《web應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》（2017rb011）-編制說(shuō)明

1、《WEBWEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》(征求意見稿征求意見稿)編制說(shuō)明編制說(shuō)明一、工作簡(jiǎn)況（一）括任務(wù)來(lái)源和協(xié)作單位《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》是國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)下達(dá)的認(rèn)證認(rèn)可行業(yè)規(guī)范制定項(xiàng)目，行標(biāo)計(jì)劃號(hào)為2017RB011。本規(guī)范為自主制定標(biāo)準(zhǔn)，牽頭單位為中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心，參與規(guī)范申請(qǐng)單位有上海市信息安全測(cè)評(píng)認(rèn)證中心等2家單位，歸口單位為國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)（

2、簡(jiǎn)稱國(guó)家認(rèn)監(jiān)委）。（二）主要工作過(guò)程1、2017年5月，成立規(guī)范編制組；2、2017年6月，通過(guò)分析國(guó)內(nèi)外WEB應(yīng)用安全監(jiān)測(cè)平臺(tái)涉及的關(guān)鍵技術(shù)及工作原理，確定安全邊界并分析其“安全環(huán)境”；3、2017年7月，結(jié)合產(chǎn)品功能和實(shí)際需求，識(shí)別WEB應(yīng)用安全監(jiān)測(cè)平臺(tái)應(yīng)用可能存在的威脅及安全假設(shè)；4、2017年8月，基于安全環(huán)境、安全威脅和應(yīng)用假設(shè)的分析結(jié)果，提煉、標(biāo)識(shí)WEB應(yīng)用安全監(jiān)測(cè)平臺(tái)應(yīng)達(dá)到的技術(shù)和管理“安全目標(biāo)”；5、2017年9月，根據(jù)

3、確定的安全目標(biāo)，結(jié)合現(xiàn)有技術(shù)和法律法規(guī)要求提出對(duì)WEB應(yīng)用安全監(jiān)測(cè)平臺(tái)的技術(shù)要求；6、2017年10月至2007年11月，根據(jù)當(dāng)前管理和應(yīng)用需求，確定WEB應(yīng)用安全監(jiān)測(cè)平臺(tái)應(yīng)達(dá)到的信息安全功能要求和信息安全保障能力級(jí)別；7、2017年12月至2018年3月，初步形成規(guī)范草案；8、2018年4月至2018年5月，規(guī)范編制組對(duì)草案進(jìn)行內(nèi)部研討；9、2018年6月，并對(duì)草案進(jìn)行修改完善，形成了《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》的征求意見稿

4、。二、標(biāo)準(zhǔn)編制原則和主要內(nèi)容WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是部署在網(wǎng)絡(luò)里，以遠(yuǎn)程監(jiān)控的方式，實(shí)現(xiàn)對(duì)WEB應(yīng)用的服務(wù)狀態(tài)、安全狀態(tài)進(jìn)行監(jiān)測(cè)的產(chǎn)品。產(chǎn)品由平臺(tái)管理模塊和探測(cè)引擎模塊組成，采用遠(yuǎn)程監(jiān)測(cè)技術(shù)可對(duì)WEB應(yīng)用提供實(shí)時(shí)安全監(jiān)測(cè)服務(wù)。隨著信息化建設(shè)的加速發(fā)展，網(wǎng)站服務(wù)的提供已經(jīng)被廣泛應(yīng)用于政府機(jī)關(guān)和各類7三、預(yù)期目標(biāo)為適應(yīng)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)技術(shù)的發(fā)展，本項(xiàng)目旨在集成認(rèn)證、檢測(cè)機(jī)構(gòu)和相關(guān)產(chǎn)業(yè)的最佳實(shí)踐，通過(guò)研究WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的工作原理

5、、功能特點(diǎn)、安全機(jī)制，確定WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全邊界和應(yīng)用環(huán)境，結(jié)合相關(guān)法律法規(guī)及實(shí)際應(yīng)用有關(guān)要求，參考相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)范，提出WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的技術(shù)要求和測(cè)試評(píng)價(jià)方法，形成《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》標(biāo)準(zhǔn)。四、四、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況目前國(guó)內(nèi)外尚無(wú)統(tǒng)一的WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全技術(shù)標(biāo)準(zhǔn)。在WEB漏洞掃描和防護(hù)領(lǐng)域出現(xiàn)過(guò)防護(hù)產(chǎn)品安全技術(shù)要求，如《GBT329172016信息安全技術(shù)WEB應(yīng)用防火墻安全技術(shù)

6、要求與測(cè)試評(píng)價(jià)方法》，該技術(shù)要求僅規(guī)定了web應(yīng)用防火墻的測(cè)試內(nèi)容和方法。《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》制定項(xiàng)目將以《GBT18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》標(biāo)準(zhǔn)框架為基礎(chǔ)，以提高和規(guī)范WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全技術(shù)為目標(biāo)，充分考慮國(guó)內(nèi)外主要WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的特點(diǎn)和安全機(jī)制，提出安全技術(shù)的評(píng)價(jià)規(guī)范，為國(guó)內(nèi)相關(guān)產(chǎn)品的研制、生產(chǎn)、測(cè)試和評(píng)估提供指導(dǎo)作用?！禛BT18336信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》

7、等同采用ISOIEC15408國(guó)際標(biāo)準(zhǔn)，對(duì)應(yīng)CC標(biāo)準(zhǔn)（CommonCriteriafInfmationTechnologySecurityEvaluation：信息技術(shù)安全性通用評(píng)估準(zhǔn)則)。1、國(guó)外CC標(biāo)準(zhǔn)發(fā)展情況國(guó)外，CC（CommonCriteria）組織一直致力于信息安全通用評(píng)估準(zhǔn)則（CommonCriteriafInfmationTechnologySecurityEvaluation，簡(jiǎn)稱“CC”)的研究和發(fā)布。在1996年發(fā)

8、布了信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則V1.0版，1998年發(fā)布CCV2.0版，1999年升級(jí)為CCV2.1版，同年被國(guó)際標(biāo)準(zhǔn)組織ISO吸納為國(guó)際標(biāo)準(zhǔn)，編號(hào)ISOIEC15408:1999。隨著各國(guó)在使用該標(biāo)準(zhǔn)過(guò)程中經(jīng)驗(yàn)的積累和反饋，CC組織不斷對(duì)該標(biāo)準(zhǔn)進(jìn)行相關(guān)修訂工作，2005年發(fā)布了CCV2.3版，該版本被ISO組織吸納升級(jí)為國(guó)際標(biāo)準(zhǔn)ISOIEC15408:2005版。2006年CC組織發(fā)布了CCV3.1版，這次修訂對(duì)上一版本進(jìn)行了較大調(diào)整，