ICS0312020

CCSA.00.

中華人民共和國認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn)

RB/T212—2023

網(wǎng)站安全測評服務(wù)安全評價要求

Requirementsforevaluationofwebsitesecuritytestservices

2024-05-20發(fā)布2024-07-01實施

國家認(rèn)證認(rèn)可監(jiān)督管理委員會發(fā)布

中國標(biāo)準(zhǔn)出版社出版

RB/T212—2023

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

評價原則

4…………………2

評價方法

5…………………2

評價過程

6…………………3

評價內(nèi)容

7…………………3

附錄資料性網(wǎng)站安全測評服務(wù)安全風(fēng)險分析

A()……………………9

參考文獻(xiàn)

……………………10

Ⅰ

RB/T212—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)定的規(guī)定

GB/T1.1—2020《1:》

起草

。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任

。。

本文件由國家認(rèn)證認(rèn)可監(jiān)督管理委員會提出并歸口

。

本文件起草單位中國網(wǎng)絡(luò)安全審查認(rèn)證和市場監(jiān)管大數(shù)據(jù)中心北京郵電大學(xué)中國電子科技集

:、、

團公司第十五研究所北京信息安全測評中心北京紅戎信安技術(shù)有限公司北京安信多樂科技有限

、、、

公司

。

本文件主要起草人樊華寇春曉陸月明鎖延峰李媛何志明杜霖甘杰夫胡石鄭瀟瀟翟亞紅

:、、、、、、、、、、、

段靜輝闞明劉珺珺華鐸

、、、。

Ⅲ

RB/T212—2023

引言

年我國第一部網(wǎng)絡(luò)安全領(lǐng)域的專門性立法中華人民共和國網(wǎng)絡(luò)安全法實施其第十七條提

2017《》,

出國家推進(jìn)網(wǎng)絡(luò)安全社會化服務(wù)體系建設(shè)鼓勵有關(guān)企業(yè)機構(gòu)開展網(wǎng)絡(luò)安全認(rèn)證檢測和風(fēng)險評估等

“,、、

安全服務(wù)從法律層面肯定了網(wǎng)絡(luò)安全服務(wù)在保障國家網(wǎng)絡(luò)安全方面起到的重要作用網(wǎng)站系統(tǒng)是向

”,。

用戶提供信息共享瀏覽發(fā)布部署應(yīng)用系統(tǒng)的容器隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展網(wǎng)站系統(tǒng)得到極大的

、、,,

普及各類應(yīng)用極大地豐富和便利了人們的生活和學(xué)習(xí)網(wǎng)站系統(tǒng)包含了大量的可視網(wǎng)頁可執(zhí)行程

,。、

序系統(tǒng)程序服務(wù)程序管理程序和數(shù)據(jù)等這些重要資源面臨被黑客非法篡改被泄露被丟失等安

、、、。、、

全威脅網(wǎng)站安全測評通過技術(shù)手段對網(wǎng)站進(jìn)行漏洞掃描檢測網(wǎng)頁是否存在漏洞網(wǎng)頁是否掛馬網(wǎng)

。,、、

頁有沒有被篡改是否有欺詐網(wǎng)站等保障網(wǎng)站的安全運行提高網(wǎng)站服務(wù)的安全質(zhì)量但由于安全測

、,,。

評服務(wù)需要對網(wǎng)站進(jìn)行網(wǎng)頁掛馬數(shù)據(jù)加密網(wǎng)頁篡改甚至注入攻擊跨站等攻擊測

、、CC、SQL、XSS

試且不成熟的安全測評技術(shù)工具不規(guī)范操作都會引入新的安全問題因此保證測評服務(wù)提供方工作

,、,,

的安全性和可靠性是網(wǎng)站進(jìn)行安全測評的前提和基礎(chǔ)

。

Ⅳ

RB/T212—2023

網(wǎng)站安全測評服務(wù)安全評價要求

1范圍

本文件確立了網(wǎng)站安全測評服務(wù)的評價原則規(guī)定了網(wǎng)站安全測評服務(wù)的評價方法評價過程及評

,、

價內(nèi)容

。

本文件適用于第三方評價機構(gòu)對網(wǎng)站安全測評服務(wù)提供方的安全水平進(jìn)行評估網(wǎng)站安全測評服

。

務(wù)提供方網(wǎng)站安全測評服務(wù)需求方自行參考使用

、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息技術(shù)詞匯第部分安全

GB/T5271.8—20018:

信息安全技術(shù)術(shù)語

GB/T25069—2022

3術(shù)語和定義

界定的以及下列術(shù)語和定義適用于本文件

GB/T5271.8—2001、GB/T25069—2022。

31

.

網(wǎng)站website

利用網(wǎng)絡(luò)發(fā)布信息提供在線服務(wù)開展在線互動交流的系統(tǒng)或平臺

,、。

注包括為用戶提供展示和交互功能的頁面以及生成和處理頁面的應(yīng)用程序中間件服務(wù)器等

:、、。

32

.

網(wǎng)站安全websitesecurity

采取一系列措施防止網(wǎng)站被掛馬網(wǎng)頁被篡改數(shù)據(jù)被泄露流量被劫持等行為從而保障網(wǎng)站的安

、、、,

全性保密性完整性及可用性

、、。

33

.

網(wǎng)站安全測評websitesecuritytest

針對網(wǎng)站安全性進(jìn)行問題發(fā)現(xiàn)符合性和有效性驗證的活動

,、