《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法-编制说明》

1工作简况

1.1任务来源

2014年，经国标委批准，全国信息安全标准化技术委员会

（SAC/TC260）主任办公会讨论通过，研究制定《信息安全技术Web

应用安全检测系统安全技术要求和测试评价方法》国家标准。该项目

由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委

员会归口，由杭州安恒信息技术有限公司负责主办。

1.2协作单位

在接到《信息安全技术Web应用安全检测系统安全技术要求和

测试评价方法》标准的任务后，杭州安恒信息技术有限公司立即与各

生产Web检测系统的厂商进行沟通，并得到了多家业内知名厂商的积

极参与和反馈。最终确定由公安部计算机信息系统安全产品质量监督

检验中心、上海天泰网络技术有限公司等单位作为标准编制协作单

位。

1.3主要工作过程

1.3.1成立编制组

2014年接到标准编制任务之后，立即组建标准编制组，开始标准

草案的起草工作。编制项目组主要成员：孙小平、俞优、陆臻、金海

俊、曹玉珍、张笑笑等等。

1

1.3.2制定工作计划

编制组首先制定了编制工作计划，并确定了编制组人员例会安排

以便及时沟通交流工作情况。

1.3.3参考资料

该标准编制过程中，主要参考了：

•GB/T5271.8-2001信息系统词汇第8部分：安全

•GB17859-1999计算机信息系统安全保护划分准则

•GB/T18336.3－2015信息技术安全技术信息技术安全性评

估准则第3部分：安全保障组件

•GB/T20271-2006信息安全技术信息系统通用安全技术要求

•GB/T22239-2008信息安全技术信息系统安全等级保护基本

要求

•GA/T1107-2013信息安全技术Web应用安全扫描产品安全技

术要求

1.3.4确定编制内容

经编制组研究决定，以原行标内容为理论基础，以Web应用安全

检测为研究目标，以GB17859-1999《计算机信息系统安全保护等级

划分准则》和GB/T18336-2008《信息技术安全技术信息技术安全

性评估准则》为主要参考依据，完成《信息安全技术Web应用安全

检测系统安全技术要求和测试评价方法》标准的编制工作。

1.3.5编制工作简要过程

2

按照项目进度要求，编制组人员首先对所参阅的产品、文档以及

标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完

成对提纲进行交流和修改的基础上，开始具体的编制工作。

2014年12月-2015年2月，相关人员调研该类产品的现状情况，

为标准的编制积累素材；3月，在前期调研和工作积累的基础上，我

司组织有关人员成立标准编制小组，对标准编制工作进行了任务分

配，并完成了草案（第一稿）的编制，主要由“安全技术要求”（安

全功能要求、自身安全功能要求、性能要求）、“测试评价方法”、“安

全保障要求”、“等级划分要求”组成。

2015年3月，编制组以意见征求会形式邀请绿盟科技、知道创宇

等厂商进行现场征求意见，编制组认真分析并及时采纳了建议，形成

了草案（第二稿）。

2015年6月，WG5工作组在北京召开了标准项目检查会，与会专

家对本标准进行了认真审议，并提出了相关意见和建议。编制组根据

专家意见进行修改完善。草案（第三稿）

2016年5月，编制组以邮件形式征求了北京安域领创科技有限公

司、北京神州绿盟信息安全科技股份有限公司等厂商的意见，编制组

及时对意见进行了处理，形成了草案（第四稿）。

2016年8月，编制组在北京以研讨会形式邀请中国安全防范产品

行业协会、公安部网络安全保卫局、中国信息安全认证中心、国家信

息技术安全研究中心、中国科学院信息工程研究所、国家信息中心、

阿里巴巴（北京）软件服务有限公司、中科信息安全共性技术国家工

3

程研究中心有限公司、北京天融信科技股份有限公司、中软信息系统

工程有限公司、中新网络信息安全股份有限公司、国际商业机器（中

国）有限公司等单位的专家进行现场征求意见，根据反馈意见，修改

了标准文本中有歧义的地方，形成了草案（第五稿）。

2016年8月，通过WG5秘书处，向成员单位广泛征求意见，并根

据反馈意见进行了修改，主要包括增加Web应用安全检测系统结构和

描述等，形成了草案（第六稿）。

2016年8月，WG5工作组在北京召开在研标准推进会，编制组汇

报了标准内容及编制进度，并根据专家意见，完善了“漏洞检测”的

类型，补充了漏洞定义，形成了草案（第七稿）。

2016年9月，WG5工作组完成组内投票，编制组根据意见完善并

形成征求意见稿（第一稿）。

1.3.6起草人及其工作

标准编制组具体由孙小平、俞优、陆臻、金海俊、曹玉珍、张笑

笑等人组成。孙小平全面负责标准编制工作，包括制定工作计划、确

定编制内容和整体进度、人员的安排；俞优和金海俊主要负责标准的

前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编

制说明的编写等工作；张笑笑负责标准校对审核等工作；陆臻主要负

责标准编制过程中的各项技术支持和整体指导。

2标准主要内容

2.1编制原则

4

为使标准内容从一开始就与国家标准保持一致，本标准的编写参

考了其他国家有关标准，主要有GB/T17859-1999、GB/T20271-2006、

GB/T22239-2008和GB/T18336-2008。

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。

具体原则与要求如下：

1）先进性

标准是先进经验的总结，同时也是技术的发展趋势。目前，我国

Web应用安全检测系统产品种类繁多，功能良莠不齐，要制定出先进

的产品国家标准，必须参考国内外先进技术和标准，吸收其精华，才

能制定出具有先进水平的标准。本标准的编写始终遵循这一原则。

2）实用性

标准必须是可用的，才有实际意义，因此本标准的编写是在对国

内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，

广泛了解了市场上主流产品的功能，吸收其精华，制定出符合我国国

情的、可操作性强的标准。

3）兼容性

本标准既要与国际接轨，更要与我国现有的政策、法规、标准、

规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容

符合我国已经发布的有关政策、法律和法规。

2.2编制思路

为贴合该类产品的技术特点，编制组以Web安全检测技术和Web

安全漏洞为研究内容，深入分析Web应用安全检测系统的技术特点，

5

通过标准编制研究、验证，明确了产品的定义，提出了科学的安全功

能和性能要求，对于产品功能组件的描述尽可能做到清晰、明确。标

准安全功能产生的流程详见下图：

图1安全功能产生的流程图

2.3标准内容

2.3.1主要结构

本标准的编写格式和方法按照GB/T1.1-2000《标准化工作导则

第一部分：标准的结构和编写规则》的要求。

标准主要分为“范围”、“规范性引用文件”、“术语和定义”、“缩

略语”、“安全技术要求”和“测试评价方法”共6个部分。中，关于

Web应用安全检测系统的具体要求，本标准分为3大类，分别是“产

品安全功能要求”、“性能要求”和“安全保障要求”。

2.3.2主要内容

范围、标准引用、术语定义和缩略语

该部分定义该标准适应的范围，所引用的其它标准情况，及以何

种方式引用。术语和定义明确了该标准所涉及的一些术语。“缩略语”

6

定义了该标准所涉及的缩略语。

在术语中主要明确了“Web应用安全检测系统”、“Web应用”、

“Web服务”、“漏报率”、“误报率”、“URL发现”以及常见Web应

用漏洞的相关概念。

Web应用安全检测系统描述

Web应用安全检测系统的目的是为帮助用户充分了解Web应用

存在的安全隐患，从而改善并提升应用系统抵抗各类Web应用攻击

的能力（如：注入攻击、跨站脚本、文件包含、信息泄漏和网页木马

等），以此建立安全可靠的Web应用服务。Web应用安全检测系统架

构如图2所示：

图2Web应用安全检测系统架构图

1）检测模块

系统核心模块。扫描开始后，向扫描引擎发送指令，扫描选中对

象目标，收集正确的扫描信息，同时可以把扫描引擎返回的扫描结果

展示给用户。

2）报表管理

对扫描结果进行分析处理，提供详细的检测扫描报告，对所有漏

洞进行详尽描述，以及相应的修复和改进建议。

7

3）策略管理

提供Web应用安全检测系统的策略库，能够按照漏洞类型、类别

和危害程度等进行分类。同时，可支持漏洞策略的自定义扩展。

4）用户管理

对系统的用户角色和权限进行分配管理。

5）任务设置

用以创建和定制扫描任务，能够按照计划任务启动扫描，可进行

扫描暂停、重新扫描和移除扫描任务等操作。

6）系统设置

对系统进行设置，包括系统安全设置、更新管理和络链接设置等。

实际部署时，Web应用安全检测系统部署时仅需保持与目标Web

应用系统网络上可达，图3是Web应用安全检测系统的一个典型运

行环境。

图3Web应用安全检测系统典型运行环境

技术要求

8

本标准将Web应用安全检测系统安全技术要求分为安全功能、安

全保障和性能要求三个大类。其中，安全功能要求是对Web应用安全

检测系统应具备的安全功能提出具体要求，包括扫描能力、扫描配置

管理、扫描结果分析处理、标识和鉴别、安全管理和审计日志等要求；

安全保障要求针对Web应用安全检测系统的开发和使用文档的内容

提出具体的要求，例如交付和运行、开发、测试和指导性文档等；性

能要求则是对Web应用安全检测系统应达到的性能指标作出规定，包

括误报率、漏报率和URL发现率。

此外，标准按照Web应用安全检测系统安全功能的强度划分安全

功能要求的级别，参照GB/T18336.3-2015划分安全保障要求的级别。

安全等级分为基本级和增强级，安全功能强弱和安全保障要求高低是

等级划分的具体依据。安全等级突出安全特性，性能要求不作为等级

划分依据。

一、安全功能要求

安全功能要求主要对产品实现的功能进行了要求。主要包括扫

描能力、扫描配置管理、扫描结果分析处理、互动性要求、标识与鉴

别、安全管理和审计日志等功能。

表1安全功能要求等级划分表

安全功能基本级增强级

资源发现**

漏洞检测***

扫描能力变形检测——*

状态检测***

内容检测——*

9

安全功能基本级增强级

升级能力***

支持SSL应用**

WebService支持——*

对目标系统的影响**

向导功能**

扫描范围***

登陆扫描**

策略选择***

扫描配置管理扫描策略

策略扩展——*

扫描速度***

任务定制***

稳定性和容错性***

结果验证——**

结果保存**

扫描结果分析

统计分析**

处理

报告生成***

报告输出**

互动性要求——*

属性定义**

用户标识属性初始化**

唯一性标识**

标识与鉴别用户鉴别**

鉴别数据保护**

身份鉴别

鉴别失败处理——*

超时锁定或注销——*

安全管理功能**

安全角色管理***

安全管理数据完整性——*

远程安全传输**

可信管理主机——*

审计日志生成***

审计日志审计日志的保存**

审计日志管理**

注：“*”表示具有该要求，“**”表示要求有所增强，“——”表示不适用。

10

二、安全保障要求

该部分对产品的开发和使用文档的内容进行了要求，包括开发、

指导性文档、生命周期支持、测试和脆弱性评定。

表2安全保障要求分级说明

安全保障要求基本级增强级

安全架构**

功能规范***

开发

实现表示——*

产品设计***

操作用户指南**

指导性文档

准备程序**

配置管理能力***

配置管理范围***

交付程序**

生命周期支持

开发安全——*

生命周期定义——*

工具和技术——*

覆盖***

深度——*

测试

功能测试**

独立测试**

脆弱性评定***

三、性能要求

主要对产品的性能方面进行了要求，主要包括：误报率、漏报率、

URL发现率。

测试评价方法

主要规定了针对技术要求的测试与评价方法。

2.4编制的背景和意义

11

随着网络技术及其应用的快速发展，Web作为网络应用的主要载

体，Web应用逐渐成为主流，广泛应用于各种业务系统中。然而传统

操作系统日益成熟化，利用系统漏洞越来越困难，攻击者的目标也逐

渐转向于应用漏洞，于是各种各样的Web应用安全性成为了焦点。根

据Gattner的数据分析，80%基于Web的应用或多或少都存在安全问

题，其中很大一部分是相当严重的问题，Web应用安全已超过所有以

前网络层安全，逐渐成为最严重，最广泛，危害性最大的安全问题，

严重影响了人们对Web应用的信心。

目前常见的攻击技术有SQL注入、钓鱼攻击等，基于Web应用的

攻击可以给提供或接受Web应用服务者造成如下伤害：

1、泄漏客户敏感数据，例如：网银帐号，手机通话记录等；

2、篡改数据，发布虚假信息或者进行交易欺诈；

3、使Web网站成为钓鱼攻击的平台，将攻击扩大到所有访问

Web应用的用户。如：网银成为了钓鱼的场所，将直接危害网

银用户的帐户安全；

4、拒绝服务，利用应用的弱点，造成拒绝服务，影响业务的

正常运作；

……

Web应用系统的安全性越来越引起人们的高度关注，由此市场上

出现了Web应用安全检测系统。该类产品通过分析发现可被入侵者利

用的Web程序漏洞，帮助应用开发者和管理者了解应用系统存在的脆

弱性，为改善并提高应用系统安全性提供依据，帮助用户建立安全、

12

可靠的Web应用服务。

产品实现的原理：通过在httprequest中插入测试用例的方法

实现应用攻击，并通过分析httpresponse判断该应用是否存在相

应的漏洞。

图4工作原理图

Web应用扫描市场处于上升阶段，如何保证Web应用系统的安全

性，且更符合产品实际需求及行业发展，迫切需要一个更加完善的标

准来规范该类产品；该标准的制定可以完善相应类别