ICS 03.120.20 CCS A 00 RB 中华人民共和国认证认可行业标准 RB/T212-2023 网站安全测评服务安全评价要求 Requirements for evaluation ofwebsite security test services 2024-05-20发布 2024-07-01实施 国家认证认可监督管理委员会 发布 中国标准出版社 出版
RB/T 212-2023 目次 前言 引言 范围 规范性引用文件 3术语和定义 4评价原则 5评价方法 6评价过程 7评价内容 附录A(资料性)网站安全测评服务安全风险分析 参考文献 10 仅供国家认证认可监督管理委
RB/T 212-2023 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规定》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由国家认证认可监督管理委员会提出并归口.
本文件起草单位:中国网络安全审查认证和市场监管大数据中心、北京邮电大学中国电子科技集 公司.
段静辉、阐明、刘珺珺、华铎.
RB/T212-2023 引言 2017年我国第一部网络安全领域的专门性立法《中华人民共和国网络安全法》实施,其第十七条提 出“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等 安全服务”,从法律层面肯定了网络安全服务在保障国家网络安全方面起到的重要作用.
网站系统是向 用户提供信息共享、浏览、发布部署应用系统的容器,随着互联网技术的迅速发展,网站系统得到极大的 普及,各类应用极大地丰富和便利了人们的生活和学习.
网站系统包含了大量的可视网页、可执行程 序、系统程序、服务程序、管理程序和数据等.
这些重要资源面临被黑客非法纂改、被泄露、被丢失等安 全威胁.
网站安全测评通过技术手段对网站进行漏洞扫描,检测网页是否存在漏洞网页是否挂马、网 页有没有被纂改、是否有欺诈网站等,保障网站的安全运行,提高网站服务的安全质量.
但由于安全测 评服务需要对网站进行网页挂马、数据加密、网页纂改甚至CC、SQL涉人攻击、XSS跨站等攻击测 试,且不成熟的安全测评技术、工具,不规范操作都会引入新的安全问题愧既保证测评服务提供方工作 的安全性和可靠性是网站进行安全测评的前提和基础.
仅供国家认证认可监督管理委员
RB/T 212-2023 网站安全测评服务安全评价要求 1范围 本文件确立了网站安全测评服务的评价原则,规定了网站安全测评服务的评价方法、评价过程及评 价内容.
本文件适用于第三方评价机构对网站安全测评服务提供方的安全水平进行评估网站安全测评服 务提供方、网站安全测评服务需求方自行参考使用.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不每少的条款.
其中,注日期的引用文 会内部使 件,仅该目期对应的版本适用于本文件;不注日期的引用文件,其最新放本(包括的修改单)适用于 本文件.
GB/T5271.8-2001信息技术词汇第8部分安全 GB/T25069-2022信息安全技术 术语 3术语和定义 GB/T5271.8-2001、GB/T 25066202 界定的以及下列术语和定义适用于本文件.
3.1 网站website 利用网络发布信息,提低在线服务、开展在线互动交流的系统或平台.
注:包括为用户提供展示和交互功能的页面以及生成和处理页面的应用程序、中间件、服务器等.
3.2 网站安全ehsitesecurity 采取一系列婚施防止网站被挂马、网页被纂改、数据被泄露、流量被劫持等行为,从而保障网站的安 全性、保密性完整性及可用性.
3.3 网站安全测评website security test 针对网站安全性,进行问题发现、符合性和有效性验证的活动 3.4 网站安全测评服务提供方website security test serviceprovider 按照服务协议,通过专业的网站安全测评服务人员提供网站安全测评服务的组织 [来源:GB/T32914-2016.3.3,有修改] 3.5 网站安全测评服务需求方website securitytest service demander 获取外部提供的网站安全测评服务,以满足网站安全需求,实现自身业务目标的组织(或个人用 户).
[来源;GB/T32914-2016,3.2,有修改]
