ICS35.240 A90 GA 中华人民共和国公共安全行业标准 GA/T1358-2018 信息安全技术网页防篡改产品安全 技术要求 Information security technology-Security technical requirements for web tamper-resistant products 2018-02-14发布 2018-02-14实施 中华人民共和国公安部 发布 GA/T1358-2018 前言 本标准按照GB/T1.1一2009给出的规则起草. 本标准由公安部网络安全保卫局提出. 本标准由公安部信息系统安全标准化技术委员会归口. 本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、中华人民共和国上海出入境 检验检疫局、公安部第三研究所、上海天存信息技术有限公司、山东中创软件商用中间件股份有限公司. 本标准主要起草人:张笑笑、赵婷、姜玮、邹春明、顾玮、俞优、黄伟、韩锋. GA/T1358-2018 信息安全技术网页防篡改产品安全 技术要求 1范围 本标准规定了网页防篡改产品的安全功能要求、安全保障要求和等级划分要求. 本标准适用于网页防篡改产品的设计、开发及检测. 2规范性引用文件 下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文 件.凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件. GB/T18336.3一2015信息技术安全技术信息技术安全评估准则 GB/T25069一2010信息安全技术术语 3术语和定义 GB/T18336.3一2015和GB/T25069一2010界定的以及下列术语和定义适用于本文件. 3.1 网页防篡改产品web tamper resistant product 对网页文件提供实时保护,防止网页文件的未授权增加、删除和修改的产品. 3.2 监控代理monitoring agent 安装在受保护的网站上,根据安全策略对受保护的网页文件进行监控及保护的组件. 4网页防篡改产品描述 网页防篡改产品的主要功能是对网页文件提供实时保护,对未授权访问行为进行识别,并防止受保 护的文件被篡改或在受保护的文件被篡改后能立即恢复,从而确保网页文件的完整性. 网页防篡改产品通常由服务器、控制台和监控代理等组件组成(其中监控代理运行在WEB服务器 上,主要提供文件防护等功能;服务器端用于集中监控和收集事件记录,并进行报警;控制台用于对服务 器端进行管理.).其保护的资产是web站点的网页文件等受保护的网站数据,此外网页防篡改产品本 身及其内部的重要数据也是受保护的资产. 图1是网页防篡改产品的一个典型运行环境. 1 ...
GA/T 1358-2018 信息安全技术 网页防篡改产品安全技术要求.pdf
