1 范圍

      本標(biāo)準(zhǔn)規(guī)定了網(wǎng)站安全云防護(hù)平臺(tái)的技術(shù)要求，包括平臺(tái)功能要求和平臺(tái)安全要求。

      本標(biāo)準(zhǔn)適用于網(wǎng)站安全云防護(hù)平臺(tái)的開(kāi)發(fā)、運(yùn)營(yíng)及使用，為政府部門(mén)、企事業(yè)單位、社會(huì)團(tuán)體等組織或個(gè)人選購(gòu)網(wǎng)站安全云防護(hù)平臺(tái)提供參考。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 31167-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全指南

      GB/T 31168-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求

      GB/T 32917-2016 信息安全技術(shù) WEB應(yīng)用防火墻安全技術(shù)要求與測(cè)試評(píng)價(jià)方法

3 術(shù)語(yǔ)和定義

      GB/T 25069-2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      網(wǎng)站安全云防護(hù)平臺(tái) website security cloud protection platform

      以云服務(wù)模式提供網(wǎng)站安全防護(hù)，運(yùn)用集中管控、協(xié)同防御等方式，及時(shí)更新防護(hù)策略和規(guī)則，對(duì)網(wǎng)站訪問(wèn)請(qǐng)求和響應(yīng)進(jìn)行檢測(cè)、分析、過(guò)濾的安全防護(hù)節(jié)點(diǎn)的集合。

3.2

      網(wǎng)站安全云防護(hù)平臺(tái)提供者 website security protection cloud platform providers

      負(fù)責(zé)建立、運(yùn)營(yíng)網(wǎng)站安全云防護(hù)平臺(tái)相關(guān)的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、防護(hù)功能組件等，在此平臺(tái)上執(zhí)行安全防護(hù)、保障網(wǎng)站安全的組織或機(jī)構(gòu)。

3.3

      網(wǎng)站安全云防護(hù)平臺(tái)用戶(hù) website security cloud protection platform users

      使用網(wǎng)站安全云防護(hù)平臺(tái)的組織或個(gè)人。

3.4

      平臺(tái)用戶(hù)網(wǎng)站數(shù)據(jù) platform users website data

      網(wǎng)站安全云防護(hù)平臺(tái)用戶(hù)的網(wǎng)站相關(guān)數(shù)據(jù)。

      注：包括網(wǎng)站信息、原始訪問(wèn)流量、訪問(wèn)日志、操作日志、被攻擊日志等。

3.5

      網(wǎng)站運(yùn)營(yíng)者 website operators

      負(fù)責(zé)網(wǎng)站后期運(yùn)作、維護(hù)、經(jīng)營(yíng)的組織或個(gè)人。

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      ACK：確認(rèn)字符（Acknowledgement）

      API：應(yīng)用程序編程接口（Application Programming Interface）

      CC：挑戰(zhàn)黑洞（Challenge Collapsar）

      DNS：域名系統(tǒng)（Domain Name System）

      HTTP：超文本傳輸協(xié)議（HyperText Transfer Protocol）

      ICMP：網(wǎng)際控制報(bào)文協(xié)議（Internet Control Message Protocol）

      IP：網(wǎng)際協(xié)議（Internet Protocol）

      SYN：TCP連接同步信號(hào)（Synchronous）

      TCP：傳輸控制協(xié)議（Transport Control Protocol）

      UDP：用戶(hù)數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol）

      URL：統(tǒng)一資源定位符（Uniform Resource Locator）

      WEB：萬(wàn)維網(wǎng)（World Wide Web）

5 概述

      網(wǎng)站安全云防護(hù)平臺(tái)由相互聯(lián)系、統(tǒng)一調(diào)度的安全防護(hù)節(jié)點(diǎn)組成，平臺(tái)通過(guò)云服務(wù)模式，集中快速地部署、更新防護(hù)策略，對(duì)網(wǎng)站惡意請(qǐng)求進(jìn)行過(guò)濾和清洗，提高網(wǎng)站安全防護(hù)能力。

      網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)要求分為平臺(tái)功能要求和平臺(tái)安全要求兩個(gè)方面，功能要求包括網(wǎng)站安全防護(hù)、網(wǎng)站合規(guī)性檢查、資源管理、策略管理等；安全要求包括系統(tǒng)與通信保護(hù)、訪問(wèn)控制、配置管理、安全事件處置、平臺(tái)容災(zāi)備份等。

      根據(jù)防護(hù)網(wǎng)站所承載的業(yè)務(wù)和信息的敏感程度，網(wǎng)站安全云防護(hù)平臺(tái)技術(shù)要求分為一般要求和增強(qiáng)要求。一般要求是網(wǎng)站安全云防護(hù)平臺(tái)在開(kāi)展網(wǎng)站安全防護(hù)業(yè)務(wù)應(yīng)具備的基本功能及安全要求。增強(qiáng)要求是對(duì)一般要求的補(bǔ)充和強(qiáng)化。網(wǎng)站安全云防護(hù)平臺(tái)用戶(hù)可根據(jù)自身業(yè)務(wù)類(lèi)型及承載信息的敏感程度選擇相應(yīng)安全要求的網(wǎng)站安全云防護(hù)平臺(tái)，GB/T 31167-2014中6.3和6.4給出了判斷業(yè)務(wù)類(lèi)型及承載信息的敏感程度的相應(yīng)方法。

6 平臺(tái)功能要求

6.1 網(wǎng)站安全防護(hù)

6.1.1 WEB攻擊防御

6.1.1.1 一般要求

      應(yīng)支持識(shí)別WEB攻擊類(lèi)型，阻斷直接或間接的攻擊行為，包括：

      a） GB/T 32917-2016中4.1.1.2.2要求的安全防護(hù)功能；

      b）暴力破解防護(hù)；

      c) Webshell識(shí)別和攔截；

      d) 目錄遍歷防護(hù)；

      e） Cookie注入攻擊防護(hù)；

      f) 惡意代碼執(zhí)行防護(hù)。

6.1.1.2 增強(qiáng)要求

      應(yīng)具備其他WEB攻擊防護(hù)功能。

6.1.2 DDoS攻擊防御

6.1.2.1 一般要求

      應(yīng)支持DDoS清洗，具備防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、HTTP Flood、DNS Flood、CC攻擊等拒絕服務(wù)類(lèi)攻擊的功能。

6.1.2.2 增強(qiáng)要求

      無(wú)。

6.1.3 防護(hù)策略配置

6.1.3.1 一般要求

      應(yīng)滿(mǎn)足以下要求：

      a）提供默認(rèn)安全防護(hù)策略；

      b）提供檢測(cè)、防護(hù)等策略模式；

      c）支持平臺(tái)用戶(hù)配置與選擇防護(hù)策略。

6.1.3.2 增強(qiáng)要求

      應(yīng)支持平臺(tái)用戶(hù)查閱阻斷的訪問(wèn)請(qǐng)求和對(duì)應(yīng)的防護(hù)策略，反饋漏報(bào)及誤報(bào)信息。

6.1.4 協(xié)同防御

6.1.4.1 一般要求

      應(yīng)滿(mǎn)足以下要求：

      a）支持識(shí)別攻擊常用域名、IP地址等信息，記錄并分析攻擊者行為，在整個(gè)云防護(hù)范圍內(nèi)對(duì)惡意攻擊者IP地址等進(jìn)行阻斷；

      b）對(duì)可信第三方提供的惡意攻擊IP地址等信息，應(yīng)支持識(shí)別、分析并在整個(gè)云防護(hù)范圍內(nèi)阻斷。

6.1.4.2 增強(qiáng)要求

      無(wú)。

6.1.5 內(nèi)容安全

6.1.5.1 敏感信息過(guò)濾

6.1.5.1.1 一般要求

      應(yīng)支持自定義敏感詞匯，對(duì)網(wǎng)站文字內(nèi)容中出現(xiàn)的敏感詞匯進(jìn)行過(guò)濾。

6.1.5.1.2 增強(qiáng)要求

      可支持對(duì)涉及敏感信息的圖片等內(nèi)容進(jìn)行過(guò)濾。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買(mǎi)標(biāo)準(zhǔn)正版。