《信息安全技术-WEB应用防火墙安全技术要求与测试评价方法》编制说明.pdfVIP

《》

信息安全技术WEB应用防火墙安全技术要求与测试评价方法

编制说明

1.编制背景

1.1项目背景

随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，越来越多的政府、

企业组织建立了依赖于网络的业务信息系统，比如电子政务、电子商务、网上银行、

网络办公等；互联网企业提供给用户各类WEB应用服务，如提供信息发布、信息搜索、

电子购物、网上游戏等业务，提供了极大的便利。

与此同时，信息安全的重要性也在不断提升。近年来，政府、企业各类组织所面

临的WEB应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，

如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、WEB应用安全漏洞利用等，

给组织的信息网络和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的

入侵和攻击、保证WEB应用系统的安全和正常运行成为政府、企业所面临的一个重要

问题。

传统的网络安全设备如安全网关、入侵检测、防病毒、抗DoS攻击设备、各种

VPN设备等等，由于针对不同的网络安全问题，很难形成完善的防护网，且这些产品

的很多功能又存在着冗余，往往造成处理性能和响应速度的下降。

以上这些都为WEB应用防火墙类产品带来了广泛的应用需求，同时也对WEB应用

防火墙类产品的提供者提出了更高的要求。近年来WEB应用防火墙类产品的数量增长

迅速，市场不断扩大。

为了规范WEB应用防火墙的研发和应用，《信息安全技术WEB应用防火墙安全技

术要求与测试评价方法》，对国内的WEB应用防火墙提出统一的安全技术要求以及相

应的测试评价方法，使得国内的检测机构根据该标准，能够对WEB应用防火墙进行标

准化的测试和评价，从而保证测试评价结果的完整性和一致性；同时也可对WEB应用

防火墙的开发者提供指导作用。

为此，上海天泰网络技术有限公司、公安部第三研究所、北京神州绿盟科技有限公司、

北京中软华泰信息技术有限责任公司向全国信息安全标准化技术委员会（以下简称：安标委）

提交了《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》的制订申请。

1.2项目来源

安标委于2011年12月下达了《信息安全技术WEB应用防火墙安全技术要求与测试

评价方法》标准任务。

2.编制意义和目的

随着用户对WEB服务安全问题的重视程度不断提升，WEB应用防火墙在全国范围也

快速发展起来，涌现出一大批信息安全厂商研制开发的WEB应用防火墙产品。我中心从

2012年至今，一共检测了30个国内外厂商的37个WEB应用防火墙产品。

本标准的制订，将规范WEB应用防火墙产品的技术发展，帮助厂商更好的研制开发

WEB应用防火墙产品，帮助用户更好的选择WEB应用防火墙产品，促进WEB应用防火墙

产品市场的有序、健康发展。

3.编制依据和原则

3.1编制依据

《信息安全技术WEB应用防火墙安全技术要求与测试评价方法》在编制时，参考了多

个现行的国家标准、行业标准，同时结合了我国信息安全等级保护技术需求以及计算机安全

技术开发成果及产业状况而撰写完成的。

本标准引用或参考的标准有：

1)GB17859-1999计算机信息系统安全保护等级划分准则

2)GB/T22239-2008信息安全技术信息系统安全等级保护基本技术要求

3)GB/T20271-2006信息安全技术信息系统通用安全技术要求

4)GB/T20272-2006信息安全技术操作系统安全技术要求

5)GB/T21028-2007信息安全技术服务器安全技术要求

6)GB/T20281—2006信息安全技术防火墙技术要求和测试评价方法

7)GB/T20275—2006信息安全技术入侵检测系统技术要求和测试评价方法

8)GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第1部分：简

介和一般模型

9)GB/T18336.2-2008信息技术安