本规范由中华人民共和国公安部公共信息网络安全监察局提出。

本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。

公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。

信息技术Web过滤防护产品安全检验规范

1 范围

本规范规定了信息技术-Web过滤防护产品的安全功能要求和保证要求。

本规范适用于信息技术-Web过滤防护产品的生产及检测。

2 术语和定义

2.1 Web过滤防护

Web过滤防护是一个Web服务器上的软件。它可以过滤任何客户端对Web服务器的HTTP请求，并使用预先定义的规则允许和禁止其连接，防护Web服务器。

3 信息技术-Web过滤防护的安全功能

3.1 HTTP请求的过滤功能

3.1.1 允许/禁止HTTP各种请求

应能够根据HTTP的请求类型允许或者禁止。

3.1.2 HTTP协议头各个字段的长度

对HTTP协议头的各部分长度进行设置，防止缓冲区溢出攻击。

3.1.3 URL关键字过滤

对所请求的URL中所包含的关键字进行过滤。

3.1.4 后缀名过滤

对所请求的WEB服务器文件后缀名进行过滤

3.1.5 禁止WEB服务器的返回内容

对WEB服务器返回的内容进行过滤

3.1.6 所支持的网站类型

至少能够支持静态网站，以及ASP、PHP、JSP等动态网站中的两个及以上

3.2 管理及审计功能

3.2.1 过滤规则库管理

3.2.1.1 用户能根据3.1中的格式规定添加、删除、修改自定义过滤规则。

3.2.1.2 具有一定的设置好的初始模板。

3.2.2 安全属性的设置

管理员能够设置所有安全相关的属性

3.2.3 审计数据生成

a) 审计应包括所有被过滤的事件

b) 每个事件发生的日期、时间，对方IP地址，所请求的URL，所匹配的规则

3.2.4 日志清空

应提供对审计事件的清空功能

3.2.5 可理解的格式

所有审计事件能被理解

3.2.6防止审计数据丢失

日志信息应存储在永久性存储介质中等

4 Web过滤防护产品的保证要求

4.1 交付和运行

4.1.1交付过程

4.1.1.1 开发者行为元素：

a) 开发者应将把Web过滤防护产品及其部分交付给用户的程序文档化；

b) 开发者应使用交付程序。

4.1.1.2 证据元素的内容和表示

交付文档应描述，在给用户方分配Web过滤防护产品的版本时，用以维护安全所必需的所有程序。

4.1.2 安装、生成和启动程序

4.1.2.1 开发者行为元素

开发者应将Web过滤防护产品安全地安装、生成和启动所必需

[1] [2] 下一页