《WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范》(2017RB011)-征求意見稿
《《WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范》(2017RB011)-征求意見稿》由會員分享,可在線閱讀,更多相關(guān)《《WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范》(2017RB011)-征求意見稿(28頁珍藏版)》請在裝配圖網(wǎng)上搜索。
ICS點擊此處添加中國標準文獻分類號RB中華人民共和國認證認可行業(yè)標準RB/T XXXXXXXXXWEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范點擊此處添加標準英文譯名點擊此處添加與國際標準一致性程度的標識(征求意見稿)(本稿完成日期:2018-12-28)XXXX - XX - XX發(fā)布XXXX - XX - XX實施中華人民共和國國家市場監(jiān)督管理總局國家認證認可監(jiān)督管理委員會發(fā)布RB/T XXXXXXXXX目次前言21范圍32規(guī)范性引用文件33術(shù)語、定義和縮略語33.1術(shù)語和定義33.2縮略語34評價要求44.1總體說明44.2功能要求44.3自身安全要求54.4安全保障要求75評價方法105.1總體說明105.2檢測環(huán)境與工具105.3功能檢測115.4自身安全檢測145.5安全保障要求評估21前言本規(guī)范按照GB/T 1.1-2009的規(guī)則起草。本規(guī)范由國家認證認可監(jiān)督管理委員會提出并歸口。本規(guī)范起草單位:本規(guī)范主要起草人:WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范1 范圍本規(guī)范規(guī)定了WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全評價要求及評價方法。本規(guī)范適用于第三方認證機構(gòu)和檢測機構(gòu)對WEB應(yīng)用安全監(jiān)測系統(tǒng)的評價,WEB 應(yīng)用安全監(jiān)測系統(tǒng)的設(shè)計和實現(xiàn)也可參照。2 規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅所注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T 18336-2015信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準則GB/T 25069 信息安全技術(shù) 術(shù)語3 術(shù)語、定義和縮略語3.1 術(shù)語和定義標準GB/T 18336-2015和GB/T 25069界定的以及下列術(shù)語和定義適用于本標準。3.1.1 WEB應(yīng)用安全監(jiān)測系統(tǒng)WEB應(yīng)用安全監(jiān)測系統(tǒng)是指部署在網(wǎng)絡(luò)里,以監(jiān)控的方式,實現(xiàn)對WEB應(yīng)用的服務(wù)狀態(tài)、安全狀態(tài)進行監(jiān)測的產(chǎn)品。3.1.2 SQL注入把SQL命令插入到WEB表單遞交或者輸入域名、頁面請求的查詢字符串中,以達到欺騙服務(wù)器執(zhí)行惡意SQL命令的目的??蛻舳送ㄟ^插入或注入SQL查詢語句輸入數(shù)據(jù)到應(yīng)用。3.1.3 跨站腳本攻擊跨站腳本攻擊(也稱為XSS)指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。3.1.4 網(wǎng)頁掛馬網(wǎng)頁掛馬是指一個木馬程序(或惡意代碼)被上傳到網(wǎng)站形成網(wǎng)頁木馬,使網(wǎng)頁瀏覽者訪問被掛馬的網(wǎng)頁時執(zhí)行其中的惡意代碼。3.2 縮略語以下縮略語適用于本文件HTTP 超文本傳輸協(xié)議 Hypertext Transfer ProtocolURL 統(tǒng)一資源定位器 Uniform Resource LocatorSSH 建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議 Secure ShellTOE 評估對象 Target of EvaluationTSF TOE安全功能 TOE Security Functions4 評價要求4.1 總體說明4.1.1 評價要求分類本評價要求包括對產(chǎn)品的功能要求、自身安全要求和安全保障要求。4.1.2 安全等級本評價規(guī)范不對產(chǎn)品進行安全等級劃分。產(chǎn)品的安全保障要求采用GB/T 18336.3-2015中有關(guān) EAL2 級的要求。4.2 功能要求4.2.1 WEB應(yīng)用狀態(tài)監(jiān)控WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能定時訪問目標WEB應(yīng)用,并分析返回頁面,檢測是否包含錯誤信息,及時發(fā)現(xiàn)WEB應(yīng)用訪問異常。4.2.2 WEB漏洞掃描WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠掃描到SQL注入攻擊、跨站腳本攻擊(XSS)、信息泄露等常見的 WEB應(yīng)用安全漏洞。4.2.3 網(wǎng)頁掛馬檢測WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測到被掛馬的WEB頁面。4.2.4 自動通告WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能在發(fā)現(xiàn)WEB應(yīng)用出現(xiàn)故障或者WEB應(yīng)用安全漏洞時,自動通知系統(tǒng)管理員。4.2.5 產(chǎn)品升級WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能支持手動或者自動的方式進行產(chǎn)品升級,對漏洞知識庫、木馬特征以及服務(wù)程序等進行更新。4.2.6 管理功能4.2.6.1 系統(tǒng)管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)具備配置管理功能,支持本地管理或遠程管理。4.2.6.2 任務(wù)管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持監(jiān)測掃描任務(wù)添加域名或IP地址,能夠設(shè)置掃描時間周期并實時顯示任務(wù)進度及詳情,支持對已完成掃描任務(wù)的記錄和管理。4.2.6.3 報表管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持報表功能并能輸出報表;報表內(nèi)容應(yīng)包含網(wǎng)站基本信息(包括IP地址、網(wǎng)站標題及服務(wù)器所處位置等等信息)、任務(wù)概要信息(包括任務(wù)掃描時間、掃描深度、網(wǎng)站安全等級等信息)以及執(zhí)行結(jié)果信息(包括SQL注入、XSS跨站、網(wǎng)站掛馬等鏈接的詳細信息)。4.2.7 服務(wù)能力監(jiān)測WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能對WEB應(yīng)用的訪問響應(yīng)時間進行監(jiān)測,顯示訪問延時波動。4.2.8 篡改監(jiān)測WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能及時發(fā)現(xiàn)指定的WEB應(yīng)用(如指定URL地址等)被篡改的行為(如篡改頁面的文字、圖片、媒體信息等),并產(chǎn)生用戶告警信息(如通過郵件、短信及提示信息等顯示告警信息)。4.3 自身安全要求4.3.1 安全審計4.3.1.1 審計數(shù)據(jù)產(chǎn)生a) WEB 應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)對以下事件生成審計記錄:1) 審計功能的啟動與關(guān)閉;2) 用戶的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為;3) 鑒別機制的使用;4) 鑒別失敗的次數(shù)超過給定閾值導(dǎo)致會話終止;5) 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。b) WEB 應(yīng)用安全監(jiān)測系統(tǒng)每個審計記錄中應(yīng)記錄下列信息:1) 事件發(fā)生的日期、時間;2) 事件的類型;3) 主體身份標識;4) 事件的描述及結(jié)果。4.3.1.2 審計查閱a) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為授權(quán)用戶提供讀取審計記錄的功能。b) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)以便于用戶理解的方式提供審計記錄。4.3.1.3 限制審計查閱除明確允許讀訪問的用戶外,TSF應(yīng)禁止所有用戶對審計記錄的讀訪問。4.3.1.4 可選審計查閱WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)提供根據(jù)條件對審計數(shù)據(jù)進行查詢或排序的功能。4.3.1.5 防止審計數(shù)據(jù)丟失a) WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)把生成的審計記錄存儲于一個永久性的記錄中,并應(yīng)提供相應(yīng)措施以防止故障或攻擊造成的審計事件丟失;b) 對因故障或存儲耗竭而導(dǎo)致審計數(shù)據(jù)丟失的最大審計存儲容量,WEB應(yīng)用安全監(jiān)測系統(tǒng)的開發(fā)者應(yīng)提供相應(yīng)的分析結(jié)果;c) 一旦審計存儲容量達到事先規(guī)定的警戒值,應(yīng)能發(fā)送警告信息,并采取相應(yīng)的防護措施。4.3.1.6 審計數(shù)據(jù)保護a) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保護存儲的審計記錄免遭未授權(quán)的刪除;b) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)禁止對審計記錄的修改。4.3.2 標識和鑒別4.3.2.1 唯一性標識WEB 應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保證任何用戶都具有全局唯一的標識。4.3.2.2 鑒別的時機WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)要求每個用戶在執(zhí)行與數(shù)據(jù)泄露防護產(chǎn)品安全相關(guān)的任何其他操作之前,都已被成功鑒別4.3.2.3 用戶屬性定義WEB 應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為每一個用戶保存安全屬性表,屬性應(yīng)包括:用戶標識、授權(quán)信息或用戶組信息、其他安全屬性等。4.3.2.4 鑒別失敗處理a) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測用戶的不成功的鑒別嘗試;b) 在經(jīng)過一定次數(shù)的鑒別失敗后,WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)采取措施以終止登錄嘗試的動作,直至滿足已定義的條件才允許進行重新鑒別;c) 鑒別嘗試的閾值應(yīng)僅允許授權(quán)管理員設(shè)定。4.3.2.5 受保護的鑒別反饋鑒別進行時,WEB應(yīng)用安全監(jiān)測系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋,不顯示字符本身。4.3.3 安全管理4.3.3.1 安全功能行為的管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅限于授權(quán)用戶對下述功能具有修改的能力。a) 監(jiān)測任務(wù)的管理; b) 其他安全功能行為的管理。4.3.3.2 安全屬性的管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)執(zhí)行訪問控制策略或信息流控制策略,以限制已識別了的授權(quán)角色查詢、修改和刪除安全屬性的能力。4.3.3.3 安全角色a) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)維護已標識的授權(quán)角色; b) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠?qū)⒂脩襞c角色關(guān)聯(lián)起來。4.3.3.4 TSF 數(shù)據(jù)的管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅允許授權(quán)用戶控制 安全功能數(shù)據(jù)的管理。4.3.4 TSF保護4.3.4.1 內(nèi)部TSF數(shù)據(jù)傳送的基本保護TSF應(yīng)保護所有從 WEB應(yīng)用安全監(jiān)測系統(tǒng)傳送到遠程管理主機的TSF數(shù)據(jù)(如:登錄鑒別數(shù)據(jù)、安全設(shè)置信息)在傳送過程中不會被未授權(quán)泄漏。4.3.4.2 自動恢復(fù)a) 當WEB應(yīng)用安全監(jiān)測系統(tǒng)發(fā)生失效、服務(wù)中斷等故障,無法自動恢復(fù)時,系統(tǒng)應(yīng)能夠提供進入維護模式,通過該模式保證系統(tǒng)返回到一個安全狀態(tài)。b) 當WEB應(yīng)用安全監(jiān)測系統(tǒng)的服務(wù)發(fā)生中斷后,在人工干預(yù)的情況下或者無人工干預(yù)自動恢復(fù)到安全狀態(tài)(如:安全策略、系統(tǒng)配置等)。4.3.5 用戶數(shù)據(jù)保護4.3.5.1 基于安全屬性的訪問控制a) 產(chǎn)品安全功能應(yīng)基于安全屬性和確定的安全屬性組,對已明確的客體執(zhí)行產(chǎn)品訪問控制策略;b) 產(chǎn)品安全功能應(yīng)執(zhí)行產(chǎn)品訪問控制策略,決定受控的主體與客體間的操作是否被允許。4.4 安全保障要求4.4.1 開發(fā)4.4.1.1 安全架構(gòu)描述a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)設(shè)計并實現(xiàn)TOE,確保TSF的安全特性不可旁路;2) 開發(fā)者應(yīng)設(shè)計并實現(xiàn)TSF,以防止不可信主體的破壞;3) 開發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。b) 內(nèi)容和形式元素:1) 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計文檔中對SFR-執(zhí)行的抽象描述的級別一致;2) 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域;3) 安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的;4) 安全架構(gòu)的描述應(yīng)證實TSF可防止被破壞;5) 安全架構(gòu)的描述應(yīng)證實TSF可防止SFR-執(zhí)行的功能被旁路。4.4.1.2 安全執(zhí)行功能規(guī)范a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供一個功能規(guī)范;2) 開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。b) 內(nèi)容和形式元素:1) 功能規(guī)范應(yīng)完整地描述TSF;2) 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法;3) 功能規(guī)范應(yīng)識別和描述每個TSFI相關(guān)的所有參數(shù);4) 對于每個SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為;5) 對于SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯誤消息;6) 功能規(guī)范應(yīng)證實安全功能要求到TSFI的追溯。4.4.1.3 基礎(chǔ)設(shè)計a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供TOE的設(shè)計;2) 開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計中獲取到的最低層分解的映射。b) 內(nèi)容和形式元素:1) 設(shè)計應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu);2) 設(shè)計應(yīng)標識TSF的所有子系統(tǒng);3) 設(shè)計應(yīng)對每一個SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進行足夠詳細的描述,以確定它不是SFR-執(zhí)行;4) 設(shè)計應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為;5) 設(shè)計應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用;6) 映射關(guān)系應(yīng)證實TOE設(shè)計中描述的所有行為能夠映射到調(diào)用它的TSFI。4.4.2 指導(dǎo)性文檔4.4.2.1 操作用戶指南a) 開發(fā)者行為元素:開發(fā)者應(yīng)提供操作用戶指南。b) 內(nèi)容和形式元素:1) 操作用戶指南應(yīng)對每一種用戶角色進行描述,在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán),包含適當?shù)木拘畔ⅲ?) 操作用戶指南應(yīng)對每一種用戶角色進行描述,怎樣以安全的方式使用TOE提供的可用接口;3) 操作用戶指南應(yīng)對每一種用戶角色進行描述,可用功能和接口,尤其是受用戶控制的所有安全參數(shù),適當時應(yīng)指明安全值;4) 操作用戶指南應(yīng)對每一種用戶角色明確說明,與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件,包括改變TSF所控制實體的安全特性;5) 操作用戶指南應(yīng)標識TOE運行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯誤),它們與維持安全運行之間的因果關(guān)系和聯(lián)系;6) 操作用戶指南應(yīng)對每一種用戶角色進行描述,為了充分實現(xiàn)ST中描述的運行環(huán)境安全目的所必須執(zhí)行的安全策略;7) 操作用戶指南應(yīng)是明確和合理的。4.4.2.2 準備程序a) 開發(fā)者行為元素:開發(fā)者應(yīng)提供TOE,包括它的準備程序。b) 內(nèi)容和形式元素:1) 準備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟;2) 準備程序應(yīng)描述安全安裝TOE以及安全準備與ST中描述的運行環(huán)境安全目的一致的運行環(huán)境必需的所有步驟。4.4.3 生命周期支持4.4.3.1 CM系統(tǒng)的使用a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)提供TOE及其參照號;2) 開發(fā)者應(yīng)提供CM文檔;3) 開發(fā)者應(yīng)使用CM系統(tǒng)。b) 內(nèi)容和形式元素:1) 應(yīng)給TOE標注唯一參照號;2) CM文檔應(yīng)描述用于唯一標識配置項的方法;3) CM系統(tǒng)應(yīng)唯一標識所有配置項。4.4.3.2 部分TOE CM覆蓋a) 開發(fā)者行為元素:開發(fā)者應(yīng)提供TOE配置項列表。b) 內(nèi)容和形式元素:1) 配置項列表應(yīng)包括:TOE本身、安全保障要求的評估證據(jù)和TOE的組成部分;2) 配置項列表應(yīng)唯一標識配置項;3) 對于每一個TSF相關(guān)的配置項,配置項列表應(yīng)簡要說明該配置項的開發(fā)者。4.4.3.3 交付程序a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)將把TOE或其部分交付給消費者的程序文檔化;2) 開發(fā)者應(yīng)使用交付程序。b) 內(nèi)容和形式元素:交付文檔應(yīng)描述,在向消費者分發(fā)TOE版本時,用以維護安全性所必需的所有程序。4.4.4 測試4.4.4.1 覆蓋證據(jù)a) 開發(fā)者行為元素:開發(fā)者應(yīng)提供測試覆蓋的證據(jù)。b) 內(nèi)容和形式元素:測試覆蓋的證據(jù)應(yīng)表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對應(yīng)性。4.4.4.2 功能測試a) 開發(fā)者行為元素:1) 開發(fā)者應(yīng)測試TSF,并文檔化測試結(jié)果;2) 開發(fā)者應(yīng)提供測試文檔。b) 內(nèi)容和形式元素:1) 測試文檔應(yīng)包括測試計劃、預(yù)期的測試結(jié)果和實際的測試結(jié)果;2) 測試計劃應(yīng)標識要執(zhí)行的測試并描述執(zhí)行每個測試的方案,這些方案應(yīng)包括對于其他測試結(jié)果的任何順序依賴性;3) 預(yù)期的測試結(jié)果應(yīng)指出測試成功執(zhí)行后的預(yù)期輸出;4) 實際的測試結(jié)果應(yīng)與預(yù)期的測試結(jié)果一致。4.4.4.3 獨立測試-抽樣a) 開發(fā)者行為元素:開發(fā)者應(yīng)提供用于測試的TOE。b) 內(nèi)容和形式元素:1) TOE應(yīng)適合測試;2) 開發(fā)者應(yīng)提供一組與開發(fā)者TSF功能測試中同等的一系列資源。4.4.5 脆弱性評定4.4.5.1 脆弱性分析a) 開發(fā)者行為元素:開發(fā)者應(yīng)提供用于測試的TOE。b) 內(nèi)容和形式元素:TOE應(yīng)適合測試。5 評價方法5.1 總體說明評價方法與評價要求一一對應(yīng),它給出具體的方法來驗證WEB應(yīng)用安全監(jiān)測系統(tǒng)產(chǎn)品是否滿足評價要求。評價過程分為檢測和評估,其中,檢測內(nèi)容為功能要求及自身安全要求,評估內(nèi)容為安全保障要求,評估的主要方式為文件審核和現(xiàn)場核查。5.2 檢測環(huán)境與工具a) 檢測環(huán)境圖u圖1 功能檢測環(huán)境圖b) 檢測工具:WEB瀏覽器、網(wǎng)絡(luò)協(xié)議分析工具5.3 功能檢測5.3.1 WEB應(yīng)用狀態(tài)監(jiān)控a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能定時對目標WEB應(yīng)用訪問,并分析返回頁面,檢測是否包含錯誤信息,及時發(fā)現(xiàn)WEB應(yīng)用訪問異常。b) 檢測方法1) 審查產(chǎn)品說明書描述,WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持WEB應(yīng)用狀態(tài)監(jiān)控;2) 按照產(chǎn)品說明書,使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在服務(wù)器上存在問題的WEB應(yīng)用實施狀態(tài)監(jiān)控,并查看監(jiān)控結(jié)果。c) 結(jié)果判定1) 產(chǎn)品提供支持WEB應(yīng)用狀態(tài)監(jiān)控功能;3) 產(chǎn)品能夠監(jiān)測應(yīng)用訪問的異常情況;1)-2)項均滿足為“符合”;否則為“不符合”。5.3.2 WEB漏洞掃描a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠掃描到SQL注入攻擊、跨站腳本攻擊(XSS)、信息泄露等常見的 WEB應(yīng)用安全漏洞。b) 檢測方法1) 審查產(chǎn)品說明書描述,WEB應(yīng)用安全監(jiān)測系統(tǒng)檢查是否支持對SQL注入攻擊、跨站腳本(XSS)攻擊、信息泄露(源代碼、報錯信息、目錄信息)等常見的WEB攻擊手段掃描檢測;2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上存在SQL注入、跨站腳本、信息泄露等安全漏洞的WEB應(yīng)用進行掃描,查看掃描結(jié)果。c) 結(jié)果判定1) 產(chǎn)品提供支持WEB漏洞掃描功能;2) 產(chǎn)品能夠監(jiān)測出部署在測試服務(wù)器上的WEB應(yīng)用存在SQL注入、跨站腳本、信息泄露等安全漏洞;1)-2)項均滿足為“符合”;否則為“不符合”。5.3.3 網(wǎng)頁掛馬檢測a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測到被掛馬的WEB頁面。b) 檢測方法1) 審查產(chǎn)品說明書描述,WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持網(wǎng)頁掛馬檢測;2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上存在網(wǎng)頁掛馬的WEB應(yīng)用進行掃描,查看掃描結(jié)果。c) 結(jié)果判定1) 產(chǎn)品提供支持網(wǎng)頁掛馬檢測功能;2) 產(chǎn)品能夠完成網(wǎng)頁掛馬檢測,并能夠檢測出被掛馬的WEB頁面;1)-2)項均滿足為“符合”;否則為“不符合”。5.3.4 自動通告a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持在發(fā)現(xiàn)WEB應(yīng)用出現(xiàn)故障或者發(fā)現(xiàn)WEB應(yīng)用安全漏洞時,能自動通知系統(tǒng)管理員。b) 檢測方法1) 審查產(chǎn)品說明書描述,WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持自動通告;2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上存在安全漏洞的WEB應(yīng)用進行監(jiān)測,查看是否能夠在發(fā)現(xiàn)漏洞或故障后,通過郵件、短信、頁面提示、聲音報警等一種或多種方式自動通知管理員。c) 結(jié)果判定1) 產(chǎn)品提供自動通知功能;2) 產(chǎn)品能夠在發(fā)現(xiàn)漏洞或故障后,通過郵件、短信、頁面提示、聲音報警等一種或多種方式自動通知管理員。1)-2)項均滿足為“符合”;否則為“不符合”。5.3.5 產(chǎn)品升級a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持手動或者自動的方式進行產(chǎn)品升級(如對漏洞知識庫、木馬特征以及服務(wù)程序等進行更新)。b) 檢測方法1) 審查產(chǎn)品說明書描述,WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持產(chǎn)品升級;2) 按照產(chǎn)品說明書,測試WEB應(yīng)用安全監(jiān)測系統(tǒng)是否可實施手動或自動升級。c) 結(jié)果判定1) 產(chǎn)品提供升級功能;2) 產(chǎn)品能夠支持手動或者自動的方式進行產(chǎn)品升級。1)-2)項均滿足為“符合”;否則為“不符合”。5.3.6 管理功能5.3.6.1 系統(tǒng)管理a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)具備配置管理功能,支持本地管理或遠程管理。b) 檢測方法查看WEB應(yīng)用安全監(jiān)測系統(tǒng)的管理方式(如:Console口、Telnet、SSH、HTTP、HTTPS、SNMP、產(chǎn)品專用的管理程序),是否支持本地管理或遠程管理方式,并進行驗證。c) 結(jié)果判定1) WEB應(yīng)用安全監(jiān)測系統(tǒng)支持本地的管理方式,且能夠有效實施配置管理;2) WEB應(yīng)用安全監(jiān)測系統(tǒng)支持遠程管理方式,且能夠有效實施配置管理。1)或 2)項有一項滿足為“符合”,其他情況為“不符合”。5.3.6.2 任務(wù)管理a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持監(jiān)測掃描任務(wù)添加域名或IP地址,能夠設(shè)置掃描時間周期并實時顯示任務(wù)進度及詳情,支持對已完成掃描任務(wù)的記錄和管理。b) 檢測方法1) 審查產(chǎn)品說明書描述,WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持任務(wù)管理功能;2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)添加掃描任務(wù)對部署在測試服務(wù)器上的WEB應(yīng)用進行監(jiān)測掃描,查看當前任務(wù)進展情況;3) 任務(wù)完成之后對歷史任務(wù)進行查看、搜索、排序和刪除等操作。c) 結(jié)果判定1) WEB應(yīng)用安全監(jiān)測系統(tǒng)支持掃描任務(wù)添加域名或IP地址并支持掃描時間周期的設(shè)置;2) WEB應(yīng)用安全監(jiān)測系統(tǒng)支持查看當前掃描任務(wù)的詳細信息,并可對已完成的掃描任務(wù)進行管理。1)或 2)項有一項滿足為“符合”,其他情況為“不符合”。5.3.6.3 報表管理a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持報表功能并能輸出報表;報表內(nèi)容應(yīng)包含網(wǎng)站基本信息(包括IP地址、網(wǎng)站標題及服務(wù)器所處位置等等信息)、任務(wù)概要信息(包括任務(wù)掃描時間、掃描深度、網(wǎng)站安全等級等信息)以及執(zhí)行結(jié)果信息(包括SQL注入、XSS跨站、網(wǎng)站掛馬等鏈接的詳細信息)。b) 檢測方法1) 審查產(chǎn)品說明書描述,WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持報表管理功能;2) 登錄WEB應(yīng)用安全監(jiān)測系統(tǒng)查看歷史任務(wù)報表,查看報表內(nèi)容是否包含檢測要求中的相關(guān)信息。3) 導(dǎo)出歷史任務(wù)報表,報表應(yīng)能被導(dǎo)出(如HTML、WORD等格式)。c) 結(jié)果判定1) WEB應(yīng)用安全監(jiān)測系統(tǒng)的報表內(nèi)容應(yīng)包含檢測要求中的詳細內(nèi)容;2) WEB應(yīng)用安全監(jiān)測系統(tǒng)的報表應(yīng)能被導(dǎo)出(導(dǎo)出格式不限)。1)或 2)項有一項滿足為“符合”,其他情況為“不符合”。5.3.7 服務(wù)能力監(jiān)測a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能對WEB應(yīng)用的訪問響應(yīng)時間進行監(jiān)測,顯示訪問延時波動。b) 檢測方法1) 審查產(chǎn)品說明書描述,WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持服務(wù)能力監(jiān)測;2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上的WEB應(yīng)用進行監(jiān)測,查看是否能夠顯示訪問延時波動。c) 結(jié)果判定1) 產(chǎn)品提供服務(wù)能力監(jiān)測功能;2) 產(chǎn)品能夠顯示訪問延時波動。1)-2)項均滿足為“符合”;否則為“不符合”。5.3.8 篡改監(jiān)測a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能及時發(fā)現(xiàn)指定的WEB應(yīng)用(如指定URL地址等)被篡改的行為(如篡改頁面的文字、圖片、媒體信息等),并產(chǎn)生用戶告警信息(如通過郵件、短信及提示信息等顯示告警信息)。b) 檢測方法1) 審查產(chǎn)品說明書描述,WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持篡改監(jiān)測功能,并登錄配置界面驗證產(chǎn)品是否提供對篡改監(jiān)控頁面的設(shè)置;2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上WEB應(yīng)用的指定頁面進行監(jiān)測,對WEB應(yīng)用進行授權(quán)發(fā)布或更新,驗證對發(fā)布后的應(yīng)用能否重新建立新的掃描對比基準,以區(qū)別非授權(quán)篡改。3) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上WEB應(yīng)用的指定頁面進行監(jiān)測,對WEB應(yīng)用進行篡改操作(如修改頁面內(nèi)容、媒體信息及刪除圖片等),查看WEB應(yīng)用安全監(jiān)測系統(tǒng)是否對其篡改操作行為進行告警,并通過何種方式進行告警。c) 結(jié)果判定1) 產(chǎn)品提供篡改監(jiān)控功能,并提供對篡改監(jiān)控頁面的參數(shù)設(shè)置(如設(shè)置指定的URL地址、監(jiān)測深度等);2) 產(chǎn)品能夠?qū)φ0l(fā)布或更新行為手動或自動建立新的掃描基準,以區(qū)分非授權(quán)篡改;3) 產(chǎn)品能夠?qū)Υ鄹牟僮餍袨檫M行告警。1)-3)項均滿足為“符合”;否則為“不符合”。5.4 自身安全檢測5.4.1 檢測環(huán)境與工具5.4.2 安全審計5.4.2.1 審計數(shù)據(jù)產(chǎn)生a) 檢測要求1) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)對以下事件生成審計記錄: 審計功能的啟動與關(guān)閉; 用戶的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為; 鑒別機制的使用; 鑒別失敗的次數(shù)超過給定閾值導(dǎo)致會話終止; 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。2) WEB應(yīng)用安全監(jiān)測系統(tǒng)每個審計記錄中應(yīng)記錄下列信息: 事件發(fā)生的日期、時間; 事件的類型; 主體身份標識; 事件的描述及結(jié)果。b) 檢測方法1) 以授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng),執(zhí)行檢測要求1)中相關(guān)的操作,查看審計記錄,檢查系統(tǒng)是否對操作進行了審計記錄;2) 查看審計記錄內(nèi)容中是否包括事件發(fā)生的日期和時間、事件類型、主體身份標識、事件描述及結(jié)果等信息。c) 結(jié)果判定1) WEB應(yīng)用安全監(jiān)測系統(tǒng)能夠?qū)σ韵率录蓪徲嬘涗洠?審計功能的啟動與關(guān)閉; 用戶的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為; 鑒別機制的使用; 鑒別失敗的次數(shù)超過給定閾值導(dǎo)致會話終止; 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。2) WEB應(yīng)用安全監(jiān)測系統(tǒng)的審計記錄中能夠記錄下列信息: 事件發(fā)生的日期、時間; 事件的類型; 主體身份標識; 事件的描述及結(jié)果。 1)-2)項均滿足為“符合”,其他情況為“不符合”。5.4.2.2 審計查閱a) 檢測要求1) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為授權(quán)用戶提供讀取審計記錄的功能。2) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)以便于用戶理解的方式提供審計記錄。b) 檢測方法1) 以授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng),查驗是否為授權(quán)用戶提供從審計記錄中讀取審計信息的功能。2) 查看 WEB應(yīng)用安全監(jiān)測系統(tǒng)審計信息的提供方式和格式。c) 結(jié)果判定1) 授權(quán)用戶能夠讀取審計記錄;2) 審計記錄以用戶易理解的方式和格式提供。1)-2)項均滿足為“符合”;否則為“不符合”。5.4.2.3 限制審計查閱a) 檢測要求除明確允許讀訪問的用戶外,TSF應(yīng)禁止所有用戶對審計記錄的讀訪問。b) 檢測方法1) 檢查授權(quán)用戶是否能夠讀取其權(quán)限范圍內(nèi)的審計信息;2) 檢查非授權(quán)用戶是否不能讀取任何審計信息。c) 結(jié)果判定1) 授權(quán)用戶能夠讀取其權(quán)限范圍內(nèi)的審計信息;2) 非授權(quán)用戶不能讀取任何審計信息。1)-2)項均滿足為“符合”;否則為“不符合”。5.4.2.4 可選審計查閱a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)提供根據(jù)條件對審計數(shù)據(jù)進行查詢或排序的功能。b) 檢測方法1) 以授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng),以一定的條件(如,主體ID(標識符)、客體ID、日期、時間等)對審計數(shù)據(jù)進行查詢或排序操作; 2) 檢查查詢或排序的結(jié)果是否完全正確。c) 結(jié)果判定1) 能夠支持根據(jù)條件對審計數(shù)據(jù)進行查詢或排序;2) 查詢或排序的結(jié)果是否完全正確。1)-2)項均滿足為“符合”,其他情況為“不符合”。5.4.2.5 防止審計數(shù)據(jù)丟失a) 檢測要求1) WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)把生成的審計記錄存儲于一個永久性的記錄中,并應(yīng)提供相應(yīng)措施以防止故障或攻擊造成的審計事件丟失;2) 對因故障或存儲耗竭而導(dǎo)致審計數(shù)據(jù)丟失的最大審計存儲容量,WEB應(yīng)用安全監(jiān)測系統(tǒng)的開發(fā)者應(yīng)提供相應(yīng)的分析結(jié)果;3) 一旦審計存儲容量達到事先規(guī)定的警戒值,應(yīng)能發(fā)送警告信息,并采取相應(yīng)的防護措施。b) 檢測方法1) 查驗WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能是否將生成的審計記錄存儲于一個永久性的記錄中(如,硬盤),而非易失性部件中(如,內(nèi)存)。2) 查驗是否提供相應(yīng)措施以防止故障或攻擊造成的審計事件丟失(檢測是否提供安全措施,如可以自動存檔或?qū)С鰧徲嬍录乐挂馔鈦G失);3) 查驗對因故障或存儲耗竭而導(dǎo)致審計數(shù)據(jù)丟失的最大審計存儲容量,WEB應(yīng)用安全監(jiān)測系統(tǒng)的開發(fā)者是否提供相應(yīng)的分析結(jié)果 (包括對可能到達最大容量的充分估計,對容量問題設(shè)計一定措施,如開辟大容量空間存放審計數(shù)據(jù)、接近上限前提醒管理員等);4) 模擬審計容量大量消耗相關(guān)的操作,測試WEB應(yīng)用安全監(jiān)測系統(tǒng)是否在審計存儲容量達到事先規(guī)定的警戒值時發(fā)出警告信息,并采取相應(yīng)的防護措施(如,停止記錄、僅從最早的記錄開始覆蓋等)。c) 結(jié)果判定1) 審計記錄存儲于一個永久性的記錄中;2) 系統(tǒng)支持自動存檔機制或支持授權(quán)管理員的導(dǎo)出備份功能,從而能夠防止由于故障和攻擊可能造成的意外丟失;3) 對因故障或存儲耗竭而導(dǎo)致審計數(shù)據(jù)丟失的最大審計存儲容量,系統(tǒng)的開發(fā)者能夠提供相應(yīng)的分析結(jié)果;4) 審計容量達到警戒值時發(fā)出警告信息,并能夠采取相應(yīng)的防護措施。1)-4)項均滿足為“符合”;其他情況為“不符合”。5.4.2.6 審計數(shù)據(jù)保護a) 檢測要求1) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保護存儲的審計記錄免遭未授權(quán)的刪除;2) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)禁止對審計記錄的修改。b) 檢測方法1) 分別以授權(quán)用戶和非授權(quán)用戶身份執(zhí)行刪除審計記錄的操作,驗證WEB應(yīng)用安全監(jiān)測系統(tǒng)是否能夠確保免遭未授權(quán)的刪除;2) 查看WEB應(yīng)用安全監(jiān)測系統(tǒng)是否能夠防止修改審計記錄的操作。c) 結(jié)果判定1) 能夠確保免遭未授權(quán)的刪除;2) 審計記錄不能修改。1)2)項滿足為“符合”,其他情況為“不符合”。5.4.3 標識和鑒別5.4.3.1 唯一性標識a) 檢測要求WEB 應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保證任何用戶都具有全局唯一的標識。b) 檢測方法1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護產(chǎn)品,查看用戶信息;2) 嘗試新建一個相同用戶標識的用戶,檢查操作是否能夠成功。c) 結(jié)果判定1) 系統(tǒng)不允許新建相同用戶標識的用戶。1)項滿足為“符合”;其他情況為“不符合”。5.4.3.2 鑒別的時機a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)要求每個用戶在執(zhí)行與數(shù)據(jù)泄露防護產(chǎn)品安全相關(guān)的任何其他操作之前,都已被成功鑒別。b) 檢測方法1) 查看用戶在未被成功鑒別前,是否被拒絕執(zhí)行任何安全相關(guān)的操作;2) 查看產(chǎn)品是否拒絕使用錯誤鑒別信息的用戶登錄;3) 嘗試以正確的鑒別信息登錄,驗證產(chǎn)品是否允許登錄,是否允許進行相應(yīng)的安全管理操作。4) 對系統(tǒng)中所有角色的授權(quán)用戶進行測試,查驗WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能是否確保對每個授權(quán)用戶都進行鑒別。c) 結(jié)果判定1) 用戶被成功鑒別前,不能執(zhí)行任何與安全相關(guān)的操作;2) 使用錯誤鑒別信息,產(chǎn)品不允許登錄;3) 使用正確的鑒別信息,能夠成功登錄,并能夠執(zhí)行相應(yīng)的安全管理操作。4) 系統(tǒng)能夠確保對每個授權(quán)用戶都進行鑒別。1)-4)項均滿足為“符合”;其他情況為“不符合”。5.4.3.3 用戶屬性定義a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為每一個用戶保存安全屬性表,屬性應(yīng)包括:用戶標識、授權(quán)信息或用戶組信息、其他安全屬性等。b) 檢測方法1) 查看產(chǎn)品是否為每一個用戶保存其安全屬性表,屬性可包括:用戶標識、授權(quán)信息或用戶組信息、其他安全屬性等;2) 以不同的授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng),執(zhí)行其權(quán)限范圍內(nèi)的操作,檢查該用戶可執(zhí)行的操作與其安全屬性(如用戶標識、授權(quán)信息等)的要求是否一致;3) 查驗是否能夠有效對安全屬性進行設(shè)定、修改;4) 修改用戶的部分安全屬性后,檢查該用戶可執(zhí)行的操作與其被修改后的安全屬性的要求是否一致。c) 結(jié)果判定1) 系統(tǒng)支持為每一個用戶定義及維護其安全屬性表;2) 所有用戶能夠依據(jù)其安全屬性進行相應(yīng)的操作;3) 支持對安全屬性的設(shè)定、修改;4) 用戶可執(zhí)行的操作與其被修改后的安全屬性(如授權(quán)信息等)的要求一致。1)-4)均滿足為“符合”;其他情況為“不符合”。5.4.3.4 鑒別失敗處理a) 檢測要求1) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測用戶的不成功的鑒別嘗試;2) 在經(jīng)過一定次數(shù)的鑒別失敗后,WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)采取措施以終止登錄嘗試的動作,直至滿足已定義的條件才允許進行重新鑒別;3) 鑒別嘗試的閾值應(yīng)僅允許授權(quán)管理員設(shè)定。b) 檢測方法1) 以錯誤的鑒別信息嘗試登錄,查驗是否被拒絕進入系統(tǒng);2) 進行一定次數(shù)的登錄嘗試,驗證在一定次數(shù)的鑒別失敗后,WEB應(yīng)用安全監(jiān)測系統(tǒng)是否對登錄嘗試主機終止其建立會話的過程(例如:關(guān)閉身份鑒別的對話界面、鎖定帳戶等);3) 如果系統(tǒng)提供最多失敗次數(shù)的設(shè)定功能。查驗該閾值是否僅由授權(quán)管理員設(shè)定,并驗證所設(shè)定的次數(shù)是否有效;c) 結(jié)果判定1) 系統(tǒng)能夠檢測用戶的不成功的鑒別嘗試;2) 在連續(xù)登錄鑒別嘗試失敗連續(xù)達到指定次數(shù)后,用戶賬號或登錄點失效;3) 達到解鎖條件后,失效的用戶賬號或登錄點能夠重新進行鑒別操作;4) 未成功鑒別嘗試次數(shù)閾值僅由授權(quán)管理員能夠進行設(shè)置。1)-4)項均滿足為“符合”;其他情況為“不符合”。5.4.3.5 受保護的鑒別反饋a) 檢測要求鑒別進行時,WEB應(yīng)用安全監(jiān)測系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋,不顯示字符本身。b) 檢測方法執(zhí)行用戶身份鑒別操作,輸入用戶鑒別數(shù)據(jù),檢查WEB應(yīng)用安全監(jiān)測系統(tǒng)給出的反饋信息是否不顯示字符本身。c) 結(jié)果判定1) 產(chǎn)品給出的反饋信息不顯示字符本身。1)項滿足為“符合”;其他情況為“不符合”。5.4.4 安全管理5.4.4.1 安全功能行為的管理a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅限于授權(quán)用戶對下述功能具有修改的能力。1) 監(jiān)測任務(wù)的管理; 2) 其他安全功能行為的管理。b) 檢測方法1) 檢查WEB應(yīng)用安全監(jiān)測系統(tǒng)管理系統(tǒng)的安全功能是否明確規(guī)定僅限于指定的授權(quán)角色對監(jiān)測任務(wù)具有設(shè)定、修改的能力。2) 檢查指定的授權(quán)用戶對系統(tǒng)的功能進行設(shè)定、修改等操作前,是否先登錄才能操作。c) 結(jié)果判定1) WEB應(yīng)用安全監(jiān)測系統(tǒng)僅限于授權(quán)用戶對監(jiān)測任務(wù)等功能進行設(shè)定、修改。2) 指定的授權(quán)用戶對系統(tǒng)的功能進行設(shè)定、修改等操作前,先登錄才能操作。1)-2)項均滿足為“符合”;其他情況為“不符合”。5.4.4.2 安全屬性的管理a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)執(zhí)行訪問控制策略或信息流控制策略, 以限制已識別了的授權(quán)角色查詢、修改和刪除安全屬性的能力。b) 檢測方法1) 查看產(chǎn)品所設(shè)定的安全屬性組(如:用戶名、帳戶有效性、帳戶過期時間和口令過期時間等);2) 對用戶的安全屬性進行查詢、創(chuàng)建、修改和刪除,并作相應(yīng)驗證;3) 驗證是否僅指定的授權(quán)管理員(如:系統(tǒng)管理員)對安全屬性具有管理能力。c) 結(jié)果判定1) 產(chǎn)品能夠提供對安全屬性進行查詢、創(chuàng)建、修改和刪除的功能;2) 產(chǎn)品僅允許指定的授權(quán)管理員對安全屬性具有管理能力。1)-2)均滿足為“符合”;其他情況為“不符合”。5.4.4.3 安全角色a) 檢測要求1) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)維護已標識的授權(quán)角色;2) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠?qū)⒂脩襞c角色關(guān)聯(lián)起來。b) 檢測方法1) 查看產(chǎn)品說明文檔中關(guān)于安全管理角色的劃分和描述;2) 查驗是否允許定義多個角色或?qū)巧M行分級,使不同級別的管理角色具有不同的管理權(quán)限;3) 將用戶與角色關(guān)聯(lián)起來,并進行驗證;4) 檢測未授予安全管理角色的普通用戶是否能夠執(zhí)行安全管理功能相關(guān)操作。c) 結(jié)果判定1) 產(chǎn)品支持定義多個角色或?qū)巧M行分級,使不同級別的管理角色具有不同的管理權(quán)限;2) 用戶能夠與角色進行關(guān)聯(lián),從而實施相應(yīng)的管理功能;3) 未授予安全管理角色的普通用戶不能執(zhí)行安全管理功能相關(guān)操作。1)-3)均滿足為“符合”;其他情況為“不符合”。5.4.4.4 TSF數(shù)據(jù)的管理a) 檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅允許授權(quán)用戶控制安全功能數(shù)據(jù)的管理。b) 檢測方法1) 驗證授權(quán)管理員用戶對TSF數(shù)據(jù)的管理能力(如,審計信息、時鐘、系統(tǒng)配置、重鑒別的閾值、掃描間隔時間、告警參數(shù)和其它TSF配置參數(shù)等);2) 驗證僅允許指定的授權(quán)管理員才能實施 TSF 數(shù)據(jù)的管理。c) 結(jié)果判定1) 產(chǎn)品能夠提供對TSF數(shù)據(jù)(如,審計信息、時鐘、系統(tǒng)配置、重鑒別的閾值、掃描間隔時間、告警參數(shù)和其它TSF配置參數(shù)等)的管理能力;2) 僅允許指定的授權(quán)管理員(如:安全策略管理員)才能實施TSF數(shù)據(jù)的管理。1)-2)均滿足為“符合”;其他情況為“不符合”。5.4.5 TSF保護5.4.5.1 內(nèi)部TSF數(shù)據(jù)傳送的基本保護a) 檢測要求TSF應(yīng)保護所有從WEB 應(yīng)用安全監(jiān)測系統(tǒng)傳送到遠程管理主機的TSF數(shù)據(jù)(如:登錄鑒別數(shù)據(jù)、安全設(shè)置信息)在傳送過程中不會被未授權(quán)泄漏。b) 檢測方法1) 審查產(chǎn)品說明手冊,當產(chǎn)品需要通過網(wǎng)絡(luò)進行管理時,是否能提供對安全功能數(shù)據(jù)采取安全保護措施;2) 使用網(wǎng)絡(luò)協(xié)議分析工具,對網(wǎng)絡(luò)傳輸?shù)陌踩δ軘?shù)據(jù)進行截包分析并加以驗證。c) 結(jié)果判定1) 產(chǎn)品能夠提供對安全功能數(shù)據(jù)進行非明文傳輸。1)項滿足為“符合”;其他情況為“不符合”。5.4.5.2 自動恢復(fù)a) 檢測要求1) 當WEB應(yīng)用安全監(jiān)測系統(tǒng)發(fā)生失效、服務(wù)中斷等故障,無法自動恢復(fù)時,系統(tǒng)應(yīng)能夠提供進入維護模式,通過該模式保證系統(tǒng)返回到一個安全狀態(tài)。2) 當WEB應(yīng)用安全監(jiān)測系統(tǒng)的服務(wù)發(fā)生中斷后,在人工干預(yù)的情況下或者無人工干預(yù)自動恢復(fù)到安全狀態(tài)(如:安全策略、系統(tǒng)配置等)。b) 檢測方法1) 審查產(chǎn)品說明手冊,產(chǎn)品是否提供自動恢復(fù)功能;2) 人為造成系統(tǒng)關(guān)鍵功能失效(包括WEB應(yīng)用安全監(jiān)測系統(tǒng)與相連的網(wǎng)絡(luò)設(shè)備之間網(wǎng)絡(luò)通信斷開;WEB應(yīng)用安全監(jiān)測系統(tǒng)電源關(guān)閉等);驗證系統(tǒng)是否提供系統(tǒng)關(guān)鍵功能的自動恢復(fù)功能。3) 如果無法進行自動恢復(fù)功能,驗證系統(tǒng)是否提供維護模式,通過維護模式保證系統(tǒng)返回到安全狀態(tài)。c) 結(jié)果判定1) 產(chǎn)品提供自動恢復(fù)功能;2) 產(chǎn)品能夠自動恢復(fù)到未發(fā)生故障之前的狀態(tài);3) 產(chǎn)品提供維護模式,并通過維護模式保證系統(tǒng)返回到安全狀態(tài)。1)-3)項滿足為“符合”;其他情況為“不符合”。5.4.6 用戶數(shù)據(jù)保護5.4.6.1 基于安全屬性的訪問控制a) 檢測要求1) 產(chǎn)品安全功能應(yīng)基于安全屬性和確定的安全屬性組,對已明確的客體執(zhí)行產(chǎn)品訪問控制策略;2) 產(chǎn)品安全功能應(yīng)執(zhí)行產(chǎn)品訪問控制策略,決定受控的主體與客體間的操作是否被允許。b) 檢測方法1) 驗證產(chǎn)品定義了不同的安全屬性組(如:用戶名、帳戶有效性、帳戶過期時間和口令過期時間等),并規(guī)定了對產(chǎn)品的訪問控制策略;2) 驗證用戶對產(chǎn)品的訪問,由訪問控制策略進行約束。c) 結(jié)果判定1) 產(chǎn)品能夠基于安全屬性設(shè)置相應(yīng)的訪問控制策略。2) 產(chǎn)品能夠依據(jù)訪問控制策略執(zhí)行訪問控制。1)-2)項滿足為“符合”;其他情況為“不符合”。5.5 安全保障要求評估5.5.1 開發(fā)5.5.1.1 安全架構(gòu)描述a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)設(shè)計并實現(xiàn)TOE,確保TSF的安全特性不可旁路; 開發(fā)者應(yīng)設(shè)計并實現(xiàn)TSF,以防止不可信主體的破壞; 開發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。2) 內(nèi)容和形式元素: 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計文檔中對SFR-執(zhí)行的抽象描述的級別一致; 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域; 安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的; 安全架構(gòu)的描述應(yīng)證實TSF可防止被破壞; 安全架構(gòu)的描述應(yīng)證實TSF可防止SFR-執(zhí)行的功能被旁路。b) 評估方法評估者應(yīng)確認提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了TSF安全架構(gòu)的描述;2) 開發(fā)者提供的TSF安全架構(gòu)的描述滿足證據(jù)的內(nèi)容和形式的所有要求。1)2)項均滿足為“符合”,其他情況為“不符合”。5.5.1.2 安全執(zhí)行功能規(guī)范a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供一個功能規(guī)范; 開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。2) 內(nèi)容和形式元素: 功能規(guī)范應(yīng)完整地描述TSF; 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法; 功能規(guī)范應(yīng)識別和描述每個TSFI相關(guān)的所有參數(shù); 對于每個SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為; 對于SFR-執(zhí)行TSFI,功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯誤消息; 功能規(guī)范應(yīng)證實安全功能要求到TSFI的追溯。b) 評估方法1) 評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求;2) 評估者應(yīng)確定功能規(guī)范是安全功能要求的一個準確且完備的實例化。c) 結(jié)果判定1) 開發(fā)者提供了功能規(guī)范文檔;2) 開發(fā)者提供的功能規(guī)范文檔滿足證據(jù)的內(nèi)容和形式的所有要求;3) 開發(fā)者提供的功能規(guī)范是安全功能要求的一個準確且完備的實例化。1)3)項均滿足的為“符合”;其他情況為“不符合”。5.5.1.3 基礎(chǔ)設(shè)計a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供TOE的設(shè)計; 開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計中獲取到的最低層分解的映射。2) 內(nèi)容和形式元素: 設(shè)計應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu); 設(shè)計應(yīng)標識TSF的所有子系統(tǒng); 設(shè)計應(yīng)對每一個SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進行足夠詳細的描述,以確定它不是SFR-執(zhí)行; 設(shè)計應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為; 設(shè)計應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用; 映射關(guān)系應(yīng)證實TOE設(shè)計中描述的所有行為能夠映射到調(diào)用它的TSFI。b) 評估方法1) 評估者應(yīng)確認提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求;2) 評估者應(yīng)確定設(shè)計是所有安全功能要求的正確且完備的實例。c) 結(jié)果判定1) 開發(fā)者提供了TOE設(shè)計文檔;2) 開發(fā)者提供的TOE設(shè)計文檔滿足證據(jù)的內(nèi)容和形式的所有要求;3) 開發(fā)者提供的設(shè)計是所有安全功能要求的正確且完備的實例。1)3)項均滿足的為“符合”;其他情況為“不符合”。5.5.2 指導(dǎo)性文檔5.5.2.1 操作用戶指南a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供操作用戶指南。2) 內(nèi)容和形式元素: 操作用戶指南應(yīng)對每一種用戶角色進行描述,在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán),包含適當?shù)木拘畔ⅲ?操作用戶指南應(yīng)對每一種用戶角色進行描述,怎樣以安全的方式使用TOE提供的可用接口; 操作用戶指南應(yīng)對每一種用戶角色進行描述,可用功能和接口,尤其是受用戶控制的所有安全參數(shù),適當時應(yīng)指明安全值; 操作用戶指南應(yīng)對每一種用戶角色明確說明,與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件,包括改變TSF所控制實體的安全特性; 操作用戶指南應(yīng)標識TOE運行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯誤),它們與維持安全運行之間的因果關(guān)系和聯(lián)系; 操作用戶指南應(yīng)對每一種用戶角色進行描述,為了充分實現(xiàn)ST中描述的運行環(huán)境安全目的所必須執(zhí)行的安全策略; 操作用戶指南應(yīng)是明確和合理的。b) 評估方法評估者應(yīng)確認所有提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了操作用戶指南;2) 開發(fā)者提供的操作用戶指南滿足證據(jù)的內(nèi)容和形式的所有要求。1)2)項均滿足的為“符合”;其他情況為“不符合”。5.5.2.2 準備程序a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供TOE,包括它的準備程序。2) 內(nèi)容和形式元素: 準備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟; 準備程序應(yīng)描述安全安裝TOE以及安全準備與ST中描述的運行環(huán)境安全目的一致的運行環(huán)境必需的所有步驟。b) 評估方法1) 評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求;2) 評估者應(yīng)運用準備程序確認TOE運行能被安全的準備。c) 結(jié)果判定1) 開發(fā)者提供了TOE以及它的準備程序;2) 開發(fā)者提供的準備程序滿足證據(jù)的內(nèi)容和形式的所有要求;3) 運用準備程序能夠確認TOE運行能被安全的準備。1)3)項均滿足的為“符合”;其他情況為“不符合”。5.5.3 生命周期支持5.5.3.1 CM系統(tǒng)的使用a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供TOE及其參照號; 開發(fā)者應(yīng)提供CM文檔; 開發(fā)者應(yīng)使用CM系統(tǒng)。2) 內(nèi)容和形式元素: 應(yīng)給TOE標注唯一參照號; CM文檔應(yīng)描述用于唯一標識配置項的方法; CM系統(tǒng)應(yīng)唯一標識所有配置項。b) 評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了TOE,并為其標注唯一參照號;2) 開發(fā)者提供了配置管理文檔,且文檔滿足證據(jù)的內(nèi)容和形式的所有要求;3) 開發(fā)者使用了配置管理系統(tǒng),且配置管理系統(tǒng)滿足證據(jù)的內(nèi)容和形式的所有要求。1)3)項均滿足的為“符合”,其他情況為“不符合”。5.5.3.2 部分TOE CM覆蓋a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)提供TOE配置項列表。2) 內(nèi)容和形式元素: 配置項列表應(yīng)包括:TOE本身、安全保障要求的評估證據(jù)和TOE的組成部分; 配置項列表應(yīng)唯一標識配置項; 對于每一個TSF相關(guān)的配置項,配置項列表應(yīng)簡要說明該配置項的開發(fā)者。b) 評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1) 開發(fā)者提供了產(chǎn)品配置項列表;2) 開發(fā)者提供的產(chǎn)品配置項列表滿足證據(jù)的內(nèi)容和形式的所有要求。1)2)項均滿足的為“符合”;其他情況為“不符合”。5.5.3.3 交付程序a) 評估要求1) 開發(fā)者行為元素: 開發(fā)者應(yīng)將把TOE或其部分交付給消費者的程序文檔化; 開發(fā)者應(yīng)使用交付程序。2) 內(nèi)容和形式元素: 交付文檔應(yīng)描述,在向消費者分發(fā)TOE版本時,用以維護安全性所必需的所有程序。b) 評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。c) 結(jié)果判定1)- 1.請仔細閱讀文檔,確保文檔完整性,對于不預(yù)覽、不比對內(nèi)容而直接下載帶來的問題本站不予受理。
- 2.下載的文檔,不會出現(xiàn)我們的網(wǎng)址水印。
- 3、該文檔所得收入(下載+內(nèi)容+預(yù)覽)歸上傳者、原創(chuàng)作者;如果您是本文檔原作者,請點此認領(lǐng)!既往收益都歸您。
下載文檔到電腦,查找使用更方便
3 積分
下載 |
- 配套講稿:
如PPT文件的首頁顯示word圖標,表示該PPT已包含配套word講稿。雙擊word圖標可打開word文檔。
- 特殊限制:
部分文檔作品中含有的國旗、國徽等圖片,僅作為作品整體效果示例展示,禁止商用。設(shè)計者僅對作品中獨創(chuàng)性部分享有著作權(quán)。
- 關(guān) 鍵 詞:
- WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范 WEB 應(yīng)用 安全 監(jiān)測 系統(tǒng) 安全評價 規(guī)范 2017 RB011 征求意見
鏈接地址:http://z1n4bq.cn/p-724435.html