《网站恢复产品认证技术规范》(申请备案稿)编制说明

《网站恢复产品认证技术规范》的编制说明（一）制定认证技术规范的必要性；网站是目前一种重要的信息发布平台，与社会、政治、经济生活都有着密切的关系。近年来，涉及各类网站的网页篡改事件十分严重，并有日益上升

《网站恢复产品认证技术规范》

的编制说明

（一）制定认证技术规范的必要性；

网站是目前一种重要的信息发布平台，与社会、政治、经济生活都有着密切的关系。近年来，涉及各类网站的网页篡改事件十分严重，并有日益上升的趋势。2006年，仅被CNCERT/CC监测到的中国大陆被篡改网站总数就达到24477个，比2005年同期增长接近一倍。

网站恢复产品作为一种保护网页，并在网页被篡改后及时进行恢复的信息安全产品，对保护网站起着十分重要的作用。随着研究和应用的深入，网站恢复产品的生产销售正逐步增多，网站恢复产品市场正逐渐形成。而在测评认证方面，虽然公安部计算机信息系统安全产品质量监督检验中心、中国信息安全产品测评认证中心等检测机构都已经展开对网站恢复产品的检测工作，但专门针对网站恢复产品的国家标准和行业标准尚未形成。

基于现有工作基础，制定网站恢复产品认证技术规范，对于引导网站恢复产品生产研制，以及规范相应的测评认证活动都是十分必要的，同时也是可行的。

（二）与相关法律法规以及国家有关规定的关系；

2005年12月23日颁布的《互联网安全保护技术措施规定（公安部82号令）》中，第九条第三款规定：开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复。网站恢复产品认证技术规范主要根据该规定对网站恢复产品提出安全技术要求。

本认证技术规范的制定符合国家现行法律法规的规定。

（三）与现行标准的关系，包括存在的差异及理由；

目前没有专门针对网站恢复产品的国家标准和行业标准，可供参考的国家标准主要是GB/T18336-2001《信息技术 安全技术 信息技术安全性评估准则》。该标准在框架、模型、通用的安全要求方面做出规定，没有具体针对网站恢复产品的安全技术要求。本技术规范根据GB/T18336-2001提出的框架和通用安全要求，针对网站恢复产品特点，提出了具体的安全技术要求和性能要求。 1

（四）参与制定认证技术规范的各方的情况；

1. 中国信息安全认证中心

中国信息安全认证中心是经中央编制委员会批准于2006年11月正式成立的正局级事业单位，隶属于国家质检总局，由国家认证认可监督管理委员会管理。中国信息安全认证中心是由国务院信息化工作办公室、国家认证认可监督管理委员会、公安部、国家安全部、信息产业部、国家保密局、国家密码局、国家质检总局八部委授权，依据国家有关强制性产品认证、信息安全管理的法律法规，负责实施信息安全认证的专门机构。

中国信息安全认证中心依据国家信息安全管理的法律法规、《认证认可条例》和相关技术标准，对信息安全产品实施认证，开展信息安全有关的管理体系认证和人员培训、技术研发等工作。

（五）制定原则、确定主要内容的依据和验证情况；

1. 制定原则

为使技术规范能够满足科学、规范地开展认证工作的需要，客观反映我国网站恢复产品技术水平，并引导技术发展，保证产品安全功能符合要求，以及良好的可用性，在技术规范制定过程中，主要遵循了如下几个原则：

（1） 要符合国家的有关政策法规要求；

（2） 要与已颁布实施的相关标准相协调；

（3） 要充分考虑我国网站恢复产品生产企业的发展水平；

（4） 要基本覆盖目前市场上主要的网站恢复产品类型；

（5） 要适度考虑目前处于发展成熟过程中的技术，保持一定的前瞻性。

2. 确定主要内容的依据

主要内容的确定基于如下几个方面：

（1） 以GB/T18336-2001《信息技术 安全技术 信息技术安全性评估准则》

为框架和指南。根据该标准提出的安全要求，分析网站恢复产品的具体特点，形成有针对性的安全技术要求；

（2） 在具体安全技术要求上，参考了公安部计算机信息系统安全产品质量

监督检验中心提出的检验规范MSCTC-GFJ-08 《信息技术 网站恢复产品安全检验规范》；

2

（3） 研究、分析了市场上主要的网站恢复产品的技术特点、发展趋势，以

及应用案例。在此基础上，对提出的安全技术要求进行了验证、细化

和补充，并提出了性能要求。

3. 验证情况

通过组织专家和厂商研讨会，对技术规范的科学性、可行性等进行了多次论证、研讨，并根据专家、厂商意见进行了多次修订、完善。同时，由于技术规范参考了由公安部计算机信息系统安全产品质量监督检验中心提出，并在实际检测中已经使用的检验规范MSCTC-GFJ-08 《信息技术 网站恢复产品安全检验规范》，其可行性也在实践中得到了检验。

（六）制定过程，包括重大分歧意见的处理经过和依据、征求和处理意见的经过；

（1） 2007年3月成立技术规范起草小组；

（2） 2007年3-5月起草组组织技术专家研讨会，对国内网站恢复产品进

行分析，并依据GB/T18336-2001《信息技术 安全技术 信息技术安

全性评估准则》等标准，以及公安部计算机信息系统安全产品质量监

督检验中心提出的检验规范MSCTC-GFJ-08 《信息技术 网站恢复产

品安全检验规范》，于2007年5月，确定了网站恢复产品的安全技术

要求、性能要求和评测方法。

（3） 2007年5月完成“网站恢复产品认证技术规范”（讨论稿）的起草；

（4） 2007年5月28日在北京召开了网站恢复产品技术规范研讨会，共有

18家单位的25名专家代表出席了会议，对技术规范进行了讨论，采纳了适用范围、术语、性能要求等相关建议，并对征求意见稿进行了

修改，形成本送审稿。

技术规范制定过程中没有重大分歧意见。

3