GB/T 37931-2019信息安全技术Web应用安全检测系统安全技术要求和测试评价方法

ICS35040

L80.

中华人民共和国国家标准

GB/T37931—2019

信息安全技术Web应用安全检测

系统安全技术要求和测试评价方法

Informationsecuritytechnology—Securitytechnologyrequirementsandtesting

andevaluationapproachesforWebapplicationsecuritydetectionsystem

2019-08-30发布2020-03-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T37931—2019

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………1

产品描述

5…………………2

安全技术要求

6……………2

基本级安全技术要求

6.1………………2

安全功能要求

6.1.1…………………2

自身安全要求

6.1.2…………………4

安全保障要求

6.1.3…………………5

增强级安全技术要求

6.2………………7

安全功能要求

6.2.1…………………7

自身安全要求

6.2.2…………………10

安全保障要求

6.2.3…………………12

测评方法

7…………………14

基本级安全技术要求测评

7.1…………14

安全功能测评

7.1.1…………………14

自身安全测评

7.1.2…………………19

安全保障要求测评

7.1.3……………22

增强级安全技术要求测评

7.2…………25

安全功能测评

7.2.1…………………25

自身安全测评

7.2.2…………………32

安全保障要求测评

7.2.3……………35

Ⅰ

GB/T37931—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位公安部第三研究所公安部计算机信息系统安全产品质量监督检验中心国家信

:()、

息技术安全研究中心杭州安恒信息技术股份有限公司网神信息技术北京股份有限公司北京神州

、、()、

绿盟科技有限公司上海天泰网络技术有限公司北京天融信网络安全技术有限公司浙江省电子信息

、、、

产品检验所上海嘉韦思信息技术有限公司国家电网公司

、、。

本标准主要起草人俞优贾徽徽杨元原陆臻邹春明顾健万仁忠李冰方进社纪崇廉李蒙

:、、、、、、、、、、、

刘楠张君沈亮范渊吴云坤叶晓虎程胜年雷晓锋孙小平王志佳金海俊王伟向智赵建飞

、、、、、、、、、、、、、、

邓琦曲晓东唐迪孟亚豪马海燕杨灼其蔡立军李静舒首衡吴舜刘永清连纪文

、、、、、、、、、、、。

Ⅲ

GB/T37931—2019

信息安全技术Web应用安全检测

系统安全技术要求和测试评价方法

1范围

本标准规定了应用安全检测系统的安全技术要求测评方法及等级划分

Web、。

本标准适用于应用安全检测系统的设计开发与测评

Web、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息技术安全评估准则第部分安全保障组件

GB/T18336.3—20153:

信息安全技术术语

GB/T25069—2010

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T18336.3—2015GB/T25069—2010。

31

.

Web应用安全检测系统Webapplicationsecuritydetectionsystem

对应用的安全性进行检测的产品能够依据策略对应用进行发现并对应用

Web,WebURL,Web

漏洞进行检测

。

32

.

URL发现URLdiscovery

从一个开始发现通过该能够链接到的其他包括在网页中出现的完整的

URL,URLURL,URL、

通过各种计算得出的各种跳转的等

URL、URL。

33

.