国家标准 GB/T37956一2019 信息安全技术网站安全云防护平台技术要求 Informationseeuritytechnology Iechnoloreqirementforwebsiteseeurityeloudproteetonplatform 2019-08-30发布 2020-03-01实施国家市场监督管理总局发布币国国家标准化管理委员会国家标准
GB/37956一2019 目次前言范围 2 规范性引用文件术语和定义缩略语概述平台功能要求 6.1网站安全防护 6.2网站合规性检查 6.3资源管理 6.4策略管理 6.5 统计分析 6.6系统扩展平台安全要求 7.1系统与通信保护访间控制了5 配置管理 7.3 安全事件处置 7.4 7.5平台容灾备份 7.6用户数据保护 7.7审计参考文献
GB/37956一2019 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/Tc260)提出并归口本标准起草单位:国家工业信息安全发展研究中心、北京知道创宇信息技术有限公司、公安部第三研究所、信息安全研究院有限公司、网神信息技术(北京)股份有限公司、阿里云计算有限公司、杭州安恒信息技术股份有限公司、深信服科技股份有限公司本标准主要起草人:张格、于盟、张哲宇,赵光明、宋好好、尹丽波、何小龙、刘迎、左晓栋、顾健、杨晨、王朋涛、王枭卿、周俊,宋志明陈雪秀,李鸿培、吴艳艳、唐旺、江浩,刘文胜、肖俊芳、李俊、郭娴赵伟、周欣.刘伯仲,陈妍,陆臻、毛润华、张弛
GB/37956一2019 信息安全技术网站安全云防护平台技术要求范围本标准规定了网站安全云防护平台的技术要求,包括平台功能要求和平台安全要求本标准适用于网站安全云防护平台的开发、运营及使用,为政府部门、企事业单位、社会团体等组织或个人选购网站安全云防护平台提供参考规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T250692010信息安全技术术语 GB/T31167一2014信息安全技术云计算服务安全指南 GB/T31168一2014信息安全技术云计算服务安全能力要求 GB/T32917一2016信息安全技术wEB应用防火墙安全技术要求与测试评价方法术语和定义 3 GB/T250692010界定的以及下列术语和定义适用于本文件 3.1 网站安全云防护平台wehsitesecuritycloudprotectioplatform 以云服务模式提供网站安全防护,运用集中管控、协同防御等方式,及时更新防护策略和规则,对网站访问请求和响应进行检测、分析、过滤的安全防护节点的集合 3.2 网站安全云防护平台提供者 lplatformproviders websitesecurityprotectioncloud 负责建立,运营网站安全云防护平台相关的基础设施、网络拓扑结构,防护功能组件等,在此平台上执行安全防护,保障网站安全的组织或机构 3.3 网站安全云防护平台用户 websitesecuritycloudprotectionplatformusers 使用网站安全云防护平台的组织或个人 3.4 userswebsitedata 平台用户网站数据patform 网站安全云防护平台用户的网站相关数据注:包括网站信息、原始访问流量、访问日志操作日志、被攻击日志等， 3.5 网站运营者website eoperators 负责网站后期运作、维护、经营的组织或个人
GB/T37956一2019 缩略语下列缩略语适用于本文件 ACK;确认字符Acknowledgem ent Interface API;应用程序编程接口(ApplicationProgramming CC:挑战黑洞(ChallengeCollapsar DNs;域名系统(DomainNamesystem HrTP;超文本传输协议(HyperTextTransferProtocol) ICMP:网际控制报文协议(InternetControlMessageProtocol IP;网际协议(InternetProtocol sYN;TCP连接同步信号(Synchronous TCP传输控制协议(TransportControlProtocol Protocol UDP:用户数据报协议(UserDatagram URL统一资源定位符(UniformResourceLocator) wEB:万维网(worldwideweb) 5 概述网站安全云防护平台由相互联系,统一调度的安全防护节点组成,平台通过云服务模式,集中快速地部署,更新防护策略,对网站恶意请求进行过滤和清洗，提高网站安全防护能力网站安全云防护平台技术要求分为平台功能要求和平台安全要求两个方面,功能要求包括网站安全防护、网站合规性检查、资源管理策略管理等;安全要求包括系统与通信保护、访问控制、配置管理、安全事件处置、平台容灾备份等根据防护网站所承载的业务和信息的敏感程度,网站安全云防护平台技术要求分为一般要求和增强要求一般要求是网站安全云防护平台在开展网站安全防护业务应具备的基本功能及安全要求增强要求是对一般要求的补充和强化网站安全云防护平台用户可根据自身业务类型及承载信息的敏感程度选择相应安全要求的网站安全云防护平台,GB/T31167一2014中6.3和6.4给出了判断业务类型及承载信息的敏感程度的相应方法 6 平台功能要求 6.1网站安全防护 6.1.1wEB攻击防御 6.1.1.1 -般要求应支持识别wEB攻击类型,阻断直接或间接的攻击行为,包括 GB/T32917一2016中4.1.1.2.2要求的安全防护功能 a b) 暴力破解防护; webshel识别和拦截 c d 目录遍历防护; Cookie注人攻击防护; 恶意代码执行防护
GB/37956一2019 6.1.1.2增强要求应具备其他wEB攻击防护功能 6.1.2DDS攻击防御 6.1.2.1 -般要求应支持DDoS清洗,具备防御sYNFlood、ACKFlood、ICMPFlood、UDPFlood、HTTPFlood、 DNSFIood,CC攻击等拒绝服务类攻击的功能 6.1.2.2增强要求无 6.1.3防护策略配置 6.1.3.1 -般要求应满足以下要求: 提供默认安全防护策略" a b提供检测.防护等策略模式支持平台用户配置与选择防护策略 c 6.1.3.2增强要求应支持平台用户查阅阻断的访问请求和对应的防护策略,反馈漏报及误报信息 6.1.4协同防御一般要求 6.1.4.1 应满足以下要求支持识别攻击常用域名、,IP地址等信息,记录并分析攻击者行为,在整个云防护范围内对恶意 a 攻击者IP地址等进行阻断 b 对可信第三方提供的恶意攻击IP地址等信息,应支持识别分析并在整个云防护范围内阻断 6.1.4.2增强要求无 6.1.5内容安全 6.1.5.1敏感信息过滤 6.1.5.1.1一般要求应支持自定义敏感词汇,对网站文字内容中出现的敏感词汇进行过滤 6.1.5.1.2增强要求可支持对涉及敏感信息的图片等内容进行过滤
GB/T37956一2019 6.1.5.2错误页面处理 6.1.5.2.1 一般要求应满足以下要求 a 支持对网站服务器返回的错误页面进行自定义,出错消息不能泄露与网站安全相关内容 b 支持仅向授权人员展示出错消息 6.1.5.2.2增强要求无 6.1.5.3篡改应对 6.1.5.3.1 -般要求应支持预定义时间内,提供平台用户指定的未篡改页面镜像,并在发现异常时告警的功能 6.1.5.3.2增强要求应支持预定义时间内,自动监测发现页面篡改 6.1.6网站监测 6.1.6.1 般要求应满足以下要求: 应支持网站可用性监测; a 应监测并记录网站被攻击情况,包括攻击类型、攻击时间等,在发现异常时向平台用户发出 b 告警 6.1.6.2增强要求无 6.1.7网站访问控制 6.1.7.1 一般要求应满足以下要求 a)支持设置IP地址白名单或网站URL白名单,为网站访问者保留访问通道支持设置IP地址黑名单,对列人IP地址黑名单的访问者进行阻断; b) 支持在预定义时间段内,对网站的任何访问请求进行访问控制,设置为阻断/通过 c d 支持预定义URL页面的访问请求设置为阻断/通过; 以上访问控制策略的组合使用 e 6.1.7.2增强要求
GB/37956一2019 6.2网站合规性检查 6.2.1 一般要求应支持在网站接人前进行合规性检查,拒绝不合规如未备案网站的接人 6.2.2增强要求应支持定期复查已接人网站合规性情况 6.3资源管理 6.3.1资源运行监测 6.3.1.1 -般要求应满足以下要求: 支持对支撑平台运行的DNs,带宽,防护节点等软硬件平台资源进行统一监测 a b支持对防护节点/主机的网络带宽、流量处理延时,主机系统负载、站点访问成功率等资源使用情况进行统一检测支持及时发现资源使用异常并告警; 支持对资源使用情况、平台承载业务量进行定期分析,评估当前业务、平台用户扩容及新用户 d 接人的需求,并生成分析报告应提供对资源使用记录的查询、统计及报表输出功能 6.3.1.2增强要求无 6.3.2资源集中管控 6.3.2.1 -般要求应满足以下要求支持对支撑平台运行的DNs,带宽、防护节点等平台资源的集中调配; a b) 支持依据防护节点/主机资源使用的分析结果对网站访问流量通过DNS在广域网或防护节点内部进行调配: 支持对网站及用户配置信息、平台日志信息等资源集中分析和维护: c 支持平台资源集中调配在不间断服务情况下进行 d 6.3.2.2增强要求无 6.4策略管理 6.4.1策略集中管控 6.4.1.1 -般要求应满足对网站防护策略进行集中维护和管理,支持策略配置的集中添加、修改、停用
GB/T37956一2019 6.4.1.2增强要求 6.4.2策略优化更新 6.4.2.1 -般要求应满足以下要求支持及时优化网站安全防护策略; a 支持对未知攻击手段及wEEB安全漏洞的及时跟踪、发现、应对 b) 支持在wEB安全漏洞通报后及时增加相应安全防护规则或更新安全防护策略 c 6.4.2.2增强要求无 6.5统计分析 6.5.1 一般要求应满足以下要求: 支持对某一时间段内告警日志进行统计分析; aa b 支持对不同攻击类型事件数量进行统计分析; 支持对攻击地理区域进行统计分析; c d 支持对攻击源IP进行统计分析以上数据统计的可视化图表,支持按照日、周和自定义时间等时间维度进行展示 e 6.5.2增强要求 6.6系统扩展 6.6.1 -般要求无 6.6.2增强要求应支持对外部系统提供各类API接口,包括日志接口,安全策略接口,报表接口等平台安全要求 7.1系统与通信保护 7.1.1一般要求应满足GB/T31168一2014中6.2.1、6.6.1和6.11.1的一般要求 7.1.2增强要求应满足GB/T311682014中6.2.2[除a),g)外],6.3.2和6.l1.2的增强要求
GB/37956一2019 7.2访问控制 7.2.1一般要求应满足GB/T31168一2014中7.2.1、7.4.1、7.5.1、7.6.1、7.7.1、7.8.1、7.9.1、7.11.1、7.12.1和7.13.1 的 -般要求 7.2.2增强要求应满足GB/T31168一2014中7.2.2、7.3.2、7.8.2和7.11.2的增强要求 7.3配置管理 7.3.1一般要求应满足GB/T31l682014中8.3.1、8.4.1和8.6.1的一般要求 7.3.2增强要求应满足GB/T31168一2014中8.3.2,8.4.2和8.6.2的增强要求 7.4安全事件处置 7.4.1 -般要求应满足以下要求支持及时发布影响平台自身及平台用户的安全事件风险提示和预警; aa 支持在发生重大及以上安全事件后快速实施应急处置; b 支持对安全事件处置过程及结果进行记录,及时生成处置报告 7.4.2增强要求无 7.5平台容灾备份 7.5.1一般要求应满足以下要求建立备用通信服务,当主通信服务不可用时,确保平台用户在满足业务需求的时间段内通过备 a 用通信服务访问平台; b 支持平台数据级容灾; 支持对灾难备份和恢复过程进行记录 c 支持容灾恢复速度/时间符合合同或服务水平协议的约定 d 7.5.2增强要求应满足以下要求支持应用级容灾; a b)支持异地容灾
GB/T37956一2019 7.6用户数据保护 7.6.1 一般要求对平台用户网站数据应满足以下要求 a 明确用户网站数据归属于用户,不提供给任意第三方; b)支持用户数据隔离,平台用户仅能访间自身的安全防护资源; 支持在法律法规允许范围内留存用户数据,并支持平台用户自定义保存期限 c 使用平台用户网站数据(包括数据衍生品),应事先取得用户授权,且数据仅可用于漏洞分析、 d 攻击数据挖掘等提升平台安全防护能力的过程支持用户退出平台服务时移交平台用户网站数据,并销毁其所有网站数据 7.6.2增强要求无 7.7审计 7.7.1 一般要求应满足GB/T311682014中l1.1.1、l1.2.1、l1.3.1、l1.7.1和11.11.1的一般要求 7.7.2增强要求应满足GB/T311682014中11.2.2、11.3.2、11.7.2的增强要求
GB/37956一2019 参考文献 GB/T28451一2012信息安全技术网络型人侵防御产品技术要求和测试评价方法 [2]GB/T28827.1一2012信息技术服务运行维护第1部分;通用要求 [3]GB/T30276一2013信息安全技术信息安全漏洞管理规范 [4]GB/T32914一2016信息安全技术信息安全服务提供方管理要求 [5]中央网络安全和信息化领导小组办公室,国家网络安全事件应急预案.2017-01-10. [[6]NISTSP800-53-r4Secu uurityandPrivasyControlsorFedeninformationsytemsandor ganizations,June2013.

信息安全技术网站安全云防护平台技术要求GB/T37956-2019

随着互联网应用的广泛普及，越来越多的企业将业务系统和数据迁移到云端，以实现更高效的管理和运营。然而，在这个过程中，网络攻击和数据泄露等安全问题也随之而来。为保护企业的信息安全和网站安全，国家发布了《信息安全技术网站安全云防护平台技术要求GB/T37956-2019》标准。

该标准规定了网站安全云防护平台的技术要求和控制措施，以确保企业在使用云服务的过程中对信息安全和网站安全的保护。

1. 网站安全云防护平台的技术要求

该标准明确规定网站安全云防护平台应具备以下技术要求：

平台应具备完善的安全管理和监控体系，能够实时发现并处置网络威胁；
平台应具备高可用性和容错性，以确保业务系统的稳定运行；
平台应支持多种攻击防御和检测技术，包括DDoS防御、WAF防护、BOT检测等；
平台应支持用户自定义配置和规则管理，以满足不同企业的需求。

2. 网站安全云防护平台的控制措施

该标准还规定了网站安全云防护平台应采取的控制措施：

平台应采用安全可靠的身份认证和权限管理机制，确保数据访问的安全性；
平台应定期进行漏洞扫描和安全评估，及时修补系统漏洞；
平台应支持日志审计和事件分析功能，实现对安全事件的跟踪和分析；
平台应建立安全响应中心，并配备专业的安全人员和技术设备，以及完善的应急预案。

3. 总结

GB/T37956-2019标准的发布，为企业在使用云服务过程中保护信息安全和网站安全提供了重要的法律依据。企业应当按照该标准的要求选择和使用云防护平台，并加强对数据和系统的监控和管理，以确保企业的信息安全和网站安全。