信息安全技術(shù)遠(yuǎn)程主機(jī)監(jiān)測(cè)產(chǎn)品安全技術(shù)要求-全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)

1、?信息平安技術(shù) Web應(yīng)用平安檢測(cè)系統(tǒng)平安技術(shù)要求和測(cè)試評(píng)價(jià)方法?征求意見稿編 制 說(shuō) 明工作簡(jiǎn)況任務(wù)來(lái)源2021年，經(jīng)國(guó)標(biāo)委批準(zhǔn)，全國(guó)信息平安標(biāo)準(zhǔn)化技術(shù)委員會(huì)SAC/TC260主任辦公會(huì)討論通過(guò)，研究制定?信息平安技術(shù) Web應(yīng)用平安檢測(cè)系統(tǒng)平安技術(shù)要求和測(cè)試評(píng)價(jià)方法?國(guó)家標(biāo)準(zhǔn)。該工程由全國(guó)信息平安標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出，全國(guó)信息平安標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口，由杭州安恒信息技術(shù)負(fù)責(zé)主辦。協(xié)作單位在接到?信息平安技術(shù) Web應(yīng)用平安檢測(cè)系統(tǒng)平安技術(shù)要求和測(cè)試評(píng)價(jià)方法?標(biāo)準(zhǔn)的任務(wù)后，杭州安恒信息技術(shù)立即與各生產(chǎn)Web檢測(cè)系統(tǒng)的廠商進(jìn)行溝通，并得到了多家業(yè)內(nèi)知名廠商的積極參與和反應(yīng)。最終確定由公安部計(jì)算

2、機(jī)信息系統(tǒng)平安產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、上海天泰網(wǎng)絡(luò)技術(shù)等單位作為標(biāo)準(zhǔn)編制協(xié)作單位。主要工作過(guò)程成立編制組2021年接到標(biāo)準(zhǔn)編制任務(wù)之后，立即組建標(biāo)準(zhǔn)編制組，開始標(biāo)準(zhǔn)草案的起草工作。編制工程組主要成員：孫小平、俞優(yōu)、陸臻、金?？?、曹玉珍、張笑笑等等。制定工作方案 編制組首先制定了編制工作方案，并確定了編制組人員例會(huì)安排以便及時(shí)溝通交流工作情況。參考資料該標(biāo)準(zhǔn)編制過(guò)程中，主要參考了：信息系統(tǒng) 詞匯 第8局部：平安GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)平安保護(hù)劃分準(zhǔn)那么GB/T 18336.32021 信息技術(shù) 平安技術(shù) 信息技術(shù)平安性評(píng)估準(zhǔn)那么 第3局部：平安保障組件GB/T 20271-200

3、6 信息平安技術(shù) 信息系統(tǒng)通用平安技術(shù)要求GB/T 22239-2021 信息平安技術(shù) 信息系統(tǒng)平安等級(jí)保護(hù)根本要求GA/T 1107-2021 信息平安技術(shù) Web應(yīng)用平安掃描產(chǎn)品平安技術(shù)要求內(nèi)容經(jīng)編制組研究決定，以原行標(biāo)內(nèi)容為理論根底，以Web應(yīng)用平安檢測(cè)為研究目標(biāo)，以GB 17859-1999?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么?和GB/T 18336-2021?信息技術(shù) 平安技術(shù) 信息技術(shù)平安性評(píng)估準(zhǔn)那么?為主要參考依據(jù)，完成?信息平安技術(shù) Web應(yīng)用平安檢測(cè)系統(tǒng)平安技術(shù)要求和測(cè)試評(píng)價(jià)方法?標(biāo)準(zhǔn)的編制工作。工作簡(jiǎn)要過(guò)程按照工程進(jìn)度要求，編制組人員首先對(duì)所參閱的產(chǎn)品、文檔以及標(biāo)準(zhǔn)進(jìn)行反

4、復(fù)閱讀與理解，查閱有關(guān)資料，編寫標(biāo)準(zhǔn)編制提綱，在完成對(duì)提綱進(jìn)行交流和修改的根底上，開始具體的編制工作。2021年12月-2021年2月，相關(guān)人員調(diào)研該類產(chǎn)品的現(xiàn)狀情況，為標(biāo)準(zhǔn)的編制積累素材；3月，在前期調(diào)研和工作積累的根底上，我司組織有關(guān)人員成立標(biāo)準(zhǔn)編制小組，對(duì)標(biāo)準(zhǔn)編制工作進(jìn)行了任務(wù)分配，并完成了草案第一稿的編制，主要由“平安技術(shù)要求平安功能要求、自身平安功能要求、性能要求、“測(cè)試評(píng)價(jià)方法、“平安保障要求、“等級(jí)劃分要求組成。2021年3月，編制組以意見征求會(huì)形式邀請(qǐng)綠盟科技、知道創(chuàng)宇等廠商進(jìn)行現(xiàn)場(chǎng)征求意見，編制組認(rèn)真分析并及時(shí)采納了建議，形成了草案第二稿。2021年6月，WG5工作組在北京召

5、開了標(biāo)準(zhǔn)工程檢查會(huì)，與會(huì)專家對(duì)本標(biāo)準(zhǔn)進(jìn)行了認(rèn)真審議，并提出了相關(guān)意見和建議。編制組根據(jù)專家意見進(jìn)行修改完善。草案第三稿2021年5月，編制組以郵件形式征求了北京安域領(lǐng)創(chuàng)科技、北京神州綠盟信息平安科技股份等廠商的意見，編制組及時(shí)對(duì)意見進(jìn)行了處理，形成了草案第四稿。2021年8月，編制組在北京以研討會(huì)形式邀請(qǐng)中國(guó)平安防范產(chǎn)品行業(yè)協(xié)會(huì)、公安部網(wǎng)絡(luò)平安保衛(wèi)局、中國(guó)信息平安認(rèn)證中心、國(guó)家信息技術(shù)平安研究中心、中國(guó)科學(xué)院信息工程研究所、國(guó)家信息中心、阿里巴巴北京軟件效勞、中科信息平安共性技術(shù)國(guó)家工程研究中心、北京天融信科技股份、中軟信息系統(tǒng)工程、中新網(wǎng)絡(luò)信息平安股份、國(guó)際商業(yè)機(jī)器中國(guó)等單位的專家進(jìn)行現(xiàn)場(chǎng)征

6、求意見，根據(jù)反應(yīng)意見，修改了標(biāo)準(zhǔn)文本中有歧義的地方，形成了草案第五稿。2021年8月，通過(guò)WG5秘書處，向成員單位廣泛征求意見，并根據(jù)反應(yīng)意見進(jìn)行了修改，主要包括增加Web應(yīng)用平安檢測(cè)系統(tǒng)結(jié)構(gòu)和描述等，形成了草案第六稿。2021年8月，WG5工作組在北京召開在研標(biāo)準(zhǔn)推進(jìn)會(huì)，編制組匯報(bào)了標(biāo)準(zhǔn)內(nèi)容及編制進(jìn)度，并根據(jù)專家意見，完善了“漏洞檢測(cè)的類型，補(bǔ)充了漏洞定義，形成了草案第七稿。2021年9月，WG5工作組完成組內(nèi)投票，編制組根據(jù)意見完善并形成征求意見稿第一稿。起草人及其工作標(biāo)準(zhǔn)編制組具體由孫小平、俞優(yōu)、陸臻、金?？?、曹玉珍、張笑笑等人組成。孫小平全面負(fù)責(zé)標(biāo)準(zhǔn)編制工作，包括制定工作方案、確定編制

7、內(nèi)容和整體進(jìn)度、人員的安排；俞優(yōu)和金?？≈饕?fù)責(zé)標(biāo)準(zhǔn)的前期調(diào)研、現(xiàn)狀分析、標(biāo)準(zhǔn)各版本的編制、意見匯總的討論處理、編制說(shuō)明的編寫等工作；張笑笑負(fù)責(zé)標(biāo)準(zhǔn)校對(duì)審核等工作；陸臻主要負(fù)責(zé)標(biāo)準(zhǔn)編制過(guò)程中的各項(xiàng)技術(shù)支持和整體指導(dǎo)。標(biāo)準(zhǔn)主要內(nèi)容編制原那么為使標(biāo)準(zhǔn)內(nèi)容從一開始就與國(guó)家標(biāo)準(zhǔn)保持一致，本標(biāo)準(zhǔn)的編寫參考了其他國(guó)家有關(guān)標(biāo)準(zhǔn)，主要有GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2021和GB/T 18336-2021。本標(biāo)準(zhǔn)符合我國(guó)的實(shí)際情況，遵從我國(guó)有關(guān)法律、法規(guī)的規(guī)定。具體原那么與要求如下：1先進(jìn)性標(biāo)準(zhǔn)是先進(jìn)經(jīng)驗(yàn)的總結(jié)，同時(shí)也是技術(shù)的開展趨勢(shì)。目前，我國(guó)Web應(yīng)

8、用平安檢測(cè)系統(tǒng)產(chǎn)品種類繁多，功能良莠不齊，要制定出先進(jìn)的產(chǎn)品國(guó)家標(biāo)準(zhǔn)，必須參考國(guó)內(nèi)外先進(jìn)技術(shù)和標(biāo)準(zhǔn)，吸收其精華，才能制定出具有先進(jìn)水平的標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)的編寫始終遵循這一原那么。 2實(shí)用性標(biāo)準(zhǔn)必須是可用的，才有實(shí)際意義，因此本標(biāo)準(zhǔn)的編寫是在對(duì)國(guó)內(nèi)外標(biāo)準(zhǔn)的相關(guān)技術(shù)內(nèi)容消化、吸收的根底上，結(jié)合我國(guó)的實(shí)際情況，廣泛了解了市場(chǎng)上主流產(chǎn)品的功能，吸收其精華，制定出符合我國(guó)國(guó)情的、可操作性強(qiáng)的標(biāo)準(zhǔn)。 3兼容性本標(biāo)準(zhǔn)既要與國(guó)際接軌，更要與我國(guó)現(xiàn)有的政策、法規(guī)、標(biāo)準(zhǔn)、標(biāo)準(zhǔn)等相一致。編制組在對(duì)標(biāo)準(zhǔn)起草過(guò)程中始終遵循此原那么，其內(nèi)容符合我國(guó)已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。為貼合該類產(chǎn)品的技術(shù)特點(diǎn)，編制組以Web平安檢

9、測(cè)技術(shù)和Web平安漏洞為研究?jī)?nèi)容，深入分析Web應(yīng)用平安檢測(cè)系統(tǒng)的技術(shù)特點(diǎn)，通過(guò)標(biāo)準(zhǔn)編制研究、驗(yàn)證，明確了產(chǎn)品的定義，提出了科學(xué)的平安功能和性能要求，對(duì)于產(chǎn)品功能組件的描述盡可能做到清晰、明確。標(biāo)準(zhǔn)平安功能產(chǎn)生的流程詳見下列圖：圖1平安功能產(chǎn)生的流程圖標(biāo)準(zhǔn)內(nèi)容主要結(jié)構(gòu)本標(biāo)準(zhǔn)的編寫格式和方法按照?標(biāo)準(zhǔn)化工作導(dǎo)那么 第一局部：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫規(guī)那么?的要求。標(biāo)準(zhǔn)主要分為“范圍、“標(biāo)準(zhǔn)性引用文件、“術(shù)語(yǔ)和定義、“縮略語(yǔ)、“平安技術(shù)要求和“測(cè)試評(píng)價(jià)方法共6個(gè)局部。中，關(guān)于Web應(yīng)用平安檢測(cè)系統(tǒng)的具體要求，本標(biāo)準(zhǔn)分為3大類，分別是“產(chǎn)品平安功能要求、 “性能要求和“平安保障要求。主要內(nèi)容.1范圍、標(biāo)準(zhǔn)引

10、用、術(shù)語(yǔ)定義和縮略語(yǔ)該局部定義該標(biāo)準(zhǔn)適應(yīng)的范圍，所引用的其它標(biāo)準(zhǔn)情況，及以何種方式引用。術(shù)語(yǔ)和定義明確了該標(biāo)準(zhǔn)所涉及的一些術(shù)語(yǔ)。“縮略語(yǔ)定義了該標(biāo)準(zhǔn)所涉及的縮略語(yǔ)。在術(shù)語(yǔ)中主要明確了“Web應(yīng)用平安檢測(cè)系統(tǒng)、“Web應(yīng)用、“Web 效勞、“漏報(bào)率、“誤報(bào)率、“URL發(fā)現(xiàn)以及常見Web應(yīng)用漏洞的相關(guān)概念。.2 Web應(yīng)用平安檢測(cè)系統(tǒng)描述Web應(yīng)用平安檢測(cè)系統(tǒng)的目的是為幫助用戶充分了解Web應(yīng)用存在的平安隱患，從而改善并提升應(yīng)用系統(tǒng)抵抗各類Web應(yīng)用攻擊的能力如：注入攻擊、跨站腳本、文件包含、信息泄漏和網(wǎng)頁(yè)木馬等，以此建立平安可靠的Web應(yīng)用效勞。Web應(yīng)用平安檢測(cè)系統(tǒng)架構(gòu)如圖2所示：圖2 Web

11、應(yīng)用平安檢測(cè)系統(tǒng)架構(gòu)圖檢測(cè)模塊系統(tǒng)核心模塊。掃描開始后，向掃描引擎發(fā)送指令，掃描選中對(duì)象目標(biāo)，收集正確的掃描信息，同時(shí)可以把掃描引擎返回的掃描結(jié)果展示給用戶。2報(bào)表管理對(duì)掃描結(jié)果進(jìn)行分析處理，提供詳細(xì)的檢測(cè)掃描報(bào)告，對(duì)所有漏洞進(jìn)行詳盡描述，以及相應(yīng)的修復(fù)和改良建議。3策略管理提供Web應(yīng)用平安檢測(cè)系統(tǒng)的策略庫(kù)，能夠按照漏洞類型、類別和危害程度等進(jìn)行分類。同時(shí)，可支持漏洞策略的自定義擴(kuò)展。4用戶管理對(duì)系統(tǒng)的用戶角色和權(quán)限進(jìn)行分配管理。5任務(wù)設(shè)置用以創(chuàng)立和定制掃描任務(wù)，能夠按照方案任務(wù)啟動(dòng)掃描，可進(jìn)行掃描暫停、重新掃描和移除掃描任務(wù)等操作。6系統(tǒng)設(shè)置對(duì)系統(tǒng)進(jìn)行設(shè)置，包括系統(tǒng)平安設(shè)置、更新管理和絡(luò)鏈

12、接設(shè)置等。實(shí)際部署時(shí)，Web應(yīng)用平安檢測(cè)系統(tǒng)部署時(shí)僅需保持與目標(biāo)Web應(yīng)用系統(tǒng)網(wǎng)絡(luò)上可達(dá)，圖3是Web應(yīng)用平安檢測(cè)系統(tǒng)的一個(gè)典型運(yùn)行環(huán)境。圖3 Web應(yīng)用平安檢測(cè)系統(tǒng)典型運(yùn)行環(huán)境.3 技術(shù)要求本標(biāo)準(zhǔn)將Web應(yīng)用平安檢測(cè)系統(tǒng)平安技術(shù)要求分為平安功能、平安保障和性能要求三個(gè)大類。其中，平安功能要求是對(duì)Web應(yīng)用平安檢測(cè)系統(tǒng)應(yīng)具備的平安功能提出具體要求，包括掃描能力、掃描配置管理、掃描結(jié)果分析處理、標(biāo)識(shí)和鑒別、平安管理和審計(jì)日志等要求；平安保障要求針對(duì)Web應(yīng)用平安檢測(cè)系統(tǒng)的開發(fā)和使用文檔的內(nèi)容提出具體的要求，例如交付和運(yùn)行、開發(fā)、測(cè)試和指導(dǎo)性文檔等；性能要求那么是對(duì)Web應(yīng)用平安檢測(cè)系統(tǒng)應(yīng)到達(dá)的性

13、能指標(biāo)作出規(guī)定，包括誤報(bào)率、漏報(bào)率和URL發(fā)現(xiàn)率。此外，標(biāo)準(zhǔn)按照Web應(yīng)用平安檢測(cè)系統(tǒng)平安功能的強(qiáng)度劃分平安功能要求的級(jí)別，參照2021劃分平安保障要求的級(jí)別。平安等級(jí)分為根本級(jí)和增強(qiáng)級(jí)，平安功能強(qiáng)弱和平安保障要求上下是等級(jí)劃分的具體依據(jù)。平安等級(jí)突出平安特性，性能要求不作為等級(jí)劃分依據(jù)。平安功能要求平安功能要求主要對(duì)產(chǎn)品實(shí)現(xiàn)的功能進(jìn)行了要求。主要包括掃描能力、掃描配置管理、掃描結(jié)果分析處理、互動(dòng)性要求、標(biāo)識(shí)與鑒別、平安管理和審計(jì)日志等功能。平安功能要求等級(jí)劃分表平安功能根本級(jí)增強(qiáng)級(jí)掃描能力資源發(fā)現(xiàn)*漏洞檢測(cè)*變形檢測(cè)*狀態(tài)檢測(cè)*內(nèi)容檢測(cè)*升級(jí)能力*支持SSL應(yīng)用*Web Service支持*

14、對(duì)目標(biāo)系統(tǒng)的影響*掃描配置管理向?qū)Чδ?掃描范圍*登陸掃描*掃描策略策略選擇*策略擴(kuò)展*掃描速度*任務(wù)定制*穩(wěn)定性和容錯(cuò)性*掃描結(jié)果分析處理結(jié)果驗(yàn)證*結(jié)果保存*統(tǒng)計(jì)分析*報(bào)告生成*報(bào)告輸出*互動(dòng)性要求*標(biāo)識(shí)與鑒別用戶標(biāo)識(shí)屬性定義*屬性初始化*唯一性標(biāo)識(shí)*身份鑒別用戶鑒別*鑒別數(shù)據(jù)保護(hù)*鑒別失敗處理*超時(shí)鎖定或注銷*平安管理平安管理功能*平安角色管理*數(shù)據(jù)完整性*遠(yuǎn)程平安傳輸*可信管理主機(jī)*審計(jì)日志審計(jì)日志生成*審計(jì)日志的保存*審計(jì)日志管理*注：“*表示具有該要求，“* 表示要求有所增強(qiáng)，“表示不適用。二、平安保障要求該局部對(duì)產(chǎn)品的開發(fā)和使用文檔的內(nèi)容進(jìn)行了要求，包括開發(fā)、指導(dǎo)性文檔、生命周期支

15、持、測(cè)試和脆弱性評(píng)定。表2 平安保障要求分級(jí)說(shuō)明平安保障要求根本級(jí)增強(qiáng)級(jí)開發(fā)平安架構(gòu)*功能標(biāo)準(zhǔn)*實(shí)現(xiàn)表示*產(chǎn)品設(shè)計(jì)*指導(dǎo)性文檔操作用戶指南*準(zhǔn)備程序*生命周期支持配置管理能力*配置管理范圍*交付程序*開發(fā)平安*生命周期定義*工具和技術(shù)*測(cè)試覆蓋*深度*功能測(cè)試*獨(dú)立測(cè)試*脆弱性評(píng)定*三、性能要求主要對(duì)產(chǎn)品的性能方面進(jìn)行了要求，主要包括：誤報(bào)率、漏報(bào)率、URL發(fā)現(xiàn)率。.4測(cè)試評(píng)價(jià)方法主要規(guī)定了針對(duì)技術(shù)要求的測(cè)試與評(píng)價(jià)方法。編制的背景和意義隨著網(wǎng)絡(luò)技術(shù)及其應(yīng)用的快速開展，Web作為網(wǎng)絡(luò)應(yīng)用的主要載體，Web應(yīng)用逐漸成為主流，廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)中。然而傳統(tǒng)操作系統(tǒng)日益成熟化，利用系統(tǒng)漏洞越來(lái)越困

16、難，攻擊者的目標(biāo)也逐漸轉(zhuǎn)向于應(yīng)用漏洞，于是各種各樣的Web應(yīng)用平安性成為了焦點(diǎn)。根據(jù)Gattner的數(shù)據(jù)分析，80%基于Web的應(yīng)用或多或少都存在平安問(wèn)題，其中很大一局部是相當(dāng)嚴(yán)重的問(wèn)題，Web應(yīng)用平安已超過(guò)所有以前網(wǎng)絡(luò)層平安，逐漸成為最嚴(yán)重，最廣泛，危害性最大的平安問(wèn)題，嚴(yán)重影響了人們對(duì)Web應(yīng)用的信心。目前常見的攻擊技術(shù)有SQL注入、釣魚攻擊等，基于Web應(yīng)用的攻擊可以給提供或接受Web應(yīng)用效勞者造成如下傷害：泄漏客戶敏感數(shù)據(jù)，例如：網(wǎng)銀帳號(hào)， 通話記錄等；篡改數(shù)據(jù)，發(fā)布虛假信息或者進(jìn)行交易欺詐；使Web網(wǎng)站成為釣魚攻擊的平臺(tái)，將攻擊擴(kuò)大到所有訪問(wèn)Web應(yīng)用的用戶。如：網(wǎng)銀成為了釣魚的場(chǎng)所

17、，將直接危害網(wǎng)銀用戶的帳戶平安；拒絕效勞，利用應(yīng)用的弱點(diǎn)，造成拒絕效勞，影響業(yè)務(wù)的正常運(yùn)作；Web應(yīng)用系統(tǒng)的平安性越來(lái)越引起人們的高度關(guān)注，由此市場(chǎng)上出現(xiàn)了Web應(yīng)用平安檢測(cè)系統(tǒng)。該類產(chǎn)品通過(guò)分析發(fā)現(xiàn)可被入侵者利用的Web程序漏洞，幫助應(yīng)用開發(fā)者和管理者了解應(yīng)用系統(tǒng)存在的脆弱性，為改善并提高應(yīng)用系統(tǒng)平安性提供依據(jù)，幫助用戶建立平安、可靠的Web應(yīng)用效勞。產(chǎn)品實(shí)現(xiàn)的原理：通過(guò)在 request 中插入測(cè)試用例的方法實(shí)現(xiàn)應(yīng)用攻擊，并通過(guò)分析 response 判斷該應(yīng)用是否存在相應(yīng)的漏洞。 圖4 工作原理圖Web應(yīng)用掃描市場(chǎng)處于上升階段，如何保證Web應(yīng)用系統(tǒng)的平安性，且更符合產(chǎn)品實(shí)際需求及行業(yè)開

18、展，迫切需要一個(gè)更加完善的標(biāo)準(zhǔn)來(lái)標(biāo)準(zhǔn)該類產(chǎn)品；該標(biāo)準(zhǔn)的制定可以完善相應(yīng)類別產(chǎn)品的標(biāo)準(zhǔn)，完善信息平安標(biāo)準(zhǔn)體系。該類產(chǎn)品符合GB/T 25066-2021?信息平安技術(shù) 信息平安產(chǎn)品類別與代碼?中：平安管理與支持G風(fēng)險(xiǎn)評(píng)估 G4 平安性檢測(cè)分析 G402 關(guān)于應(yīng)用系統(tǒng)平安性檢測(cè)分析的分類要求。編制的目的1首先，該標(biāo)準(zhǔn)補(bǔ)充了信息平安產(chǎn)品分類的目錄，可用于該類產(chǎn)品的研制、開發(fā)、測(cè)試、評(píng)估和產(chǎn)品的選型，有利于產(chǎn)品的標(biāo)準(zhǔn)化、統(tǒng)一化管理；2其次，該類產(chǎn)品廣泛用于風(fēng)險(xiǎn)評(píng)估，通過(guò)對(duì)產(chǎn)品提出要求，可提高系統(tǒng)評(píng)估中的漏洞評(píng)估的深度，對(duì)于提高Web應(yīng)用的平安性，減少平安事件發(fā)生具有重要的意義。3最后，能為國(guó)家信息平安產(chǎn)品