标准搜索结果: 'GB/T 32917-2016'
标准编号 | GB/T 32917-2016 (GB/T32917-2016) | 中文名称 | 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法 | 英文名称 | Information security technology -- Security technique requirements and testing and evaluation approaches for WEB application firewall | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 45,470 | 发布日期 | 2016-08-29 | 实施日期 | 2017-03-01 | 起草单位 | 公安部第三研究所、上海天泰网络技术有限公司、北京神州绿盟科技有限公司、北京中软华泰信息技术有限责任公司 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 标准依据 | 国家标准公告2016年第14号 | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
GB/T 32917-2016: 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法
GB/T 32917-2016 英文名称: Information security technology -- Security technique requirements and testing and evaluation approaches for WEB application firewall
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 WEB应用防火墙
安全技术要求与测试评价方法
1 范围
本标准规定了 WEB应用防火墙的安全功能要求、自身安全保护要求、性能要求和安全保障要求,
并提供了相应的测试评价方法。
本标准适用于 WEB应用防火墙的设计、生产、检测及采购。
5 测试评价方法
5.1 测试环境
在功能测试环境示意图中,包含:2台被测的 WEB应用防火墙分别设置为主、被工作模式;2台
WEB服务器用作负载均衡;1台数据库服务器;1台管理主机;2台 HTTP客户端;1台攻击机能够对
WEB应用防火墙发起各类攻击;1台网络协议分析仪能够对 WEB应用防火墙的网络数据进行分析。
基本级只需要测试HTTP协议,增强级还需要测试HTTPS协议。
WEB应用防火墙的性能测试环境如图2所示:
在性能测试环境示意图中,包含:1台被测的 WEB应用防火墙;1台 WEB应用层性能测试仪;2台
管理主机。WEB应用层性能测试仪能够同时模拟 HTTP客户端和 WEB服务器,模拟客户端发送大
量的HTTP请求通过 WEB应用防火墙给模拟 WEB服务器,然后模拟 WEB服务器返回 HTTP内容
给模拟客户端,并计算各项性能测试结果。
5.2 基本级
5.2.1 安全功能要求测试评价方法
5.2.1.1 HTTP过滤功能
5.2.1.1.1 允许/禁止HTTP请求类型
允许/禁止HTTP请求类型的测试评价方法与结果如下:
a) 测试评价方法:
通过管理主机配置基于不同类型HTTP请求(至少包括:GET、POST、PUT、HEAD)的过滤
规则,并从测试终端上发起相应HTTP请求,检测其是否能够依据过滤规则允许或阻断该访问请求。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.1.2 HTTP协议头各个字段的长度限制
HTTP协议头各个字段的长度限制的测试评价方法与结果如下:
a) 测试评价方法:
通过管理主机配置基于HTTP协议头中不同字段(至少包括:general-header、request-header、
response-header)长度的过滤规则,并从测试终端上发起超出所设字段长度的 HTTP请求,检
测其是否能够依据过滤规则阻断该访问请求。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.1.3 后缀名过滤
后缀名过滤的测试评价方法与结果如下:
a) 测试评价方法:
通过管理主机配置基于 WEB资源文件后缀名(如zip、rar、doc、exe、asp、html等)的过滤规则,
并从测试终端上发起相应HTTP请求,尝试访问或下载上述各后缀名的WEB资源文件,检测
其是否能够依据过滤规则阻断该访问请求。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.1.4 支持多种HTTP请求参数编码方式
支持多种HTTP请求参数编码方式的测试评价方法与结果如下:
a) 测试评价方法:
通过测试终端发起不同编码格式(UNICODE、BASE64、二进制、十六进制等)的 HTTP请求,
检测其是否能够自动将客户端请求转换成ASCII明文。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.1.5 识别和限制HTTP响应码
识别和限制HTTP响应码的测试评价方法与结果如下:
a) 测试评价方法:
通过管理主机配置基于HTTP响应码的过滤规则,并从测试终端上发起 HTTP请求,检测其
是否能够识别HTTP服务器返回的响应码,并依据过滤规则允许或阻断该响应页面。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.1.6 URL内容关键字过滤
URL内容关键字过滤的测试评价方法与结果如下:
a) 测试评价方法:
通过管理主机配置基于URL内容关键字的过滤规则,并从测试终端上发起包含该关键字的
HTTP请求,检测其是否能够依据过滤规则阻断该HTTP请求。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.1.7 WEB服务器返回内容过滤
WEB服务器返回内容过滤的测试评价方法与结果如下:
a) 测试评价方法:
通过管理主机配置基于 WEB服务器返回内容关键字的过滤规则,并从测试终端上发起相应
HTTP请求,检测其是否能够依据过滤规则阻断包含该关键字的 WEB服务器返回页面。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.2 安全防护功能
5.2.1.2.1 WEB应用防护功能
WEB应用防护功能的测试评价方法与结果如下:
a) 测试评价方法:
1) 通过管理主机开启 WEB应用防火墙的 WEB应用防护功能,并配置相应的应用防护规则;
2) 从测试终端上发起针对主流 WEB服务器软件(如:Apache、IIS等)流行漏洞的攻击利用,
检测其是否能够进行防护;
3) 从测试终端上发起针对主流 WEB应用开发脚本(如:PHP、ASP、JavaScript等)流行漏洞
的攻击利用,检测其是否能够进行防护。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.2.2 WEB攻击防护功能
WEB攻击防护功能的测试评价方法与结果如下:
a) 测试评价方法:
1) 通过管理主机开启 WEB应用防火墙的 WEB攻击防护功能,并配置相应的攻击防护规则;
2) 从测试终端上用POST和GET方式进行SQL注入攻击,检测其是否能够进行防护;
3) 从测试终端上用构建的各种XSS跨站脚本攻击 WEB服务器,检测其是否能够进行防护;
4) 从测试终端上访问构建的资源盗链,检测其是否能够进行防护,使被盗链 WEB页面显示
不正常,盗用服务器的图片和其他资源不能正常显示;
5) 从测试终端上用扫描工具对 WEB服务器进行 WEB应用扫描,检测其是否能够进行防
护,使扫描工具不能扫描到任何结果;
6) 从测试终端上用爬虫工具对 WEB服务器进行攻击,检测其是否能够进行防护,使爬虫工
具不能获取到服务器的信息;
7) 从测试终端上对 WEB服务器进行CSRF攻击,检测其是否能够进行防护;
8) 从测试终端上用POST和GET方式进行命令注入攻击,检测其是否能够进行防护;
9) 从测试终端上用POST方式进行非法上传文件,检测其是否能够进行防护;
10)从测试终端上用GET方式进行非法下载文件,检测其是否能够进行防护;
11)从测试终端上用攻击工具发起HTTPFlood攻击,检测其是否能够进行防护。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.3 其他功能
5.2.1.3.1 自定义错误页面功能
自定义错误页面功能的测试评价方法与结果如下:
a) 测试评价方法:
1) 通过管理主机设置 WEB服务器返回的错误页面,并在过滤规则
中的响应措施中启用该自定义错误页面;
2) 从测试终端上发起相应的HTTP请求,检测其是否能够依据过滤规则阻断该访问请求,
并返回该自定义错误页面。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.3.2 规则库管理
规则库管理的测试评价方法与结果如下:
a) 测试评价方法:
1) 检查并启用产品所提供的默认安全防护规则库,从测试终端上发起相应的攻击,检测其是
否能够依据默认的安全防护规则库进行防护;
2) 按产品文档说明尝试对安全防护规则库进行升级,检测其是否与文档描述一致;
3) 尝试添加、删除、修改自定义过滤规则,并进行保存和启用,从测试终端上发起相应的请
求,检测其是否能够依据该自定义过滤规则允许或阻断该访问请求。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.1.3.3 报警功能
报警功能的测试评价方法与结果如下:
a) 测试评价方法:
1) 审查产品的文档说明,产品是否支持告警功能,且告警方式是否支持屏幕报警、邮件告警、
SNMPtrap告警、短信告警等方式中的一种;
2) 依据产品文档说明设置告警策略,并分别在告警策略中设置不同的告警方式,从测试终端
上发起相应HTTP请求,触发告警,检测其是否能够按照告警策略及指定的告警方式进行告警;
3) 检查产品的告警日志内容是否包含日期、时间、匹配规则、告警事件描述等信息项。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。
5.2.2 自身安全保护测试评价方法
5.2.2.1 标识与鉴别
5.2.2.1.1 唯一性标识
唯一性标识的测试评价方法与结果如下:
a) 测试评价方法:
1) 创建用户,查看该用户的唯一性标识,以创建用户身份登录待测产品,
进行一系列操作,查看相关日志;
2) 尝试再次创建一个相同标识的用户。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.2.1.2 身份鉴别
身份鉴别的测试评价方法与结果如下:
a) 测试评价方法:
1) 检测员尝试登录待测产品进行管理,是否提示需进行身份鉴别;
2) 输入正确的用户名和对应的口令,进行登录尝试;
3) 输入正确的用户名和错误的口令,进行登录尝试;
4) 输入错误的用户名,进行登录尝试。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.2.1.3 鉴别数据保护
鉴别数据保护的测试评价方法与结果如下:
a) 测试评价方法:
1) 分别以授权管理员和非授权管理员身份登录待测产品修改其他管理员的口令;
2) 根据开发商提供的文档,打开鉴别数据存储的文件或数据库表,验证查看鉴别数据是否需
要授权,查看鉴别数据是否加密存储。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.2.1.4 鉴别失败处理
鉴别失败处理的测试评价方法与结果如下:
a) 测试评价方法:
1) 设置登录失败最大尝试次数(次数固定也可);
2) 模拟多次管理员登录失败事件,直至测试达到设定的最大尝试次数,
查看会话是否被终止。
b) 测试评价结果:
记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.2.2.2 安全审计
5.2.2.2.1 审计数据生成
审计数据生成的测试评价方法与结果如下:
a) 测试评价方法:
1) 开启审计功能子系统;
2) 制定并下发允许和禁止的 WEB访问策略;
3) 模拟成功和失败的 WEB访问事件,查看审计日志记录是否记录完整,审计日志内容是否
包括每个事件发生的日期、时间、IP地址、所请求的URL、
访问成功或失败的标识以及匹配规则;
4) 管理员尝试成功和失败的登录操作,成功登录后查看审计日志是否记录了管理员所有的
登录尝试,审计日志的内容是否包括:管理员登录的日期、时间、IP地址、
用户名以及登录成功或失败的标识。
......
|