标准解读

《GB/T 32917-2016 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法》是中国国家标准之一,旨在为WEB应用防火墙(WAF)的设计、开发及测试提供一套全面的技术指导。该标准详细规定了WAF应具备的安全功能特性以及如何对这些功能进行有效的测试和评估。

根据文档内容,首先明确了WAF的基本定义及其在网络安全防护体系中的作用。接着,从多个维度出发,包括但不限于身份认证、访问控制、数据保护等方面提出了具体的技术要求。例如,在身份验证方面,要求支持多种认证方式,并能够灵活配置;对于访问控制,则强调需具备细粒度的策略设置能力,以便精确管理不同用户或角色的数据访问权限。

此外,《GB/T 32917-2016》还特别关注于WAF对抗各类常见攻击手段的能力,如SQL注入、跨站脚本(XSS)等Web应用程序常见的威胁类型。它不仅列举了需要防范的具体攻击形式,而且给出了相应的防御机制建议,帮助厂商更好地理解和实现产品应有的安全性能。

关于测试评价部分,标准中提出了一整套详细的流程和方法论来指导如何客观准确地衡量WAF的实际表现。这包括但不限于功能性测试、性能测试、稳定性测试等多个方面。通过设定明确的测试目标、条件以及预期结果,确保每项测试都能科学合理地反映出被测系统的真实情况。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替,建议下载现行标准GB/T 20281-2020
  • 2016-08-29 颁布
  • 2017-03-01 实施
©正版授权
GB/T 32917-2016信息安全技术WEB应用防火墙安全技术要求与测试评价方法_第1页
GB/T 32917-2016信息安全技术WEB应用防火墙安全技术要求与测试评价方法_第2页
GB/T 32917-2016信息安全技术WEB应用防火墙安全技术要求与测试评价方法_第3页
GB/T 32917-2016信息安全技术WEB应用防火墙安全技术要求与测试评价方法_第4页
GB/T 32917-2016信息安全技术WEB应用防火墙安全技术要求与测试评价方法_第5页
免费预览已结束,剩余43页可下载查看

下载本文档

GB/T 32917-2016信息安全技术WEB应用防火墙安全技术要求与测试评价方法-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T32917—2016

信息安全技术WEB应用防火墙

安全技术要求与测试评价方法

Informationsecuritytechnology—

Securitytechniquerequirementsandtestingandevaluationapproaches

forWEBapplicationfirewall

2016-08-29发布2017-03-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T32917—2016

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………1

安全技术要求

4……………2

基本级

4.1………………2

安全功能要求

4.1.1…………………2

自身安全保护

4.1.2…………………3

安全保障要求

4.1.3…………………4

增强级

4.2………………7

安全功能要求

4.2.1…………………7

自身安全保护

4.2.2…………………9

安全保障要求

4.2.3…………………10

性能要求

4.3……………13

吞吐量

4.3.1HTTP…………………13

最大请求速率

4.3.2HTTP…………13

最大并发连接数

4.3.3HTTP………………………13

测试评价方法

5……………13

测试环境

5.1……………13

基本级

5.2………………15

安全功能要求测试评价方法

5.2.1…………………15

自身安全保护测试评价方法

5.2.2…………………18

安全保障要求测试评价方法

5.2.3…………………20

增强级

5.3………………25

安全功能要求测试评价方法

5.3.1…………………25

自身安全保护测试评价方法

5.3.2…………………28

安全保障要求测试评价方法

5.3.3…………………32

性能测试评价方法

5.4…………………37

吞吐量

5.4.1HTTP…………………37

最大请求速率

5.4.2HTTP…………37

最大并发连接数

5.4.3HTTP………………………37

应用防火墙安全技术要求分级表

6WEB………………38

参考文献

……………………40

GB/T32917—2016

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位公安部第三研究所上海天泰网络技术有限公司北京神州绿盟科技有限公司北

:、、、

京中软华泰信息技术有限责任公司

本标准主要起草人邱梓华张艳顾健胡亚兰叶志强李从宇宋万龙俞优程胜年罗宇任浩

:、、、、、、、、、、、

张笑笑宋好好吴其聪

、、。

GB/T32917—2016

引言

本标准包含两部分内容一部分是应用防火墙的安全技术要求用以指导设计者如何设计和

,WEB,

实现应用防火墙另一部分是依据技术要求提出了具体的测试评价方法用以指导评估者对

WEB;,,

应用防火墙评估同时也为应用防火墙的开发者提供测试参考

WEB,WEB。

本标准将应用防火墙划分为个等级基本级和增强级为清晰表示增强级相较于基本级

WEB2:。

的安全技术要求的增加和增强在第章第章的描述中增强级的新增部分用宋体加粗表示在

,4、5,“”。

第章应用防火墙安全技术要求分级表中以表格形式列举了基本级和增强级的差异

6WEB,。

GB/T32917—2016

信息安全技术WEB应用防火墙

安全技术要求与测试评价方法

1范围

本标准规定了应用防火墙的安全功能要求自身安全保护要求性能要求和安全保障要求

WEB、、,

并提供了相应的测试评价方法

本标准适用于应用防火墙的设计生产检测及采购

WEB、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069—2010

3术语定义和缩略语

31术语和定义

.

界定的以及下列术语和定义适用于本文件

GB/T25069—2010。

311

..

WEB应用防火墙WEBapplicationfirewall

是根据预先定义的过滤规则和安全防护规则对所有服务器的访问请求和服务器的响

,WEBWEB

应进行协议和内容过滤对服务器及应用实现安全防护功能的信息安全产品

,WEBWEB。

312

..

WEB服务器WEBserver

服务器是向发出请求的客户端如浏览器提供服务的程序当浏览器客户端连到服

Web()。Web()

务器上并请求资源时服务器将处理该请求并将资源发送到该浏览器上服务器使用与

,

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论