GBT 32917-2016标准规范下载简介
GBT 32917-2016 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法简介:
GBT 32917-2016 是由中国国家标准管理委员会发布的关于“信息安全技术 WEB应用防火墙安全技术要求与测试评价方法”的标准。这个标准主要针对的是Web应用防火墙(Web Application Firewall,简称WAF)的安全性要求和测试评价方法,其目的是为了规范和提升Web应用的安全防护能力。
GB/T 32917-2016主要包括以下几个方面的内容:
1. 安全功能要求:对WAF的基本功能如SQL注入防护、跨站脚本攻击防护、命令注入防护等有明确的要求,确保WAF能够有效地阻止常见的Web攻击。
2. 安全性能要求:定义了WAF在处理大量请求时的性能指标,比如并发连接数、吞吐量等,保证WAF在处理高并发请求时的稳定性。
3. 安全管理要求:规定了WAF的管理功能,如日志管理、策略管理、更新管理等,以确保WAF的可维护性和安全性。
4. 测试评价方法:给出了测试WAF安全性能和功能的具体方法,包括功能测试、性能测试、安全测试等,以便于对WAF进行客观、公正的评估。
这个标准对于Web应用服务提供商、WAF产品开发商以及相关安全测评机构,都具有重要的指导意义。通过遵循这个标准,可以确保Web应用防火墙在实际应用中的安全性和有效性,有助于保护Web应用免受各种恶意攻击,提高网络环境的安全水平。
GBT 32917-2016 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法部分内容预览:
当管理员鉴别尝试不成功达到指定次数后,应能: )终止会话: b)锁定用户账户或远程登录主机的地址,
4.2.2.1.5安全管理角色
应能对管理员角色进行划分: a)具有至少两种不同权限的管理员角色(如:管理员、审计员等) b)根据不同的功能模块,定义各种不同权限角色
4.2.2.2安全审计
连梁超筋的几种处理方法4.2.2.2.1审计数据生成
.2.2审计日志管理功能
应提供对审计数据的备份、查询等管理功能
供对审计数据的备份、查询等管理功能。
4.2.2.2.3可理解的格式
所有审计记录能被理解。
4.2.2.2.4防止审计数据丢失
4.2.2.3统计功解
应具有以下统计功能: a)对WEB资源的访问总次数以及单个IP访问的总次数按照不同的时间段(如:天、小时等)进 行统计; b)能生成统计分析报表,并以图形化方式展现,能以常见格式导出,
4.2.2.4远程管理加密
元程进行管理时,应能对远程管理通信进行加密保
4.2.2.5状态监测
4.2.2.6双机热备
应具备双机热备功能,当主WEB应用防火墙出现故障时,备WEB应用防火墙应及时发现 主WEB应用防火墙进行工作
4.2.2.7负载均衡
应支持负载均衡功能,能够将WEB访间请求均衡到多台WEB服务器上。
4.2.3安全保障要求
4.2.3.1.1安全架构
开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求: a)与产品设计文档中对安全功能实施抽象描述的级别一致; b)描述与安全功能要求一致的产品安全功能的安全域; c)描述产品安全功能初始化过程为何是安全的; d)证实产品安全功能能够防止被破坏; e)证实产品安全功能能够防止安全特性被旁路。
4.2.3.1.2功能规范
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求: a)完全描述产品的安全功能; b)描述所有安全功能接口的目的与使用方法; c)标识和描述每个安全功能接口相关的所有参数; d)描述安全功能接口相关的安全功能实施行为; e 描述由安全功能实施行为处理而引起的直接错误消息; )证实安全功能要求到安全功能接口的追溯:
g)描述安全功能实施过程中,与安全功能接口相关的所有行为; h)描述可能由安全功能接口的调用而起的所有直接错误消息
4.2.3.1.3实现表示
开发者应提供全部安全功能的实现表示,实现表示应满足以下要求: a)提供产品设计描述与实现表示实例之间的映射,并证明其一致性; b)按详细级别定义产品安全功能,详细程度达到无须进一步设计就能生成安全功能的程度;
4.2.3.1.4产品设计
开发者应提供产品设计文档,产品设计文档应满足以下要求: a) 根据子系统描述产品结构; b) 标识和描述产品安全功能的所有子系统; c) 描述安全功能所有子系统间的相互作用; d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口; e) 根据模块描述安全功能; f) 提供安全功能子系统到模块间的映射关系; 描逐所有安全功能实现模块,包括其目的及与其他模块间的相互作用; h) 描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及 调用的接口; i) 描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用
4.2.3.2指导性文档
4.2.3.2.1操作用户指南
4.2.3.2.2准备程序
十发者应提供产 描述与开发者交付程序相 致的安全接收所交付产品必需的所有步骤; b)描述安全安装产品及其运行环境必需的所有步骤。
4.2.3.3生命周期支持
4.2.3.3.1配置管理能大
开发者的配置管理能力应满足以下要求!
GB/T 32917—2016
a)为产品的不同版本提供唯一的标识; b)使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项; c)提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法; d)提供自动化的措施使得只能对配置项进行授权变更: e)配置管理系统提供一种自动方式来支持产品的生产; 配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品。 实施的配置管理与配置管理计划相一致; g)配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序
4.2.3.3.2配置管理范围
开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表应包含以下内容 a)产品、安全保障要求的评估证据和产品的组成部分和实现表示、安全缺陷报告及其解决状态; b)配置项列表应唯一标识配置项; c)对于每一个安全功能相关的配置项,配置项列表应简要说明该配置项的开发者。
4.2.3.3.3交付程序
并发者应使用一定的交付程序交付产品,并将交付过程 在给用户方交付产品的各版本时 交付文档应描述为维护安全所必需的所有程序
4.2.3.3.4开发安全
开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中,为保护产品设计和实现 的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。
4.2.3.3.5生命周期定义
开发者应建立一个生命周期对产品的开发和维护进行的必要控制,并提供生命周期定义文档 描述用于开发和维护产品的。
4.2.3.3.6工具和技术
开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义所有语句和实现用至 有协定与命令的含义,无歧义地定义所有实现依赖选项的含义,
4.2.3.4.1覆盖
开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求: a)测试覆盖分析应证实测试文档中的测试与功能规范中安全功能接口之间的对应性; b)测试覆盖分析应证实已经对功能规范中的所有安全功能接口都进行了测试,
4.2.3.4.2深度
开发者应提供测试深度的分析。测试深度分析描述应满足以下要求: a)证实测试文档中的测试与产品设计中的安全功能子系统和安全功能需求执行模块之间的 致性; b)证实产品设计中的所有安全功能子系统和安全功能需求执行模块都已经进行过测试
图1WEB应用防火墙功能测试环境示意图
在功能测试环境示意图中,包含:2台被测的WEB应用防火墙分别设置为主、被工作模式;2台 WEB服务器用作负载均衡;1台数据库服务器;1台管理主机;2台HTTP客户端;1台攻击机能够对 WEB应用防火墙发起各类攻击;1台网络协议分析仪能够对WEB应用防火墙的网络数据进行分析。 基本级只需要测试HTTP协议,增强级还需要测试HTTPS协议。 WEB应用防火墙的性能测试环境如图2所示:
应用防火墙性能测试环
管理主机。WEB应用层性能测试仪能够同时模 HTTP客户端和WEB服务器,模拟客户端发送大 量的HTTP请求通过WEB应用防火墙给模拟WEB服务器,然后模拟WEB服务器返回HTTP内容 给模拟客户端,并计算各项性能测试结果
5.2.1安全功能要求测试评价方法
5.2.1.1HTTP过滤功能
5.2.1.1.1允许/禁止HTTP请求类型
允许/禁止HTTP请求类型的测试评价方法与结果如下: a)测试评价方法: 通过管理主机配置基于不同类型HTTP请求(至少包括:GET、POST、PUT、HEAD)的过滤 规则,并从测试终端上发起相应HTTP请求,检测其是否能够依据过滤规则允许或阻断该访 问请求。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.2.1.1.2HTTP协议头各个字段的长度限制
5.2.1.1.3后缓名过滤
后缀名过滤的测试评价方法与结果如下: a)测试评价方法: 通过管理主机配置基于WEB资源文件后缀名(如zip、rar、doc、exe、asp、html等)的过滤规则, 并从测试终端上发起相应HTTP请求,尝试访问或下载上述各后缀名的WEB资源文件,检测 其是否能够依据过滤规则阻断该访问请求。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.1.4支持多种HTTP请求参数编码方式
支持多种HTTP请求参数编码方式的测试评价方法与结果如下: a 测试评价方法: 通过测试终端发起不同编码格式(UNICODE、BASE64、二进制、十六进制等)的HTTP请求 检测其是否能够自动将客户端请求转换成ASCII明文。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
GB/T329172016
《政务服务中心信息公开业务规范 GB/T 32618-2016》5.2.1.1.5识别和限制HTTP响应码
识别和限制HTTP响应码的测试评价方法与结果如下: a) 测试评价方法: 通过管理主机配置基于HTTP响应码的过滤规则,并从测试终端上发起HTTP请求,检测其 是否能够识别HTTP服务器返回的响应码,并依据过滤规则允许或阻断该响应页面。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.2.1.1.6URL内容关键字过滤
URL内容关键字过滤的测试评价方法与结果如下: a) 测试评价方法: 通过管理主机配置基于URL内容关键字的过滤规则,并从测试终端上发起包含该关键字的 HTTP请求2014年一级建造师《建设工程项目管理》冲刺班培训串讲讲义(98页知名网校),检测其是否能够依据过滤规则阻断该HTTP请求。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断,
5.2.1.1.7WEB服务器返回内容过滤
WEB服务器返回内容过滤的测试评价方法与结果如下: a)测试评价方法: 通过管理主机配置基于WEB服务器返回内容关键字的过滤规则,并从测试终端上发起相应 HTTP请求,检测其是否能够依据过滤规则阻断包含该关键字的WEB服务器返回页面。 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。