ICS35040

L80.

中華人民共和國國家標準

GB/T37931—2019

信息安全技術Web應用安全檢測

系統安全技術要求和測試評價方法

Informationsecuritytechnology—Securitytechnologyrequirementsandtesting

andevaluationapproachesforWebapplicationsecuritydetectionsystem

2019-08-30發布2020-03-01實施

國家市場監督管理總局發布

中國國家標準化管理委員會

GB/T37931—2019

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………1

產品描述

5…………………2

安全技術要求

6……………2

基本級安全技術要求

6.1………………2

安全功能要求

6.1.1…………………2

自身安全要求

6.1.2…………………4

安全保障要求

6.1.3…………………5

增強級安全技術要求

6.2………………7

安全功能要求

6.2.1…………………7

自身安全要求

6.2.2…………………10

安全保障要求

6.2.3…………………12

測評方法

7…………………14

基本級安全技術要求測評

7.1…………14

安全功能測評

7.1.1…………………14

自身安全測評

7.1.2…………………19

安全保障要求測評

7.1.3……………22

增強級安全技術要求測評

7.2…………25

安全功能測評

7.2.1…………………25

自身安全測評

7.2.2…………………32

安全保障要求測評

7.2.3……………35

Ⅰ

GB/T37931—2019

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位公安部第三研究所公安部計算機信息系統安全產品質量監督檢驗中心國家信

:()、

息技術安全研究中心杭州安恒信息技術股份有限公司網神信息技術北京股份有限公司北京神州

、、()、

綠盟科技有限公司上海天泰網絡技術有限公司北京天融信網絡安全技術有限公司浙江省電子信息

、、、

產品檢驗所上海嘉韋思信息技術有限公司國家電網公司

、、。

本標準主要起草人俞優賈徽徽楊元原陸臻鄒春明顧健萬仁忠李冰方進社紀崇廉李蒙

:、、、、、、、、、、、

劉楠張君沈亮范淵吳云坤葉曉虎程勝年雷曉鋒孫小平王志佳金?？⊥鮽ハ蛑勤w建飛

、、、、、、、、、、、、、、

鄧琦曲曉東唐迪孟亞豪馬海燕楊灼其蔡立軍李靜舒首衡吳舜劉永清連紀文

、、、、、、、、、、、。

Ⅲ

GB/T37931—2019

信息安全技術Web應用安全檢測

系統安全技術要求和測試評價方法

1范圍

本標準規定了應用安全檢測系統的安全技術要求測評方法及等級劃分

Web、。

本標準適用于應用安全檢測系統的設計開發與測評

Web、。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息技術安全評估準則第部分安全保障組件

GB/T18336.3—20153:

信息安全技術術語

GB/T25069—2010

3術語和定義

和界定的以及下列術語和定義適用于本文件

GB/T18336.3—2015GB/T25069—2010。

31

.

Web應用安全檢測系統Webapplicationsecuritydetectionsystem

對應用的安全性進行檢測的產品能夠依據策略對應用進行發現并對應用

Web,WebURL,Web

漏洞進行檢測

。

32

.

URL發現URLdiscovery

從一個開始發現通過該能夠鏈接到的其他包括在網頁中出現的完整的

URL,URLURL,URL、

通過各種計算得出的各種跳轉的等

URL、URL。

33

.