GBT 32917-2016标准规范下载简介
GBT 32917-2016 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法支持多种HTTP请求参数编码方式的测试评价方法与结果如下: a) 测试评价方法: 通过测试终端发起不同编码格式(UNICODE、BASE64、二进制、十六进制等)的HTTP请求 检测其是否能够自动将客户端请求转换成ASCII明文。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
a) 测试评价方法: 通过测试终端发起不同编码格式(UNICODE、BASE64、二进制、十六进制等)的HTTP请求 检测其是否能够自动将客户端请求转换成ASCII明文。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
JTG 2111-2019 小交通量农村公路工程技术标准GB/T32917—2016
5.3.1.1.5识别和限制HTTP响应码
识别和限制HTTP响应码的测试评价方法与结果如下: a)测试评价方法: 通过管理主机配置基于HTTP响应码的过滤规则,并从测试终端上发起HTTP请求,检测其 是否能够识别HTTP服务器返回的响应码,并依据过滤规则允许或阻断该响应页面。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.3.1.1.6URL内容关键字过滤
URL内容关键字过滤的测试评价方法与结果如下: 测试评价方法: 通过管理主机配置基于URL关键字的过滤规则,并从测试终端上发起包含该关键字的 HTTP请求,检测其是否能够依据过滤规则阻断该HTTP请求。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.1.1.7WEB服务器返回内容过滤
WEB服务器返回内容过滤的测试评价方法与结果如下: a)测试评价方法: 通过管理主机配置基于WEB服务器返回内容关键字的过滤规则,并从测试终端上发起相应 HTTP请求,检测其是否能够依据过滤规则阻断包含该关键字的WEB服务器返回页面。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.1.2安全防护功能
5.3.1.2.1WEB应用防护功能
WEB应用防护功能的测试评价方法与结果如下: a) 测试评价方法: 1)通过管理主机开启WEB应用防火墙的WEB应用防护功能,并配置相应的应用防护 规则; 2) 从测试终端上发起针对主流WEB服务器软件(如:Apache、IIS等)流行漏洞的攻击利用 检测其是否能够进行防护; 从测试终端上发起针对主流WEB应用开发脚本(如:PHP、JSP、ASP、JavaScript等)流行 漏洞的攻击利用,检测其是否能够进行防护。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.1.2.2WEB攻击防护功能
WEB攻击防护功能的测试评价方法与结果如下: 测试评价方法: 1)通过管理主机开启WEB应用防火墙的WEB攻击防护功能,并配置相应的攻击防护 规则; 2)从测试终端上用POST和GET方式进行SQL注入攻击,检测其是否能够进行防护:
3)从测试终端上用构建的各种XSS跨站脚本攻击WEB服务器,检测其是否能够进行防护; 4)从测试终端上访问构建的资源盗链,检测其是否能够进行防护,使被盗链WEB页面显示 不正常,盗用服务器的图片和其他资源不能正常显示; 5) 从测试终端上用扫描工具对WEB服务器进行WEB应用扫描,检测其是否能够进行防 护,使扫描工具不能扫描到任何结果; 6)从测试终端上用爬虫工具对WEB服务器进行攻击,检测其是否能够进行防护,使爬虫工 具不能获取到服务器的信息; 7) 从测试终端上对WEB服务器进行CSRF攻击,检测其是否能够进行防护; 8)从测试终端上用POST和GET方式进行命令注人攻击,检测其是否能够进行防护; 9)从测试终端上用POST方式进行非法上传文件,检测其是否能够进行防护; 10)从测试终端上用GET方式进行非法下载文件,检测其是否能够进行防护; 11)从测试终端上用攻击工具发起HTTPFlood攻击,检测其是否能够进行防护; 12)从测试终端上对WEB服务器进行Cookie注入攻击,检测其是否能够进行防护; 13)从测试终端上模拟入侵者上传Webshell文件,或利用Webshell对WEB服务器进行攻击 检测其是否能够进行识别和拦截; 14)按照产品说明文档中关于产品具备的其他WEB攻击防护功能的描述,从测试终端上对 WEB服务器进行相应的WEB攻击,检测其是否能够进行防护。 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.3.1.3其他功能
5.3.1.3.1自定义错误页面功能
自定义错误页面功能的测试评价方法与结果如下: a)测试评价方法: 1)通过管理主机设置WEB服务器返回的错误页面,并在过滤规则中的响应措施中启用该 自定义错误页面; 2) 从测试终端上发起相应的HTTP请求,检测其是否能够依据过滤规则阻断该访问请求, 并返回该自定义错误页面。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.1.3.2白名单功能
白名单功能的测试评价方法与结果如下: a)测试评价方法: 通过管理主机配置百名单规则,并从测试终端上发起相应HTTP请求,检测其是否能够依据过 滤规则允许该访问请求,并阻断其他访问请求。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.1.3.3支持HTTPS
支持HTTPS的测试评价方法与结果如下: )测试评价方法:
将WEB服务器配置成要求HTTPS访问模式; 通过管理主机在配置HTTPS证书及相关参数; 3) 通过管理主机配置过滤规则,并从测试终端上发起相应HTTP请求,检测其是否能够对 HTTPS协议进行解码,并依据过滤规则允许或阻断该访问请求; 4 通过管理主机配置安全防护规则,并从测试终端上模拟入侵者利用漏洞发起相应攻击,检 测其是否能够对HTTPS协议进行解码,并依据安全防护规则进行防护; 通过管理主机设置并启用自定义错误页面,从测试终端上发起相应HTTP请求,检测其是 否能够对HTTPS协议进行解码,并依据过滤规则阻断该访问请求,返回该自定义错误 页面; 6) 通过管理主机配置白名单规则,并从测试终端上发起相应HTTP请求,检测其是否能够对 HTTPS协议进行解码,并依据过滤规则允许该访问请求,同时阻断其他访问请求。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.1.3.4规则库管理
规则库管理的测试评价方法与结果如下: a) 测试评价方法: 1)检查并启用产品所提供的默认安全防护规则库,从测试终端上发起相应的攻击,检测其是 否能够依据默认的安全防护规则库进行防护; 2) 按产品文档说明尝试对安全防护规则库进行升级,检测其是否与文档描述一致; 3) 尝试添加、删除、修改自定义过滤规则,并进行保存和启用,从测试终端上发起相应的请 求,检测其是否能够依据该自定义过滤规则允许或阻断该访问请求。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断。
5.3.1.3.5报警功能
5.3.2自身安全保护测试评价方法
5.3.2.1标识与鉴别
5.3.2.1.1唯一性标识
唯一性标识的测试评价方法与结果如下 28
唯一性标识的测试评价方法与结果如下
测评评价方法: 1)创建用户,查看该用户的唯一性标识,以创建用户身份登录待测产品,进行一系列操作,查 看相关日志; 2)学 尝试再次创建一个相同标识的用户。 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.2.1.2身份鉴别
身份鉴别的测试评价方法与结果如下: a)测试评价方法: 1)检测员尝试登录待测产品进行管理,是否提示需进行身份鉴别; 2) 输人正确的用户名和对应的口令,进行登录尝试; 3)转 输人正确的用户名和错误的口令,进行登录尝试; 4)输人错误的用户名,进行登录尝试。 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全 技术要求作出判断
5.3.2.1.3鉴别数据保护
鉴别数据保护的测试评价方法与结果如下: a)测试评价方法: 1)分别以授权管理员和非授权管理员身份登录待测产品修改其他管理员的口令; 2)根据开发商提供的文档,打开鉴别数据存储的文件或数据库表,验证查看鉴别数据是否需 要授权,查看鉴别数据是否加密存储。 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.2.1.4鉴别失败处理
5.3.2.1.5安全管理角色
安全管理角色的测试评价方法与结果如下: a) 测试评价方法: 1) 查看文档说明,管理员是否有默认角色; 尝试根据角色各新增一个管理员,查看并验证各个角色的初始化属性; 3) 尝试根据功能模块定义新角色:
4)查看并验证根据功能模块新定义的用户 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.2.2安全审计
5.3.2.2.1审计数据生成
5.3.2.2.2审计日志管理功能
审计日志管理功能的测试评价方法与结果如下: a) 测试评价方法: 1)检测是否可以对日志进行查询、备份等操作; 2)验证备份的审计日志是否与源日志内容相同,备份过程中审计日志无丢失、错误。 b 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断,
5.3.2.2.3可理解的格式
可理解的格式的测试评价方法与结果如下: 测试评价方法: 由检验员查看产品存储于永久性审计记录中审计数据,查看审计数据是否可理解是否存在 歧义。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.2.2.4防止审计数据丢失
防止审计数据丢失的测试评价方法与结果如下: a)测试评价方法: 1)评价者应审查产品说明手册具有何种保证审计记录可用性的机制:
2)模拟非正常关机、磁盘空间满等情况,检测该产品是否能采取有效的措施防止审计数据 丢失。 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.2.3统计功能
统计功能的测试评价方法与结果如下: a)测试评价方法: 1)使用不同的IP地址对受保护的资源进行访问操作; 2)进人统计功能界面,验证该产品是否可根据不同的时间段统计出访问WEB资源的总数, 以及单个IP地址的访问总数; 3) 尝试根据访问次数生成统计分析报表,查看是否支持以图形化方式进行展示(如饼状图、 条状图等),并能以常见方式导出(如HTML格式、DOC格式等)。 6) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.2.4远程管理加密
远程管理加密的测试评价方法与结果如下: a 测试评价方法: 1)查看待测系统是否需要支持远程管理; 2)对系统进行远程管理,使用数据包分析工具验证远程管理通讯是否为非明文 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.2.5状态监测
状态监测的测试评价方法与结果如下: a)测试评价方法: 1)查看待测产品是否具备设备状态监测功能; 2) 根据开发商提供的文档,进行相关参数设置,在运行过程中模拟各种异常状态,查看产品 是否发现、记录状态异常情况,并向管理员进行报警。 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.2.6双机热备
双机热备的测试评价方法与结果如下: D 测试评价方法: 1)查看待测产品是否具备双机热备功能; 2) 根据开发商提供的文档,将2台WEB应用防火墙分别设置为主、备工作模式; 3) 使主WEB应用防火墙无法正常工作(如:断电、断网等),检测备WEB应用防火墙能否及 时发现主WEB应用防火墙的异常状态,并接管主WEB应用防火墙进行工作。 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
GB/T 329172016
5.3.2.7负载均衡
负载均衡的测试评价方法与结果如下: a) 测试评价方法: 1)审查产品的文档说明,产品是否支持负载均衡功能; 2)在WEB应用防火墙上配置负载均衡策略,将WEB访问请求均衡到多台WEB服务 器上; 3) 使用性能检测仪,模拟多个HTTP客户端通过WEB应用防火墙进行HTTP访问,检测 WEB应用防火墙能否将WEB访问请求均衡到多台WEB服务器上; 4) 分别在每台WEB服务器上统计WEB访问的总数,测试WEB应用防火墙是否达到负载 均衡效果。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合上述测试评价方法要求作出判断
5.3.3安全保障要求测试评价方法
5.3.3.1.1安全架构
安全架构的测试评价方法与结果如下: a) 测试评价方法: 评价者应检查开发者是否提供以下安全架构的证据,并检查开发者提供的信息是否满足证据 的内容和形式的所有要求: 与产品设计文档中对安全功能实施抽象描述的级别一致; 描述与安全功能要求一致的产品安全功能的安全域; 描述产品安全功能初始化过程为何是安全的; 证实产品安全功能能够防止被破坏; 证实产品安全功能能够防止安全特性被旁路。 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.3.1.2功能规范
功能规范的测试评价方法与结果如下: a) 测试评价方法: 评价者应检查开发者是否提供以下功能规范的证据,并检查开发者提供的信息是否满足证据 的内容和形式的所有要求: 完全描述产品的安全功能; 描述所有安全功能接口的目的与使用方法; 标识和描述每个安全功能接口相关的所有参数; 描述安全功能接口相关的安全功能需求执行行为; 描述由安全功能实施行为和异常而引起的直接错误消息; 描述与安全功能接口相关的安全功能需求支撑和无关的行为; 证实安全功能要求到安全功能接口的追溯; 描述安全功能实施过程中,与安全功能接口相关的所有行为:
测试评价结果: 记录测试结果并对该结果是否完全 要求作出判
5.3.3.1.3实现表示
实现表示的测试评价方法与结果如下: a) 测试评价方法: 评价者应检查开发者是否提供以下实现表示的证据,并检查开发者提供的信息是否满足证据 的内容和形式的所有要求: 提供产品设计描述与实现表示实例之间的映射,并证明其一致性; 按详细级别定义产品安全功能,详细程度达到无须进一步设计就能生成安全功能的程度; 一以开发人员使用的形式提供。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.3.1.4产品设计
产品设计的测试评价方法与结果如下: a)测试评价方法: 评价者应检查开发者是否提供以下产品设计的证据,并检查开发者提供的信息是否满足证据 的内容和形式的所有要求: 根据子系统描述产品结构; 标识和描述产品安全功能的所有子系统; 描述安全功能所有子系统间的相互作用: 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口; 根据模块描述安全功能; 提供安全功能子系统到模块间的映射关系; 描述所有安全功能实现模块,包括其目的及与其他模块间的相互作用; 描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作 用及调用的接口; 描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用。 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.3.2指导性文档
5.3.3.2.1操作用户指南
操作用户指南的测试评价方法与结果如下: a 测试评价方法: 评价者应检查开发者是否提供明确和合理的操作用户指南,对每一种用户角色的描述应满足 以下要求,并检查开发者提供的信息是否满足证据的内容和形式的所有要求: 描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息; 描述如何以安全的方式使用产品提供的可用接口; 描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值
GB/T 329172016
533.2.2准备程序
准备程序的测试评价方法与结果如下: a) 测试评价方法: 评价者应检查开发者是否提供以下准备程序的证据,并检查开发者提供的信息是否满足证据 的内容和形式的所有要求: 一描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤; 一描述安全安装产品及其运行环境必需的所有步骤。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.3.3.3生命周期支持
5.3.3.3.1配置管理能力
配置管理能力的测试评价方法与结果如下: a) 测试评价方法: 评价者应检查开发者是否提供以下配置管理能力的证据,并检查开发者提供的信息是否满足 证据的内容和形式的所有要求: 为产品的不同版本提供唯一的标识; 使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项; 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法; 提供自动化的措施使得只能对配置项进行授权变更; 配置管理系统提供一种自动方式来支持产品的生产; 配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发 产品; 实施的配置管理与配置管理计划相一致; 配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。 ) 测试评价结果: 过是测试结用并对该结果是不完全符合相应安金技术要求作出判断
5.3.3.3.2配置管理范围
配置管理范围的测试评价方法与结果如下: a) 测试评价方法: 评价者应检查开发者是否提供产品配置项列表,并说明配置项的开发者。配置项列表应包含 以下内容,并检查开发者提供的信息是否满足证据的内容和形式的所有要求: 产品、安全保障要求的评估证据和产品的组成部分和实现表示、安全缺陷报告及其解决 状态; 配置项列表应唯一标识配置项;
GB/T329172016
对于每一个安全功能相关的配置项,配置项列表应简要说明该配置项的开发者。 6) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.3.3.3交付程序
交付程序的测试评价方法与结果如下: a)测试评价方法: 评价者应检查开发者是否提供以下交付程序的证据,并检查开发者提供的信息是否满足证据 的内容和形式的所有要求: 应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本 时,交付文档应描述为维护安全所必需的所有程序。 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.3.3.4开发安全
开发安全的测试评价方法与结果如下: a) 测试评价方法: 评价者应检查开发者是否提供以下开发安全的证据,并检查开发者提供的信息是否满足证据 的内容和形式的所有要求: 开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所 必需的所有物理的、程序的、人员的和其他方面的安全措施。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.3.3.5生命周期定义
生命周期定义的测试评价方法与结果如下: a)测试评价方法: 评价者应检查开发者是否提供以下生命周期定义的证据,并检查开发者提供的信息是否满足 证据的内容和形式的所有要求: 一开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期 定义文档描述用于开发和维护产品的模型。 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.3.3.6工具和技术
工具和技术的测试评价方法与结果如下: a)测试评价方法: 评价者应检查开发者是否明确定义用于开发产品的工具,是否提供开发工具文档无歧义地定 义所有语句和实现用到的所有协定与命令的含义、无歧义地定义所有实现依赖选项的含义,并 检查开发者提供的信息是否满足证据的内容和形式的所有要求。 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
GB/T 32917—2016
5.3.3.4.1覆盖
覆盖的测试评价方法与结果如下: 测试评价方法: 评价者应检查开发者是否提供以下测试覆盖的证据,并检查开发者提供的信息是否满足证据 的内容和形式的所有要求: 测试覆盖分析应证实测试文档中的测试与功能规范中安全功能接口之间的对应性: 一测试覆盖分析应证实已经对功能规范中的所有安全功能接口都进行了测试。 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.3.3.4.2深度
深度的测试评价方法与结果如下: 测试评价方法: 评价者应检查开发者是否提供以下测试深度的证据,并检查开发者提供的信息是否满足证据 的内容和形式的所有要求: 证实测试文档中的测试与产品设计中的安全功能子系统和安全功能需求执行模块之间的 一致性; 一证实产品设计中的所有安全功能子系统和安全功能需求执行模块都已经进行过测试。 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断,
5.3.3.4.3功能测试
功能测试的测试评价方法与结果如下: 测试评价方法: 评价者应检查开发者是否测试产品安全功能并提供测试文档。测试文档应包括以下内容,并 检查开发者提供的信息是否满足证据的内容和形式的所有要求: 测试计划:标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试 结果的任何顺序依赖性; 预期的测试结果:表明测试成功后的预期输出; 实际测试结果:和预期的测试结果一致。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
5.3.3.4.4独立测试
独立测试的测试评价方法与结果如下: a 测试评价方法: 评价者应检查开发者是否提供一组与其自测安全功能时使用的同等资源,以用于安全功能的 抽样测试,并检查开发者提供的信息是否满足证据的内容和形式的所有要求。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.3.3.5脆弱性评定
脆弱性评定的测试评价方法与结果如下: a)测试评价方法: 评价者应检查开发者是否提供脆弱性分析文档,脆弱性分析文档应标识潜在脆弱性。检查产 品能否抵抗具有增强型基本攻击潜力的攻击者的攻击行为。 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
DGJ32T J131-2011 房屋面积测算技术规程5.4性能测试评价方法
5.4.1 HTTP 吞叶
5.4.2HTTP最大请求速率
HTTP最大请求速率的测试评价方法与结果如下: a)测试评价方法: 1)使用性能检测仪,模拟多个HTTP客户端以固定的HTTP请求速率通过WEB应用防火 墙访问模拟服务器(HTTP连接建立的总数应小于或等于WEB应用防火墙的最大并发 连接数),HTTP协议版本为1.1,并保持连接一直处于打开状态,检测HTTP请求是否全 部成功完成; 2) 如果HTTP请求全部成功完成,提高HTTP请求速率,并重复步骤1); 3) 如果HTTP请求未能全部成功完成,降低HTTP请求速率,并重复步骤1); 4) 记录WEB应用防火墙所能支持的最大HTTP请求速率(最小单位100个/s); 5)重复3次以上过程,并计算3次结果的算术平均值。 b)测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断
5.4.3HTTP最大并发连接数
3)重复3次以上过程,并计算3次结果的算术平均值 b) 测试评价结果: 记录测试结果并对该结果是否完全符合相应安全技术要求作出判断。
Q/GDW 10514-2018 配电自动化终端子站功能规范6WEB应用防火墙安全技术要求分级表
表1WEB应用防火墙安全技术要求分级表
GB/T32917—2016