信息安全技术Web应用安全检测系统安全技术要求和测试评价方法.DOCVIP

《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》（征求意见稿） 编 制 说 明 工作简况 任务来源 2014年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）2014年接到标准编制任务之后，立即组建标准编制组，开始标准草案的起草工作。编制项目组主要成员：孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等等。 1.3.2制定工作计划 编制组首先制定了编制工作计划，并确定了编制组人员例会安排以便及时沟通交流工作情况。 1.3.3参考资料 该标准编制过程中，主要参考了： GB/T 5271.8-2001信息系统 词汇 第8部分：安全 GB 17859-1999 计算机信息系统安全保护划分准则 GB/T 18336.3－2015 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保障组件 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GA/T 1107-2013 信息安全技术 Web应用安全扫描产品安全技术要求 1.3.4确定编制内容 经编制组研究决定，以原行标内容为理论基础，以Web应用安全检测为研究目标，以GB 17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 18336-2008《信息技术 安全技术 信息技术安全性评估准则》为主要参考依据，完成《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》标准的编制工作。 1.3.5编制工作简要过程 按照项目进度要求，编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的基础上，开始具体的编制工作。 2014年12月-2015年2月，相关人员调研该类产品的现状情况，为标准的编制积累素材；3月，在前期调研和工作积累的基础上，我司组织有关人员成立标准编制小组，对标准编制工作进行了任务分配，并完成了草案（第一稿）的编制，主要由“安全技术要求”（安全功能要求、自身安全功能要求、性能要求）、“测试评价方法”、“安全保障要求”、“等级划分要求”组成。 2015年3月，编制组以意见征求会形式邀请绿盟科技、知道创宇等厂商进行现场征求意见，编制组认真分析并及时采纳了建议，形成了草案（第二稿）。 2015年6月，WG5工作组在北京召开了标准项目检查会，与会专家对本标准进行了认真审议，并提出了相关意见和建议。编制组根据专家意见进行修改完善。草案（第三稿） 2016年5月，编制组以邮件形式征求了北京安域领创科技有限公司、北京神州绿盟信息安全科技股份有限公司等厂商的意见，编制组及时对意见进行了处理，形成了草案（第四稿）。 2016年8月，编制组在北京以研讨会形式邀请中国安全防范产品行业协会、公安部网络安全保卫局、中国信息安全认证中心、国家信息技术安全研究中心、中国科学院信息工程研究所、国家信息中心、阿里巴巴（北京）软件服务有限公司、中科信息安全共性技术国家工程研究中心有限公司、北京天融信科技股份有限公司、中软信息系统工程有限公司、中新网络信息安全股份有限公司、国际商业机器（中国）有限公司等单位的专家进行现场征求意见，根据反馈意见，修改了标准文本中有歧义的地方，形成了草案（第五稿）。 2016年8月，通过WG5秘书处，向成员单位广泛征求意见，并根据反馈意见进行了修改，主要包括增加Web应用安全检测系统结构和描述等，形成了草案（第六稿）。 2016年8月，WG5工作组在北京召开在研标准推进会，编制组汇报了标准内容及编制进度，并根据专家意见，完善了“漏洞检测”的类型，补充了漏洞定义，形成了草案（第七稿）。 2016年9月，WG5工作组完成组内投票，编制组根据意见完善并形成征求意见稿（第一稿）。 1.3.6起草人及其工作 标准编制组具体由孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等人组成。孙小平全面负责标准编制工作，包括制定工作计划、确定编制内容和整体进度、人员的安排；俞优和金海俊主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作；张笑笑负责标准校对审核等工作；陆臻主要负责标准编制过程中的各项技术支持和整体指导。 标准主要内容 2.1编制原则 为使标准内容从一开始就与国家标准保持一致，本标准的编写参考了其他国家有关标准，主要有GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008。 本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与要求如下： 1）先进性 标准是先进经验的总结，同时也是技术的发展趋势。目前，我国Web应用安全检测系统产品种类繁多，功能良莠不