GB/T 37931-2019信息安全技術(shù)Web應(yīng)用安全檢測系統(tǒng)安全技術(shù)要求和測試評(píng)價(jià)方法

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T37931—2019

信息安全技術(shù)Web應(yīng)用安全檢測

系統(tǒng)安全技術(shù)要求和測試評(píng)價(jià)方法

Informationsecuritytechnology—Securitytechnologyrequirementsandtesting

andevaluationapproachesforWebapplicationsecuritydetectionsystem

2019-08-30發(fā)布2020-03-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T37931—2019

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………1

產(chǎn)品描述

5…………………2

安全技術(shù)要求

6……………2

基本級(jí)安全技術(shù)要求

6.1………………2

安全功能要求

6.1.1…………………2

自身安全要求

6.1.2…………………4

安全保障要求

6.1.3…………………5

增強(qiáng)級(jí)安全技術(shù)要求

6.2………………7

安全功能要求

6.2.1…………………7

自身安全要求

6.2.2…………………10

安全保障要求

6.2.3…………………12

測評(píng)方法

7…………………14

基本級(jí)安全技術(shù)要求測評(píng)

7.1…………14

安全功能測評(píng)

7.1.1…………………14

自身安全測評(píng)

7.1.2…………………19

安全保障要求測評(píng)

7.1.3……………22

增強(qiáng)級(jí)安全技術(shù)要求測評(píng)

7.2…………25

安全功能測評(píng)

7.2.1…………………25

自身安全測評(píng)

7.2.2…………………32

安全保障要求測評(píng)

7.2.3……………35

Ⅰ

GB/T37931—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位公安部第三研究所公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心國家信

:()、

息技術(shù)安全研究中心杭州安恒信息技術(shù)股份有限公司網(wǎng)神信息技術(shù)北京股份有限公司北京神州

、、()、

綠盟科技有限公司上海天泰網(wǎng)絡(luò)技術(shù)有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司浙江省電子信息

、、、

產(chǎn)品檢驗(yàn)所上海嘉韋思信息技術(shù)有限公司國家電網(wǎng)公司

、、。

本標(biāo)準(zhǔn)主要起草人俞優(yōu)賈徽徽楊元原陸臻鄒春明顧健萬仁忠李冰方進(jìn)社紀(jì)崇廉李蒙

:、、、、、、、、、、、

劉楠張君沈亮范淵吳云坤葉曉虎程勝年雷曉鋒孫小平王志佳金?？⊥鮽ハ蛑勤w建飛

、、、、、、、、、、、、、、

鄧琦曲曉東唐迪孟亞豪馬海燕楊灼其蔡立軍李靜舒首衡吳舜劉永清連紀(jì)文

、、、、、、、、、、、。

Ⅲ

GB/T37931—2019

信息安全技術(shù)Web應(yīng)用安全檢測

系統(tǒng)安全技術(shù)要求和測試評(píng)價(jià)方法

1范圍

本標(biāo)準(zhǔn)規(guī)定了應(yīng)用安全檢測系統(tǒng)的安全技術(shù)要求測評(píng)方法及等級(jí)劃分

Web、。

本標(biāo)準(zhǔn)適用于應(yīng)用安全檢測系統(tǒng)的設(shè)計(jì)開發(fā)與測評(píng)

Web、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第部分安全保障組件

GB/T18336.3—20153:

信息安全技術(shù)術(shù)語

GB/T25069—2010

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用于本文件

GB/T18336.3—2015GB/T25069—2010。

31

.

Web應(yīng)用安全檢測系統(tǒng)Webapplicationsecuritydetectionsystem

對(duì)應(yīng)用的安全性進(jìn)行檢測的產(chǎn)品能夠依據(jù)策略對(duì)應(yīng)用進(jìn)行發(fā)現(xiàn)并對(duì)應(yīng)用

Web,WebURL,Web

漏洞進(jìn)行檢測

。

32

.

URL發(fā)現(xiàn)URLdiscovery

從一個(gè)開始發(fā)現(xiàn)通過該能夠鏈接到的其他包括在網(wǎng)頁中出現(xiàn)的完整的

URL,URLURL,URL、

通過各種計(jì)算得出的各種跳轉(zhuǎn)的等

URL、URL。

33

.