產(chǎn)品技術(shù)水平，并引導(dǎo)技術(shù)發(fā)展，保證產(chǎn)品安全功能符合要求，以及良好的可用性，在技術(shù)規(guī)范制定過(guò)程中，主要遵循了如下幾個(gè)原則：

（1） 要符合國(guó)家的有關(guān)政策法規(guī)要求；

（2） 要與已頒布實(shí)施的相關(guān)標(biāo)準(zhǔn)相協(xié)調(diào)；

（3） 要充分考慮我國(guó)網(wǎng)站恢復(fù)產(chǎn)品生產(chǎn)企業(yè)的發(fā)展水平；

（4） 要基本覆蓋目前市場(chǎng)上主要的網(wǎng)站恢復(fù)產(chǎn)品類型；

（5） 要適度考慮目前處于發(fā)展成熟過(guò)程中的技術(shù)，保持一定的前瞻性。

2. 確定主要內(nèi)容的依據(jù)

主要內(nèi)容的確定基于如下幾個(gè)方面：

（1） 以GB/T18336-2001《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》

為框架和指南。根據(jù)該標(biāo)準(zhǔn)提出的安全要求，分析網(wǎng)站恢復(fù)產(chǎn)品的具體特點(diǎn)，形成有針對(duì)性的安全技術(shù)要求；

（2） 在具體安全技術(shù)要求上，參考了公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量

監(jiān)督檢驗(yàn)中心提出的檢驗(yàn)規(guī)范MSCTC-GFJ-08 《信息技術(shù) 網(wǎng)站恢復(fù)產(chǎn)品安全檢驗(yàn)規(guī)范》；

2

（3） 研究、分析了市場(chǎng)上主要的網(wǎng)站恢復(fù)產(chǎn)品的技術(shù)特點(diǎn)、發(fā)展趨勢(shì)，以

及應(yīng)用案例。在此基礎(chǔ)上，對(duì)提出的安全技術(shù)要求進(jìn)行了驗(yàn)證、細(xì)化

和補(bǔ)充，并提出了性能要求。

3. 驗(yàn)證情況

通過(guò)組織專家和廠商研討會(huì)，對(duì)技術(shù)規(guī)范的科學(xué)性、可行性等進(jìn)行了多次論證、研討，并根據(jù)專家、廠商意見進(jìn)行了多次修訂、完善。同時(shí)，由于技術(shù)規(guī)范參考了由公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心提出，并在實(shí)際檢測(cè)中已經(jīng)使用的檢驗(yàn)規(guī)范MSCTC-GFJ-08 《信息技術(shù) 網(wǎng)站恢復(fù)產(chǎn)品安全檢驗(yàn)規(guī)范》，其可行性也在實(shí)踐中得到了檢驗(yàn)。

（六）制定過(guò)程，包括重大分歧意見的處理經(jīng)過(guò)和依據(jù)、征求和處理意見的經(jīng)過(guò)；

（1） 2007年3月成立技術(shù)規(guī)范起草小組；

（2） 2007年3-5月起草組組織技術(shù)專家研討會(huì)，對(duì)國(guó)內(nèi)網(wǎng)站恢復(fù)產(chǎn)品進(jìn)

行分析，并依據(jù)GB/T18336-2001《信息技術(shù) 安全技術(shù) 信息技術(shù)安

全性評(píng)估準(zhǔn)則》等標(biāo)準(zhǔn)，以及公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)

督檢驗(yàn)中心提出的檢驗(yàn)規(guī)范MSCTC-GFJ-08 《信息技術(shù) 網(wǎng)站恢復(fù)產(chǎn)

品安全檢驗(yàn)規(guī)范》，于2007年5月，確定了網(wǎng)站恢復(fù)產(chǎn)品的安全技術(shù)

要求、性能要求和評(píng)測(cè)方法。

（3） 2007年5月完成“網(wǎng)站恢復(fù)產(chǎn)品認(rèn)證技術(shù)規(guī)范”（討論稿）的起草；

（4） 2007年5月28日在北京召開了網(wǎng)站恢復(fù)產(chǎn)品技術(shù)規(guī)范研討會(huì)，共有

18家單位的25名專家代表出席了會(huì)議，對(duì)技術(shù)規(guī)范進(jìn)行了討論，采納了適用范圍、術(shù)語(yǔ)、性能要求等相關(guān)建議，并對(duì)征求意見稿進(jìn)行了

修改，形成本送審稿。

技術(shù)規(guī)范制定過(guò)程中沒有重大分歧意見。

3