《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》(2017RB011)-編制說明
《《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》(2017RB011)-編制說明》由會(huì)員分享,可在線閱讀,更多相關(guān)《《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》(2017RB011)-編制說明(4頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》(征求意見稿) 編制說明 一、 工作簡(jiǎn)況 (一)括任務(wù)來源和協(xié)作單位 《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》是國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)下達(dá)的認(rèn)證認(rèn)可行業(yè)規(guī)范制定項(xiàng)目,行標(biāo)計(jì)劃號(hào)為2017RB011。本規(guī)范為自主制定標(biāo)準(zhǔn),牽頭單位為中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心,參與規(guī)范申請(qǐng)單位有上海市信息安全測(cè)評(píng)認(rèn)證中心等2家單位,歸口單位為國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)(簡(jiǎn)稱國(guó)家認(rèn)監(jiān)委)。 (二)主要工作過程 1、2017年5月,成立規(guī)范編制組; 2、2017年6月,通過分析國(guó)內(nèi)外WEB應(yīng)用安全監(jiān)測(cè)平臺(tái)涉及的關(guān)鍵技術(shù)及工作原理,確定安全邊界并分析其“安全環(huán)境”; 3、2017年7月,結(jié)合產(chǎn)品功能和實(shí)際需求,識(shí)別WEB應(yīng)用安全監(jiān)測(cè)平臺(tái)應(yīng)用可能存在的威脅及安全假設(shè); 4、2017年8月,基于安全環(huán)境、安全威脅和應(yīng)用假設(shè)的分析結(jié)果,提煉、標(biāo)識(shí)WEB應(yīng)用安全監(jiān)測(cè)平臺(tái)應(yīng)達(dá)到的技術(shù)和管理“安全目標(biāo)”; 5、2017年9月,根據(jù)確定的安全目標(biāo),結(jié)合現(xiàn)有技術(shù)和法律法規(guī)要求提出對(duì)WEB應(yīng)用安全監(jiān)測(cè)平臺(tái)的技術(shù)要求; 6、2017年10月至2007年11月,根據(jù)當(dāng)前管理和應(yīng)用需求,確定WEB應(yīng)用安全監(jiān)測(cè)平臺(tái)應(yīng)達(dá)到的信息安全功能要求和信息安全保障能力級(jí)別; 7、2017年12月至2018年3月,初步形成規(guī)范草案; 8、2018年4月至2018年5月,規(guī)范編制組對(duì)草案進(jìn)行內(nèi)部研討; 9、2018年6月,并對(duì)草案進(jìn)行修改完善,形成了《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》的征求意見稿。 二、 標(biāo)準(zhǔn)編制原則和主要內(nèi)容 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是部署在網(wǎng)絡(luò)里,以遠(yuǎn)程監(jiān)控的方式,實(shí)現(xiàn)對(duì)WEB應(yīng)用的服務(wù)狀態(tài)、安全狀態(tài)進(jìn)行監(jiān)測(cè)的產(chǎn)品。產(chǎn)品由平臺(tái)管理模塊和探測(cè)引擎模塊組成,采用遠(yuǎn)程監(jiān)測(cè)技術(shù)可對(duì)WEB應(yīng)用提供實(shí)時(shí)安全監(jiān)測(cè)服務(wù)。 隨著信息化建設(shè)的加速發(fā)展,網(wǎng)站服務(wù)的提供已經(jīng)被廣泛應(yīng)用于政府機(jī)關(guān)和各類企事業(yè)單位。通過對(duì)網(wǎng)站的不間斷監(jiān)測(cè)服務(wù)從而提升網(wǎng)站的安全防護(hù)能力和網(wǎng)站服務(wù)質(zhì)量,并通過安全監(jiān)測(cè)平臺(tái)的事件跟蹤功能建立起一種長(zhǎng)效的安全保障機(jī)制。監(jiān)測(cè)平臺(tái)為應(yīng)對(duì)當(dāng)前復(fù)雜的網(wǎng)絡(luò)安全形勢(shì),進(jìn)行以漏洞檢測(cè)為主的多維度監(jiān)測(cè),一般包括安全風(fēng)險(xiǎn)檢測(cè)(漏洞檢測(cè)),安全事件監(jiān)測(cè)(內(nèi)容篡改、網(wǎng)頁(yè)木馬、可用性等),形成實(shí)時(shí)網(wǎng)站W(wǎng)EB應(yīng)用監(jiān)測(cè)。 近年來,網(wǎng)站W(wǎng)EB應(yīng)用面臨的風(fēng)險(xiǎn)與日俱增,網(wǎng)站提供服務(wù)的同時(shí)其安全也備受關(guān)注。因此,開展WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)研究就顯得尤為迫切,制定《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》不僅可為用戶選擇WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)提供合理依據(jù),也可為WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的研制、生產(chǎn)、測(cè)試、評(píng)估和認(rèn)證提供指導(dǎo),對(duì)于網(wǎng)站W(wǎng)EB應(yīng)用安全監(jiān)測(cè)系統(tǒng)有序高效發(fā)展具有重要的意義。 另外,目前國(guó)內(nèi)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的實(shí)現(xiàn)水平不一,安全性參差不齊,與國(guó)外水平也存在很大的差距,在未來的應(yīng)用中必將存在很大的安全隱患。因此,必須盡快地建立一套WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的安全技術(shù)評(píng)價(jià)標(biāo)準(zhǔn),來規(guī)范WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)功能及安全性的實(shí)現(xiàn),為WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)在未來的應(yīng)用中能夠提供更安全的服務(wù)奠定更堅(jiān)實(shí)的基礎(chǔ)。 本項(xiàng)目研究?jī)?nèi)容包括: 1) 通過分析國(guó)內(nèi)外WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)涉及的關(guān)鍵技術(shù)及工作原理,確定安全邊界并分析其“安全環(huán)境”; 2) 結(jié)合產(chǎn)品功能和實(shí)際需求,識(shí)別WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)用可能存在的威脅及安全假設(shè); 3) 基于安全環(huán)境、安全威脅和應(yīng)用假設(shè)的分析結(jié)果,提煉、標(biāo)識(shí)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)達(dá)到的技術(shù)和管理“安全目標(biāo)”; 4) 根據(jù)確定的安全目標(biāo),結(jié)合現(xiàn)有標(biāo)準(zhǔn)和法律法規(guī)要求提出對(duì)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的技術(shù)要求; 5) 基于產(chǎn)品功能和安全功能技術(shù)要求,研究制定相應(yīng)的檢測(cè)方法,并建立相關(guān)評(píng)價(jià)準(zhǔn)則; 6) 根據(jù)我國(guó)產(chǎn)業(yè)發(fā)展現(xiàn)狀,及用戶應(yīng)用和國(guó)家信息安全管理需要,確定有效實(shí)現(xiàn)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全目標(biāo)導(dǎo)出的安全要求,產(chǎn)品研發(fā)生產(chǎn)者信息安全保障能力應(yīng)達(dá)到的級(jí)別,明確相關(guān)要求及方法; 7) 綜合產(chǎn)品功能、安全功能、安全保障能力要求,及相應(yīng)測(cè)試評(píng)價(jià)方法的研究結(jié)果,形成標(biāo)準(zhǔn)草案; 8) 根據(jù)標(biāo)準(zhǔn)驗(yàn)證應(yīng)用結(jié)果、專家評(píng)審意見,修訂標(biāo)準(zhǔn)草案,包括:在檢測(cè)認(rèn)證活動(dòng)中驗(yàn)證應(yīng)用標(biāo)準(zhǔn),組織專家對(duì)標(biāo)準(zhǔn)草案及驗(yàn)證應(yīng)用情況進(jìn)行評(píng)審,遵循保證標(biāo)準(zhǔn)科學(xué)性、可操作性、一定前瞻性等原則,對(duì)標(biāo)準(zhǔn)草案進(jìn)行修訂。 三、 預(yù)期目標(biāo) 為適應(yīng)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)技術(shù)的發(fā)展,本項(xiàng)目旨在集成認(rèn)證、檢測(cè)機(jī)構(gòu)和相關(guān)產(chǎn)業(yè)的最佳實(shí)踐,通過研究WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的工作原理、功能特點(diǎn)、安全機(jī)制,確定WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全邊界和應(yīng)用環(huán)境,結(jié)合相關(guān)法律法規(guī)及實(shí)際應(yīng)用有關(guān)要求,參考相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)范,提出WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的技術(shù)要求和測(cè)試評(píng)價(jià)方法,形成《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》標(biāo)準(zhǔn)。 四、 采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況 目前國(guó)內(nèi)外尚無統(tǒng)一的WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全技術(shù)標(biāo)準(zhǔn)。在WEB漏洞掃描和防護(hù)領(lǐng)域出現(xiàn)過防護(hù)產(chǎn)品安全技術(shù)要求,如《GB/T32917-2016 信息安全技術(shù) WEB應(yīng)用防火墻安全技術(shù)要求與測(cè)試評(píng)價(jià)方法》,該技術(shù)要求僅規(guī)定了web應(yīng)用防火墻的測(cè)試內(nèi)容和方法。 《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》制定項(xiàng)目將以《GB/T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》標(biāo)準(zhǔn)框架為基礎(chǔ),以提高和規(guī)范WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全技術(shù)為目標(biāo),充分考慮國(guó)內(nèi)外主要WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的特點(diǎn)和安全機(jī)制,提出安全技術(shù)的評(píng)價(jià)規(guī)范,為國(guó)內(nèi)相關(guān)產(chǎn)品的研制、生產(chǎn)、測(cè)試和評(píng)估提供指導(dǎo)作用。 《GB/T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》等同采用ISO/IEC 15408國(guó)際標(biāo)準(zhǔn),對(duì)應(yīng)CC標(biāo)準(zhǔn)(Common Criteria for Information Technology Security Evaluation:信息技術(shù)安全性通用評(píng)估準(zhǔn)則)。 1、 國(guó)外CC標(biāo)準(zhǔn)發(fā)展情況 國(guó)外,CC(Common Criteria)組織一直致力于信息安全通用評(píng)估準(zhǔn)則(Common Criteria for Information Technology Security Evaluation,簡(jiǎn)稱“CC”)的研究和發(fā)布。在1996年發(fā)布了信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則V1.0版,1998年發(fā)布CC V2.0版,1999年升級(jí)為CC V2.1版,同年被國(guó)際標(biāo)準(zhǔn)組織ISO吸納為國(guó)際標(biāo)準(zhǔn),編號(hào)ISO/IEC 15408:1999。 隨著各國(guó)在使用該標(biāo)準(zhǔn)過程中經(jīng)驗(yàn)的積累和反饋,CC組織不斷對(duì)該標(biāo)準(zhǔn)進(jìn)行相關(guān)修訂工作,2005年發(fā)布了CC V2.3版,該版本被ISO組織吸納升級(jí)為國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:2005版。2006年CC組織發(fā)布了CC V3.1版,這次修訂對(duì)上一版本進(jìn)行了較大調(diào)整,經(jīng)過多次反復(fù)的意見征集和討論,最終在2009年7月發(fā)布最終修訂版(V3.1 Revision 3 Final)。2009年12月,國(guó)際標(biāo)準(zhǔn)組織ISO通過吸收CC V3.1的內(nèi)容,陸續(xù)將該標(biāo)準(zhǔn)的3部分完成發(fā)布(ISO/IEC 15408-1:2009、ISO/IEC 15408-2:2008、ISO/IEC 15408-3:2008),作廢了ISO/IEC 15408:2005標(biāo)準(zhǔn)。 2、 國(guó)內(nèi)GB/T 18336標(biāo)準(zhǔn)情況 國(guó)內(nèi),2001年3月我國(guó)發(fā)布了信息安全技術(shù)評(píng)價(jià)的基礎(chǔ)標(biāo)準(zhǔn)《GB/T 18336-2001信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則》(等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:1999)。在GB/T 18336中定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則,是度量信息技術(shù)安全性的基準(zhǔn)。該標(biāo)準(zhǔn)針對(duì)在安全性評(píng)估過程中,信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求,使各種相對(duì)獨(dú)立的安全性評(píng)估結(jié)果具有可比性。 2008年6月根據(jù)相應(yīng)國(guó)際標(biāo)準(zhǔn)的修訂和更新情況,發(fā)布了該標(biāo)準(zhǔn)的新版本,編號(hào)為GB/T 18336-2008(等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:2005)。 2015年根據(jù)相應(yīng)國(guó)際標(biāo)準(zhǔn)的修訂和更新情況,發(fā)布了該標(biāo)準(zhǔn)的最新版本,編號(hào)為GB/T 18336-2015(等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC 15408:2009),目前該標(biāo)準(zhǔn)已經(jīng)發(fā)布生效。 五、 與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定、國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系 本規(guī)范與現(xiàn)行法律、法規(guī)以及國(guó)家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。 六、 有關(guān)問題的說明 項(xiàng)目組在標(biāo)準(zhǔn)編制過程中,經(jīng)歷了內(nèi)部討論與論證、技術(shù)研討會(huì)等過程,項(xiàng)目組在工作過程中遵循GB/T1.1—2009編制原則,對(duì)國(guó)內(nèi)外現(xiàn)狀做了大量調(diào)研,完成了規(guī)范草案的編寫工作。在整個(gè)過程中未遇到重大意見分歧,但對(duì)專家提出的意見和建議,我們做了應(yīng)答和處理,更好地完善了我們的規(guī)范編制工作。 七、 有關(guān)專利的說明 本標(biāo)準(zhǔn)不涉及專利。 規(guī)范編制組 2018年6月 7- 1.請(qǐng)仔細(xì)閱讀文檔,確保文檔完整性,對(duì)于不預(yù)覽、不比對(duì)內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會(huì)出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請(qǐng)點(diǎn)此認(rèn)領(lǐng)!既往收益都?xì)w您。
下載文檔到電腦,查找使用更方便
3 積分
下載 |
- 配套講稿:
如PPT文件的首頁(yè)顯示word圖標(biāo),表示該P(yáng)PT已包含配套word講稿。雙擊word圖標(biāo)可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國(guó)旗、國(guó)徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計(jì)者僅對(duì)作品中獨(dú)創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范 WEB 應(yīng)用 安全 監(jiān)測(cè) 系統(tǒng) 安全評(píng)價(jià) 規(guī)范 2017 RB011 編制 說明
鏈接地址:http://www.3dchina-expo.com/p-719342.html