标准解读
《GB/T 37931-2019 信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》是由中国国家标准化管理委员会发布的一项国家标准,主要针对Web应用安全检测系统的功能、性能以及安全性等方面提出了具体的技术要求,并提供了相应的测试与评估方法。该标准旨在通过规范Web应用安全检测系统的设计、开发及使用过程中的各项指标,提高其对于Web应用程序中潜在安全漏洞的识别能力,从而增强整个网络环境的安全性。
在技术要求部分,标准详细列出了Web应用安全检测系统应具备的基本功能,包括但不限于:支持多种类型的Web应用架构;能够识别常见的Web攻击模式如SQL注入、跨站脚本(XSS)等;具备一定的自动化扫描能力以覆盖广泛的应用场景;同时还需提供详细的报告输出功能,以便用户了解检测结果并采取相应措施。此外,还强调了对被测系统的影响最小化原则,在不影响正常业务运行的前提下完成安全检查工作。
关于测试评价方法,《GB/T 37931-2019》给出了具体的实施步骤和技术手段,涵盖了从测试准备到最终形成报告的全过程。其中包括了对检测工具自身安全性的验证、基于不同应用场景下功能有效性测试、性能压力测试等多个方面。这些测试项目不仅考量了产品在实际部署时的表现,也对其长期稳定性和扩展能力进行了评估。
如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。
....
查看全部
- 现行
- 正在执行有效
- 2019-08-30 颁布
- 2020-03-01 实施
文档简介
ICS35040
L80.
中华人民共和国国家标准
GB/T37931—2019
信息安全技术Web应用安全检测
系统安全技术要求和测试评价方法
Informationsecuritytechnology—Securitytechnologyrequirementsandtesting
andevaluationapproachesforWebapplicationsecuritydetectionsystem
2019-08-30发布2020-03-01实施
国家市场监督管理总局发布
中国国家标准化管理委员会
GB/T37931—2019
目次
前言
…………………………Ⅲ
范围
1………………………1
规范性引用文件
2…………………………1
术语和定义
3………………1
缩略语
4……………………1
产品描述
5…………………2
安全技术要求
6……………2
基本级安全技术要求
6.1………………2
安全功能要求
6.1.1…………………2
自身安全要求
6.1.2…………………4
安全保障要求
6.1.3…………………5
增强级安全技术要求
6.2………………7
安全功能要求
6.2.1…………………7
自身安全要求
6.2.2…………………10
安全保障要求
6.2.3…………………12
测评方法
7…………………14
基本级安全技术要求测评
7.1…………14
安全功能测评
7.1.1…………………14
自身安全测评
7.1.2…………………19
安全保障要求测评
7.1.3……………22
增强级安全技术要求测评
7.2…………25
安全功能测评
7.2.1…………………25
自身安全测评
7.2.2…………………32
安全保障要求测评
7.2.3……………35
Ⅰ
GB/T37931—2019
前言
本标准按照给出的规则起草
GB/T1.1—2009。
本标准由全国信息安全标准化技术委员会提出并归口
(SAC/TC260)。
本标准起草单位公安部第三研究所公安部计算机信息系统安全产品质量监督检验中心国家信
:()、
息技术安全研究中心杭州安恒信息技术股份有限公司网神信息技术北京股份有限公司北京神州
、、()、
绿盟科技有限公司上海天泰网络技术有限公司北京天融信网络安全技术有限公司浙江省电子信息
、、、
产品检验所上海嘉韦思信息技术有限公司国家电网公司
、、。
本标准主要起草人俞优贾徽徽杨元原陆臻邹春明顾健万仁忠李冰方进社纪崇廉李蒙
:、、、、、、、、、、、
刘楠张君沈亮范渊吴云坤叶晓虎程胜年雷晓锋孙小平王志佳金海俊王伟向智赵建飞
、、、、、、、、、、、、、、
邓琦曲晓东唐迪孟亚豪马海燕杨灼其蔡立军李静舒首衡吴舜刘永清连纪文
、、、、、、、、、、、。
Ⅲ
GB/T37931—2019
信息安全技术Web应用安全检测
系统安全技术要求和测试评价方法
1范围
本标准规定了应用安全检测系统的安全技术要求测评方法及等级划分
Web、。
本标准适用于应用安全检测系统的设计开发与测评
Web、。
2规范性引用文件
下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件
。,()。
信息技术安全技术信息技术安全评估准则第部分安全保障组件
GB/T18336.3—20153:
信息安全技术术语
GB/T25069—2010
3术语和定义
和界定的以及下列术语和定义适用于本文件
GB/T18336.3—2015GB/T25069—2010。
31
.
Web应用安全检测系统Webapplicationsecuritydetectionsystem
对应用的安全性进行检测的产品能够依据策略对应用进行发现并对应用
Web,WebURL,Web
漏洞进行检测
。
32
.
URL发现URLdiscovery
从一个开始发现通过该能够链接到的其他包括在网页中出现的完整的
URL,URLURL,URL、
通过各种计算得出的各种跳转的等
URL、URL。
33
.
温馨提示
- 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
- 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
- 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。
评论
0/150
提交评论