RB-T 212-2023 网站安全测评服务安全评价要求

ICS03.120.20 CCSA00 中华人民共和国认证认可行业标准 RB/T212—2023 网站安全测评服务安全评价要求 Requirementsforevaluationofwebsitesecuritytestservices 2024-05-20发布 2024-07-01实施国家认证认可监督管理委员会发布中国标准出版社出版目次前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 评价原则 2 ………………………………………………………………………………………………… 5 评价方法 2 ………………………………………………………………………………………………… 6 评价过程 3 ………………………………………………………………………………………………… 7 评价内容 3 ………………………………………………………………………………………………… 附录A(资料性) 网站安全测评服务安全风险分析 9 …………………………………………………… 参考文献 10 …………………………………………………………………………………………………… ⅠRB/T212—2023 仅供国家认证认可监督管理委员会内部使用前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规定》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由国家认证认可监督管理委员会提出并归口。本文件起草单位:中国网络安全审查认证和市场监管大数据中心、北京邮电大学、中国电子科技集团公司第十五研究所、北京信息安全测评中心、北京红戎信安技术有限公司、北京安信多乐科技有限公司。本文件主要起草人:樊华、寇春晓、陆月明、锁延峰、李媛、何志明、杜霖、甘杰夫、胡石、郑潇潇、翟亚红、段静辉、阚明、刘珺珺、华铎。 ⅢRB/T212—2023 仅供国家认证认可监督管理委员会内部使用引言 2017年我国第一部网络安全领域的专门性立法《中华人民共和国网络安全法》实施,其第十七条提出“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”,从法律层面肯定了网络安全服务在保障国家网络安全方面起到的重要作用。网站系统是向用户提供信息共享、浏览、发布部署应用系统的容器,随着互联网技术的迅速发展,网站系统得到极大的普及,各类应用极大地丰富和便利了人们的生活和学习。网站系统包含了大量的可视网页、可执行程序、系统程序、服务程序、管理程序和数据等。这些重要资源面临被黑客非法篡改、被泄露、被丢失等安全威胁。网站安全测评通过技术手段对网站进行漏洞扫描,检测网页是否存在漏洞、网页是否挂马、网页有没有被篡改、是否有欺诈网站等,保障网站的安全运行,提高网站服务的安全质量。但由于安全测评服务需要对网站进行网页挂马、数据加密、网页篡改甚至CC、SQL注入攻击、XSS跨站等攻击测试,且不成熟的安全测评技术、工具,不规范操作都会引入新的安全问题,因此保证测评服务提供方工作的安全性和可靠性是网站进行安全测评的前提和基础。 ⅣRB/T212—2023 仅供国家认证认可监督管理委员会内部使用网站安全测评服务安全评价要求 1 范围本文件确立了网站安全测评服务的评价原则,规定了网站安全测评服务的评价方法、评价过程及评价内容。本文件适用于第三方评价机构对网站安全测评服务提供方的安全水平进行评估。网站安全测评服务提供方、网站安全测评服务需求方自行参考使用。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T5271.8—2001 信息技术词汇第8部分:安全 GB/T25069—2022 信息安全技术术语 3 术语和定义 GB/T5271.8—2001、GB/T25069—2022界定的以及下列术语和定义适用于本文件。 3.1 网站 website 利用网络发布信息,提供在线服务、开展在线互动交流的系统或平台。注:包括为用户提供展示和交互功能的页面以及生成和处理页面的应用程序、中间件、服务器等。 3.2 网站安全 websitesecurity 采取一系列措施防止网站被挂马、网页被篡改、数据被泄露、流量被劫持等行为,从而保障网站的安全性、保密性、完整性及可用性。 3.3 网站安全测评 websitesecuritytest 针对网站安全性,进行问题发现、符合性和有效性验证的活动。 3.4 网站安全测评服务提供方 websitesecuritytestserviceprovider 按照服务协议,通过专业的网站安全测评服务人员提供网站安全测评服务的组织。 [来源:GB/T32914—2016,3.3,有修改] 3.5 网站安全测评服务需求方 websitesecuritytestservicedemander 获取外部提供的网站安全测评服务,以满足网站安全需求,实现自身业务目标的组织(或个人用户)。 [来源:GB/T32914—2016,3.2,有修改] 1RB/T212—2023 仅供国家认证认可监督管理委员会内部使用 3.6 渗透测试 penetrationtesting 以未经授权的动作绕过某一系统的安全机制来检查信息系统的安全功能,以发现信息系统安全问题的手段。 [来源:GB/T25069—2022,3.520] 4 评价原则 4.1 公正性评价发现和评价结论建立在评价证据的基础上,评价报告实事求是、真实准确地反映评价活动。同时消除各种先入为主或者主观偏见,坚持独立性,拒绝接受利益相关方的游说,不从评价中获取利益。 4.2 可回溯性评价程序规范严谨,评价证据是可证实的。由于评价是在有限的时间内和资源条件下进行的,因此评价证据是建立在可获得的信息样本基础上,合理地进行抽样和记录,因为这与评价结论的可信性密切相关。 4.3 透明性评价准则、评价程序、评价方案及评价过程中使用的方法和工具均公开。沟通及时、准确、清楚、客观和完整。 4.4 保密性审慎使用和保护在评价过程中获得的有关申请人或获证组织的商业、技术等信息。未经申请人或获证组织的书面同意,不应对外透露其信息。 5 评价方法宜综合采用文档查验、资料调查、现场核查、人员访谈等方式,以评价网站安全测评服务提供方(以下简称“服务提供方”)的安全水平。 a) 文档查验。为了分析服务提供方开展服务活动的安全性,需要查看各类文档资料,包括策略文档(例如政策法规、指导性文档、组织管理制度等)、服务过程相关文档(例如安全测试报告、应急预案、服务记录等)等。 b)资料调查。依据公开资料了解服务提供方的背景,并查验其提供材料的真实、准确性,是否有隐瞒未报的情况。 c)现场核查。观察服务提供方的服务过程、操作行为、技术设施和环境状况,以判断服务人员的安全意识、业务操作、管理程序等方面的安全情况,寻找是否有违反其安全策略的现象,核实相关安全制度的落实情况。 d)人员访谈。访谈服务提供方的管理和技术人员,收集其相关的组织建设、服务过程、测评工具等信息,也可以了解到被访谈者的安全意识和安全技能等自身素质,并验证之前收集到的资料,从而提高评价的准确度和完整性。 2RB/T212—2023 仅供国家认证认可监督管理委员会内部使用 6 评价过程网站安全测评服务评价过程包括评价准备阶段、评价实施阶段、评价结果判定阶段和评价报告编写阶段。 a) 评价准备阶段。收集分析服务提供方基本信息,确定评价内容和评价方法,编制评价方案,准备评价实施环境及工具等。 b)评价实施阶段。按照评价方案实施评价活动,确认评价过程的主要环节和步骤全部完成,并形成对应的评价结果记录。评价实施动作完成后,应归还服务提供方相关资料、移交相关权限。 c)评价结果判定阶段。依据评价结果记录,判定服务提供方是否符合要求。 d)评价报告编写阶段。根据评价记录和结果判定,编写评价报告。 7 评价内容 7.1 概述通过分析评价服务提供方在组织建设、服务过程和测评工具的安全性,判断网站安全测评服务是否能达到安全测评服务的要求。 7.2 组织建设 7.2.1 组织机构服务提供方应具备开展服务的能力和资质。 a) 在中华人民共和国境内注册,遵循国家相关标准要求,信用状况良好。 b)提供在中华人民共和国境内登记注册的会计师事务所出具的近3年财务审计报告,近3年经营状况良好,财务数据真实可信。 c)具有固定办公场所和相适应的办公条件,能够满足机构设置及其业务需要。 7.2.2 人力资源与培训服务提供方应建立并执行满足网站安全测评服务所需的人力资源管理制度。 a) 明确雇用员工的条件和考察评价方法与程序。 b)具有与网站安全测评服务相符合的人力资源规模和结构及独立设置的专业技术部门或团队,建立相应的人员安全管理制度。 c)在员工任用前、任用中、任用终止时,具有不同