《WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范》（2017RB011）-編制說明

WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范(征求意見稿)編制說明一、 工作簡況（一）括任務(wù)來源和協(xié)作單位WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范是國家認(rèn)證認(rèn)可監(jiān)督管理委員會下達(dá)的認(rèn)證認(rèn)可行業(yè)規(guī)范制定項目，行標(biāo)計劃號為2017RB011。本規(guī)范為自主制定標(biāo)準(zhǔn)，牽頭單位為中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心，參與規(guī)范申請單位有上海市信息安全測評認(rèn)證中心等2家單位，歸口單位為國家認(rèn)證認(rèn)可監(jiān)督管理委員會（簡稱國家認(rèn)監(jiān)委）。（二）主要工作過程1、2017年5月，成立規(guī)范編制組；2、2017年6月，通過分析國內(nèi)外WEB應(yīng)用安全監(jiān)測平臺涉及的關(guān)鍵技術(shù)及工作原理，確定安全邊界并分析其“安全環(huán)境”；3、2017年7月，結(jié)合產(chǎn)品功能和實際需求，識別WEB應(yīng)用安全監(jiān)測平臺應(yīng)用可能存在的威脅及安全假設(shè)；4、2017年8月，基于安全環(huán)境、安全威脅和應(yīng)用假設(shè)的分析結(jié)果，提煉、標(biāo)識WEB應(yīng)用安全監(jiān)測平臺應(yīng)達(dá)到的技術(shù)和管理“安全目標(biāo)”；5、2017年9月，根據(jù)確定的安全目標(biāo)，結(jié)合現(xiàn)有技術(shù)和法律法規(guī)要求提出對WEB應(yīng)用安全監(jiān)測平臺的技術(shù)要求；6、2017年10月至2007年11月，根據(jù)當(dāng)前管理和應(yīng)用需求，確定WEB應(yīng)用安全監(jiān)測平臺應(yīng)達(dá)到的信息安全功能要求和信息安全保障能力級別；7、2017年12月至2018年3月，初步形成規(guī)范草案；8、2018年4月至2018年5月，規(guī)范編制組對草案進(jìn)行內(nèi)部研討；9、2018年6月，并對草案進(jìn)行修改完善，形成了WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范的征求意見稿。二、 標(biāo)準(zhǔn)編制原則和主要內(nèi)容WEB應(yīng)用安全監(jiān)測系統(tǒng)是部署在網(wǎng)絡(luò)里，以遠(yuǎn)程監(jiān)控的方式，實現(xiàn)對WEB應(yīng)用的服務(wù)狀態(tài)、安全狀態(tài)進(jìn)行監(jiān)測的產(chǎn)品。產(chǎn)品由平臺管理模塊和探測引擎模塊組成，采用遠(yuǎn)程監(jiān)測技術(shù)可對WEB應(yīng)用提供實時安全監(jiān)測服務(wù)。隨著信息化建設(shè)的加速發(fā)展，網(wǎng)站服務(wù)的提供已經(jīng)被廣泛應(yīng)用于政府機(jī)關(guān)和各類企事業(yè)單位。通過對網(wǎng)站的不間斷監(jiān)測服務(wù)從而提升網(wǎng)站的安全防護(hù)能力和網(wǎng)站服務(wù)質(zhì)量，并通過安全監(jiān)測平臺的事件跟蹤功能建立起一種長效的安全保障機(jī)制。監(jiān)測平臺為應(yīng)對當(dāng)前復(fù)雜的網(wǎng)絡(luò)安全形勢，進(jìn)行以漏洞檢測為主的多維度監(jiān)測，一般包括安全風(fēng)險檢測（漏洞檢測），安全事件監(jiān)測（內(nèi)容篡改、網(wǎng)頁木馬、可用性等），形成實時網(wǎng)站W(wǎng)EB應(yīng)用監(jiān)測。近年來，網(wǎng)站W(wǎng)EB應(yīng)用面臨的風(fēng)險與日俱增，網(wǎng)站提供服務(wù)的同時其安全也備受關(guān)注。因此，開展WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價研究就顯得尤為迫切，制定WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范不僅可為用戶選擇WEB應(yīng)用安全監(jiān)測系統(tǒng)提供合理依據(jù)，也可為WEB應(yīng)用安全監(jiān)測系統(tǒng)的研制、生產(chǎn)、測試、評估和認(rèn)證提供指導(dǎo)，對于網(wǎng)站W(wǎng)EB應(yīng)用安全監(jiān)測系統(tǒng)有序高效發(fā)展具有重要的意義。另外，目前國內(nèi)WEB應(yīng)用安全監(jiān)測系統(tǒng)的實現(xiàn)水平不一，安全性參差不齊，與國外水平也存在很大的差距，在未來的應(yīng)用中必將存在很大的安全隱患。因此，必須盡快地建立一套WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全技術(shù)評價標(biāo)準(zhǔn)，來規(guī)范WEB應(yīng)用安全監(jiān)測系統(tǒng)功能及安全性的實現(xiàn)，為WEB應(yīng)用安全監(jiān)測系統(tǒng)在未來的應(yīng)用中能夠提供更安全的服務(wù)奠定更堅實的基礎(chǔ)。本項目研究內(nèi)容包括：1） 通過分析國內(nèi)外WEB應(yīng)用安全監(jiān)測系統(tǒng)涉及的關(guān)鍵技術(shù)及工作原理，確定安全邊界并分析其“安全環(huán)境”；2） 結(jié)合產(chǎn)品功能和實際需求，識別WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)用可能存在的威脅及安全假設(shè)；3） 基于安全環(huán)境、安全威脅和應(yīng)用假設(shè)的分析結(jié)果，提煉、標(biāo)識WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)達(dá)到的技術(shù)和管理“安全目標(biāo)”；4） 根據(jù)確定的安全目標(biāo)，結(jié)合現(xiàn)有標(biāo)準(zhǔn)和法律法規(guī)要求提出對WEB應(yīng)用安全監(jiān)測系統(tǒng)的技術(shù)要求；5） 基于產(chǎn)品功能和安全功能技術(shù)要求，研究制定相應(yīng)的檢測方法，并建立相關(guān)評價準(zhǔn)則；6） 根據(jù)我國產(chǎn)業(yè)發(fā)展現(xiàn)狀，及用戶應(yīng)用和國家信息安全管理需要，確定有效實現(xiàn)WEB應(yīng)用安全監(jiān)測系統(tǒng)安全目標(biāo)導(dǎo)出的安全要求，產(chǎn)品研發(fā)生產(chǎn)者信息安全保障能力應(yīng)達(dá)到的級別，明確相關(guān)要求及方法；7） 綜合產(chǎn)品功能、安全功能、安全保障能力要求，及相應(yīng)測試評價方法的研究結(jié)果，形成標(biāo)準(zhǔn)草案；8） 根據(jù)標(biāo)準(zhǔn)驗證應(yīng)用結(jié)果、專家評審意見，修訂標(biāo)準(zhǔn)草案，包括：在檢測認(rèn)證活動中驗證應(yīng)用標(biāo)準(zhǔn)，組織專家對標(biāo)準(zhǔn)草案及驗證應(yīng)用情況進(jìn)行評審，遵循保證標(biāo)準(zhǔn)科學(xué)性、可操作性、一定前瞻性等原則，對標(biāo)準(zhǔn)草案進(jìn)行修訂。三、 預(yù)期目標(biāo)為適應(yīng)WEB應(yīng)用安全監(jiān)測系統(tǒng)技術(shù)的發(fā)展，本項目旨在集成認(rèn)證、檢測機(jī)構(gòu)和相關(guān)產(chǎn)業(yè)的最佳實踐，通過研究WEB應(yīng)用安全監(jiān)測系統(tǒng)的工作原理、功能特點、安全機(jī)制，確定WEB應(yīng)用安全監(jiān)測系統(tǒng)安全邊界和應(yīng)用環(huán)境，結(jié)合相關(guān)法律法規(guī)及實際應(yīng)用有關(guān)要求，參考相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)范，提出WEB應(yīng)用安全監(jiān)測系統(tǒng)的技術(shù)要求和測試評價方法，形成WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范標(biāo)準(zhǔn)。四、 采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況目前國內(nèi)外尚無統(tǒng)一的WEB應(yīng)用安全監(jiān)測系統(tǒng)安全技術(shù)標(biāo)準(zhǔn)。在WEB漏洞掃描和防護(hù)領(lǐng)域出現(xiàn)過防護(hù)產(chǎn)品安全技術(shù)要求，如GB/T32917-2016 信息安全技術(shù) WEB應(yīng)用防火墻安全技術(shù)要求與測試評價方法，該技術(shù)要求僅規(guī)定了web應(yīng)用防火墻的測試內(nèi)容和方法。WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范制定項目將以GB/T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則標(biāo)準(zhǔn)框架為基礎(chǔ)，以提高和規(guī)范WEB應(yīng)用安全監(jiān)測系統(tǒng)安全技術(shù)為目標(biāo)，充分考慮國內(nèi)外主要WEB應(yīng)用安全監(jiān)測系統(tǒng)的特點和安全機(jī)制，提出安全技術(shù)的評價規(guī)范，為國內(nèi)相關(guān)產(chǎn)品的研制、生產(chǎn)、測試和評估提供指導(dǎo)作用。GB/T 18336 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則等同采用ISO/IEC 15408國際標(biāo)準(zhǔn)，對應(yīng)CC標(biāo)準(zhǔn)（Common Criteria for Information Technology Security Evaluation：信息技術(shù)安全性通用評估準(zhǔn)則)。1、國外CC標(biāo)準(zhǔn)發(fā)展情況國外，CC（Common Criteria）組織一直致力于信息安全通用評估準(zhǔn)則（Common Criteria for Information Technology Security Evaluation，簡稱“CC”)的研究和發(fā)布。在1996年發(fā)布了信息技術(shù)安全評價通用準(zhǔn)則V1.0版，1998年發(fā)布CC V2.0版，1999年升級為CC V2.1版，同年被國際標(biāo)準(zhǔn)組織ISO吸納為國際標(biāo)準(zhǔn)，編號ISO/IEC 15408:1999。隨著各國在使用該標(biāo)準(zhǔn)過程中經(jīng)驗的積累和反饋，CC組織不斷對該標(biāo)準(zhǔn)進(jìn)行相關(guān)修訂工作，2005年發(fā)布了CC V2.3版，該版本被ISO組織吸納升級為國際標(biāo)準(zhǔn)ISO/IEC 15408:2005版。2006年CC組織發(fā)布了CC V3.1版，這次修訂對上一版本進(jìn)行了較大調(diào)整，經(jīng)過多次反復(fù)的意見征集和討論，最終在2009年7月發(fā)布最終修訂版（V3.1 Revision 3 Final）。2009年12月，國際標(biāo)準(zhǔn)組織ISO通過吸收CC V3.1的內(nèi)容，陸續(xù)將該標(biāo)準(zhǔn)的3部分完成發(fā)布（ISO/IEC 15408-1:2009、ISO/IEC 15408-2:2008、ISO/IEC 15408-3:2008），作廢了ISO/IEC 15408:2005標(biāo)準(zhǔn)。2、國內(nèi)GB/T 18336標(biāo)準(zhǔn)情況國內(nèi)，2001年3月我國發(fā)布了信息安全技術(shù)評價的基礎(chǔ)標(biāo)準(zhǔn)GB/T 18336-2001信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則（等同采用國際標(biāo)準(zhǔn)ISO/IEC 15408:1999）。在GB/T 18336中定義了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)。該標(biāo)準(zhǔn)針對在安全性評估過程中，信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求，使各種相對獨(dú)立的安全性評估結(jié)果具有可比性。2008年6月根據(jù)相應(yīng)國際標(biāo)準(zhǔn)的修訂和更新情況，發(fā)布了該標(biāo)準(zhǔn)的新版本，編號為GB/T 18336-2008（等同采用國際標(biāo)準(zhǔn)ISO/IEC 15408:2005）。2015年根據(jù)相應(yīng)國際標(biāo)準(zhǔn)的修訂和更新情況，發(fā)布了該標(biāo)準(zhǔn)的最新版本，編號為GB/T 18336-2015（等同采用國際標(biāo)準(zhǔn)ISO/IEC 15408:2009），目前該標(biāo)準(zhǔn)已經(jīng)發(fā)布生效。五、 與相關(guān)法律法規(guī)及國家有關(guān)規(guī)定、國內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系本規(guī)范與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。六、 有關(guān)問題的說明項目組在標(biāo)準(zhǔn)編制過程中，經(jīng)歷了內(nèi)部討論與論證、技術(shù)研討會等過程，項目組在工作過程中遵循GB/T1.12009編制原則，對國內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了規(guī)范草案的編寫工作。在整個過程中未遇到重大意見分歧，但對專家提出的意見和建議，我們做了應(yīng)答和處理，更好地完善了我們的規(guī)范編制工作。七、 有關(guān)專利的說明本標(biāo)準(zhǔn)不涉及專利。 規(guī)范編制組 2018年6月7