《网络安全技术抗拒绝服务攻击产品技术规范》编制说明.docx

PAGE4

国家标准《网络安全技术抗拒绝服务攻击产品技术规范》

（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据全国网络安全标准化技术委员会《关于17项网络安全国家标准项目立项的通知》（网安字[2024]2号），《网络安全技术抗拒绝服务攻击产品技术规范》由公安部第三研究所负责承办，计划号：2024XXXX-T-XXX。该标准由全国信息安全标准化技术委员会（SAC/TC260）归口管理。

1.2主要起草单位和工作组成员

《网络安全技术抗拒绝服务攻击产品技术规范》由公安部第三研究所牵头制定，参与起草单位包括：华为技术有限公司、北京天融信网络安全技术有限公司、中国网络安全审查认证和市场监管大数据中心、上海市信息安全测评认证中心、新华三技术有限公司、北京神州绿盟科技有限公司、奇安信网神信息技术（北京）股份有限公司、启明星辰信息技术集团股份有限公司、中新网络信息安全股份有限公司、杭州迪普科技股份有限公司、西安交大捷普网络科技有限公司、北京中关村实验室、天翼安全科技有限公司、中移(苏州)软件技术有限公司、腾讯云计算（北京）有限责任公司、中国联合网络通信集团有限公司、杭州优云科技有限公司。

本文件主要起草人：邹春明、胡亚兰、李毅、王峰、王龑、李宇博、王嘉、徐佟海、董航、何建锋、李宇博、张雷、万晓兰、张凯威、梁伟、董悦、曹田雨、郑成龙、杨雨菡、程行峰、赵华等。

在编制本文件的过程中，起草单位的主要分工如下：公安部第三研究所牵头组织项目的修订工作，制定修订思路，组织召开项目评审，汇总各参与单位的编制内容、拟制项目编制说明、汇总意见汇总表等。参与起草的单位中，研发生产和服务厂商主要承担应用场景及抗拒绝服务攻击产品的技术跟踪、安全功能要求、自身安全功能要求、性能要求、环境适应性要求的编制及应用试点，以及推进标准在产品研发中的应用；检测、认证机构主要负责安全保障要求及测试评价方法的编制、测评方法的试点验证，以及推进标准在认证、检测中的应用。

1.3制定背景

抗拒绝服务攻击产品作为网络安全产品的重要组成部分，是系统边界安全的第一层保障，其产品质量不容忽视，但是目前我国尚无该产品的国家标准，而且抗拒绝服务攻击产品已出现了新技术和新变化，现行行业标准还没适应这些变化。

《网络安全法》第23条，明确要求“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求”。2022年12月，网络安全专用产品强制性国家标准GB42250-2022《信息安全技术网络安全专用产品安全技术要求》发布，2023年7月，国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合发布《网络关键设备和网络安全专用产品目录》，其中的网络安全专用产品类的第23项，即为“抗拒绝服务攻击产品”。该标准将配套GB42250使用，支撑《网络安全法》第23条的落地实施。

2023年7月信安标委秘书处坚持问题导向，调研国家网络安全重点工作和技术产业发展需求，发布了2023年度第二批网络安全国家标准需求清单，其中就涵盖了抗拒绝服务攻击产品国家标准的编制需求，作为GB42250的配套标准，作为监管的依据标准。

其次，拒绝服务攻击（DDoS攻击）是互联网的主要安全威胁之一，常常与大规模挂马、业务中断、敲诈勒索等恶性事件挂钩，同时网络犯罪团伙、有地缘政治动机的黑客和恶意攻击者采用了成本相对较低的DDoS攻击方法，并利用由日常数字设备和物联网(IoT)设备构成的大规模僵尸网络以及协议级零日漏洞，向企业单位、政府机构和包括医院在内的公共基础设施发起了规模庞大的攻击。近几年，在云计算/大数据/AI/视频直播等行业高速增长驱动下，IDC网络和家庭宽带网络带宽持续高速增长，拒绝服务攻击黑产获得了大量的攻击资源和攻击带宽，导致百G以上的大流量攻击越来越普遍，而且呈现明显的大流量攻击增长幅度高于整体威胁增长幅度的态势。据全球DDoS防护公司StormWall总结的2023年上半年总结报告称，2023年上半年的DDoS攻击活动全面增加，攻击数量比上一年增加了38%，多向量攻击同比大幅增长117%，金融（占攻击的23%）、电信、娱乐行业、政府机构是最受攻击的行业，其中政府机构遭受攻击较去年同期大幅增长132%。

因此，有必要制订抗拒绝服务攻击产品技术规范国家标准，统一规范抗拒绝服务攻击产品的安全功能、自身安全、性能要求以及安全保障要求，为产品的开发测试提供指导；为监管部门加强该类产品的监管，落实《网络安全法》提供依据；依据标准研制的产品，能够为企业边界安全和系统可用性、连续性提供安全保障。

1.4起草过程

标准制定的主要工作过程如下：

申报立项阶段

2023年7月，全国信息安全标准化技术委员会发布“2023年度第二批网络安全国家标准需求清单”之后，公