標準解讀

《GA/T 1107-2013 信息安全技術(shù) Web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求》這一標準,由中華人民共和國公安部發(fā)布,旨在為Web應(yīng)用安全掃描產(chǎn)品的功能、性能及安全性等方面設(shè)立統(tǒng)一的技術(shù)規(guī)范和測試準則。該標準詳細規(guī)定了Web應(yīng)用安全掃描產(chǎn)品應(yīng)滿足的安全技術(shù)要求,以確保這些產(chǎn)品能夠有效地幫助用戶識別并管理Web應(yīng)用程序中的安全漏洞和風(fēng)險。以下是該標準主要內(nèi)容的概覽:

  1. 范圍與適用對象:標準明確了其適用范圍是針對Web應(yīng)用安全掃描產(chǎn)品的設(shè)計、研發(fā)、測試及應(yīng)用,旨在指導(dǎo)此類產(chǎn)品的安全技術(shù)實現(xiàn),提高其檢測Web應(yīng)用安全漏洞的準確性和效率。

  2. 術(shù)語和定義:首先定義了一系列關(guān)鍵術(shù)語,如“Web應(yīng)用安全掃描”、“安全漏洞”、“攻擊向量”等,為后續(xù)技術(shù)要求的闡述提供清晰的概念基礎(chǔ)。

  3. 安全功能要求

    • 漏洞檢測能力:要求產(chǎn)品能有效識別常見的Web安全漏洞,如SQL注入、跨站腳本(XSS)、權(quán)限繞過等。
    • 認證與會話管理:應(yīng)能評估Web應(yīng)用的登錄機制和會話處理是否存在安全弱點。
    • 配置與代碼審查:需具備檢查Web服務(wù)器、應(yīng)用服務(wù)器及應(yīng)用程序代碼中不安全配置的能力。
    • 報告與管理:生成詳細的掃描報告,包括發(fā)現(xiàn)的漏洞詳情、風(fēng)險等級及修復(fù)建議,并支持結(jié)果的導(dǎo)出與管理。

  4. 性能要求:強調(diào)產(chǎn)品在執(zhí)行掃描任務(wù)時的效率,包括掃描速度、資源占用、并發(fā)處理能力及穩(wěn)定性等。

  5. 安全性與可靠性:規(guī)定產(chǎn)品自身應(yīng)具有高安全性,防止被惡意利用作為攻擊跳板,同時確保掃描過程中不會對目標系統(tǒng)造成不必要的影響或損害。

  6. 用戶界面與操作性:要求產(chǎn)品提供友好的用戶界面,便于操作和理解掃描結(jié)果,以及配置掃描策略和參數(shù)。

  7. 合規(guī)性與互操作性:鼓勵產(chǎn)品遵循相關(guān)的國際國內(nèi)安全標準,并與其他安全管理系統(tǒng)兼容,便于集成到更廣泛的信息安全管理體系中。

  8. 測試與評估方法:提供了對產(chǎn)品進行符合性測試的具體指導(dǎo)原則和評估指標,確保產(chǎn)品滿足上述各項要求。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2013-10-15 頒布
  • 2013-10-15 實施
?正版授權(quán)
GA/T 1107-2013信息安全技術(shù)web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求_第1頁
GA/T 1107-2013信息安全技術(shù)web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求_第2頁
GA/T 1107-2013信息安全技術(shù)web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求_第3頁
GA/T 1107-2013信息安全技術(shù)web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求_第4頁
免費預(yù)覽已結(jié)束,剩余16頁可下載查看

下載本文檔

GA/T 1107-2013信息安全技術(shù)web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求-免費下載試讀頁

文檔簡介

ICS35240

A90.

中華人民共和國公共安全行業(yè)標準

GA/T1107—2013

信息安全技術(shù)

web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求

Informationsecuritytechnology—

Securitytechnicalrequirementsforwebapplicationsecurityscanningproducts

2013-10-15發(fā)布2013-10-15實施

中華人民共和國公安部發(fā)布

GA/T1107—2013

目次

前言…………………………

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

縮略語……………………

42

安全功能要求……………

53

性能要求…………………

65

自身安全功能要求………………………

75

安全保證要求……………

87

等級劃分要求……………

910

GA/T1107—2013

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由公安部網(wǎng)絡(luò)安全保衛(wèi)局提出

本標準由公安部信息系統(tǒng)安全標準化技術(shù)委員會歸口

。

本標準起草單位公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心杭州安恒信息技術(shù)有限公

:、

司中聯(lián)綠盟信息技術(shù)北京有限公司北京國舜科技有限公司上海天泰網(wǎng)絡(luò)技術(shù)有限公司

、()、、。

本標準主要起草人俞優(yōu)張艷沈亮顧健陸臻楊元原李毅范淵鄒春明張笑笑顧建新

:、、、、、、、、、、、

宋好好孫小平李晨姜強程勝年

、、、、。

GA/T1107—2013

信息安全技術(shù)

web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求

1范圍

本標準規(guī)定了應(yīng)用安全掃描產(chǎn)品的安全功能要求性能要求自身安全功能要求安全保證要

web、、、

求及等級劃分要求

。

本標準適用于應(yīng)用安全掃描產(chǎn)品的設(shè)計開發(fā)及檢測

web、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機信息系統(tǒng)安全保護等級劃分準則

GB17859—1999

信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第部分安全保證

GB/T18336.3—20083:

要求

信息安全技術(shù)術(shù)語

GB/T25069—2010

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用

GB17859—1999、GB/T18336.3—2008GB/T25069—2010

于本文件

。

31

.

web應(yīng)用安全掃描產(chǎn)品webapplicationsecurityscanningproduct

一種掃描發(fā)現(xiàn)系統(tǒng)應(yīng)用層安全漏洞的產(chǎn)品能夠依據(jù)策略對應(yīng)用系統(tǒng)進行發(fā)現(xiàn)并

web,webURL

掃描對發(fā)現(xiàn)的安全漏洞提出相應(yīng)的改進意見

,。

32

.

web應(yīng)用webapplication

由動態(tài)腳本編譯過的代碼等組合而成的應(yīng)用通常架設(shè)在服務(wù)器上用戶在瀏覽器上發(fā)

、,web,web

送請求這些請求使用協(xié)議經(jīng)過網(wǎng)絡(luò)和應(yīng)用交互由應(yīng)用和后臺的數(shù)據(jù)庫及其他動

,HTTP,web,web

態(tài)內(nèi)容通信

。

33

.

URL發(fā)現(xiàn)URLdetection

通過訪問一個發(fā)現(xiàn)通過該能夠鏈接到的其他的過程能夠發(fā)現(xiàn)的包括在

URL,URLURL

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論