WEB應用防火牆安全技術要求與測試評價方法

信息安全技術 WEB應用防火牆安全技術要求與測試評價方法

範圍

本標準規定了WEB應用防火牆的安全功能要求、自身安全保護要求、性能要求和安全保證要求，並提供了相應的測試評價方法。

本標準適用於WEB應用防火牆的設計、生產、檢測及採購。

規範性引用文件

下列文件對於本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用於本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用於本文件。

GB/T 25069-2010 信息安全技術術語

術語、定義和縮略語
1. 術語和定義

GB/T 25069－2010界定的以及下列術語和定義適用於本文件。

WEB應用防火牆 WEB Application Firewall

是根據預先定義的過濾規則和安全防護規則，對所有WEB服務器的訪問請求和WEB服務器的響應進行協議和內容過濾，對WEB服務器及WEB應用實現安全防護功能的信息安全產品。

WEB服務器 WEB Server

Web服務器是向發出請求的客戶端（如瀏覽器)提供服務的程序。當Web瀏覽器（客戶端）連到服務器上並請求資源時，服務器將處理該請求並將資源發送到該瀏覽器上。Web服務器使用HTTP與Web瀏覽器進行信息交流。常用的Web服務器有Apache和Internet信息服務器。

WEB應用WEB Application

基於WEB服務器軟件，爲用戶提供具體業務應用的程序或文件。

1. 縮略語

下列縮略語適用於本文件：

CSRF 跨站請求僞造 (Cross-site request forgery)

HTTP 超文本傳輸協議（Hypertext Transfer Protocol）

HTTPS 安全超文本傳輸協議（Hypertext Transfer Protocol over Secure Socket Layer）

SSL 安全套接層協議（Secure Socket Layer）

SQL 結構化查詢語言 (Structured Query Language)

URL 統一資源定位器（Uniform Resource Locator）

WEB 萬維網（World Wide Web）

XSS 跨站腳本（Cross Site Scripting）

安全技術要求
1. 基本級
  1. 安全功能要求
    1. HTTP過濾功能
      1. 允許/禁止HTTP請求類型

應能根據HTTP的請求類型（至少包括：GET、POST、PUT、HEAD等）設置過濾規則，並根據過濾規則允許或者禁止訪問。

1. 1. 1. 1. HTTP協議頭各個字段的長度限制

應能對HTTP協議頭（至少包括：general-header、request-header、response-header）的各部分長度設置過濾規則，並根據過濾規則允許或者禁止訪問，以防止緩衝區溢出攻擊。

1. 1. 1. 1. 後綴名過濾

應能對所請求的WEB資源文件後綴名設置過濾規則，並根據過濾規則允許或者禁止訪問。

1. 1. 1. 1. 支持多種HTTP請求參數編碼方式

應能支持對UNICODE、BASE64、二進制、十六進制等不同編碼方式的HTTP請求參數進行識別和轉換。

1. 1. 1. 1. 識別和限制HTTP響應碼

應能對HTTP服務器返回的響應碼設置過濾規則，並根據過濾規則允許或者禁止訪問。

1. 1. 1. 1. URL內容關鍵字過濾

應能對所請求的URL中的內容設置關鍵字過濾規則，並根據過濾規則允許或者禁止訪問。

1. 1. 1. 1. WEB服務器返回內容過濾

應能對WEB服務器返回的內容設置關鍵字過濾規則，並根據過濾規則允許或者禁止訪問。

1. 1. 1. 安全防護功能
      1. WEB應用防護功能

應具備以下WEB應用防護功能：

對利用WEB服務器漏洞進行攻擊的行爲，能識別攻擊行爲並拒絕訪問；

對利用主流腳本語言（如：PHP、JSP、ASP、JavaScript等）的漏洞進行攻擊的行爲，能識別攻擊行爲並拒絕訪問。
1. 1. 1. 1. WEB攻擊防護功能

應具備以下WEB攻擊防護功能：

SQL注入攻擊防護；
XSS攻擊防護；
盜鏈防護；
WEB應用掃描防護；
爬蟲防護；
CSRF防護；
命令注入防護攻擊；
非法上傳防護；
非法下載防護；
HTTP Flood防護。
1. 1. 1. 其他功能
      1. 自定義錯誤頁面功能

應能對WEB服務器返回的錯誤頁面進行自定義。

1. 1. 1. 1. 規則庫管理

應具備以下規則庫管理功能：

應能根據用戶的WEB應用環境，提供相匹配的安全防護規則庫，並能進行自動或手動升級；
應能添加、刪除、修改自定義過濾規則。
1. 1. 1. 1. 報警功能

應能對違規事件進行告警，並滿足以下要求：

至少支持屏幕報警、郵件告警、SNMP trap告警、短信告警等方式中的一種；
記錄告警事件，內容包括：事件發生的日期和時間、匹配規則、告警事件描述等。
1. 1. 自身安全保護
    1. 標識與鑑別
      1. 唯一性標識

應爲授權管理員提供唯一的身份標識，同時將授權管理員的身份標識與該授權管理員的所有可審計事件相關聯。

1. 1. 1. 1. 身份鑑別

應在執行任何與安全功能相關的操作之前，鑑別任何聲稱要履行授權管理員職責的管理員身份。

1. 1. 1. 1. 鑑別數據保護

應保證鑑別數據不被未授權查閱和修改。

1. 1. 1. 1. 鑑別失敗處理

當管理員鑑別嘗試不成功達到指定次數後，應終止當前會話。

1. 1. 1. 安全審計
      1. 審計數據生成

應生成以下審計日誌：

對於所有成功和失敗的WEB訪問事件，都應生成審計記錄。審計日誌內容應包括：每個事件發生的日期、時間、IP地址、所請求的URL、成功或失敗標識、匹配規則；
管理員成功和失敗鑑別日誌；審計日誌內容應包括：每個事件發生的日期、時間、IP地址、用戶名、成功或失敗標識。
1. 1. 1. 1. 審計日誌管理功能

應提供對審計數據的備份、查詢等管理功能。

1. 1. 1. 1. 可理解的格式

所有審計記錄能被理解。

1. 1. 1. 1. 防止審計數據丟失

日誌信息應存儲在永久性存儲介質中，當存儲空間被耗盡時，應採取相應措施，保證審計數據不丟失。

1. 1. 1. 統計功能

應能對WEB資源的訪問總次數以及單個IP訪問的總次數按照不同的時間段（如：天、小時等）進行統計。

1. 1. 1. 遠程管理加密

當需要通過遠程進行管理時，應能對遠程管理通信進行加密保護。

1. 1. 1. 狀態監測

在啓動和正常工作時，應週期性地、或者按照授權管理員的要求執行自檢，包括硬件工作狀態監測、軟件模塊狀態監測等；當檢測到工作狀態異常時，應向管理員進行報警。

1. 1. 1. 雙機熱備

應具備雙機熱備功能，當主WEB應用防火牆出現故障時，備WEB應用防火牆應及時發現並接管主WEB應用防火牆進行工作。

1. 1. 安全保證要求
    1. 配置管理
      1. 版本號

開發者應爲產品的不同版本提供唯一的標識。

1. 1. 1. 1. 配置項

開發者應使用配置管理系統並提供配置管理文檔。

配置管理文檔包括一個唯一標識組成產品的所有配置項的配置清單，描述配置項及其唯一標識的方法，並提供所有的配置項得到有效維護的證據。

1. 1. 1. 交付與運行
      1. 交付程序

開發者應使用一定的交付程序交付產品，並將交付過程文檔化。

交付文檔描述在給用戶方交付產品的各版本時，爲維護安全所必需的所有程序。

1. 1. 1. 1. 安裝、生成和啓動程序

開發者應提供文檔說明產品的安裝、生成和啓動的過程。

1. 1. 1. 開發
      1. 非形式化功能規格說明

開發者應提供一個滿足以下要求的功能規格說明：

使用非形式化風格來描述產品安全功能及其外部接口；
是內在一致的；
描述所有外部接口的用途與使用方法，適當時提供效果、例外情況和錯誤消息的細節；
完備地表示產品安全功能。
1. 1. 1. 1. 描述性高層設計

開發者應提供滿足以下要求的產品安全功能高層設計：

表示是非形式化的；
是內在一致的；
按子系統描述安全功能的結構；
描述每個安全功能子系統所提供的安全功能性；
標識安全功能所要求的任何基礎性的硬件、固件或軟件，以及在這些硬件、固件或軟件中實現的支持性保護機制所提供功能的一個表示；
標識安全功能子系統的所有接口；
標識安全功能子系統的哪些接口是外部可見的。
1. 1. 1. 1. 非形式化對應性證實

開發者應提供產品安全功能表示的所有相鄰對之間的對應性分析。

對於產品安全功能所表示的每個相鄰對，分析闡明較爲抽象的安全功能表示的所有相關安全功能，應在較具體的安全功能表示中得到正確且完備地細化。

1. 1. 1. 指導性文檔
      1. 管理員指南

開發者應提供說明以下內容的管理員指南，並與爲評估而提供的其他所有文檔保持一致：

管理員可使用的管理功能和接口

怎樣安全地管理產品；
在安全處理環境中應被控制的功能和權限；
所有對與產品的安全操作有關的用戶行爲的假設；
所有受管理員控制的安全參數，如果可能，應指明安全值；
每一種與管理功能有關的安全相關事件，包括對安全功能所控制實體的安全特性進行的改變；
所有與管理員有關的IT環境安全要求。
1. 1. 1. 1. 用戶指南

開發者應提供說明以下內容的用戶指南，並與爲評估而提供的其他所有文檔保持一致：

產品的非管理員用戶可使用的安全功能和接口；
產品提供給用戶的安全功能和接口的使用方法；
用戶可獲取但應受安全處理環境所控制的所有功能和權限；
產品安全操作中用戶所應承擔的職責；
與用戶有關的IT環境的所有安全要求。
1. 1. 1. 測試
      1. 覆蓋證據

開發者應提供測試覆蓋的證據，表明測試文檔中所標識的測試與功能規格說明中所描述的產品的安全功能是對應的。

1. 1. 1. 1. 功能測試

開發者應測試安全功能，將結果文檔化並提供包括以下內容的測試文檔：

測試計劃，標識要測試的安全功能，並描述測試的目標；
測試過程，標識要執行的測試，並描述每個安全功能的測試概況，這些概況應包括對於其他測試結果的順序依賴性；
預期的測試結果，表明測試成功後的預期輸出；
實際測試結果，表明每個被測試的安全功能能按照規定進行運作。
1. 1. 1. 1. 獨立測試
        一致性

開發者應提供適合測試的產品，提供的測試集合與其自測產品功能時使用的測試集合相一致。

1. 1. 1. 1. 抽樣

開發者應提供一組相當的資源，用於安全功能的抽樣測試。

1. 1. 1. 脆弱性評定
      1. 產品安全功能強度評估

開發者應對指導性文檔中所標識的每個具有安全功能強度聲明的安全機制進行安全功能強度分析，並說明安全機制達到或超過定義的最低強度級別或特定功能強度度量。

1. 1. 1. 1. 開發者脆弱性分析

開發者應執行脆弱性分析，並提供脆弱性分析文檔，從用戶可能破壞安全策略的明顯途徑出發，對產品的各種功能進行分析並提供文檔，並對被確定的脆弱性明確記錄採取的措施。

對每一條脆弱性，提供證據顯示在使用產品的環境中，該脆弱性不能被利用。

1. 增強級
  1. 安全功能要求
    1. HTTP過濾功能
      1. 允許/禁止HTTP請求類型

應能根據HTTP的請求類型（至少包括：GET、POST、PUT、HEAD、OPTIONS等）設置過濾規則，並根據過濾規則允許或者禁止訪問。

1. 1. 1. 1. HTTP協議頭各個字段的長度限制

1. 1. 1. 1. 後綴名過濾

應能對所請求的WEB資源文件後綴名設置過濾規則，並根據過濾規則允許或者禁止訪問。

1. 1. 1. 1. 支持多種編碼格式

應能支持UNICODE、BASE64、二進制、十六進制等編碼方式，對不同編碼格式的HTTP內容能進行識別和轉換。

1. 1. 1. 1. 識別和限制HTTP響應碼

應能對HTTP服務器返回的響應碼設置過濾規則，並根據過濾規則允許或者禁止訪問。

1. 1. 1. 1. URL內容關鍵字過濾

應能對所請求的URL中的內容設置關鍵字過濾規則，並根據過濾規則允許或者禁止訪問。

1. 1. 1. 1. WEB服務器返回內容過濾

應能對WEB服務器返回的內容設置關鍵字過濾規則，並根據過濾規則允許或者禁止訪問。

1. 1. 1. 安全防護功能
      1. WEB應用防護功能

應具備以下WEB應用防護功能：

對利用WEB服務器漏洞進行攻擊的行爲，能識別攻擊行爲並拒絕訪問；
對利用主流腳本語言（如：PHP、JSP、ASP、JavaScript等）的漏洞進行攻擊的行爲，能識別攻擊行爲並拒絕訪問。
1. 1. 1. 1. WEB攻擊防護功能

應具備以下WEB攻擊防護功能：

SQL注入攻擊防護；
XSS攻擊防護；
盜鏈防護；
WEB應用掃描防護；
爬蟲防護；
CSRF防護；
命令注入防護攻擊；
非法上傳防護；
非法下載防護；
HTTP Flood防護；
Cookie注入攻擊防護；
Webshell識別和攔截；
其他WEB攻擊的防護。
1. 1. 1. 其他功能
      1. 自定義錯誤頁面功能

應能對WEB服務器返回的錯誤頁面進行自定義。

1. 1. 1. 1. 白名單功能

應支持白名單功能，只允許特定對象訪問指定的WEB資源。

1. 1. 1. 1. 支持HTTPS

應能對基於HTTPS的WEB服務器訪問請求進行解碼，並對解碼後的內容提供以下功能：4.2.1.1 HTTP過濾功能、4.2.1.2安全防護功能、4.2.1.3.1自定義錯誤頁面功能和4.2.1.3.2白名單功能。

1. 1. 1. 1. 規則庫管理

應具備以下規則庫管理功能：

根據用戶的WEB應用環境，提供相匹配的安全防護規則庫，並能進行自動或手動升級；
添加、刪除、修改自定義過濾規則。
1. 1. 1. 1. 報警功能

應能對違規事件進行告警，並滿足以下要求：

至少支持屏幕報警、郵件告警、SNMP trap告警、短信告警等方式中的一種；
對高頻發生的相同告警事件進行合併告警，避免出現告警風暴；
記錄告警事件，內容包括：事件發生的日期和時間、匹配規則、告警事件描述等。
1. 1. 自身安全保護
    1. 標識與鑑別
      1. 唯一性標識

系統應爲授權管理員提供唯一的身份標識，同時將授權管理員的身份標識與該授權管理員的所有可審計事件相關聯。

1. 1. 1. 1. 身份鑑別

應在執行任何與安全功能相關的操作之前，鑑別任何聲稱要履行授權管理員職責的管理員身份。

1. 1. 1. 1. 鑑別數據保護

應保證鑑別數據不被未授權查閱和修改。

1. 1. 1. 1. 鑑別失敗處理

當管理員鑑別嘗試不成功達到指定次數後，應能：

終止會話；
鎖定用戶帳戶或遠程登錄主機的地址。
1. 1. 1. 1. 安全管理角色

應能對管理員角色進行劃分：

具有至少兩種不同權限的管理員角色（如：管理員、審計員等）；
根據不同的功能模塊，定義各種不同權限角色。
1. 1. 1. 安全審計
      1. 審計數據生成

應生成以下審計日誌和審計內容：

對於所有成功和失敗的WEB訪問事件，都應生成審計記錄。審計日誌中應包括：每個事件發生的日期、時間、IP地址、所請求的URL、成功或失敗標識、匹配規則；
管理員成功和失敗鑑別日誌，審計日誌中應包括：每個事件發生的日期、時間、IP地址、用戶名、成功或失敗標識；
管理員操作日誌，包括：過濾規則和防護策略的增加、刪除和修改；管理員的增加、刪除和修改。
1. 1. 1. 1. 審計日誌管理功能

應提供對審計數據的備份、查詢等管理功能。

1. 1. 1. 1. 可理解的格式

所有審計記錄能被理解。

1. 1. 1. 1. 防止審計數據丟失

日誌信息應存儲在永久性存儲介質中，當存儲空間被耗盡時，採取相應措施，保證審計數據不丟失。

1. 1. 1. 統計功能

應具有以下統計功能：

對WEB資源的訪問總次數以及單個IP訪問的總次數按照不同的時間段（如：天、小時等）進行統計；
能生成統計分析報表，並以圖形化方式展現，能以常見格式導出。
1. 1. 1. 遠程管理加密

當需要通過遠程進行管理時，應能對遠程管理通信進行加密保護。

1. 1. 1. 狀態監測

在啓動和正常工作時，應週期性地、或者按照授權管理員的要求執行自檢，包括硬件工作狀態監測、軟件模塊狀態監測等，以產品工作狀態正常。當檢測到工作狀態異常時，向管理員進行報警。

1. 1. 1. 雙機熱備

應具備雙機熱備功能，當主WEB應用防火牆出現故障時，備WEB應用防火牆應及時發現並接管主WEB應用防火牆進行工作。

1. 1. 1. 負載均衡

應支持負載均衡功能，能夠將WEB訪問請求均衡到多臺WEB服務器上。

1. 1. 安全保證要求
    1. 配置管理
      1. 部分配置管理自動化

配置管理系統應提供一種自動方式來支持產品的生成，通過該方式確保只能對產品的實現表示進行已授權的改變。

配置管理計劃應描述在配置管理系統中所使用的自動工具，並描述在配置管理系統中如何使用自動工具。

1. 1. 1. 1. 配置管理能力
        版本號

開發者應爲產品的不同版本提供唯一的標識。

1. 1. 1. 1. 配置項

開發者應使用配置管理系統並提供配置管理文檔。

配置管理文檔包括一個唯一標識組成產品的所有配置項的配置清單，描述配置項及其進行唯一標識的方法，並提供所有的配置項得到有效維護的證據。

1. 1. 1. 1. 授權控制

開發者提供的配置管理文檔應包括一個配置管理計劃，描述如何使用配置管理系統。實施的配置管理與配置管理計劃相一致。

開發者提供所有的配置項得到有效地維護的證據，並保證只有經過授權才能修改配置項。

1. 1. 1. 1. 產生支持和接受程序

開發者提供的配置管理文檔應包括一個接受計劃，描述用來接受修改過的或新建的作爲產品組成部分的配置項的程序。

配置管理系統應支持產品的生成。

1. 1. 1. 1. 配置管理範圍
        配置管理覆蓋

配置管理範圍至少應包括產品實現表示、設計文檔、測試文檔、指導性文檔、配置管理文檔，從而確保它們的修改是在一個正確授權的可控方式下進行的。

配置管理文檔至少能跟蹤上述內容，並描述配置管理系統是如何跟蹤這些配置項的。

1. 1. 1. 1. 問題跟蹤配置管理覆蓋

配置管理範圍應包括安全缺陷，確保安全缺陷置於配置管理系統之下。

1. 1. 1. 交付與運行
      1. 交付程序

開發者應使用一定的交付程序交付產品，並將交付過程文檔化，並描述在給用戶方交付產品的各版本時，爲維護安全所必需的所有程序。

1. 1. 1. 1. 修改檢測

交付文檔應描述如何提供多種程序和技術上的措施來檢測修改，或檢測開發者的主拷貝和用戶方所收到版本之間的任何差異。並描述如何使用多種程序來發現試圖僞裝成開發者，甚至是在開發者沒有向用戶方發送任何東西的情況下，向用戶方交付產品。

1. 1. 1. 1. 安裝、生成和啓動程序

開發者應提供文檔說明產品的安裝、生成和啓動的過程。

1. 1. 1. 開發
      1. 功能規格說明
        非形式化功能規格說明

開發者應提供一個滿足以下要求的功能規格說明：

使用非形式化風格來描述產品安全功能及其外部接口；
是內在一致的；
描述所有外部接口的用途與使用方法，適當時提供效果、例外情況和錯誤消息的細節；
完備地表示產品安全功能。
1. 1. 1. 1. 充分定義的外部接口

功能規格說明應包括安全功能是完備地表示的合理性。

1. 1. 1. 1. 高層設計
        描述性高層設計

開發者應提供滿足以下要求的產品安全功能高層設計：

表示是非形式化的；
是內在一致的；
按子系統描述安全功能的結構；
描述每個安全功能子系統所提供的安全功能性；
標識安全功能所要求的任何基礎性的硬件、固件或軟件，以及在這些硬件、固件或軟件中實現的支持性保護機制所提供功能的一個表示；
標識安全功能子系統的所有接口；
標識安全功能子系統的哪些接口是外部可見的。
1. 1. 1. 1. 安全加強的高層設計

開發者提供的安全加強的高層設計應滿足以下要求：

描述產品的功能子系統所有接口的用途與使用方法，適當時提供效果、例外情況和錯誤消息的細節；
把產品分成安全策略實施和其他子系統來描述。
1. 1. 1. 1. 安全功能實現的子集

開發者應爲選定的安全功能子集提供實現表示，無歧義而且詳細地定義安全功能，使得無須進一步設計就能生成安全功能。實現表示是內在一致的。

1. 1. 1. 1. 描述性低層設計

開發者應提供滿足以下要求的產品安全功能低層設計：

表示是非形式化的；
是內在一致的；
按模塊描述安全功能；
描述每個模塊的用途；
根據所提供的安全功能性和對其他模塊的依賴關係兩方面來定義模塊間的相互關係；
描述每個安全策略實施功能是如何被提供的；
標識安全功能模塊的所有接口；
標識安全功能模塊的哪些接口是外部可見的；
描述安全功能模塊所有接口的用途和用法，適當時提供效果、例外情況和錯誤消息的細節；
把產品分爲安全策略實施模塊和其他模塊來描述。
1. 1. 1. 1. 非形式化對應性證實

開發者應提供產品安全功能表示的所有相鄰對之間的對應性分析。

對於產品安全功能所表示的每個相鄰對，分析闡明較爲抽象的安全功能表示的所有相關安全功能，並在較具體的安全功能表示中得到正確且完備地細化。

1. 1. 1. 1. 非形式化產品安全策略模型

開發者應提供滿足以下要求的安全策略模型：

表示是非形式化的；
描述所有能被模型化的安全策略的規則與特徵；
包含合理性，即論證該模型相對所有能被模型化的安全策略來說是一致的，而且是完備的；
闡明安全策略模型和功能規格說明之間的對應性，即論證所有功能規格說明中的安全功能對於安全策略模型來說是一致的，而且是完備的。
1. 1. 1. 指導性文檔
      1. 管理員指南

開發者應提供說明以下內容的管理員指南，與爲評估而提供的其他所有文檔保持一致：

管理員可使用的管理功能和接口；
怎樣安全地管理產品；
在安全處理環境中應被控制的功能和權限；
所有對與產品的安全操作有關的用戶行爲的假設；
所有受管理員控制的安全參數，如果可能，指明安全值；
每一種與管理功能有關的安全相關事件，包括對安全功能所控制實體的安全特性進行的改變；
所有與管理員有關的IT環境安全要求。
1. 1. 1. 1. 用戶指南

開發者應提供說明以下內容的用戶指南，並與爲評估而提供的其他所有文檔保持一致：

產品的非管理員用戶可使用的安全功能和接口；
產品提供給用戶的安全功能和接口的使用方法；
用戶可獲取但應受安全處理環境所控制的所有功能和權限；
產品安全操作中用戶所應承擔的職責；
與用戶有關的IT環境的所有安全要求。
1. 1. 1. 生命週期支持
      1. 安全措施標識

開發者應提供開發安全文檔，描述在產品的開發環境中，爲保護產品設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施，並提供在產品的開發和維護過程中執行安全措施的證據。

1. 1. 1. 1. 開發者定義的生命週期模型

開發者應建立一個生命週期模型對產品的開發和維護進行的必要控制，並提供生命週期定義文檔描述用於開發和維護產品的模型。

1. 1. 1. 1. 明確定義的開發工具

開發者應明確定義用於開發產品的工具，並提供開發工具文檔無歧義地定義實現中每個語句的含義和所有依賴於實現的選項的含義。

1. 1. 1. 測試
      1. 測試覆蓋
        覆蓋證據

開發者應提供測試覆蓋的證據，表明測試文檔中所標識的測試與功能規格說明中所描述的產品的安全功能是對應的。

1. 1. 1. 1. 覆蓋分析

開發者應提供測試覆蓋的分析結果，表明測試文檔中所標識的測試與功能規格說明中所描述的產品的安全功能之間的對應性是完備的。

1. 1. 1. 1. 測試：高層設計

開發者應提供測試深度的分析，證實測試文檔中所標識的測試足以證實該產品的功能是依照其高層設計運行的。

1. 1. 1. 1. 功能測試

開發者應測試安全功能，將結果文檔化並提供包括以下內容的測試文檔：

測試計劃，標識要測試的安全功能，並描述測試的目標；
測試過程，標識要執行的測試，並描述每個安全功能的測試概況，這些概況應包括對於其他測試結果的順序依賴性；
預期的測試結果，表明測試成功後的預期輸出；
實際測試結果，表明每個被測試的安全功能能按照規定進行運作。
1. 1. 1. 1. 獨立測試
        一致性

開發者應提供適合測試的產品，且提供的測試集合與其自測產品功能時使用的測試集合相一致。

1. 1. 1. 1. 抽樣

開發者應提供一組相當的資源，用於安全功能的抽樣測試。

1. 1. 1. 脆弱性評定
      1. 誤用
        指南審查

開發者應提供滿足以下要求的指導性文檔：

標識所有可能的產品運行模式（包括失敗或操作失誤後的運行）、它們的後果以及對於保持安全運行的意義；
是完備的、清晰的、一致的、合理的；
列出關於預期使用環境的所有假設；
列出對外部安全措施（包括外部程序的、物理的或人員的控制）的所有要求。
1. 1. 1. 1. 分析確認

開發者應提供分析文檔論證指導性文檔是完備的。

1. 1. 1. 1. 產品安全功能強度評估

1. 1. 1. 1. 脆弱性分析
        開發者脆弱性分析

開發者應執行脆弱性分析，並提供脆弱性分析文檔，從用戶可能破壞安全策略的明顯途徑出發，對產品的各種功能進行分析，並對被確定的脆弱性明確記錄採取的措施。

對每一條脆弱性，提供證據顯示在使用產品的環境中，該脆弱性不能被利用。

1. 1. 1. 1. 獨立的脆弱性分析

開發者應提供文檔證明經過標識脆弱性的產品可以抵禦明顯的穿透性攻擊。

1. 1. 1. 1. 中級抵抗力

開發者應提供文檔證明產品可以抵禦具有中等攻擊潛力的攻擊者的攻擊，並提供證據說明對脆弱性的搜索是系統化的。

注：中級抵抗力需要綜合考慮根據以下5個具體因素：攻擊時間、攻擊者能力、對產品的瞭解程度、訪問產品時間或攻擊樣品數量、使用的攻擊設備，詳見參考文獻8中的附錄B。

1. 性能要求
  1. HTTP吞吐量

WEB應用防火牆的HTTP吞吐量應不小於線速的90%。

1. 1. HTTP最大請求速率

WEB應用防火牆每秒能夠處理的HTTP請求數，視不同速率的WEB防火牆有所不同，具體指標如下：

百兆WEB應用防火牆的HTTP最大請求速率應不小於800個/s；

千兆WEB應用防火牆的HTTP最大請求速率應不小於3,000個/s；

千兆以上WEB應用防火牆的HTTP最大請求速率應不小於5,000個/s。

1. 1. HTTP最大併發連接數

WEB應用防火牆的最大併發連接數，視不同速率的WEB防火牆有所不同，具體指標如下：

百兆WEB應用防火牆的HTTP最大併發連接數應不小於50,000個；

千兆WEB應用防火牆的HTTP最大併發連接數應不小於200,000個；

千兆以上WEB應用防火牆的HTTP最大併發連接數應不小於500,000個。

測試評價方法
1. 測試環境

圖1爲WEB應用防火牆的功能測試環境示意圖：

圖1 WEB應用防火牆功能測試環境示意圖

在功能測試環境示意圖中，包含：2臺被測的WEB應用防火牆分別設置爲主、被工作模式；2臺WEB服務器用作負載均衡；1臺數據庫服務器；1臺管理主機；2臺HTTP客戶端；1臺攻擊機能夠對WEB應用防火牆發起各類攻擊；1臺網絡協議分析儀能夠對WEB應用防火牆的網絡數據進行分析。基本級只需要測試HTTP協議，增強級還需要測試HTTPS協議。

WEB應用防火牆的性能測試環境如圖2所示：

圖2 WEB應用防火牆性能測試環境示意圖

在性能測試環境示意圖中，包含：1臺被測的WEB應用防火牆；1臺WEB應用層性能測試儀；2臺管理主機。WEB應用層性能測試儀能夠同時模擬HTTP客戶端和WEB服務器，模擬客戶端發送大量的HTTP請求通過WEB應用防火牆給模擬WEB服務器，然後模擬WEB服務器返回HTTP內容給模擬客戶端，並計算各項性能測試結果。

1. 基本級
  1. 安全功能要求測試評價方法
    1. HTTP過濾功能
      1. 允許/禁止HTTP請求類型

允許/禁止HTTP請求類型的測試評價方法與結果如下：

測試評價方法：

通過管理主機配置基於不同類型HTTP請求（至少包括： GET、POST 、PUT、HEAD）的過濾規則，並從測試終端上發起相應HTTP請求，檢測其是否能夠依據過濾規則允許或阻斷該訪問請求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. HTTP協議頭各個字段的長度限制

HTTP協議頭各個字段的長度限制的測試評價方法與結果如下：

測試評價方法：

通過管理主機配置基於HTTP協議頭中不同字段（至少包括：general-header、request-header、response-header）長度的過濾規則，並從測試終端上發起超出所設字段長度的HTTP請求，檢測其是否能夠依據過濾規則阻斷該訪問請求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 後綴名過濾

後綴名過濾的測試評價方法與結果如下：

測試評價方法：

通過管理主機配置基於WEB資源文件後綴名（如zip、rar、doc、exe、asp、html等）的過濾規則，並從測試終端上發起相應HTTP請求，嘗試訪問或下載上述各後綴名的WEB資源文件，檢測其是否能夠依據過濾規則阻斷該訪問請求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 支持多種編碼格式

支持多種編碼格式的測試評價方法與結果如下：

測試評價方法：

通過測試終端發起不同編碼格式（UNICODE、BASE64、二進制、十六進制等）的HTTP請求，檢測其是否能夠自動將客戶端請求轉換成ASCII明文。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 識別和限制HTTP響應碼

識別和限制HTTP響應碼的測試評價方法與結果如下：

測試評價方法：

通過管理主機配置基於HTTP響應碼的過濾規則，並從測試終端上發起HTTP請求，檢測其是否能夠識別HTTP服務器返回的響應碼，並依據過濾規則允許或阻斷該響應頁面。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. URL內容關鍵字過濾

URL內容關鍵字過濾的測試評價方法與結果如下：

測試評價方法：

通過管理主機配置基於URL內容關鍵字的過濾規則，並從測試終端上發起包含該關鍵字的HTTP請求，檢測其是否能夠依據過濾規則阻斷該HTTP請求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. WEB服務器返回內容過濾

WEB服務器返回內容過濾的測試評價方法與結果如下：

測試評價方法：

通過管理主機配置基於WEB服務器返回內容關鍵字的過濾規則，並從測試終端上發起相應HTTP請求，檢測其是否能夠依據過濾規則阻斷包含該關鍵字的WEB服務器返回頁面。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 安全防護功能
      1. WEB應用防護功能

WEB應用防護功能的測試評價方法與結果如下：

測試評價方法：

通過管理主機開啓WEB應用防火牆的WEB應用防護功能，並配置相應的應用防護規則；
從測試終端上發起針對主流WEB服務器軟件（如：Apache、IIS等）流行漏洞的攻擊利用，檢測其是否能夠進行防護；
從測試終端上發起針對主流WEB應用開發腳本（如：PHP、ASP、JavaScript等）流行漏洞的攻擊利用，檢測其是否能夠進行防護。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. WEB攻擊防護功能

WEB攻擊防護功能的測試評價方法與結果如下：

測試評價方法：

通過管理主機開啓WEB應用防火牆的WEB攻擊防護功能，並配置相應的攻擊防護規則；
從測試終端上用POST和GET方式進行SQL注入攻擊，檢測其是否能夠進行防護；
從測試終端上用構建的各種XSS跨站腳本攻擊WEB服務器，檢測其是否能夠進行防護；
從測試終端上訪問構建的資源盜鏈，檢測其是否能夠進行防護，使被盜鏈WEB頁面顯示不正常，盜用服務器的圖片和其他資源不能正常顯示；
從測試終端上用掃描工具對WEB服務器進行WEB應用掃描，檢測其是否能夠進行防護，使掃描工具不能掃描到任何結果；
從測試終端上用爬蟲工具對WEB服務器進行攻擊，檢測其是否能夠進行防護，使爬蟲工具不能獲取到服務器的信息；
從測試終端上對WEB服務器進行CSRF攻擊，檢測其是否能夠進行防護；
從測試終端上用POST和GET方式進行命令注入攻擊，檢測其是否能夠進行防護；
從測試終端上用POST方式進行非法上傳文件，檢測其是否能夠進行防護；
從測試終端上用GET方式進行非法下載文件，檢測其是否能夠進行防護；
從測試終端上用攻擊工具發起HTTP Flood攻擊，檢測其是否能夠進行防護；

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 其他功能
      1. 自定義錯誤頁面功能

自定義錯誤頁面功能的測試評價方法與結果如下：

測試評價方法：

通過管理主機設置WEB服務器返回的錯誤頁面，並在過濾規則中的響應措施中啓用該自定義錯誤頁面；
從測試終端上發起相應的HTTP請求，檢測其是否能夠依據過濾規則阻斷該訪問請求，並返回該自定義錯誤頁面。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 規則庫管理

規則庫管理的測試評價方法與結果如下：

測試評價方法：

檢查並啓用產品所提供的默認安全防護規則庫，從測試終端上發起相應的攻擊，檢測其是否能夠依據默認的安全防護規則庫進行防護；
按產品文檔說明嘗試對安全防護規則庫進行升級，檢測其是否與文檔描述一致；
嘗試添加、刪除、修改自定義過濾規則，並進行保存和啓用，從測試終端上發起相應的請求，檢測其是否能夠依據該自定義過濾規則允許或阻斷該訪問請求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 報警功能

報警功能的測試評價方法與結果如下：

測試評價方法：

審查產品的文檔說明，產品是否支持告警功能，且告警方式是否支持屏幕報警、郵件告警、SNMP trap告警、短信告警等方式中的一種；
依據產品文檔說明設置告警策略，並分別在告警策略中設置不同的告警方式，從測試終端上發起相應HTTP請求，觸發告警，檢測其是否能夠按照告警策略及指定的告警方式進行告警；
檢查產品的告警日誌內容是否包含日期、時間、匹配規則、告警事件描述等信息項。

測試評價結果：

記錄測試結果並對該結果是否完全符合上述測試評價方法要求作出判斷

1. 1. 自身安全保護測試評價方法
    1. 標識與鑑別
      1. 唯一性標識

唯一性標識的測試評價方法與結果如下：

測評評價方法：

創建用戶，查看該用戶的唯一性標識，以創建用戶身份登錄待測產品，進行一系列操作，查看相關日誌；
嘗試再次創建一個相同標識的用戶。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 身份鑑別

身份鑑別的測試評價方法與結果如下：

測試評價方法：

檢測員嘗試登錄待測產品進行管理，是否提示需進行身份鑑別；
輸入正確的用戶名和對應的口令，進行登錄嘗試；
輸入正確的用戶名和錯誤的口令，進行登錄嘗試；
輸入錯誤的用戶名，進行登錄嘗試。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 鑑別數據保護

鑑別數據保護的測試評價方法與結果如下：

測試評價方法：

分別以授權管理員和非授權管理員身份登錄待測產品修改其他管理員的口令；
根據開發商提供的文檔，打開鑑別數據存儲的文件或數據庫表，驗證查看鑑別數據是否需要授權，查看鑑別數據是否加密存儲；

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 鑑別失敗處理

鑑別失敗處理的測試評價方法與結果如下：

測試評價方法：

設置登錄失敗最大嘗試次數（次數固定也可）；
模擬多次管理員登錄失敗事件，直至測試達到設定的最大嘗試次數，查看會話是否被終止。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 安全審計
      1. 審計數據生成

審計數據生成的測試評價方法與結果如下：

測試評價方法：

開啓審計功能子系統；
制定並下發允許和禁止的WEB訪問策略；
模擬成功和失敗的WEB訪問事件，查看審計日誌記錄是否記錄完整，審計日誌內容是否包括每個事件發生的日期、時間、IP地址、所請求的URL、訪問成功或失敗的標識以及匹配規則；
管理員嘗試成功和失敗的登錄操作，成功登錄後查看審計日誌是否記錄了管理員所有的登錄嘗試，審計日誌的內容是否包括：管理員登錄的日期、時間、IP地址、用戶名以及登錄成功或失敗的標識。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 審計日誌管理功能

審計日誌管理功能的測試評價方法與結果如下：

測試評價方法：

檢測是否可以對日誌進行查詢，備份等操作；
驗證備份的審計日誌是否與源日誌內容相同，備份過程中審計日誌無丟失、錯誤。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 可理解的格式

可理解的格式的測試評價方法與結果如下：

測試評價方法：

由檢驗員查看產品存儲於永久性審計記錄中審計數據，查看審計數據是否可理解是否存在歧義。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 防止審計數據丟失

防止審計數據丟失的測試評價方法與結果如下：

測試評價方法：

評價者應審查產品說明手冊具有何種保證審計記錄可用性的機制；
模擬非正常關機、磁盤空間滿等情況，檢測該產品是否能採取有效的措施防止審計數據丟失。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 統計功能

統計功能的測試評價方法與結果如下：

測試評價方法：

使用不同的IP地址對受保護的資源進行訪問操作；
進入統計功能界面，驗證該產品是否可根據不同的時間段統計出訪問WEB資源的總數，以及單個IP地址的訪問總數。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 遠程管理加密

遠程管理加密的測試評價方法與結果如下：

測試評價方法：

查看待測系統是否支持遠程管理；
對系統進行遠程管理，使用數據包分析工具驗證遠程管理通訊是否爲非明文。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 狀態監測

狀態監測的測試評價方法與結果如下：

測試評價方法：

查看待測產品是否具備設備狀態監測功能；
根據開發商提供的文檔，進行相關參數設置，在運行過程中模擬各種異常狀態，查看產品是否發現、記錄狀態異常情況，並向管理員進行報警。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 雙機熱備

雙機熱備的測試評價方法與結果如下：

測試評價方法：

查看待測產品是否具備雙機熱備功能；
根據開發商提供的文檔，將2臺WEB應用防火牆分別設置爲主、備工作模式；
使主WEB應用防火牆無法正常工作（如：斷電、斷網等），檢測備WEB應用防火牆能否及時發現主WEB應用防火牆的異常工作狀態，並接管主WEB應用防火牆進行工作。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 安全保證要求測試評價方法
    1. 配置管理
      1. 版本號

版本號的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的配置管理支持文件是否包含以下內容：版本號，要求開發者所使用的版本號與所應表示的產品樣本應完全對應，沒有歧義；
評價者應現場檢查在配置管理活動中產品樣本是否具備唯一版本號，該版本號是否與產品樣本以及配置管理支持文件的描述完全對應。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 配置項

配置項的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的配置管理文檔，是否包括配置清單、配置管理計劃。配置清單是否描述了組成系統的全部配置項；
評價者應現場檢查配置管理系統中的配置項是否與配置清單的描述一致，配置管理系統是否對所有的配置項作出唯一的標識，配置管理系統是否對配置項進行了維護；
評價者應審查開發者提供的配置管理文檔，是否描述了對配置項進行唯一標識的方法。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 交付與運行
      1. 交付程序

交付程序的測試評價方法與結果如下：

測試評價方法：

評價者應現場檢查開發者是否使用一定的交付程序交付產品；
評價者應審查開發者是否使用文檔描述交付過程，文檔中是否包含以下內容：在給用戶方交付系統的各版本時，爲維護安全所必需的所有程序。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 安裝、生成和啓動程序

安裝、生成和啓動程序的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者是否提供了文檔說明系統的安裝、生成、啓動和使用的過程；
評價者按照文檔描述的方式確認是否能夠正確安裝、生成和啓動程序。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 開發
      1. 非形式化功能規格說明

非形式化功能規格說明的測試評價方法與結果如下：

測試評價方法：

評價者應審查非形式化功能規格說明的如下內容，並確認功能設計是否是安全功能要求的精確和完整的示例：

—— 使用非形式化風格來描述產品安全功能與其外部接口；

——是內在一致的；

——描述使用所有外部產品安全功能接口的目的與方法，適當的時候，要提供結果影響例外情況和出錯信息的細節；

——功能設計應當完整地表示產品安全功能。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 描述性高層設計

描述性高層設計的測試評價方法與結果如下：

測試評價方法：

評價者應審查描述性高層設計的如下內容：

——使用非形式化風格來表示；

——是內在一致的；

——按子系統描述安全功能的結構；

——描述每個安全功能子系統所提供的安全功能性；

——標識安全功能所要求的任何基礎性的硬件、固件或軟件，以及在這些硬件、固件或軟件中實現的支持性保護機制所提供功能的一個表示；

——標識安全功能子系統的所有接口；

——標識安全功能子系統的哪些接口是外部可見的。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 非形式化對應性證實

非形式化對應性證實的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者是否在產品安全功能表示的所有相鄰對之間提供對應性分析；
其中，系統各種安全功能表示（如系統功能設計、高層設計、低層設計、實現表示）之間的對應性是所提供的抽象產品安全功能表示要求的精確而完整的示例；
產品安全功能在功能設計中進行細化，並且較爲抽象的產品安全功能表示的所有相關安全功能部分，在較具體的產品安全功能表示中進行細化。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 指導性文檔
      1. 管理員指南

管理員指南的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者是否提供了供授權管理員使用的管理員指南，並且此管理員指南是否包括如下內容：

——產品可以使用的管理功能和接口；

——產品提供給管理員的安全功能和接口的使用方法；

——在安全處理環境中應進行控制的功能和權限；

——所有對與產品的安全操作有關的用戶行爲的假設；

——所有受管理員控制的安全參數，如果可能，應指明安全值；

——每一種與管理功能有關的安全相關事件，包括對安全功能所控制的實體的安全特性進行的改變；

——所有與授權管理員有關的IT環境的安全要求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 用戶指南

用戶指南的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者是否提供了供用戶使用的用戶指南，並且此用戶指南是否包括如下內容：

——產品的非管理用戶可使用的安全功能和接口；

——產品提供給用戶的安全功能和接口的使用方法；

——用戶可獲取但應受安全處理環境控制的所有功能和權限；

——產品安全操作中用戶所應承擔的職責；

——與用戶有關的IT環境的所有安全要求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 測試
      1. 覆蓋證據

覆蓋證據的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的測試覆蓋證據，在測試覆蓋證據中，是否表明測試文檔中所標識的測試與功能規格說明中所描述的產品的安全功能是對應的。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 功能測試

功能測試的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的測試文檔，是否包括測試計劃、測試規程、預期的測試結果和實際測試結果；
評價者應審查測試計劃是否標識了要測試的安全功能，是否描述了測試的目標；
評價者應審查測試規程是否標識了要執行的測試，是否描述了每個安全功能的測試概況（這些概況包括對其它測試結果的順序依賴性）；
評價者應審查期望的測試結果是否表明測試成功後的預期輸出；
評價者應審查實際測試結果是否表明每個被測試的安全功能能按照規定進行運作。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 獨立測試
        一致性

一致性的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的測試產品；
評價者應審查開發者提供的測試集合是否與其自測系統功能時使用的測試集合相一致。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 抽樣

抽樣的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者是否提供一組相當的資源，用於安全功能的抽樣測試。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 脆弱性評定
      1. 產品安全功能強度評估

產品安全功能強度評估的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的指導性文檔，是否對所標識的每個具有安全功能強度聲明的安全機制進行了安全功能強度分析，是否說明了安全機制達到或超過定義的最低強度級別或特定功能強度度量。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 開發者脆弱性分析

開發者脆弱性分析的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的脆弱性分析文檔，是否從用戶可能破壞安全策略的明顯途徑出發，對產品的各種功能進行了分析；
評價者應審查開發者是否對被確定的脆弱性明確記錄了採取的措施；
對每一條脆弱性，評價者應審查是否有足夠證據證明在使用產品的環境中該脆弱性不能被利用。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 增強級
  1. 安全功能要求測試評價方法
    1. HTTP過濾功能
      1. 允許/禁止HTTP請求類型

允許/禁止HTTP請求類型的測試評價方法與結果如下：

測試評價方法：

通過管理主機配置基於不同類型HTTP請求（至少包括：GET、POST、PUT、HEAD、OPTIONS）的過濾規則，並從測試終端上發起相應HTTP請求，檢測其是否能夠依據過濾規則允許或阻斷該訪問請求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. HTTP協議頭各個字段的長度限制

HTTP協議頭各個字段的長度限制的測試評價方法與結果如下：

測試評價方法：

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 後綴名過濾

後綴名過濾的測試評價方法與結果如下：

測試評價方法：

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 支持多種編碼格式

支持多種編碼格式的測試評價方法與結果如下：

測試評價方法：

通過測試終端發起不同編碼格式（UNICODE、BASE64、二進制、十六進制等）的HTTP請求，檢測其是否能夠自動將客戶端請求轉換成ASCII明文。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 識別和限制HTTP響應碼

識別和限制HTTP響應碼的測試評價方法與結果如下：

測試評價方法：

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. URL內容關鍵字過濾

URL內容關鍵字過濾的測試評價方法與結果如下：

測試評價方法：

通過管理主機配置基於URL關鍵字的過濾規則，並從測試終端上發起包含該關鍵字的HTTP請求，檢測其是否能夠依據過濾規則阻斷該HTTP請求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. WEB服務器返回內容過濾

WEB服務器返回內容過濾的測試評價方法與結果如下：

測試評價方法：

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 安全防護功能
      1. WEB應用防護功能

WEB應用防護功能的測試評價方法與結果如下：

測試評價方法：

通過管理主機開啓WEB應用防火牆的WEB應用防護功能，並配置相應的應用防護規則；
從測試終端上發起針對主流WEB服務器軟件（如：Apache、IIS等）流行漏洞的攻擊利用，檢測其是否能夠進行防護；
從測試終端上發起針對主流WEB應用開發腳本（如：PHP、JSP、ASP、JavaScript等）流行漏洞的攻擊利用，檢測其是否能夠進行防護。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. WEB攻擊防護功能

WEB攻擊防護功能的測試評價方法與結果如下：

測試評價方法：

通過管理主機開啓WEB應用防火牆的WEB攻擊防護功能，並配置相應的攻擊防護規則；
從測試終端上用POST和GET方式進行SQL注入攻擊，檢測其是否能夠進行防護；
從測試終端上用構建的各種XSS跨站腳本攻擊WEB服務器，檢測其是否能夠進行防護；
從測試終端上訪問構建的資源盜鏈，檢測其是否能夠進行防護，使被盜鏈WEB頁面顯示不正常，盜用服務器的圖片和其他資源不能正常顯示；
從測試終端上用掃描工具對WEB服務器進行WEB應用掃描，檢測其是否能夠進行防護，使掃描工具不能掃描到任何結果；
從測試終端上用爬蟲工具對WEB服務器進行攻擊，檢測其是否能夠進行防護，使爬蟲工具不能獲取到服務器的信息；
從測試終端上對WEB服務器進行CSRF攻擊，檢測其是否能夠進行防護；
從測試終端上用POST和GET方式進行命令注入攻擊，檢測其是否能夠進行防護；
從測試終端上用POST方式進行非法上傳文件，檢測其是否能夠進行防護；
從測試終端上用GET方式進行非法下載文件，檢測其是否能夠進行防護；
從測試終端上用攻擊工具發起HTTP Flood攻擊，檢測其是否能夠進行防護；
從測試終端上對WEB服務器進行Cookie注入攻擊，檢測其是否能夠進行防護；
從測試終端上模擬入侵者上傳Webshell文件，或利用Webshell對WEB服務器進行攻擊，檢測其是否能夠進行識別和攔截；
按照產品說明文檔中關於產品具備的其它WEB攻擊防護功能的描述，從測試終端上對WEB服務器進行相應的WEB攻擊，檢測其是否能夠進行防護。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 其他功能
      1. 自定義錯誤頁面功能

自定義錯誤頁面功能的測試評價方法與結果如下：

測試評價方法：

通過管理主機設置WEB服務器返回的錯誤頁面，並在過濾規則中的響應措施中啓用該自定義錯誤頁面；
從測試終端上發起相應的HTTP請求，檢測其是否能夠依據過濾規則阻斷該訪問請求，並返回該自定義錯誤頁面。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 白名單功能

白名單功能的測試評價方法與結果如下：

測試評價方法：

通過管理主機配置白名單規則，並從測試終端上發起相應HTTP請求，檢測其是否能夠依據過濾規則允許該訪問請求，並阻斷其它訪問請求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 支持HTTPS

支持HTTPS的測試評價方法與結果如下：

測試評價方法：

將WEB服務器配置成要求HTTPS訪問模式；
通過管理主機在配置HTTPS證書及相關參數；
通過管理主機配置過濾規則，並從測試終端上發起相應HTTP請求，檢測其是否能夠對HTTPS協議進行解碼，並依據過濾規則允許或阻斷該訪問請求；
通過管理主機配置安全防護規則，並從測試終端上模擬入侵者利用漏洞發起相應攻擊，檢測其是否能夠對HTTPS協議進行解碼，並依據安全防護規則進行防護；
通過管理主機設置並啓用自定義錯誤頁面，從測試終端上發起相應HTTP請求，檢測其是否能夠對HTTPS協議進行解碼，並依據依據過濾規則阻斷該訪問請求，返回該自定義錯誤頁面；
通過管理主機配置白名單規則，並從測試終端上發起相應HTTP請求，檢測其是否能夠對HTTPS協議進行解碼，並依據過濾規則允許該訪問請求，同時阻斷其它訪問請求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 規則庫管理

規則庫管理的測試評價方法與結果如下：

測試評價方法：

檢查並啓用產品所提供的默認安全防護規則庫，從測試終端上發起相應的攻擊，檢測其是否能夠依據默認的安全防護規則庫進行防護；
按產品文檔說明嘗試對安全防護規則庫進行升級，檢測其是否與文檔描述一致；
嘗試添加、刪除、修改自定義過濾規則，並進行保存和啓用，從測試終端上發起相應的請求，檢測其是否能夠依據該自定義過濾規則允許或阻斷該訪問請求。

測試評價結果：

記錄測試結果並對該結果是否完全符合上述測試評價方法要求作出判斷

1. 1. 1. 1. 報警功能

報警功能的測試評價方法與結果如下：

測試評價方法：

審查產品的文檔說明，產品是否支持告警功能，且告警方式是否支持屏幕報警、郵件告警、SNMP trap告警、短信告警等方式中的一種；
依據產品文檔說明設置告警策略，並分別在告警策略中設置不同的告警方式，從測試終端上發起相應HTTP請求，觸發告警，檢測其是否能夠按照告警策略及指定的告警方式進行告警；
從測試終端上發起相同的HTTP請求，觸發告警，檢測產品是否能夠對高頻發生的相同告警事件進行合併告警；
檢查產品的告警日誌內容，是否包含日期、時間、匹配規則、告警事件描述等信息項。

測試評價結果：

記錄測試結果並對該結果是否完全符合上述測試評價方法要求作出判斷

1. 1. 自身安全保護測試評價方法
    1. 標識與鑑別
      1. 唯一性標識

唯一性標識的測試評價方法與結果如下：

測評評價方法：

創建用戶，查看該用戶的唯一性標識，以創建用戶身份登錄待測產品，進行一系列操作，查看相關日誌；
嘗試再次創建一個相同標識的用戶。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 身份鑑別

身份鑑別的測試評價方法與結果如下：

測試評價方法：

檢測員嘗試登錄待測產品進行管理，是否提示需進行身份鑑別；
輸入正確的用戶名和對應的口令，進行登錄嘗試；
輸入正確的用戶名和錯誤的口令，進行登錄嘗試；
輸入錯誤的用戶名，進行登錄嘗試。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 鑑別數據保護

鑑別數據保護的測試評價方法與結果如下：

測試評價方法：

分別以授權管理員和非授權管理員身份登錄待測產品修改其他管理員的口令；
根據開發商提供的文檔，打開鑑別數據存儲的文件或數據庫表，驗證查看鑑別數據是否需要授權，查看鑑別數據是否加密存儲；

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 鑑別失敗處理

鑑別失敗處理的測試評價方法與結果如下：

測試評價方法：

設置登錄失敗最大嘗試次數（次數固定也可），設置失敗處理措施爲鎖定用戶或鎖定遠程主機地址；
模擬多次用戶登錄失敗事件，直至測試達到設定的最大嘗試次數，查看會話是否被終止，之後使用正確的用戶名和對應的口令進行登錄嘗試，驗證該用戶是否被鎖定，或遠程登錄的地址是否被鎖定。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 安全管理角色

安全管理角色的測試評價方法與結果如下：

測試評價方法：

查看文檔說明，管理員是否有默認角色；
嘗試根據角色各新增一個管理員，查看並驗證各個角色的初始化屬性；
嘗試根據功能模塊定義新角色；
查看並驗證根據功能模塊新定義的用戶角色的初始化屬性。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 安全審計
      1. 審計數據生成

審計數據生成的測試評價方法與結果如下：

測試評價方法：

開啓審計功能子系統；
制定並下發允許和禁止的WEB訪問策略；
模擬成功和失敗的WEB訪問事件，查看審計日誌記錄是否記錄完整，審計日誌內容是否包括每個事件發生的日期、時間、IP地址、所請求的URL、訪問成功或失敗的標識以及匹配規則；
管理員嘗試成功和失敗的登錄操作，成功登錄後查看審計日誌是否記錄了管理員所有的登錄嘗試，審計日誌的內容是否包括：管理員登錄的日期、時間、IP地址、用戶名以及登錄成功或失敗的標識；
管理員嘗試進行其他操作，如增加、修改和刪除過濾規則和防護策略，查看審計記錄是否記錄了相關日誌；
進行管理員的增加、刪除和修改操作，查看審計記錄是否記錄了相關日誌。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 審計日誌管理功能

審計日誌管理功能的測試評價方法與結果如下：

測試評價方法：

檢測是否可以對日誌進行查詢，備份等操作；
驗證備份的審計日誌是否與源日誌內容相同，備份過程中審計日誌無丟失、錯誤。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 可理解的格式

可理解的格式的測試評價方法與結果如下：

測試評價方法：

由檢驗員查看產品存儲於永久性審計記錄中審計數據，查看審計數據是否可理解是否存在歧義。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 防止審計數據丟失

防止審計數據丟失的測試評價方法與結果如下：

測試評價方法：

評價者應審查產品說明手冊具有何種保證審計記錄可用性的機制；
模擬非正常關機、磁盤空間滿等情況，檢測該產品是否能採取有效的措施防止審計數據丟失。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 統計功能

統計功能的測試評價方法與結果如下：

測試評價方法：

使用不同的IP地址對受保護的資源進行訪問操作；
進入統計功能界面，驗證該產品是否可根據不同的時間段統計出訪問WEB資源的總數，以及單個IP地址的訪問總數；
嘗試根據訪問次數生成統計分析報表，查看是否支持以圖形化方式進行展示（如餅狀圖、條狀圖等），並能以常見方式導出（如HTML格式、DOC格式等）。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 遠程管理加密

遠程管理加密的測試評價方法與結果如下：

測試評價方法：

查看待測系統是否需要支持遠程管理；
對系統進行遠程管理，使用數據包分析工具驗證遠程管理通訊是否爲非明文。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 狀態監測

狀態監測的測試評價方法與結果如下：

測試評價方法：

查看待測產品是否具備設備狀態監測功能；
根據開發商提供的文檔，進行相關參數設置，在運行過程中模擬各種異常狀態，查看產品是否發現、記錄狀態異常情況，並向管理員進行報警。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 雙機熱備

雙機熱備的測試評價方法與結果如下：

測試評價方法：

查看待測產品是否具備雙機熱備功能；
根據開發商提供的文檔，將2臺WEB應用防火牆分別設置爲主、備工作模式；
使主WEB應用防火牆無法正常工作（如：斷電、斷網等），檢測備WEB應用防火牆能否及時發現主WEB應用防火牆的異常狀態，並接管主WEB應用防火牆進行工作。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 負載均衡

負載均衡的測試評價方法與結果如下：

測試評價方法：

審查產品的文檔說明，產品是否支持負載均衡功能；
在WEB應用防火牆上配置負載均衡策略，將WEB訪問請求均衡到多臺WEB服務器上；
使用性能檢測儀，模擬多個HTTP客戶端通過WEB應用防火牆進行HTTP訪問，檢測WEB應用防火牆能否將WEB訪問請求均衡到多臺WEB服務器上；
分別在每臺WEB服務器上統計WEB訪問的總數，測試WEB應用防火牆是否達到負載均衡效果。

測試評價結果：

記錄測試結果並對該結果是否完全符合上述測試評價方法要求作出判斷

1. 1. 安全保證要求測試評價方法
    1. 配置管理
      1. 部分配置管理自動化

部分配置管理自動化的測試評價方法與結果如下：

測試評價方法：

評價者應審查配置管理系統是否提供一種自動方式來支持產品的生成，通過該方式是否能夠確保只能對產品的實現表示進行已授權的改變；
評價者應審查配置管理計劃是否描述配置管理系統中所使用的自動工具以及該工具的使用方法。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 配置管理能力
        版本號

版本號的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的配置管理支持文件是否包含以下內容：版本號，要求開發者所使用的版本號與所應表示的產品樣本應完全對應，沒有歧義；
評價者應現場檢查在配置管理活動中產品樣本是否具備唯一版本號，該版本號是否與產品樣本以及配置管理支持文件的描述完全對應。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 配置項

配置項的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的配置管理文檔，是否包括配置清單、配置管理計劃。配置清單是否描述了組成系統的全部配置項；
評價者應現場檢查配置管理系統中的配置項是否與配置清單的描述一致，配置管理系統是否對所有的配置項作出唯一的標識，配置管理系統是否對配置項進行了維護；
評價者應審查開發者提供的配置管理文檔，是否描述了對配置項進行唯一標識的方法。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 授權控制

授權控制的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的配置管理計劃文檔，該文檔是否描述配置管理系統的使用方法；
評價者應現場檢查實施的配置管理活動是否與配置管理計劃文檔的描述相一致；
評價者應審查開發者提供的證據，這些證據應表明配置項得到了有效地維護。評價者應現場檢查是否只有經過授權才能修改配置項。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 產生支持和接受程序

產生支持和接受程序的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的配置管理文檔是否包括一個接受計劃，接受計劃是否描述用來接受修改過的或新建的作爲產品組成部分的配置項的程序；
評價者應審查配置管理系統是否支持產品的生成。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 配置管理範圍
        配置管理覆蓋

配置管理覆蓋的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的配置管理支持文檔是否說明了產品配置管理範圍，配置管理範圍至少包括產品實現表示、設計文檔、測試文檔、指導性文檔、配置管理文檔等配置項，從而確保這些配置項的修改是在一個正確授權的可控方式下進行的；
評價者應現場檢查開發者所使用的配置管理系統至少能跟蹤上述配置管理之下的內容；
評價者應審查開發者提供的配置管理支持文檔是否說明了配置管理系統跟蹤配置項的方法。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 問題跟蹤配置管理覆蓋

問題跟蹤配置管理覆蓋的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者是否將安全缺陷納入配置管理範圍，是否對安全缺陷進行跟蹤。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 交付與運行
      1. 交付程序

交付程序的測試評價方法與結果如下：

測試評價方法：

評價者應現場檢查開發者是否使用一定的交付程序交付產品；
評價者應審查開發者是否使用文檔描述交付過程，文檔中是否包含以下內容：在給用戶方交付系統的各版本時，爲維護安全所必需的所有程序。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 修改檢測

修改檢測的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的文檔是否描述了程序或技術措施，這些程序或技術措施可實現以下目的：

——檢測修改；

——檢測開發者的主拷貝和用戶方所收到版本之間的任何差異；

——發現試圖僞裝成開發者，甚至是在開發者沒有向用戶方發送任何東西的情況下，向用戶方交付產品。

評價者應現場檢查開發者使用的程序是否與文檔描述一致。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 安裝、生成和啓動程序

安裝、生成和啓動程序的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者是否提供了文檔說明系統的安裝、生成、啓動和使用的過程；
評價者按照文檔描述的方式確認是否能夠正確安裝、生成和啓動程序。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 開發
      1. 功能規格說明
        非形式化功能規格說明

非形式化功能規格說明的測試評價方法與結果如下：

測試評價方法：

評價者應審查非形式化功能規格說明的如下內容，並確認功能設計是否是安全功能要求的精確和完整的示例：

——使用非形式化風格來描述產品安全功能與其外部接口；

——是內在一致的；

——描述使用所有外部產品安全功能接口的目的與方法，適當的時候，要提供結果影響例外情況和出錯信息的細節；

——功能設計應當完整地表示產品安全功能。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 充分定義的外部接口

充分定義的外部接口的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者所提供的功能規格說明和安全功能的對應性能夠完備合理的表示安全功能。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 高層設計
        描述性高層設計

描述性高層設計的測試評價方法與結果如下：

測試評價方法：

評價者應審查描述性高層設計的如下內容：

——使用非形式化風格來表示；

——是內在一致的；

——按子系統描述安全功能的結構；

——描述每個安全功能子系統所提供的安全功能性；

——標識安全功能所要求的任何基礎性的硬件、固件或軟件，以及在這些硬件、固件或軟件中實現的支持性保護機制所提供功能的一個表示；

——標識安全功能子系統的所有接口；

——標識安全功能子系統的哪些接口是外部可見的。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 安全加強的高層設計

安全加強的高層設計的測試評價方法與結果如下：

測試評價方法：

評價者應審查高層設計是否描述系統的功能子系統所有接口的用途與使用方法，是否適當描述效果、例外情況和錯誤消息的細節；
評價者應審查高層設計是否把系統分成安全策略實施和其它子系統來描述。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 安全功能實現的子集

安全功能實現的子集的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的實現表示是否無歧義而且詳細地定義安全功能，使得無須進一步設計就能生成安全功能。實現表示應是內在一致的。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 描述性低層設計

描述性低層設計的測試評價方法與結果如下：

測試評價方法：

評價者應審查描述性低層設計的如下內容：

——使用非形式化風格來表示；

——是內在一致的；

——按模塊描述安全功能；

——描述每個模塊的用途；

——根據所提供的安全功能性和對其他模塊的依賴關係兩方面來定義模塊間的相互關係；

——描述每個安全策略實施功能是如何被提供的；

——標識安全功能模塊的所有接口；

——標識安全功能模塊的哪些接口是外部可見的；

——描述安全功能模塊所有接口的用途和用法，適當時應提供效果、例外情況和錯誤消息的細節；

——把產品分爲安全策略實施模塊和其他模塊來描述。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 非形式化對應性證實

非形式化對應性證實的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者是否在產品安全功能表示的所有相鄰對之間提供對應性分析；
其中，系統各種安全功能表示（如系統功能設計、高層設計、低層設計、實現表示）之間的對應性是所提供的抽象產品安全功能表示要求的精確而完整的示例；
產品安全功能在功能設計中進行細化，並且較爲抽象的產品安全功能表示的所有相關安全功能部分，在較具體的產品安全功能表示中進行細化。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 非形式化產品安全策略模型

非形式化產品安全策略模型的測試評價方法與結果如下：

測試評價方法：

評價者應審查安全策略模型的如下內容：

——使用非形式化風格來表示；

——描述所有能被模型化的安全策略的規則與特徵；

——應包含合理性，即論證該模型相對所有能被模型化的安全策略來說是一致的，而且是完備的；

——闡明安全策略模型和功能規格說明之間的對應性，即論證所有功能規格說明中的安全功能對於安全策略模型來說是一致的，而且是完備的。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 指導性文檔
      1. 管理員指南

管理員指南的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者是否提供了供授權管理員使用的管理員指南，並且此管理員指南是否包括如下內容：

——產品可以使用的管理功能和接口；

——產品提供給管理員的安全功能和接口的使用方法；

——在安全處理環境中應進行控制的功能和權限；

——所有對與產品的安全操作有關的用戶行爲的假設；

——所有受管理員控制的安全參數，如果可能，應指明安全值；

——每一種與管理功能有關的安全相關事件，包括對安全功能所控制的實體的安全特性進行的改變；

——所有與授權管理員有關的IT環境的安全要求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 用戶指南

用戶指南的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者是否提供了供用戶使用的用戶指南，並且此用戶指南是否包括如下內容：

——產品的非管理用戶可使用的安全功能和接口；

——產品提供給用戶的安全功能和接口的使用方法；

——用戶可獲取但應受安全處理環境控制的所有功能和權限；

——產品安全操作中用戶所應承擔的職責；

——與用戶有關的IT環境的所有安全要求。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 生命週期支持
      1. 安全措施標識

安全措施標識的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的開發安全文檔，該文檔是否描述了在系統的開發環境中，爲保護系統設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的和其它方面的安全措施；
評價或則應現場檢查產品的開發環境，開發者是否使用了物理的、程序的、人員的和其它方面的安全措施保證產品設計和實現的保密性和完整性，這些安全措施是否得到了有效的執行。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 開發者定義的生命週期模型

開發者定義的生命週期模型的測試評價方法與結果如下：

測試評價方法：

開發者應提供證據證明使用了生命週期模型對產品的開發和維護進行的必要控制，評價者應對證據的內容進行審查；
評價者應審查開發者提供生命週期定義文檔是否描述了用於開發和維護產品的模型。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 明確定義的開發工具

明確定義的開發工具的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者所提供的開發安全文檔是否明確定義了用於開發產品的工具，並提供了開發工具文檔無歧義地定義實現中每個語句的含義和所有依賴於實現的選項的含義。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 測試
      1. 測試覆蓋
        覆蓋證據

覆蓋證據的測試評價方法與結果如下：

測試評價方法：

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 覆蓋分析

覆蓋分析的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的測試覆蓋分析結果，是否表明了測試文檔中所標識的測試與安全功能設計中所描述的安全功能是對應的；
評價測試文檔中所標識的測試，是否完整。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 測試：高層設計

測試深度的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的測試深度分析，是否說明了測試文檔中所標識的對安全功能的測試，足以表明該安全功能和高層設計是一致的。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 功能測試

功能測試的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的測試文檔是否包括測試計劃、測試規程、預期的測試結果和實際測試結果；
評價者應審查開發者提供的測試計劃是否標識了被測試的安全功能，是否描述了測試的目標；
評價者應審查開發者提供的測試規程是否標識了要執行的測試，是否描述了每個安全功能的測試概況（這些概況包括對其它測試結果的順序依賴性）；
評價者應審查開發者提供的測試文檔中期望的測試結果是否表明測試成功後的預期輸出；
評價者應審查開發者提供的測試文檔中實際測試結果是否表明每個被測試的安全功能能按照規定進行運作。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 獨立測試
        一致性

一致性的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的測試產品；
評價者應審查開發者提供的測試集合是否與其自測系統功能時使用的測試集合相一致。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 抽樣

抽樣的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者是否提供一組相當的資源，用於安全功能的抽樣測試。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 脆弱性評定
      1. 誤用
        指南審查

指南審查的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的指導性文檔和分析文檔，是否對產品的所有可能的操作方式（包括失敗和操作失誤後的操作）進行了說明，是否確定了它們的後果，以及是否確定了對於保持安全操作的意義；
評價者應審查開發者提供的指導性文檔和分析文檔，是否列出了所有目標環境的假設以及所有外部安全措施（包括外部程序的、物理的或人員的控制）的要求；
評價者應審查開發者提供的文檔是否完整、清晰、一致、合理；
評價開發者提供的分析文檔，是否闡明文檔是完整的。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 分析確認

分析確認的測試評價方法與結果如下：

測試評價方法：

評價開發者提供的分析文檔論證指導性文檔是否是完備的。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 產品安全功能強度評估

產品安全功能強度評估的測試評價方法與結果如下：

測試評價方法：

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 脆弱性分析
        開發者脆弱性分析

開發者脆弱性分析的測試評價方法與結果如下：

測試評價方法：

評價者應審查開發者提供的脆弱性分析文檔，是否從用戶可能破壞安全策略的明顯途徑出發，對產品的各種功能進行了分析；
評價者應審查開發者是否對被確定的脆弱性明確記錄了採取的措施；
對每一條脆弱性，評價者應審查是否有足夠證據證明在使用產品的環境中該脆弱性不能被利用。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 獨立的脆弱性分析

獨立的脆弱性分析的測試評價方法與結果如下：

測試評價方法：

評價者應在開發者提供的脆弱性分析說明文檔的基礎上，執行穿透性測試，檢驗已標識的產品脆弱性是否能夠抵禦明顯的穿透性攻擊。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. 1. 1. 中級抵抗力

中級抵抗力的測試評價方法與結果如下：

測試評價方法：

評價者應根據開發者提供的脆弱性分析說明文檔和獨立穿透性測試的結果分析產品是否能夠抵禦中級強度的穿透性攻擊，是否說明對脆弱性的搜索是系統化的。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 性能測試評價方法
  1. HTTP吞吐量

HTTP吞吐量的測試評價方法與結果如下：

測試評價方法：

使用性能檢測儀，模擬多個HTTP客戶端通過WEB應用防火牆訪問模擬服務器端（HTTP請求產生速率應小於等於產品的HTTP最大請求速率），每個請求訪問的HTTP有效載荷爲10MB，持續30min；
計算WEB應用防火牆在測試期間的平均HTTP吞吐量；
重複3次以上過程，並計算3次結果的算術平均值。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. HTTP最大請求速率

HTTP最大請求速率的測試評價方法與結果如下：

測試評價方法：

使用性能檢測儀，模擬多個HTTP客戶端以固定的HTTP請求速率通過WEB應用防火牆訪問模擬服務器（HTTP連接建立的總數應小於等於WEB應用防火牆的最大併發連接數），HTTP協議版本爲1.1，並保持連接一直處於打開狀態，檢測HTTP請求是否全部成功完成；
如果HTTP請求全部成功完成，提高HTTP請求速率，並重復步驟1）；
如果HTTP請求未能全部成功完成，降低HTTP請求速率，並重復步驟1)；
記錄WEB應用防火牆所能支持的最大HTTP請求速率（最小單位100個/s）；
重複3次以上過程，並計算3次結果的算術平均值。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

1. 1. HTTP最大併發連接數

HTTP最大併發連接數的測試評價方法與結果如下：

測試評價方法：

使用性能檢測儀，模擬多個HTTP客戶端通過WEB應用防火牆訪問模擬服務器端（HTTP請求產生速率應小於等於產品的HTTP最大請求速率），每個請求訪問的HTTP有效載荷爲1KB，HTTP協議版本爲1.1，並保持連接一直處於打開狀態；
統計WEB應用防火牆所能支持的最大併發連接數；
重複3次以上過程，並計算3次結果的算術平均值。

測試評價結果：

記錄測試結果並對該結果是否完全符合相應安全技術要求作出判斷。

WEB應用防火牆安全技術要求分級表

表1以表格形式列舉了不同等級的WEB應用防火牆的相關要求。

表1 WEB應用防火牆安全技術要求分級表

安全技術要求			基本級	增強級
安全功能要求	HTTP過濾功能	允許/禁止HTTP請求類型	*	*
		HTTP協議頭各個字段的長度限制	*	*
		後綴名過濾	*	*
		支持多種編碼格式	*	*
		識別和限制HTTP響應碼	*	*
		URL內容關鍵字過濾	*	*
		WEB服務器返回內容過濾	*	*
	安全防護功能	WEB應用防護功能	*	*
	安全防護功能	WEB攻擊防護功能	a)~j)	a)~m)
	其他功能	自定義錯誤頁面功能	*	*
		白名單功能	——	*
		支持HTTPS	——	*
		規則庫管理	*	*
		報警功能	a)~b)	a)~c)
		雙機熱備	*	*
		負載均衡	——	*
自身安全保護	標識與鑑別	唯一性標識	*	*
		身份鑑別	*	*
		鑑別數據保護	*	*
		鑑別失敗處理	a)	a)~b)
		安全管理角色	——	*
	安全審計	審計數據生成	a)~b)	a)~c)
		審計日誌管理功能	*	*
		可理解的格式	*	*
		防止審計數據丟失	*	*
	統計功能		a)	a)~b)
	遠程管理加密		*	*
安全保證要求	配置管理		*	+
	交付與運行		*	+
	開發		*	+
	指導性文檔		*	+
	生命週期支持		——	*
	測試		*	+
	脆弱性評定		*	+

表1（續）

安全技術要求		基本級	增強級
性能要求	HTTP吞吐量	*	*
	HTTP最大請求速率	*	*
	HTTP最大併發連接數	*	*

注：“*”表示具有該項要求，“——”表示不具有該項要求，“+”表示具有更高的要求。

參考文獻

GB 17859-1999 計算機信息系統安全保護等級劃分準則
GB/T 20271-2006 信息安全技術信息系統通用安全技術要求
GB/T 22239—2008 信息安全技術信息系統安全等級保護基本要求
GB/T 21028-2007 信息安全技術服務器安全技術要求
GB/T 20281—2006 信息安全技術防火牆技術要求和測試評價方法
GB/T 20275—2006 信息安全技術入侵檢測系統技術要求和測試評價方法
GB/T 18336.1-2008 信息技術安全技術信息技術安全性評估準則第1部分：簡介和一般模型
GB/T 18336.2-2008 信息技術安全技術信息技術安全性評估準則第2部分：安全功能要求
GB/T 18336.3-2008 信息技術安全技術信息技術安全性評估準則第3部分：安全保證要求
RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1
Common Methodology for Information Technology Security Evaluation（CCMB-2012-09-004, Version 3.1 Revision 4）

WEB應用防火牆安全技術要求與測試評價方法

Power Automate Desktop 安裝完，登錄後老是提示one driver 錯誤

再談23種設計模式（3）：行爲型模式（學習筆記）

微前端學習筆記(4):從微前端到微模塊之EMP與hel-micro方案探索

微前端學習筆記（1）：微前端總體架構概述，從微服務發微

985 碩士程序員，空窗 4 個月沒有 Offer！

一文搞懂 Spring 循環依賴

賽博鬥地主——使用大語言模型扮演Agent智能體玩牌類遊戲。

VScode右鍵打開(添加到右鍵)

記一次 .NET某工控視覺自動化系統卡死分析

WindowsServer--SQL Server搭建主從同步實現讀寫分離 - 事務性分發

owasp crs規則評分閾值調試記錄

一些優秀的waf開發攻防測試方案

nginx epoll與read write事件

DNS攻防說明

nginx日誌模塊ngx_http_log_module源碼分析

Mac下配置sublime實現LaTeX

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結