1 范圍
本標(biāo)準(zhǔn)規(guī)定了網(wǎng)站安全云防護(hù)平臺的技術(shù)要求,包括平臺功能要求和平臺安全要求�����。
本標(biāo)準(zhǔn)適用于網(wǎng)站安全云防護(hù)平臺的開發(fā)、運(yùn)營及使用����,為政府部門、企事業(yè)單位����、社會團(tuán)體等組織或個人選購網(wǎng)站安全云防護(hù)平臺提供參考。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的�����。凡是注日期的引用文件�����,僅注日期的版本適用于本文件����。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件�����。
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
GB/T 31167-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全指南
GB/T 31168-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求
GB/T 32917-2016 信息安全技術(shù) WEB應(yīng)用防火墻安全技術(shù)要求與測試評價方法
3 術(shù)語和定義
GB/T 25069-2010界定的以及下列術(shù)語和定義適用于本文件。
3.1
網(wǎng)站安全云防護(hù)平臺 website security cloud protection platform
以云服務(wù)模式提供網(wǎng)站安全防護(hù)����,運(yùn)用集中管控、協(xié)同防御等方式�����,及時更新防護(hù)策略和規(guī)則�����,對網(wǎng)站訪問請求和響應(yīng)進(jìn)行檢測�����、分析�����、過濾的安全防護(hù)節(jié)點(diǎn)的集合�。
3.2
網(wǎng)站安全云防護(hù)平臺提供者 website security protection cloud platform providers
負(fù)責(zé)建立、運(yùn)營網(wǎng)站安全云防護(hù)平臺相關(guān)的基礎(chǔ)設(shè)施����、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)���、防護(hù)功能組件等�,在此平臺上執(zhí)行安全防護(hù)、保障網(wǎng)站安全的組織或機(jī)構(gòu)����。
3.3
網(wǎng)站安全云防護(hù)平臺用戶 website security cloud protection platform users
使用網(wǎng)站安全云防護(hù)平臺的組織或個人。
3.4
平臺用戶網(wǎng)站數(shù)據(jù) platform users website data
網(wǎng)站安全云防護(hù)平臺用戶的網(wǎng)站相關(guān)數(shù)據(jù)����。
注:包括網(wǎng)站信息、原始訪問流量��、訪問日志�、操作日志、被攻擊日志等�。
3.5
網(wǎng)站運(yùn)營者 website operators
負(fù)責(zé)網(wǎng)站后期運(yùn)作、維護(hù)�、經(jīng)營的組織或個人。
4 縮略語
下列縮略語適用于本文件�。
ACK:確認(rèn)字符(Acknowledgement)
API:應(yīng)用程序編程接口(Application Programming Interface)
CC:挑戰(zhàn)黑洞(Challenge Collapsar)
DNS:域名系統(tǒng)(Domain Name System)
HTTP:超文本傳輸協(xié)議(HyperText Transfer Protocol)
ICMP:網(wǎng)際控制報文協(xié)議(Internet Control Message Protocol)
IP:網(wǎng)際協(xié)議(Internet Protocol)
SYN:TCP連接同步信號(Synchronous)
TCP:傳輸控制協(xié)議(Transport Control Protocol)
UDP:用戶數(shù)據(jù)報協(xié)議(User Datagram Protocol)
URL:統(tǒng)一資源定位符(Uniform Resource Locator)
WEB:萬維網(wǎng)(World Wide Web)
5 概述
網(wǎng)站安全云防護(hù)平臺由相互聯(lián)系、統(tǒng)一調(diào)度的安全防護(hù)節(jié)點(diǎn)組成�,平臺通過云服務(wù)模式,集中快速地部署�、更新防護(hù)策略�,對網(wǎng)站惡意請求進(jìn)行過濾和清洗���,提高網(wǎng)站安全防護(hù)能力�。
網(wǎng)站安全云防護(hù)平臺技術(shù)要求分為平臺功能要求和平臺安全要求兩個方面����,功能要求包括網(wǎng)站安全防護(hù)、網(wǎng)站合規(guī)性檢查�、資源管理、策略管理等����;安全要求包括系統(tǒng)與通信保護(hù)、訪問控制���、配置管理���、安全事件處置、平臺容災(zāi)備份等�����。
根據(jù)防護(hù)網(wǎng)站所承載的業(yè)務(wù)和信息的敏感程度,網(wǎng)站安全云防護(hù)平臺技術(shù)要求分為一般要求和增強(qiáng)要求���。一般要求是網(wǎng)站安全云防護(hù)平臺在開展網(wǎng)站安全防護(hù)業(yè)務(wù)應(yīng)具備的基本功能及安全要求�����。增強(qiáng)要求是對一般要求的補(bǔ)充和強(qiáng)化。網(wǎng)站安全云防護(hù)平臺用戶可根據(jù)自身業(yè)務(wù)類型及承載信息的敏感程度選擇相應(yīng)安全要求的網(wǎng)站安全云防護(hù)平臺���,GB/T 31167-2014中6.3和6.4給出了判斷業(yè)務(wù)類型及承載信息的敏感程度的相應(yīng)方法����。
6 平臺功能要求
6.1 網(wǎng)站安全防護(hù)
6.1.1 WEB攻擊防御
6.1.1.1 一般要求
應(yīng)支持識別WEB攻擊類型��,阻斷直接或間接的攻擊行為����,包括:
a) GB/T 32917-2016中4.1.1.2.2要求的安全防護(hù)功能;
b)暴力破解防護(hù)����;
c) Webshell識別和攔截;
d) 目錄遍歷防護(hù)�;
e) Cookie注入攻擊防護(hù);
f) 惡意代碼執(zhí)行防護(hù)。
6.1.1.2 增強(qiáng)要求
應(yīng)具備其他WEB攻擊防護(hù)功能���。
6.1.2 DDoS攻擊防御
6.1.2.1 一般要求
應(yīng)支持DDoS清洗���,具備防御SYN Flood、ACK Flood����、ICMP Flood、UDP Flood����、HTTP Flood、DNS Flood�����、CC攻擊等拒絕服務(wù)類攻擊的功能�。
6.1.2.2 增強(qiáng)要求
無。
6.1.3 防護(hù)策略配置
6.1.3.1 一般要求
應(yīng)滿足以下要求:
a)提供默認(rèn)安全防護(hù)策略��;
b)提供檢測�、防護(hù)等策略模式;
c)支持平臺用戶配置與選擇防護(hù)策略�����。
6.1.3.2 增強(qiáng)要求
應(yīng)支持平臺用戶查閱阻斷的訪問請求和對應(yīng)的防護(hù)策略,反饋漏報及誤報信息���。
6.1.4 協(xié)同防御
6.1.4.1 一般要求
應(yīng)滿足以下要求:
a)支持識別攻擊常用域名�、IP地址等信息���,記錄并分析攻擊者行為�,在整個云防護(hù)范圍內(nèi)對惡意攻擊者IP地址等進(jìn)行阻斷�����;
b)對可信第三方提供的惡意攻擊IP地址等信息��,應(yīng)支持識別����、分析并在整個云防護(hù)范圍內(nèi)阻斷�。
6.1.4.2 增強(qiáng)要求
無。
6.1.5 內(nèi)容安全
6.1.5.1 敏感信息過濾
6.1.5.1.1 一般要求
應(yīng)支持自定義敏感詞匯�,對網(wǎng)站文字內(nèi)容中出現(xiàn)的敏感詞匯進(jìn)行過濾。
6.1.5.1.2 增強(qiáng)要求
可支持對涉及敏感信息的圖片等內(nèi)容進(jìn)行過濾�����。
以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文�,請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。
