認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn)草案編制說明

1、基本信息

中文網(wǎng)站安全測(cè)評(píng)服務(wù)安全評(píng)價(jià)技術(shù)要求

1.1標(biāo)準(zhǔn)草案

名稱

英文SecurityevaluationrequirementsforWebsecuritytestservices

標(biāo)準(zhǔn)編號(hào)/

1.2與國際標(biāo)□等同采用

準(zhǔn)和國外先進(jìn)□修改采用

英文名稱/

標(biāo)準(zhǔn)一致性程□非等效采用

度情況未采用

中文名稱/

批準(zhǔn)立項(xiàng)的文國家認(rèn)監(jiān)委關(guān)于下達(dá)2017年

1.3任務(wù)來源件名稱和文件第一批認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn)制定計(jì)劃編號(hào)2016RB021

號(hào)計(jì)劃項(xiàng)目的通知

1.4制（修）訂□√制定□修訂（被修訂標(biāo)準(zhǔn)名稱及編號(hào)：）

1.5起止時(shí)間2017年4月28日---2019年7月30日

中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、北京郵電大學(xué)、中國電子科技集團(tuán)公司第十五

1.6標(biāo)準(zhǔn)起草

研究所、北京信息安全測(cè)評(píng)中心、北京紅戎信安技術(shù)有限公司、北京安信多樂科技

單位

有限公司。

1.7起草組成樊華、寇春曉、陸月明、鎖延峰、李媛、何志明、杜霖、甘杰夫、胡石、鄭瀟瀟、

員翟亞紅、段靜輝、闞明、劉珺珺、華鐸

1.8標(biāo)準(zhǔn)體系表

內(nèi)編號(hào)

1.9調(diào)整情況1、原定項(xiàng)目截止時(shí)間為2018年6月，申請(qǐng)項(xiàng)目延期至2019年7月完成。

2、背景情況

網(wǎng)站為網(wǎng)絡(luò)用戶提供信息共享、瀏覽，部署應(yīng)用系統(tǒng),包含了大量的數(shù)據(jù)、網(wǎng)

頁、可執(zhí)行應(yīng)用程序、系統(tǒng)程序、服務(wù)程序、管理程序等。這些重要資源面臨被

黑客非法篡改，被泄露，被丟失等安全威脅，系統(tǒng)程序、服務(wù)程序、管理程序面

臨被攻擊風(fēng)險(xiǎn)，如何及時(shí)發(fā)現(xiàn)并報(bào)告這些威脅和風(fēng)險(xiǎn)，對(duì)網(wǎng)站的安全非常重要。

網(wǎng)站安全測(cè)評(píng)服務(wù)，也稱網(wǎng)站安全評(píng)估，即是通過技術(shù)手段評(píng)估網(wǎng)站安全，如通

過漏洞掃描，檢測(cè)網(wǎng)頁是否存在病毒、木馬、Webshell、后門等惡意代碼和CC

攻擊、SQL注入、XSS跨站攻擊、網(wǎng)頁篡改、掛黑鏈等漏洞。當(dāng)有此類情況發(fā)生，

需提醒網(wǎng)站管理員及時(shí)修復(fù)和加固，保障網(wǎng)站的安全運(yùn)行，提高網(wǎng)站運(yùn)行的安全。

因此許多網(wǎng)站采用安全測(cè)評(píng)服務(wù)以驗(yàn)證其網(wǎng)站的安全性。

由于安全測(cè)評(píng)服務(wù)需要對(duì)網(wǎng)站進(jìn)行網(wǎng)頁掛馬、數(shù)據(jù)加密、網(wǎng)頁篡改甚至CC、

SQL注入攻擊、XSS跨站等攻擊測(cè)試，無論服務(wù)提供商采取云測(cè)評(píng)方法還是單機(jī)

2.1目的、意義測(cè)評(píng)方法，都存在測(cè)評(píng)工作人員操作不規(guī)范引起正常服務(wù)中斷、泄露網(wǎng)站信息、

（工作開展背景對(duì)殘余信息處理不當(dāng)而造成被測(cè)網(wǎng)站遭到攻擊的可能，因此保證安全測(cè)評(píng)服務(wù)提

及要求）供商的安全性和可靠性是網(wǎng)站進(jìn)行安全測(cè)評(píng)的前提和基礎(chǔ)。

對(duì)網(wǎng)站安全測(cè)評(píng)服務(wù)的安全提出要求和規(guī)范，對(duì)服務(wù)需求方和提供方而言都

可以提升安全測(cè)評(píng)服務(wù)的質(zhì)量，優(yōu)化服務(wù)成本，強(qiáng)化服務(wù)效能，降低服務(wù)風(fēng)險(xiǎn)。

本項(xiàng)目旨在為網(wǎng)站安全測(cè)評(píng)參與主體開展網(wǎng)站安全測(cè)評(píng)服務(wù)，使用和部署網(wǎng)絡(luò)安

全測(cè)評(píng)工具，管理網(wǎng)絡(luò)安全測(cè)評(píng)人員等在內(nèi)提供通用規(guī)則和一般安全評(píng)價(jià)技術(shù)要

求。為網(wǎng)站安全測(cè)評(píng)服務(wù)，提供安全承諾兌現(xiàn)方面的依據(jù)，也為網(wǎng)站安全測(cè)評(píng)服

務(wù)安全認(rèn)證提供支撐和依據(jù)，進(jìn)而促進(jìn)我國網(wǎng)站安全測(cè)評(píng)服務(wù)環(huán)境的建立，推動(dòng)

網(wǎng)站安全測(cè)評(píng)服務(wù)的健康、快速發(fā)展。

自上世紀(jì)八十年代以來，國內(nèi)/國際發(fā)布了許多IT服務(wù)的各種標(biāo)準(zhǔn)，主要有

ITIL、ISO/IEC20000、ISO/IEC27000、cMMI、coBIT，但這些標(biāo)準(zhǔn)大多數(shù)定位IT治

理、IT服務(wù)管理，對(duì)IT服務(wù)安全性甚少涉及?！禛B/T18336--2001信息技術(shù)安

全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的

基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基礎(chǔ)?！禛B/T31167－2014信息安全技術(shù)云

計(jì)算服務(wù)安全指南》對(duì)云計(jì)算可能面臨的主要安全風(fēng)險(xiǎn),提出了政府部門采用云計(jì)

2.2與國內(nèi)外相

算服務(wù)的安全管理基本要求及云計(jì)算服務(wù)的生命周期各階段的安全管理和技術(shù)要

關(guān)標(biāo)準(zhǔn)、文獻(xiàn)的

關(guān)系求?！禛B-T20984－2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》提出風(fēng)險(xiǎn)評(píng)估安

全測(cè)評(píng)的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評(píng)估方法，以及風(fēng)險(xiǎn)評(píng)估在

信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。本項(xiàng)目將參考以上標(biāo)準(zhǔn)中通用

的IT服務(wù)安全相關(guān)內(nèi)容，也將分析其過程中存在的信息安全問題，針對(duì)性地提出

網(wǎng)站安全測(cè)評(píng)服務(wù)的安全要求。

3編制過程

項(xiàng)目（標(biāo)準(zhǔn)）承擔(dān)單位：中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心。

其他參與單位：北京郵電大學(xué)、中國電子科技集團(tuán)公司第十五研究所、北京信息安全

測(cè)評(píng)中心、北京紅戎信安技術(shù)有限公司、北京安信多樂科技有限公司。

本標(biāo)準(zhǔn)共分為8個(gè)章節(jié)，各部分內(nèi)容及分工如下：

1~3范圍、規(guī)范性引用文件、術(shù)語定義和縮略語，由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中

心編制。

4、安全原則：由北京郵電大學(xué)負(fù)責(zé)編制。

3.1分工情況

5、風(fēng)險(xiǎn)分析：由中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心負(fù)責(zé)5.1-5.2，北京安信多樂科技

有限公司負(fù)責(zé)5.3-5.5

6、組織建設(shè)要求：由中國電子科技集團(tuán)公司第十五研究所負(fù)責(zé)。

7、制度過程要求：由北京安信多樂科技有限公司負(fù)責(zé)7.1-7.2北京信息安全測(cè)評(píng)中心

負(fù)責(zé)7.3-7.4、。

8、技術(shù)工具要求：由北京信息安全測(cè)評(píng)中心負(fù)責(zé)8.1-8.4，北京紅戎信安技術(shù)有限公

司負(fù)責(zé)8.5-8.7。

2017年6月，項(xiàng)目立項(xiàng)；

2017年7月，成立規(guī)范編制組

2017年12月，討論確定完成草案框架

2018年3月，通過分析國內(nèi)外網(wǎng)站安全測(cè)評(píng)服務(wù)，確定人員管理方面的風(fēng)險(xiǎn)；

2017年12月至2018年3月，初步形成規(guī)范草案；

2018年5月，標(biāo)準(zhǔn)項(xiàng)目啟動(dòng)會(huì)議

2018年6月，確定術(shù)語和定義部分

3.2起草階段2018年7月，確定網(wǎng)站安全測(cè)評(píng)服務(wù)安全原則部分

2018年9月至2018年12月，確定安全風(fēng)險(xiǎn)分析、組織建設(shè)要求、服務(wù)過程要求、技

術(shù)和工具要求章節(jié)部分

2018年11月，起草組向行標(biāo)管理部門提出延期一年的申請(qǐng)；

2019年3月，規(guī)范編制組對(duì)草案進(jìn)行內(nèi)部研討；

2019年5月，經(jīng)過修訂初步形成征求意見稿；

2019年7月，準(zhǔn)備標(biāo)準(zhǔn)試點(diǎn)工作；

2019年11月，試點(diǎn)單位開始使用此標(biāo)準(zhǔn)指導(dǎo)測(cè)評(píng)工作。

3.3征求意見階2019年5~7月，以郵件、微信群形式向相關(guān)第三方檢測(cè)機(jī)構(gòu)、技術(shù)專家、企業(yè)征求意

段見，采納專家意見，修訂后，標(biāo)準(zhǔn)編制組達(dá)成一致。

3.4標(biāo)準(zhǔn)審定階

段

4主要技術(shù)內(nèi)容的確定

對(duì)網(wǎng)站安全測(cè)評(píng)服務(wù)的安全提出要求和規(guī)范，對(duì)服務(wù)需求方和提供方而言都可以提升安全測(cè)評(píng)服務(wù)

的質(zhì)量，優(yōu)化服務(wù)成本，強(qiáng)化服務(wù)效能，降低服務(wù)風(fēng)險(xiǎn)。

本項(xiàng)目研究網(wǎng)站安全測(cè)評(píng)服務(wù)的四個(gè)組成要素（人員、流程、技術(shù)、資源）和，生命周期的五個(gè)階

段：規(guī)劃設(shè)計(jì)、部署實(shí)施、服務(wù)運(yùn)營、持續(xù)改進(jìn)、監(jiān)督管理所涉及的安全評(píng)價(jià)問題。在私密性、透明性、

可信性的安全原則的基礎(chǔ)上，分別對(duì)網(wǎng)站安全測(cè)評(píng)的全生命周期里對(duì)四個(gè)要素進(jìn)行分析：

1、人員：1）組織結(jié)構(gòu)分析，即分析現(xiàn)有組織結(jié)構(gòu)對(duì)實(shí)施安全測(cè)評(píng)的可信性，2）人員能力分析，

即分析服務(wù)人員的能力、資質(zhì)及培訓(xùn)經(jīng)歷；

2、流程：1）對(duì)已建立的管理的規(guī)范性分析，2）對(duì)服務(wù)操作流程可能出現(xiàn)的非規(guī)范操作的風(fēng)險(xiǎn)

進(jìn)行分析。

3、技術(shù)：1）對(duì)增加新服務(wù)或變更現(xiàn)有服務(wù)進(jìn)行的研發(fā)將帶來的的安全性進(jìn)行分析，2）對(duì)已有

服務(wù)中采取的技術(shù)和工具涉及的安全性進(jìn)行分析；

4、資源：1）對(duì)服務(wù)接受方資源要求、管理權(quán)限等的合理性分析。

最后在以上四個(gè)要素安全性需求分析的基礎(chǔ)上，進(jìn)一步提出網(wǎng)站安全測(cè)評(píng)服務(wù)的安全要求。

5驗(yàn)證情況（適用于方法類標(biāo)準(zhǔn)）

驗(yàn)證單位驗(yàn)證人員驗(yàn)證時(shí)間

5.1驗(yàn)證單位情

況

5.2驗(yàn)證、試行

過程

5.3驗(yàn)證數(shù)據(jù)分

析

5.4驗(yàn)證、試行

評(píng)價(jià)

5.5其他應(yīng)說明

無

的情況

6附加說明（可選項(xiàng)）

6.1宣貫標(biāo)準(zhǔn)

的建議

6.2修訂和廢

除現(xiàn)行有關(guān)標(biāo)

準(zhǔn)的建議

6.3重大分歧意

見的處理經(jīng)過

和依據(jù)

6.4其他需要

說明的情況

6.5參考文獻(xiàn)[1]GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范（征求意見稿）

聯(lián)系人聯(lián)系電話電子郵箱

注1：本格式的通用部分為第