本規(guī)范起草單位:公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心。
公安部計算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心負(fù)責(zé)對本規(guī)范的解釋、提升和更改。
信息技術(shù)Web過濾防護(hù)產(chǎn)品安全檢驗(yàn)規(guī)范
1 范圍
本規(guī)范規(guī)定了信息技術(shù)-Web過濾防護(hù)產(chǎn)品的安全功能要求和保證要求。
本規(guī)范適用于信息技術(shù)-Web過濾防護(hù)產(chǎn)品的生產(chǎn)及檢測。
2 術(shù)語和定義
2.1 Web過濾防護(hù)
Web過濾防護(hù)是一個Web服務(wù)器上的軟件。它可以過濾任何客戶端對Web服務(wù)器的HTTP請求,并使用預(yù)先定義的規(guī)則允許和禁止其連接,防護(hù)Web服務(wù)器。
3 信息技術(shù)-Web過濾防護(hù)的安全功能
3.1 HTTP請求的過濾功能
3.1.1 允許/禁止HTTP各種請求
應(yīng)能夠根據(jù)HTTP的請求類型允許或者禁止。
3.1.2 HTTP協(xié)議頭各個字段的長度
對HTTP協(xié)議頭的各部分長度進(jìn)行設(shè)置,防止緩沖區(qū)溢出攻擊。
3.1.3 URL關(guān)鍵字過濾
對所請求的URL中所包含的關(guān)鍵字進(jìn)行過濾。
3.1.4 后綴名過濾
對所請求的WEB服務(wù)器文件后綴名進(jìn)行過濾
3.1.5 禁止WEB服務(wù)器的返回內(nèi)容
對WEB服務(wù)器返回的內(nèi)容進(jìn)行過濾
3.1.6 所支持的網(wǎng)站類型
至少能夠支持靜態(tài)網(wǎng)站,以及ASP、PHP、JSP等動態(tài)網(wǎng)站中的兩個及以上
3.2 管理及審計功能
3.2.1 過濾規(guī)則庫管理
3.2.1.1 用戶能根據(jù)3.1中的格式規(guī)定添加、刪除、修改自定義過濾規(guī)則。
3.2.1.2 具有一定的設(shè)置好的初始模板。
3.2.2 安全屬性的設(shè)置
管理員能夠設(shè)置所有安全相關(guān)的屬性
3.2.3 審計數(shù)據(jù)生成
a) 審計應(yīng)包括所有被過濾的事件
b) 每個事件發(fā)生的日期、時間,對方IP地址,所請求的URL,所匹配的規(guī)則
3.2.4 日志清空
應(yīng)提供對審計事件的清空功能
3.2.5 可理解的格式
所有審計事件能被理解
3.2.6防止審計數(shù)據(jù)丟失
日志信息應(yīng)存儲在永久性存儲介質(zhì)中等
4 Web過濾防護(hù)產(chǎn)品的保證要求
4.1 交付和運(yùn)行
4.1.1交付過程
4.1.1.1 開發(fā)者行為元素:
a) 開發(fā)者應(yīng)將把Web過濾防護(hù)產(chǎn)品及其部分交付給用戶的程序文檔化;
b) 開發(fā)者應(yīng)使用交付程序。
4.1.1.2 證據(jù)元素的內(nèi)容和表示
交付文檔應(yīng)描述,在給用戶方分配Web過濾防護(hù)產(chǎn)品的版本時,用以維護(hù)安全所必需的所有程序。
4.1.2 安裝、生成和啟動程序
4.1.2.1 開發(fā)者行為元素
開發(fā)者應(yīng)將Web過濾防護(hù)產(chǎn)品安全地安裝、生成和啟動所必需的程序文檔化。
4.1.2.2 證據(jù)元素的內(nèi)容和表示
文檔應(yīng)描述Web過濾防護(hù)產(chǎn)品安全地安裝、生成和啟動所必要的步驟。
4.2 指導(dǎo)性文檔
4.2.1 管理員指南
4.2.1.1 開發(fā)者行為元素
開發(fā)者應(yīng)當(dāng)提供針對系統(tǒng)管理員的管理員指南。
4.2.1.2 證據(jù)的內(nèi)容和形式元素:
a) 管理員指南應(yīng)當(dāng)描述Web過濾防護(hù)產(chǎn)品管理員可使用的管理功能和接口;
b) 管理員指南應(yīng)當(dāng)描述如何以安全的方式管理Web過濾防護(hù)產(chǎn)品;
c) 管理員指南應(yīng)當(dāng)包含在安全處理環(huán)境中必須進(jìn)行控制的功能和權(quán)限的警告;
d) 管理員指南應(yīng)當(dāng)描述所有與Web過濾防護(hù)產(chǎn)品的安全運(yùn)行有關(guān)的用戶行為的假設(shè);
e) 管理員指南應(yīng)當(dāng)描述所有受管理員控制的安全參數(shù),合適時,應(yīng)指明安全值;
f) 管理員指南應(yīng)當(dāng)描述每一種與需要執(zhí)行的管理功能有關(guān)的安全相關(guān)事件,包括改變TSF所控制的實(shí)體的安全特性;
g) 管理員指南應(yīng)當(dāng)與為評估而提供的其他所有文檔保持一致;
h) 管理員指南應(yīng)當(dāng)描述與管理員有關(guān)的IT環(huán)境的所有安全要求。
4.2.2 用戶指南
4.2.2.1 開發(fā)者行為元素
開發(fā)者應(yīng)當(dāng)提供用戶指南。
4.2.2.2 證據(jù)的內(nèi)容和形式元素:
a) 用戶指南應(yīng)該描述Web過濾防護(hù)產(chǎn)品的非管理用戶可用的功能和接口;
b) 用戶指南應(yīng)該描述Web過濾防護(hù)產(chǎn)品提供的用戶可訪問的安全功能的用法;
c) 用戶指南應(yīng)該包含受安全處理環(huán)境中所控制的用戶可訪問的功能和權(quán)限的警告;
d) 用戶指南應(yīng)該清晰地闡述Web過濾防護(hù)產(chǎn)品安全運(yùn)行中用戶所必須負(fù)的職責(zé),包括有關(guān)在Web過濾防護(hù)產(chǎn)品安全環(huán)境闡述中找得到的用戶行為的假設(shè);
e) 用戶指南應(yīng)該與為評估而提供的其它所有文檔保持一致;
f) 用戶指南應(yīng)該描述與用戶有關(guān)的IT環(huán)境的所有安全要求。
