1.編制背景

1.1項目背景

隨著網絡與信息技術的發展，尤其是互聯網的廣泛普及和應用，越來越多的政府、

企業組織建立了依賴于網絡的業務信息系統，比如電子政務、電子商務、網上銀行、

網絡辦公等；互聯網企業提供給用戶各類WEB應用服務，如提供信息發布、信息搜索、

電子購物、網上游戲等業務，提供了極大的便利。

與此同時，信息安全的重要性也在不斷提升。近年來，政府、企業各類組織所面

臨的WEB應用安全問題越來越復雜，安全威脅正在飛速增長，尤其混合威脅的風險，

如黑客攻擊、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、WEB應用安全漏洞利用等，

給組織的信息網絡和核心業務造成嚴重的破壞。能否及時發現并成功阻止網絡黑客的

入侵和攻擊、保證WEB應用系統的安全和正常運行成為政府、企業所面臨的一個重要

問題。

傳統的網絡安全設備如安全網關、入侵檢測、防病毒、抗DoS攻擊設備、各種

VPN設備等等，由于針對不同的網絡安全問題，很難形成完善的防護網，且這些產品

的很多功能又存在著冗余，往往造成處理性能和響應速度的下降。

以上這些都為WEB應用防火墻類產品帶來了廣泛的應用需求，同時也對WEB應用

防火墻類產品的提供者提出了更高的要求。近年來WEB應用防火墻類產品的數量增長

迅速，市場不斷擴大。

為了規范WEB應用防火墻的研發和應用，《信息安全技術WEB應用防火墻安全技

術要求與測試評價方法》，對國內的WEB應用防火墻提出統一的安全技術要求以及相

應的測試評價方法，使得國內的檢測機構根據該標準，能夠對WEB應用防火墻進行標

準化的測試和評價，從而保證測試評價結果的完整性和一致性；同時也可對WEB應用

防火墻的開發者提供指導作用。

為此，上海天泰網絡技術有限公司、公安部第三研究所、北京神州綠盟科技有限公司、

北京中軟華泰信息技術有限責任公司向全國信息安全標準化技術委員會（以下簡稱：安標委）

提交了《信息安全技術WEB應用防火墻安全技術要求與測試評價方法》的制訂申請。

1

1.2項目來源

安標委于2011年12月下達了《信息安全技術WEB應用防火墻安全技術要求與測試

評價方法》標準任務。

2.編制意義和目的

隨著用戶對WEB服務安全問題的重視程度不斷提升，WEB應用防火墻在全國范圍也

快速發展起來，涌現出一大批信息安全廠商研制開發的WEB應用防火墻產品。我中心從

2012年至今，一共檢測了30個國內外廠商的37個WEB應用防火墻產品。

本標準的制訂，將規范WEB應用防火墻產品的技術發展，幫助廠商更好的研制開發

WEB應用防火墻產品，幫助用戶更好的選擇WEB應用防火墻產品，促進WEB應用防火墻

產品市場的有序、健康發展。

3.編制依據和原則

3.1編制依據

《信息安全技術WEB應用防火墻安全技術要求與測試評價方法》在編制時，參考了多

個現行的國家標準、行業標準，同時結合了我國信息安全等級保護技術需求以及計算機安全

技術開發成果及產業狀況而撰寫完成的。

本標準引用或參考的標準有：

1)GB17859-1999計算機信息系統安全保護等級劃分準則

2)GB/T22239-2008信息安全技術信息系統安全等級保護基本技術要求

3)GB/T20271-2006信息安全技術信息系統通用安全技術要求

4)GB/T20272-2006信息安全技術操作系統安全技術要求

5)GB/T21028-2007信息安全技術服務器安全技術要求

6)GB/T20281—2006信息安全技術防火墻技術要求和測試評價方法

7)GB/T20275—2006信息安全技術入侵檢測系統技術要求和測試評價方法

2

8)GB/T18336.1-2008信息技術安全技術信息技術安全性評估準則第1部分：簡

介和一般模型

9)GB/T18336.2-2008信息技術安全技術信息技術安全性評估準則第2部分：安

全功能要求

10)GB/T18336.3-2008信息技術安全技術信息技術安全性評估準則第3部分：安

全保證要求

3.2編制原則

1）、全局性、系統性原則

本標準遵從等級保護體系的整體思路與方法，以《計算機信息系統安全保護等級劃分準

則》(GB17859-1999)為指導，以《信息安全技術信息系統通用安全技術要求》(GB/T

20271-2006)和《信息安全技術信息系統安全等級保護基本技術要求》（GB/T22239-2008）

為基礎和藍本，根據WEB應用防火墻技術特點和在整個信息系統中的角色定位，建立WEB

應用防火墻等級保護安全技術模型，由此確立各等級的安全技術要求和測試評價方法。

2）、適用性原則

本標準在清晰分析我國各行業的信息系統中WEB應用防火墻的安全技術現狀和實際需

求的基礎上，充分考慮我國相關廠商的產業化能力，提出合適的安全技術指標體系與內容，

使WEB應用防火墻廠商和WEB應用防火墻用戶能直接按標準實施相關操作，實現相關目標，

使標準真正發揮出實效。

3）、先進性原則

根據當前計算機安全技術與產業發展趨勢，構建WEB應用防火墻安全功能框架，進而形

成相應的安全功能技術要求與分等級安全技術要求。

4.編制過程說明

一、成立編制組

2012年1月，由公安部第三研究所、上海天泰網絡技術有限公司、北京神州綠盟科技

有限公司、北京中軟華泰信息技術有限責任公司聯合成立了《信息安全技術WEB應用防

3

火墻安全技術要求與測試評價方法》標準編制組，由4個單位的技術骨干組成，計10人。

二、制定工作計劃

按照項目計劃要求，標準編制組專門制定了工作計劃，并確定編制組人員例會機制。

采用的編制方式是：先會議集中討論，定思路和內容框架，然后分頭編寫內容，再集中

評議和修改內容，形成穩定版本后再向國內相關專家進行咨詢，聽取意見和修改文本。一直

按這種方式開展工作。

三、確定編制內容

經過標準編制組充分討論和醞釀，以等級保護相關標準為標準框架，根據實際檢測產品

的情況和我國目前WEB應用防火墻的實際安全水平，提出WEB應用防火墻的分等級安全

技術要求，然后根據技術要求建立相應測試評價方法。

四、編制工作簡要過程

1)2012年1月-6月，制訂了《信息安全技術WEB應用防火墻安全技術要求與測試

評價方法》（標準草案第一稿）；

2)2012年7月-12月，在標準編制組內部進行了多次討論，形成了標準草案第二稿；

3)2013年1月-6月，征求了國內比較大的廠商意見，根據反饋意見進行了修改完善，

形成了標準草案第三稿；

4)2013年6月17日，WG5工作組在北京召開了標準評審專家會，與會專家對本標

準進行了認真審議，并提出了相關意見和建議（詳見“意見匯總處理表”（一））。

經過與會專家的評審，評審組同意通過評審。編制組根據專家意見進行修改完善，

形成了征求意見稿第一稿。

5.標準內容構成

本標準包含兩部分，一部分是WEB應用防火墻的通用安全技術要求，用以指導設計者如

何設計和實現WEB應用防火墻，使其達到信息系統所需安全等級，主要從信息系統安全保

護等級劃分的角度來說明對WEB應用防火墻的通用安全技術要求，即主要說明WEB應用

防火墻為實現每一個保護等級的安全要求應采取的安全技術措施；另一部分是依據技術要

求，提出了具體的測試評價方法，用以指導評估者對各安全等級的WEB應用防火墻進行測

試和評估，同時也對WEB應用防火墻的開發者也提供指導作用。

4

然后針對上述每一級各安全功能點的技術要求內容，提出了相應的測試評價方法。對于

每一個測試評價項目，分為：測試評價方法、測試評價結果兩部分。

以下用表格形式列舉了不同等級的WEB應用防火墻的相關要求：

安全技術要求基本級增強級

允許/禁止HTTP請求類型**

HTTP協議頭各個字段的長度限制**

后綴名過濾**

HTTP過

支持多種編碼格式**

濾功能

識別和限制HTTP響應碼**

產品URL內容關鍵字過濾**

安全WEB服務器返回內容過濾**

功能安全防WEB應用防護功能**

要求護功能WEB攻擊防護功能a)~f)a)~i)

自定義錯誤頁面功能**

白名單功能——*

其他功

支持HTTPS——*

能

規則庫管理**

報警功能——*

唯一性標識**

身份鑒別**

標識與

鑒別數據保護**

鑒別

鑒別失敗處理a)a)~b)

自身安全管理角色——*

安全審計數據生成a)~b)a)~c)

保護安全審審計日志管理功能**

計可理解的格式**

防止審計數據丟失**

統計功能a)a)~b)

遠程管理加密**

HTTP吞吐量**

性能

HTTP最大請求速率**

要求

HTTP最大并發連接數**

配置管理*+

交付與運行*+

安全開發*+

保證指導性文檔*+

要求生命周期支持——*

測試*+

脆弱性評定*+

注：“*”表示具有該項要求，“——”表示不具有該項要求，“+”表示具有更高的要求。

5

7．與國外標準的關系

本標準的部分“安全功能要求”和“SSOTC設計和實現”引用了GB/T20271-2006的

相關要求。GB/T20271-2006大量采用了GB/T18336-2001（idtISO/IEC15408:1999，信息技

術安全技術