《网站安全测评服务安全评价技术要求》（2016RB021）-编制说明.docVIP

附件7： 认证认可行业标准草案编制说明 （参考格式） 1、基本信息 1.1 标准草案名称 中文 网站安全测评服务安全评价技术要求 英文 Security evaluation requirements for Web security test services 1.2 与国际标准和国外先进标准一致性程度情况 □等同采用 □修改采用 □非等效采用 R未采用 标准编号 / 英文名称 / 中文名称 / 1.3 任务来源 批准立项的文件名称和文件号 国家认监委关于下达2017年第一批认证认可行业标准制定计划项目的通知 计划编号 2016RB021 1.4制（修）订 eq \o\ac(□,√)制定 □修订（被修订标准名称及编号： ） 1.5 起止时间 2017年4月28日--- 2019年 7月30日 1.6 标准起草单位 中国网络安全审查技术与认证中心、北京邮电大学、中国电子科技集团公司第十五研究所、北京信息安全测评中心、北京红戎信安技术有限公司、北京安信多乐科技有限公司。 1.7 起草组成员 樊华、寇春晓、陆月明、锁延峰、李媛、何志明、杜霖、甘杰夫、胡石、郑潇潇、翟亚红、段静辉、阚明、刘珺珺、华铎 1.8标准体系表内编号 1.9调整情况 原定项目截止时间为2018年6月，申请项目延期至2019年7月完成。 2、背景情况 2.1 目的、意义 （工作开展背景及要求） 网站为网络用户提供信息共享、浏览，部署应用系统,包含了大量的数据、网页、可执行应用程序、系统程序、服务程序、管理程序等。这些重要资源面临被黑客非法篡改，被泄露，被丢失等安全威胁，系统程序、服务程序、管理程序面临被攻击风险，如何及时发现并报告这些威胁和风险，对网站的安全非常重要。网站安全测评服务，也称网站安全评估，即是通过技术手段评估网站安全，如通过漏洞扫描，检测网页是否存在病毒、木马、Webshell、后门等恶意代码和CC攻击、SQL注入、XSS跨站攻击、网页篡改、挂黑链等漏洞。当有此类情况发生，需提醒网站管理员及时修复和加固，保障网站的安全运行，提高网站运行的安全。因此许多网站采用安全测评服务以验证其网站的安全性。 由于安全测评服务需要对网站进行网页挂马、数据加密、网页篡改甚至CC、SQL注入攻击、XSS跨站等攻击测试，无论服务提供商采取云测评方法还是单机测评方法，都存在测评工作人员操作不规范引起正常服务中断、泄露网站信息、对残余信息处理不当而造成被测网站遭到攻击的可能，因此保证安全测评服务提供商的安全性和可靠性是网站进行安全测评的前提和基础。 对网站安全测评服务的安全提出要求和规范，对服务需求方和提供方而言都可以提升安全测评服务的质量，优化服务成本，强化服务效能，降低服务风险。本项目旨在为网站安全测评参与主体开展网站安全测评服务，使用和部署网络安全测评工具，管理网络安全测评人员等在内提供通用规则和一般安全评价技术要求。为网站安全测评服务，提供安全承诺兑现方面的依据，也为网站安全测评服务安全认证提供支撑和依据，进而促进我国网站安全测评服务环境的建立，推动网站安全测评服务的健康、快速发展。 2.2 与国内外相关标准、文献的关系 自上世纪八十年代以来，国内/国际发布了许多IT服务的各种标准，主要有ITIL、ISO/IEC20000、ISO/IEC27000、cMMI、coBIT，但这些标准大多数定位IT治理、IT服务管理，对IT服务安全性甚少涉及。《GB/T 18336--2001信息技术 安全技术 信息技术安全性评估准则》定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基础。《GB/T 31167－2014 信息安全技术 云计算服务安全指南》对云计算可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本要求及云计算服务的生命周期各阶段的安全管理和技术要求。《GB-T 20984－2007 信息安全技术 信息安全风险评估规范》提出风险评估安全测评的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本项目将参考以上标准中通用的IT服务安全相关内容，也将分析其过程中存在的信息安全问题，针对性地提出网站安全测评服务的安全要求。 3 编制过程 3.1 分工情况 项目（标准）承担单位：中国网络安全审查技术与认证中心。 其他参与单位：北京邮电大学、中国电子科技集团公司第十五研究所、北京信息安全测评中心、北京红戎信安技术有限公司、北京安信多乐科技有限公司。 本标准共分为8个章节，各部分内容及分工如下： 1~3范围、规范性引用文件、术语定义和缩略语，由中国网络安全审查技术与认证中心编制。 4、安全原则：由北京邮电大学负责编制。 5、风险分析：