CCSA11T/SCPCA009-2024T/CQJR015-2024T/S2024-06-20發(fā)布布發(fā)會會學(xué)學(xué)融融金金市省慶川重四四布發(fā)會會學(xué)學(xué)融融金金市省慶川重四IT/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024前言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5評價等級判定 5.1等級說明 5.2等級判定方法 5.3打分方法 5.4參考評估域權(quán)重 5.5能力計算方法 6技術(shù)原理 7安全防護能力 7.1隱藏Web應(yīng)用系統(tǒng)的源代碼/API/JS 7.2隔離自動化攻擊源 7.3隔離注入式攻擊 8評價方法 8.1安全能力 8.2兼容性 8.3易用性及用戶體驗 附錄A（資料性）威脅隔離平臺測試環(huán)境規(guī)范 9附錄B（資料性）參考評估權(quán)重 10參考文獻 T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由四川省支付清算協(xié)會提出。本文件由四川省支付清算協(xié)會、重慶市金融學(xué)會、四川省金融學(xué)會歸口。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件起草單位：成都農(nóng)村商業(yè)銀行股份有限公司、重慶銀行股份有限公司、四川農(nóng)村商業(yè)聯(lián)合銀行股份有限公司、北京安勝華信科技有限公司、北京鈦星數(shù)安科技有限公司。本文件主要起草人：蔡兵、李黎明、葉明、謝春利、錢建誠、呂茂婷、米俊霖、張未卿、趙建波、葉宇航、楊鈞丞、李悅、顧方方、鄧何、汪洪珍、唐福喜、林真?zhèn)ァ⒅x昌建、徐寧、陽方升、劉暢、聶志宏、熊玉、付毅、陳滔、白金、夏浩淳、陳曉東、李德、劉海光、吳天、母丹、劉東甲、何佳佳、賀偉、湯湘祁。本文件為首次發(fā)布。T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024基于遠程瀏覽器隔離技術(shù)的Web安全防護平臺其原理是在一個遠程的虛擬化平臺上為每個Web訪問構(gòu)建一個瀏覽器訪問請求（稱之為“遠程瀏覽器”），執(zhí)行用戶的訪問會話，將用戶訪問與真實Web服務(wù)器隔離，這樣即使有Web攻擊，也無法侵害到真實的Web應(yīng)用服務(wù)器。從而解決多種常規(guī)Web應(yīng)用安全防護手段難以解決的安全問題，保證金融Web應(yīng)用系統(tǒng)的安全。在金融Web應(yīng)用保護場景中，為規(guī)范基于遠程瀏覽器隔離技術(shù)的安全平臺能力要求，為同類產(chǎn)品的生產(chǎn)和服務(wù)提供有效參考，促使產(chǎn)品質(zhì)量的持續(xù)改善，特制定本文件。1T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024基于遠程瀏覽器隔離技術(shù)的金融Web應(yīng)用安全防護平臺評價方法本文件界定了金融Web應(yīng)用安全防護的能力評價方法。確立了基于遠程瀏覽器隔離技術(shù)的Web應(yīng)用安全防護平臺（以下簡稱：威脅隔離平臺）的功能要求、成熟度要求和評價方法。本文件適用于成渝地區(qū)金融機構(gòu)Web安全防護方案/產(chǎn)品選型參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1瀏覽器browser計算機系統(tǒng)中用來檢索、展示以及傳遞Web信息資源的應(yīng)用程序。3.2遠程瀏覽器隔離remotebrowserisolation一種將Web瀏覽活動運行在一個遠程隔離的環(huán)境中，以保護計算機用戶免受可能遇到的任何惡意軟件的傷害的技術(shù)。3.3安全傳輸層協(xié)議transportlayersecurity為互聯(lián)網(wǎng)通信提供安全及數(shù)據(jù)完整性保障的一種安全協(xié)議。3.4安全套接字協(xié)議securesocketslayer為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。3.5桌面虛擬化virtualdesktopinfrastructure指計算機的終端系統(tǒng)（也稱作桌面）進行虛擬化，以達到桌面使用的安全性和靈活性，可以通過任何設(shè)備，在任何地點，任何時間通過網(wǎng)絡(luò)訪問屬于個人的桌面系統(tǒng)的技術(shù)手段。3.6文檔對象模型documentobjectmodel是一種與平臺和語言無關(guān)的應(yīng)用程序接口(API),它可以動態(tài)地訪問程序和腳本,更新其內(nèi)容、結(jié)構(gòu)和WWW文檔的風(fēng)格(HTML和XML文檔是通過說明部分定義的)。文檔可以進一步被處理，處理的結(jié)果可以加入到當(dāng)前的頁面。DOM是一種基于樹的API文檔，它要求在處理過程中整個文檔都表示在存儲器中。2T/SCPCA009-2024T/CQJR015-2024T/SCJR006-20244縮略語下列縮略語適用于本文件。a)API：應(yīng)用程序接口（ApplicationProgrammingInterface）b)AWVS：AcunetixWeb漏洞掃描程序（AcunetixWebVulnerabilityScanner）c)CVE：通用漏洞披露（CommonVulnerabilitiesandExposures）d)HTML：超文本標(biāo)記語言（HyperTextMarkupLanguage）e)HTML5：超文本標(biāo)記語言修訂版5（HyperTextMarkupLanguage5）f)HTTP：超文本傳輸協(xié)議（HyperTextTransferProtocol）g)HTTPS：超文本安全傳輸協(xié)議（HypertextTransferProtocolSecure）h)JS：腳本語言（JavaScript）i)SQL：結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）j)WEBSHELL：網(wǎng)頁腳本程序（WebShellScript）k)WWW：萬維網(wǎng)（WorldWideWeb）l)XML：可擴展標(biāo)記語言（ExtensibleMarkupLanguage）m)XSS：跨站腳本攻擊（CrossSiteScripting）5評價等級判定5.1等級說明網(wǎng)絡(luò)安全產(chǎn)品能力等級分為三個等級，從低到高分別是一級（基礎(chǔ)級）、二級（成熟級）和三級（專業(yè)級）。5.2等級判定方法安全能力測試、兼容性測試、易用性及用戶體驗測試，需要搭建威脅隔離平臺測試環(huán)境，按附錄A中規(guī)定的方法進行判定。5.2.1基礎(chǔ)級完成全部安全能力測試、兼容性測試、易用性及用戶體驗測試、可用性測試，且成熟度要素得分達到60-70（不含）分，60（不含）分以下不予評級。5.2.2成熟級完成全部安全能力測試、兼容性測試、易用性及用戶體驗測試、可用性測試，且成熟度要素得分達到70-90（不含）分。5.2.3專業(yè)級完成全部安全能力測試、兼容性測試、易用性及用戶體驗測試、可用性測試，且成熟度要素得分達到90分以上。5.3打分方法評估組應(yīng)將采集的證據(jù)與能力要求進行對照，按照滿足程度對評估域的每一條要求進行打分。能力要求滿足程度與得分對應(yīng)表如表1所示。表1成熟度要求滿足程度與對應(yīng)得分105.4參考評估域權(quán)重3T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024根據(jù)網(wǎng)絡(luò)安全產(chǎn)品能力要求，給出主要評估域及推薦權(quán)重，按附錄B中規(guī)定給出。5.5能力計算方法能力域總得分為該域下所有能力分項得分的加權(quán)求和，能力域得分按公式（1）計算：B=∑（C×β）…………（1）本公式中：B——能力域總得分；C——能力域分項得分；β——能力域分項權(quán)重。成熟度要素得分為該要素下能力域的加權(quán)求和，成熟度要素的得分按公式（2）計算：A=∑（B×α）…………（2）本公式中：A——成熟度要素得分；B——能力域總得分；α——能力域權(quán)重。6技術(shù)原理威脅隔離平臺技術(shù)核心是遠程瀏覽器技術(shù)、容器技術(shù)以及HTML5渲染技術(shù)的結(jié)合。為每個用戶分配一個獨立的虛擬容器，利用遠程瀏覽器技術(shù)在容器中構(gòu)建一個處理中心，執(zhí)行源網(wǎng)頁中的所有腳本，并將執(zhí)行完的結(jié)果轉(zhuǎn)換成網(wǎng)頁視覺編碼，實時同步給用戶瀏覽器，利用HTML5技術(shù)在用戶瀏覽器重新渲染成網(wǎng)頁鏡像，從而實現(xiàn)“零”源腳本交互，達到用戶與業(yè)務(wù)系統(tǒng)/Web應(yīng)用服務(wù)器安全隔離的效果。7安全防護能力7.1隱藏Web應(yīng)用系統(tǒng)的源代碼/API/JS源代碼暴露往往是Web攻擊發(fā)起的起點，在用戶瀏覽器中，可以查看網(wǎng)站或Web應(yīng)用的源代碼以及腳本語句，如果網(wǎng)站或Web應(yīng)用的源代碼設(shè)計不嚴(yán)謹(jǐn)，黑客可以從暴露的源代碼中發(fā)現(xiàn)漏洞，基于漏洞發(fā)起攻擊。威脅隔離平臺可隱藏Web應(yīng)用的源碼/API/JS，當(dāng)用戶在本地瀏覽器中訪問Web應(yīng)用時，所有服務(wù)器返回的網(wǎng)頁代碼和腳本均在遠程瀏覽器執(zhí)行，遠程瀏覽器不會對本地瀏覽器提供任何原始網(wǎng)頁的代碼，第三方框架等信息。7.2隔離自動化攻擊源惡意攻擊者往往會利用瀏覽器的開放性或者漏洞，采用自動化工具對Web應(yīng)用發(fā)起漏洞掃描或者“暴力破解式”攻擊，攻擊成本低，效率高。這種自動化攻擊，是當(dāng)前針對Web應(yīng)用最常用的攻擊手段。威脅隔離平臺可以100%隔離自動化攻擊源。由于針對應(yīng)用的訪問已經(jīng)轉(zhuǎn)移到遠程瀏覽器，而遠程瀏覽器只接受鍵盤和鼠標(biāo)輸入，所有的自動攻擊工具都無法和遠程瀏覽器直接通信或者發(fā)送攻擊指令，因此，采用自動化工具對Web應(yīng)用發(fā)起的攻擊將不會有任何效果。7.3隔離注入式攻擊4T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024注入式攻擊通常都是通過直接組裝http/https請求來發(fā)起攻擊，威脅隔離平臺上的遠程瀏覽器只接受GET請求，攻擊者注入的渠道非常受限；并且遠程瀏覽器對URL請求進行加密處理，可以防止通過篡改GET請求進行注入攻擊，進而達到對注入攻擊的防護效果。8評價方法8.1安全能力8.1.1隱藏源代碼/API/活動腳本表2隱藏源代碼/API/活動腳本評估表評估要求產(chǎn)品應(yīng)具備如下能力：隱藏Web應(yīng)用系統(tǒng)源代碼、API和活動腳本評估權(quán)重20%預(yù)置條件已經(jīng)部署威脅隔離平臺。評估方法步驟1：網(wǎng)站未進行隔離防護，打開本地瀏覽器開發(fā)者工具，查看網(wǎng)頁源代碼、活動腳本、API請求和響應(yīng)信息；步驟2：網(wǎng)站進行隔離防護，打開本地瀏覽器開發(fā)者工具，查看網(wǎng)頁源代碼、活動腳本、API請求和響應(yīng)信息。預(yù)期結(jié)果成功隱藏Web應(yīng)用系統(tǒng)源代碼、API和活動腳本。8.1.2防WEBSHELL表3防WEBSHELL評估表成熟度要求產(chǎn)品應(yīng)具備如下能力：應(yīng)成功攔截webshell攻擊評估權(quán)重預(yù)置條件已經(jīng)部署威脅隔離平臺。驗證流程步驟1：網(wǎng)站未進行隔離防護，對網(wǎng)站進行webshell攻擊測試，驗證網(wǎng)站隔離前webshell防護效果；步驟2：網(wǎng)站進行隔離防護，對網(wǎng)站進行webshell攻擊測試，查看隔離后網(wǎng)站防webshell攻擊情況。預(yù)期結(jié)果威脅隔離平臺能成功攔截webshell攻擊。8.1.3防SQL注入表4防SQL注入評估表成熟度要求產(chǎn)品應(yīng)具備如下能力：應(yīng)防止SQL注入攻擊評估權(quán)重預(yù)置條件已經(jīng)部署威脅隔離平臺。驗證流程步驟1：網(wǎng)站未進行隔離防護，對網(wǎng)站進行依次進行POST、GET、輸入框的SQL注入攻擊測試，查看隔離前網(wǎng)站防SQL注入攻擊情況；步驟2：網(wǎng)站進行隔離防護，對網(wǎng)站進行依次進行POST、GET、輸入框的SQL注入攻擊測試，查看隔離后網(wǎng)站防SQL注入攻擊情況。預(yù)期結(jié)果威脅隔離平臺能成功阻斷SQL注入攻擊。5T/SCPCA009-2024T/CQJR015-2024T/SCJR006-20248.1.4防XSS注入表5防XSS注入評估表成熟度要求產(chǎn)品應(yīng)具備如下能力：應(yīng)防止XSS注入攻擊評估權(quán)重預(yù)置條件已經(jīng)部署威脅隔離平臺。驗證流程步驟1：對網(wǎng)站進行反射型XSS(非持久型)測試，測試網(wǎng)站隔離前后能否防護該類型XSS注入攻擊；步驟2：對網(wǎng)站進行存儲型XSS(持久型)測試;測試網(wǎng)站隔離前后能否防護該類型XSS注入攻擊；步驟3：對網(wǎng)站進行DOMXSS(文檔對象型)測試，測試網(wǎng)站隔離前后能否防護該類型XSS注入攻擊。預(yù)期結(jié)果威脅隔離平臺能成功阻斷XSS注入攻擊。8.1.5反爬蟲表6反爬蟲評估表成熟度要求產(chǎn)品應(yīng)具備如下能力：防止爬蟲獲取網(wǎng)站內(nèi)容評估權(quán)重預(yù)置條件已經(jīng)部署威脅隔離平臺。驗證流程步驟1：網(wǎng)站未進行隔離防護，對網(wǎng)站進行惡意爬蟲攻擊測試，驗證網(wǎng)站隔離前反爬蟲效果；步驟2：網(wǎng)站進行隔離防護，對網(wǎng)站進行惡意爬蟲攻擊測試，驗證網(wǎng)站隔離后反爬蟲效果。預(yù)期結(jié)果部署威脅隔離平臺后，原始網(wǎng)頁內(nèi)容爬取失敗。8.1.6防自動化掃描與攻擊表7防自動化掃描與攻擊評估表成熟度要求產(chǎn)品應(yīng)具備如下能力：防止自動化工具對網(wǎng)站發(fā)起的掃描及攻擊評估權(quán)重預(yù)置條件已經(jīng)部署威脅隔離平臺。驗證流程步驟1：網(wǎng)站未進行隔離防護，通過自動化掃描工具AWVS掃描目標(biāo)Web應(yīng)用系統(tǒng)，查看掃描結(jié)果；步驟2：網(wǎng)站進行隔離防護，通過自動化掃描工具AWVS重新目標(biāo)Web應(yīng)用系統(tǒng)，查看掃描結(jié)果。預(yù)期結(jié)果部署威脅隔離平臺后，漏洞掃描工具無法獲取到Web應(yīng)用系統(tǒng)的漏洞。8.1.7防Web文件路徑掃描探測表8防Web文件路徑掃描探測評估表成熟度要求產(chǎn)品應(yīng)具備如下能力：隱藏網(wǎng)站的目錄和文件信息評估權(quán)重預(yù)置條件已經(jīng)部署威脅隔離平臺。驗證流程步驟1：網(wǎng)站未進行隔離防護，對網(wǎng)站進行文件路徑的探測測試，驗證網(wǎng)站隔離前防6T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024護效果；步驟2：網(wǎng)站進行隔離防護，對網(wǎng)站進行文件路徑的探測測試，驗證網(wǎng)站隔離后防護效果。預(yù)期結(jié)果部署威脅隔離平臺后，無法掃描出網(wǎng)站的目錄和文件信息。8.1.8網(wǎng)頁防篡改表9網(wǎng)頁防篡改評估表成熟度要求產(chǎn)品應(yīng)具備如下能力：防止網(wǎng)頁內(nèi)容被篡改評估權(quán)重預(yù)置條件已經(jīng)部署威脅隔離平臺。驗證流程步驟1：網(wǎng)站未進行隔離防護，對網(wǎng)站進行篡改攻擊測試，查看隔離前網(wǎng)站防篡改攻擊情況；步驟2：網(wǎng)站進行隔離防護，對網(wǎng)站進行篡改攻擊測試，查看隔離后網(wǎng)站防篡改攻擊情況。預(yù)期結(jié)果部署威脅隔離平臺后，成功阻斷篡改攻擊。8.1.9防止漏洞利用表10防止漏洞利用評估表成熟度要求產(chǎn)品應(yīng)具備如下能力：防止利用Web漏洞（包含0Day/1Day）發(fā)起的攻擊評估權(quán)重預(yù)置條件已經(jīng)部署威脅隔離平臺。驗證流程步驟1：網(wǎng)站未進行隔離防護，通過工具利用水平或垂直越權(quán)漏洞（或其他傳統(tǒng)WAF無法防護的0Day/1Day漏洞）攻擊，查看攻擊情況；步驟2：網(wǎng)站進行隔離防護后，通過工具利用水平或垂直越權(quán)漏洞（或其他傳統(tǒng)WAF無法防護的0Day/1Day漏洞）攻擊，查看攻擊情況。預(yù)期結(jié)果部署威脅隔離平臺后，成功防止利用水平或垂直越權(quán)漏洞進行攻擊。8.1.10網(wǎng)銀系統(tǒng)安全防護表11網(wǎng)銀系統(tǒng)安全防護評估表成熟度要求產(chǎn)品應(yīng)具備如下能力：針對網(wǎng)銀系統(tǒng)，具備上述1～9所有的安全防護能力評估權(quán)重30%預(yù)置條件已經(jīng)部署威脅隔離平臺。驗證流程步驟1：網(wǎng)銀系統(tǒng)未進行隔離防護，依次執(zhí)行上述1～9測試用例，查看攻擊情況；步驟2：網(wǎng)銀系統(tǒng)進行隔離防護后，依次執(zhí)行上述1～9測試用例，查看攻擊情況。預(yù)期結(jié)果部署威脅隔離平臺后，網(wǎng)銀系統(tǒng)成功防止漏洞利用攻擊。8.2兼容性8.2.1瀏覽器兼容性表12瀏覽器兼容性評估表成熟度要求：產(chǎn)品應(yīng)具備如下能力：7T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024適配GoogleChrome，Safari，F(xiàn)irefox，Edge，IE11，360瀏覽器評估權(quán)重：25%預(yù)置條件：1）已經(jīng)部署威脅隔離平臺。驗證流程：步驟1：網(wǎng)站未進行隔離防護，依次打開上述瀏覽器，訪問目標(biāo)網(wǎng)站，查看UI界面顯示效果，沒有兼容性問題；步驟2：網(wǎng)站進行隔離防護，依次打開上述瀏覽器，訪問目標(biāo)網(wǎng)站，查看UI界面顯示效果，沒有兼容性問題。預(yù)期結(jié)果：隔離防護前后，目標(biāo)網(wǎng)站兼容性無差異。8.2.2頁面渲染測試表13頁面渲染測試評估表成熟度要求：產(chǎn)品應(yīng)具備如下能力：頁面正常渲染，所有頁面功能不受影響評估權(quán)重：25%預(yù)置條件：1）已經(jīng)部署威脅隔離平臺。驗證流程：步驟1：網(wǎng)站未進行隔離防護，訪問目標(biāo)網(wǎng)站，依次點擊一級頁面，二級頁面等，查看UI界面顯示效果及網(wǎng)站功能；步驟2：網(wǎng)站進行隔離防護，訪問目標(biāo)網(wǎng)站，依次點擊一級頁面，二級頁面等，查看UI界面顯示效果及網(wǎng)站功能。預(yù)期結(jié)果：隔離防護前后，目標(biāo)網(wǎng)站所有頁面正常渲染，功能使用正常。8.2.3網(wǎng)銀系統(tǒng)兼容性表14網(wǎng)銀系統(tǒng)兼容性評估表成熟度要求：產(chǎn)品應(yīng)具備如下能力：適配網(wǎng)銀系統(tǒng)評估權(quán)重：50%預(yù)置條件：1）已經(jīng)部署威脅隔離平臺。驗證流程：步驟1：網(wǎng)站未進行隔離防護，打開本地瀏覽器，訪問網(wǎng)銀系統(tǒng)，查看UI界面顯示效果，訪問業(yè)務(wù)功能模塊，沒有兼容性問題；步驟2：網(wǎng)站進行隔離防護，打開本地瀏覽器，訪問網(wǎng)銀系統(tǒng)，查看UI界面顯示效果，訪問業(yè)務(wù)功能模塊，沒有兼容性問題。預(yù)期結(jié)果：隔離防護前后，網(wǎng)銀系統(tǒng)均可正常使用，業(yè)務(wù)功能正常，兼容性無差異。8.3易用性及用戶體驗8.3.1易用性表15易用性評估表成熟度要求：產(chǎn)品應(yīng)具備如下能力：實現(xiàn)上述防護能力的同時，終端PC無需安裝任何額外的軟件、插件或者專用瀏覽器評估權(quán)重：50%預(yù)置條件：1）已經(jīng)部署威脅隔離平臺。驗證流程：步驟：網(wǎng)站進行隔離防護后，打開終端PC上已有的瀏覽器，可正常訪問目標(biāo)網(wǎng)站。預(yù)期結(jié)果：1）無需安裝軟件、插件或者專用瀏覽器。8.3.2用戶體驗表16用戶體驗評估表成熟度要求：產(chǎn)品應(yīng)具備如下能力：8T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024實現(xiàn)上訴防護能力后，用戶訪問目標(biāo)Web應(yīng)用系統(tǒng)的響應(yīng)時間延遲無明顯變化評估權(quán)重：50%預(yù)置條件：1）已經(jīng)部署威脅隔離平臺。驗證流程：步驟1：網(wǎng)站未進行隔離防護，訪問目標(biāo)網(wǎng)站，測試服務(wù)響應(yīng)時間；步驟2：網(wǎng)站進行隔離防護，訪問目標(biāo)網(wǎng)站，測試服務(wù)響應(yīng)時間。預(yù)期結(jié)果：1）網(wǎng)站保護前后，訪問服務(wù)響應(yīng)時間變化不超過5%。8.4可用性8.4.1