《信息安全技術(shù) Web應(yīng)用安全檢測系統(tǒng)安全技術(shù)要求和測試評價方法-編制說明》

1工作簡況

1.1任務(wù)來源

2014年，經(jīng)國標委批準，全國信息安全標準化技術(shù)委員會

（SAC/TC260）主任辦公會討論通過，研究制定《信息安全技術(shù)Web

應(yīng)用安全檢測系統(tǒng)安全技術(shù)要求和測試評價方法》國家標準。該項目

由全國信息安全標準化技術(shù)委員會提出，全國信息安全標準化技術(shù)委

員會歸口，由杭州安恒信息技術(shù)有限公司負責(zé)主辦。

1.2協(xié)作單位

在接到《信息安全技術(shù)Web應(yīng)用安全檢測系統(tǒng)安全技術(shù)要求和

測試評價方法》標準的任務(wù)后，杭州安恒信息技術(shù)有限公司立即與各

生產(chǎn)Web檢測系統(tǒng)的廠商進行溝通，并得到了多家業(yè)內(nèi)知名廠商的積

極參與和反饋。最終確定由公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督

檢驗中心、上海天泰網(wǎng)絡(luò)技術(shù)有限公司等單位作為標準編制協(xié)作單

位。

1.3主要工作過程

1.3.1成立編制組

2014年接到標準編制任務(wù)之后，立即組建標準編制組，開始標準

草案的起草工作。編制項目組主要成員：孫小平、俞優(yōu)、陸臻、金海

俊、曹玉珍、張笑笑等等。

1

1.3.2制定工作計劃

編制組首先制定了編制工作計劃，并確定了編制組人員例會安排

以便及時溝通交流工作情況。

1.3.3參考資料

該標準編制過程中，主要參考了：

?GB/T5271.8-2001信息系統(tǒng)詞匯第8部分：安全

?GB17859-1999計算機信息系統(tǒng)安全保護劃分準則

?GB/T18336.3－2015信息技術(shù)安全技術(shù)信息技術(shù)安全性評

估準則第3部分：安全保障組件

?GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求

?GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本

要求

?GA/T1107-2013信息安全技術(shù)Web應(yīng)用安全掃描產(chǎn)品安全技

術(shù)要求

1.3.4確定編制內(nèi)容

經(jīng)編制組研究決定，以原行標內(nèi)容為理論基礎(chǔ)，以Web應(yīng)用安全

檢測為研究目標，以GB17859-1999《計算機信息系統(tǒng)安全保護等級

劃分準則》和GB/T18336-2008《信息技術(shù)安全技術(shù)信息技術(shù)安全

性評估準則》為主要參考依據(jù)，完成《信息安全技術(shù)Web應(yīng)用安全

檢測系統(tǒng)安全技術(shù)要求和測試評價方法》標準的編制工作。

1.3.5編制工作簡要過程

2

按照項目進度要求，編制組人員首先對所參閱的產(chǎn)品、文檔以及

標準進行反復(fù)閱讀與理解，查閱有關(guān)資料，編寫標準編制提綱，在完

成對提綱進行交流和修改的基礎(chǔ)上，開始具體的編制工作。

2014年12月-2015年2月，相關(guān)人員調(diào)研該類產(chǎn)品的現(xiàn)狀情況，

為標準的編制積累素材；3月，在前期調(diào)研和工作積累的基礎(chǔ)上，我

司組織有關(guān)人員成立標準編制小組，對標準編制工作進行了任務(wù)分

配，并完成了草案（第一稿）的編制，主要由“安全技術(shù)要求”（安

全功能要求、自身安全功能要求、性能要求）、“測試評價方法”、“安

全保障要求”、“等級劃分要求”組成。

2015年3月，編制組以意見征求會形式邀請綠盟科技、知道創(chuàng)宇

等廠商進行現(xiàn)場征求意見，編制組認真分析并及時采納了建議，形成

了草案（第二稿）。

2015年6月，WG5工作組在北京召開了標準項目檢查會，與會專

家對本標準進行了認真審議，并提出了相關(guān)意見和建議。編制組根據(jù)

專家意見進行修改完善。草案（第三稿）

2016年5月，編制組以郵件形式征求了北京安域領(lǐng)創(chuàng)科技有限公

司、北京神州綠盟信息安全科技股份有限公司等廠商的意見，編制組

及時對意見進行了處理，形成了草案（第四稿）。

2016年8月，編制組在北京以研討會形式邀請中國安全防范產(chǎn)品

行業(yè)協(xié)會、公安部網(wǎng)絡(luò)安全保衛(wèi)局、中國信息安全認證中心、國家信

息技術(shù)安全研究中心、中國科學(xué)院信息工程研究所、國家信息中心、

阿里巴巴（北京）軟件服務(wù)有限公司、中科信息安全共性技術(shù)國家工

3

程研究中心有限公司、北京天融信科技股份有限公司、中軟信息系統(tǒng)

工程有限公司、中新網(wǎng)絡(luò)信息安全股份有限公司、國際商業(yè)機器（中

國）有限公司等單位的專家進行現(xiàn)場征求意見，根據(jù)反饋意見，修改

了標準文本中有歧義的地方，形成了草案（第五稿）。

2016年8月，通過WG5秘書處，向成員單位廣泛征求意見，并根

據(jù)反饋意見進行了修改，主要包括增加Web應(yīng)用安全檢測系統(tǒng)結(jié)構(gòu)和

描述等，形成了草案（第六稿）。

2016年8月，WG5工作組在北京召開在研標準推進會，編制組匯

報了標準內(nèi)容及編制進度，并根據(jù)專家意見，完善了“漏洞檢測”的

類型，補充了漏洞定義，形成了草案（第七稿）。

2016年9月，WG5工作組完成組內(nèi)投票，編制組根據(jù)意見完善并

形成征求意見稿（第一稿）。

1.3.6起草人及其工作

標準編制組具體由孫小平、俞優(yōu)、陸臻、金?？?、曹玉珍、張笑

笑等人組成。孫小平全面負責(zé)標準編制工作，包括制定工作計劃、確

定編制內(nèi)容和整體進度、人員的安排；俞優(yōu)和金?？≈饕撠?zé)標準的

前期調(diào)研、現(xiàn)狀分析、標準各版本的編制、意見匯總的討論處理、編

制說明的編寫等工作；張笑笑負責(zé)標準校對審核等工作；陸臻主要負

責(zé)標準編制過程中的各項技術(shù)支持和整體指導(dǎo)。

2標準主要內(nèi)容

2.1編制原則

4

為使標準內(nèi)容從一開始就與國家標準保持一致，本標準的編寫參

考了其他國家有關(guān)標準，主要有GB/T17859-1999、GB/T20271-2006、

GB/T22239-2008和GB/T18336-2008。

本標準符合我國的實際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。

具體原則與要求如下：

1）先進性

標準是先進經(jīng)驗的總結(jié)，同時也是技術(shù)的發(fā)展趨勢。目前，我國

Web應(yīng)用安全檢測系統(tǒng)產(chǎn)品種類繁多，功能良莠不齊，要制定出先進

的產(chǎn)品國家標準，必須參考國內(nèi)外先進技術(shù)和標準，吸收其精華，才

能制定出具有先進水平的標準。本標準的編寫始終遵循這一原則。

2）實用性

標準必須是可用的，才有實際意義，因此本標準的編寫是在對國

內(nèi)外標準的相關(guān)技術(shù)內(nèi)容消化、吸收的基礎(chǔ)上，結(jié)合我國的實際情況，

廣泛了解了市場上主流產(chǎn)品的功能，吸收其精華，制定出符合我國國

情的、可操作性強的標準。

3）兼容性

本標準既要與國際接軌，更要與我國現(xiàn)有的政策、法規(guī)、標準、

規(guī)范等相一致。編制組在對標準起草過程中始終遵循此原則，其內(nèi)容

符合我國已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。

2.2編制思路

為貼合該類產(chǎn)品的技術(shù)特點，編制組以Web安全檢測技術(shù)和Web

安全漏洞為研究內(nèi)容，深入分析Web應(yīng)用安全檢測系統(tǒng)的技術(shù)特點，

5

通過標準編制研究、驗證，明確了產(chǎn)品的定義，提出了科學(xué)的安全功

能和性能要求，對于產(chǎn)品功能組件的描述盡可能做到清晰、明確。標

準安全功能產(chǎn)生的流程詳見下圖：

圖1安全功能產(chǎn)生的流程圖

2.3標準內(nèi)容

2.3.1主要結(jié)構(gòu)

本標準的編寫格式和方法按照GB/T1.1-2000《標準化工作導(dǎo)則

第一部分：標準的結(jié)構(gòu)和編寫規(guī)則》的要求。

標準主要分為“范圍”、“規(guī)范性引用文件”、“術(shù)語和定義”、“縮

略語”、“安全技術(shù)要求”和“測試評價方法”共6個部分。中，關(guān)于

Web應(yīng)用安全檢測系統(tǒng)的具體要求，本標準分為3大類，分別是“產(chǎn)

品安全功能要求”、“性能要求”和“安全保障要求”。

2.3.2主要內(nèi)容

范圍、標準引用、術(shù)語定義和縮略語

該部分定義該標準適應(yīng)的范圍，所引用的其它標準情況，及以何

種方式引用。術(shù)語和定義明確了該標準所涉及的一些術(shù)語。“縮略語”

6

定義了該標準所涉及的縮略語。

在術(shù)語中主要明確了“Web應(yīng)用安全檢測系統(tǒng)”、“Web應(yīng)用”、

“Web服務(wù)”、“漏報率”、“誤報率”、“URL發(fā)現(xiàn)”以及常見Web應(yīng)

用漏洞的相關(guān)概念。

Web應(yīng)用安全檢測系統(tǒng)描述

Web應(yīng)用安全檢測系統(tǒng)的目的是為幫助用戶充分了解Web應(yīng)用

存在的安全隱患，從而改善并提升應(yīng)用系統(tǒng)抵抗各類Web應(yīng)用攻擊

的能力（如：注入攻擊、跨站腳本、文件包含、信息泄漏和網(wǎng)頁木馬

等），以此建立安全可靠的Web應(yīng)用服務(wù)。Web應(yīng)用安全檢測系統(tǒng)架

構(gòu)如圖2所示：

圖2Web應(yīng)用安全檢測系統(tǒng)架構(gòu)圖

1）檢測模塊

系統(tǒng)核心模塊。掃描開始后，向掃描引擎發(fā)送指令，掃描選中對

象目標，收集正確的掃描信息，同時可以把掃描引擎返回的掃描結(jié)果

展示給用戶。

2）報表管理

對掃描結(jié)果進行分析處理，提供詳細的檢測掃描報告，對所有漏

洞進行詳盡描述，以及相應(yīng)的修復(fù)和改進建議。

7

3）策略管理

提供Web應(yīng)用安全檢測系統(tǒng)的策略庫，能夠按照漏洞類型、類別

和危害程度等進行分類。同時，可支持漏洞策略的自定義擴展。

4）用戶管理

對系統(tǒng)的用戶角色和權(quán)限進行分配管理。

5）任務(wù)設(shè)置

用以創(chuàng)建和定制掃描任務(wù)，能夠按照計劃任務(wù)啟動掃描，可進行

掃描暫停、重新掃描和移除掃描任務(wù)等操作。

6）系統(tǒng)設(shè)置

對系統(tǒng)進行設(shè)置，包括系統(tǒng)安全設(shè)置、更新管理和絡(luò)鏈接設(shè)置等。

實際部署時，Web應(yīng)用安全檢測系統(tǒng)部署時僅需保持與目標Web

應(yīng)用系統(tǒng)網(wǎng)絡(luò)上可達，圖3是Web應(yīng)用安全檢測系統(tǒng)的一個典型運

行環(huán)境。

圖3Web應(yīng)用安全檢測系統(tǒng)典型運行環(huán)境

技術(shù)要求

8

本標準將Web應(yīng)用安全檢測系統(tǒng)安全技術(shù)要求分為安全功能、安

全保障和性能要求三個大類。其中，安全功能要求是對Web應(yīng)用安全

檢測系統(tǒng)應(yīng)具備的安全功能提出具體要求，包括掃描能力、掃描配置

管理、掃描結(jié)果分析處理、標識和鑒別、安全管理和審計日志等要求；

安全保障要求針對Web應(yīng)用安全檢測系統(tǒng)的開發(fā)和使用文檔的內(nèi)容

提出具體的要求，例如交付和運行、開發(fā)、測試和指導(dǎo)性文檔等；性

能要求則是對Web應(yīng)用安全檢測系統(tǒng)應(yīng)達到的性能指標作出規(guī)定，包

括誤報率、漏報率和URL發(fā)現(xiàn)率。

此外，標準按照Web應(yīng)用安全檢測系統(tǒng)安全功能的強度劃分安全

功能要求的級別，參照GB/T18336.3-2015劃分安全保障要求的級別。

安全等級分為基本級和增強級，安全功能強弱和安全保障要求高低是

等級劃分的具體依據(jù)。安全等級突出安全特性，性能要求不作為等級

劃分依據(jù)。

一、安全功能要求

安全功能要求主要對產(chǎn)品實現(xiàn)的功能進行了要求。主要包括掃

描能力、掃描配置管理、掃描結(jié)果分析處理、互動性要求、標識與鑒

別、安全管理和審計日志等功能。

表1安全功能要求等級劃分表

安全功能基本級增強級

資源發(fā)現(xiàn)**

漏洞檢測***

掃描能力變形檢測——*

狀態(tài)檢測***

內(nèi)容檢測——*

9

安全功能基本級增強級

升級能力***

支持SSL應(yīng)用**

WebService支持——*

對目標系統(tǒng)的影響**

向?qū)Чδ?*

掃描范圍***

登陸掃描**

策略選擇***

掃描配置管理掃描策略

策略擴展——*

掃描速度***

任務(wù)定制***

穩(wěn)定性和容錯性***

結(jié)果驗證——**

結(jié)果保存**

掃描結(jié)果分析

統(tǒng)計分析**

處理

報告生成***

報告輸出**

互動性要求——*

屬性定義**

用戶標識屬性初始化**

唯一性標識**

標識與鑒別用戶鑒別**

鑒別數(shù)據(jù)保護**

身份鑒別

鑒別失敗處理——*

超時鎖定或注銷——*

安全管理功能**

安全角色管理***

安全管理數(shù)據(jù)完整性——*

遠程安全傳輸**

可信管理主機——*

審計日志生成***

審計日志審計日志的保存**

審計日志管理**

注：“*”表示具有該要求，“**”表示要求有所增強，“——”表示不適用。

10

二、安全保障要求

該部分對產(chǎn)品的開發(fā)和使用文檔的內(nèi)容進行了要求，包括開發(fā)、

指導(dǎo)性文檔、生命周期支持、測試和脆弱性評定。

表2安全保障要求分級說明

安全保障要求基本級增強級

安全架構(gòu)**

功能規(guī)范***

開發(fā)

實現(xiàn)表示——*

產(chǎn)品設(shè)計***

操作用戶指南**

指導(dǎo)性文檔

準備程序**

配置管理能力***

配置管理范圍***

交付程序**

生命周期支持

開發(fā)安全——*

生命周期定義——*

工具和技術(shù)——*

覆蓋***

深度——*

測試

功能測試**

獨立測試**

脆弱性評定***

三、性能要求

主要對產(chǎn)品的性能方面進行了要求，主要包括：誤報率、漏報率、

URL發(fā)現(xiàn)率。

測試評價方法

主要規(guī)定了針對技術(shù)要求的測試與評價方法。

2.4編制的背景和意義

11

隨著網(wǎng)絡(luò)技術(shù)及其應(yīng)用的快速發(fā)展，Web作為網(wǎng)絡(luò)應(yīng)用的主要載

體，Web應(yīng)用逐漸成為主流，廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)中。然而傳統(tǒng)

操作系統(tǒng)日益成熟化，利用系統(tǒng)漏洞越來越困難，攻擊者的目標也逐

漸轉(zhuǎn)向于應(yīng)用漏洞，于是各種各樣的Web應(yīng)用安全性成為了焦點。根

據(jù)Gattner的數(shù)據(jù)分析，80%基于Web的應(yīng)用或多或少都存在安全問

題，其中很大一部分是相當嚴重的問題，Web應(yīng)用安全已超過所有以

前網(wǎng)絡(luò)層安全，逐漸成為最嚴重，最廣泛，危害性最大的安全問題，

嚴重影響了人們對Web應(yīng)用的信心。

目前常見的攻擊技術(shù)有SQL注入、釣魚攻擊等，基于Web應(yīng)用的

攻擊可以給提供或接受Web應(yīng)用服務(wù)者造成如下傷害：

1、泄漏客戶敏感數(shù)據(jù)，例如：網(wǎng)銀帳號，手機通話記錄等；

2、篡改數(shù)據(jù)，發(fā)布虛假信息或者進行交易欺詐；

3、使Web網(wǎng)站成為釣魚攻擊的平臺，將攻擊擴大到所有訪問

Web應(yīng)用的用戶。如：網(wǎng)銀成為了釣魚的場所，將直接危害網(wǎng)

銀用戶的帳戶安全；

4、拒絕服務(wù)，利用應(yīng)用的弱點，造成拒絕服務(wù)，影響業(yè)務(wù)的

正常運作；

……

Web應(yīng)用系統(tǒng)的安全性越來越引起人們的高度關(guān)注，由此市場上

出現(xiàn)了Web應(yīng)用安全檢測系統(tǒng)。該類產(chǎn)品通過分析發(fā)現(xiàn)可被入侵者利

用的Web程序漏洞，幫助應(yīng)用開發(fā)者和管理者了解應(yīng)用系統(tǒng)存在的脆

弱性，為改善并提高應(yīng)用系統(tǒng)安全性提供依據(jù)，幫助用戶建立安全、

12

可靠的Web應(yīng)用服務(wù)。

產(chǎn)品實現(xiàn)的原理：通過在httprequest中插入測試用例的方法

實現(xiàn)應(yīng)用攻擊，并通過分析httpresponse判斷該應(yīng)用是否存在相

應(yīng)的漏洞。

圖4工作原理圖

Web應(yīng)用掃描市場處于上升階段，如何保證Web應(yīng)用系統(tǒng)的安全

性，且更符合產(chǎn)品實際需求及行業(yè)發(fā)展，迫切需要一個更加完善的標

準來規(guī)范該類產(chǎn)品；該標準的制定可以完善相應(yīng)類別