《网站安全测评服务安全评价技术要求》

RB××××—××××

网站安全测评服务安全评价技术要求

1范围

本标准给出了网站安全测评服务的安全原则，在分析网站安全测评服务风险的基础上，对服务

的组织建设、制度过程、技术工具、人员能力等提出了要求。

本标准适用于：

a)网站安全测评服务供方评估自身服务的安全性；

b)网站安全测评服务需方选择安全的网站安全测评服务供方；

c)第三方评价和认定网站安全测评服务供方安全水平。

2规范性引用文件

下列文件中的有关条款通过在本标准有关部分的引用而成为本标准的条款。凡注日期或版次的引用

文件，其后的任何修改（不包括勘误的内容）或修订版本都不适用于本标准，但提倡使用本标准的各方

探讨使用其最新版本的可能性。凡未注日期或版次的引用文件，其最新版本适用于本标准。

GB/T25069-2010信息安全技术术语

GB/T5271.8-2001信息技术词汇第8部分：安全

3术语和定义

GB/T25069-2010《信息安全技术术语》、GB/T5271.8-2001《信息技术词汇第8部分：安全》界

定的以及下列术语和定义适用于本文件。

3.1网站Web

利用网络发布信息，提供在线服务、开展在线互动交流的系统或服务，包括为用户提供展示和交互

功能的页面以及生成和处理页面的应用程序、中间件等。

3.2网站安全Websecurity

网站系统、网络、应用、数据、网页、数据库、服务器、服务等方面的安全。

3.3网站安全测评Websecuritytest

针对网站安全性，采用动态的手段进行问题发现、符合性和有效性验证活动。(GB/T30283-2013信

息安全技术信息安全服务分类)

3.4网站安全测评工具Websecuritytesttool

在网站安全测评过程中使用的信息化工具。

3.5网站安全测评人员personnelofWebsecuritytest

从事网站安全测评的自然人。

3.6网站安全测评服务提供方Websecuritytestserviceprovider

7

RB××××—××××

按照服务协议，通过专业的网站安全测评服务人员提供网站安全测评服务的机构或组织，以下简称

服务提供方。（GB/T32914—2016信息安全技术信息安全服务提供方管理要求）

3.7网站安全测评服务需求方Websecuritytestservicedemander

获取外部提供的网站安全测评服务，以满足信息安全需求和信息安全保障需求，实现自身业务目标

的组织（或个人用户），以下简称服务需求方。（GB/T32914—2016信息安全技术信息安全服务提供

方管理要求）

3.8渗透测试penetrationtesting

以未经授权的动作绕过某一系统的安全机制的方式，检查数据处理系统的安全功能，以发现信息系

统安全问题的手段。也称渗透性测试或逆向测试。（GB-T25069-2010信息安全技术术语）

4网站安全测评服务安全原则

4.1可信性

服务提供方应该具有相关资质，并具备安全测评的能力，以保证测评主体的可信性。测评人员的

资历、资质应该是审查过的，以保证人员的可信性。测评工具应通过国家认可的第三方机构的安全测

评或认证，以保证测评工具的可信性。测评过程应严格按照相关标准进行，以保证过程可信性。测试

方法和用例覆盖率应达到相应安全等级要求，以保证结果可信性。

4.2保密性

对于第三方，无论企业或个人，测评服务过程中，需求方提供的数据、应用、系统和相关文档等，

应该处于私密状态。禁止把企业或个人信息泄露给第三方。

4.3透明性

应遵循服务要素可视性、服务行为预先告知、服务和产品中立、资产保护。对于测评客体，包括

被测对象企业或个人，网站安全测评过程、数据存放和删除、代码是否注入等是预先公开的，以保证

测评过程的透明性。测试过程的各种操作经过授权被记录，可审计。不得选择记录测评数据，篡改测

评数据，隐瞒测评发现的问题。

4.4可控性

网站安全测评可控性包括网络通信流量可控、注入代码可控、测试人员可控、存储数据可控、测

评工具可控、所在场地可控，且要做到不影响网站运行，有应急响应机制。

5网站安全测评服务安全风险分析

5.1概述

针对网站安全性，采用动态的手段进行问题发现、符合性和有效性验证的过程中，测评人员凭借

自身的测评技术和组织提供的资源对网站的安全性进行评估，由于组织人员、流程、技术、资源等要

素而给需求方网站带来安全风险，主要包括以下几类：

5.2组织建设风险

组织建设是指服务提供方自身机构建设、职责分配和运营，其风险主要来自：

a)服务提供方缺乏资质；

8

RB××××—××××

b)服务提供方管理机制不健全；

c)人员流动率高，服务团队稳定性不足。

5.3测评过程风险

测评过程是组织网站安全测评服务管理执行的过程，其风险主要来自：

a)不了解网站的配置及环境，引入测评服务安全的不确定性；

b)测评过程中获得的信息资料，未采用必要的安全措施妥善保管，造成信息泄露；

c)计划变更风险；

d)信息泄露、数据残留；

e)服务流程定义不清晰，没有进行监督和考核，影响测评过程稳定性；

f)服务过程中向网站中遗留测试程序或植入恶意程序，给网站系统引入安全隐患；

g)服务过程中向网站中插入测试数据，影响网站服务水平或数据统计结果；

h)合同条款过于简单，未包括对服务内容、方式、成果和质量的明确说明；

i)服务过程中与利益相关方的沟通和交流在整个服务中占的比重很大，沟通交流不到位带来安全

隐患。

5.4技术和工具风险

技术和工具是指测评人员通过技术手段或专业工具进行网站安全测评服务，其风险主要来自：

a)泄露需求方敏感信息；

b)技术能力不足，造成网站服务中断、数据丢失或损坏等非预期的严重影响，或造成测评误判、

误导；

c)测评方法不成熟；

d)技术过时或先进性不足；

e)修改用户数据或系统；

f)隐藏发现的问题；

g)利用发现的漏洞；

h)携带或注入木马，给网站带来风险。

i)进行未授权操作、恶意操作等可能威胁网站安全的活动。

6组织建设要求

6.1组织机构

服务提供方应满足具备开展服务的能力和资质，具体要求如下：

9

RB××××—××××

a)应在中华人民共和国境内注册（港澳台地区除外），遵循国家相关法律法规、标准要求、资信

状况良好；

b)应提供在中华人民共和国境内登记注册的会计师事务所出具的近2年财务审计报告，近3年经营

状况良好，财务数据真实可信；

c)应具有固定办公场所和相适应的办公条件，能够满足机构设置及其业务需要；

6.2人力资源与培训

服务提供方应建立并执行满足网站安全服务所需的人力资源管理制度。具体要求如下：

a)应明确雇用员工的条件和考察评价方法与程序；

b)应具有与网站安全测评服务相符合的人力资源规模和结构，建立相应的人员安全管理制度；

c)应在员工任用前、任用中、任用终止具有不同的措施，保证员工正确理解网站安全测评服务原

则，并能够在工作中切实予以贯彻；

d)应具有独立设置的专业技术部门或团队，稳定地开展网站安全测评服务；

e)宜建立服务实施人员完整的工作履历表，包含人员基本信息、专业能力证明和曾经参与服务的

所有记录；

f)应制定信息安全培训计划，并定期组织内部人员进行信息安全知识及专业技术培训；

g)应定期对员工进行保密教育和保密检查；

h)应建立正式的针对数据安全违规的纪律处理流程，并将相关的违规风险对入职的员工及合作的

第三方人员执行数据安全相关的风险意识宣贯；

i)应在相对应的数据安全管理制度中明确定义组织机构的数据安全相关岗位和职责

j)应与网站测评服务相关所有人员签订保密协议，作为雇用合同基本条款和条件的一部

分。在保密协议中应明确规定员工对测评安全的责任、保密要求及其违约的法律责任；

7服务过程要求

7.1管理制度

服务提供方应建立并施行满足网站安全测评服务安全所需的管理制度。具体要求如下：

a)应建立文档控制制度，明确文档管理职责，任命管理角色，确保文档信息的安全、可控，包括

但不限于被测网站网络拓扑、应用代码、系统配置等需方相关文档、测评服务中产生的文档等；

b)应建立合同管理制度，制定统一合同模板，按照合同约定实施网站安全测评服务；

c)应建立项目管理制度，明确项目管理职责，任命项目负责人员，并按照制度执行风险管理；

d)应建立服务管理体系，并与网站安全测评活动相匹配；

e)应建立并执行满足服务所需的保密管理制度，明确岗位保密责任，保证组织内部员工对组织和

需方履行保密义务；

10

RB××××—××××

f)应制定服务项目变更管理流程，与需求方就服务变更进行主动沟通，确保服务变更以受控的方式

得到评审、批准、实施；

g)应在组织统一的应急预案框架下制定网站安全测评服务的应急预案，包括但不限于预案启动条

件、应急处理流程、系统恢复流程、事后教育和培训、应急人员联系可达等内容。

7.2测评准备

7.2.1确定服务人员及岗前培训

a)应组建测评团队，安全测评实施团队应由项目负责人和项目工程师等组成；

b)应在项目启动前对参与人员进行安全保密教育，并签署安全保密承诺书；

c)应遵循需求方要求，针对测评项目进行保密事项和工作流程的专项教育培训。

7.2.2签订保密协议和授权书

a)与服务需求方签订保密协议，保密内容应与需求方要求一致；

b)与服务需求方签订授权书，对网站采取的安全测评服务方式和使用工具进行授权。

7.2.3签订服务合同

与服务需求方的合同中应至少明确以下服务事项：

a)目标、对象、范围、内容、时间、成果、验收方式等；

b)服务成果的知识产权归属；

c)服务意外终止或变更的权责。

7.2.4方案编制

a)应根据合同约定，参照相关标准、规范，制定网站安全服务的测评实施方案，方案内容包

括但不限于测评目标、范围、内容、时间、方法、工具、需方配合事项、风险控制事项等。

b)应对支持网站的关键运行或关联安全目标的资产进行确定和标识化；

c)应识别网站安全测评服务活动的信息安全威胁、发生可能性；

d)应与服务需求方就风险及其控制措施进行充分沟通，并取得必要的确认；

e)应与需求方沟通测评方案，并取得需求方对方案的书面确认。

7.2.5测评工具准备

a)应根据测评方案要求，准备测试工具；

b)测试工具要求见工具安全章节。

7.3测评实施

7.3.1风险控制

a)与需求方确定网站运维人员及应急联系人联系可达。

11

RB××××—××××

b)应根据测评方案开展网站安全测评工作，评估已经存在的或计划的信息安全控制措施的有

效性；

c)应优先在测试环境或备份系统中进行安全测评；

d)应针对服务实施过程中的重大业务变更、IT资产变更、服务要素变更，以及服务实施的

重要时期和关键节点等，加强对风险的监控和预警，并及时提供风险提示报告。

e)应在现场测评工作结束后，对目标网站进行可用性、完整性校验，如遇安全事件，应按照

应急预案进行处置，跟踪对需求方网站和业务造成的影响，采取针对性的改进、补救或恢

复措施。

7.3.2访问控制

a)应按照最小化原则，授权测评人员访问信息技术资源权限。不外传或扩散给与本项目无

关人员，尽可能控制和缩小知情者范围，并在不使用后立即注销；

b)应采取控制措施不允许私自远程接入需方信息技术资源；

c)应记录授权的访问过程并保留访问日志；

d)应禁止项目组成员使用个人设备接入客户网站，以防止病毒木马传播和客户信息外泄；

e)应建立安全合规的信息采集管理规则，不得采集与网站安全测评无关的数据。

7.3.3审计管理

a)测评服务实施时应形成和保存被测网站运行状态和防护情况的记录，包括应用软件版本、

主要功能、系统环境配置、存在的漏洞，以及采取的安全措施等；

b)审计记录情况，对操作、响应、分析的过程数据进行完整记录，并形成报告提交给需求方。

7.4交付和改进

7.4.1服务交付

以服务交付的方式对网站安全测评服务项目进行确认和验收。具体要求如下：

a)应告知需求方网站安全现状和可能存在的安全风险；

b)可提供针对安全风险的应对建议；

c)应建立报告的审核、批准和交付程序，保留交付记录；

d)应根据合同约定，向需求方提交完整的项目交付物；

e)应按照测评需求方的要求，严格控制报告发布范围。

7.4.2服务改进

a)应落实需求方服务过程中提出的信息安全风险预防措施和改进措施；

b)应处置网站安全测评服务交付验证中发现的问题；

c)应形成服务改进比对计划，以便确认服务改进效果；

12

RB××××—××××

d)在服务完全交付之后，宜进行服务满意度调查；

e)应分析信息安全事件发生的原因，以及提出避免类似事件重复发生的措施；

f)应定期对应急预案进行演练，确定应急响应资源有效性。

8技术和工具要求

8.1技术能力

a)应持续关注并及时掌握国家信息安全相关法律法规、政策和标准中对技术能力的要求；

b)应具备网站安全测评服务所必需的开发、测试和管理环境；

c)应持续跟踪国内外安全测评技术动向，研究与之相关的信息安全技术，并熟悉国内外主流的测

评工具，不断提升机构自身的技术能力；

d)应具有对网站所面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施

建议的能力。

e)应根据对用户网站风险的分析，向用户建议有效的安全保护策略的能力。

f)宜具有对发生的突发性安全事件进行分析和处置的能力。

8.2测评交互

a)应建立网站安全测评服务流程及操作规程，并按照流程和服务规范实施；

b)应定期组织进展报告会，就计划执行、进展情况及测评问题与需求方进行沟通；

c)应使用项目组内部建立的网络传递，或利用专用存储设备传递敏感信息，如果需要通过互联网

传递，应采用压缩加密文件后传输等保密措施。如使用密码，则密码强度按照有关安全策略执

行。

8.3渗透性测试

a)应与服务需求方针对渗透测试的时间、范围、方法、工具、可接受的社会工程学方法、可能造

成的不良后果进行充分沟通；

b)应与服务需求方明确界定测试目标和范围；

c)宜谨慎采用拒绝服务的测试策略；

d)应确保注入代码不能与第三方进行通信、不能发送口令等用户敏感信息给任何方、不能下载和

安装新的软件或代码、不能通过互联网进行自动升级。

8.4新工具和技术引入

新工具和技术引入应满足以下要求：

a)应得到服务需方及其他受影响方的认可后，在实验环境测试新工具和技术并记录；

b)应在新工具和新技术使用后对服务水平和信息安全的影响进行评估。

8.5测评过程安全

a)网站安全测评工具与网站交互的频率应该是轻量的，不能影响正常业务运行；

13

RB××××—××××

b)宜在试验环境中测试网站的安全；

c)应确保交互的过程可审计追溯；

d)测评工具对网站的所有修改操作在测评完成后，需恢复原状，防止网站出现无法访问等情况发

生；

e)应确保网站测评工具从被测网站下载数据的速率不对网站的性能构成威胁，在下载失败的情况

下，设置再次重传的频率和次数；

f)在网站修复了安全问题或者漏洞后，宜进行回归测试，确保问题或漏洞得到修复，并且没有

引入新的安全问题。

8.6数据安全

应确保未经需求方许可，不得进行超出服务协议范围的操作，不得擅自对网站数据进行变更。

a)应采取技术手段保障测评数据包不被监听；

b)应采取技术措施保护服务需求方的信息；

c)应以测试为目的使用客户数据，分析出的结论不能泄露给第三方；

d)应设置保存服务需求方数据的时限，在规定时间内合理使用数据；

e)应在服务实施完成后，项目负责人统一收集、整理、归类和存储项目文件，清理项目组成员设

备上存储的已经上报过的文件；

f)应由项目负责人将项目文件集中统一交给文件管理的人员，经核对无误后入库保存；

g)宜采取有效的介质净化工具对存储介质进行净化处理，利用介质厂商所提供的数据擦除指令或

自行编制的数据擦除指令对需要销毁的数据内容进行擦除销毁；

h)宜采取介质管理措施，确保存储介质的使用和传递过程得到严密跟踪；

i)宜提供统一的介质销毁工具，包括但不限于物理摧毁、消磁设备等工具，实现基于各类介质的

有效销毁。

8.7工具安全

8.7.1工具的选择

a)应持续跟踪国内外测评技术的发展、测评方法的改进和测评工具的应用；

b)无论商业化测评工具、开源类测评工具，还是自主研发的测评工具，应优先选择国家权威机构

检测合格或通过认证的产品，以满足技术工具可信性要求；

c)应了解和掌握技术工具的工作原理和测试技术，选择自身缺陷少，未曾发现携带木马或恶意程

序，经过实践检验得到认可的产品，以满足技术工具可控性要求；

d)应了解和掌握被测网站的基本情况、技术特点和测试环境，根据不同工具之间的差异和各款工

具可能带来的风险，选择合适的技术工具，做到即全面覆盖，又重点突出，准确发现问题，又

可重现问题。

14

RB××××—××××

8.7.2工具使用的一般要求

a)技术工具的使用不应影响被测网站的正常服务，宜选择非业务高峰期使用技术工具，或选择“轻

量级”技术工具；

b)技术工具的使用不应造成被测网站配置变更，数据丢失，服务停止，甚至“宕机”；

c)技术工具的使用不应造成被测网站敏感数据的泄露和需求方信息的泄露。

8.7.3工具使用的过程要求

a)技术工具在使用前应明确告知服务需求方，确定网站运维人员及应急人员联系可达，经服务需

求方同意后方可使用；

b)技术工具在接入被测网站前应检查并清除已有记录，或格式化重新安装系统，并安装与测试环

境要求相适应的安全防护类产品；

c)应对测试工具进行安全检查加固，包括更新病毒库、安装系统补丁等；

d)技术工具在使用前应做好数据备份；

e)技术工具在使用中应合理选择和配置测试范围或测试项，以降低或减小测试风险；

f)技术工具在使用中宜开启审计功能，或另行配置审计设备，保存并记录测试过程，以便追溯；

g)技术工具在使用后应检视和记录工具使用情况，做出评价，可反馈给产品厂家；

h)技术工具在使用后应检查、清理和删除测试记录，防止再使用时数据或信息泄露；

i)技术工具在使用后应检查并确认未有驻留程序或临时文件在被测网站。

附录A（资料性附录）

参考文献

[1]GB/T1.1标准化工作导则第1部分标准的结构和编写规则(GB/T1.1-2000,ISO/IEC

Directive,Part3,1997,NEQ)

[2]GB/T15624.1服务标准化工作指南

[3]GB/T19001质量管理体系要求（GB/T19001-2008,ISO9001:2008,IDT）

[4]GB/T24421.1服务业组织标准化工作指南第1部分基本要求

[5]GB/T31167－2014信息安全技术云计算服务安全指南

[6]GB-T20984－2007信息安全技术信息安全风险评估规范

[7]ISO/IECTR15443-1:2005信息技术安全技术信息技术安全保障框架第一部分：总揽和框架

[8]GB/T32914--2016信息安全技术信息安全服务提供方管理要求

15

ICSXX.XXX

XXX

备案号：XXXX-XXXXRB

中华人民共和国认证认可行业标准

RB/T××××—××××

网站安全测评服务安全评价技术要求

SecurityevaluationrequirementsforWebsecuritytestservices

（公开征求意见稿）

××××-××-××发布××××-××-××实施

中华人民共和国国家质量监督检验检疫总局

发布

国家认证认可监督管理委员会

RB××××—××××

网站安全测评服务安全评价技术要求

1范围

本标准给出了网站安全测评服务的安全原则，在分析网站安全测评服务风险的基础上，对服务

的组织建设、制度过程、技术工具、人员能力等提出了要求。

本标准适用于：

a)网站安全测评服务供方评估自身服务的安全性；

b)网站安全测评服务需方选择安全的网站安全测评服务供方；

c)第三方评价和认定网站安全测评服务供方安全水平。

2规范性引用文件

下列文件中的有关条款通过在本标准有关部分的引用而成为本标准的条款。凡注日期或版次的引用

文件，其后的任何修改（不包括勘误的内容）或修订版本都不适用于本标准，但提倡使用本标准的各方

探讨使用其最新版本的可能性。凡未注日期或版次的引用文件，其最新版本适用于本标准。

GB/T25069-2010信息安全技术术语

GB/T5271.8-2001信息技术词汇第8部分：安全

3术语和定义

GB/T25069-2010《信息安全技术术语》、GB/T5271.8-2001《信息技术词汇第8部分：安全》界

定的以及下列术语和定义适用于本文件。

3.1网站Web

利用网络发布信息，提供在线服务、开展在线互动交流的系统或服务，包括为用户提供展示和交互

功能的页面以及生成和处理页面的应用程序、中间件等。

3.2网站安全Websecurity

网站系统、网络、应用、数据、网页、数据库、服务器、服务等方面的安全。

3.3网站安全测评Websecuritytest

针对网站安全性，采用动态的手段进行问题发现、符合性和有效性验证活动。(GB/T30283-2013信

息安全技术信息安全服务分类)

3.4网站安全测评工具Websecuritytesttool

在网站安全测评过程中使用的信息化工具。

3.5网站安全测评人员personnelofWebsecuritytest

从事网站安全测评的自然人。

3.6网站安全测评服务提供方Websecuritytestserviceprovider

7

RB××××—××××

按照服务协议，通过专业的网站安全测评服务人员提供网站安全测评服务的机构或组织，以下简称

服务提供方。（GB/T32914—2016信息安全技术信息安全服务提供方管理要求）

3.7网站安全测评服务需求方Websecuritytestservicedemander

获取外部提供的网站安全测评服务，以满足信息安全需求和信息安全保障需求，实现自身业务目标

的组织（或个人用户），以下简称服务需求方。（GB/T32914—2016信息安全技术信息安全服务提供

方管理要求）

3.8渗透测试penetrationtesting

以未经授权的动作绕过某一系统的安全机制的方式，检查数据处理系统的安全功能，以发现信息系

统安全问题的手段。也称渗透性测试或逆向测试。（GB-T25069-2010信息安全技术术语）

4网站安全测评服务安全原则

4.1可信性

服务提供方应该具有相关资质，并具备安全测评的能力，以保证测评主体的可信性。测评人员的

资历、资质应该是审查过的，以保证人员的可信性。测评工具应通过国家认可的第三方机构的安全测

评或认证，以保证测评工具的可信性。测评过程应严格按照相关标准进行，以保证过程可信性。测试

方法和用例覆盖率应达到相应安全等级要求，以保证结果可信性。

4.2保密性

对于第三方，无论企业或个人，测评服务过程中，需求方提供的数据、应用、系统和相关文档等，

应该处于私密状态。禁止把企业或个人信息泄露给第三