GA/T 1107-2013《信息安全技术 web应用安全扫描产品安全技术要求》

GA/T 1107-2013《信息安全技术 web应用安全扫描产品安全技术要求》基本信息

标准号：GA/T 1107-2013

中文名称：《信息安全技术 web应用安全扫描产品安全技术要求》

发布日期：2013-10-15    

实施日期：2013-10-15

发布部门：中华人民共和国公安部    

提出单位：公安部网络安全保卫局    

归口单位：公安部信息系统安全标准化技术委员会    

起草单位：公安部计算机信息系统安全产品质量监督检验中心、杭州安恒信息技术有限公司、中联绿盟信息技术(北京)有限公司、北京国舜科技有限公司、上海天泰网络技术有限公司

起草人：俞优、张艳、沈亮、顾健、陆臻、杨元原、李毅、范渊、邹春明、张笑笑、顾建新、宋好好、孙小平、李晨、姜强、程胜年    

中国标准分类号：A90社会公共安全综合

国际标准分类号：35.240信息技术应用

GA/T 1107-2013《信息安全技术 web应用安全扫描产品安全技术要求》介绍

中华人民共和国公安部于2013年10月15日发布并实施了GA/T 1107-2013《信息安全技术 Web应用安全扫描产品安全技术要求》（以下简称“标准”）。

一、标准概述

GA/T 1107-2013标准旨在为Web应用安全扫描产品提供一个全面的安全技术框架。它规定了这类产品应满足的基本安全要求，以确保它们能够在保护Web应用免受攻击的同时，不会对正常的业务流程造成干扰。

二、主要内容

1、产品安全功能要求

标准详细列出了Web应用安全扫描产品应具备的安全功能，包括但不限于：

漏洞检测：能够识别Web应用中的常见安全漏洞，如SQL注入、XSS、文件包含等。

配置评估：评估Web应用的配置是否符合安全最佳实践。

恶意代码检测：检测Web应用中可能存在的恶意代码或脚本。

数据泄露防护：防止敏感数据通过Web应用泄露。

2、产品性能要求

除了安全功能外，标准还对产品的性能提出了要求，以确保其在实际应用中的有效性和可靠性。这包括：

扫描速度：产品应能够在合理的时间内完成对Web应用的扫描。

误报率：产品在检测过程中产生的误报应保持在可接受的范围内。

资源消耗：产品在运行过程中对系统资源的消耗应控制在合理水平。

3、安全保障措施

标准还强调了产品在设计和实现过程中应采取的安全保障措施，如：

数据保护：确保在扫描过程中收集的数据得到妥善保护，防止数据泄露。

用户身份验证：产品应支持用户身份验证，以防止未授权访问。

日志记录：产品应记录关键操作的日志，以便于事后审计和问题追踪。

三、实施意义

GA/T 1107-2013标准的发布和实施对于提升Web应用的安全性具有重要意义。它不仅为Web应用安全扫描产品的设计和开发提供了指导，还为产品的评估和选择提供了依据。通过遵循这一标准，可以确保Web应用安全扫描产品能够有效地识别和防御各种安全威胁，从而保护Web应用及其用户免受攻击。