1 范圍

      本標準規定了網站安全云防護平臺的技術要求，包括平臺功能要求和平臺安全要求。

      本標準適用于網站安全云防護平臺的開發、運營及使用，為政府部門、企事業單位、社會團體等組織或個人選購網站安全云防護平臺提供參考。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術 術語

      GB/T 31167-2014 信息安全技術 云計算服務安全指南

      GB/T 31168-2014 信息安全技術 云計算服務安全能力要求

      GB/T 32917-2016 信息安全技術 WEB應用防火墻安全技術要求與測試評價方法

3 術語和定義

      GB/T 25069-2010界定的以及下列術語和定義適用于本文件。

3.1

      網站安全云防護平臺 website security cloud protection platform

      以云服務模式提供網站安全防護，運用集中管控、協同防御等方式，及時更新防護策略和規則，對網站訪問請求和響應進行檢測、分析、過濾的安全防護節點的集合。

3.2

      網站安全云防護平臺提供者 website security protection cloud platform providers

      負責建立、運營網站安全云防護平臺相關的基礎設施、網絡拓撲結構、防護功能組件等，在此平臺上執行安全防護、保障網站安全的組織或機構。

3.3

      網站安全云防護平臺用戶 website security cloud protection platform users

      使用網站安全云防護平臺的組織或個人。

3.4

      平臺用戶網站數據 platform users website data

      網站安全云防護平臺用戶的網站相關數據。

      注：包括網站信息、原始訪問流量、訪問日志、操作日志、被攻擊日志等。

3.5

      網站運營者 website operators

      負責網站后期運作、維護、經營的組織或個人。

4 縮略語

      下列縮略語適用于本文件。

      ACK：確認字符（Acknowledgement）

      API：應用程序編程接口（Application Programming Interface）

      CC：挑戰黑洞（Challenge Collapsar）

      DNS：域名系統（Domain Name System）

      HTTP：超文本傳輸協議（HyperText Transfer Protocol）

      ICMP：網際控制報文協議（Internet Control Message Protocol）

      IP：網際協議（Internet Protocol）

      SYN：TCP連接同步信號（Synchronous）

      TCP：傳輸控制協議（Transport Control Protocol）

      UDP：用戶數據報協議（User Datagram Protocol）

      URL：統一資源定位符（Uniform Resource Locator）

      WEB：萬維網（World Wide Web）

5 概述

      網站安全云防護平臺由相互聯系、統一調度的安全防護節點組成，平臺通過云服務模式，集中快速地部署、更新防護策略，對網站惡意請求進行過濾和清洗，提高網站安全防護能力。

      網站安全云防護平臺技術要求分為平臺功能要求和平臺安全要求兩個方面，功能要求包括網站安全防護、網站合規性檢查、資源管理、策略管理等；安全要求包括系統與通信保護、訪問控制、配置管理、安全事件處置、平臺容災備份等。

      根據防護網站所承載的業務和信息的敏感程度，網站安全云防護平臺技術要求分為一般要求和增強要求。一般要求是網站安全云防護平臺在開展網站安全防護業務應具備的基本功能及安全要求。增強要求是對一般要求的補充和強化。網站安全云防護平臺用戶可根據自身業務類型及承載信息的敏感程度選擇相應安全要求的網站安全云防護平臺，GB/T 31167-2014中6.3和6.4給出了判斷業務類型及承載信息的敏感程度的相應方法。

6 平臺功能要求

6.1 網站安全防護

6.1.1 WEB攻擊防御

6.1.1.1 一般要求

      應支持識別WEB攻擊類型，阻斷直接或間接的攻擊行為，包括：

      a） GB/T 32917-2016中4.1.1.2.2要求的安全防護功能；

      b）暴力破解防護；

      c) Webshell識別和攔截；

      d) 目錄遍歷防護；

      e） Cookie注入攻擊防護；

      f) 惡意代碼執行防護。

6.1.1.2 增強要求

      應具備其他WEB攻擊防護功能。

6.1.2 DDoS攻擊防御

6.1.2.1 一般要求

      應支持DDoS清洗，具備防御SYN Flood、ACK Flood、ICMP Flood、UDP Flood、HTTP Flood、DNS Flood、CC攻擊等拒絕服務類攻擊的功能。

6.1.2.2 增強要求

      無。

6.1.3 防護策略配置

6.1.3.1 一般要求

      應滿足以下要求：

      a）提供默認安全防護策略；

      b）提供檢測、防護等策略模式；

      c）支持平臺用戶配置與選擇防護策略。

6.1.3.2 增強要求

      應支持平臺用戶查閱阻斷的訪問請求和對應的防護策略，反饋漏報及誤報信息。

6.1.4 協同防御

6.1.4.1 一般要求

      應滿足以下要求：

      a）支持識別攻擊常用域名、IP地址等信息，記錄并分析攻擊者行為，在整個云防護范圍內對惡意攻擊者IP地址等進行阻斷；

      b）對可信第三方提供的惡意攻擊IP地址等信息，應支持識別、分析并在整個云防護范圍內阻斷。

6.1.4.2 增強要求

      無。

6.1.5 內容安全

6.1.5.1 敏感信息過濾

6.1.5.1.1 一般要求

      應支持自定義敏感詞匯，對網站文字內容中出現的敏感詞匯進行過濾。

6.1.5.1.2 增強要求

      可支持對涉及敏感信息的圖片等內容進行過濾。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。