建议项目名称
(中文)
|
云WEB应用防火墙能力要求
|
建议项目名称
(英文)
|
Cloud WEB application firewall capability requirements
|
制定或修订
|
■制定 □修订
|
被修订标准号
|
|
采用程度
|
□IDT □MOD □NEQ
|
采标号
|
|
国际标准名称
(中文)
|
|
国际标准名称
(英文)
|
|
采用快速程序
|
□FTP
|
快速程序代码
|
□B □C
|
ICS分类号
|
35.240
|
中国标准分类号
|
L67
|
牵头单位
|
中国信息通信研究院
|
体系编号
|
S-03-01-08-01-02
|
参与单位
|
阿里云计算有限公司,中国电信集团有限公司,中国移动通信集团有限公司,华为云计算技术有限公司,腾讯云计算(北京)有限责任公司,深信服科技股份有限公司,北京天融信网络安全技术有限公司,北京火山引擎科技有限公司,北京金山云网络技术有限公司,浪潮云信息技术股份公司,杭州安恒信息技术股份有限公司,北京百度网讯科技有限公司
|
完成周期(月)
|
22
|
目的、意义
或必要性
|
当前,数字化浪潮席卷而来,数字化安全风险愈加突出。企业信息化建设步伐加快的同时,应用安全也面临多重威胁。新型攻击方式层出不穷,导致传统WEB应用防火墙可靠性降低。不仅如此,WEB漏洞也更加难以鉴别。它们不易发现,不易防护,当攻击者实行违规操作时,传统防护工具很难进行区分。对于企业而言,安全风险已经成为吞噬利润的最大潜在威胁。WEB应用防火墙是保障应用层安全的重要产品之一,而云WEB应用防火墙则是其中重要的组成部分,也是未来发展趋势。
WEB应用防火墙(Web Application Firewall,WAF)发展已日趋成熟,应用广泛。近年来,国内提出并运用云WAF的厂商逐渐增多,用户无需在自身网络中安装软件程序或部署硬件设备,在不改变自身网络拓扑的情况下去抵御网络中的攻击。因此建立一套统一的应用能力要求标准,对于规范和提高云WEB应用防火墙的能力有非常现实的意义。
|
范围和主要
技术内容
|
文件规定了云WEB应用防火墙的能力要求,云WAF能力要求由服务接入、安全防护、通用安全能力三个维度构成。安全防护包含核心安全防护要求、拓展安全防护要求、安全管理三个部分;通用安全能力包含身份安全、数据安全、平台安全能力三个部分。
本文件适用于云WEB应用防火墙的设计者在设计和开发阶段、用户在选择和采购阶段提供规范以及第三方评估机构对云WEB应用防火墙评估阶段提供依据。
|
国内外情况
简要说明
|
国外尚无专门对云WEB应用防火墙能力要求的的相关标准。
国内,GB/T 20281-2020为信息安全技术防护墙安全技术要求和测试评价方法,GB/T 32917-2016为信息安全技术WEB应用防火墙安全技术要求与测试评价方法。YD/T 2443-2013为防火墙设备能效参数和测试方法。国内目前暂无有关云WEB应用防火墙能力的针对性标准。
|
备注
|
|
牵头单位
|
(签字、盖公章)
月 日
|
标准化技术组织
|
(签字、盖公章)
月 日
|
部委托机构
|
(签字、盖公章)
月 日
|
|