信息安全技术Web应用安全检测系统安全技术要求和测试评价方法Word格式文档下载.docx

1、 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GA/T 1107-2013 信息安全技术 Web应用安全扫描产品安全技术要求1.3.4确定编制内容经编制组研究决定，以原行标内容为理论基础，以Web应用安全检测为研究目标，以GB 17859-1999计算机信息系统安全保护等级划分准则和GB/T 18336-2008信息技术 安全技术 信息技术安全性评估准则为主要参考依据，完成信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法标准的编制工作。1.3.5编制工作简要过程按照项目进度要求

2、，编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。2014年12月-2015年2月，相关人员调研该类产品的现状情况，为标准的编制积累素材；3月，在前期调研和工作积累的基础上，我司组织有关人员成立标准编制小组，对标准编制工作进行了任务分配，并完成了草案（第一稿）的编制，主要由“安全技术要求”（安全功能要求、自身安全功能要求、性能要求）、“测试评价方法”、“安全保障要求”、“等级划分要求”组成。2015年3月，编制组以意见征求会形式邀请绿盟科技、知道创宇等厂商进行现场征求意见，编制组认真分析并及时

3、采纳了建议，形成了草案（第二稿）。2015年6月，WG5工作组在北京召开了标准项目检查会，与会专家对本标准进行了认真审议，并提出了相关意见和建议。编制组根据专家意见进行修改完善。草案（第三稿）2016年5月，编制组以邮件形式征求了北京安域领创科技有限公司、北京神州绿盟信息安全科技股份有限公司等厂商的意见，编制组及时对意见进行了处理，形成了草案（第四稿）。2016年8月，编制组在北京以研讨会形式邀请中国安全防范产品行业协会、公安部网络安全保卫局、中国信息安全认证中心、国家信息技术安全研究中心、中国科学院信息工程研究所、国家信息中心、阿里巴巴（北京）软件服务有限公司、中科信息安全共性技术国家工程研

4、究中心有限公司、北京天融信科技股份有限公司、中软信息系统工程有限公司、中新网络信息安全股份有限公司、国际商业机器（中国）有限公司等单位的专家进行现场征求意见，根据反馈意见，修改了标准文本中有歧义的地方，形成了草案（第五稿）。2016年8月，通过WG5秘书处，向成员单位广泛征求意见，并根据反馈意见进行了修改，主要包括增加Web应用安全检测系统结构和描述等，形成了草案（第六稿）。2016年8月，WG5工作组在北京召开在研标准推进会，编制组汇报了标准内容及编制进度，并根据专家意见，完善了“漏洞检测”的类型，补充了漏洞定义，形成了草案（第七稿）。2016年9月，WG5工作组完成组内投票，编制组根据意见

5、完善并形成征求意见稿（第一稿）。1.3.6起草人及其工作标准编制组具体由孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等人组成。孙小平全面负责标准编制工作，包括制定工作计划、确定编制内容和整体进度、人员的安排；俞优和金海俊主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作；张笑笑负责标准校对审核等工作；陆臻主要负责标准编制过程中的各项技术支持和整体指导。2标准主要内容2.1编制原则为使标准内容从一开始就与国家标准保持一致，本标准的编写参考了其他国家有关标准，主要有GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008

6、和GB/T 18336-2008。本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下：1）先进性标准是先进经验的总结，同时也是技术的发展趋势。目前，我国Web应用安全检测系统产品种类繁多，功能良莠不齐，要制定出先进的产品国家标准，必须参考国内外先进技术和标准，吸收其精华，才能制定出具有先进水平的标准。本标准的编写始终遵循这一原则。 2）实用性标准必须是可用的，才有实际意义，因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上，结合我国的实际情况，广泛了解了市场上主流产品的功能，吸收其精华，制定出符合我国国情的、可操作性强的标准。 3）兼容性本标准既要与国际接

7、轨，更要与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。2.2编制思路为贴合该类产品的技术特点，编制组以Web安全检测技术和Web安全漏洞为研究内容，深入分析Web应用安全检测系统的技术特点，通过标准编制研究、验证，明确了产品的定义，提出了科学的安全功能和性能要求，对于产品功能组件的描述尽可能做到清晰、明确。标准安全功能产生的流程详见下图：图1安全功能产生的流程图2.3标准内容2.3.1主要结构本标准的编写格式和方法按照GB/T1.1-2000标准化工作导则 第一部分：标准的结构和编写规则的要求。标准主要分为“范

8、围”、“规范性引用文件”、“术语和定义”、“缩略语”、“安全技术要求”和“测试评价方法”共6个部分。中，关于Web应用安全检测系统的具体要求，本标准分为3大类，分别是“产品安全功能要求”、 “性能要求”和“安全保障要求”。2.3.2主要内容2.3.2.1范围、标准引用、术语定义和缩略语该部分定义该标准适应的范围，所引用的其它标准情况，及以何种方式引用。术语和定义明确了该标准所涉及的一些术语。“缩略语”定义了该标准所涉及的缩略语。在术语中主要明确了“Web应用安全检测系统”、“Web应用”、“Web 服务”、“漏报率”、“误报率”、“URL发现”以及常见Web应用漏洞的相关概念。2.3.2.2

9、Web应用安全检测系统描述Web应用安全检测系统的目的是为帮助用户充分了解Web应用存在的安全隐患，从而改善并提升应用系统抵抗各类Web应用攻击的能力（如：注入攻击、跨站脚本、文件包含、信息泄漏和网页木马等），以此建立安全可靠的Web应用服务。Web应用安全检测系统架构如图2所示：图2 Web应用安全检测系统架构图1） 检测模块系统核心模块。扫描开始后，向扫描引擎发送指令，扫描选中对象目标，收集正确的扫描信息，同时可以把扫描引擎返回的扫描结果展示给用户。2）报表管理对扫描结果进行分析处理，提供详细的检测扫描报告，对所有漏洞进行详尽描述，以及相应的修复和改进建议。3）策略管理提供Web应用安全检

10、测系统的策略库，能够按照漏洞类型、类别和危害程度等进行分类。同时，可支持漏洞策略的自定义扩展。4）用户管理对系统的用户角色和权限进行分配管理。5）任务设置用以创建和定制扫描任务，能够按照计划任务启动扫描，可进行扫描暂停、重新扫描和移除扫描任务等操作。6）系统设置对系统进行设置，包括系统安全设置、更新管理和络链接设置等。实际部署时，Web应用安全检测系统部署时仅需保持与目标Web应用系统网络上可达，图3是Web应用安全检测系统的一个典型运行环境。图3 Web应用安全检测系统典型运行环境2.3.2.3 技术要求本标准将Web应用安全检测系统安全技术要求分为安全功能、安全保障和性能要求三个大类。其中

11、，安全功能要求是对Web应用安全检测系统应具备的安全功能提出具体要求，包括扫描能力、扫描配置管理、扫描结果分析处理、标识和鉴别、安全管理和审计日志等要求；安全保障要求针对Web应用安全检测系统的开发和使用文档的内容提出具体的要求，例如交付和运行、开发、测试和指导性文档等；性能要求则是对Web应用安全检测系统应达到的性能指标作出规定，包括误报率、漏报率和URL发现率。此外，标准按照Web应用安全检测系统安全功能的强度划分安全功能要求的级别，参照GB/T18336.3-2015划分安全保障要求的级别。安全等级分为基本级和增强级，安全功能强弱和安全保障要求高低是等级划分的具体依据。安全等级突出安全特

12、性，性能要求不作为等级划分依据。一、 安全功能要求安全功能要求主要对产品实现的功能进行了要求。主要包括扫描能力、扫描配置管理、扫描结果分析处理、互动性要求、标识与鉴别、安全管理和审计日志等功能。表1安全功能要求等级划分表安全功能基本级增强级扫描能力资源发现*漏洞检测*变形检测状态检测内容检测升级能力支持SSL应用Web Service支持对目标系统的影响扫描配置管理向导功能扫描范围登陆扫描扫描策略策略选择策略扩展扫描速度任务定制稳定性和容错性扫描结果分析处理结果验证结果保存统计分析报告生成报告输出互动性要求标识与鉴别用户标识属性定义属性初始化唯一性标识身份鉴别用户鉴别鉴别数据保护鉴别失败处理超

13、时锁定或注销安全管理安全管理功能安全角色管理数据完整性远程安全传输可信管理主机审计日志审计日志生成审计日志的保存审计日志管理注：“*”表示具有该要求，“*” 表示要求有所增强，“”表示不适用。二、安全保障要求该部分对产品的开发和使用文档的内容进行了要求，包括开发、指导性文档、生命周期支持、测试和脆弱性评定。表2 安全保障要求分级说明安全保障要求开发安全架构功能规范实现表示产品设计指导性文档操作用户指南准备程序生命周期支持配置管理能力配置管理范围交付程序开发安全生命周期定义工具和技术测试覆盖深度功能测试独立测试脆弱性评定三、性能要求主要对产品的性能方面进行了要求，主要包括：误报率、漏报率、URL

14、发现率。2.3.2.4测试评价方法主要规定了针对技术要求的测试与评价方法。2.4编制的背景和意义随着网络技术及其应用的快速发展，Web作为网络应用的主要载体，Web应用逐渐成为主流，广泛应用于各种业务系统中。然而传统操作系统日益成熟化，利用系统漏洞越来越困难，攻击者的目标也逐渐转向于应用漏洞，于是各种各样的Web应用安全性成为了焦点。根据Gattner的数据分析，80%基于Web的应用或多或少都存在安全问题，其中很大一部分是相当严重的问题，Web应用安全已超过所有以前网络层安全，逐渐成为最严重，最广泛，危害性最大的安全问题，严重影响了人们对Web应用的信心。目前常见的攻击技术有SQL注入、钓鱼

15、攻击等，基于Web应用的攻击可以给提供或接受Web应用服务者造成如下伤害：1、 泄漏客户敏感数据，例如：网银帐号，手机通话记录等；2、 篡改数据，发布虚假信息或者进行交易欺诈；3、 使Web网站成为钓鱼攻击的平台，将攻击扩大到所有访问Web应用的用户。如：网银成为了钓鱼的场所，将直接危害网银用户的帐户安全；4、 拒绝服务，利用应用的弱点，造成拒绝服务，影响业务的正常运作；Web应用系统的安全性越来越引起人们的高度关注，由此市场上出现了Web应用安全检测系统。该类产品通过分析发现可被入侵者利用的Web程序漏洞，帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统安全性提供依据，帮

16、助用户建立安全、可靠的Web应用服务。产品实现的原理：通过在 http request 中插入测试用例的方法实现应用攻击，并通过分析 http response 判断该应用是否存在相应的漏洞。图4 工作原理图Web应用扫描市场处于上升阶段，如何保证Web应用系统的安全性，且更符合产品实际需求及行业发展，迫切需要一个更加完善的标准来规范该类产品；该标准的制定可以完善相应类别产品的标准，完善信息安全标准体系。该类产品符合GB/T 25066-2010信息安全技术 信息安全产品类别与代码中：安全管理与支持（G）风险评估（ G4 ）安全性检测分析（ G402 ）关于应用系统安全性检测分析的分类要求。2

17、.5编制的目的1）首先，该标准补充了信息安全产品分类的目录，可用于该类产品的研制、开发、测试、评估和产品的选型，有利于产品的规范化、统一化管理；2）其次，该类产品广泛用于风险评估，通过对产品提出要求，可提高系统评估中的漏洞评估的深度，对于提高Web应用的安全性，减少安全事件发生具有重要的意义。3）最后，能为国家信息安全产品管理部门与第三方测评机构对该类产品进行管理与测评提供依据。3国内外标准对比情况无相关国家、国际标准。4与有关的现行法律、法规和强制性国家标准的关系建议本标准推荐性实施。本标准不触犯国家现行法律法规，不与其他强制性国标相冲突。5重大分歧意见的处理经过和依据本标准编制过程中，如标

18、准编制组内部出现重大意见分歧时，由标准编制组组长组织召开内部调解会解决；如标准编制单位之间出现重大意见分歧，由标准编制承担单位杭州安恒信息技术有限公司组织召开参编单位调解会解决。如征求意见过程中，各厂家，特别是各部委意见与标准编制组之间出现重大意见分歧，由全国信息安全标准化技术委员会组织召开协调会解决，并认真听取专家意见进行修改。6国家标准作为强制性国家标准或推荐性国家标准的建议 建议将本标准作为国家标准在全国推荐性实施。7贯彻国家标准的要求和措施建议该国标为生产、测试和评估Web应用安全检测系统提供指导性意见，建议在全国推荐性实施。在具体贯彻实施该标准时，首先可要求不同的产品测试机构使用该标准作为Web应用安全检测系统的测试依据，例如，可使用在产品的销售许可测试、政府采购设备的准入测试、不同需求单位的招标选型测试等，由此可以进一步推动产品的生产厂商以该标准为依据，更全面地应用到产品的研发生产过程中，达到业界内全面使用该标准的局面。8废止现行有关标准的建议无。9其他应予说明的事项。Web应用安全检测系统标准编制组2016年10月