《信息安全技术 WEB 过滤防护产品检验规范》.docVIP

ICS 35.240 A 90 GF 公安部计算机信息系统安全产品质量监督检验中心检验规范 MSTL_JGF_04-020 0101—2006 信息安全技术 WEB 过滤防护产品检验规范 2006-01-01 发布 2006-02-01 实施 发布 公安部计算机信息系统安全产品质量监督检验中心 MSTL_JGF_04-020 0101—2006 目 次 前言 ............................................................................. II 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 产品安全功能要求 .................................................................... 1 4.1 HTTP 请求的过滤功能................................................................ 1 4.2 管理及审计功能..................................................................... 1 5 产品安全保证要求 .................................................................... 2 I MSTL_JGF_04-020 0101—2006 前 言 为了规范全国WEB过滤防护产品的开发与应用，保障公共信息网络安全，根据公安部公共信息网络 安全监察局的要求，本规范对WEB过滤防护产品提出了安全功能要求和保证要求，作为对其进行检测的 依据。 本规范由中华人民共和国公安部公共信息网络安全监察局批准。 本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。 公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。 II MSTL_JGF_04-020 0101—2006 信息安全技术 WEB 过滤防护产品检验规范 1 范围 本规范规定了WEB过滤防护产品的安全功能要求和安全保证要求。 本规范适用于WEB过滤防护产品的开发及检测。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的必威体育精装版版本。凡是不注日期的引用文件，其必威体育精装版版本适用于本标准。 GB/T 18336.3－2001 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保证要求（idt ISO/IEC 15408-3:1999） 3 3.1 术语和定义 Web 过滤防护(/ ) Web 过滤防护是一个 Web 服务器上的产品。它可以过滤任何客户端对 Web 服务器的 HTTP 请求， 并使用预先定义的规则允许和禁止其连接，保护 Web 服务器。 4 产品安全功能要求 4.1 HTTP 请求的过滤功能 4.1.1 允许/禁止 HTTP 各种请求 应能够根据HTTP的请求类型允许或者禁止。 4.1.2 HTTP 协议头各个字段的长度 对HTTP协议头的各部分长度进行设置，防止缓冲区溢出攻击。 4.1.3 URL 关键字过滤 对所请求的URL中所包含的关键字进行过滤。 4.1.4 后缀名过滤 对所请求的WEB服务器文件后缀名进行过滤。 4.1.5 过虑 WEB 服务器的返回内容 对WEB服务器返回的内容进行过滤。 4.1.6 所支持的网站类型 能够支持动态和静态网页。 4.2 管理及审计功能 4.2.1 过滤规则库管理 用户能根据3.1中的格式规定添加、删除、修改自定义过滤规则/ 。 具有一定的设置好的初始模板。 4.2.2 安全属性的设置 管理员能够设置所有安全相关的属性。 4.2.3 审计数据生成 a) 审计应包括所有被过滤的事件。 1 MSTL_JGF_04-020 0101—2006