《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》(征求意见稿) 1 工作简况
1.1任务来源
2014年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制定《信息安全技术 Web 应用安全检测系统安全技术要求和测试评价方法》国家标准。该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由杭州安恒信息技术有限公司负责主办。 1.2协作单位
在接到《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》标准的任务后,杭州安恒信息技术有限公司立即与各生产Web检测系统的厂商进行沟通,并得到了多家业内知名厂商的积极参与和反馈。最终确定由公安部计算机信息系统安全产品质量监督检验中心、上海天泰网络技术有限公司等单位作为标准编制协作单位。
1.3主要工作过程
1.3.1成立编制组
2014年接到标准编制任务之后,立即组建标准编制组,开始标准
草案的起草工作。编制项目组主要成员:孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等等。
1.3.2制定工作计划
编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。烟草专卖行政处罚程序规定
1.3.3参考资料
该标准编制过程中,主要参考了:
•GB/T 5271.8-2001信息系统词汇第8部分:安全
•GB 17859-1999 计算机信息系统安全保护划分准则
•GB/T 18336.3-2015 信息技术安全技术信息技术安全性评估准则第3部分:安全保障组件
•GB/T 20271-2006 信息安全技术信息系统通用安全技术要求•GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
•GA/T 1107-2013 信息安全技术 Web应用安全扫描产品安全技术要求
1.3.4确定编制内容rtscts
经编制组研究决定,以原行标内容为理论基础,以Web应用安全检测为研究目标,以GB 17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》为主要参考依据,完成《信息安全技术 Web应用安全
检测系统安全技术要求和测试评价方法》标准的编制工作。
1.3.5编制工作简要过程
按照项目进度要求,编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,查阅有关资料,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作。
2014年12月-2015年2月,相关人员调研该类产品的现状情况,为标准的编制积累素材;3月,在前期调研和工作积累的基础上,我司组织有关人员成立标准编制小组,对标准编制工作进行了任务分配,并完成了草案(第一稿)的编制,主要由“安全技术要求”(安全功能要求、自身安全功能要求、性能要求)、“测试评价方法”、“安全保障要求”、“等级划分要求”组成。
2015年3月,编制组以意见征求会形式邀请绿盟科技、知道创宇等厂商进行现场征求意见,编制组认真分析并及时采纳了建议,形成了草案(第二稿)。
对外贸易法2015年6月,WG5工作组在北京召开了标准项目检查会,与会专家对本标准进行了认真审议,并提出了相关意见和建议。编制组根据专家意见进行修改完善。草案(第三稿)
快乐无极
2016年5月,编制组以邮件形式征求了北京安域领创科技有限公司、北京神州绿盟信息安全科技股份有限公司等厂商的意见,编制组及时对意见进行了处理,形成了草案(第四稿)。
2016年8月,编制组在北京以研讨会形式邀请中国安全防范产品行业协会、公安部网络安全保卫局、中国信息安全认证中心、国家信
昂达v972四核版息技术安全研究中心、中国科学院信息工程研究所、国家信息中心、阿里巴巴(北京)软件服务有限公司、中科信息安全共性技术国家工程研究中心有限公司、北京天融信科技股份有限公司、中软信息系统工程有限公司、中新网络信息安全股份有限公司、国际商业机器(中国)有限公司等单位的专家进行现场征求意见,根据反馈意见,修改了标准文本中有歧义的地方,形成了草案(第五稿)。
2016年8月,通过WG5秘书处,向成员单位广泛征求意见,并根据反馈意见进行了修改,主要包括增加Web应用安全检测系统结构和描述等,形成了草案(第六稿)。
2016年8月,WG5工作组在北京召开在研标准推进会,编制组汇报了标准内容及编制进度,并根据专家意见,完善了“漏洞检测”的类型,补充了漏洞定义,形成了草案(第七稿)。
2016年9月,WG5工作组完成组内投票,编制组根据意见完善并形成征求意见稿(第一稿)。
1.3.6起草人及其工作
陈独秀之死标准编制组具体由孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等人组成。孙小平全面负责标准编制工作,包括制定工作计划、确定编制内容和整体进度、人员的安排;俞优和金海俊主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作;张笑笑负责标准校对审核等工作;陆臻主要负责标准编制过程中的各项技术支持和整体指导。
2 标准主要内容
2.1编制原则
为使标准内容从一开始就与国家标准保持一致,本标准的编写参考了其他国家有关标准,主要有GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 18336-2008。
本标准符合我国的实际情况,遵从我国有关法律、法规的规定。具体原则与要求如下:
1)先进性
标准是先进经验的总结,同时也是技术的发展趋势。目前,我国Web应用安全检测系统产品种类繁多,功能良莠不齐,要制定出先进的产品国家标准,必须参考国内外先进技术和标准,吸收其精华,才能制定出具有先进水平的标准。本标准的编写始终遵循这一原则。
2)实用性
标准必须是可用的,才有实际意义,因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,广泛了解了市场上主流产品的功能,吸收其精华,制定出符合我国国情的、可操作性强的标准。
3)兼容性
本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。
