信息安全技术远程主机监测产品安全技术要求-全国信息安全标准化技术.doc

《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》(征求意见稿)
编制说明
工作简况
任务来源
2014年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制定《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》国家标准。该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由杭州安恒信息技术有限公司负责主办。
协作单位
在接到《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》标准的任务后,杭州安恒信息技术有限公司立即与各生产Web检测系统的厂商进行沟通,并得到了多家业内知名厂商的积极参与和反馈。最终确定由公安部计算机信息系统安全产品质量监督检验中心、上海天泰网络技术有限公司等单位作为标准编制协作单位。
主要工作过程

2014年接到标准编制任务之后,立即组建标准编制组,开始标准草案的起草工作。编制项目组主要成员:孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等等。

编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。

该标准编制过程中,主要参考了:
GB/T -2001信息系统词汇第8部分:安全
GB 17859-1999 计算机信息系统安全保护划分准则
GB/T -2015 信息技术安全技术信息技术安全性评估准则第3部分:安全保障组件
GB/T 20271-2006 信息安全技术信息系统通用安全技术要求
GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
GA/T 1107-2013 信息安全技术 Web应用安全扫描产品安全技术要求

经编制组研究决定,以原行标内容为理论基础,以Web应用安全检测为研究目标,以GB 17859-1999《计算机信息系统安全保护等级划分准则》和GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》为主要参考依据,完成《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》标准的编制工作。

按照项目进度要求,编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,查阅有关资料,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作。
2014年12月-2015年2月,相关人员调研该类产品的现状情况,为标准的编制积累素材;3月,在前期调研和工作积累的基础上,我司组织有关人员成立标准编制小组,对标准编制工作进行了任务分配,并完成了草案(第一稿)的编制,主要由“安全技术要求”(安全功能要求、自身安全功能要求、性能要求)、“测试评价方法”、“安全保障要求”、“等级划分要求”组成。
2015年3月,编制组以意见征求会形式邀请绿盟科技、知道创宇等厂商进行现场征求意见,编制组认真分析并及时采纳了建议,形成了草案(第二稿)。
2015年6月,WG5工作组在北京召开了标准项目检查会,与会专家对本标准进行了认真审议,并提出了相关意见和建议。编制组根据专家意见进行修改完善。草案(第三稿)
2016年5月,编制组以邮件形式征求了北京安域领创科技有限公司、北京神州绿盟信息安全科技股份有限公司等厂商的意见,编制组及时对意见进行了处理,形成了草案(第四稿)。
2016年8月,编制组在北京以研讨会形式邀请中国安全防范产品行业协会、公安部网络安全保卫局、中国信息安全认证中心、国家信息技术安全研究中心、中国科学院信息工程研究所、国家信息中心、
阿里巴巴(北京)软件服务有限公司、中科信息安全共性技术国家工程研究中心有限公司、北京天融信科技股份有限公司、中软信息系统工程有限公司、中新网络信息安全股份有限公司、国际商业机器(中国)有限公司等单位的专家进行现场征求意见,根据反馈意见,修改了标准文本中有歧义的地方,形成了草案(第五稿)。
2016年8月,通过WG5秘书处,向成员单位广泛征求意见,并根据反馈意见进行了修改,主要包括增加Web应用安全检测系统结构和描述等,形成了草案(第六稿)。
2016年8月,WG5工作组在北京召开在研标准推进会,编制组汇报了标准内容及编制进度,并根据专家意见,完善了“漏洞检测”的类型,补充了漏洞定义,形成了草案(第七稿)。
2016年9月,WG5工作组完成组内投票,编制组根据意见完善并形成征求意见稿(第一稿)。

标准编制组具体由孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等人组成。孙小平全面负责标准编制工作,包括制定工作计划、确定编制内容和整体进度、人员的安排;俞优和金海俊