| 标准编号 | GA/T 1107-2013 (GA/T1107-2013) | | 中文名称 | 信息安全技术 web应用安全扫描产品安全技术要求 | | 英文名称 | Information security technology. Security technical requirements for web application security scanning products | | 行业 | 公安行业标准 (推荐) | | 中标分类 | A90 | | 国际标准分类 | 35.240 | | 字数估计 | 15,198 | | 引用标准 | GB 17859-1999; GB/T 18336.3-2008; GB/T 25069-2010 | | 标准依据 | 行业标准备案公告2014年第4号(总第172号) | | 发布机构 | 公安部 | | 范围 | 本标准规定了web应用安全扫描产品的安全功能、性能要求、自身安全功能要求、安全保证要求及等级划分要求。本标准适用于web应用安全扫描产品的设计、开发及检测。 | GA/T 1107-2013
Information security technology.Security technical requirements for web application security scanning products
ICS 35.240
A90
中华人民共和国公共安全行业标准
信息安全技术
web应用安全扫描产品安全技术要求
2013-10-15发布
2013-10-15实施
中华人民共和国公安部 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 安全功能要求 3
6 性能要求 5
7 自身安全功能要求 5
8 安全保证要求 7
9 等级划分要求 10
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由公安部网络安全保卫局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、杭州安恒信息技术有限公
司、中联绿盟信息技术(北京)有限公司、北京国舜科技有限公司、上海天泰网络技术有限公司。
本标准主要起草人:俞优、张艳、沈亮、顾健、陆臻、杨元原、李毅、范渊、邹春明、张笑笑、顾建新、
宋好好、孙小平、李晨、姜强、程胜年。
信息安全技术
web应用安全扫描产品安全技术要求
1 范围
本标准规定了web应用安全扫描产品的安全功能要求、性能要求、自身安全功能要求、安全保证要
求及等级划分要求。
本标准适用于web应用安全扫描产品的设计、开发及检测。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证
要求
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB 17859-1999、GB/T 18336.3-2008和GB/T 25069-2010界定的以及下列术语和定义适用
于本文件。
3.1
一种扫描发现web系统应用层安全漏洞的产品,能够依据策略对web应用系统进行URL发现并
扫描,对发现的安全漏洞提出相应的改进意见。
3.2
web应用 webapplication
由动态脚本、编译过的代码等组合而成的应用,通常架设在web服务器上,用户在web浏览器上发
送请求,这些请求使用HTTP协议,经过网络和web应用交互,由web应用和后台的数据库及其他动
态内容通信。
3.3
URL发现 URLdetection
通过访问一个URL,发现通过该URL能够链接到的其他URL的过程,能够发现的URL包括在
网页中出现的完整的URL、通过各种计算得出的URL、各种跳转的URL等。
3.4
web服务 webse......
|