《信息安全技术-WEB应用防火墙安全技术要求与测试评价方法》编制说明

信息安全技术 WEB应用防火墙安全技术要求与测试评价方法编制说明1.编制背景1.1 项目背景随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，越来越多的政府、企业组织建立了依赖于网络的业务信息系统，比如电子政务、电子商务、网上银行、网络办公等；互联网企业提供给用户各类WEB应用服务，如提供信息发布、信息搜索、电子购物、网上游戏等业务，提供了极大的便利。与此同时，信息安全的重要性也在不断提升。近年来，政府、企业各类组织所面临的WEB应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、WEB应用安全漏洞利用等，给组织的信息网络和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的入侵和攻击、保证WEB应用系统的安全和正常运行成为政府、企业所面临的一个重要问题。传统的网络安全设备如安全网关、入侵检测、防病毒、抗DoS攻击设备、各种VPN设备等等，由于针对不同的网络安全问题，很难形成完善的防护网，且这些产品的很多功能又存在着冗余，往往造成处理性能和响应速度的下降。以上这些都为WEB应用防火墙类产品带来了广泛的应用需求，同时也对WEB应用防火墙类产品的提供者提出了更高的要求。近年来WEB应用防火墙类产品的数量增长迅速，市场不断扩大。 为了规范WEB应用防火墙的研发和应用，信息安全技术WEB应用防火墙安全技术要求与测试评价方法，对国内的WEB应用防火墙提出统一的安全技术要求以及相应的测试评价方法，使得国内的检测机构根据该标准，能够对WEB应用防火墙进行标准化的测试和评价，从而保证测试评价结果的完整性和一致性；同时也可对WEB应用防火墙的开发者提供指导作用。为此，上海天泰网络技术有限公司、公安部第三研究所、北京神州绿盟科技有限公司、北京中软华泰信息技术有限责任公司向全国信息安全标准化技术委员会（以下简称：安标委）提交了信息安全技术 WEB应用防火墙安全技术要求与测试评价方法的制订申请。1.2 项目来源安标委于2011年12月下达了信息安全技术 WEB应用防火墙安全技术要求与测试评价方法标准任务。2. 编制意义和目的随着用户对WEB服务安全问题的重视程度不断提升，WEB应用防火墙在全国范围也快速发展起来，涌现出一大批信息安全厂商研制开发的WEB应用防火墙产品。我中心从2012年至今，一共检测了30个国内外厂商的37个WEB应用防火墙产品。本标准的制订，将规范WEB应用防火墙产品的技术发展，帮助厂商更好的研制开发WEB应用防火墙产品，帮助用户更好的选择WEB应用防火墙产品，促进WEB应用防火墙产品市场的有序、健康发展。3. 编制依据和原则3.1 编制依据信息安全技术 WEB应用防火墙安全技术要求与测试评价方法在编制时，参考了多个现行的国家标准、行业标准，同时结合了我国信息安全等级保护技术需求以及计算机安全技术开发成果及产业状况而撰写完成的。本标准引用或参考的标准有：1) GB 17859-1999 计算机信息系统安全保护等级划分准则2) GB/T 22239- 2008 信息安全技术 信息系统安全等级保护基本技术要求3) GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求4) GB/T 20272-2006 信息安全技术 操作系统安全技术要求5) GB/T 21028-2007 信息安全技术 服务器安全技术要求6) GB/T 202812006 信息安全技术 防火墙技术要求和测试评价方法7) GB/T 202752006 信息安全技术 入侵检测系统技术要求和测试评价方法8) GB/T 18336.1-2008 信息技术 安全技术 信息技术安全性评估准则 第1部分：简介和一般模型9) GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第2部分：安全功能要求10) GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保证要求3.2 编制原则1）、全局性、系统性原则本标准遵从等级保护体系的整体思路与方法，以计算机信息系统安全保护等级划分准则(GB 17859-1999)为指导，以信息安全技术 信息系统通用安全技术要求(GB/T 20271-2006)和信息安全技术 信息系统安全等级保护基本技术要求（GB/T 22239-2008）为基础和蓝本，根据WEB应用防火墙技术特点和在整个信息系统中的角色定位，建立WEB应用防火墙等级保护安全技术模型，由此确立各等级的安全技术要求和测试评价方法。2）、适用性原则本标准在清晰分析我国各行业的信息系统中WEB应用防火墙的安全技术现状和实际需求的基础上，充分考虑我国相关厂商的产业化能力，提出合适的安全技术指标体系与内容，使WEB应用防火墙厂商和WEB应用防火墙用户能直接按标准实施相关操作，实现相关目标，使标准真正发挥出实效。3）、先进性原则根据当前计算机安全技术与产业发展趋势，构建WEB应用防火墙安全功能框架，进而形成相应的安全功能技术要求与分等级安全技术要求。4. 编制过程说明一、成立编制组2012年1月，由公安部第三研究所、上海天泰网络技术有限公司、北京神州绿盟科技有限公司、北京中软华泰信息技术有限责任公司联合成立了信息安全技术 WEB应用防火墙安全技术要求与测试评价方法标准编制组，由4个单位的技术骨干组成，计10人。二、制定工作计划按照项目计划要求，标准编制组专门制定了工作计划，并确定编制组人员例会机制。采用的编制方式是：先会议集中讨论，定思路和内容框架，然后分头编写内容，再集中评议和修改内容，形成稳定版本后再向国内相关专家进行咨询，听取意见和修改文本。一直按这种方式开展工作。三、确定编制内容经过标准编制组充分讨论和酝酿，以等级保护相关标准为标准框架，根据实际检测产品的情况和我国目前WEB应用防火墙的实际安全水平，提出WEB应用防火墙的分等级安全技术要求，然后根据技术要求建立相应测试评价方法。四、编制工作简要过程1) 2012年1月-6月，制订了信息安全技术 WEB应用防火墙安全技术要求与测试评价方法（标准草案第一稿）；2) 2012年7月-12月，在标准编制组内部进行了多次讨论，形成了标准草案第二稿；3) 2013年1月-6月，征求了国内比较大的厂商意见，根据反馈意见进行了修改完善，形成了标准草案第三稿；4) 2013年6月17日，WG5工作组在北京召开了标准评审专家会，与会专家对本标准进行了认真审议，并提出了相关意见和建议（详见“意见汇总处理表”（一）。经过与会专家的评审，评审组同意通过评审。编制组根据专家意见进行修改完善，形成了征求意见稿第一稿。5. 标准内容构成本标准包含两部分，一部分是WEB应用防火墙的通用安全技术要求，用以指导设计者如何设计和实现WEB应用防火墙，使其达到信息系统所需安全等级，主要从信息系统安全保护等级划分的角度来说明对WEB应用防火墙的通用安全技术要求，即主要说明WEB应用防火墙为实现每一个保护等级的安全要求应采取的安全技术措施；另一部分是依据技术要求，提出了具体的测试评价方法，用以指导评估者对各安全等级的WEB应用防火墙进行测试和评估，同时也对WEB应用防火墙的开发者也提供指导作用。然后针对上述每一级各安全功能点的技术要求内容，提出了相应的测试评价方法。对于每一个测试评价项目，分为：测试评价方法、测试评价结果两部分。以下用表格形式列举了不同等级的WEB应用防火墙的相关要求：安全技术要求基本级增强级产品安全功能要求HTTP过滤功能允许/禁止HTTP请求类型*HTTP协议头各个字段的长度限制*后缀名过滤*支持多种编码格式*识别和限制HTTP响应码*URL内容关键字过滤*WEB服务器返回内容过滤*安全防护功能WEB应用防护功能*WEB攻击防护功能a)f)a)i)其他功能自定义错误页面功能*白名单功能*支持HTTPS*规则库管理*报警功能*自身安全保护标识与鉴别唯一性标识*身份鉴别*鉴别数据保护*鉴别失败处理a)a)b)安全管理角色*安全审计审计数据生成a)b)a)c)审计日志管理功能*可理解的格式*防止审计数据丢失*统计功能a)a)b)远程管理加密*性能要求HTTP吞吐量*HTTP最大请求速率*HTTP最大并发连接数*安全保证要求配置管理*+交付与运行*+开发*+指导性文档*+生命周期支持*测试*+脆弱性评定*+注：“*”表示具有该项要求，“”表示不具有该项要求，“+”表示具有更高的要求。7与国外标准的关系本标准的部分“安全功能要求”和“SSOTC设计和实现”引用了GB/T 20271-2006的相关要求。GB/T 20271-2006大量采用了GB/T 18336-2001（idt ISO/IEC 15408:1999，信息技术 安全技术 信息技术安全性评估准则）的安全功能要求和安全保证要求。因此本标准间接引用了ISO/IEC 15408:1999（Information technology Security techniques Evaluation criteria for IT security）中的部分安全功能要求和安全保证要求。8与我国现行法律法规的关系2007年6月23日，公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室，发布了信息安全等级保护管理办法。管理办法根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素，将国内信息系统的安全保护等级分为5个等级。本标准将WEB应用防火墙划分为2个安全等级：基本级和增强级，其中基本级适用于信息系统的第一级、第二级，增强级适用于信息系统的第三级