GB/T 37931-2019信息安全技術Web應用安全檢測系統(tǒng)安全技術要求和測試評價方法

ICS35040

L80.

中華人民共和國國家標準

GB/T37931—2019

信息安全技術Web應用安全檢測

系統(tǒng)安全技術要求和測試評價方法

Informationsecuritytechnology—Securitytechnologyrequirementsandtesting

andevaluationapproachesforWebapplicationsecuritydetectionsystem

2019-08-30發(fā)布2020-03-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T37931—2019

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

產品描述

5…………………2

安全技術要求

6……………2

基本級安全技術要求

6.1………………2

安全功能要求

6.1.1…………………2

自身安全要求

6.1.2…………………4

安全保障要求

6.1.3…………………5

增強級安全技術要求

6.2………………7

安全功能要求

6.2.1…………………7

自身安全要求

6.2.2…………………10

安全保障要求

6.2.3…………………12

測評方法

7…………………14

基本級安全技術要求測評

7.1…………14

安全功能測評

7.1.1…………………14

自身安全測評

7.1.2…………………19

安全保障要求測評

7.1.3……………22

增強級安全技術要求測評

7.2…………25

安全功能測評

7.2.1…………………25

自身安全測評

7.2.2…………………32

安全保障要求測評

7.2.3……………35

Ⅰ

GB/T37931—2019

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第三研究所公安部計算機信息系統(tǒng)安全產品質量監(jiān)督檢驗中心國家信

:()、

息技術安全研究中心杭州安恒信息技術股份有限公司網神信息技術北京股份有限公司北京神州

、、()、

綠盟科技有限公司上海天泰網絡技術有限公司北京天融信網絡安全技術有限公司浙江省電子信息

、、、

產品檢驗所上海嘉韋思信息技術有限公司國家電網公司

、、。

本標準主要起草人俞優(yōu)賈徽徽楊元原陸臻鄒春明顧健萬仁忠李冰方進社紀崇廉李蒙

:、、、、、、、、、、、

劉楠張君沈亮范淵吳云坤葉曉虎程勝年雷曉鋒孫小平王志佳金?？⊥鮽ハ蛑勤w建飛

、、、、、、、、、、、、、、

鄧琦曲曉東唐迪孟亞豪馬海燕楊灼其蔡立軍李靜舒首衡吳舜劉永清連紀文

、、、、、、、、、、、。

Ⅲ

GB/T37931—2019

信息安全技術Web應用安全檢測

系統(tǒng)安全技術要求和測試評價方法

1范圍

本標準規(guī)定了應用安全檢測系統(tǒng)的安全技術要求測評方法及等級劃分

Web、。

本標準適用于應用安全檢測系統(tǒng)的設計開發(fā)與測評

Web、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息技術安全評估準則第部分安全保障組件

GB/T18336.3—20153:

信息安全技術術語

GB/T25069—2010

3術語和定義

和界定的以及下列術語和定義適用于本文件

GB/T18336.3—2015GB/T25069—2010。

31

.

Web應用安全檢測系統(tǒng)Webapplicationsecuritydetectionsystem

對應用的安全性進行檢測的產品能夠依據(jù)策略對應用進行發(fā)現(xiàn)并對應用

Web,WebURL,Web

漏洞進行檢測

。

32

.

URL發(fā)現(xiàn)URLdiscovery

從一個開始發(fā)現(xiàn)通過該能夠鏈接到的其他包括在網頁中出現(xiàn)的完整的

URL,URLURL,URL、

通過各種計算得出的各種跳轉的等

URL、URL。

33

.