标准解读

《GA/T 1107-2013 信息安全技术 Web应用安全扫描产品安全技术要求》这一标准,由中华人民共和国公安部发布,旨在为Web应用安全扫描产品的功能、性能及安全性等方面设立统一的技术规范和测试准则。该标准详细规定了Web应用安全扫描产品应满足的安全技术要求,以确保这些产品能够有效地帮助用户识别并管理Web应用程序中的安全漏洞和风险。以下是该标准主要内容的概览:

  1. 范围与适用对象:标准明确了其适用范围是针对Web应用安全扫描产品的设计、研发、测试及应用,旨在指导此类产品的安全技术实现,提高其检测Web应用安全漏洞的准确性和效率。

  2. 术语和定义:首先定义了一系列关键术语,如“Web应用安全扫描”、“安全漏洞”、“攻击向量”等,为后续技术要求的阐述提供清晰的概念基础。

  3. 安全功能要求

    • 漏洞检测能力:要求产品能有效识别常见的Web安全漏洞,如SQL注入、跨站脚本(XSS)、权限绕过等。
    • 认证与会话管理:应能评估Web应用的登录机制和会话处理是否存在安全弱点。
    • 配置与代码审查:需具备检查Web服务器、应用服务器及应用程序代码中不安全配置的能力。
    • 报告与管理:生成详细的扫描报告,包括发现的漏洞详情、风险等级及修复建议,并支持结果的导出与管理。

  4. 性能要求:强调产品在执行扫描任务时的效率,包括扫描速度、资源占用、并发处理能力及稳定性等。

  5. 安全性与可靠性:规定产品自身应具有高安全性,防止被恶意利用作为攻击跳板,同时确保扫描过程中不会对目标系统造成不必要的影响或损害。

  6. 用户界面与操作性:要求产品提供友好的用户界面,便于操作和理解扫描结果,以及配置扫描策略和参数。

  7. 合规性与互操作性:鼓励产品遵循相关的国际国内安全标准,并与其他安全管理系统兼容,便于集成到更广泛的信息安全管理体系中。

  8. 测试与评估方法:提供了对产品进行符合性测试的具体指导原则和评估指标,确保产品满足上述各项要求。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2013-10-15 颁布
  • 2013-10-15 实施
©正版授权
GA/T 1107-2013信息安全技术web应用安全扫描产品安全技术要求_第1页
GA/T 1107-2013信息安全技术web应用安全扫描产品安全技术要求_第2页
GA/T 1107-2013信息安全技术web应用安全扫描产品安全技术要求_第3页
GA/T 1107-2013信息安全技术web应用安全扫描产品安全技术要求_第4页
免费预览已结束,剩余16页可下载查看

下载本文档

免费下载试读页

文档简介

ICS35240

A90.

中华人民共和国公共安全行业标准

GA/T1107—2013

信息安全技术

web应用安全扫描产品安全技术要求

Informationsecuritytechnology—

Securitytechnicalrequirementsforwebapplicationsecurityscanningproducts

2013-10-15发布2013-10-15实施

中华人民共和国公安部发布

GA/T1107—2013

目次

前言…………………………

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

缩略语……………………

42

安全功能要求……………

53

性能要求…………………

65

自身安全功能要求………………………

75

安全保证要求……………

87

等级划分要求……………

910

GA/T1107—2013

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由公安部网络安全保卫局提出

本标准由公安部信息系统安全标准化技术委员会归口

本标准起草单位公安部计算机信息系统安全产品质量监督检验中心杭州安恒信息技术有限公

:、

司中联绿盟信息技术北京有限公司北京国舜科技有限公司上海天泰网络技术有限公司

、()、、。

本标准主要起草人俞优张艳沈亮顾健陆臻杨元原李毅范渊邹春明张笑笑顾建新

:、、、、、、、、、、、

宋好好孙小平李晨姜强程胜年

、、、、。

GA/T1107—2013

信息安全技术

web应用安全扫描产品安全技术要求

1范围

本标准规定了应用安全扫描产品的安全功能要求性能要求自身安全功能要求安全保证要

web、、、

求及等级划分要求

本标准适用于应用安全扫描产品的设计开发及检测

web、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机信息系统安全保护等级划分准则

GB17859—1999

信息技术安全技术信息技术安全性评估准则第部分安全保证

GB/T18336.3—20083:

要求

信息安全技术术语

GB/T25069—2010

3术语和定义

和界定的以及下列术语和定义适用

GB17859—1999、GB/T18336.3—2008GB/T25069—2010

于本文件

31

.

web应用安全扫描产品webapplicationsecurityscanningproduct

一种扫描发现系统应用层安全漏洞的产品能够依据策略对应用系统进行发现并

web,webURL

扫描对发现的安全漏洞提出相应的改进意见

,。

32

.

web应用webapplication

由动态脚本编译过的代码等组合而成的应用通常架设在服务器上用户在浏览器上发

、,web,web

送请求这些请求使用协议经过网络和应用交互由应用和后台的数据库及其他动

,HTTP,web,web

态内容通信

33

.

URL发现URLdetection

通过访问一个发现通过该能够链接到的其他的过程能够发现的包括在

URL,URLURL

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论