GB∕T 37956-2019
基本信息
标准号: GB∕T 37956-2019
中文名称:信息安全技术 网站安全云防护平台技术要求
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:597KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 37956-2019 信息安全技术 网站安全云防护平台技术要求
GB∕T37956-2019
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T37956—2019
信息安全技术
网站安全云防护平台技术要求
Information security technology-Technology requirement for website security cloud protection platform2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
规范性引用文件
术语和定义
缩略语
平台功能要求
网站安全防护
网站合规性检查
资源管理
策略管理
统计分析
系统扩展
平台安全要求
系统与通信保护
访问控制
配置管理
安全事件处置
平台容灾备份
7.6用户数据保护
参考文献·
GB/T37956—2019
本标准按照GB/T1.12009给出的规则起草。GB/T37956—2019
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:国家工业信息安全发展研究中心、北京知道创宇信息技术有限公司、公安部第三研究所、中国信息安全研究院有限公司、网神信息技术(北京)股份有限公司、阿里云计算有限公司,杭州安恒信息技术股份有限公司、深信服科技股份有限公司。本标准主要起草人:张格、于盟、张哲宇、赵光明、宋好好、尹丽波、何小龙、刘迎、左晓栋、顾健、杨晨王朋涛、王枭卿、周俊、宋志明、陈雪秀、李鸿培、吴艳艳、唐旺、江浩、刘文胜、肖俊芳、李俊、郭娴、赵伟、周欣、刘伯仲、陈妍、陆臻、毛润华、张弛。1范围
信息安全技术
网站安全云防护平台技术要求
GB/T37956—2019
本标准规定了网站安全云防护平台的技术要求,包括平台功能要求和平台安全要求本标准适用于网站安全云防护平台的开发、运营及使用,为政府部门、企事业单位、社会团体等组织或个人选购网站安全云防护平台提供参考。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T25069—2010信息安全技术术语GB/T31167—2014信息安全技术云计算服务安全指南GB/T31168一2014信息安全技术云计算服务安全能力要求GB/T32917一2016信息安全技术WEB应用防火墙安全技术要求与测试评价方法3术语和定义
GB/T25069一2010界定的以及下列术语和定义适用于本文件。3.1
网站安全云防护平台websitesecuritycloudprotectionplatform以云服务模式提供网站安全防护,运用集中管控、协同防御等方式,及时更新防护策略和规则,对网站访问请求和响应进行检测、分析、过滤的安全防护节点的集合。3.2
网站安全云防护平台提供者websitesecurityprotectioncloudplatformproviders负责建立、运营网站安全云防护平台相关的基础设施、网络拓扑结构、防护功能组件等,在此平台上执行安全防护,保障网站安全的组织或机构,3.3
网站安全云防护平台用户websitesecuritycloudprotectionplatformusers使用网站安全云防护平台的组织或个人。3.4
platform users websitedata
平台用户网站数据
网站安全云防护平台用户的网站相关数据。注:包括网站信息、原始访问流量,访问日志、操作日志,被攻击日志等3.5
网站运营者
websiteoperators
负责网站后期运作、维护、经营的组织或个人。1
GB/T37956—2019
4缩略语
下列缩略语适用于本文件。
ACK:确认字符(Acknowledgement)API:应用程序编程接口(ApplicationProgrammingInterface)CC:挑战黑洞(ChallengeCollapsar)DNS:域名系统(DomainNameSystem)HTTP:超文本传输协议(HyperTextTransferProtocol)ICMP:网际控制报文协议(InternetControlMessageProtocol)IP:网际协议(InternetProtocol)SYN:TCP连接同步信号(Synchronous)TCP:传输控制协议(TransportControlProtocol)UDP:用户数据报协议(UserDatagramProtocol)URL:统一资源定位符(UniformResourceLocator)WEB:万维网(WorldWideWeb)
5概述
网站安全云防护平台由相互联系、统一调度的安全防护节点组成,平台通过云服务模式,集中快速地部署、更新防护策略,对网站恶意请求进行过滤和清洗,提高网站安全防护能力。网站安全云防护平台技术要求分为平台功能要求和平台安全要求两个方面,功能要求包括网站安全防护、网站合规性检查、资源管理、策略管理等;安全要求包括系统与通信保护、访问控制、配置管理、安全事件处置、平台容灾备份等根据防护网站所承载的业务和信息的敏感程度,网站安全云防护平台技术要求分为一般要求和增强要求。一般要求是网站安全云防护平台在开展网站安全防护业务应具备的基本功能及安全要求。增强要求是对一般要求的补充和强化。网站安全云防护平台用户可根据自身业务类型及承载信息的敏感程度选择相应安全要求的网站安全云防护平台,GB/T31167一2014中6.3和6.4给出了判断业务类型及承载信息的敏感程度的相应方法。6平台功能要求
网站安全防护
6.1.1WEB攻击防御
一般要求
应支持识别WEB攻击类型,阻断直接或间接的攻击行为,包括:a)GB/T32917—2016中4.1.1.2.2要求的安全防护功能:b)
暴力破解防护;
Webshell识别和拦截;
目录遍历防护;
Cookie注人攻击防护;
恶意代码执行防护。
增强要求
应具备其他WEB攻击防护功能。
6.1.2DDoS攻击防御
一般要求
GB/T37956—2019
应支持DDoS清洗,具备防御SYNFlood、ACKFlood、ICMPFlood、UDPFlood、HTTPFlood,DNSFlood、CC攻击等拒绝服务类攻击的功能。6.1.2.2
增强要求
6.1.3防护策略配置
一般要求
应满足以下要求:
提供默认安全防护策略
提供检测、防护等策略模式;
支持平台用户配置与选择防护策略增强要求
应支持平台用户查阅阻断的访问请求和对应的防护策略,反馈漏报及误报信息。6.1.4协同防御
一般要求
应满足以下要求:
支持识别攻击常用域名、IP地址等信息,记录并分析攻击者行为,在整个云防护范围内对恶意a
攻击者IP地址等进行阻断;
对可信第三方提供的恶意攻击IP地址等信息,应支持识别、分析并在整个云防护范围内阻断。增强要求
内容安全
敏感信息过滤Www.bzxZ.net
6.1.5.1.1一般要求
应支持自定义敏感词汇,对网站文字内容中出现的敏感词汇进行过滤2增强要求
6.1.5.1.2
可支持对涉及敏感信息的图片等内容进行过滤3
GB/T37956—2019
错误页面处理
6.1.5.2.1一般要求
应满足以下要求:
支持对网站服务器返回的错误页面进行自定义,出错消息不能泄露与网站安全相关内容:支持仅向授权人员展示出错消息。b)
6.1.5.2.2
增强要求
篡改应对
6.1.5.3.1一般要求
应支持预定义时间内,提供平台用户指定的未改页面镜像,并在发现异常时告警的功能。6.1.5.3.2
增强要求
应支持预定义时间内,自动监测发现页面篡改。6.1.6网站监测
一般要求
应满足以下要求:
应支持网站可用性监测;
应监测并记录网站被攻击情况,包括攻击类型,攻击时间等,在发现异常时向平台用户发出告警。
增强要求
6.1.7网站访问控制
一般要求
应满足以下要求:
支持设置IP地址白名单或网站URL白名单,为网站访问者保留访问通道;支持设置IP地址黑名单,对列人IP地址黑名单的访问者进行阻断;支持在预定义时间段内,对网站的任何访问请求进行访问控制,设置为阻断/通过;支持预定义URL页面的访问请求设置为阻断/通过;以上访问控制策略的组合使用
增强要求
2网站合规性检查
6.2.1一般要求
应支持在网站接入前进行合规性检查,拒绝不合规如未备案网站的接入。增强要求
应支持定期复查已接人网站合规性情况。资源管理
资源运行监测
一般要求
应满足以下要求:
GB/T37956—2019
支持对支撑平台运行的DNS、带宽、防护节点等软硬件平台资源进行统一监测;b)
支持对防护节点/主机的网络带宽,流量处理延时,主机系统负载,站点访问成功率等资源使用情况进行统一检测;
支持及时发现资源使用异常并告警:支持对资源使用情况、平台承载业务量进行定期分析,评估当前业务、平台用户扩容及新用户接入的需求,并生成分析报告;应提供对资源使用记录的查询、统计及报表输出功能。增强要求
6.3.2资源集中管控
一般要求
应满足以下要求:
支持对支撑平台运行的DNS、带宽、防护节点等平台资源的集中调配;a)
支持依据防护节点/主机资源使用的分析结果对网站访问流量通过DNS在广域网或防护节点b)
内部进行调配:
支持对网站及用户配置信息,平台日志信息等资源集中分析和维护;支持平台资源集中调配在不间断服务情况下进行。增强要求
策略管理
策略集中管控
一般要求
应满足对网站防护策略进行集中维护和管理,支持策略配置的集中添加、修改、停用、5
GB/T37956—2019
增强要求
6.4.2策略优化更新
一般要求
应满足以下要求:
支持及时优化网站安全防护策略;a)
支持对未知攻击手段及WEB安全漏洞的及时跟踪、发现、应对;b)
支持在WEB安全漏洞通报后及时增加相应安全防护规则或更新安全防护策略。增强要求
5统计分析
6.5.1一般要求
应满足以下要求:
支持对某一时间段内告警日志进行统计分析;支持对不同攻击类型事件数量进行统计分析;支持对攻击地理区域进行统计分析;支持对攻击源IP进行统计分析;以上数据统计的可视化图表,支持按照日、周和自定义时间等时间维度进行展示。6.5.2增强要求
6系统扩展
6.6.1一般要求
6.6.2增强要求
应支持对外部系统提供各类API接口,包括日志接口,安全策略接口,报表接口等。7平台安全要求
系统与通信保护
7.1.1一般要求
应满足GB/T31168—2014中6.2.1.6.6.1和6.11.1的一般要求。7.1.2增强要求
应满足GB/T31168—2014中6.2.2[除a)、g)外]、6.3.2和6.11.2的增强要求。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T37956—2019
信息安全技术
网站安全云防护平台技术要求
Information security technology-Technology requirement for website security cloud protection platform2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
规范性引用文件
术语和定义
缩略语
平台功能要求
网站安全防护
网站合规性检查
资源管理
策略管理
统计分析
系统扩展
平台安全要求
系统与通信保护
访问控制
配置管理
安全事件处置
平台容灾备份
7.6用户数据保护
参考文献·
GB/T37956—2019
本标准按照GB/T1.12009给出的规则起草。GB/T37956—2019
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:国家工业信息安全发展研究中心、北京知道创宇信息技术有限公司、公安部第三研究所、中国信息安全研究院有限公司、网神信息技术(北京)股份有限公司、阿里云计算有限公司,杭州安恒信息技术股份有限公司、深信服科技股份有限公司。本标准主要起草人:张格、于盟、张哲宇、赵光明、宋好好、尹丽波、何小龙、刘迎、左晓栋、顾健、杨晨王朋涛、王枭卿、周俊、宋志明、陈雪秀、李鸿培、吴艳艳、唐旺、江浩、刘文胜、肖俊芳、李俊、郭娴、赵伟、周欣、刘伯仲、陈妍、陆臻、毛润华、张弛。1范围
信息安全技术
网站安全云防护平台技术要求
GB/T37956—2019
本标准规定了网站安全云防护平台的技术要求,包括平台功能要求和平台安全要求本标准适用于网站安全云防护平台的开发、运营及使用,为政府部门、企事业单位、社会团体等组织或个人选购网站安全云防护平台提供参考。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T25069—2010信息安全技术术语GB/T31167—2014信息安全技术云计算服务安全指南GB/T31168一2014信息安全技术云计算服务安全能力要求GB/T32917一2016信息安全技术WEB应用防火墙安全技术要求与测试评价方法3术语和定义
GB/T25069一2010界定的以及下列术语和定义适用于本文件。3.1
网站安全云防护平台websitesecuritycloudprotectionplatform以云服务模式提供网站安全防护,运用集中管控、协同防御等方式,及时更新防护策略和规则,对网站访问请求和响应进行检测、分析、过滤的安全防护节点的集合。3.2
网站安全云防护平台提供者websitesecurityprotectioncloudplatformproviders负责建立、运营网站安全云防护平台相关的基础设施、网络拓扑结构、防护功能组件等,在此平台上执行安全防护,保障网站安全的组织或机构,3.3
网站安全云防护平台用户websitesecuritycloudprotectionplatformusers使用网站安全云防护平台的组织或个人。3.4
platform users websitedata
平台用户网站数据
网站安全云防护平台用户的网站相关数据。注:包括网站信息、原始访问流量,访问日志、操作日志,被攻击日志等3.5
网站运营者
websiteoperators
负责网站后期运作、维护、经营的组织或个人。1
GB/T37956—2019
4缩略语
下列缩略语适用于本文件。
ACK:确认字符(Acknowledgement)API:应用程序编程接口(ApplicationProgrammingInterface)CC:挑战黑洞(ChallengeCollapsar)DNS:域名系统(DomainNameSystem)HTTP:超文本传输协议(HyperTextTransferProtocol)ICMP:网际控制报文协议(InternetControlMessageProtocol)IP:网际协议(InternetProtocol)SYN:TCP连接同步信号(Synchronous)TCP:传输控制协议(TransportControlProtocol)UDP:用户数据报协议(UserDatagramProtocol)URL:统一资源定位符(UniformResourceLocator)WEB:万维网(WorldWideWeb)
5概述
网站安全云防护平台由相互联系、统一调度的安全防护节点组成,平台通过云服务模式,集中快速地部署、更新防护策略,对网站恶意请求进行过滤和清洗,提高网站安全防护能力。网站安全云防护平台技术要求分为平台功能要求和平台安全要求两个方面,功能要求包括网站安全防护、网站合规性检查、资源管理、策略管理等;安全要求包括系统与通信保护、访问控制、配置管理、安全事件处置、平台容灾备份等根据防护网站所承载的业务和信息的敏感程度,网站安全云防护平台技术要求分为一般要求和增强要求。一般要求是网站安全云防护平台在开展网站安全防护业务应具备的基本功能及安全要求。增强要求是对一般要求的补充和强化。网站安全云防护平台用户可根据自身业务类型及承载信息的敏感程度选择相应安全要求的网站安全云防护平台,GB/T31167一2014中6.3和6.4给出了判断业务类型及承载信息的敏感程度的相应方法。6平台功能要求
网站安全防护
6.1.1WEB攻击防御
一般要求
应支持识别WEB攻击类型,阻断直接或间接的攻击行为,包括:a)GB/T32917—2016中4.1.1.2.2要求的安全防护功能:b)
暴力破解防护;
Webshell识别和拦截;
目录遍历防护;
Cookie注人攻击防护;
恶意代码执行防护。
增强要求
应具备其他WEB攻击防护功能。
6.1.2DDoS攻击防御
一般要求
GB/T37956—2019
应支持DDoS清洗,具备防御SYNFlood、ACKFlood、ICMPFlood、UDPFlood、HTTPFlood,DNSFlood、CC攻击等拒绝服务类攻击的功能。6.1.2.2
增强要求
6.1.3防护策略配置
一般要求
应满足以下要求:
提供默认安全防护策略
提供检测、防护等策略模式;
支持平台用户配置与选择防护策略增强要求
应支持平台用户查阅阻断的访问请求和对应的防护策略,反馈漏报及误报信息。6.1.4协同防御
一般要求
应满足以下要求:
支持识别攻击常用域名、IP地址等信息,记录并分析攻击者行为,在整个云防护范围内对恶意a
攻击者IP地址等进行阻断;
对可信第三方提供的恶意攻击IP地址等信息,应支持识别、分析并在整个云防护范围内阻断。增强要求
内容安全
敏感信息过滤Www.bzxZ.net
6.1.5.1.1一般要求
应支持自定义敏感词汇,对网站文字内容中出现的敏感词汇进行过滤2增强要求
6.1.5.1.2
可支持对涉及敏感信息的图片等内容进行过滤3
GB/T37956—2019
错误页面处理
6.1.5.2.1一般要求
应满足以下要求:
支持对网站服务器返回的错误页面进行自定义,出错消息不能泄露与网站安全相关内容:支持仅向授权人员展示出错消息。b)
6.1.5.2.2
增强要求
篡改应对
6.1.5.3.1一般要求
应支持预定义时间内,提供平台用户指定的未改页面镜像,并在发现异常时告警的功能。6.1.5.3.2
增强要求
应支持预定义时间内,自动监测发现页面篡改。6.1.6网站监测
一般要求
应满足以下要求:
应支持网站可用性监测;
应监测并记录网站被攻击情况,包括攻击类型,攻击时间等,在发现异常时向平台用户发出告警。
增强要求
6.1.7网站访问控制
一般要求
应满足以下要求:
支持设置IP地址白名单或网站URL白名单,为网站访问者保留访问通道;支持设置IP地址黑名单,对列人IP地址黑名单的访问者进行阻断;支持在预定义时间段内,对网站的任何访问请求进行访问控制,设置为阻断/通过;支持预定义URL页面的访问请求设置为阻断/通过;以上访问控制策略的组合使用
增强要求
2网站合规性检查
6.2.1一般要求
应支持在网站接入前进行合规性检查,拒绝不合规如未备案网站的接入。增强要求
应支持定期复查已接人网站合规性情况。资源管理
资源运行监测
一般要求
应满足以下要求:
GB/T37956—2019
支持对支撑平台运行的DNS、带宽、防护节点等软硬件平台资源进行统一监测;b)
支持对防护节点/主机的网络带宽,流量处理延时,主机系统负载,站点访问成功率等资源使用情况进行统一检测;
支持及时发现资源使用异常并告警:支持对资源使用情况、平台承载业务量进行定期分析,评估当前业务、平台用户扩容及新用户接入的需求,并生成分析报告;应提供对资源使用记录的查询、统计及报表输出功能。增强要求
6.3.2资源集中管控
一般要求
应满足以下要求:
支持对支撑平台运行的DNS、带宽、防护节点等平台资源的集中调配;a)
支持依据防护节点/主机资源使用的分析结果对网站访问流量通过DNS在广域网或防护节点b)
内部进行调配:
支持对网站及用户配置信息,平台日志信息等资源集中分析和维护;支持平台资源集中调配在不间断服务情况下进行。增强要求
策略管理
策略集中管控
一般要求
应满足对网站防护策略进行集中维护和管理,支持策略配置的集中添加、修改、停用、5
GB/T37956—2019
增强要求
6.4.2策略优化更新
一般要求
应满足以下要求:
支持及时优化网站安全防护策略;a)
支持对未知攻击手段及WEB安全漏洞的及时跟踪、发现、应对;b)
支持在WEB安全漏洞通报后及时增加相应安全防护规则或更新安全防护策略。增强要求
5统计分析
6.5.1一般要求
应满足以下要求:
支持对某一时间段内告警日志进行统计分析;支持对不同攻击类型事件数量进行统计分析;支持对攻击地理区域进行统计分析;支持对攻击源IP进行统计分析;以上数据统计的可视化图表,支持按照日、周和自定义时间等时间维度进行展示。6.5.2增强要求
6系统扩展
6.6.1一般要求
6.6.2增强要求
应支持对外部系统提供各类API接口,包括日志接口,安全策略接口,报表接口等。7平台安全要求
系统与通信保护
7.1.1一般要求
应满足GB/T31168—2014中6.2.1.6.6.1和6.11.1的一般要求。7.1.2增强要求
应满足GB/T31168—2014中6.2.2[除a)、g)外]、6.3.2和6.11.2的增强要求。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。