路径: 主页 > MISC > 第77页 > GA/T 1140-2014 | 标准编号 | GA/T 1140-2014 (GA/T1140-2014) | | 中文名称 | 信息安全技术 web应用防火墙安全技术要求 | | 英文名称 | Information security technology. Security technical requirements for web application firewall | | 行业 | 公安行业标准 (推荐) | | 中标分类 | A90 | | 国际标准分类 | 35.240 | | 字数估计 | 21,298 | | 引用标准 | GB 17859-1999; GB/T 25069-2010; GB/T 18336.1-2008; GB/T 18336.2-2008; GB/T 18336.3-2008 | | 标准依据 | 关于发布公共安全行业标准的公告(2014年度) | | 发布机构 | 公安部 | | 范围 | 本标准规定了web应用防火墙的安全功能要求、安全保证要求及等级划分要求。本标准适用于web应用防火墙的设计、开发及检测。 | GA/T 1140-2014
Information security technology.Security technical requirements for web application firewall
ICS 35.240
A90
中华人民共和国公共安全行业标准
信息安全技术
web应用防火墙安全技术要求
2014-03-12发布
2014-03-12实施
中华人民共和国公安部 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 1
5 web应用防火墙描述 2
6 安全环境 2
6.1 假设 2
6.2 威胁 2
6.3 组织安全策略 3
7 安全目的 3
7.1 产品安全目的 3
7.2 环境安全目的 4
8 安全功能要求 4
8.1 防护能力 4
8.2 防护策略 5
8.3 响应处理 5
8.4 报表和统计 5
8.5 HTTPS支持 6
8.6 旁路功能 6
8.7 双机热备 6
8.8 升级能力 6
8.9 标识与鉴别 6
8.10 安全管理 7
8.11 审计日志 7
9 安全保证要求 8
9.1 配置管理 8
9.2 交付与运行 9
9.3 开发 9
9.4 指导性文档 10
9.5 生命周期支持 11
9.6 测试 11
9.7 脆弱性评定 12
10 技术要求基本原理 13
10.1 安全功能要求基本原理 13
10.2 安全保证要求基本原理 14
11 等级划分要求 14
11.1 概述 14
11.2 安全功能要求等级划分 14
11.3 安全保证要求等级划分 15
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由公安部网络安全保卫局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、杭州安恒信息技术有限公
司、神州数码网络(北京)有限公司、北京安氏领信科技发展有限公司、北京神州绿盟信息安全科技股份
有限公司、蓝盾信息安全技术股份有限公司、上海天泰网络技术有限公司、公安部第三研究所。
本标准主要起草人:俞优、陆臻、李毅、顾健、张笑笑、张艳、杨元原、范渊、孙小平、黄坚、高继明、
秦波、杨育斌、叶志强。
引 言
本标准详细描述了与web应用防火墙安全环境相关的假设、威胁和组织安全策略,定义了web应
用防火墙及其支撑环境的安全目的,论证了安全功能要求能够追溯并覆盖产品安全目的,安全目的能够
追溯并覆盖安全环境相关的假设、威胁和组织安全策略。
本标准基本级参照了GB/T 18336.3-2008中规定的EAL2级安全保证要求,增强级在EAL4级
安全保证要求的基础上,将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击。
本标准仅给出了web应用防火墙应满足的安全技术要求,但对web应用防火墙的具体技术实现方
式、方法等不做要求。
信息安全技术
web应用防火墙安全技术要求
1 范围
本标准规定了web应用防火墙的安全功能要求、安全保证要求及等级划分要求。
本标准适用于web应用防火墙的设计、开发及检测。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 18336-2008(所有部分) 信息技术 安全技术 信息技术安全性评估准则
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB 17859-1999、GB/T 18336-2008(所有部分)和GB/T 25069-2010界定的以及下列术语和定
义适用于本文件。
3.1
部署于web客户端和web服务器之间,通过分析web应用层的通信,根据预先定义的过滤规则和
防护策略,实现对web应用保护的产品。
3.2
SQL注入 SQLinjection
把SQL命令插入到web表单递交或者页面请求的参数中,以达到欺骗服务器执行恶意SQL命令
目的的行为。
3.3
跨站脚本 cro......
|