標(biāo)準(zhǔn)解讀
《GA/T 1107-2013 信息安全技術(shù) Web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求》這一標(biāo)準(zhǔn),由中華人民共和國(guó)公安部發(fā)布,旨在為Web應(yīng)用安全掃描產(chǎn)品的功能、性能及安全性等方面設(shè)立統(tǒng)一的技術(shù)規(guī)范和測(cè)試準(zhǔn)則。該標(biāo)準(zhǔn)詳細(xì)規(guī)定了Web應(yīng)用安全掃描產(chǎn)品應(yīng)滿足的安全技術(shù)要求,以確保這些產(chǎn)品能夠有效地幫助用戶識(shí)別并管理Web應(yīng)用程序中的安全漏洞和風(fēng)險(xiǎn)。以下是該標(biāo)準(zhǔn)主要內(nèi)容的概覽:
-
范圍與適用對(duì)象:標(biāo)準(zhǔn)明確了其適用范圍是針對(duì)Web應(yīng)用安全掃描產(chǎn)品的設(shè)計(jì)、研發(fā)、測(cè)試及應(yīng)用,旨在指導(dǎo)此類產(chǎn)品的安全技術(shù)實(shí)現(xiàn),提高其檢測(cè)Web應(yīng)用安全漏洞的準(zhǔn)確性和效率。
-
術(shù)語(yǔ)和定義:首先定義了一系列關(guān)鍵術(shù)語(yǔ),如“Web應(yīng)用安全掃描”、“安全漏洞”、“攻擊向量”等,為后續(xù)技術(shù)要求的闡述提供清晰的概念基礎(chǔ)。
-
安全功能要求:
- 漏洞檢測(cè)能力:要求產(chǎn)品能有效識(shí)別常見(jiàn)的Web安全漏洞,如SQL注入、跨站腳本(XSS)、權(quán)限繞過(guò)等。
- 認(rèn)證與會(huì)話管理:應(yīng)能評(píng)估Web應(yīng)用的登錄機(jī)制和會(huì)話處理是否存在安全弱點(diǎn)。
- 配置與代碼審查:需具備檢查Web服務(wù)器、應(yīng)用服務(wù)器及應(yīng)用程序代碼中不安全配置的能力。
- 報(bào)告與管理:生成詳細(xì)的掃描報(bào)告,包括發(fā)現(xiàn)的漏洞詳情、風(fēng)險(xiǎn)等級(jí)及修復(fù)建議,并支持結(jié)果的導(dǎo)出與管理。
-
性能要求:強(qiáng)調(diào)產(chǎn)品在執(zhí)行掃描任務(wù)時(shí)的效率,包括掃描速度、資源占用、并發(fā)處理能力及穩(wěn)定性等。
-
安全性與可靠性:規(guī)定產(chǎn)品自身應(yīng)具有高安全性,防止被惡意利用作為攻擊跳板,同時(shí)確保掃描過(guò)程中不會(huì)對(duì)目標(biāo)系統(tǒng)造成不必要的影響或損害。
-
用戶界面與操作性:要求產(chǎn)品提供友好的用戶界面,便于操作和理解掃描結(jié)果,以及配置掃描策略和參數(shù)。
-
合規(guī)性與互操作性:鼓勵(lì)產(chǎn)品遵循相關(guān)的國(guó)際國(guó)內(nèi)安全標(biāo)準(zhǔn),并與其他安全管理系統(tǒng)兼容,便于集成到更廣泛的信息安全管理體系中。
-
測(cè)試與評(píng)估方法:提供了對(duì)產(chǎn)品進(jìn)行符合性測(cè)試的具體指導(dǎo)原則和評(píng)估指標(biāo),確保產(chǎn)品滿足上述各項(xiàng)要求。
如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。
....
查看全部
- 現(xiàn)行
- 正在執(zhí)行有效
- 2013-10-15 頒布
- 2013-10-15 實(shí)施
下載本文檔
GA/T 1107-2013信息安全技術(shù)web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求-免費(fèi)下載試讀頁(yè)文檔簡(jiǎn)介
ICS35240
A90.
中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)
GA/T1107—2013
信息安全技術(shù)
web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求
Informationsecuritytechnology—
Securitytechnicalrequirementsforwebapplicationsecurityscanningproducts
2013-10-15發(fā)布2013-10-15實(shí)施
中華人民共和國(guó)公安部發(fā)布
GA/T1107—2013
目次
前言…………………………
Ⅲ
范圍………………………
11
規(guī)范性引用文件…………………………
21
術(shù)語(yǔ)和定義………………
31
縮略語(yǔ)……………………
42
安全功能要求……………
53
性能要求…………………
65
自身安全功能要求………………………
75
安全保證要求……………
87
等級(jí)劃分要求……………
910
Ⅰ
GA/T1107—2013
前言
本標(biāo)準(zhǔn)按照給出的規(guī)則起草
GB/T1.1—2009。
本標(biāo)準(zhǔn)由公安部網(wǎng)絡(luò)安全保衛(wèi)局提出
。
本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口
。
本標(biāo)準(zhǔn)起草單位公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心杭州安恒信息技術(shù)有限公
:、
司中聯(lián)綠盟信息技術(shù)北京有限公司北京國(guó)舜科技有限公司上海天泰網(wǎng)絡(luò)技術(shù)有限公司
、()、、。
本標(biāo)準(zhǔn)主要起草人俞優(yōu)張艷沈亮顧健陸臻楊元原李毅范淵鄒春明張笑笑顧建新
:、、、、、、、、、、、
宋好好孫小平李晨姜強(qiáng)程勝年
、、、、。
Ⅲ
GA/T1107—2013
信息安全技術(shù)
web應(yīng)用安全掃描產(chǎn)品安全技術(shù)要求
1范圍
本標(biāo)準(zhǔn)規(guī)定了應(yīng)用安全掃描產(chǎn)品的安全功能要求性能要求自身安全功能要求安全保證要
web、、、
求及等級(jí)劃分要求
。
本標(biāo)準(zhǔn)適用于應(yīng)用安全掃描產(chǎn)品的設(shè)計(jì)開(kāi)發(fā)及檢測(cè)
web、。
2規(guī)范性引用文件
下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文
。,
件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件
。,()。
計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則
GB17859—1999
信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第部分安全保證
GB/T18336.3—20083:
要求
信息安全技術(shù)術(shù)語(yǔ)
GB/T25069—2010
3術(shù)語(yǔ)和定義
和界定的以及下列術(shù)語(yǔ)和定義適用
GB17859—1999、GB/T18336.3—2008GB/T25069—2010
于本文件
。
31
.
web應(yīng)用安全掃描產(chǎn)品webapplicationsecurityscanningproduct
一種掃描發(fā)現(xiàn)系統(tǒng)應(yīng)用層安全漏洞的產(chǎn)品能夠依據(jù)策略對(duì)應(yīng)用系統(tǒng)進(jìn)行發(fā)現(xiàn)并
web,webURL
掃描對(duì)發(fā)現(xiàn)的安全漏洞提出相應(yīng)的改進(jìn)意見(jiàn)
,。
32
.
web應(yīng)用webapplication
由動(dòng)態(tài)腳本編譯過(guò)的代碼等組合而成的應(yīng)用通常架設(shè)在服務(wù)器上用戶在瀏覽器上發(fā)
、,web,web
送請(qǐng)求這些請(qǐng)求使用協(xié)議經(jīng)過(guò)網(wǎng)絡(luò)和應(yīng)用交互由應(yīng)用和后臺(tái)的數(shù)據(jù)庫(kù)及其他動(dòng)
,HTTP,web,web
態(tài)內(nèi)容通信
。
33
.
URL發(fā)現(xiàn)URLdetection
通過(guò)訪問(wèn)一個(gè)發(fā)現(xiàn)通過(guò)該能夠鏈接到的其他的過(guò)程能夠發(fā)現(xiàn)的包括在
URL,URLURL
溫馨提示
- 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
- 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
- 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。
最新文檔
- 糖尿病疾病知識(shí)及護(hù)理
- 13垃圾的分類收集與處理(教學(xué)設(shè)計(jì))-青島版科學(xué)六年級(jí)下冊(cè)
- 22文言文二則《伯牙鼓琴》教學(xué)設(shè)計(jì)-2024-2025學(xué)年語(yǔ)文六年級(jí)上冊(cè)統(tǒng)編版
- 2024-2025學(xué)年高中語(yǔ)文 第四單元 文言文(2)19 諫太宗十思疏教學(xué)設(shè)計(jì) 粵教版必修4
- 4《氣味告訴我們》教學(xué)設(shè)計(jì)-2024-2025學(xué)年科學(xué)一年級(jí)上冊(cè)教科版
- 13 我能行 (教學(xué)設(shè)計(jì)) 部編版道德與法治二年級(jí)下冊(cè)
- Unit5 Reading 教學(xué)設(shè)計(jì)2023-2024學(xué)年牛津深圳版英語(yǔ)八年級(jí)下冊(cè)
- 開(kāi)設(shè)餐館合伙經(jīng)營(yíng)協(xié)議7篇
- 《平安出行》教學(xué)設(shè)計(jì)+學(xué)習(xí)任務(wù)單道德與法治2024-2025學(xué)年三年級(jí)上冊(cè)統(tǒng)編版
- 語(yǔ)音交友廳培訓(xùn)
- 興義萬(wàn)峰谷新型旅游文化產(chǎn)業(yè)綜合體項(xiàng)目總體概念性方案設(shè)計(jì)
- 消防安全標(biāo)志解讀課件
- 2022上半年事業(yè)單位聯(lián)考《職業(yè)能力傾向測(cè)驗(yàn)》A類真題及答案
- 一篇散文《水銀花開(kāi)的夜晚》弄懂散文題型
- 保健院業(yè)務(wù)部門(mén)績(jī)效考核實(shí)施方案(試行)及質(zhì)量控制指標(biāo)
- 馬鞍山東站站房工程指導(dǎo)性施工組織設(shè)計(jì)
- 電力電纜工程施工作業(yè)危險(xiǎn)點(diǎn)辨識(shí)及預(yù)控措施手冊(cè)
- 精神障礙檢查與診斷試題
- 研究生英語(yǔ)綜合教程(下)1-10單元全部答案及解析
- 中醫(yī)護(hù)理原則和方法
- 光伏電站驗(yàn)收申請(qǐng)及驗(yàn)收?qǐng)?bào)告樣板
評(píng)論
0/150
提交評(píng)論