注册

国家标准计划《网络安全技术 抗拒绝服务攻击产品技术规范》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准委

主要起草单位 公安部第三研究所华为技术有限公司北京天融信网络安全技术有限公司中国网络安全审查技术与认证中心腾讯云计算(北京)有限责任公司北京神州绿盟科技有限公司奇安信网神信息技术(北京)股份有限公司新华三技术有限公司杭州迪普科技股份有限公司启明星辰信息技术集团股份有限公司西安交大捷普网络科技有限公司中新网络信息安全股份有限公司上海市信息安全测评认证中心北京中关村实验室中国联合网络通信集团有限公司

目录

基础信息

制修订
制定
项目周期
18个月
申报日期
2024-02-21
公示开始日期
2024-04-22
公示截止日期
2024-05-22
标准类别
产品
国际标准分类号
35.030
35 信息技术、办公机械
归口单位
全国网络安全标准化技术委员会
执行单位
全国网络安全标准化技术委员会
主管部门
国家标准委

起草单位

目的意义

分布式拒绝服务攻击(DDoS攻击)是互联网的主要安全威胁之一,常常与大规模挂马、业务中断、敲诈勒索等恶性事件挂钩,而且无论从数量还是复杂性上,威胁都在快速发展。

近几年,在云计算/大数据/AI/视频直播等行业高速增长驱动下,IDC网络和家庭宽带网络带宽持续高速增长。

但是相当数量的服务器和个人PC/IoT设备由于存在配置缺陷或者存在安全漏洞,沦入黑客之手。

拒绝服务攻击黑产获得了大量的攻击资源和攻击带宽,导致百G以上的大流量攻击越来越普遍,而且呈现明显的大流量攻击增长幅度高于整体威胁增长幅度的态势,2022年全年拒绝服务攻击次数同比2021 年增长8%,拒绝服务攻击维持了4年持续增长的态势,2022年也成为拒绝服务攻击最多的一年。

游戏、零售商、ISP、IDC以及金融行业企业和教育组织成为拒绝服务攻击的发展目标,拒绝服务攻击对人们生产生活的影响越来越大,造成的损失也日益严重。

拒绝服务攻击已经成为国内互联网所面临的最严重的安全威胁之一,需要对相关防护技术和防护产品加以重视。

据IDC两项报告数据分别显示,2022年中国抗DDoS硬件安全产品市场规模约为人民币6.3亿元,规模同比增长6%。

中国公有云抗DDoS市场规模约为人民币17.6亿元,规模同比增长13.2%。

抗DDoS产品和服务作为成熟型市场,市场集中度不断提升,竞争进一步增强。

为落实网络安全法第23条,2023年4月12日,由国家互联网信息办公室、工业和信息化部、公安部、财政部和国家认证认可监督管理委员会联合发布的“关于调整网络安全专用产品安全管理有关事项的公告(2023年第1号)”中指出“自2023年7月1日起,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。

” 根据2023年7月3日由国家互联网信息办公室、工业和信息化部、公安部和国家认证认可监督管理委员会在发布的“关于调整《网络关键设备和网络安全专用产品目录》的公告(2023年第2号)”,抗拒绝服务攻击产品属于网络安全专用产品,需要依据相应的国家标准进行安全检测和认证。

但是,目前尚无抗拒绝服务攻击产品对应的国家标准,因此亟需制定本标准以支持国家对网络安全专用产品安全管理工作需要,对网络安全专用产品中抗拒绝服务攻击产品这一产品类别进行规范。

范围和主要技术内容

本标准拟规定抗拒绝服务攻击产品的安全等级划分、安全技术要求、安全保障要求及测试评价方法。本标准将抗拒绝服务攻击产品的安全技术要求分为安全功能要求、性能要求、产品自身安全要求部分。其中安全功能要求主要包括:组网与部署、流量采集、网络层攻击防护、应用层攻击防护、黑白名单、系统状态监控、日志记录、事件报警、攻击取证等要求;性能要求主要包括:设备防护能力、吞吐量、防护率和误判率等要求;安全保障要求则针对抗拒绝服务攻击产品的开发和使用文档的内容提出具体的要求,例如配置管理、交付和运行、开发、指导性文档、测试和脆弱性评定;并且给出了与这些要求相对应的测试评价方法。