RB/T 212-2023 网站安全测评服务安全评价要求
RB/T 212-2023 Requirements for evaluation of website security test services
基本信息
发布历史
-
2024年05月
文前页预览
研制信息
- 起草单位:
- 中国网络安全审查认证和市场监管大数据中心、北京邮电大学、中国电子科技集团公司第十五研究所、北京信息安全测评中心、北京红戎信安技术有限公司、北京安信多乐科技有限公司
- 起草人:
- 樊华、寇春晓、陆月明、锁延峰、李媛、何志明、杜霖、甘杰夫、胡石、郑潇潇、翟亚红、段静辉、阚明、刘珺珺、华铎
- 出版信息:
- 页数:20页 | 字数:23 千字 | 开本: 大16开
内容描述
ICS03.120.20
CCSA00
中华人民共和国认证认可行业标准
/—
RBT2122023
网站安全测评服务安全评价要求
Reuirementsforevaluationofwebsitesecurittestservices
qy
2024-05-20发布2024-07-01实施
国家认证认可监督管理委员会发布
中国标准出版社出版
/—
RBT2122023
目次
前言…………………………Ⅲ
引言…………………………Ⅳ
1范围………………………1
2规范性引用文件…………………………1
3术语和定义………………1
4评价原则…………………2
5评价方法…………………2
6评价过程…………………3
7评价内容…………………3
()……………………
附录资料性网站安全测评服务安全风险分析
A9
参考文献……………………10
Ⅰ
/—
RBT2122023
前言
/—《:》
本文件按照标准化工作导则第部分标准化文件的结构和起草规定的规定
GBT1.120201
起草。
。。
请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任
本文件由国家认证认可监督管理委员会提出并归口。
:、、
本文件起草单位中国网络安全审查认证和市场监管大数据中心北京邮电大学中国电子科技集
、、、
团公司第十五研究所北京信息安全测评中心北京红戎信安技术有限公司北京安信多乐科技有限
公司。
:、、、、、、、、、、、
本文件主要起草人樊华寇春晓陆月明锁延峰李媛何志明杜霖甘杰夫胡石郑潇潇翟亚红
、、、。
段静辉阚明刘珺珺华铎
Ⅲ
/—
RBT2122023
引言
《》,
2017年我国第一部网络安全领域的专门性立法中华人民共和国网络安全法实施其第十七条提
“,、、
出国家推进网络安全社会化服务体系建设鼓励有关企业机构开展网络安全认证检测和风险评估等
”,。
安全服务从法律层面肯定了网络安全服务在保障国家网络安全方面起到的重要作用网站系统是向
、、,,
用户提供信息共享浏览发布部署应用系统的容器随着互联网技术的迅速发展网站系统得到极大的
,。、
普及各类应用极大地丰富和便利了人们的生活和学习网站系统包含了大量的可视网页可执行程
、、、。、、
序系统程序服务程序管理程序和数据等这些重要资源面临被黑客非法篡改被泄露被丢失等安
。,、、
全威胁网站安全测评通过技术手段对网站进行漏洞扫描检测网页是否存在漏洞网页是否挂马网
、,,。
页有没有被篡改是否有欺诈网站等保障网站的安全运行提高网站服务的安全质量但由于安全测
、、、、
评服务需要对网站进行网页挂马数据加密网页篡改甚至CCSQL注入攻击XSS跨站等攻击测
,、,,
试且不成熟的安全测评技术工具不规范操作都会引入新的安全问题因此保证测评服务提供方工作
的安全性和可靠性是网站进行安全测评的前提和基础。
Ⅳ
/—
RBT2122023
网站安全测评服务安全评价要求
1范围
,、
本文件确立了网站安全测评服务的评价原则规定了网站安全测评服务的评价方法评价过程及评
价内容。
。
本文件适用于第三方评价机构对网站安全测评服务提供方的安全水平进行评估网站安全测评服
、。
务提供方网站安全测评服务需求方自行参考使用
2规范性引用文件
。,
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文
,;,()
件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于
本文件。
/—:
信息技术词汇第部分安全
GBT5271.820018
/—信息安全技术术语
GBT250692022
3术语和定义
/—、/—界定的以及下列术语和定义适用于本文件。
GBT5271.82001GBT250692022
3.1
网站website
,、。
利用网络发布信息提供在线服务开展在线互动交流的系统或平台
:、、。
注包括为用户提供展示和交互功能的页面以及生成和处理页面的应用程序中间件服务器等
3.2
网站安全websitesecurit
y
、、、,
采取一系列措施防止网站被挂马网页被篡改数据被泄露流量被劫持等行为从而保障网站的安
、、。
全性保密性完整性及可用性
3.3
网站安全测评websitesecurittest
y
,、。
针对网站安全性进行问题发现符合性和有效性验证的活动
3.4
网站安全测评服务提供方websitesecurittestservicerovider
yp
,。
按照服务协议通过专业的网站安全测评服务人员提供网站安全测评服务的组织
[:/—,,]
来源GBT3291420163.3有修改
3.5
网站安全测评服务需求方websitesecurittestservicedemander
y
,,(
获取外部提供的网站安全测评服务以满足网站安全需求实现自身业务目标的组织或个人用
户)。
[:/—,,]
来源GBT3291420163.2有修改
1
定制服务
推荐标准
- QB/T 1326.6-1991 白兰地、威士忌、俄得克总酯的试验方法 1991-11-25
- HB 3857-1986 螺钉窝量规 1986-07-14
- JC 175-1973 无碱玻璃纤维套管 1973-09-01
- HB 1401-1987 偏心竖槽正方形支承 1987-04-08
- HB 1868-1987 弯柄圆柱插销 1987-04-08
- QJ 395-1978 沉头铆钉孔反锪钻 铆钉直径=3~6ψ=90°、120° 1980-01-01
- HB 956-2000 密封圈 2000-09-20
- HB 5324-1985 航空用厌氧胶紫外萤光性试验方法 1986-02-01
- HB 6818-1993 MJ外螺纹锥,V型中径测具 1994-06-01
- HB 6819-1993 MJ外螺纹圆弧型中径测具 1994-06-01