平台网站安全防护

ICS35.
040L80中华人民共和国国家标准GB/TXXXXX—XXXX信息安全技术网站安全云防护平台技术要求Informationsecuritytechnology—Technologyrequirementforwebsitesecuritycloudprotectionplatform点击此处添加与国际标准一致性程度的标识(本稿完成日期:2017年8月15日)XXXX-XX-XX发布XXXX-XX-实施目次前言II信息安全技术网站安全云防护平台技术要求11范围12规范性引用文件13术语和定义14缩略语15概述26平台功能要求26.
1网站安全防护26.
2集中管控46.
3弹性可扩展56.
4网站合法性验证56.
5统计分析57平台安全要求67.
1基本安全要求67.
2平台运行监控67.
3平台优化更新67.
4安全事件响应77.
5平台容灾备份77.
6用户数据保护7参考文献8前言本标准按照GB/T1.
1—2009《标准化工作导则第1部分:标准的结构和编写》给出的规则起草.
请注意本文件的其他内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任.
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口.
本标准起草单位:国家工业信息安全发展研究中心、公安部第三研究所、中国信息安全研究院有限公司、北京知道创宇信息技术有限公司、北京奇安信科技有限公司、阿里云计算有限公司、杭州安恒信息技术有限公司、深圳市深信服电子科技有限公司本标准主要起草人:刘迎、张格、左晓栋、宋好好、杨晨、于盟、吴艳艳、唐旺、江浩、刘文胜、张哲宇、肖俊芳、李俊、郭娴、赵伟、赵光明、李鸿培、国艳松、陈雪秀、宋志明、周欣、刘伯仲、王朋涛、陈妍、陆臻、顾健、周俊、毛润平.

信息安全技术网站安全云防护平台技术要求范围本标准规定了网站安全云防护平台的技术要求,包括平台功能要求和平台安全要求.
本标准适用于网站安全云防护平台的开发、运营及使用,为政府部门、企事业单位、社会团体等组织或个人选购网站安全云防护平台提供参考.
规范性引用文件下列文件对于本文件的应用是必不可少的.
凡是注日期的引用文件,仅注日期的版本适用于本文件.
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.
GB/T24363-2009信息安全技术信息安全应急响应计划规范GB/T25069-2010信息安全技术术语GB/Z20986-2007信息安全技术信息安全事件分类分级指南GB/T31168-2014信息安全技术云计算服务安全能力要求GB/T32917-2016信息安全技术WEB应用防火墙安全技术要求与测试评价方法术语和定义GB/T25069—2010中界定的以及下列术语和定义适用于本文件.
3.
1网站安全云防护平台Websitesecuritycloudprotectionplatform以云服务模式提供网站安全防护,运用集中管控、协同防御等方式,及时更新防护策略和规则,对网站访问请求和响应进行检测、分析、过滤的一组安全防护节点的集合.
3.
2网站安全云防护平台提供者Websitesecurityprotectioncloudplatformproviders负责建立、运营网站安全云防护平台相关的基础设施、网络拓扑结构、防护功能组件等,在此平台上执行安全防护、保障网站安全的组织或机构.
3.
3网站安全云防护平台用户Websitesecuritycloudprotectionplatformusers使用网站安全云防护平台的组织或个人.
3.
4网站运营者负责网站后期运作、维护、经营的组织或个人.
缩略语HTTP:超文本传输协议(HyperTextTransferProtocol)HTTPS:安全超文本传输协议(HypertextTransferProtocoloverSecureSocketLayer)OWASP:开放式网页应用程序安全项目(OpenWebApplicationSecurityProject)CSRF:跨站请求伪造(Cross-siterequestforgery)DNS:域名系统(DomainNameSystem)HTTP:超文本传输协议(HyperTextTransferProtocol)ICMP:网际控制报文协议(InternetControlMessageProtocol)IP:网际协议(InternetProtocol)SQL:结构化查询语言(StructuredQuevyLanguage)TCP:传输控制协议(TransportControlProtocol)UDP:用户数据报协议(UserDatagramProtocol)URL:统一资源定位符(UniformResourceLocator)XSS:跨站攻击(CrossSiteScripting)SaaS:软件即服务(Software-as-a-Service)概述网站安全云防护平台由一组相互联系、统一调度的安全防护节点组成,平台通过DNS解析、路由转发、IP地址接入等方式引入网站流量,利用云服务模式,集中快速地更新防护策略和规则,对网站恶意访问流量的过滤和清洗,将安全访问流量转发到网站上,实现网站安全访问.

网站安全云防护平台位于网站访问者和网站系统之间,如图1所示.
网站运营者无需部署软、硬件设施,可快速按需使用平台的防护资源.
图1网站安全云防护平台部署位置示意图本标准从网站安全云防护平台的功能要求、安全要求两个方面,规范了网站安全云防护平台的技术要求.
其中,平台功能要求是对网站安全云防护平台应具备的功能提出具体要求,包括网站安全防护、集中管控、弹性可扩展等;平台安全要求是对为保障网站安全云防护平台的安全提出的要求,包括基本安全要求、平台资源监控及优化、安全事件响应等.

本标准规定的网站安全云防护平台技术要求按照平台的功能和安全要求的强度,分为一般要求和增强要求.
一般要求是网站安全云防护平台在开展网站安全防护业务时应具备必要的功能及安全控制措施,保护网站抵御或应对常见的攻击、威胁.
增强要求是对一般要求的补充和强化,是网站安全云防护平台保障网站安全时提供的更高级别的功能及安全控制措施.
网站安全云防护平台用户根据自身业务需求及存储的信息敏感程度选择相应安全防护水平的网站安全云防护平台提供者.