5.1 總體說明

5.1 總體說明

5.1.1　Web應用安全檢測系統描述

Web應用安全檢測系統的目的就是幫助用戶充分了解Web應用存在的安全隱患，建立安全的Web應用服務，改善并提升Web應用系統抗各類Web應用攻擊的能力（如：注入攻擊、跨站腳本、文件包含和信息泄漏等）。Web應用安全檢測系統模塊如圖1所示：

a) 檢測模塊
系統核心模塊，實現對目標對象的掃描，收集正確的掃描信息并展示掃描結果。
b) 報表管理
對掃描結果進行分析處理，提供詳細的檢測掃描報告，對所有漏洞進行詳盡描述，以及相應的修復和改進建議。
c) 策略管理
提供掃描策略的模板，可支持掃描策略的自定義擴展。
d) 用戶管理
對系統的用戶角色和權限進行分配管理。
e) 任務管理
用以創建和定制掃描任務，能夠按照計劃任務啟動掃描，可進行掃描暫停、重新掃描和移除掃描任務等操作。
f) 系統設置

5.1.2　要求分類

本標準將Web應用安全檢測系統安全技術要求分為安全功能、自身安全功能和安全保障要求三個大類。其中，安全功能要求針對Web應用安全檢測系統應具備的安全功能提出具體要求，主要包括掃描能力、掃描配置管理和掃描結果分析處理等；自身安全功能要求針對Web應用安全檢測系統的標識與鑒別、安全管理和審計日志提出具體要求；安全保障要求針對Web應用安全檢測系統的開發過程和文檔內容提出具體要求，包括開發、指導性文檔、生命周期支持和測試等。

5.1.3　安全等級

本標準將Web應用安全檢測系統的安全等級分為基本級和增強級，如表1、表2、表3所示。安全功能與自身安全功能的強弱、以及安全保障要求的高低（參見GB/T 18336.3-2015的EAL2、EAL4）是等級劃分的具體依據，安全等級突出安全特性。與基本級內容相比，增強級中要求有所增加或變更的內容在正文中通過“宋體加粗”表示。