书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ３７９５６ — ２０１９ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G28 /G23 /G24 /G29 /G2A /G2B /G2C /G2D /G25 /G26 /G2E /G2F 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犜犲犮犺狀狅犾狅犵狔狉犲狇狌犻狉犲犿犲狀狋犳狅狉狑犲犫狊犻狋犲狊犲犮狌狉犻狋狔犮犾狅狌犱狆狉狅狋犲犮狋犻狅狀狆犾犪狋犳狅狉犿 ２０１９  ０８  ３０ /G30 /G31 ２０２０  ０３  ０１ /G32 /G33 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G31 /G32 /G21 /G27 /G27 /G28 /G29 /G2A /G33 /G2F /G30 /G34 /G35 /G36 /G30 /G31书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ２ …………………………………………………………………………………………………… ５ 　 概述 ２ ……………………………………………………………………………………………………… ６ 　 平台功能要求 ２ …………………………………………………………………………………………… 　 ６．１ 　 网站安全防护 ２ ……………………………………………………………………………………… 　 ６．２ 　 网站合规性检查 ５ …………………………………………………………………………………… 　 ６．３ 　 资源管理 ５ …………………………………………………………………………………………… 　 ６．４ 　 策略管理 ５ …………………………………………………………………………………………… 　 ６．５ 　 统计分析 ６ …………………………………………………………………………………………… 　 ６．６ 　 系统扩展 ６ …………………………………………………………………………………………… ７ 　 平台安全要求 ６ …………………………………………………………………………………………… 　 ７．１ 　 系统与通信保护 ６ …………………………………………………………………………………… 　 ７．２ 　 访问控制 ７ …………………………………………………………………………………………… 　 ７．３ 　 配置管理 ７ …………………………………………………………………………………………… 　 ７．４ 　 安全事件处置 ７ ……………………………………………………………………………………… 　 ７．５ 　 平台容灾备份 ７ ……………………………………………………………………………………… 　 ７．６ 　 用户数据保护 ８ ……………………………………………………………………………………… 　 ７．７ 　 审计 ８ ………………………………………………………………………………………………… 参考文献 ９ ……………………………………………………………………………………………………… Ⅰ 犌犅 ／ 犜 ３７９５６ — ２０１９ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 国家工业信息安全发展研究中心 、 北京知道创宇信息技术有限公司 、 公安部第三研究所 、 中国信息安全研究院有限公司 、 网神信息技术 （ 北京 ） 股份有限公司 、 阿里云计算有限公司 、 杭州安恒信息技术股份有限公司 、 深信服科技股份有限公司 。 本标准主要起草人 ： 张格 、 于盟 、 张哲宇 、 赵光明 、 宋好好 、 尹丽波 、 何小龙 、 刘迎 、 左晓栋 、 顾健 、 杨晨 、 王朋涛 、 王枭卿 、 周俊 、 宋志明 、 陈雪秀 、 李鸿培 、 吴艳艳 、 唐旺 、 江浩 、 刘文胜 、 肖俊芳 、 李俊 、 郭娴 、 赵伟 、 周欣 、 刘伯仲 、 陈妍 、 陆臻 、 毛润华 、 张弛 。 Ⅲ 犌犅 ／ 犜 ３７９５６ — ２０１９ 信息安全技术网站安全云防护平台技术要求 １ 　 范围 本标准规定了网站安全云防护平台的技术要求 ， 包括平台功能要求和平台安全要求 。 本标准适用于网站安全云防护平台的开发 、 运营及使用 ， 为政府部门 、 企事业单位 、 社会团体等组织或个人选购网站安全云防护平台提供参考 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ２５０６９ — ２０１０ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ３１１６７ — ２０１４ 　 信息安全技术 　 云计算服务安全指南 ＧＢ ／ Ｔ３１１６８ — ２０１４ 　 信息安全技术 　 云计算服务安全能力要求 ＧＢ ／ Ｔ３２９１７ — ２０１６ 　 信息安全技术 　 ＷＥＢ 应用防火墙安全技术要求与测试评价方法 ３ 　 术语和定义 ＧＢ ／ Ｔ２５０６９ — ２０１０ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 网站安全云防护平台 　 狑犲犫狊犻狋犲狊犲犮狌狉犻狋狔犮犾狅狌犱狆狉狅狋犲犮狋犻狅狀狆犾犪狋犳狅狉犿 以云服务模式提供网站安全防护 ， 运用集中管控 、 协同防御等方式 ， 及时更新防护策略和规则 ， 对网 站访问请求和响应进行检测 、 分析 、 过滤的安全防护节点的集合 。 ３ ． ２ 网站安全云防护平台提供者 　 狑犲犫狊犻狋犲狊犲犮狌狉犻狋狔狆狉狅狋犲犮狋犻狅狀犮犾狅狌犱狆犾犪狋犳狅狉犿狆狉狅狏犻犱犲狉狊 负责建立 、 运营网站安全云防护平台相关的基础设施 、 网络拓扑结构 、 防护功能组件等 ， 在此平台上 执行安全防护 、 保障网站安全的组织或机构 。 ３ ． ３ 网站安全云防护平台用户 　 狑犲犫狊犻狋犲狊犲犮狌狉犻狋狔犮犾狅狌犱狆狉狅狋犲犮狋犻狅狀狆犾犪狋犳狅狉犿狌狊犲狉狊 使用网站安全云防护平台的组织或个人 。 ３ ． ４ 平台用户网站数据 　 狆犾犪狋犳狅狉犿狌狊犲狉狊狑犲犫狊犻狋犲犱犪狋犪 网站安全云防护平台用户的网站相关数据 。 注 ： 包括网站信息 、 原始访问流量 、 访问日志 、 操作日志 、 被攻击日志等 。 ３ ． ５ 网站运营者 　 狑犲犫狊犻狋犲狅狆犲狉犪狋狅狉狊 负责网站后期运作 、 维护 、 经营的组织或个人 。 １ 犌犅 ／ 犜 ３７９５６ — ２０１９ ４ 　 缩略语 下列缩略语适用于本文件 。 ＡＣＫ ： 确认字符 （ Ａｃｋｎｏｗｌｅｄｇｅｍｅｎｔ ） ＡＰＩ ： 应用程序编程接口 （ ＡｐｐｌｉｃａｔｉｏｎＰｒｏｇｒａｍｍｉｎｇＩｎｔｅｒｆａｃｅ ） ＣＣ ： 挑战黑洞 （ ＣｈａｌｌｅｎｇｅＣｏｌｌａｐｓａｒ ） ＤＮＳ ： 域名系统 （ ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ ） ＨＴＴＰ ： 超文本传输协议 （ ＨｙｐｅｒＴｅｘｔＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） ＩＣＭＰ ： 网际控制报文协议 （ ＩｎｔｅｒｎｅｔＣｏｎｔｒｏｌＭｅｓｓａｇｅＰｒｏｔｏｃｏｌ ） ＩＰ ： 网际协议 （ ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ ） ＳＹＮ ： ＴＣＰ 连接同步信号 （ Ｓｙｎｃｈｒｏｎｏｕｓ ） ＴＣＰ ： 传输控制协议 （ ＴｒａｎｓｐｏｒｔＣｏｎｔｒｏｌＰｒｏｔｏｃｏｌ ） ＵＤＰ ： 用户数据报协议 （ ＵｓｅｒＤａｔａｇｒａｍＰｒｏｔｏｃｏｌ ） ＵＲＬ ： 统一资源定位符 （ ＵｎｉｆｏｒｍＲｅｓｏｕｒｃｅＬｏｃａｔｏｒ ） ＷＥＢ ： 万维网 （ ＷｏｒｌｄＷｉｄｅＷｅｂ ） ５ 　 概述 网站安全云防护平台由相互联系 、 统一调度的安全防护节点组成 ， 平台通过云服务模式 ， 集中快速地部署 、 更新防护策略 ， 对网站恶意请求进行过滤和清洗 ， 提高网站安全防护能力 。 网站安全云防护平台技术要求分为平台功能要求和平台安全要求两个方面 ， 功能要求包括网站安全防护 、 网站合规性检查 、 资源管理 、 策略管理等 ； 安全要求包括系统与通信保护 、 访问控制 、 配置管理 、 安全事件处置 、 平台容灾备份等 。 根据防护网站所承载的业务和信息的敏感程度 ， 网站安全云防护平台技术要求分为一般要求和增强要求 。 一般要求是网站安全云防护平台在开展网站安全防护业务应具备的基本功能及安全要求 。 增强要求是对一般要求的补充和强化 。 网站安全云防护平台用户可根据自身业务类型及承载信息的敏感程度选择相应安全要求的网站安全云防护平台 ， ＧＢ ／ Ｔ３１１６７ — ２０１４ 中 ６．３ 和 ６．４ 给出了判断业务类型及承载信息的敏感程