《網(wǎng)站恢復產(chǎn)品認證技術規(guī)范》的編制說明（一）制定認證技術規(guī)范的必要性；網(wǎng)站是目前一種重要的信息發(fā)布平臺，與社會、政治、經(jīng)濟生活都有著密切的關系。近年來，涉及各類網(wǎng)站的網(wǎng)頁篡改事件十分嚴重，并有日益上升

《網(wǎng)站恢復產(chǎn)品認證技術規(guī)范》

的編制說明

（一）制定認證技術規(guī)范的必要性；

網(wǎng)站是目前一種重要的信息發(fā)布平臺，與社會、政治、經(jīng)濟生活都有著密切的關系。近年來，涉及各類網(wǎng)站的網(wǎng)頁篡改事件十分嚴重，并有日益上升的趨勢。2006年，僅被CNCERT/CC監(jiān)測到的中國大陸被篡改網(wǎng)站總數(shù)就達到24477個，比2005年同期增長接近一倍。

網(wǎng)站恢復產(chǎn)品作為一種保護網(wǎng)頁，并在網(wǎng)頁被篡改后及時進行恢復的信息安全產(chǎn)品，對保護網(wǎng)站起著十分重要的作用。隨著研究和應用的深入，網(wǎng)站恢復產(chǎn)品的生產(chǎn)銷售正逐步增多，網(wǎng)站恢復產(chǎn)品市場正逐漸形成。而在測評認證方面，雖然公安部計算機信息系統(tǒng)安全產(chǎn)品質量監(jiān)督檢驗中心、中國信息安全產(chǎn)品測評認證中心等檢測機構都已經(jīng)展開對網(wǎng)站恢復產(chǎn)品的檢測工作，但專門針對網(wǎng)站恢復產(chǎn)品的國家標準和行業(yè)標準尚未形成。

基于現(xiàn)有工作基礎，制定網(wǎng)站恢復產(chǎn)品認證技術規(guī)范，對于引導網(wǎng)站恢復產(chǎn)品生產(chǎn)研制，以及規(guī)范相應的測評認證活動都是十分必要的，同時也是可行的。

（二）與相關法律法規(guī)以及國家有關規(guī)定的關系；

2005年12月23日頒布的《互聯(lián)網(wǎng)安全保護技術措施規(guī)定（公安部82號令）》中，第九條第三款規(guī)定：開辦門戶網(wǎng)站、新聞網(wǎng)站、電子商務網(wǎng)站的，能夠防范網(wǎng)站、網(wǎng)頁被篡改，被篡改后能夠自動恢復。網(wǎng)站恢復產(chǎn)品認證技術規(guī)范主要根據(jù)該規(guī)定對網(wǎng)站恢復產(chǎn)品提出安全技術要求。

本認證技術規(guī)范的制定符合國家現(xiàn)行法律法規(guī)的規(guī)定。

（三）與現(xiàn)行標準的關系，包括存在的差異及理由；

目前沒有專門針對網(wǎng)站恢復產(chǎn)品的國家標準和行業(yè)標準，可供參考的國家標準主要是GB/T18336-2001《信息技術 安全技術 信息技術安全性評估準則》。該標準在框架、模型、通用的安全要求方面做出規(guī)定，沒有具體針對網(wǎng)站恢復產(chǎn)品的安全技術要求。本技術規(guī)范根據(jù)GB/T18336-2001提出的框架和通用安全要求，針對網(wǎng)站恢復產(chǎn)品特點，提出了具體的安全技術要求和性能要求。 1

（四）參與制定認證技術規(guī)范的各方的情況；

1. 中國信息安全認證中心

中國信息安全認證中心是經(jīng)中央編制委員會批準于2006年11月正式成立的正局級事業(yè)單位，隸屬于國家質檢總局，由國家認證認可監(jiān)督管理委員會管理。中國信息安全認證中心是由國務院信息化工作辦公室、國家認證認可監(jiān)督管理委員會、公安部、國家安全部、信息產(chǎn)業(yè)部、國家保密局、國家密碼局、國家質檢總局八部委授權，依據(jù)國家有關強制性產(chǎn)品認證、信息安全管理的法律法規(guī)，負責實施信息安全認證的專門機構。

中國信息安全認證中心依據(jù)國家信息安全管理的法律法規(guī)、《認證認可條例》和相關技術標準，對信息安全產(chǎn)品實施認證，開展信息安全有關的管理體系認證和人員培訓、技術研發(fā)等工作。

（五）制定原則、確定主要內容的依據(jù)和驗證情況；

1. 制定原則

為使技術規(guī)范能夠滿足科學、規(guī)范地開展認證工作的需要，客觀反映我國網(wǎng)站恢復產(chǎn)品技術水平，并引導技術發(fā)展，保證產(chǎn)品安全功能符合要求，以及良好的可用性，在技術規(guī)范制定過程中，主要遵循了如下幾個原則：

（1） 要符合國家的有關政策法規(guī)要求；

（2） 要與已頒布實施的相關標準相協(xié)調；

（3） 要充分考慮我國網(wǎng)站恢復產(chǎn)品生產(chǎn)企業(yè)的發(fā)展水平；

（4） 要基本覆蓋目前市場上主要的網(wǎng)站恢復產(chǎn)品類型；

（5） 要適度考慮目前處于發(fā)展成熟過程中的技術，保持一定的前瞻性。

2. 確定主要內容的依據(jù)

主要內容的確定基于如下幾個方面：

（1） 以GB/T18336-2001《信息技術 安全技術 信息技術安全性評估準則》

為框架和指南。根據(jù)該標準提出的安全要求，分析網(wǎng)站恢復產(chǎn)品的具體特點，形成有針對性的安全技術要求；

（2） 在具體安全技術要求上，參考了公安部計算機信息系統(tǒng)安全產(chǎn)品質量

監(jiān)督檢驗中心提出的檢驗規(guī)范MSCTC-GFJ-08 《信息技術 網(wǎng)站恢復產(chǎn)品安全檢驗規(guī)范》；

2

（3） 研究、分析了市場上主要的網(wǎng)站恢復產(chǎn)品的技術特點、發(fā)展趨勢，以

及應用案例。在此基礎上，對提出的安全技術要求進行了驗證、細化

和補充，并提出了性能要求。

3. 驗證情況

通過組織專家和廠商研討會，對技術規(guī)范的科學性、可行性等進行了多次論證、研討，并根據(jù)專家、廠商意見進行了多次修訂、完善。同時，由于技術規(guī)范參考了由公安部計算機信息系統(tǒng)安全產(chǎn)品質量監(jiān)督檢驗中心提出，并在實際檢測中已經(jīng)使用的檢驗規(guī)范MSCTC-GFJ-08 《信息技術 網(wǎng)站恢復產(chǎn)品安全檢驗規(guī)范》，其可行性也在實踐中得到了檢驗。

（六）制定過程，包括重大分歧意見的處理經(jīng)過和依據(jù)、征求和處理意見的經(jīng)過；

（1） 2007年3月成立技術規(guī)范起草小組；

（2） 2007年3-5月起草組組織技術專家研討會，對國內網(wǎng)站恢復產(chǎn)品進

行分析，并依據(jù)GB/T18336-2001《信息技術 安全技術 信息技術安

全性評估準則》等標準，以及公安部計算機信息系統(tǒng)安全產(chǎn)品質量監(jiān)

督檢驗中心提出的檢驗規(guī)范MSCTC-GFJ-08 《信息技術 網(wǎng)站恢復產(chǎn)

品安全檢驗規(guī)范》，于2007年5月，確定了網(wǎng)站恢復產(chǎn)品的安全技術

要求、性能要求和評測方法。

（3） 2007年5月完成“網(wǎng)站恢復產(chǎn)品認證技術規(guī)范”（討論稿）的起草；

（4） 2007年5月28日在北京召開了網(wǎng)站恢復產(chǎn)品技術規(guī)范研討會，共有

18家單位的25名專家代表出席了會議，對技術規(guī)范進行了討論，采納了適用范圍、術語、性能要求等相關建議，并對征求意見稿進行了

修改，形成本送審稿。

技術規(guī)范制定過程中沒有重大分歧意見。

3