国家标准《网络安全技术 抗拒绝服务攻击产品技术规范》（征求意见稿）编制说明

一、工作简况

1.1任务来源

根据全国网络安全标准化技术委员会《关于17项网络安全国家标准项目立

项的通知》（网安字[2024]2号），《网络安全技术抗拒绝服务攻击产品技术规范》

由公安部第三研究所负责承办，计划号：2024XXXX-T-XXX。该标准由全国信息安

全标准化技术委员会（SAC/TC260）归口管理。

1.2主要起草单位和工作组成员

《网络安全技术抗拒绝服务攻击产品技术规范》由公安部第三研究所牵头

制定，参与起草单位包括：华为技术有限公司、北京天融信网络安全技术有限公

司、中国网络安全审查认证和市场监管大数据中心、上海市信息安全测评认证中

心、新华三技术有限公司、北京神州绿盟科技有限公司、奇安信网神信息技术（北

京）股份有限公司、启明星辰信息技术集团股份有限公司、中新网络信息安全股

份有限公司、杭州迪普科技股份有限公司、西安交大捷普网络科技有限公司、北

京中关村实验室、天翼安全科技有限公司、中移(苏州)软件技术有限公司、腾讯

云计算（北京）有限责任公司、中国联合网络通信集团有限公司、杭州优云科技

有限公司。

本文件主要起草人：邹春明、胡亚兰、李毅、王峰、王龑、李宇博、王嘉、

徐佟海、董航、何建锋、李宇博、张雷、万晓兰、张凯威、梁伟、董悦、曹田雨、

郑成龙、杨雨菡、程行峰、赵华等。

在编制本文件的过程中，起草单位的主要分工如下：公安部第三研究所牵头

组织项目的修订工作，制定修订思路，组织召开项目评审，汇总各参与单位的编

制内容、拟制项目编制说明、汇总意见汇总表等。参与起草的单位中，研发生产

和服务厂商主要承担应用场景及抗拒绝服务攻击产品的技术跟踪、安全功能要求、

自身安全功能要求、性能要求、环境适应性要求的编制及应用试点，以及推进标

准在产品研发中的应用；检测、认证机构主要负责安全保障要求及测试评价方法

的编制、测评方法的试点验证，以及推进标准在认证、检测中的应用。

1.3制定背景

抗拒绝服务攻击产品作为网络安全产品的重要组成部分，是系统边界安全的

第一层保障，其产品质量不容忽视，但是目前我国尚无该产品的国家标准，而且

1

抗拒绝服务攻击产品已出现了新技术和新变化，现行行业标准还没适应这些变化。

《网络安全法》第23条，明确要求“网络关键设备和网络安全专用产品应

当按照相关国家标准的强制性要求”。2022年12月，网络安全专用产品强制性

国家标准GB42250-2022《信息安全技术网络安全专用产品安全技术要求》发

布，2023年7月，国家互联网信息办公室、工业和信息化部、公安部、国家认

证认可监督管理委员会联合发布《网络关键设备和网络安全专用产品目录》，其

中的网络安全专用产品类的第23项，即为“抗拒绝服务攻击产品”。该标准将配

套GB42250使用，支撑《网络安全法》第23条的落地实施。

2023年7月信安标委秘书处坚持问题导向，调研国家网络安全重点工作和

技术产业发展需求，发布了2023年度第二批网络安全国家标准需求清单，其中

就涵盖了抗拒绝服务攻击产品国家标准的编制需求，作为GB42250的配套标准，

作为监管的依据标准。

其次，拒绝服务攻击（DDoS攻击）是互联网的主要安全威胁之一，常常与

大规模挂马、业务中断、敲诈勒索等恶性事件挂钩，同时网络犯罪团伙、有地缘

政治动机的黑客和恶意攻击者采用了成本相对较低的DDoS攻击方法，并利用由

日常数字设备和物联网(IoT)设备构成的大规模僵尸网络以及协议级零日漏洞，

向企业单位、政府机构和包括医院在内的公共基础设施发起了规模庞大的攻击。

近几年，在云计算/大数据/AI/视频直播等行业高速增长驱动下，IDC网络和家

庭宽带网络带宽持续高速增长，拒绝服务攻击黑产获得了大量的攻击资源和攻击

带宽，导致百G以上的大流量攻击越来越普遍，而且呈现明显的大流量攻击增长

幅度高于整体威胁增长幅度的态势。据全球DDoS防护公司StormWall总结的

2023年上半年总结报告称，2023年上半年的DDoS攻击活动全面增加，攻击数量

比上一年增加了38%，多向量攻击同比大幅增长117%，金融（占攻击的23%）、

电信、娱乐行业、政府机构是最受攻击的行业，其中政府机构遭受攻击较去年同

期大幅增长132%。

因此，有必要制订抗拒绝服务攻击产品技术规范国家标准，统一规范抗拒绝

服务攻击产品的安全功能、自身安全、性能要求以及安全保障要求，为产品的开

发测试提供指导；为监管部门加强该类产品的监管，落实《网络安全法》提供依

据；依据标准研制的产品，能够为企业边界安全和系统可用性、连续性提供安全

2

保障。

1.4起草过程

标准制定的主要工作过程如下：

（1）申报立项阶段

2023年7月，全国信息安全标准化技术委员会发布“2023年度第二批网络

安全国家标准需求清单”之后，公安部第三研究所邀请抗拒绝服务攻击产品国内

知名厂商，以及其它检验检测机构，组建项目申报团队，成立了标准编制组，对

抗拒绝服务攻击产品技术文档、解决方案等材料进行调研梳理，查阅有关资料，

在现有相关公共安全行业标准GA/T1137-2014《信息安全技术抗拒绝服务攻击

产品安全技术要求》、GA/T1714-2020《信息安全技术异常流量检测和清洗产品

安全技术要求》的基础上编写标准编制提纲，起草了标准草案初稿，形成了申报

材料。

2023年8月，标准编制组于北京在2023年信安标委WG5第二次工作组会议

上进行了立项答辩。

（2）草案阶段

2023年8月，标准编制组于北京在2023年信安标委WG5第二次工作组会议

上进行了立项答辩，项目组就项目需求、背景、标准主要内容等情况进行了汇报，

并现场回复参会单位提问，针对参会单位提出了意见进行处理，形成草案（第一

稿）。

2023年9月TC260组织专家在福州对拟立项标准再次进行了评审，与会专

家对标准草案，提出了修改意见。另外2023年10月，WG5提供了网络安全产品

国标模板，编制组根据模板要求，按照GB42250的目录架构对产品自身安全、

安全保障要求部分进行了修改，还根据专家意见增加云管理平台对接、互联互通

等相关要求，形成草案（第二稿）。

2024年4月，召开了项目启动会，由项目负责人对该标准的背景、编制思

路、内容、重点难点及后续工作计划进行了介绍，并就重点难点问题进行了讨论，

公开征求了一批参编申请单位，面向这些单位征求了意见，在编制组内进行讨论，

对标准内容进一步修订（第三稿）。

2024年4月，WG5对该标准指定了责任专家，并组织专家对标准进行研讨，

3

与会专家（包括本标准的责任专家）听取了编制组的汇报，审阅了标准文本，并

反馈了修改意见。编制组对专家意见进行讨论和处理，形成草案（第四稿）。

2024年5月，针对WG5专家组的意见进行了修改，并将修改稿发给了抗拒

绝服务攻击产品厂商征集相关意见，对标准内容进一步修订，形成草案（第五稿）。

2024年6月，全国网络安全标准化技术委员会在南昌组织召开2024年第一

次会议周，编制组在WG5组全体会议上汇报了标准情况，与会专家和会员单位对

标准内容进行了质询，并提出一定的修改建议。经全体会员单位投票表决，根据

《会议纪要》，本标准建议形成征求意见稿。编制组依据建议对标准文稿进行了

修改完善。

2024年9月，全国网络安全标准化技术委员会秘书处在北京组织召开网络

安全国家标准征求意见稿审查会。参会专家一致同意标准通过审查，建议编制组

根据会议意见修改后，发起公开征求意见。编制组根据专家意见，对标准进一步

修改完善，修改了“引言”、“概述”、“安全功能要求”等部分。此外，9月根据

中国电子技术标准化研究院（电子四院）针对“互联互通”的反馈的意见，结合

《GB/TAAAAA-AAAA网络安全技术网络安全产品互联互通第1部分：框架》报批

稿的内容进行了修改完善。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

为了使本标准与现有其他国家标准保持协调一致，本标准的制定参考了现行

的其他国家标准，主要有GB42250-2022、GB/T18336-2015、GB/T22239-2019

等。

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与

要求如下：

1)实用性原则

标准必须是可用的，才有实际意义，本标准在制定过程中严格按照流程对产

品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关产品生产

单位的交流，使得标准更贴近产品实际情况，保证操作性。

2)先进性原则

标准是先进经验的总结，同时也是技术的发展趋势。要制定出先进的国家标

4

准，必须广泛了解市场上主流产品的功能，吸收其精华，制定出具有先进水平的

标准。本标准的编写始终遵循这一原则。

3)兼容性原则

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、规范等相一

致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有

关政策、法律和法规。

2.2编制思路

1.安全功能要求参考GA/T1137-2014《信息安全技术抗拒绝服务攻击产

品安全技术要求》、GA/T1714-2020《信息安全技术异常流量检测和清洗产品安

全技术要求》的基础上标内容，结合抗拒绝服务攻击产品目前的发展状态，并广

泛征集抗拒绝服务攻击产品厂商及用户单位意见，对新的部署方式、攻击识别能

力、防护措施内容等等进行了充分的调研。

关于拒绝服务攻击的识别分类，可以根据TCP/IP模型、协议、攻击效果、

攻击方法、攻击对象、其他攻击等方法来分，项目组查阅了《YDT4063-2022基

于协议的DDoS攻击定义与分类》、《YD/T2668-2013电信网络异常流量检测与控

制技术要求》、《GB/T2020281-2020信息安全技术防火墙安全技术要求和测试评

价方法》、《GA/T1137-2014信息安全技术抗拒绝服务攻击产品安全技术要求》、

《RB/T205-2014-抗拒绝服务系统安全评价规范》等相关标准，以及咨询国内主

流抗拒绝服务攻击厂商的意见，目前认为根据TCP/IP模型和攻击效果（带宽占

用攻击、资源耗尽攻击等）的认同度最高，但是再上述多类攻击的定义中，还是

存在部分交叉的情况，本标准目前选择根据TCP/IP模型的基础上进行分类。

2.自身安全要求和安全保障要求以GB42250为通用基础要求，同时安全保

障要求参考GB/T18336.3—2015。

2.3主要内容及其确定依据

本项目拟制定推荐性国家标准，作为GB/T42250的配套标准，确保该产品

对拒绝服务攻击（含分布式拒绝服务攻击）进行识别和处理，保障系统的可用性。

保障。主要规范抗拒绝服务攻击产品的安全功能要求、自身安全要求、性能要求、、

安全保障要求和测试评价方法，适用于抗拒绝服务攻击产品的研发、采购、使用、

维护、管理、检测和认证。

5

1)标准结构

本标准的编写格式和方法依照GB/T1.1-2020标准化工作导则第一部分：

标准的结构和编写规则，主要结构包括：

1.范围

2.规范性引用文件

3.术语和定义

4.缩略语

5.概述

6.安全技术要求

7.测试评价方法

附录A（资料性）抗拒绝服务估计产品典型部署场景

附录B（规范性）抗拒绝服务攻击产品安全技术要求等级划分和对应测试评价

方法

2)范围、规范性引用文件、术语和定义

该部分定义了本标准适应的范围，所引用的其它标准情况及以何种方式引用，

术语和定义部分明确了该标准所涉及的一些术语。

在术语中明确了“拒绝服务攻击”、“分布式拒绝服务攻击”、“抗拒绝服务攻

击产品”、“流量牵引”、“流量回注”、“深度流检测”、“深度包检测”、“反射攻击”、

“HTTP慢速攻击”等重要概念。

3)概述

对抗拒绝服务攻击产品的安全目的、保护的对象、基本模块以及安全技术要

求分类、等级划分进行了概要描述，对安全技术要求的分类、主要的指标项、等

级划分的原则等进行了说明。

抗拒绝服务攻击产品是抵御拒绝服务攻击的网络安全专用产品，用于防护互

联网边界安全，通过监测和控制进出的数据流，发现和阻断背景流量中的拒绝服

务攻击，从而保证网络通畅和业务的连续性。典型的抗DoS产品包括本地部署模

式和云服务模式。

本地部署的抗DoS产品有串接部署和旁路部署两种模式，旁路部署模式根据

使用场景、流量大小、网络规模等条件，可以选择通过分光、镜像、Flow数据

6

获取等方式获取检测流量。

抗拒绝服务攻击产品一般由管理中心模块、检测模块以及清洗模块组成，其

中管理中心模块的主要功能包括防御策略配置管理、DDoS业务配置管理、检测

和清洗模块集中管理、告警管理、业务报表管理、自身状态监测等。检测模块对

防护网络的流量进行多维度的统计并实时和检测阈值进行比较，当发现防护目标

IP的流量超过阈值则上报管理中心模块，由管理中心模块触发清洗策略进行引

流和清洗。清洗模块在接收到管理中心模块的清洗指令后，会发布引流路由，将

访问被攻击IP的流量牵引到清洗中心剔除攻击流量，然后将干净的业务流量回

注到客户网络。串接部署的抗拒绝服务攻击产品，流量直接通过设备，则不需要

进行引流。

云服务产品（以下简称“云抗DoS产品”），利用骨干网、云网络等网络资源，

以云服务形式提供给用户。云抗DoS产品具备云计算的弹性扩展特性和数据处理

能力，借助分布式集群化的检测与清洗节点，提供给云租户即时可用、灵活性高

的拒绝服务攻击防护。云抗DoS产品一般由运营管理平台、云租户自服务系统、

防护节点等部分组成。运营管理平台主要功能包括防护节点的调度和切换、租户

管理、防护策略管理、告警管理等。云租户自服务系统是给租户开放的管理平台，

主要功能包括资产管理、策略配置、攻击日志查看等。防护节点由集群化的检测

模块、清洗模块组成。云抗DoS一般通过DNS重定向、IP流量牵引等技术实现

引流，以确保所有访问源站的流量先经过云产品进行检测和清洗，清洗后的正常

流量再发送至业务源站。

产品的安全技术要求分为安全功能要求、自身安全要求、性能要求、安全保

障要求四个大类。其中，安全功能要求对产品应具备的安全功能提出了具体要求，

包括拒绝服务攻击识别、攻击防御能力、攻击事件处理、防护策略配置、攻击日

志与分析、云服务安全功能、环境适应性、互联互通等部分。自身安全要求针对

产品的自身安全保护提出了具体的要求，包括通用要求、标识与鉴别、自身访问

控制、自身安全审计、通信安全、安全管理等要求；性能要求针对硬件产品应具

备的性能提出了具体要求，包括攻击拦截率、小包防御性能、网络层吞吐量、TCP

新建连接速率、TCP并发连接数四个方面。安全保障要求针对产品的生命周期过

程中的安全保障提出了具体要求，包括供应链安全、设计与开发、生产和交付、

7

运维服务保障、用户信息保护等。根据产品的安全技术要求，制定了对应项目的

测试评价方法。

产品的等级分为基本级和增强级，安全功能与自身安全的强弱、以及安全保

障要求的高低是等级划分的依据，等级突出安全特性。其中，基本级产品的安全

保障要求内容满足GB/T18336.3-2015的EAL2级对应要求，增强级产品的安全

保障要求内容满足GB/T18336.3-2015的EAL4级对应要求。与基本级内容相比，

增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。标准中针

对云服务产品提出了额外要求，在标准中已做说明。

4)安全技术要求

产品的安全技术要求分为安全功能要求、自身安全要求、性能要求、安全保

障要求四个大类。其中，安全功能要求对产品应具备的安全功能提出了具体要求，

包括防护目标管理、攻击识别能力、攻击防护功能、攻击处置能力、攻击日志与

分析、正常流量处理、防护策略配置、云服务产品安全功能、环境适应性、互联

互通等部分。自身安全要求针对产品的自身安全保护提出了具体的要求，包括通

用要求、标识与鉴别、自身访问控制、自身安全审计、安全管理等部分。性能要

求则针对硬件产品应具备的性能提出了具体要求，包括攻击拦截率、小包防御性

能、TCP新建连接速率、TCP并发连接数五个方面。安全保障要求针对产品的生

命周期过程中的安全保障提出了具体要求，包括通用要求、设计与开发等。根据

产品的安全技术要求，制定了对应项目的测试评价方法，其中通用要求应满足

GB42250-2022中第6章对应章节规定的相关要求。

5)测试评价方法

本文件针对抗拒绝服务攻击产品的安全技术要求提出对应的测试评价方法，

为使用本文件的人员提供一个测试评价抗拒绝服务攻击产品的技术准则。

测评方法部分包括了测试环境说明、安全功能测评、自身安全测评、性能测

评、安全保障测评等，其内容是针对安全技术要求逐项制定的测试评价方法，可

用于指导和规范抗拒绝服务攻击产品的检测工作。

6)附录A

给出了本地模式和云服务模式典型的部署拓扑图。本地部署的产品，可以分

为串接部署和旁路部署。

8

串接部署的抗拒绝服务攻击产品，流量直接通过产品，部分产品将检测模块

和清洗模块集成在一台硬件设备中的，管理中心模块以额外部署，还有部分产品

管理中心模块、检测模块以及清洗模块部署在一台硬件设备中，这主要和部署位

置、网络结构、流量大小相关。旁路部署的抗拒绝服务攻击产品，其管理中心模

块、检测模块以及清洗模块通常独立部署，在集群部署的方案中，一个管理中心

模块可以管理多个检测模块和清洗模块。

云服务模式集群化部署的防护节点由检测模块以及清洗模块组成（一般为硬

件设备），云抗DoS服务商可在多个省市部署防护节点，便于实现近源清洗。

7)附录B

针对抗拒绝服务攻击产品技术要求的等级划分和相应的测试评价方法进行

了对应关联描述。

2.4修订前后技术内容的对比[仅适用于国家标准修订项目]

标准制定项目，不涉及。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

暂未开展，本标准应用验证工作计划在征求意见稿阶段实施。

3.2技术经济论证

本标准的实施将有助于为国内相关研发厂商、抗拒绝服务攻击产品部署单位

和检验检测机构的测评工作提供支持，确保要求、方法的一致性，提高测评的准

确性、规范性、公平性，产品的合规性，以及重要信息系统边界安全保障能力，

系统服务的可用性和连续性，从而降低第三方测评机构的测评开销和企业自身的

合规投入。

3.3预期的经济效益、社会效益和生态效益

根据中共中央、国务院印发的《国家标准化发展纲要》中的要求，强化标准

实施应用。为此，本项目将遵循国家“完善认证认可、检验检测、政府采购、招

投标等活动中应用先进标准机制，推进以标准为依据开展宏观调控、产业推进、

行业管理、市场准入和质量监管”的思路，结合牵头单位和参与单位的优势，开

展标准的实施应用。

9

本标准的制定一方面支撑抗拒绝服务攻击产品的规范化管理，同时也紧密贴

合重要信息系统及关键信息基础设施资产内控管理的合规性需求，为等保和关基

相关要求的技术实现规范化提供重要参考，降低系统边界安全风险。

标准的适用对象包括抗拒绝服务攻击产品的生产厂商、部署和使用抗拒绝服

务攻击产品的系统运营单位、网络安全主管部门以及进行安全检测评估的检验检

测机构。

本项目标准发布后，首先，能够指导产品的生产厂商对产品进行研发、生产

和销售；其次、能够指导检测认证机构对该类型产品进行测评认证工作；此外，

还能够对用户单位的应用部署进行有效指导，形成部署方案并落地，满足等级保

护、关键信息基础设施保护等相关法律法规的合规性要求。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

目前国际上无相关标准。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

未采用国际标准。

六、与有关法律、行政法规及相关标准的关系

本标准与现行法律、法规以及国家标准不存在冲突与矛盾，且与《网络安全

法》、强制性国家标准、网络安全等级保护等合规性要求保持一致：

1）相关的法律、行政法规

《网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者

应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受

干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）

制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责

任；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规

定留存相关的网络日志不少于六个月。

网络安全等级保护基本要求在技术层面对抗拒绝服务攻击产品提出了身份

鉴别、访问控制、操作审计等相关要求；在安全管理层面提出了系统运维管理、

安全事件处置等的相关要求。

10

2）强制性国家标