本规范起草单位:公安部计算机信息系统安全产品质量监督检验中心。
公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。
信息技术Web过滤防护产品安全检验规范
1 范围
本规范规定了信息技术-Web过滤防护产品的安全功能要求和保证要求。
本规范适用于信息技术-Web过滤防护产品的生产及检测。
2 术语和定义
2.1 Web过滤防护
Web过滤防护是一个Web服务器上的软件。它可以过滤任何客户端对Web服务器的HTTP请求,并使用预先定义的规则允许和禁止其连接,防护Web服务器。
3 信息技术-Web过滤防护的安全功能
3.1 HTTP请求的过滤功能
3.1.1 允许/禁止HTTP各种请求
应能够根据HTTP的请求类型允许或者禁止。
3.1.2 HTTP协议头各个字段的长度
对HTTP协议头的各部分长度进行设置,防止缓冲区溢出攻击。
3.1.3 URL关键字过滤
对所请求的URL中所包含的关键字进行过滤。
3.1.4 后缀名过滤
对所请求的WEB服务器文件后缀名进行过滤
3.1.5 禁止WEB服务器的返回内容
对WEB服务器返回的内容进行过滤
3.1.6 所支持的网站类型
至少能够支持静态网站,以及ASP、PHP、JSP等动态网站中的两个及以上
3.2 管理及审计功能
3.2.1 过滤规则库管理
3.2.1.1 用户能根据3.1中的格式规定添加、删除、修改自定义过滤规则。
3.2.1.2 具有一定的设置好的初始模板。
3.2.2 安全属性的设置
管理员能够设置所有安全相关的属性
3.2.3 审计数据生成
a) 审计应包括所有被过滤的事件
b) 每个事件发生的日期、时间,对方IP地址,所请求的URL,所匹配的规则
3.2.4 日志清空
应提供对审计事件的清空功能
3.2.5 可理解的格式
所有审计事件能被理解
3.2.6防止审计数据丢失
日志信息应存储在永久性存储介质中等
4 Web过滤防护产品的保证要求
4.1 交付和运行
4.1.1交付过程
4.1.1.1 开发者行为元素:
a) 开发者应将把Web过滤防护产品及其部分交付给用户的程序文档化;
b) 开发者应使用交付程序。
4.1.1.2 证据元素的内容和表示
交付文档应描述,在给用户方分配Web过滤防护产品的版本时,用以维护安全所必需的所有程序。
4.1.2 安装、生成和启动程序
4.1.2.1 开发者行为元素
开发者应将Web过滤防护产品安全地安装、生成和启动所必需的程序文档化。
4.1.2.2 证据元素的内容和表示
文档应描述Web过滤防护产品安全地安装、生成和启动所必要的步骤。
4.2 指导性文档
4.2.1 管理员指南
4.2.1.1 开发者行为元素
开发者应当提供针对系统管理员的管理员指南。
4.2.1.2 证据的内容和形式元素:
a) 管理员指南应当描述Web过滤防护产品管理员可使用的管理功能和接口;
b) 管理员指南应当描述如何以安全的方式管理Web过滤防护产品;
c) 管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告;
d) 管理员指南应当描述所有与Web过滤防护产品的安全运行有关的用户行为的假设;
e) 管理员指南应当描述所有受管理员控制的安全参数,合适时,应指明安全值;
f) 管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件,包括改变TSF所控制的实体的安全特性;
g) 管理员指南应当与为评估而提供的其他所有文档保持一致;
h) 管理员指南应当描述与管理员有关的IT环境的所有安全要求。
4.2.2 用户指南
4.2.2.1 开发者行为元素
开发者应当提供用户指南。
4.2.2.2 证据的内容和形式元素:
a) 用户指南应该描述Web过滤防护产品的非管理用户可用的功能和接口;
b) 用户指南应该描述Web过滤防护产品提供的用户可访问的安全功能的用法;
c) 用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告;
d) 用户指南应该清晰地阐述Web过滤防护产品安全运行中用户所必须负的职责,包括有关在Web过滤防护产品安全环境阐述中找得到的用户行为的假设;
e) 用户指南应该与为评估而提供的其它所有文档保持一致;
f) 用户指南应该描述与用户有关的IT环境的所有安全要求。