ICSFORMTEXT點擊此處添加中國標準文獻分類號FORMTEXT?????RBRB/TFORMTEXTXXXXX—FORMTEXTXXXXFORMTEXT?????WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范FORMTEXT點擊此處添加標準英文譯名FORMTEXT點擊此處添加與國際標準一致性程度的標識（征求意見稿）（本稿完成日期：2018-12-28）FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施中華人民共和國國家市場監(jiān)督管理總局國家認證認可監(jiān)督管理委員會發(fā)布RB/TXXXXX—XXXXWEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范范圍本規(guī)范規(guī)定了WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全評價要求及評價方法。本規(guī)范適用于第三方認證機構(gòu)和檢測機構(gòu)對WEB應(yīng)用安全監(jiān)測系統(tǒng)的評價，WEB應(yīng)用安全監(jiān)測系統(tǒng)的設(shè)計和實現(xiàn)也可參照。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T18336-2015《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則》GB/T25069信息安全技術(shù)術(shù)語術(shù)語、定義和縮略語術(shù)語和定義標準GB/T18336-2015和GB/T25069界定的以及下列術(shù)語和定義適用于本標準。WEB應(yīng)用安全監(jiān)測系統(tǒng)WEB應(yīng)用安全監(jiān)測系統(tǒng)是指部署在網(wǎng)絡(luò)里，以監(jiān)控的方式，實現(xiàn)對WEB應(yīng)用的服務(wù)狀態(tài)、安全狀態(tài)進行監(jiān)測的產(chǎn)品。SQL注入把SQL命令插入到WEB表單遞交或者輸入域名、頁面請求的查詢字符串中，以達到欺騙服務(wù)器執(zhí)行惡意SQL命令的目的?？蛻舳送ㄟ^插入或注入SQL查詢語句輸入數(shù)據(jù)到應(yīng)用。跨站腳本攻擊跨站腳本攻擊（也稱為XSS）指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。網(wǎng)頁掛馬網(wǎng)頁掛馬是指一個木馬程序（或惡意代碼）被上傳到網(wǎng)站形成網(wǎng)頁木馬，使網(wǎng)頁瀏覽者訪問被掛馬的網(wǎng)頁時執(zhí)行其中的惡意代碼?？s略語以下縮略語適用于本文件HTTP超文本傳輸協(xié)議HypertextTransferProtocolURL統(tǒng)一資源定位器UniformResourceLocatorSSH建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議SecureShellTOE評估對象TargetofEvaluationTSFTOE安全功能TOESecurityFunctions評價要求總體說明評價要求分類本評價要求包括對產(chǎn)品的功能要求、自身安全要求和安全保障要求。安全等級本評價規(guī)范不對產(chǎn)品進行安全等級劃分。產(chǎn)品的安全保障要求采用GB/T18336.3-2015中有關(guān)EAL2級的要求。功能要求WEB應(yīng)用狀態(tài)監(jiān)控WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能定時訪問目標WEB應(yīng)用，并分析返回頁面，檢測是否包含錯誤信息，及時發(fā)現(xiàn)WEB應(yīng)用訪問異常。WEB漏洞掃描WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠掃描到SQL注入攻擊、跨站腳本攻擊（XSS）、信息泄露等常見的WEB應(yīng)用安全漏洞。網(wǎng)頁掛馬檢測WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測到被掛馬的WEB頁面。自動通告WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能在發(fā)現(xiàn)WEB應(yīng)用出現(xiàn)故障或者WEB應(yīng)用安全漏洞時，自動通知系統(tǒng)管理員。產(chǎn)品升級WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能支持手動或者自動的方式進行產(chǎn)品升級，對漏洞知識庫、木馬特征以及服務(wù)程序等進行更新。管理功能系統(tǒng)管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)具備配置管理功能，支持本地管理或遠程管理。任務(wù)管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持監(jiān)測掃描任務(wù)添加域名或IP地址，能夠設(shè)置掃描時間周期并實時顯示任務(wù)進度及詳情，支持對已完成掃描任務(wù)的記錄和管理。報表管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持報表功能并能輸出報表；報表內(nèi)容應(yīng)包含網(wǎng)站基本信息（包括IP地址、網(wǎng)站標題及服務(wù)器所處位置等等信息）、任務(wù)概要信息（包括任務(wù)掃描時間、掃描深度、網(wǎng)站安全等級等信息）以及執(zhí)行結(jié)果信息（包括SQL注入、XSS跨站、網(wǎng)站掛馬等鏈接的詳細信息）。服務(wù)能力監(jiān)測WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能對WEB應(yīng)用的訪問響應(yīng)時間進行監(jiān)測，顯示訪問延時波動。篡改監(jiān)測WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能及時發(fā)現(xiàn)指定的WEB應(yīng)用（如指定URL地址等）被篡改的行為（如篡改頁面的文字、圖片、媒體信息等），并產(chǎn)生用戶告警信息（如通過郵件、短信及提示信息等顯示告警信息）。自身安全要求安全審計審計數(shù)據(jù)產(chǎn)生WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)對以下事件生成審計記錄：審計功能的啟動與關(guān)閉；用戶的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為；鑒別機制的使用；鑒別失敗的次數(shù)超過給定閾值導(dǎo)致會話終止；其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。WEB應(yīng)用安全監(jiān)測系統(tǒng)每個審計記錄中應(yīng)記錄下列信息：事件發(fā)生的日期、時間；事件的類型；主體身份標識；事件的描述及結(jié)果。審計查閱WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為授權(quán)用戶提供讀取審計記錄的功能。WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)以便于用戶理解的方式提供審計記錄。限制審計查閱除明確允許讀訪問的用戶外，TSF應(yīng)禁止所有用戶對審計記錄的讀訪問?？蛇x審計查閱WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)提供根據(jù)條件對審計數(shù)據(jù)進行查詢或排序的功能。防止審計數(shù)據(jù)丟失WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)把生成的審計記錄存儲于一個永久性的記錄中，并應(yīng)提供相應(yīng)措施以防止故障或攻擊造成的審計事件丟失；對因故障或存儲耗竭而導(dǎo)致審計數(shù)據(jù)丟失的最大審計存儲容量，WEB應(yīng)用安全監(jiān)測系統(tǒng)的開發(fā)者應(yīng)提供相應(yīng)的分析結(jié)果；一旦審計存儲容量達到事先規(guī)定的警戒值，應(yīng)能發(fā)送警告信息，并采取相應(yīng)的防護措施。審計數(shù)據(jù)保護WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保護存儲的審計記錄免遭未授權(quán)的刪除；WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)禁止對審計記錄的修改。標識和鑒別唯一性標識WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保證任何用戶都具有全局唯一的標識。鑒別的時機WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)要求每個用戶在執(zhí)行與數(shù)據(jù)泄露防護產(chǎn)品安全相關(guān)的任何其他操作之前，都已被成功鑒別用戶屬性定義WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為每一個用戶保存安全屬性表，屬性應(yīng)包括：用戶標識、授權(quán)信息或用戶組信息、其他安全屬性等。鑒別失敗處理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測用戶的不成功的鑒別嘗試；在經(jīng)過一定次數(shù)的鑒別失敗后，WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)采取措施以終止登錄嘗試的動作，直至滿足已定義的條件才允許進行重新鑒別；鑒別嘗試的閾值應(yīng)僅允許授權(quán)管理員設(shè)定。受保護的鑒別反饋鑒別進行時，WEB應(yīng)用安全監(jiān)測系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋，不顯示字符本身。安全管理安全功能行為的管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅限于授權(quán)用戶對下述功能具有修改的能力。監(jiān)測任務(wù)的管理；其他安全功能行為的管理。安全屬性的管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)執(zhí)行訪問控制策略或信息流控制策略，以限制已識別了的授權(quán)角色查詢、修改和刪除安全屬性的能力。安全角色WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)維護已標識的授權(quán)角色；WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠?qū)⒂脩襞c角色關(guān)聯(lián)起來。TSF數(shù)據(jù)的管理WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅允許授權(quán)用戶控制安全功能數(shù)據(jù)的管理。TSF保護內(nèi)部TSF數(shù)據(jù)傳送的基本保護TSF應(yīng)保護所有從WEB應(yīng)用安全監(jiān)測系統(tǒng)傳送到遠程管理主機的TSF數(shù)據(jù)（如：登錄鑒別數(shù)據(jù)、安全設(shè)置信息）在傳送過程中不會被未授權(quán)泄漏。自動恢復(fù)當WEB應(yīng)用安全監(jiān)測系統(tǒng)發(fā)生失效、服務(wù)中斷等故障，無法自動恢復(fù)時，系統(tǒng)應(yīng)能夠提供進入維護模式，通過該模式保證系統(tǒng)返回到一個安全狀態(tài)。當WEB應(yīng)用安全監(jiān)測系統(tǒng)的服務(wù)發(fā)生中斷后，在人工干預(yù)的情況下或者無人工干預(yù)自動恢復(fù)到安全狀態(tài)（如：安全策略、系統(tǒng)配置等）。用戶數(shù)據(jù)保護基于安全屬性的訪問控制產(chǎn)品安全功能應(yīng)基于安全屬性和確定的安全屬性組，對已明確的客體執(zhí)行產(chǎn)品訪問控制策略；產(chǎn)品安全功能應(yīng)執(zhí)行產(chǎn)品訪問控制策略，決定受控的主體與客體間的操作是否被允許。安全保障要求開發(fā)安全架構(gòu)描述開發(fā)者行為元素：開發(fā)者應(yīng)設(shè)計并實現(xiàn)TOE，確保TSF的安全特性不可旁路；開發(fā)者應(yīng)設(shè)計并實現(xiàn)TSF，以防止不可信主體的破壞；開發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。內(nèi)容和形式元素：安全架構(gòu)的描述應(yīng)與在TOE設(shè)計文檔中對SFR-執(zhí)行的抽象描述的級別一致；安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域；安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的；安全架構(gòu)的描述應(yīng)證實TSF可防止被破壞；安全架構(gòu)的描述應(yīng)證實TSF可防止SFR-執(zhí)行的功能被旁路。安全執(zhí)行功能規(guī)范開發(fā)者行為元素：開發(fā)者應(yīng)提供一個功能規(guī)范；開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。內(nèi)容和形式元素：功能規(guī)范應(yīng)完整地描述TSF；功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法；功能規(guī)范應(yīng)識別和描述每個TSFI相關(guān)的所有參數(shù)；對于每個SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為；對于SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯誤消息；功能規(guī)范應(yīng)證實安全功能要求到TSFI的追溯。基礎(chǔ)設(shè)計開發(fā)者行為元素：開發(fā)者應(yīng)提供TOE的設(shè)計；開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計中獲取到的最低層分解的映射。內(nèi)容和形式元素：設(shè)計應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)；設(shè)計應(yīng)標識TSF的所有子系統(tǒng)；設(shè)計應(yīng)對每一個SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進行足夠詳細的描述，以確定它不是SFR-執(zhí)行；設(shè)計應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為；設(shè)計應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用；映射關(guān)系應(yīng)證實TOE設(shè)計中描述的所有行為能夠映射到調(diào)用它的TSFI。指導(dǎo)性文檔操作用戶指南開發(fā)者行為元素：開發(fā)者應(yīng)提供操作用戶指南。內(nèi)容和形式元素：操作用戶指南應(yīng)對每一種用戶角色進行描述，在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán)，包含適當?shù)木拘畔?；操作用戶指南?yīng)對每一種用戶角色進行描述，怎樣以安全的方式使用TOE提供的可用接口；操作用戶指南應(yīng)對每一種用戶角色進行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時應(yīng)指明安全值；操作用戶指南應(yīng)對每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實體的安全特性；操作用戶指南應(yīng)標識TOE運行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關(guān)系和聯(lián)系；操作用戶指南應(yīng)對每一種用戶角色進行描述，為了充分實現(xiàn)ST中描述的運行環(huán)境安全目的所必須執(zhí)行的安全策略；操作用戶指南應(yīng)是明確和合理的。準備程序開發(fā)者行為元素：開發(fā)者應(yīng)提供TOE，包括它的準備程序。內(nèi)容和形式元素：準備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟；準備程序應(yīng)描述安全安裝TOE以及安全準備與ST中描述的運行環(huán)境安全目的一致的運行環(huán)境必需的所有步驟。生命周期支持CM系統(tǒng)的使用開發(fā)者行為元素：開發(fā)者應(yīng)提供TOE及其參照號；開發(fā)者應(yīng)提供CM文檔；開發(fā)者應(yīng)使用CM系統(tǒng)。內(nèi)容和形式元素：應(yīng)給TOE標注唯一參照號；CM文檔應(yīng)描述用于唯一標識配置項的方法；CM系統(tǒng)應(yīng)唯一標識所有配置項。部分TOECM覆蓋開發(fā)者行為元素：開發(fā)者應(yīng)提供TOE配置項列表。內(nèi)容和形式元素：配置項列表應(yīng)包括：TOE本身、安全保障要求的評估證據(jù)和TOE的組成部分；配置項列表應(yīng)唯一標識配置項；對于每一個TSF相關(guān)的配置項，配置項列表應(yīng)簡要說明該配置項的開發(fā)者。交付程序開發(fā)者行為元素：開發(fā)者應(yīng)將把TOE或其部分交付給消費者的程序文檔化；開發(fā)者應(yīng)使用交付程序。內(nèi)容和形式元素：交付文檔應(yīng)描述，在向消費者分發(fā)TOE版本時，用以維護安全性所必需的所有程序。測試覆蓋證據(jù)開發(fā)者行為元素：開發(fā)者應(yīng)提供測試覆蓋的證據(jù)。內(nèi)容和形式元素：測試覆蓋的證據(jù)應(yīng)表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對應(yīng)性。功能測試開發(fā)者行為元素：開發(fā)者應(yīng)測試TSF，并文檔化測試結(jié)果；開發(fā)者應(yīng)提供測試文檔。內(nèi)容和形式元素：測試文檔應(yīng)包括測試計劃、預(yù)期的測試結(jié)果和實際的測試結(jié)果；測試計劃應(yīng)標識要執(zhí)行的測試并描述執(zhí)行每個測試的方案，這些方案應(yīng)包括對于其他測試結(jié)果的任何順序依賴性；預(yù)期的測試結(jié)果應(yīng)指出測試成功執(zhí)行后的預(yù)期輸出；實際的測試結(jié)果應(yīng)與預(yù)期的測試結(jié)果一致。獨立測試-抽樣開發(fā)者行為元素：開發(fā)者應(yīng)提供用于測試的TOE。內(nèi)容和形式元素：TOE應(yīng)適合測試；開發(fā)者應(yīng)提供一組與開發(fā)者TSF功能測試中同等的一系列資源。脆弱性評定脆弱性分析開發(fā)者行為元素：開發(fā)者應(yīng)提供用于測試的TOE。內(nèi)容和形式元素：TOE應(yīng)適合測試。評價方法總體說明評價方法與評價要求一一對應(yīng)，它給出具體的方法來驗證WEB應(yīng)用安全監(jiān)測系統(tǒng)產(chǎn)品是否滿足評價要求。評價過程分為檢測和評估，其中，檢測內(nèi)容為功能要求及自身安全要求，評估內(nèi)容為安全保障要求，評估的主要方式為文件審核和現(xiàn)場核查。檢測環(huán)境與工具檢測環(huán)境圖 功能檢測環(huán)境圖檢測工具：WEB瀏覽器、網(wǎng)絡(luò)協(xié)議分析工具功能檢測WEB應(yīng)用狀態(tài)監(jiān)控檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能定時對目標WEB應(yīng)用訪問，并分析返回頁面，檢測是否包含錯誤信息，及時發(fā)現(xiàn)WEB應(yīng)用訪問異常。檢測方法審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持WEB應(yīng)用狀態(tài)監(jiān)控；按照產(chǎn)品說明書，使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在服務(wù)器上存在問題的WEB應(yīng)用實施狀態(tài)監(jiān)控，并查看監(jiān)控結(jié)果。結(jié)果判定產(chǎn)品提供支持WEB應(yīng)用狀態(tài)監(jiān)控功能；產(chǎn)品能夠監(jiān)測應(yīng)用訪問的異常情況；1)-2)項均滿足為“符合”；否則為“不符合”。WEB漏洞掃描檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠掃描到SQL注入攻擊、跨站腳本攻擊（XSS）、信息泄露等常見的WEB應(yīng)用安全漏洞。檢測方法審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)檢查是否支持對SQL注入攻擊、跨站腳本（XSS）攻擊、信息泄露（源代碼、報錯信息、目錄信息）等常見的WEB攻擊手段掃描檢測；使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上存在SQL注入、跨站腳本、信息泄露等安全漏洞的WEB應(yīng)用進行掃描，查看掃描結(jié)果。結(jié)果判定產(chǎn)品提供支持WEB漏洞掃描功能；產(chǎn)品能夠監(jiān)測出部署在測試服務(wù)器上的WEB應(yīng)用存在SQL注入、跨站腳本、信息泄露等安全漏洞；1)-2)項均滿足為“符合”；否則為“不符合”。網(wǎng)頁掛馬檢測檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測到被掛馬的WEB頁面。檢測方法審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持網(wǎng)頁掛馬檢測；使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上存在網(wǎng)頁掛馬的WEB應(yīng)用進行掃描，查看掃描結(jié)果。結(jié)果判定產(chǎn)品提供支持網(wǎng)頁掛馬檢測功能；產(chǎn)品能夠完成網(wǎng)頁掛馬檢測，并能夠檢測出被掛馬的WEB頁面；1)-2)項均滿足為“符合”；否則為“不符合”。自動通告檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持在發(fā)現(xiàn)WEB應(yīng)用出現(xiàn)故障或者發(fā)現(xiàn)WEB應(yīng)用安全漏洞時，能自動通知系統(tǒng)管理員。檢測方法審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持自動通告；使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上存在安全漏洞的WEB應(yīng)用進行監(jiān)測，查看是否能夠在發(fā)現(xiàn)漏洞或故障后，通過郵件、短信、頁面提示、聲音報警等一種或多種方式自動通知管理員。結(jié)果判定產(chǎn)品提供自動通知功能；產(chǎn)品能夠在發(fā)現(xiàn)漏洞或故障后，通過郵件、短信、頁面提示、聲音報警等一種或多種方式自動通知管理員。1)-2)項均滿足為“符合”；否則為“不符合”。產(chǎn)品升級檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持手動或者自動的方式進行產(chǎn)品升級（如對漏洞知識庫、木馬特征以及服務(wù)程序等進行更新）。檢測方法審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持產(chǎn)品升級；按照產(chǎn)品說明書，測試WEB應(yīng)用安全監(jiān)測系統(tǒng)是否可實施手動或自動升級。結(jié)果判定產(chǎn)品提供升級功能；產(chǎn)品能夠支持手動或者自動的方式進行產(chǎn)品升級。1)-2)項均滿足為“符合”；否則為“不符合”。管理功能系統(tǒng)管理檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)具備配置管理功能，支持本地管理或遠程管理。檢測方法查看WEB應(yīng)用安全監(jiān)測系統(tǒng)的管理方式（如：Console口、Telnet、SSH、HTTP、HTTPS、SNMP、產(chǎn)品專用的管理程序），是否支持本地管理或遠程管理方式，并進行驗證。結(jié)果判定WEB應(yīng)用安全監(jiān)測系統(tǒng)支持本地的管理方式，且能夠有效實施配置管理；WEB應(yīng)用安全監(jiān)測系統(tǒng)支持遠程管理方式，且能夠有效實施配置管理。1)或2)項有一項滿足為“符合”，其他情況為“不符合”。任務(wù)管理檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持監(jiān)測掃描任務(wù)添加域名或IP地址，能夠設(shè)置掃描時間周期并實時顯示任務(wù)進度及詳情，支持對已完成掃描任務(wù)的記錄和管理。檢測方法審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持任務(wù)管理功能；使用WEB應(yīng)用安全監(jiān)測系統(tǒng)添加掃描任務(wù)對部署在測試服務(wù)器上的WEB應(yīng)用進行監(jiān)測掃描，查看當前任務(wù)進展情況；任務(wù)完成之后對歷史任務(wù)進行查看、搜索、排序和刪除等操作。結(jié)果判定WEB應(yīng)用安全監(jiān)測系統(tǒng)支持掃描任務(wù)添加域名或IP地址并支持掃描時間周期的設(shè)置；WEB應(yīng)用安全監(jiān)測系統(tǒng)支持查看當前掃描任務(wù)的詳細信息，并可對已完成的掃描任務(wù)進行管理。1)或2)項有一項滿足為“符合”，其他情況為“不符合”。報表管理檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持報表功能并能輸出報表；報表內(nèi)容應(yīng)包含網(wǎng)站基本信息（包括IP地址、網(wǎng)站標題及服務(wù)器所處位置等等信息）、任務(wù)概要信息（包括任務(wù)掃描時間、掃描深度、網(wǎng)站安全等級等信息）以及執(zhí)行結(jié)果信息（包括SQL注入、XSS跨站、網(wǎng)站掛馬等鏈接的詳細信息）。檢測方法審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持報表管理功能；登錄WEB應(yīng)用安全監(jiān)測系統(tǒng)查看歷史任務(wù)報表，查看報表內(nèi)容是否包含檢測要求中的相關(guān)信息。導(dǎo)出歷史任務(wù)報表，報表應(yīng)能被導(dǎo)出（如HTML、WORD等格式）。結(jié)果判定WEB應(yīng)用安全監(jiān)測系統(tǒng)的報表內(nèi)容應(yīng)包含檢測要求中的詳細內(nèi)容；WEB應(yīng)用安全監(jiān)測系統(tǒng)的報表應(yīng)能被導(dǎo)出（導(dǎo)出格式不限）。1)或2)項有一項滿足為“符合”，其他情況為“不符合”。服務(wù)能力監(jiān)測檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能對WEB應(yīng)用的訪問響應(yīng)時間進行監(jiān)測，顯示訪問延時波動。檢測方法審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持服務(wù)能力監(jiān)測；使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上的WEB應(yīng)用進行監(jiān)測，查看是否能夠顯示訪問延時波動。結(jié)果判定產(chǎn)品提供服務(wù)能力監(jiān)測功能；產(chǎn)品能夠顯示訪問延時波動。1)-2)項均滿足為“符合”；否則為“不符合”。篡改監(jiān)測檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能及時發(fā)現(xiàn)指定的WEB應(yīng)用（如指定URL地址等）被篡改的行為（如篡改頁面的文字、圖片、媒體信息等），并產(chǎn)生用戶告警信息（如通過郵件、短信及提示信息等顯示告警信息）。檢測方法審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持篡改監(jiān)測功能，并登錄配置界面驗證產(chǎn)品是否提供對篡改監(jiān)控頁面的設(shè)置；使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上WEB應(yīng)用的指定頁面進行監(jiān)測，對WEB應(yīng)用進行授權(quán)發(fā)布或更新，驗證對發(fā)布后的應(yīng)用能否重新建立新的掃描對比基準，以區(qū)別非授權(quán)篡改。使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上WEB應(yīng)用的指定頁面進行監(jiān)測，對WEB應(yīng)用進行篡改操作（如修改頁面內(nèi)容、媒體信息及刪除圖片等），查看WEB應(yīng)用安全監(jiān)測系統(tǒng)是否對其篡改操作行為進行告警，并通過何種方式進行告警。結(jié)果判定產(chǎn)品提供篡改監(jiān)控功能，并提供對篡改監(jiān)控頁面的參數(shù)設(shè)置（如設(shè)置指定的URL地址、監(jiān)測深度等）；產(chǎn)品能夠?qū)φ０l(fā)布或更新行為手動或自動建立新的掃描基準，以區(qū)分非授權(quán)篡改；產(chǎn)品能夠?qū)Υ鄹牟僮餍袨檫M行告警。1)-3)項均滿足為“符合”；否則為“不符合”。自身安全檢測檢測環(huán)境與工具安全審計審計數(shù)據(jù)產(chǎn)生檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)對以下事件生成審計記錄：審計功能的啟動與關(guān)閉；用戶的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為；鑒別機制的使用；鑒別失敗的次數(shù)超過給定閾值導(dǎo)致會話終止；其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。WEB應(yīng)用安全監(jiān)測系統(tǒng)每個審計記錄中應(yīng)記錄下列信息：事件發(fā)生的日期、時間；事件的類型；主體身份標識；事件的描述及結(jié)果。檢測方法以授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng)，執(zhí)行檢測要求1）中相關(guān)的操作，查看審計記錄，檢查系統(tǒng)是否對操作進行了審計記錄；；查看審計記錄內(nèi)容中是否包括事件發(fā)生的日期和時間、事件類型、主體身份標識、事件描述及結(jié)果等信息。結(jié)果判定WEB應(yīng)用安全監(jiān)測系統(tǒng)能夠?qū)σ韵率录蓪徲嬘涗洠簩徲嫻δ艿膯优c關(guān)閉；用戶的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為；鑒別機制的使用；鑒別失敗的次數(shù)超過給定閾值導(dǎo)致會話終止；其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。WEB應(yīng)用安全監(jiān)測系統(tǒng)的審計記錄中能夠記錄下列信息：事件發(fā)生的日期、時間；事件的類型；主體身份標識；事件的描述及結(jié)果。1)-2)項均滿足為“符合”，其他情況為“不符合”。審計查閱檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為授權(quán)用戶提供讀取審計記錄的功能。WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)以便于用戶理解的方式提供審計記錄。檢測方法以授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng)，查驗是否為授權(quán)用戶提供從審計記錄中讀取審計信息的功能。查看WEB應(yīng)用安全監(jiān)測系統(tǒng)審計信息的提供方式和格式。結(jié)果判定授權(quán)用戶能夠讀取審計記錄；審計記錄以用戶易理解的方式和格式提供。1)-2)項均滿足為“符合”；否則為“不符合”。限制審計查閱檢測要求除明確允許讀訪問的用戶外，TSF應(yīng)禁止所有用戶對審計記錄的讀訪問。檢測方法檢查授權(quán)用戶是否能夠讀取其權(quán)限范圍內(nèi)的審計信息；檢查非授權(quán)用戶是否不能讀取任何審計信息。結(jié)果判定授權(quán)用戶能夠讀取其權(quán)限范圍內(nèi)的審計信息；非授權(quán)用戶不能讀取任何審計信息。1)-2)項均滿足為“符合”；否則為“不符合”?？蛇x審計查閱檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)提供根據(jù)條件對審計數(shù)據(jù)進行查詢或排序的功能。檢測方法以授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng)，以一定的條件（如，主體ID（標識符）、客體ID、日期、時間等）對審計數(shù)據(jù)進行查詢或排序操作；檢查查詢或排序的結(jié)果是否完全正確。結(jié)果判定能夠支持根據(jù)條件對審計數(shù)據(jù)進行查詢或排序；查詢或排序的結(jié)果是否完全正確。1)-2)項均滿足為“符合”，其他情況為“不符合”。防止審計數(shù)據(jù)丟失檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)把生成的審計記錄存儲于一個永久性的記錄中，并應(yīng)提供相應(yīng)措施以防止故障或攻擊造成的審計事件丟失；對因故障或存儲耗竭而導(dǎo)致審計數(shù)據(jù)丟失的最大審計存儲容量，WEB應(yīng)用安全監(jiān)測系統(tǒng)的開發(fā)者應(yīng)提供相應(yīng)的分析結(jié)果；一旦審計存儲容量達到事先規(guī)定的警戒值，應(yīng)能發(fā)送警告信息，并采取相應(yīng)的防護措施。檢測方法查驗WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能是否將生成的審計記錄存儲于一個永久性的記錄中（如，硬盤），而非易失性部件中（如，內(nèi)存）。查驗是否提供相應(yīng)措施以防止故障或攻擊造成的審計事件丟失（檢測是否提供安全措施，如可以自動存檔或?qū)С鰧徲嬍录乐挂馔鈦G失）；查驗對因故障或存儲耗竭而導(dǎo)致審計數(shù)據(jù)丟失的最大審計存儲容量，WEB應(yīng)用安全監(jiān)測系統(tǒng)的開發(fā)者是否提供相應(yīng)的分析結(jié)果（包括對可能到達最大容量的充分估計，對容量問題設(shè)計一定措施，如開辟大容量空間存放審計數(shù)據(jù)、接近上限前提醒管理員等）；模擬審計容量大量消耗相關(guān)的操作，測試WEB應(yīng)用安全監(jiān)測系統(tǒng)是否在審計存儲容量達到事先規(guī)定的警戒值時發(fā)出警告信息，并采取相應(yīng)的防護措施（如，停止記錄、僅從最早的記錄開始覆蓋等）。結(jié)果判定審計記錄存儲于一個永久性的記錄中；系統(tǒng)支持自動存檔機制或支持授權(quán)管理員的導(dǎo)出備份功能，從而能夠防止由于故障和攻擊可能造成的意外丟失；對因故障或存儲耗竭而導(dǎo)致審計數(shù)據(jù)丟失的最大審計存儲容量，系統(tǒng)的開發(fā)者能夠提供相應(yīng)的分析結(jié)果；審計容量達到警戒值時發(fā)出警告信息，并能夠采取相應(yīng)的防護措施。1)-4)項均滿足為“符合”；其他情況為“不符合”。審計數(shù)據(jù)保護檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保護存儲的審計記錄免遭未授權(quán)的刪除；WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)禁止對審計記錄的修改。檢測方法分別以授權(quán)用戶和非授權(quán)用戶身份執(zhí)行刪除審計記錄的操作，驗證WEB應(yīng)用安全監(jiān)測系統(tǒng)是否能夠確保免遭未授權(quán)的刪除；查看WEB應(yīng)用安全監(jiān)測系統(tǒng)是否能夠防止修改審計記錄的操作。結(jié)果判定能夠確保免遭未授權(quán)的刪除；審計記錄不能修改。1）—2）項滿足為“符合”，其他情況為“不符合”。標識和鑒別唯一性標識檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保證任何用戶都具有全局唯一的標識。檢測方法以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護產(chǎn)品，查看用戶信息；嘗試新建一個相同用戶標識的用戶，檢查操作是否能夠成功。結(jié)果判定系統(tǒng)不允許新建相同用戶標識的用戶。1)項滿足為“符合”；其他情況為“不符合”。鑒別的時機檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)要求每個用戶在執(zhí)行與數(shù)據(jù)泄露防護產(chǎn)品安全相關(guān)的任何其他操作之前，都已被成功鑒別。檢測方法查看用戶在未被成功鑒別前，是否被拒絕執(zhí)行任何安全相關(guān)的操作；查看產(chǎn)品是否拒絕使用錯誤鑒別信息的用戶登錄；嘗試以正確的鑒別信息登錄，驗證產(chǎn)品是否允許登錄，是否允許進行相應(yīng)的安全管理操作。對系統(tǒng)中所有角色的授權(quán)用戶進行測試，查驗WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能是否確保對每個授權(quán)用戶都進行鑒別。結(jié)果判定用戶被成功鑒別前，不能執(zhí)行任何與安全相關(guān)的操作；使用錯誤鑒別信息，產(chǎn)品不允許登錄；使用正確的鑒別信息，能夠成功登錄，并能夠執(zhí)行相應(yīng)的安全管理操作。系統(tǒng)能夠確保對每個授權(quán)用戶都進行鑒別。1)-4)項均滿足為“符合”；其他情況為“不符合”。用戶屬性定義檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為每一個用戶保存安全屬性表，屬性應(yīng)包括：用戶標識、授權(quán)信息或用戶組信息、其他安全屬性等。檢測方法查看產(chǎn)品是否為每一個用戶保存其安全屬性表，屬性可包括：用戶標識、授權(quán)信息或用戶組信息、其他安全屬性等；以不同的授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng)，執(zhí)行其權(quán)限范圍內(nèi)的操作，檢查該用戶可執(zhí)行的操作與其安全屬性（如用戶標識、授權(quán)信息等）的要求是否一致；查驗是否能夠有效對安全屬性進行設(shè)定、修改；修改用戶的部分安全屬性后，檢查該用戶可執(zhí)行的操作與其被修改后的安全屬性的要求是否一致。結(jié)果判定系統(tǒng)支持為每一個用戶定義及維護其安全屬性表；所有用戶能夠依據(jù)其安全屬性進行相應(yīng)的操作；支持對安全屬性的設(shè)定、修改；用戶可執(zhí)行的操作與其被修改后的安全屬性（如授權(quán)信息等）的要求一致。1)-4)均滿足為“符合”；其他情況為“不符合”。鑒別失敗處理檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測用戶的不成功的鑒別嘗試；在經(jīng)過一定次數(shù)的鑒別失敗后，WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)采取措施以終止登錄嘗試的動作，直至滿足已定義的條件才允許進行重新鑒別；鑒別嘗試的閾值應(yīng)僅允許授權(quán)管理員設(shè)定。檢測方法以錯誤的鑒別信息嘗試登錄，查驗是否被拒絕進入系統(tǒng)；進行一定次數(shù)的登錄嘗試，驗證在一定次數(shù)的鑒別失敗后，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否對登錄嘗試主機終止其建立會話的過程（例如：關(guān)閉身份鑒別的對話界面、鎖定帳戶等）；如果系統(tǒng)提供最多失敗次數(shù)的設(shè)定功能。查驗該閾值是否僅由授權(quán)管理員設(shè)定，并驗證所設(shè)定的次數(shù)是否有效；結(jié)果判定系統(tǒng)能夠檢測用戶的不成功的鑒別嘗試；在連續(xù)登錄鑒別嘗試失敗連續(xù)達到指定次數(shù)后，用戶賬號或登錄點失效；達到解鎖條件后，失效的用戶賬號或登錄點能夠重新進行鑒別操作；未成功鑒別嘗試次數(shù)閾值僅由授權(quán)管理員能夠進行設(shè)置。1)-4）項均滿足為“符合”；其他情況為“不符合”。受保護的鑒別反饋檢測要求鑒別進行時，WEB應(yīng)用安全監(jiān)測系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋，不顯示字符本身。檢測方法執(zhí)行用戶身份鑒別操作，輸入用戶鑒別數(shù)據(jù)，檢查WEB應(yīng)用安全監(jiān)測系統(tǒng)給出的反饋信息是否不顯示字符本身。結(jié)果判定產(chǎn)品給出的反饋信息不顯示字符本身。1)項滿足為“符合”；其他情況為“不符合”。安全管理安全功能行為的管理檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅限于授權(quán)用戶對下述功能具有修改的能力。監(jiān)測任務(wù)的管理；其他安全功能行為的管理。檢測方法檢查WEB應(yīng)用安全監(jiān)測系統(tǒng)管理系統(tǒng)的安全功能是否明確規(guī)定僅限于指定的授權(quán)角色對監(jiān)測任務(wù)具有設(shè)定、修改的能力。檢查指定的授權(quán)用戶對系統(tǒng)的功能進行設(shè)定、修改等操作前，是否先登錄才能操作。結(jié)果判定WEB應(yīng)用安全監(jiān)測系統(tǒng)僅限于授權(quán)用戶對監(jiān)測任務(wù)等功能進行設(shè)定、修改。指定的授權(quán)用戶對系統(tǒng)的功能進行設(shè)定、修改等操作前，先登錄才能操作。1)-2)項均滿足為“符合”；其他情況為“不符合”。安全屬性的管理檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)執(zhí)行訪問控制策略或信息流控制策略，以限制已識別了的授權(quán)角色查詢、修改和刪除安全屬性的能力。檢測方法查看產(chǎn)品所設(shè)定的安全屬性組（如：用戶名、帳戶有效性、帳戶過期時間和口令過期時間等）；對用戶的安全屬性進行查詢、創(chuàng)建、修改和刪除，并作相應(yīng)驗證；驗證是否僅指定的授權(quán)管理員（如：系統(tǒng)管理員）對安全屬性具有管理能力。結(jié)果判定產(chǎn)品能夠提供對安全屬性進行查詢、創(chuàng)建、修改和刪除的功能；產(chǎn)品僅允許指定的授權(quán)管理員對安全屬性具有管理能力。1)-2)均滿足為“符合”；其他情況為“不符合”。安全角色檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)維護已標識的授權(quán)角色；WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠?qū)⒂脩襞c角色關(guān)聯(lián)起來。檢測方法查看產(chǎn)品說明文檔中關(guān)于安全管理角色的劃分和描述；查驗是否允許定義多個角色或?qū)巧M行分級，使不同級別的管理角色具有不同的管理權(quán)限；將用戶與角色關(guān)聯(lián)起來，并進行驗證；檢測未授予安全管理角色的普通用戶是否能夠執(zhí)行安全管理功能相關(guān)操作。結(jié)果判定產(chǎn)品支持定義多個角色或?qū)巧M行分級，使不同級別的管理角色具有不同的管理權(quán)限；用戶能夠與角色進行關(guān)聯(lián)，從而實施相應(yīng)的管理功能；未授予安全管理角色的普通用戶不能執(zhí)行安全管理功能相關(guān)操作。1)-3)均滿足為“符合”；其他情況為“不符合”。TSF數(shù)據(jù)的管理檢測要求WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅允許授權(quán)用戶控制安全功能數(shù)據(jù)的管理。檢測方法驗證授權(quán)管理員用戶對TSF數(shù)據(jù)的管理能力（如，審計信息、時鐘、系統(tǒng)配置、重鑒別的閾值、掃描間隔時間、告警參數(shù)和其它TSF配置參數(shù)等）；驗證僅允許指定的授權(quán)管理員才能實施TSF數(shù)據(jù)的管理。結(jié)果判定產(chǎn)品能夠提供對TSF數(shù)據(jù)（如，審計信息、時鐘、系統(tǒng)配置、重鑒別的閾值、掃描間隔時間、告警參數(shù)和其它TSF配置參數(shù)等）的管理能力；僅允許指定的授權(quán)管理員（如：安全策略管理員）才能實施TSF數(shù)據(jù)的管理。1)-2)均滿足為“符合”；其他情況為“不符合”。TSF保護內(nèi)部TSF數(shù)據(jù)傳送的基本保護檢測要求TSF應(yīng)保護所有從WEB應(yīng)用安全監(jiān)測系統(tǒng)傳送到遠程管理主機的TSF數(shù)據(jù)（如：登錄鑒別數(shù)據(jù)、安全設(shè)置信息）在傳送過程中不會被未授權(quán)泄漏。檢測方法審查產(chǎn)品說明手冊，當產(chǎn)品需要通過網(wǎng)絡(luò)進行管理時，是否能提供對安全功能數(shù)據(jù)采取安全保護措施；使用網(wǎng)絡(luò)協(xié)議分析工具，對網(wǎng)絡(luò)傳輸?shù)陌踩δ軘?shù)據(jù)進行截包分析并加以驗證。結(jié)果判定產(chǎn)品能夠提供對安全功能數(shù)據(jù)進行非明文傳輸。1）項滿足為“符合”；其他情況為“不符合”。自動恢復(fù)檢測要求當WEB應(yīng)用安全監(jiān)測系統(tǒng)發(fā)生失效、服務(wù)中斷等故障，無法自動恢復(fù)時，系統(tǒng)應(yīng)能夠提供進入維護模式，通過該模式保證系統(tǒng)返回到一個安全狀態(tài)。當WEB應(yīng)用安全監(jiān)測系統(tǒng)的服務(wù)發(fā)生中斷后，在人工干預(yù)的情況下或者無人工干預(yù)自動恢復(fù)到安全狀態(tài)（如：安全策略、系統(tǒng)配置等）。檢測方法審查產(chǎn)品說明手冊，產(chǎn)品是否提供自動恢復(fù)功能；人為造成系統(tǒng)關(guān)鍵功能失效（包括WEB應(yīng)用安全監(jiān)測系統(tǒng)與相連的網(wǎng)絡(luò)設(shè)備之間網(wǎng)絡(luò)通信斷開；WEB應(yīng)用安全監(jiān)測系統(tǒng)電源關(guān)閉等）；驗證系統(tǒng)是否提供系統(tǒng)關(guān)鍵功能的自動恢復(fù)功能。如果無法進行自動恢復(fù)功能，驗證系統(tǒng)是否提供維護模式，通過維護模式保證系統(tǒng)返回到安全狀態(tài)。結(jié)果判定產(chǎn)品提供自動恢復(fù)功能；產(chǎn)品能夠自動恢復(fù)到未發(fā)生故障之前的狀態(tài)；產(chǎn)品提供維護模式，并通過維護模式保證系統(tǒng)返回到安全狀態(tài)。1）-3）項滿足為“符合”；其他情況為“不符合”。用戶數(shù)據(jù)保護基于安全屬性的訪問控制檢測要求產(chǎn)品安全功能應(yīng)基于安全屬性和確定的安全屬性組，對已明確的客體執(zhí)行產(chǎn)品訪問控制策略；產(chǎn)品安全功能應(yīng)執(zhí)行產(chǎn)品訪問控制策略，決定受控的主體與客體間的操作是否被允許。檢測方法驗證產(chǎn)品定義了不同的安全屬性組（如：用戶名、帳戶有效性、帳戶過期時間和口令過期時間等），并規(guī)定了對產(chǎn)品的訪問控制策略；驗證用戶對產(chǎn)品的訪問，由訪問控制策略進行約束。結(jié)果判定產(chǎn)品能夠基于安全屬性設(shè)置相應(yīng)的訪問控制策略。產(chǎn)品能夠依據(jù)訪問控制策略執(zhí)行訪問控制。1）-2）項滿足為“符合”；其他情況為“不符合”。安全保障要求評估開發(fā)安全架構(gòu)描述評估要求開發(fā)者行為元素：開發(fā)者應(yīng)設(shè)計并實現(xiàn)TOE，確保TSF的安全特性不可旁路；開發(fā)者應(yīng)設(shè)計并實現(xiàn)TSF，以防止不可信主體的破壞；開發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。內(nèi)容和形式元素：安全架構(gòu)的描述應(yīng)與在TOE設(shè)計文檔中對SFR-執(zhí)行的抽象描述的級別一致；安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域；安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的；安全架構(gòu)的描述應(yīng)證實TSF可防止被破壞；安全架構(gòu)的描述應(yīng)證實TSF可防止SFR-執(zhí)行的功能被旁路。評估方法評估者應(yīng)確認提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。結(jié)果判定開發(fā)者提供了TSF安全架構(gòu)的描述；開發(fā)者提供的TSF安全架構(gòu)的描述滿足證據(jù)的內(nèi)容和形式的所有要求。1）—2）項均滿足為“符合”，其他情況為“不符合”。安全執(zhí)行功能規(guī)范評估要求開發(fā)者行為元素：開發(fā)者應(yīng)提供一個功能規(guī)范；開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。內(nèi)容和形式元素：功能規(guī)范應(yīng)完整地描述TSF；功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法；功能規(guī)范應(yīng)識別和描述每個TSFI相關(guān)的所有參數(shù)；對于每個SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為；對于SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯誤消息；功能規(guī)范應(yīng)證實安全功能要求到TSFI的追溯。評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求；評估者應(yīng)確定功能規(guī)范是安全功能要求的一個準確且完備的實例化。結(jié)果判定開發(fā)者提供了功能規(guī)范文檔；開發(fā)者提供的功能規(guī)范文檔滿足證據(jù)的內(nèi)容和形式的所有要求；開發(fā)者提供的功能規(guī)范是安全功能要求的一個準確且完備的實例化。1）—3）項均滿足的為“符合”；其他情況為“不符合”?；A(chǔ)設(shè)計評估要求開發(fā)者行為元素：開發(fā)者應(yīng)提供TOE的設(shè)計；開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計中獲取到的最低層分解的映射。內(nèi)容和形式元素：設(shè)計應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)；設(shè)計應(yīng)標識TSF的所有子系統(tǒng)；設(shè)計應(yīng)對每一個SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進行足夠詳細的描述，以確定它不是SFR-執(zhí)行；設(shè)計應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為；設(shè)計應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用；映射關(guān)系應(yīng)證實TOE設(shè)計中描述的所有行為能夠映射到調(diào)用它的TSFI。評估方法評估者應(yīng)確認提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求；評估者應(yīng)確定設(shè)計是所有安全功能要求的正確且完備的實例。結(jié)果判定開發(fā)者提供了TOE設(shè)計文檔；開發(fā)者提供的TOE設(shè)計文檔滿足證據(jù)的內(nèi)容和形式的所有要求；開發(fā)者提供的設(shè)計是所有安全功能要求的正確且完備的實例。1）—3）項均滿足的為“符合”；其他情況為“不符合”。指導(dǎo)性文檔操作用戶指南評估要求開發(fā)者行為元素：開發(fā)者應(yīng)提供操作用戶指南。內(nèi)容和形式元素：操作用戶指南應(yīng)對每一種用戶角色進行描述，在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán)，包含適當?shù)木拘畔?；操作用戶指南?yīng)對每一種用戶角色進行描述，怎樣以安全的方式使用TOE提供的可用接口；操作用戶指南應(yīng)對每一種用戶角色進行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時應(yīng)指明安全值；操作用戶指南應(yīng)對每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實體的安全特性；操作用戶指南應(yīng)標識TOE運行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關(guān)系和聯(lián)系；操作用戶指南應(yīng)對每一種用戶角色進行描述，為了充分實現(xiàn)ST中描述的運行環(huán)境安全目的所必須執(zhí)行的安全策略；操作用戶指南應(yīng)是明確和合理的。評估方法評估者應(yīng)確認所有提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。結(jié)果判定開發(fā)者提供了操作用戶指南；開發(fā)者提供的操作用戶指南滿足證據(jù)的內(nèi)容和形式的所有要求。1）—2）項均滿足的為“符合”；其他情況為“不符合”。準備程序評估要求開發(fā)者行為元素：開發(fā)者應(yīng)提供TOE，包括它的準備程序。內(nèi)容和形式元素：準備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟；準備程序應(yīng)描述安全安裝TOE以及安全準備與ST中描述的運行環(huán)境安全目的一致的運行環(huán)境必需的所有步驟。評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求；評估者應(yīng)運用準備程序確認TOE運行能被安全的準備。結(jié)果判定開發(fā)者提供了TOE以及它的準備程序；開發(fā)者提供的準備程序滿足證據(jù)的內(nèi)容和形式的所有要求；運用準備程序能夠確認TOE運行能被安全的準備。1）—3）項均滿足的為“符合”；其他情況為“不符合”。生命周期支持CM系統(tǒng)的使用評估要求開發(fā)者行為元素：開發(fā)者應(yīng)提供TOE及其參照號；開發(fā)者應(yīng)提供CM文檔；開發(fā)者應(yīng)使用CM系統(tǒng)。內(nèi)容和形式元素：應(yīng)給TOE標注唯一參照號；CM文檔應(yīng)描述用于唯一標識配置項的方法；CM系統(tǒng)應(yīng)唯一標識所有配置項。評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。結(jié)果判定開發(fā)者提供了TOE，并為其標注唯一參照號；開發(fā)者提供了配置管理文檔，且文檔滿足證據(jù)的內(nèi)容和形式的所有要求；開發(fā)者使用了配置管理系統(tǒng)，且配置管理系統(tǒng)滿足證據(jù)的內(nèi)容和形式的所有要求。1）—3）項均滿足的為“符合”，其他情況為“不符合”。部分TOECM覆蓋評估要求開發(fā)者行為元素：開發(fā)者應(yīng)提供TOE配置項列表。內(nèi)容和形式元素：配置項列表應(yīng)包括：TOE本身、安全保障要求的評估證據(jù)和TOE的組成部分；配置項列表應(yīng)唯一標識配置項；對于每一個TSF相關(guān)的配置項，配置項列表應(yīng)簡要說明該配置項的開發(fā)者。評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。結(jié)果判定開發(fā)者提供了產(chǎn)品配置項列表；開發(fā)者提供的產(chǎn)品配置項列表滿足證據(jù)的內(nèi)容和形式的所有要求。1）—2）項均滿足的為“符合”；其他情況為“不符合”。交付程序評估要求開發(fā)者行為元素：開發(fā)者應(yīng)將把TOE或其部分交付給消費者的程序文檔化；開發(fā)者應(yīng)使用交付程序。內(nèi)容和形式元素：交付文檔應(yīng)描述，在向消費者分發(fā)TOE版本時，用以維護安全性所必需的所有程序。評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。結(jié)果判定開發(fā)者提供了交付文檔；開發(fā)者提供的交付文檔和使用交付文檔的證據(jù)滿足證據(jù)的內(nèi)容和形式的所有要求。1）—2）項均滿足的為“符合”；其他情況為“不符合”。測試覆蓋證據(jù)評估要求開發(fā)者行為元素：開發(fā)者應(yīng)提供測試覆蓋的證據(jù)。內(nèi)容和形式元素：測試覆蓋的證據(jù)應(yīng)表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對應(yīng)性。評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。結(jié)果判定開發(fā)者提供了測試覆蓋的相關(guān)證據(jù)；測試覆蓋的相關(guān)證據(jù)的內(nèi)容滿足要求。1）—2）項均滿足的為“符合”；其他情況為“不符合”。功能測試評估要求開發(fā)者行為元素：開發(fā)者應(yīng)測試TSF，并文檔化測試結(jié)果；開發(fā)者應(yīng)提供測試文檔。內(nèi)容和形式元素：測試文檔應(yīng)包括測試計劃、預(yù)期的測試結(jié)果和實際的測試結(jié)果；測試計劃應(yīng)標識要執(zhí)行的測試并描述執(zhí)行每個測試的方案，這些方案應(yīng)包括對于其他測試結(jié)果的任何順序依賴性；預(yù)期的測試結(jié)果應(yīng)指出測試成功執(zhí)行后的預(yù)期輸出；實際的測試結(jié)果應(yīng)與預(yù)期的測試結(jié)果一致。評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。結(jié)果判定開發(fā)者提供了測試文檔；開發(fā)者提供的測試文檔的內(nèi)容滿足證據(jù)的內(nèi)容和形式的所有要求。1）—2）項均滿足的為“符合”；其他情況為“不符合”。獨立測試-抽樣評估要求開發(fā)者行為元素：開發(fā)者應(yīng)提供用于測試的TOE。內(nèi)容和形式元素：TOE應(yīng)適合測試；開發(fā)者應(yīng)提供一組與開發(fā)者TSF功能測試中同等的一系列資源。評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求；評估者應(yīng)執(zhí)行測試文檔中的測試樣本，以驗證開發(fā)者的測試結(jié)果；評估者應(yīng)測試TSF的一個子集以確認TSF按照規(guī)定運行。結(jié)果判定開發(fā)者提供的產(chǎn)品適合測試；開發(fā)者為產(chǎn)品測試提供了必要的資源；通過執(zhí)行測試文檔中的測試樣本，開發(fā)者測試文檔中的測試結(jié)果正確；TSF能夠按照規(guī)定運行。1）—4）項均滿足的為“符合”；其他情況為“不符合”。脆弱性評定脆弱性分析評估要求開發(fā)者行為元素：開發(fā)者應(yīng)提供用于測試的TOE。內(nèi)容和形式元素：TOE應(yīng)適合測試。評估方法評估者應(yīng)確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求；評估者應(yīng)執(zhí)行公共領(lǐng)域的調(diào)查以標識TOE的潛在脆弱性；評估者應(yīng)基于已標識的潛在脆弱性實施穿透性測試，判定TOE能抵抗具有基本攻擊潛力的攻擊者的攻擊。結(jié)果判定開發(fā)者提供了適合測試的產(chǎn)品；通過實施的穿透性測試確TOE能夠抵抗具有基本攻擊潛力的攻擊者的攻擊。1）—2）項均滿足的為“符合”；其他情況為“不符合”?！禬EB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范》(征求意見稿)編制說明工作簡況（一）括任務(wù)來源和協(xié)作單位《WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范》是國家認證認可監(jiān)督管理委員會下達的認證認可行業(yè)規(guī)范制定項目，行標計劃號為2017RB011。本規(guī)范為自主制定標準，牽頭單位為中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心，參與規(guī)范申請單位有上海市信息安全測評認證中心等2家單位，歸口單位為國家認證認可監(jiān)督管理委員會（簡稱國家認監(jiān)委）。（二）主要工作過程1、2017年5月，成立規(guī)范編制組；2、2017年6月，通過分析國內(nèi)外WEB應(yīng)用安全監(jiān)測平臺涉及的關(guān)鍵技術(shù)及工作原理，確定安全邊界并分析其“安全環(huán)境”；3、2017年7月，結(jié)合產(chǎn)品功能和實際需求，識別WEB應(yīng)用安全監(jiān)測平臺應(yīng)用可能存在的威脅及安全假設(shè)；4、2017年8月，基于安全環(huán)境、安全威脅和應(yīng)用假設(shè)的分析結(jié)果，提煉、標識WEB應(yīng)用安全監(jiān)測平臺應(yīng)達到的技術(shù)和管理“安全目標”；5、2017年9月，根據(jù)確定的安全目標，結(jié)合現(xiàn)有技術(shù)和法律法規(guī)要求提出對WEB應(yīng)用安全監(jiān)測平臺的技術(shù)要求；6、2017年10月至2007年11月，根據(jù)當前管理和應(yīng)用需求，確定WEB應(yīng)用安全監(jiān)測平臺應(yīng)達到的信息安全功能要求和信息安全保障能力級別；7、2017年12月至2018年3月，初步形成規(guī)范草案；8、2018年4月至2018年5月，規(guī)范編制組對草案進行內(nèi)部研討；9、2018年6月，并對草案進行修改完善，形成了《WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范》的征求意見稿。標準編制原則和主要內(nèi)容WEB應(yīng)用安全監(jiān)測系統(tǒng)是部署在網(wǎng)絡(luò)里，以遠程監(jiān)控的方式，實現(xiàn)對WEB應(yīng)用的服務(wù)狀態(tài)、安全狀態(tài)進行監(jiān)測的產(chǎn)品。產(chǎn)品由平臺管理模塊和探測引擎模塊組成，采用遠程監(jiān)測技術(shù)可對WEB應(yīng)用提供實時安全監(jiān)測服務(wù)。隨著信息化建設(shè)的加速發(fā)展，網(wǎng)站服務(wù)的提供已經(jīng)被廣泛應(yīng)用于政府機關(guān)和各類企事業(yè)單位。通過對網(wǎng)站的不間斷監(jiān)測服務(wù)從而提升網(wǎng)站的安全防護能力和網(wǎng)站服務(wù)質(zhì)量，并通過安全監(jiān)測平臺的事件跟蹤功能建立起一種長效的安全保障機制。監(jiān)測平臺為應(yīng)對當前復(fù)雜的網(wǎng)絡(luò)安全形勢，進行以漏洞檢測為主的多維度監(jiān)測，一般包括安全風(fēng)險檢測（漏洞檢測），安全事件監(jiān)測（內(nèi)容篡改、網(wǎng)頁木馬、可用性等），形成實時網(wǎng)站W(wǎng)EB應(yīng)用監(jiān)測。近年來，網(wǎng)站W(wǎng)EB應(yīng)用面臨的風(fēng)險與日俱增，網(wǎng)站提供服務(wù)的同時其安全也備受關(guān)注。因此，開展WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價研究就顯得尤為迫切，制定《WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價規(guī)范》不僅可為用戶選擇WEB應(yīng)用安全監(jiān)測系統(tǒng)提供合理依據(jù)，也可為WEB應(yīng)用安全監(jiān)測系統(tǒng)的研制、生產(chǎn)、測試、評估和認證提供指導(dǎo)，對于網(wǎng)站W(wǎng)EB應(yīng)用安全監(jiān)測系統(tǒng)有序高效發(fā)展具有重要的意義。另外，目前國內(nèi)WEB應(yīng)用安全監(jiān)測系統(tǒng)的實現(xiàn)水平不一，安全性參差不齊，與國外水平也存在很大的差距，在未來的應(yīng)用中必將存在很大的安全隱患。因此，必須盡快地建立一套WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全技術(shù)評價標準，來規(guī)范WEB應(yīng)用安全監(jiān)測系統(tǒng)功能及安全性的實現(xiàn)，為WEB應(yīng)用安全監(jiān)測系統(tǒng)在未來的應(yīng)用中能夠提供更安全的服務(wù)奠定更堅實的基礎(chǔ)。本項目研究內(nèi)容包括：通過分析國內(nèi)外WEB應(yīng)用安全監(jiān)測系統(tǒng)涉及的關(guān)鍵技術(shù)及工作原理，確定安全邊界并分析其“安全環(huán)境”；結(jié)合產(chǎn)品功能和實際需求，識別WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)用可能存在的威脅及安全假設(shè)；基于安全環(huán)境、安全威脅和應(yīng)用假設(shè)的分析結(jié)果，提煉、標識WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)達到的技術(shù)和管理“安全目標”；根據(jù)確定的安全目標，結(jié)合現(xiàn)有標準和法律法規(guī)要求提出對WEB應(yīng)用安全監(jiān)測系統(tǒng)的技術(shù)要求；基于產(chǎn)品功能和安全功能技術(shù)要求，研究制定相應(yīng)的檢測方法，并建立相關(guān)評價準則；根據(jù)我國產(chǎn)業(yè)發(fā)展現(xiàn)狀，及用戶應(yīng)用和國家信息安全管理需要，確定有效實現(xiàn)WEB應(yīng)用安全監(jiān)測系統(tǒng)安全目標導(dǎo)出的安全要求，產(chǎn)品研發(fā)生產(chǎn)者信息安全保障能力應(yīng)達到的級別，明確相關(guān)要求及方法；綜合產(chǎn)品功能、安全功能、安全