《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》(2017RB011)-編制說明
《《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》(2017RB011)-編制說明》由會員分享,可在線閱讀,更多相關《《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》(2017RB011)-編制說明(4頁珍藏版)》請在裝配圖網(wǎng)上搜索。
《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》(征求意見稿) 編制說明 一、 工作簡況 (一)括任務來源和協(xié)作單位 《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》是國家認證認可監(jiān)督管理委員會下達的認證認可行業(yè)規(guī)范制定項目,行標計劃號為2017RB011。本規(guī)范為自主制定標準,牽頭單位為中國網(wǎng)絡安全審查技術與認證中心,參與規(guī)范申請單位有上海市信息安全測評認證中心等2家單位,歸口單位為國家認證認可監(jiān)督管理委員會(簡稱國家認監(jiān)委)。 (二)主要工作過程 1、2017年5月,成立規(guī)范編制組; 2、2017年6月,通過分析國內外WEB應用安全監(jiān)測平臺涉及的關鍵技術及工作原理,確定安全邊界并分析其“安全環(huán)境”; 3、2017年7月,結合產品功能和實際需求,識別WEB應用安全監(jiān)測平臺應用可能存在的威脅及安全假設; 4、2017年8月,基于安全環(huán)境、安全威脅和應用假設的分析結果,提煉、標識WEB應用安全監(jiān)測平臺應達到的技術和管理“安全目標”; 5、2017年9月,根據(jù)確定的安全目標,結合現(xiàn)有技術和法律法規(guī)要求提出對WEB應用安全監(jiān)測平臺的技術要求; 6、2017年10月至2007年11月,根據(jù)當前管理和應用需求,確定WEB應用安全監(jiān)測平臺應達到的信息安全功能要求和信息安全保障能力級別; 7、2017年12月至2018年3月,初步形成規(guī)范草案; 8、2018年4月至2018年5月,規(guī)范編制組對草案進行內部研討; 9、2018年6月,并對草案進行修改完善,形成了《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》的征求意見稿。 二、 標準編制原則和主要內容 WEB應用安全監(jiān)測系統(tǒng)是部署在網(wǎng)絡里,以遠程監(jiān)控的方式,實現(xiàn)對WEB應用的服務狀態(tài)、安全狀態(tài)進行監(jiān)測的產品。產品由平臺管理模塊和探測引擎模塊組成,采用遠程監(jiān)測技術可對WEB應用提供實時安全監(jiān)測服務。 隨著信息化建設的加速發(fā)展,網(wǎng)站服務的提供已經被廣泛應用于政府機關和各類企事業(yè)單位。通過對網(wǎng)站的不間斷監(jiān)測服務從而提升網(wǎng)站的安全防護能力和網(wǎng)站服務質量,并通過安全監(jiān)測平臺的事件跟蹤功能建立起一種長效的安全保障機制。監(jiān)測平臺為應對當前復雜的網(wǎng)絡安全形勢,進行以漏洞檢測為主的多維度監(jiān)測,一般包括安全風險檢測(漏洞檢測),安全事件監(jiān)測(內容篡改、網(wǎng)頁木馬、可用性等),形成實時網(wǎng)站W(wǎng)EB應用監(jiān)測。 近年來,網(wǎng)站W(wǎng)EB應用面臨的風險與日俱增,網(wǎng)站提供服務的同時其安全也備受關注。因此,開展WEB應用安全監(jiān)測系統(tǒng)安全評價研究就顯得尤為迫切,制定《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》不僅可為用戶選擇WEB應用安全監(jiān)測系統(tǒng)提供合理依據(jù),也可為WEB應用安全監(jiān)測系統(tǒng)的研制、生產、測試、評估和認證提供指導,對于網(wǎng)站W(wǎng)EB應用安全監(jiān)測系統(tǒng)有序高效發(fā)展具有重要的意義。 另外,目前國內WEB應用安全監(jiān)測系統(tǒng)的實現(xiàn)水平不一,安全性參差不齊,與國外水平也存在很大的差距,在未來的應用中必將存在很大的安全隱患。因此,必須盡快地建立一套WEB應用安全監(jiān)測系統(tǒng)的安全技術評價標準,來規(guī)范WEB應用安全監(jiān)測系統(tǒng)功能及安全性的實現(xiàn),為WEB應用安全監(jiān)測系統(tǒng)在未來的應用中能夠提供更安全的服務奠定更堅實的基礎。 本項目研究內容包括: 1) 通過分析國內外WEB應用安全監(jiān)測系統(tǒng)涉及的關鍵技術及工作原理,確定安全邊界并分析其“安全環(huán)境”; 2) 結合產品功能和實際需求,識別WEB應用安全監(jiān)測系統(tǒng)應用可能存在的威脅及安全假設; 3) 基于安全環(huán)境、安全威脅和應用假設的分析結果,提煉、標識WEB應用安全監(jiān)測系統(tǒng)應達到的技術和管理“安全目標”; 4) 根據(jù)確定的安全目標,結合現(xiàn)有標準和法律法規(guī)要求提出對WEB應用安全監(jiān)測系統(tǒng)的技術要求; 5) 基于產品功能和安全功能技術要求,研究制定相應的檢測方法,并建立相關評價準則; 6) 根據(jù)我國產業(yè)發(fā)展現(xiàn)狀,及用戶應用和國家信息安全管理需要,確定有效實現(xiàn)WEB應用安全監(jiān)測系統(tǒng)安全目標導出的安全要求,產品研發(fā)生產者信息安全保障能力應達到的級別,明確相關要求及方法; 7) 綜合產品功能、安全功能、安全保障能力要求,及相應測試評價方法的研究結果,形成標準草案; 8) 根據(jù)標準驗證應用結果、專家評審意見,修訂標準草案,包括:在檢測認證活動中驗證應用標準,組織專家對標準草案及驗證應用情況進行評審,遵循保證標準科學性、可操作性、一定前瞻性等原則,對標準草案進行修訂。 三、 預期目標 為適應WEB應用安全監(jiān)測系統(tǒng)技術的發(fā)展,本項目旨在集成認證、檢測機構和相關產業(yè)的最佳實踐,通過研究WEB應用安全監(jiān)測系統(tǒng)的工作原理、功能特點、安全機制,確定WEB應用安全監(jiān)測系統(tǒng)安全邊界和應用環(huán)境,結合相關法律法規(guī)及實際應用有關要求,參考相關技術標準和規(guī)范,提出WEB應用安全監(jiān)測系統(tǒng)的技術要求和測試評價方法,形成《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》標準。 四、 采用國際標準和國外先進標準情況 目前國內外尚無統(tǒng)一的WEB應用安全監(jiān)測系統(tǒng)安全技術標準。在WEB漏洞掃描和防護領域出現(xiàn)過防護產品安全技術要求,如《GB/T32917-2016 信息安全技術 WEB應用防火墻安全技術要求與測試評價方法》,該技術要求僅規(guī)定了web應用防火墻的測試內容和方法。 《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》制定項目將以《GB/T 18336 信息技術 安全技術 信息技術安全性評估準則》標準框架為基礎,以提高和規(guī)范WEB應用安全監(jiān)測系統(tǒng)安全技術為目標,充分考慮國內外主要WEB應用安全監(jiān)測系統(tǒng)的特點和安全機制,提出安全技術的評價規(guī)范,為國內相關產品的研制、生產、測試和評估提供指導作用。 《GB/T 18336 信息技術 安全技術 信息技術安全性評估準則》等同采用ISO/IEC 15408國際標準,對應CC標準(Common Criteria for Information Technology Security Evaluation:信息技術安全性通用評估準則)。 1、 國外CC標準發(fā)展情況 國外,CC(Common Criteria)組織一直致力于信息安全通用評估準則(Common Criteria for Information Technology Security Evaluation,簡稱“CC”)的研究和發(fā)布。在1996年發(fā)布了信息技術安全評價通用準則V1.0版,1998年發(fā)布CC V2.0版,1999年升級為CC V2.1版,同年被國際標準組織ISO吸納為國際標準,編號ISO/IEC 15408:1999。 隨著各國在使用該標準過程中經驗的積累和反饋,CC組織不斷對該標準進行相關修訂工作,2005年發(fā)布了CC V2.3版,該版本被ISO組織吸納升級為國際標準ISO/IEC 15408:2005版。2006年CC組織發(fā)布了CC V3.1版,這次修訂對上一版本進行了較大調整,經過多次反復的意見征集和討論,最終在2009年7月發(fā)布最終修訂版(V3.1 Revision 3 Final)。2009年12月,國際標準組織ISO通過吸收CC V3.1的內容,陸續(xù)將該標準的3部分完成發(fā)布(ISO/IEC 15408-1:2009、ISO/IEC 15408-2:2008、ISO/IEC 15408-3:2008),作廢了ISO/IEC 15408:2005標準。 2、 國內GB/T 18336標準情況 國內,2001年3月我國發(fā)布了信息安全技術評價的基礎標準《GB/T 18336-2001信息技術 安全技術 信息技術安全性評估準則》(等同采用國際標準ISO/IEC 15408:1999)。在GB/T 18336中定義了評估信息技術產品和系統(tǒng)安全性所需的基礎準則,是度量信息技術安全性的基準。該標準針對在安全性評估過程中,信息技術產品和系統(tǒng)的安全功能及相應的保證措施提出一組通用要求,使各種相對獨立的安全性評估結果具有可比性。 2008年6月根據(jù)相應國際標準的修訂和更新情況,發(fā)布了該標準的新版本,編號為GB/T 18336-2008(等同采用國際標準ISO/IEC 15408:2005)。 2015年根據(jù)相應國際標準的修訂和更新情況,發(fā)布了該標準的最新版本,編號為GB/T 18336-2015(等同采用國際標準ISO/IEC 15408:2009),目前該標準已經發(fā)布生效。 五、 與相關法律法規(guī)及國家有關規(guī)定、國內相關標準的關系 本規(guī)范與現(xiàn)行法律、法規(guī)以及國家標準沒有沖突與矛盾的地方。 六、 有關問題的說明 項目組在標準編制過程中,經歷了內部討論與論證、技術研討會等過程,項目組在工作過程中遵循GB/T1.1—2009編制原則,對國內外現(xiàn)狀做了大量調研,完成了規(guī)范草案的編寫工作。在整個過程中未遇到重大意見分歧,但對專家提出的意見和建議,我們做了應答和處理,更好地完善了我們的規(guī)范編制工作。 七、 有關專利的說明 本標準不涉及專利。 規(guī)范編制組 2018年6月 7- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設計者僅對作品中獨創(chuàng)性部分享有著作權。
- 關 鍵 詞:
- WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范 WEB 應用 安全 監(jiān)測 系統(tǒng) 安全評價 規(guī)范 2017 RB011 編制 說明
裝配圖網(wǎng)所有資源均是用戶自行上傳分享,僅供網(wǎng)友學習交流,未經上傳用戶書面授權,請勿作他用。
鏈接地址:http://m.hcyjhs8.com/p-719342.html