《Web应用防火墙基本安全功能要求》编制说明.pdf

一、工作简况

（一）任务来源

根据2020年全国标准化工作要点，大力推动实施标准化战略，

持续深化标准化工作改革，加强标准体系建设，提升引领高质量发展

的能力。依据《中华人民标准化法》，以及《团体标准管理规定》相

关规定，中国中小企业协会决定立项并联合浙江德迅网络安全技术有

限公司等相关单位共同制定《Web应用防火墙基本安全功能要求》团

体标准。于2022年2月24日，中国中小企业协会发布《Web应用防

火墙基本安全功能要求》团体标准立项通知，正式立项。为响应市场

需求，需要制定完善的Web应用防火墙基本安全功能要求，能够为网

络安全等提供服务，满足应用市场质量提升需要。

（二）编制背景及目的

随着网络与信息技术的发展，尤其是互联网的广泛普及和应用，

越来越多的政府、企业组织建立了依赖于网络的业务信息系统，比如

电子政务、电子商务、网上银行、网络办公等；互联网企业提供给用

户各类WEB应用服务，如提供信息发布、信息搜索、电子购物、网上

游戏等业务，提供了极大的便利。

与此同时，信息安全的重要性也在不断提升。近年来，政府、企

业各类组织所面临的WEB应用安全问题越来越复杂，安全威胁正在飞

速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、

SQL注入、跨站脚本、WEB应用安全漏洞利用等，给组织的信息网络

和核心业务造成严重的破坏。能否及时发现并成功阻止网络黑客的入

侵和攻击、保证WEB应用系统的安全和正常运行成为政府、企业所

面临的一个重要问题。

传统的网络安全设备如安全网关、入侵检测、防病毒、抗DoS攻

击设备、各种VPN设备等等，由于针对不同的网络安全问题，很难形

成完善的防护网，且这些产品的很多功能又存在着冗余，往往造成处

理性能和响应速度的下降。

以上这些都为WEB应用防火墙类产品带来了广泛的应用需求，同

时也对WEB应用防火墙类产品的提供者提出了更高的要求。近年来

WEB应用防火墙类产品的数量增长迅速，市场不断扩大。

（三）编制过程

1、项目立项阶段

目前，针对web应用防火墙功能要求我国有国家标准GB/T

20281-2020《信息安全技术防火墙安全技术要求和测试评价方法》

和行业标准GA/T1140-2014《信息安全技术web应用防火墙安全技

术要求》中对做了一些规定，但随着用户对WEB服务安全问题的重视

程度不断提升，WEB应用防火墙在全国范围也快速发展起来，涌现出

一大批信息安全厂商研制开发的WEB应用防火墙产品。现有标准难以

适应当前环境保护形势和管理部门监督管理要求。

为此，为了规范WEB应用防火墙的研发和应用，浙江德迅网络安

全技术有限公司向中国中小企业协会提交了《Web应用防火墙基本安

全功能要求》的制订申请。《Web应用防火墙基本安全功能要求》标

准的编制实施将进一步完善Web应用防火墙标准体系，有利于规范化、

统一化。

鉴于以上原因，标准起草组依据以上国家、行业标准，并参考了

产品提出立项。

2、理论研究阶段

在标准制定过程中，坚持以国内外产品发展的动向为研究基础，

对防火墙的安全功能要求提出规范化的要求，并结合系统等级保护中

产品的使用，对Web应用防火墙基本安全功能的技术情况进行了深入

的调查研究，同时广泛搜集相关标准和国外技术资料，进行了大量的

研究分析、资料查证工作，确定了标准的制定原则，结合现有产品实

际应用经验，为标准的起草奠定了基础。

标准起草组进一步研究了充电桩的管控条件，明确了技术要求和

指标，为标准的具体起草指明了方向。

3、标准起草阶段

在理论研究基础上，起草组在标准编制过程中充分借鉴已有的理

论研究和实践成果，基于我们基本国情，经过数次修订，形成了《Web

应用防火墙基本安全功能要求》标准草案稿。

4、标准征求意见阶段

形成标准草案稿之后，起草组召开了多次专家研讨会，从标准框

架、标准起草等角度广泛征求多方意见，从理论完善和实践应用方面

提升标准的适用性和实用性。经过理论研究和方法验证，起草组形成

了《Web应用防火墙基本安全功能要求》（征求意见稿）。

（四）主要起草单位及起草人所做的工作

主要起草单位：中国中小企业协会、浙江德迅网络安全技术有限

公司等多家单位的专家成立了规范起草小组，开展标准的编制工作。

经工作组的不懈努力，在2022年04月，完成了标准征求意见稿