信息安全技术远程主机监测产品安全技术要求-全国信息安全标准化技术

1、?信息平安技术 Web应用平安检测系统平安技术要求和测试评价方法?征求意见稿编 制 说 明工作简况任务来源2021年，经国标委批准，全国信息平安标准化技术委员会SAC/TC260主任办公会讨论通过，研究制定?信息平安技术 Web应用平安检测系统平安技术要求和测试评价方法?国家标准。该工程由全国信息平安标准化技术委员会提出，全国信息平安标准化技术委员会归口，由杭州安恒信息技术负责主办。协作单位在接到?信息平安技术 Web应用平安检测系统平安技术要求和测试评价方法?标准的任务后，杭州安恒信息技术立即与各生产Web检测系统的厂商进行沟通，并得到了多家业内知名厂商的积极参与和反应。最终确定由公安部计算

2、机信息系统平安产品质量监督检验中心、上海天泰网络技术等单位作为标准编制协作单位。主要工作过程成立编制组2021年接到标准编制任务之后，立即组建标准编制组，开始标准草案的起草工作。编制工程组主要成员：孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等等。制定工作方案 编制组首先制定了编制工作方案，并确定了编制组人员例会安排以便及时沟通交流工作情况。参考资料该标准编制过程中，主要参考了：信息系统 词汇 第8局部：平安GB 17859-1999 计算机信息系统平安保护划分准那么GB/T 18336.32021 信息技术 平安技术 信息技术平安性评估准那么 第3局部：平安保障组件GB/T 20271-200

3、6 信息平安技术 信息系统通用平安技术要求GB/T 22239-2021 信息平安技术 信息系统平安等级保护根本要求GA/T 1107-2021 信息平安技术 Web应用平安扫描产品平安技术要求内容经编制组研究决定，以原行标内容为理论根底，以Web应用平安检测为研究目标，以GB 17859-1999?计算机信息系统平安保护等级划分准那么?和GB/T 18336-2021?信息技术 平安技术 信息技术平安性评估准那么?为主要参考依据，完成?信息平安技术 Web应用平安检测系统平安技术要求和测试评价方法?标准的编制工作。工作简要过程按照工程进度要求，编制组人员首先对所参阅的产品、文档以及标准进行反

4、复阅读与理解，查阅有关资料，编写标准编制提纲，在完成对提纲进行交流和修改的根底上，开始具体的编制工作。2021年12月-2021年2月，相关人员调研该类产品的现状情况，为标准的编制积累素材；3月，在前期调研和工作积累的根底上，我司组织有关人员成立标准编制小组，对标准编制工作进行了任务分配，并完成了草案第一稿的编制，主要由“平安技术要求平安功能要求、自身平安功能要求、性能要求、“测试评价方法、“平安保障要求、“等级划分要求组成。2021年3月，编制组以意见征求会形式邀请绿盟科技、知道创宇等厂商进行现场征求意见，编制组认真分析并及时采纳了建议，形成了草案第二稿。2021年6月，WG5工作组在北京召

5、开了标准工程检查会，与会专家对本标准进行了认真审议，并提出了相关意见和建议。编制组根据专家意见进行修改完善。草案第三稿2021年5月，编制组以邮件形式征求了北京安域领创科技、北京神州绿盟信息平安科技股份等厂商的意见，编制组及时对意见进行了处理，形成了草案第四稿。2021年8月，编制组在北京以研讨会形式邀请中国平安防范产品行业协会、公安部网络平安保卫局、中国信息平安认证中心、国家信息技术平安研究中心、中国科学院信息工程研究所、国家信息中心、阿里巴巴北京软件效劳、中科信息平安共性技术国家工程研究中心、北京天融信科技股份、中软信息系统工程、中新网络信息平安股份、国际商业机器中国等单位的专家进行现场征

6、求意见，根据反应意见，修改了标准文本中有歧义的地方，形成了草案第五稿。2021年8月，通过WG5秘书处，向成员单位广泛征求意见，并根据反应意见进行了修改，主要包括增加Web应用平安检测系统结构和描述等，形成了草案第六稿。2021年8月，WG5工作组在北京召开在研标准推进会，编制组汇报了标准内容及编制进度，并根据专家意见，完善了“漏洞检测的类型，补充了漏洞定义，形成了草案第七稿。2021年9月，WG5工作组完成组内投票，编制组根据意见完善并形成征求意见稿第一稿。起草人及其工作标准编制组具体由孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等人组成。孙小平全面负责标准编制工作，包括制定工作方案、确定编制

7、内容和整体进度、人员的安排；俞优和金海俊主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作；张笑笑负责标准校对审核等工作；陆臻主要负责标准编制过程中的各项技术支持和整体指导。标准主要内容编制原那么为使标准内容从一开始就与国家标准保持一致，本标准的编写参考了其他国家有关标准，主要有GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2021和GB/T 18336-2021。本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原那么与要求如下：1先进性标准是先进经验的总结，同时也是技术的开展趋势。目前，我国Web应

8、用平安检测系统产品种类繁多，功能良莠不齐，要制定出先进的产品国家标准，必须参考国内外先进技术和标准，吸收其精华，才能制定出具有先进水平的标准。本标准的编写始终遵循这一原那么。 2实用性标准必须是可用的，才有实际意义，因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的根底上，结合我国的实际情况，广泛了解了市场上主流产品的功能，吸收其精华，制定出符合我国国情的、可操作性强的标准。 3兼容性本标准既要与国际接轨，更要与我国现有的政策、法规、标准、标准等相一致。编制组在对标准起草过程中始终遵循此原那么，其内容符合我国已经发布的有关政策、法律和法规。为贴合该类产品的技术特点，编制组以Web平安检

9、测技术和Web平安漏洞为研究内容，深入分析Web应用平安检测系统的技术特点，通过标准编制研究、验证，明确了产品的定义，提出了科学的平安功能和性能要求，对于产品功能组件的描述尽可能做到清晰、明确。标准平安功能产生的流程详见下列图：图1平安功能产生的流程图标准内容主要结构本标准的编写格式和方法按照?标准化工作导那么 第一局部：标准的结构和编写规那么?的要求。标准主要分为“范围、“标准性引用文件、“术语和定义、“缩略语、“平安技术要求和“测试评价方法共6个局部。中，关于Web应用平安检测系统的具体要求，本标准分为3大类，分别是“产品平安功能要求、 “性能要求和“平安保障要求。主要内容.1范围、标准引

10、用、术语定义和缩略语该局部定义该标准适应的范围，所引用的其它标准情况，及以何种方式引用。术语和定义明确了该标准所涉及的一些术语。“缩略语定义了该标准所涉及的缩略语。在术语中主要明确了“Web应用平安检测系统、“Web应用、“Web 效劳、“漏报率、“误报率、“URL发现以及常见Web应用漏洞的相关概念。.2 Web应用平安检测系统描述Web应用平安检测系统的目的是为帮助用户充分了解Web应用存在的平安隐患，从而改善并提升应用系统抵抗各类Web应用攻击的能力如：注入攻击、跨站脚本、文件包含、信息泄漏和网页木马等，以此建立平安可靠的Web应用效劳。Web应用平安检测系统架构如图2所示：图2 Web

11、应用平安检测系统架构图检测模块系统核心模块。扫描开始后，向扫描引擎发送指令，扫描选中对象目标，收集正确的扫描信息，同时可以把扫描引擎返回的扫描结果展示给用户。2报表管理对扫描结果进行分析处理，提供详细的检测扫描报告，对所有漏洞进行详尽描述，以及相应的修复和改良建议。3策略管理提供Web应用平安检测系统的策略库，能够按照漏洞类型、类别和危害程度等进行分类。同时，可支持漏洞策略的自定义扩展。4用户管理对系统的用户角色和权限进行分配管理。5任务设置用以创立和定制扫描任务，能够按照方案任务启动扫描，可进行扫描暂停、重新扫描和移除扫描任务等操作。6系统设置对系统进行设置，包括系统平安设置、更新管理和络链

12、接设置等。实际部署时，Web应用平安检测系统部署时仅需保持与目标Web应用系统网络上可达，图3是Web应用平安检测系统的一个典型运行环境。图3 Web应用平安检测系统典型运行环境.3 技术要求本标准将Web应用平安检测系统平安技术要求分为平安功能、平安保障和性能要求三个大类。其中，平安功能要求是对Web应用平安检测系统应具备的平安功能提出具体要求，包括扫描能力、扫描配置管理、扫描结果分析处理、标识和鉴别、平安管理和审计日志等要求；平安保障要求针对Web应用平安检测系统的开发和使用文档的内容提出具体的要求，例如交付和运行、开发、测试和指导性文档等；性能要求那么是对Web应用平安检测系统应到达的性

13、能指标作出规定，包括误报率、漏报率和URL发现率。此外，标准按照Web应用平安检测系统平安功能的强度划分平安功能要求的级别，参照2021划分平安保障要求的级别。平安等级分为根本级和增强级，平安功能强弱和平安保障要求上下是等级划分的具体依据。平安等级突出平安特性，性能要求不作为等级划分依据。平安功能要求平安功能要求主要对产品实现的功能进行了要求。主要包括扫描能力、扫描配置管理、扫描结果分析处理、互动性要求、标识与鉴别、平安管理和审计日志等功能。平安功能要求等级划分表平安功能根本级增强级扫描能力资源发现*漏洞检测*变形检测*状态检测*内容检测*升级能力*支持SSL应用*Web Service支持*

14、对目标系统的影响*扫描配置管理向导功能*扫描范围*登陆扫描*扫描策略策略选择*策略扩展*扫描速度*任务定制*稳定性和容错性*扫描结果分析处理结果验证*结果保存*统计分析*报告生成*报告输出*互动性要求*标识与鉴别用户标识属性定义*属性初始化*唯一性标识*身份鉴别用户鉴别*鉴别数据保护*鉴别失败处理*超时锁定或注销*平安管理平安管理功能*平安角色管理*数据完整性*远程平安传输*可信管理主机*审计日志审计日志生成*审计日志的保存*审计日志管理*注：“*表示具有该要求，“* 表示要求有所增强，“表示不适用。二、平安保障要求该局部对产品的开发和使用文档的内容进行了要求，包括开发、指导性文档、生命周期支

15、持、测试和脆弱性评定。表2 平安保障要求分级说明平安保障要求根本级增强级开发平安架构*功能标准*实现表示*产品设计*指导性文档操作用户指南*准备程序*生命周期支持配置管理能力*配置管理范围*交付程序*开发平安*生命周期定义*工具和技术*测试覆盖*深度*功能测试*独立测试*脆弱性评定*三、性能要求主要对产品的性能方面进行了要求，主要包括：误报率、漏报率、URL发现率。.4测试评价方法主要规定了针对技术要求的测试与评价方法。编制的背景和意义随着网络技术及其应用的快速开展，Web作为网络应用的主要载体，Web应用逐渐成为主流，广泛应用于各种业务系统中。然而传统操作系统日益成熟化，利用系统漏洞越来越困

16、难，攻击者的目标也逐渐转向于应用漏洞，于是各种各样的Web应用平安性成为了焦点。根据Gattner的数据分析，80%基于Web的应用或多或少都存在平安问题，其中很大一局部是相当严重的问题，Web应用平安已超过所有以前网络层平安，逐渐成为最严重，最广泛，危害性最大的平安问题，严重影响了人们对Web应用的信心。目前常见的攻击技术有SQL注入、钓鱼攻击等，基于Web应用的攻击可以给提供或接受Web应用效劳者造成如下伤害：泄漏客户敏感数据，例如：网银帐号， 通话记录等；篡改数据，发布虚假信息或者进行交易欺诈；使Web网站成为钓鱼攻击的平台，将攻击扩大到所有访问Web应用的用户。如：网银成为了钓鱼的场所

17、，将直接危害网银用户的帐户平安；拒绝效劳，利用应用的弱点，造成拒绝效劳，影响业务的正常运作；Web应用系统的平安性越来越引起人们的高度关注，由此市场上出现了Web应用平安检测系统。该类产品通过分析发现可被入侵者利用的Web程序漏洞，帮助应用开发者和管理者了解应用系统存在的脆弱性，为改善并提高应用系统平安性提供依据，帮助用户建立平安、可靠的Web应用效劳。产品实现的原理：通过在 request 中插入测试用例的方法实现应用攻击，并通过分析 response 判断该应用是否存在相应的漏洞。 图4 工作原理图Web应用扫描市场处于上升阶段，如何保证Web应用系统的平安性，且更符合产品实际需求及行业开

18、展，迫切需要一个更加完善的标准来标准该类产品；该标准的制定可以完善相应类别产品的标准，完善信息平安标准体系。该类产品符合GB/T 25066-2021?信息平安技术 信息平安产品类别与代码?中：平安管理与支持G风险评估 G4 平安性检测分析 G402 关于应用系统平安性检测分析的分类要求。编制的目的1首先，该标准补充了信息平安产品分类的目录，可用于该类产品的研制、开发、测试、评估和产品的选型，有利于产品的标准化、统一化管理；2其次，该类产品广泛用于风险评估，通过对产品提出要求，可提高系统评估中的漏洞评估的深度，对于提高Web应用的平安性，减少平安事件发生具有重要的意义。3最后，能为国家信息平安产品