1
/
の
12
PayPal, credit cards. Download editable-PDF and invoice in 1 second!
GB/T 32917-2016 英語 PDF (GBT32917-2016)
GB/T 32917-2016 英語 PDF (GBT32917-2016)
通常価格
$620.00 USD
通常価格
セール価格
$620.00 USD
単価
/
あたり
配送料はチェックアウト時に計算されます。
受取状況を読み込めませんでした
配信: 3 秒。真の PDF + 請求書をダウンロードしてください。
1分で見積もりを取得: GB/T 32917-2016をクリック
過去のバージョン: GB/T 32917-2016
True-PDF をプレビュー(空白の場合は再読み込み/スクロール)
GB/T 32917-2016: 情報セキュリティ技術 - WEB アプリケーション ファイアウォールのセキュリティ技術要件とテストおよび評価アプローチ
32917-2016 国際電気標準会議 (IEC) 2016-2016
イギリス
国家標準の
中華人民共和国
ICS35.040
80 円
情報セキュリティ技術 - セキュリティ技術
要件とテストおよび評価のアプローチ
WEBアプリケーションファイアウォール用
発行日: 2016年8月29日
2017年3月1日に実施
発行元:国家品質監督検査総局
検疫;
中華人民共和国標準化管理局。
目次
序文…4
はじめに...5
1 スコープ...6
2 規範的参照... 6
3 用語、定義、略語... 6
3.1 用語と定義...6
3.2 略語...7
4 セキュリティ技術要件...7
4.1 基本レベル...7
4.1.1 セキュリティ機能要件...7
4.1.2 自己セキュリティ保護...10
4.1.3 セキュリティ保証要件...11
4.2 強化レベル...16
4.2.1 セキュリティ機能要件...16
4.2.2 自己セキュリティ保護...19
4.2.3 セキュリティ保証要件...21
4.3 パフォーマンス要件... 26
4.3.1 HTTPスループット...26
4.3.2 HTTP最大リクエストレート...27
4.3.3 同時HTTP接続の最大数...27
5 テスト評価方法...27
5.1 テスト環境...27
5.2 基本レベル...29
5.2.1 セキュリティ機能要件テストの評価方法...29
5.2.2 自己セキュリティ保護テストの評価方法...35
5.2.3 セキュリティ保証要件のテスト評価方法...40
5.3 強化レベル...49
5.3.1 セキュリティ機能要件のテスト評価方法...49
5.3.2 自己セキュリティ保護のテスト評価方法...56
5.3.3 セキュリティ保証要件のテスト評価方法...62
5.4 性能試験評価方法...72
5.4.1 HTTPスループット...72
5.4.2 HTTP最大リクエストレート...73
5.4.3 同時HTTP接続の最大数...73
6 WEBアプリケーションファイアウォールのセキュリティ技術要件の分類
... 74
参考文献...76
情報セキュリティ技術 - セキュリティ技術
要件とテストおよび評価のアプローチ
WEBアプリケーションファイアウォール用
1 範囲
この規格は、セキュリティ機能要件、自己セキュリティを規定する。
保護要件、パフォーマンス要件、セキュリティ保証
WEBアプリケーションファイアウォールの要件。対応するテストを提供します。
評価方法。
この規格は、以下の設計、製造、試験、調達に適用される。
WEB アプリケーション ファイアウォール。
2 規範的参照
この文書の申請には以下の文書が必須です。
日付の記載された文書については、日付が示されたバージョンのみが適用されます。
この文書にのみ適用されます。日付のない文書については、最新バージョン(
すべての修正がこの規格に適用されます。
GB/T 25069-2010 情報セキュリティ技術 - 用語集
3 用語、定義、略語
3.1 用語と定義
GB/T 25069-2010で定義されている用語と定義、および
この文書には以下の用語と定義が適用されます。
3.1.1
WEBアプリケーションファイアウォール
プロトコルとコンテンツを実行する情報セキュリティ製品です
WEBサーバーとWEBサーバーへのすべてのWEBサーバーアクセス要求をフィルタリングする
事前に定義されたフィルタリングルールとセキュリティ保護ルールに基づく応答、
これにより、WEBサーバとWEBサーバのセキュリティ保護機能を実現
b) アラームイベントを記録する。イベントの日時、一致するイベントの日付、
ルール、アラームイベントの説明など。
4.1.2 自己セキュリティ保護
4.1.2.1 識別と認証
4.1.2.1.1 一意の識別
権限のある管理者には固有のIDが付与され、同時に
承認された管理者のIDは、すべての
承認された管理者の監査可能なイベント。
4.1.2.1.2 アイデンティティ認証
セキュリティ機能に関連する操作を実行する前に、
権限のある管理者としての職務を遂行すると主張する管理者。
4.1.2.1.3 認証データ保護
認証データにアクセスしたり変更したりできないようにする必要があります。
許可なく。
4.1.2.1.4 認証失敗の処理
管理者が指定された認証回数に達しなかった場合
試みれば、彼はできるだろう。
a) セッションを終了します。
4.1.2.2 セキュリティ監査
4.1.2.2.1 監査データの生成
以下の監査ログが生成されます。
a) 全ての成功および失敗したWEBアクセスイベントについて、監査記録は
生成された監査ログの内容には、日付、時刻、IPアドレス、
要求されたURL、成功または失敗の識別、それぞれの一致ルール
イベント;
b) 管理者の成功と失敗の識別ログ、監査ログ
内容には、日付、時刻、IPアドレス、ユーザー名、成功または
各イベントの障害識別。
4.1.2.2.2 監査ログ管理機能
監査データのバックアップやクエリなどの管理機能は、
提供された。
b) 製品のセキュリティ機能のセキュリティドメインを一貫して記述する
セキュリティ機能要件を満たすこと。
c) 製品セキュリティ機能の初期化プロセスがなぜ必要なのか説明してください。
確保された;
d) 製品のセキュリティ機能が損害を防止できることを確認する。
e) 製品のセキュリティ機能がセキュリティ機能を防止できることを確認する
迂回されないようにする。
4.1.3.1.2 機能仕様
開発者は完全な機能仕様を提供しなければならない。機能仕様は
仕様は以下の要件を満たす必要があります。
a) 製品のセキュリティ機能について詳しく説明します。
b) すべてのセキュリティ機能インターフェースの目的と使用方法を説明します。
c) 各セキュリティ機能に関連するすべてのパラメータを特定し、説明する
インタフェース;
d) セキュリティ機能要件の実行動作を説明する
セキュリティ機能インターフェースに関連するもの。
e) セキュリティ機能によって発生した直接的なエラーメッセージを説明する
実装の動作と例外。
f) セキュリティ機能の要求のサポートと無関係な動作を説明する
セキュリティ機能インターフェースに関連するもの。
g) セキュリティ機能がセキュリティ機能へのトレーサビリティを必要とすることを確認する
インタフェース。
4.1.3.1.3 製品設計
開発者は製品設計文書を提供するものとする。製品設計
文書は以下の要件を満たす必要があります。
a) サブシステムに従って製品構造を記述する。
b) 製品セキュリティ機能のすべてのサブシステムを特定する。
c) セキュリティに関係のない各サブシステムの動作を説明する
機能要件を十分に詳細に説明し、それが関連していないことを判断します
セキュリティ機能要件に準拠
d) セキュリティ機能の要求サポートと無関係な動作を要約する
a) 配送された製品を安全に受け取るために必要なすべての手順を説明します。
開発者の納品手順に準拠していること。
b) 製品を安全に設置するために必要なすべての手順とその
動作環境。
4.1.3.3 ライフサイクルサポート
4.1.3.3.1 構成管理機能
開発者の構成管理能力は、以下の要件を満たす必要がある。
要件。
a) 製品の異なるバージョンに固有の識別情報を提供します。
b) 構成管理システムを使用してすべての構成を維持する
製品を構成する項目。構成項目を一意に識別します。
c) 方法を説明した構成管理ドキュメントを提供します...
1分で見積もりを取得: GB/T 32917-2016をクリック
過去のバージョン: GB/T 32917-2016
True-PDF をプレビュー(空白の場合は再読み込み/スクロール)
GB/T 32917-2016: 情報セキュリティ技術 - WEB アプリケーション ファイアウォールのセキュリティ技術要件とテストおよび評価アプローチ
32917-2016 国際電気標準会議 (IEC) 2016-2016
イギリス
国家標準の
中華人民共和国
ICS35.040
80 円
情報セキュリティ技術 - セキュリティ技術
要件とテストおよび評価のアプローチ
WEBアプリケーションファイアウォール用
発行日: 2016年8月29日
2017年3月1日に実施
発行元:国家品質監督検査総局
検疫;
中華人民共和国標準化管理局。
目次
序文…4
はじめに...5
1 スコープ...6
2 規範的参照... 6
3 用語、定義、略語... 6
3.1 用語と定義...6
3.2 略語...7
4 セキュリティ技術要件...7
4.1 基本レベル...7
4.1.1 セキュリティ機能要件...7
4.1.2 自己セキュリティ保護...10
4.1.3 セキュリティ保証要件...11
4.2 強化レベル...16
4.2.1 セキュリティ機能要件...16
4.2.2 自己セキュリティ保護...19
4.2.3 セキュリティ保証要件...21
4.3 パフォーマンス要件... 26
4.3.1 HTTPスループット...26
4.3.2 HTTP最大リクエストレート...27
4.3.3 同時HTTP接続の最大数...27
5 テスト評価方法...27
5.1 テスト環境...27
5.2 基本レベル...29
5.2.1 セキュリティ機能要件テストの評価方法...29
5.2.2 自己セキュリティ保護テストの評価方法...35
5.2.3 セキュリティ保証要件のテスト評価方法...40
5.3 強化レベル...49
5.3.1 セキュリティ機能要件のテスト評価方法...49
5.3.2 自己セキュリティ保護のテスト評価方法...56
5.3.3 セキュリティ保証要件のテスト評価方法...62
5.4 性能試験評価方法...72
5.4.1 HTTPスループット...72
5.4.2 HTTP最大リクエストレート...73
5.4.3 同時HTTP接続の最大数...73
6 WEBアプリケーションファイアウォールのセキュリティ技術要件の分類
... 74
参考文献...76
情報セキュリティ技術 - セキュリティ技術
要件とテストおよび評価のアプローチ
WEBアプリケーションファイアウォール用
1 範囲
この規格は、セキュリティ機能要件、自己セキュリティを規定する。
保護要件、パフォーマンス要件、セキュリティ保証
WEBアプリケーションファイアウォールの要件。対応するテストを提供します。
評価方法。
この規格は、以下の設計、製造、試験、調達に適用される。
WEB アプリケーション ファイアウォール。
2 規範的参照
この文書の申請には以下の文書が必須です。
日付の記載された文書については、日付が示されたバージョンのみが適用されます。
この文書にのみ適用されます。日付のない文書については、最新バージョン(
すべての修正がこの規格に適用されます。
GB/T 25069-2010 情報セキュリティ技術 - 用語集
3 用語、定義、略語
3.1 用語と定義
GB/T 25069-2010で定義されている用語と定義、および
この文書には以下の用語と定義が適用されます。
3.1.1
WEBアプリケーションファイアウォール
プロトコルとコンテンツを実行する情報セキュリティ製品です
WEBサーバーとWEBサーバーへのすべてのWEBサーバーアクセス要求をフィルタリングする
事前に定義されたフィルタリングルールとセキュリティ保護ルールに基づく応答、
これにより、WEBサーバとWEBサーバのセキュリティ保護機能を実現
b) アラームイベントを記録する。イベントの日時、一致するイベントの日付、
ルール、アラームイベントの説明など。
4.1.2 自己セキュリティ保護
4.1.2.1 識別と認証
4.1.2.1.1 一意の識別
権限のある管理者には固有のIDが付与され、同時に
承認された管理者のIDは、すべての
承認された管理者の監査可能なイベント。
4.1.2.1.2 アイデンティティ認証
セキュリティ機能に関連する操作を実行する前に、
権限のある管理者としての職務を遂行すると主張する管理者。
4.1.2.1.3 認証データ保護
認証データにアクセスしたり変更したりできないようにする必要があります。
許可なく。
4.1.2.1.4 認証失敗の処理
管理者が指定された認証回数に達しなかった場合
試みれば、彼はできるだろう。
a) セッションを終了します。
4.1.2.2 セキュリティ監査
4.1.2.2.1 監査データの生成
以下の監査ログが生成されます。
a) 全ての成功および失敗したWEBアクセスイベントについて、監査記録は
生成された監査ログの内容には、日付、時刻、IPアドレス、
要求されたURL、成功または失敗の識別、それぞれの一致ルール
イベント;
b) 管理者の成功と失敗の識別ログ、監査ログ
内容には、日付、時刻、IPアドレス、ユーザー名、成功または
各イベントの障害識別。
4.1.2.2.2 監査ログ管理機能
監査データのバックアップやクエリなどの管理機能は、
提供された。
b) 製品のセキュリティ機能のセキュリティドメインを一貫して記述する
セキュリティ機能要件を満たすこと。
c) 製品セキュリティ機能の初期化プロセスがなぜ必要なのか説明してください。
確保された;
d) 製品のセキュリティ機能が損害を防止できることを確認する。
e) 製品のセキュリティ機能がセキュリティ機能を防止できることを確認する
迂回されないようにする。
4.1.3.1.2 機能仕様
開発者は完全な機能仕様を提供しなければならない。機能仕様は
仕様は以下の要件を満たす必要があります。
a) 製品のセキュリティ機能について詳しく説明します。
b) すべてのセキュリティ機能インターフェースの目的と使用方法を説明します。
c) 各セキュリティ機能に関連するすべてのパラメータを特定し、説明する
インタフェース;
d) セキュリティ機能要件の実行動作を説明する
セキュリティ機能インターフェースに関連するもの。
e) セキュリティ機能によって発生した直接的なエラーメッセージを説明する
実装の動作と例外。
f) セキュリティ機能の要求のサポートと無関係な動作を説明する
セキュリティ機能インターフェースに関連するもの。
g) セキュリティ機能がセキュリティ機能へのトレーサビリティを必要とすることを確認する
インタフェース。
4.1.3.1.3 製品設計
開発者は製品設計文書を提供するものとする。製品設計
文書は以下の要件を満たす必要があります。
a) サブシステムに従って製品構造を記述する。
b) 製品セキュリティ機能のすべてのサブシステムを特定する。
c) セキュリティに関係のない各サブシステムの動作を説明する
機能要件を十分に詳細に説明し、それが関連していないことを判断します
セキュリティ機能要件に準拠
d) セキュリティ機能の要求サポートと無関係な動作を要約する
a) 配送された製品を安全に受け取るために必要なすべての手順を説明します。
開発者の納品手順に準拠していること。
b) 製品を安全に設置するために必要なすべての手順とその
動作環境。
4.1.3.3 ライフサイクルサポート
4.1.3.3.1 構成管理機能
開発者の構成管理能力は、以下の要件を満たす必要がある。
要件。
a) 製品の異なるバージョンに固有の識別情報を提供します。
b) 構成管理システムを使用してすべての構成を維持する
製品を構成する項目。構成項目を一意に識別します。
c) 方法を説明した構成管理ドキュメントを提供します...
共有
