本規范起草單位:公安部計算機信息系統安全產品質量監督檢驗中心。
公安部計算機信息系統安全產品質量監督檢驗中心負責對本規范的解釋、提升和更改。
信息技術Web過濾防護產品安全檢驗規范
1 范圍
本規范規定了信息技術-Web過濾防護產品的安全功能要求和保證要求。
本規范適用于信息技術-Web過濾防護產品的生產及檢測。
2 術語和定義
2.1 Web過濾防護
Web過濾防護是一個Web服務器上的軟件。它可以過濾任何客戶端對Web服務器的HTTP請求,并使用預先定義的規則允許和禁止其連接,防護Web服務器。
3 信息技術-Web過濾防護的安全功能
3.1 HTTP請求的過濾功能
3.1.1 允許/禁止HTTP各種請求
應能夠根據HTTP的請求類型允許或者禁止。
3.1.2 HTTP協議頭各個字段的長度
對HTTP協議頭的各部分長度進行設置,防止緩沖區溢出攻擊。
3.1.3 URL關鍵字過濾
對所請求的URL中所包含的關鍵字進行過濾。
3.1.4 后綴名過濾
對所請求的WEB服務器文件后綴名進行過濾
3.1.5 禁止WEB服務器的返回內容
對WEB服務器返回的內容進行過濾
3.1.6 所支持的網站類型
至少能夠支持靜態網站,以及ASP、PHP、JSP等動態網站中的兩個及以上
3.2 管理及審計功能
3.2.1 過濾規則庫管理
3.2.1.1 用戶能根據3.1中的格式規定添加、刪除、修改自定義過濾規則。
3.2.1.2 具有一定的設置好的初始模板。
3.2.2 安全屬性的設置
管理員能夠設置所有安全相關的屬性
3.2.3 審計數據生成
a) 審計應包括所有被過濾的事件
b) 每個事件發生的日期、時間,對方IP地址,所請求的URL,所匹配的規則
3.2.4 日志清空
應提供對審計事件的清空功能
3.2.5 可理解的格式
所有審計事件能被理解
3.2.6防止審計數據丟失
日志信息應存儲在永久性存儲介質中等
4 Web過濾防護產品的保證要求
4.1 交付和運行
4.1.1交付過程
4.1.1.1 開發者行為元素:
a) 開發者應將把Web過濾防護產品及其部分交付給用戶的程序文檔化;
b) 開發者應使用交付程序。
4.1.1.2 證據元素的內容和表示
交付文檔應描述,在給用戶方分配Web過濾防護產品的版本時,用以維護安全所必需的所有程序。
4.1.2 安裝、生成和啟動程序
4.1.2.1 開發者行為元素
開發者應將Web過濾防護產品安全地安裝、生成和啟動所必需的程序文檔化。
4.1.2.2 證據元素的內容和表示
文檔應描述Web過濾防護產品安全地安裝、生成和啟動所必要的步驟。
4.2 指導性文檔
4.2.1 管理員指南
4.2.1.1 開發者行為元素
開發者應當提供針對系統管理員的管理員指南。
4.2.1.2 證據的內容和形式元素:
a) 管理員指南應當描述Web過濾防護產品管理員可使用的管理功能和接口;
b) 管理員指南應當描述如何以安全的方式管理Web過濾防護產品;
c) 管理員指南應當包含在安全處理環境中必須進行控制的功能和權限的警告;
d) 管理員指南應當描述所有與Web過濾防護產品的安全運行有關的用戶行為的假設;
e) 管理員指南應當描述所有受管理員控制的安全參數,合適時,應指明安全值;
f) 管理員指南應當描述每一種與需要執行的管理功能有關的安全相關事件,包括改變TSF所控制的實體的安全特性;
g) 管理員指南應當與為評估而提供的其他所有文檔保持一致;
h) 管理員指南應當描述與管理員有關的IT環境的所有安全要求。
4.2.2 用戶指南
4.2.2.1 開發者行為元素
開發者應當提供用戶指南。
4.2.2.2 證據的內容和形式元素:
a) 用戶指南應該描述Web過濾防護產品的非管理用戶可用的功能和接口;
b) 用戶指南應該描述Web過濾防護產品提供的用戶可訪問的安全功能的用法;
c) 用戶指南應該包含受安全處理環境中所控制的用戶可訪問的功能和權限的警告;
d) 用戶指南應該清晰地闡述Web過濾防護產品安全運行中用戶所必須負的職責,包括有關在Web過濾防護產品安全環境闡述中找得到的用戶行為的假設;
e) 用戶指南應該與為評估而提供的其它所有文檔保持一致;
f) 用戶指南應該描述與用戶有關的IT環境的所有安全要求。
