DB33T 2419-2021基于安全检测插件的Web应用系统安全检测技术规范.pdfVIP

ICS 35.240.50 CCS L 67 33 浙 江 省 地 方 标 准 DB33/T 2419—2021 基于安全检测插件的Web 应用系统安全检 测技术规范 Technical specification for security detection of web application system based on security detection plug- in 2021 - 12 - 24 发布 2022 - 01 - 24 实施 浙江省市场监督管理局 发 布 目 次 前言 II 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 缩略语 2 5 安全检测总体要求 2 6 安全检测插件技术要求 4 7 安全检测控制台功能要求 6 8 接口安全要求 7 前 言 本标准按照GB/T 1.1—2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。 本标准由浙江省公安厅提出并归口。 本标准起草单位：浙江警察学院、公安部第一研究所、浙江省互联网信息办公室、浙江省大数据发 展管理局、浙江省卫生健康信息中心、浙江省教育技术中心、国家计算机网络应急技术处理协调中心浙 江分中心、杭州医学院、浙江省药械采购中心、浙江移动网管中心、杭州孝道科技有限公司、浙江省方 大标准信息有限公司。 本标准主要起草人：周国民、陈光宣、辛均益、刘强、杨卫军、吕勇刚、王晓冬、王宏宇、陈坚华、 李剑锋、马骏野、蒋熠、赵丹、赵利、诸丽静、李龙、范丙华、徐锋、刘永瑞、朱旭丽、陈群、魏春梅、 王宁、黄克鑫、胡博。 本标准为首次发布。 基于安全检测插件的Web 应用系统安全检测技术规范 1 范围 本标准规定了安全检测插件、安全检测控制台的术语和定义，规定了基于安全检测插件的Web应用 系统安全检测总体要求、安全检测插件技术要求、安全检测控制台功能要求、接口安全要求。 本标准适用于基于安全检测插件的Web应用系统安全检测技术的设计、开发和使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 标准。 GB/T 11457—2006 信息技术 软件工程术语 GB/T 25069—2010 信息安全技术 术语 3 术语和定义 GB/T 11457—2006和GB/T 25069—2010界定的以及下列术语和定义适用于本标准。 3.1 程序插装 program instrumentation a) 插入到计算机程序中的探头。如指令或断言，以利于执行监控、正确性证明、资源监控或其 他活动。 b) 准备探头并把它插入到计算机程序中去的过程。 [来源：GB/T 11457—2006，2.1235] 3.2 追踪 trace 计算机程序执行的记录，它显示执行的指令的顺序、变量的名和值或两者。类型包括执行踪迹、回 顾的踪迹、子例程踪迹、符号踪迹、变量踪迹。 [来源：GB/T 11457—2006，2.1751，有修改] 3.3 加密 encipherment/encryption 对数据进行密码变换以产生密文的过程。一般包含一个变换集合，该变换使用一套算法和一套输入 参量。输入参量通常被称为密钥。 [来源：GB/T 25069—20