標準解讀

《GB/T 32917-2016 信息安全技術 WEB應用防火墻安全技術要求與測試評價方法》是中國國家標準之一,旨在為WEB應用防火墻(WAF)的設計、開發(fā)及測試提供一套全面的技術指導。該標準詳細規(guī)定了WAF應具備的安全功能特性以及如何對這些功能進行有效的測試和評估。

根據文檔內容,首先明確了WAF的基本定義及其在網絡安全防護體系中的作用。接著,從多個維度出發(fā),包括但不限于身份認證、訪問控制、數(shù)據保護等方面提出了具體的技術要求。例如,在身份驗證方面,要求支持多種認證方式,并能夠靈活配置;對于訪問控制,則強調需具備細粒度的策略設置能力,以便精確管理不同用戶或角色的數(shù)據訪問權限。

此外,《GB/T 32917-2016》還特別關注于WAF對抗各類常見攻擊手段的能力,如SQL注入、跨站腳本(XSS)等Web應用程序常見的威脅類型。它不僅列舉了需要防范的具體攻擊形式,而且給出了相應的防御機制建議,幫助廠商更好地理解和實現(xiàn)產品應有的安全性能。

關于測試評價部分,標準中提出了一整套詳細的流程和方法論來指導如何客觀準確地衡量WAF的實際表現(xiàn)。這包括但不限于功能性測試、性能測試、穩(wěn)定性測試等多個方面。通過設定明確的測試目標、條件以及預期結果,確保每項測試都能科學合理地反映出被測系統(tǒng)的真實情況。


如需獲取更多詳盡信息,請直接參考下方經官方授權發(fā)布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替,建議下載現(xiàn)行標準GB/T 20281-2020
  • 2016-08-29 頒布
  • 2017-03-01 實施
?正版授權
GB/T 32917-2016信息安全技術WEB應用防火墻安全技術要求與測試評價方法_第1頁
GB/T 32917-2016信息安全技術WEB應用防火墻安全技術要求與測試評價方法_第2頁
GB/T 32917-2016信息安全技術WEB應用防火墻安全技術要求與測試評價方法_第3頁
GB/T 32917-2016信息安全技術WEB應用防火墻安全技術要求與測試評價方法_第4頁
GB/T 32917-2016信息安全技術WEB應用防火墻安全技術要求與測試評價方法_第5頁
免費預覽已結束,剩余43頁可下載查看

下載本文檔

GB/T 32917-2016信息安全技術WEB應用防火墻安全技術要求與測試評價方法-免費下載試讀頁

文檔簡介

ICS35040

L80.

中華人民共和國國家標準

GB/T32917—2016

信息安全技術WEB應用防火墻

安全技術要求與測試評價方法

Informationsecuritytechnology—

Securitytechniquerequirementsandtestingandevaluationapproaches

forWEBapplicationfirewall

2016-08-29發(fā)布2017-03-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T32917—2016

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語定義和縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………1

安全技術要求

4……………2

基本級

4.1………………2

安全功能要求

4.1.1…………………2

自身安全保護

4.1.2…………………3

安全保障要求

4.1.3…………………4

增強級

4.2………………7

安全功能要求

4.2.1…………………7

自身安全保護

4.2.2…………………9

安全保障要求

4.2.3…………………10

性能要求

4.3……………13

吞吐量

4.3.1HTTP…………………13

最大請求速率

4.3.2HTTP…………13

最大并發(fā)連接數(shù)

4.3.3HTTP………………………13

測試評價方法

5……………13

測試環(huán)境

5.1……………13

基本級

5.2………………15

安全功能要求測試評價方法

5.2.1…………………15

自身安全保護測試評價方法

5.2.2…………………18

安全保障要求測試評價方法

5.2.3…………………20

增強級

5.3………………25

安全功能要求測試評價方法

5.3.1…………………25

自身安全保護測試評價方法

5.3.2…………………28

安全保障要求測試評價方法

5.3.3…………………32

性能測試評價方法

5.4…………………37

吞吐量

5.4.1HTTP…………………37

最大請求速率

5.4.2HTTP…………37

最大并發(fā)連接數(shù)

5.4.3HTTP………………………37

應用防火墻安全技術要求分級表

6WEB………………38

參考文獻

……………………40

GB/T32917—2016

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第三研究所上海天泰網絡技術有限公司北京神州綠盟科技有限公司北

:、、、

京中軟華泰信息技術有限責任公司

本標準主要起草人邱梓華張艷顧健胡亞蘭葉志強李從宇宋萬龍俞優(yōu)程勝年羅宇任浩

:、、、、、、、、、、、

張笑笑宋好好吳其聰

、、。

GB/T32917—2016

引言

本標準包含兩部分內容一部分是應用防火墻的安全技術要求用以指導設計者如何設計和

,WEB,

實現(xiàn)應用防火墻另一部分是依據技術要求提出了具體的測試評價方法用以指導評估者對

WEB;,,

應用防火墻評估同時也為應用防火墻的開發(fā)者提供測試參考

WEB,WEB。

本標準將應用防火墻劃分為個等級基本級和增強級為清晰表示增強級相較于基本級

WEB2:。

的安全技術要求的增加和增強在第章第章的描述中增強級的新增部分用宋體加粗表示在

,4、5,“”。

第章應用防火墻安全技術要求分級表中以表格形式列舉了基本級和增強級的差異

6WEB,。

GB/T32917—2016

信息安全技術WEB應用防火墻

安全技術要求與測試評價方法

1范圍

本標準規(guī)定了應用防火墻的安全功能要求自身安全保護要求性能要求和安全保障要求

WEB、、,

并提供了相應的測試評價方法

本標準適用于應用防火墻的設計生產檢測及采購

WEB、、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術術語

GB/T25069—2010

3術語定義和縮略語

、

31術語和定義

.

界定的以及下列術語和定義適用于本文件

GB/T25069—2010。

311

..

WEB應用防火墻WEBapplicationfirewall

是根據預先定義的過濾規(guī)則和安全防護規(guī)則對所有服務器的訪問請求和服務器的響

,WEBWEB

應進行協(xié)議和內容過濾對服務器及應用實現(xiàn)安全防護功能的信息安全產品

,WEBWEB。

312

..

WEB服務器WEBserver

服務器是向發(fā)出請求的客戶端如瀏覽器提供服務的程序當瀏覽器客戶端連到服

Web()。Web()

務器上并請求資源時服務器將處理該請求并將資源發(fā)送到該瀏覽器上服務器使用與

,

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發(fā)行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

最新文檔

評論

0/150

提交評論