信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法-编制说明.docxVIP

1工作简况

1.1任务来源

2014年，经国标委批准，全国信息安全标准化技术委员会 (SAC/TC260)主任办公会讨论通过，研究制定《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》国家标准。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委

员会归口，由杭州安恒信息技术有限公司负责主办。

1.2协作单位

在接到《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》标准的任务后，杭州安恒信息技术有限公司立即与各生产Web检测系统的厂商进行沟通，并得到了多家业内知名厂商的积极参与和反馈。最终确定由公安部计算机信息系统安全产品质量监督

检验中心、上海天泰网络技术有限公司等单位作为标准编制协作单位。

1.3主要工作过程

1.3.1成立编制组

2014年接到标准编制任务之后，立即组建标准编制组，开始标准草案的起草工作。编制项目组主要成员：孙小平、俞优、陆臻、金海

俊、曹玉珍、张笑笑等等。

1.3.2制定工作计划

编制组首先制定了编制工作计划，并确定了编制组人员例会安排

以便及时沟通交流工作情况。

1.3.3参考资料

该标准编制过程中，主要参考了：

·GB/T5271.8-2001信息系统词汇第8部分：安全

·GB17859-1999计算机信息系统安全保护划分准则

·GB/T18336.3-2015信息技术安全技术信息技术安全性评

估准则第3部分：安全保障组件

·GB/T20271-2006信息安全技术信息系统通用安全技术要求

·GB/T22239-2008信息安全技术信息系统安全等级保护基本

要求

·GA/T1107-2013信息安全技术Web应用安全扫描产品安全技

术要求

1.3.4确定编制内容

经编制组研究决定，以原行标内容为理论基础，以Web应用安全检测为研究目标，以GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》为主要参考依据，完成《信息安全技术Web应用安全

检测系统安全技术要求和测试评价方法》标准的编制工作。

1.3.5编制工作简要过程

按照项目进度要求，编制组人员首先对所参阅的产品、文档以及

标准进行反复阅读与理解，查阅有关资料，编写标准编制提纲，在完

成对提纲进行交流和修改的基础上，开始具体的编制工作。

2014年12月-2015年2月，相关人员调研该类产品的现状情况，为标准的编制积累素材；3月，在前期调研和工作积累的基础上，我司组织有关人员成立标准编制小组，对标准编制工作进行了任务分配，并完成了草案(第一稿)的编制，主要由“安全技术要求”(安全功能要求、自身安全功能要求、性能要求)、“测试评价方法”、“安全保

障要求”、“等级划分要求”组成。

2015年3月，编制组以意见征求会形式邀请绿盟科技、知道创宇等厂商进行现场征求意见，编制组认真分析并及时采纳了建议，形成

了草案(第二稿)。

2015年6月，WG5工作组在北京召开了标准项目检查会，与会专家对本标准进行了认真审议，并提出了相关意见和建议。编制组根据

专家意见进行修改完善。草案(第三稿)

2016年5月，编制组以邮件形式征求了北京安域领创科技有限公司、北京神州绿盟信息安全科技股份有限公司等厂商的意见，编制组

及时对意见进行了处理，形成了草案(第四稿)。

2016年8月，编制组在北京以研讨会形式邀请中国安全防范产品行业协会、公安部网络安全保卫局、中国信息安全认证中心、国家信息技术安全研究中心、中国科学院信息工程研究所、国家信息中心、阿里巴巴(北京)软件服务有限公司、中科信息安全共性技术国家工

程研究中心有限公司、北京天融信科技股份有限公司、中软信息系统

工程有限公司、中新网络信息安全股份有限公司、国际商业机器(中国)有限公司等单位的专家进行现场征求意见，根据反馈意见，修改

了标准文本中有歧义的地方，形成了草案(第五稿)。

2016年8月，通过WG5秘书处，向成员单位广泛征求意见，并根据反馈意见进行了修改，主要包括增加Web应用安全检测系统结构和

描述等，形成了草案(第六稿)。

2016年8月，WG5工作组在北京召开在研标准推进会，编制组汇报了标准内容及编制进度，并根据专家意见，完善了“漏洞检测”的

类型，补充了漏洞定义，形成了草案(第七稿)。

2016年9月，WG5工作组完成组内投票，编制组根据意见完善并

形成征求意见稿(第一稿)。

1.3.6起草人及其工作

标准编制组具体由孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等人组成。孙小平全面负责标准编制工作，包括制定工作计划、确定编制内容和整体进度