《WEB应用安全监测系统安全评价规范》（2017RB011）-编制说明

WEB应用安全监测系统安全评价规范(征求意见稿)编制说明一、 工作简况（一）括任务来源和协作单位WEB应用安全监测系统安全评价规范是国家认证认可监督管理委员会下达的认证认可行业规范制定项目，行标计划号为2017RB011。本规范为自主制定标准，牵头单位为中国网络安全审查技术与认证中心，参与规范申请单位有上海市信息安全测评认证中心等2家单位，归口单位为国家认证认可监督管理委员会（简称国家认监委）。（二）主要工作过程1、2017年5月，成立规范编制组；2、2017年6月，通过分析国内外WEB应用安全监测平台涉及的关键技术及工作原理，确定安全边界并分析其“安全环境”；3、2017年7月，结合产品功能和实际需求，识别WEB应用安全监测平台应用可能存在的威胁及安全假设；4、2017年8月，基于安全环境、安全威胁和应用假设的分析结果，提炼、标识WEB应用安全监测平台应达到的技术和管理“安全目标”；5、2017年9月，根据确定的安全目标，结合现有技术和法律法规要求提出对WEB应用安全监测平台的技术要求；6、2017年10月至2007年11月，根据当前管理和应用需求，确定WEB应用安全监测平台应达到的信息安全功能要求和信息安全保障能力级别；7、2017年12月至2018年3月，初步形成规范草案；8、2018年4月至2018年5月，规范编制组对草案进行内部研讨；9、2018年6月，并对草案进行修改完善，形成了WEB应用安全监测系统安全评价规范的征求意见稿。二、 标准编制原则和主要内容WEB应用安全监测系统是部署在网络里，以远程监控的方式，实现对WEB应用的服务状态、安全状态进行监测的产品。产品由平台管理模块和探测引擎模块组成，采用远程监测技术可对WEB应用提供实时安全监测服务。随着信息化建设的加速发展，网站服务的提供已经被广泛应用于政府机关和各类企事业单位。通过对网站的不间断监测服务从而提升网站的安全防护能力和网站服务质量，并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制。监测平台为应对当前复杂的网络安全形势，进行以漏洞检测为主的多维度监测，一般包括安全风险检测（漏洞检测），安全事件监测（内容篡改、网页木马、可用性等），形成实时网站WEB应用监测。近年来，网站WEB应用面临的风险与日俱增，网站提供服务的同时其安全也备受关注。因此，开展WEB应用安全监测系统安全评价研究就显得尤为迫切，制定WEB应用安全监测系统安全评价规范不仅可为用户选择WEB应用安全监测系统提供合理依据，也可为WEB应用安全监测系统的研制、生产、测试、评估和认证提供指导，对于网站WEB应用安全监测系统有序高效发展具有重要的意义。另外，目前国内WEB应用安全监测系统的实现水平不一，安全性参差不齐，与国外水平也存在很大的差距，在未来的应用中必将存在很大的安全隐患。因此，必须尽快地建立一套WEB应用安全监测系统的安全技术评价标准，来规范WEB应用安全监测系统功能及安全性的实现，为WEB应用安全监测系统在未来的应用中能够提供更安全的服务奠定更坚实的基础。本项目研究内容包括：1） 通过分析国内外WEB应用安全监测系统涉及的关键技术及工作原理，确定安全边界并分析其“安全环境”；2） 结合产品功能和实际需求，识别WEB应用安全监测系统应用可能存在的威胁及安全假设；3） 基于安全环境、安全威胁和应用假设的分析结果，提炼、标识WEB应用安全监测系统应达到的技术和管理“安全目标”；4） 根据确定的安全目标，结合现有标准和法律法规要求提出对WEB应用安全监测系统的技术要求；5） 基于产品功能和安全功能技术要求，研究制定相应的检测方法，并建立相关评价准则；6） 根据我国产业发展现状，及用户应用和国家信息安全管理需要，确定有效实现WEB应用安全监测系统安全目标导出的安全要求，产品研发生产者信息安全保障能力应达到的级别，明确相关要求及方法；7） 综合产品功能、安全功能、安全保障能力要求，及相应测试评价方法的研究结果，形成标准草案；8） 根据标准验证应用结果、专家评审意见，修订标准草案，包括：在检测认证活动中验证应用标准，组织专家对标准草案及验证应用情况进行评审，遵循保证标准科学性、可操作性、一定前瞻性等原则，对标准草案进行修订。三、 预期目标为适应WEB应用安全监测系统技术的发展，本项目旨在集成认证、检测机构和相关产业的最佳实践，通过研究WEB应用安全监测系统的工作原理、功能特点、安全机制，确定WEB应用安全监测系统安全边界和应用环境，结合相关法律法规及实际应用有关要求，参考相关技术标准和规范，提出WEB应用安全监测系统的技术要求和测试评价方法，形成WEB应用安全监测系统安全评价规范标准。四、 采用国际标准和国外先进标准情况目前国内外尚无统一的WEB应用安全监测系统安全技术标准。在WEB漏洞扫描和防护领域出现过防护产品安全技术要求，如GB/T32917-2016 信息安全技术 WEB应用防火墙安全技术要求与测试评价方法，该技术要求仅规定了web应用防火墙的测试内容和方法。WEB应用安全监测系统安全评价规范制定项目将以GB/T 18336 信息技术 安全技术 信息技术安全性评估准则标准框架为基础，以提高和规范WEB应用安全监测系统安全技术为目标，充分考虑国内外主要WEB应用安全监测系统的特点和安全机制，提出安全技术的评价规范，为国内相关产品的研制、生产、测试和评估提供指导作用。GB/T 18336 信息技术 安全技术 信息技术安全性评估准则等同采用ISO/IEC 15408国际标准，对应CC标准（Common Criteria for Information Technology Security Evaluation：信息技术安全性通用评估准则)。1、国外CC标准发展情况国外，CC（Common Criteria）组织一直致力于信息安全通用评估准则（Common Criteria for Information Technology Security Evaluation，简称“CC”)的研究和发布。在1996年发布了信息技术安全评价通用准则V1.0版，1998年发布CC V2.0版，1999年升级为CC V2.1版，同年被国际标准组织ISO吸纳为国际标准，编号ISO/IEC 15408:1999。随着各国在使用该标准过程中经验的积累和反馈，CC组织不断对该标准进行相关修订工作，2005年发布了CC V2.3版，该版本被ISO组织吸纳升级为国际标准ISO/IEC 15408:2005版。2006年CC组织发布了CC V3.1版，这次修订对上一版本进行了较大调整，经过多次反复的意见征集和讨论，最终在2009年7月发布最终修订版（V3.1 Revision 3 Final）。2009年12月，国际标准组织ISO通过吸收CC V3.1的内容，陆续将该标准的3部分完成发布（ISO/IEC 15408-1:2009、ISO/IEC 15408-2:2008、ISO/IEC 15408-3:2008），作废了ISO/IEC 15408:2005标准。2、国内GB/T 18336标准情况国内，2001年3月我国发布了信息安全技术评价的基础标准GB/T 18336-2001信息技术 安全技术 信息技术安全性评估准则（等同采用国际标准ISO/IEC 15408:1999）。在GB/T 18336中定义了评估信息技术产品和系统安全性所需的基础准则，是度量信息技术安全性的基准。该标准针对在安全性评估过程中，信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求，使各种相对独立的安全性评估结果具有可比性。2008年6月根据相应国际标准的修订和更新情况，发布了该标准的新版本，编号为GB/T 18336-2008（等同采用国际标准ISO/IEC 15408:2005）。2015年根据相应国际标准的修订和更新情况，发布了该标准的最新版本，编号为GB/T 18336-2015（等同采用国际标准ISO/IEC 15408:2009），目前该标准已经发布生效。五、 与相关法律法规及国家有关规定、国内相关标准的关系本规范与现行法律、法规以及国家标准没有冲突与矛盾的地方。六、 有关