GBT 32917-2016 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法

GBT 32917-2016 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法
积分0.00
特惠
积分0
VIP全站资料免积分下载
立即下载
同类资料根据编号标题搜索
文档
仅供个人学习
反馈
标准编号:GBT 32917-2016
文件类型:.pdf
资源大小:4.1M
标准类别:其他标准
资源ID:221827
VIP资源

GBT 32917-2016标准规范下载简介:

内容预览由机器从pdf转换为word,准确率92%以上,供参考

GBT 32917-2016 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法

4.1.1.2.2WEB攻击防护功能

应具备以下WEB攻击防护功能: SQL注人攻击防护; b) XSS攻击防护; c) 盗链防护; d) WEB应用扫描防护; e) 爬虫防护; f) CSRF防护; g) 命令注人防护攻击; h) 非法上传防护; i) 非法下载防护; i) HTTPFlood防护

4.1.1.3其他功能

GB/T 20851.5-2019 电子收费 专用短程通信 第5部分:物理层主要参数测试方法1.3.1自定义错误页面

对WEB服务器返回的错误页面进行自定义

4.1.1.3.2规则库管理

应具备以下规则库管理功能: a)应能根据用户的WEB应用环境,提供相匹配的安全防护规则库,并能进行自动或手动升级; b)应能添加、删除、修改自定义过滤规则

4.1.1.3.3报警功能

4.1.2自身安全保护

4.1.2.1标识与鉴别

4.1.2.1.1唯一性标识

4.1.2.1.2 身份鉴别

4.1.2.1.3鉴别数据保护

应保证鉴别数据不被未授权查阅和修改

应保证鉴别数据不被未授权查阅和修改

4.1.2.1.4鉴别失败处理

当管理员鉴别尝试不成功达到指定次数后,应能:

GB/T32917—2016

4.1.2.2安全审讯

4.1.2.2.1审计数据生成

4.1.2.2.2审计日志管理功能

应提供对审计数据的备份、查询等管理功能。

4.1.2.2.3可理解的格式

所有审计记录能被理解。

4.1.2.2.4防止审计数据丢失

日志信息应存储在永久性存储介质中,当存储空间被耗尽时,应采取相应措施,保证审计 丢失,

4.1.2.3统计功能

应具有以下统计功能: 对WEB资源的访问总次数以及单个IP访问的总次数按照不同的时间段(如:天、小时等)进 行统计。

4.1.2.4远程管理加密

当需要通过远程进行管理时,应能对远程管理通信进行加密保护。

4.1.2.5状态监测

在启动和正常工作时,应周期性地、或者按照授权管理员的要求执行自检,包括硬件工作状态监测 软件模块状态监测等;当检测到工作状态异常时,应向管理员进行报警,

4.1.2.6双机热备

应具备双机热备功能,当主WEB应用防火墙出现故障时,备WEB应用防火墙应及时发现并接管 主WEB应用防火墙进行工作

4.1.3 安全保障要求

4.1.3.1.1安全架构

开发者应提供产品安全功能的安全务 构描述应满足以下要求: a)与产品设计文档中对安全功能实施抽象描述的级别一致:

b)描述与安全功能要求一致的产品安全功能的安全域; c)描述产品安全功能初始化过程为何是安全的; d)证实产品安全功能能够防止被破坏; e)证实产品安全功能能够防止安全特性被旁路,

4.1.3.1.2功能规范

开发者应提供完备的功能规范说明,功能规范说明应满足以下要求: a) 完全描述产品的安全功能; 描述所有安全功能接口的目的与使用方法; 标识和描述每个安全功能接口相关的所有参数; d) 描述安全功能接口相关的安全功能需求执行行为: e) 描述由安全功能实施行为和异常而引起的直接错误消息; f) 描述与安全功能接口相关的安全功能需求支撑和无关的行为; g)证实安全功能要求到安全功能接口的追溯。

4.1.3.1.3产品设计

开发者应提供产品设计文档,产品设计文档应满足以下要求: a)根据子系统描述产品结构; b) 标识产品安全功能的所有子系统; c) 对每一个安全功能需求无关子系统的行为进行足够详细的描述,以确定它是安全功能需求 无关; d) 概括安全功能需求执行子系统的安全功能需求支撑和无关行为; 概括安全功能需求支撑子系统的行为; 描述安全功能需求执行子系统的安全功能需求执行行为; g) 描述安全功能所有子系统间的相互作用; h) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口

4.1.3.2指导性文档

4.1.3.2.1操作用户指南

4.1.3.2.2准备程序

者应提供产品及其准备程序,准备程序描述应满

a)描述与开发者交付程序相一 收所交付产品必需的所有步骤; b)描述安全安装产品及其运行环境必需的所有步骤

4.1.3.3生命周期支持

4.1.3.3.1配置管理能力

开发者的配置管理能力应满足以下要求: a)为产品的不同版本提供唯一的标识; b)使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项; C) 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法; d)配置管理系统应提供措施使得只能对配置项进行授权变更; e)配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品 f)实施的配置管理与配置管理计划相一致

4.1.3.3.2配置管理范围

开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表应包含以下内容: a)产品、安全保障要求的评估证据和产品的组成部分和实现表示: b)配置项列表应唯一标识配置项; c)对于每一个安全功能相关的配置项,配置项列表应简要说明该配置项的开发者。

4.1.3.3.3交付程序

开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本时, 交付文档应描述为维护安全所必需的所有程序

4.1.3.3.4开发安全

开发者应提供开发安全文档。开发安全文 发环境中,为保护产品设计和实项 的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。

4.1.3.3.5生命周期定义

开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文科 描述用于开发和维护产品的模型。

4.1.3.4.1覆盖

开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求: a)测试覆盖分析应证实测试文档中的测试与功能规范中安全功能接口之间的对应性: b)测试覆盖分析应证实已经对功能规范中的所有安全功能接口都进行了测试,

4. 1.3.4.2深度

开发者应提供测试深度的分析。测试深度分析描述应满足以下要求: a)证实测试文档中的测试与产品设计中的安全功能子系统之间的一致性; b)证实产品设计中的所有安全功能子系统都已经进行过测试。

4. 1.3,4.3功能测试

开发者应测试产品安全功能,将结果文档化并提供测试文档。测试文档应包括以下内容: a)测试计划:标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果 的任何顺序依赖性; b) 预期的测试结果:表明测试成功后的预期输出; C)实际测试结果:和预期的测试结果一致

4.1.3.4.4独立测试

开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试

4.1.3.5脆弱性评定

基于已标识的潜在脆弱性,产品能够抵抗以下攻击行为: )具有基本攻击潜力的攻击者的攻击

4.2.1安全功能要求

4.2.1.1HTTP过滤功能

4.2.1.1.1充许/禁止HTTP请求类型

应能根据HTTP的请求类型(至少包括:GET、POST、PUT、HEAD、OPTIONS等)设置过滤规 则,并根据过滤规则允许或者禁止访间

HTTP协议头各个字段的

4.2.1.1.3后缀名过滤

4.2.1.1.4支持多种HTTP请求参数编码方式

应能支持UNICODE、BASE64、二进制、十六进制等编码方式,对不同编码格式的HTTP内容 行识别和转换。

4.2.1.1.5识别和限制HTTP响应码

4.2.1.1.6URL内容关键字过滤

应能对所请求的URL中的内容设置关键学过滤规则,并根据过滤规则充许或者禁止访向。

4.2.1.1.7WEB服务器返回内容过滤

应能对WEB服务器返回的内容设置关键字过滤规则,并根据过滤规则允许或者禁止访问。

4.2.1.2 安全防护功能

2.1WEB应用防护功能

应具备以下WEB应用防护功能: a)对利用WEB服务器漏洞进行攻击的行为,能识别攻击行为并拒绝访问; b)对利用主流脚本语言(如:PHP、JSP、ASP、JavaScript等)的漏洞进行攻击的行为,能识别攻击 行为并拒绝访问。

4.2.1.2.2WEB攻击防护功能

应具备以下WEB攻击防护功能: SQL注入攻击防护; b)XSS攻击防护; c) 盗链防护; d) WEB应用扫描防护; e) 爬虫防护; f) CSRF防护: g) 命令注入防护攻击; h) 非法上传防护; i) 非法下载防护; j) HTTPFlood防护; k) Cookie注入攻击防护; 1) Webshell识别和拦截; m) 其他WEB攻击的防护

应具备以下WEB攻击防护功能: a) SQL注入攻击防护; b)XSS攻击防护; c) 盗链防护; d) WEB应用扫描防护; e) 爬虫防护; f) CSRF防护: g) 命令注入防护攻击; h) 非法上传防护; i) 非法下载防护; j) HTTPFlood防护; k) Cookie注入攻击防护; 1) Webshell识别和拦截; m) 其他WEB攻击的防护

4.2.1.3其他功能

4.2.1.3.1自定义错误页面功能

能对WEB服务器返回的错误页面进行自定义。

4.2.1.3.2自名单功能

持白名单功能,只充允许特定对象访间指定的WEB

4.2.1.3.3支持HTTPS

应能对基于HTTPS的WEB 容提供以下功能:4.2.1 HTTP过滤功能、4.2.1.2安全防护功 能和4.2.1.3.2白名单功能。

应能对基于HTTPS百

4.2.1.3.4规则库管理

应具备以下规则库管理功能: a)根据用户的WEB应用环境,提供相匹配的安全防护规则库,并能进行自动或手动升级 b)添加、删除、修改自定义过滤规则

4.2.1.3.5报警功能

4.2.2自身安全保护

4.2.2.1标识与鉴别

4.2.2.1.1唯一性标识

4.2.2.1.2身份鉴别

4.2.2.1.3鉴别数据保护

应保证鉴别数据不被未授权查阅和修改

立保证鉴别数据不被未授权查阅和修改

4.2.2.1.4鉴别失败处理

当管理员鉴别尝试不成功达到指定次数后,应能: )终止会话: b)锁定用户账户或远程登录主机的地址,

4.2.2.1.5安全管理角色

应能对管理员角色进行划分: a)具有至少两种不同权限的管理员角色(如:管理员、审计员等) b)根据不同的功能模块,定义各种不同权限角色

4.2.2.2安全审计

4.2.2.2.1审计数据生成

.2.2审计日志管理功能

应提供对审计数据的备份、查询等管理功能

供对审计数据的备份、查询等管理功能。

4.2.2.2.3可理解的格式

所有审计记录能被理解。

4.2.2.2.4防止审计数据丢失

4.2.2.3统计功解

应具有以下统计功能: a)对WEB资源的访问总次数以及单个IP访问的总次数按照不同的时间段(如:天、小时等)进 行统计; b)能生成统计分析报表,并以图形化方式展现,能以常见格式导出,

4.2.2.4远程管理加密

元程进行管理时,应能对远程管理通信进行加密保

4.2.2.5状态监测

4.2.2.6双机热备

应具备双机热备功能,当主WEB应用防火墙出现故障时,备WEB应用防火墙应及时发现 主WEB应用防火墙进行工作

4.2.2.7负载均衡

应支持负载均衡功能,能够将WEB访间请求均衡到多台WEB服务器上。

4.2.3安全保障要求

4.2.3.1.1安全架构

开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求: a)与产品设计文档中对安全功能实施抽象描述的级别一致; b)描述与安全功能要求一致的产品安全功能的安全域; c)描述产品安全功能初始化过程为何是安全的; d)证实产品安全功能能够防止被破坏; e)证实产品安全功能能够防止安全特性被旁路。

4.2.3.1.2功能规范

开发者应提供完备的功能规范说明,功能规范说明应满足以下要求: a)完全描述产品的安全功能; b)描述所有安全功能接口的目的与使用方法; c)标识和描述每个安全功能接口相关的所有参数; d)描述安全功能接口相关的安全功能实施行为; e 描述由安全功能实施行为处理而引起的直接错误消息; )证实安全功能要求到安全功能接口的追溯:

g)描述安全功能实施过程中,与安全功能接口相关的所有行为; h)描述可能由安全功能接口的调用而起的所有直接错误消息

4.2.3.1.3实现表示

开发者应提供全部安全功能的实现表示,实现表示应满足以下要求: a)提供产品设计描述与实现表示实例之间的映射,并证明其一致性; b)按详细级别定义产品安全功能,详细程度达到无须进一步设计就能生成安全功能的程度;

4.2.3.1.4产品设计

开发者应提供产品设计文档,产品设计文档应满足以下要求: a) 根据子系统描述产品结构; b) 标识和描述产品安全功能的所有子系统; c) 描述安全功能所有子系统间的相互作用; d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口; e) 根据模块描述安全功能; f) 提供安全功能子系统到模块间的映射关系; 描逐所有安全功能实现模块,包括其目的及与其他模块间的相互作用; h) 描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及 调用的接口; i) 描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用

4.2.3.2指导性文档

4.2.3.2.1操作用户指南

4.2.3.2.2准备程序

十发者应提供产 描述与开发者交付程序相 致的安全接收所交付产品必需的所有步骤; b)描述安全安装产品及其运行环境必需的所有步骤。

4.2.3.3生命周期支持

4.2.3.3.1配置管理能大

开发者的配置管理能力应满足以下要求!

GB/T 32917—2016

a)为产品的不同版本提供唯一的标识; b)使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项; c)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法; d)提供自动化的措施使得只能对配置项进行授权变更: e)配置管理系统提供一种自动方式来支持产品的生产; 配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品。 实施的配置管理与配置管理计划相一致; g)配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序

4.2.3.3.2配置管理范围

开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表应包含以下内容 a)产品、安全保障要求的评估证据和产品的组成部分和实现表示、安全缺陷报告及其解决状态; b)配置项列表应唯一标识配置项; c)对于每一个安全功能相关的配置项,配置项列表应简要说明该配置项的开发者。

4.2.3.3.3交付程序

并发者应使用一定的交付程序交付产品,并将交付过程 在给用户方交付产品的各版本时 交付文档应描述为维护安全所必需的所有程序

4.2.3.3.4开发安全

开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中,为保护产品设计和实现 的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。

4.2.3.3.5生命周期定义

开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制NBSHT 0886-2014 石油产品倾点的测定 自动倾斜法,并提供生命周期定义文档 描述用于开发和维护产品的模型。

4.2.3.3.6工具和技术

开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义所有语句和实现用至 有协定与命令的含义,无歧义地定义所有实现依赖选项的含义,

WW/T 0073-2017 清代官式建筑修缮材料 琉璃瓦4.2.3.4.1覆盖

开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求: a)测试覆盖分析应证实测试文档中的测试与功能规范中安全功能接口之间的对应性; b)测试覆盖分析应证实已经对功能规范中的所有安全功能接口都进行了测试,

4.2.3.4.2深度

©版权声明
相关文章