《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》
编制说明
1.编制背景
1.1 项目背景
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,越来越多的政府、企业组织建立了依赖于网络的业务信息系统,比如电子政务、电子商务、网上银行、网络办公等;互联网企业提供给用户各类WEB应用服务,如提供信息发布、信息搜索、电子购物、网上游戏等业务,提供了极大的便利。
与此同时,信息安全的重要性也在不断提升。近年来,政府、企业各类组织所面临的WEB应用安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、WEB应用安全漏洞利用等,给组织的信息网络和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵和攻击、保证WEB应用系统的安全和正常运行成为政府、企业所面临的一个重要问题。
传统的网络安全设备如安全网关、入侵检测、防病毒、抗DoS攻击设备、各种VPN设备等等,由于针对不同的网络安全问题,很难形成完善的防护网,且这些产品的很多功能又存在着冗余,往往造成处理性能和响应速度的下降。
以上这些都为WEB应用防火墙类产品带来了广泛的应用需求,同时也对WEB应用防火墙类产品的提供者提出了更高的要求。近年来WEB应用防火墙类产品的数量增长迅速,市场不断扩大。
为了规范WEB应用防火墙的研发和应用,《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》,对国内的WEB应用防火墙提出统一的安全技术要求以及相应的测试评价方法,使得国内的检测机构根据该标准,能够对WEB应用防火墙进行标准化的测试和评价,从而保证测试评价结果的完整性和一致性;同时也可对WEB应用防火墙的开发者提供指导作用。
为此,上海天泰网络技术有限公司、公安部第三研究所、北京神州绿盟科技有限公司、北京中软华泰信息技术有限责任公司向全国信息安全标准化技术委员会(以下简称:安标委)提交了《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》的制订申请。
1.2 项目来源
安标委于2011年12月下达了《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》标准任务。
2. 编制意义和目的
随着用户对WEB服务安全问题的重视程度不断提升,WEB应用防火墙在全国范围也快速发展起来,涌现出一大批信息安全厂商研制开发的WEB应用防火墙产品。我中心从2012年至今,一共检测了30个国内外厂商的37个WEB应用防火墙产品。
本标准的制订,将规范WEB应用防火墙产品的技术发展,帮助厂商更好的研制开发WEB应用防火墙产品,帮助用户更好的选择WEB应用防火墙产品,促进WEB应用防火墙产品市场的有序、健康发展。
3. 编制依据和原则
3.1 编制依据
《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》在编制时,参考了多个现行的国家标准、行业标准,同时结合了我国信息安全等级保护技术需求以及计算机安全技术开发成果及产业状况而撰写完成的。
本标准引用或参考的标准有:
1) GB 17859-1999 计算机信息系统安全保护等级划分准则
2) GB/T 22239- 2008 信息安全技术 信息系统安全等级保护基本技术要求
3) GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
4) GB/T 20272-2006 信息安全技术 操作系统安全技术要求
5) GB/T 21028-2007 信息安全技术 服务器安全技术要求
6) GB/T 20281—2006 信息安全技术 防火墙技术要求和测试评价方法
7) GB/T 20275—2006 信息安全技术 入侵检测系统技术要求和测试评价方法
8) GB/T 18336.1-2008 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型
9) GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求
10) GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证要求
3.2 编制原则
1)、全局性、系统性原则
本标准遵从等级保护体系的整体思路与方法,以《计算机信息系统安全保护等级划分准则》(GB 17859-1999)为指导,以《信息安全技术 信息系统通用安全技术要求》(GB/T 20271-2006)和《信息安全技术 信息系统安全等级保护基本技术要求》(GB/T 22239-2008)为基础和蓝本,根据WEB应用防火墙技术特点和在整个信息系统中的角定位,建立WEB应用防火墙等级保护安全技术模型,由此确立各等级的安全技术要求和测试评价方法。
2)、适用性原则
本标准在清晰分析我国各行业的信息系统中WEB应用防火墙的安全技术现状和实际需求的基础上,充分考虑我国相关厂商的产业化能力,提出合适的安全技术指标体系与内容,使WEB应用防火墙厂商和WEB应用防火墙用户能直接按标准实施相关操作,实现相关目标,使标准真正发挥出实效。
3)、先进性原则
根据当前计算机安全技术与产业发展趋势,构建WEB应用防火墙安全功能框架,进而形成相应的安全功能技术要求与分等级安全技术要求。
4. 编制过程说明
一、成立编制组
2012年1月,由公安部第三研究所、上海天泰网络技术有限公司、北京神州绿盟科技有限公司、北京中软华泰信息技术有限责任公司联合成立了《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》标准编制组,由4个单位的技术骨干组成,计10人。
二、制定工作计划
按照项目计划要求,标准编制组专门制定了工作计划,并确定编制组人员例会机制。
采用的编制方式是:先会议集中讨论,定思路和内容框架,然后分头编写内容,再集中评议和修改内容,形成稳定版本后再向国内相关专家进行咨询,听取意见和修改文本。一直按这种方式开展工作。
三、确定编制内容
经过标准编制组充分讨论和酝酿,以等级保护相关标准为标准框架,根据实际检测产品的情况和我国目前WEB应用防火墙的实际安全水平,提出WEB应用防火墙的分等级安全技术要求,然后根据技术要求建立相应测试评价方法。
四、编制工作简要过程
1) 2012年1月-6月,制订了《信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》(标准草案第一稿);
2) 2012年7月-12月,在标准编制组内部进行了多次讨论,形成了标准草案第二稿;
3) 2013年1月-6月,征求了国内比较大的厂商意见,根据反馈意见进行了修改完善,形成了标准草案第三稿;
4) 2013年6月17日,WG5工作组在北京召开了标准评审专家会,与会专家对本标准进行了认真审议,并提出了相关意见和建议(详见“意见汇总处理表”(一))。经过与会专家的评审,评审组同意通过评审。编制组根据专家意见进行修改完善,形成了征求意见稿第一稿。
5. 标准内容构成
本标准包含两部分,一部分是WEB应用防火墙的通用安全技术要求,用以指导设计者如何设计和实现WEB应用防火墙,使其达到信息系统所需安全等级,主要从信息系统安全保护等级划分的角度来说明对WEB应用防火墙的通用安全技术要求,即主要说明WEB应用防火墙为实现每一个保护等级的安全要求应采取的安全技术措施;另一部分是依据技术要求,提出了具体的测试评价方法,用以指导评估者对各安全等级的WEB应用防火墙进行测试和评估,同时也对WEB应用防火墙的开发者也提供指导作用。
然后针对上述每一级各安全功能点的技术要求内容,提出了相应的测试评价方法。对于每一个测试评价项目,分为:测试评价方法、测试评价结果两部分。
以下用表格形式列举了不同等级的WEB应用防火墙的相关 要求:
安全技术要求 | 基本级 | 增强级 | ||
产品安全功能要求 | HTTP过滤功能 | 允许/禁止HTTP请求类型 | * | * |
HTTP协议头各个字段的长度限制 | * | * | ||
后缀名过滤 | * | * | ||
支持多种编码格式 | * | * | ||
识别和限制HTTP响应码 | * | * | ||
URL内容关键字过滤 | * | * | ||
WEB服务器返回内容过滤 | * | * | ||
安全防护功能 | WEB应用防护功能 | * | * | |
WEB攻击防护功能 | a)~f) | a)~i) | ||
其他功能 | 自定义错误页面功能 | * | * | |
白名单功能 | —— | * | ||
支持HTTPS | —— | * | ||
规则库管理 | * | * | ||
报警功能 | —— | * | ||
自身安全保护 | 标识与鉴别 | 唯一性标识 | * | * |
身份鉴别 | * | * | ||
鉴别数据保护 | * | * | ||
web标准有哪三大部分鉴别失败处理 | a) | a)~b) | ||
安全管理角 | —— | * | ||
安全审计 | 审计数据生成 | a)~b) | a)~c) | |
审计日志管理功能 | * | * | ||
可理解的格式 | * | * | ||
防止审计数据丢失 | * | * | ||
统计功能 | a) | a)~b) | ||
远程管理加密 | * | * | ||
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论