标准解读
《GA/T 1140-2014 信息安全技术 Web应用防火墙安全技术要求》这一标准,由中华人民共和国公安部发布,旨在为Web应用防火墙(WAF)的产品研发、评估及应用提供一套详细的安全技术和测试要求。该标准详细阐述了WAF应具备的功能特性和性能指标,确保其能够有效防护Web应用免受各类攻击,如SQL注入、跨站脚本(XSS)、恶意爬虫等网络威胁。以下是标准的主要内容概览:
-
范围:明确标准适用对象为Web应用防火墙产品及其安全技术要求,用于指导产品的设计、开发、测试及选用。
-
规范性引用文件:列出了实施该标准时所依据或参考的其他国家标准或行业规范。
-
术语和定义:对Web应用防火墙、Web应用安全、规则库等关键术语进行了明确定义,确保标准理解的一致性。
-
技术要求:
- 功能要求:规定了WAF应具备的基本功能,包括但不限于访问控制、异常检测与防护、攻击识别与防御、日志记录与审计、安全策略管理等。
- 性能要求:涉及处理能力、并发连接数、延迟时间等性能指标,确保WAF在高负载下仍能有效运作。
- 兼容性与互操作性:要求WAF能够与常见的Web服务器、应用服务器及网络设备良好兼容,并支持标准协议的互操作。
- 可靠性与可用性:强调WAF系统自身的稳定性和故障恢复能力,确保持续的防护服务。
- 升级与维护:要求WAF提供便捷的软件升级和维护机制,及时应对新出现的安全威胁。
-
安全要求:特别强调了数据保护、用户认证、权限管理等方面,确保WAF自身安全性,防止被恶意利用。
-
测试评价方法:提供了针对上述技术要求的具体测试方法和评价准则,帮助厂商和用户验证WAF是否满足标准要求。
-
附录:可能包含具体的测试用例、配置示例或其他辅助材料,以进一步指导实际操作。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 废止
- 已被废除、停止使用,并不再更新
- 2014-03-12 颁布
- 2014-03-12 实施
文档简介
ICS35240
A90.
中华人民共和国公共安全行业标准
GA/T1140—2014
信息安全技术
web应用防火墙安全技术要求
Informationsecuritytechnology—
Securitytechnicalrequirementsforwebapplicationfirewall
2014-03-12发布2014-03-12实施
中华人民共和国公安部发布
GA/T1140—2014
目次
前言
…………………………Ⅲ
引言
…………………………Ⅳ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
缩略语
4……………………1
应用防火墙描述
5web……………………2
安全环境
6…………………2
假设
6.1…………………2
威胁
6.2…………………2
组织安全策略
6.3………………………3
安全目的
7…………………3
产品安全目的
7.1………………………3
环境安全目的
7.2………………………4
安全功能要求
8……………4
防护能力
8.1……………4
防护策略
8.2……………5
响应处理
8.3……………5
报表和统计
8.4…………………………5
支持
8.5HTTPS………………………6
旁路功能
8.6……………6
双机热备
8.7……………6
升级能力
8.8……………6
标识与鉴别
8.9…………………………6
安全管理
8.10……………7
审计日志
8.11……………7
安全保证要求
9……………8
配置管理
9.1……………8
交付与运行
9.2…………………………9
开发
9.3…………………9
指导性文档
9.4…………………………10
生命周期支持
9.5………………………11
测试
9.6…………………11
脆弱性评定
9.7…………………………12
技术要求基本原理
10……………………13
Ⅰ
GA/T1140—2014
安全功能要求基本原理
10.1…………13
安全保证要求基本原理
10.2…………14
等级划分要求
11…………………………14
概述
11.1………………14
安全功能要求等级划分
11.2…………14
安全保证要求等级划分
11.3…………15
Ⅱ
GA/T1140—2014
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准由公安部网络安全保卫局提出
。
本标准由公安部信息系统安全标准化技术委员会归口
。
本标准起草单位公安部计算机信息系统安全产品质量监督检验中心杭州安恒信息技术有限公
:、
司神州数码网络北京有限公司北京安氏领信科技发展有限公司北京神州绿盟信息安全科技股份
、()、、
有限公司蓝盾信息安全技术股份有限公司上海天泰网络技术有限公司公安部第三研究所
、、、。
本标准主要起草人俞优陆臻李毅顾健张笑笑张艳杨元原范渊孙小平黄坚高继明
:、、、、、、、、、、、
秦波杨育斌叶志强
、、。
Ⅲ
GA/T1140—2014
引言
本标准详细描述了与应用防火墙安全环境相关的假设威胁和组织安全策略定义了应
web、,web
用防火墙及其支撑环境的安全目的论证了安全功能要求能够追溯并覆盖产品安全目的安全目的能够
,,
追溯并覆盖安全环境相关的假设威胁和组织安全策略
、。
本标准基本级参照了中规定的级安全保证要求增强级在级
GB/T18336.3—2008EAL2,EAL4
安全保证要求的基础上将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击
,。
本标准仅给出了应用防火墙应满足的安全技术要求但对应用防火墙的具体技术实现方
web,web
式方法等不做要求
、。
Ⅳ
GA/T1140—2014
信息安全技术
web应用防火墙安全技术要求
1范围
本标准规定了应用防火墙的安全功能要求安全保证要求及等级划分要求
web、。
本标准适用于应用防火墙的设计开发及检测
web、。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
计算机信息系统安全保护等级划分准则
GB17859—1999
所有部分信息技术安全技术信息技术安全性评估准则
GB/T18336—2008()
信息安全技术术语
GB/T25069—2010
3术语和定义
所有部分和界定的以及下列术语和定
GB17859—1999、GB/T18336—2008()GB/T25069—2010
义适用于本文件
。
31
.
web应用防火墙webapplicationfirewall
部署于客户端和服务器之间通过分析应用层的通信根据预先定义的过滤规则和
webweb,web,
防护策略实现对应用保护的产品
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
最新文档
- 2024年环保产品购销合同标准文本一
- 2024-2030年中国奶茶粉行业市场销售渠道及未来趋势发展分析报告
- 2024-2030年中国大数据金融行业发展创新模式及投资规划分析报告
- 2024-2030年中国垃圾转运车行业竞争格局展望及投资策略分析报告
- 2024-2030年中国印刷机械制造行业产销需求及投资策略分析报告
- 2024年版给排水系统安装作业劳务合作合同版B版
- 2024年智能穿戴设备设计优化与功能升级合同3篇
- 2024年物资购销合同范例
- 眉山药科职业学院《首饰材料与首饰设计实践》2023-2024学年第一学期期末试卷
- 2024劳动资源开发合同3篇
- 河南省郑州市二中共同体2023-2024学年八年级上学期期末数学试卷(含解析)
- 洛阳市2023-2024学年九年级上学期期末考试英语试题和答案
- 《二维材料的未来》课件
- 砂浆行业销售技巧分析
- 初中数学的有效教学(小课课题研究)
- 小学禁毒教育教学大纲
- 土石方外运方案
- 2023-2024学年四川省成都市高一上英语期末考试题(含答案和音频)
- 2024年中考英语二轮复习学案连词
- 肛肠科患者的疼痛管理策略与实践经验
- 风电项目投资计划书
评论
0/150
提交评论