信息安全技术Web应用安全检测系统安全技术要求和测试评价方法

GB/TXXXXX—XXXX信息安全技术Web应用安全检测系统安全技术要求和测试评价方法范围本标准规定了Web应用安全检测系统的安全技术要求、测试评价方法及等级划分要求。本标准适用于Web应用安全检测系统的开发及检测。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T18336.3-2015信息技术安全技术信息技术安全性评估准则第3部分：安全保障组件GB/T25069-2010信息安全技术术语术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1Web应用安全检测系统webapplicationsecurityscanningsystem一种扫描发现Web系统应用层安全漏洞的产品，能够依据策略对Web应用系统进行URL发现并扫描，对发现的安全漏洞提出相应的改进意见。3.2Web应用Webapplication由动态脚本、编译过的代码等组合而成的应用，通常架设在Web服务器上，用户在Web浏览器上发送请求，这些请求使用HTTP协议，经过网络和Web应用交互，由Web应用和后台的数据库及其他动态内容通信。3.3URL发现URLdetection通过访问一个URL，发现通过该URL能够链接到的其他URL的过程，能够发现的URL包括在网页中出现的完整的URL、通过各种计算得出的URL、各种跳转的URL等。3.4Web服务WebService一个基于WSDL文件的应用程序，向外界提供一个能够通过Web进行调用的API。WebService描述语言(WSDL)是一个基于XML的语言，用于描述WebService及其函数、参数和返回值。3.5SQL注入SQLinjection通过构造特定的输入字符串实现对Web应用系统后台数据库的非法操作。3.6Cookie注入cookieinjection通过构造特定的Cookie值实现对Web应用系统后台数据库的非法操作。3.7跨站攻击crosssitescripting指将恶意脚本隐藏在用户提交的数据中，实现篡改服务器正常的响应页面。3.8跨站请求伪造crosssiterequestforgery通过伪装来自受信任用户的请求来利用受信任的Web系统来完成一定的操作。3.9文件包含fileinclusion一种通过Web应用脚本特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件来达到非法操作。3.10命令执行commandexecution由于服务器端没有针对执行函数做过滤，导致客户端可以提交恶意构造语句提交来执行系统命令的非法操作。3.11LDAP注入LDAPInjection通过用户提供的输入来构造轻量级目录访问控制语句，从而攻击Web应用。3.12XPath注入XPathInjection由用户提供的输入构造XPath查询，从而攻击Web应用。3.13变形检测deformationdetection一种通过编码、请求包变化等方法，实现绕过防护过滤的机制。3.14误报率falsepositiverate产品判断错误的漏洞数量占所有发现到的同类型漏洞总数的比例。例如被产品错误判断为存在SQL注入漏洞的网页占发现的全部存在SQL注入漏洞的网页的比例。3.15漏报率falsenegativerate产品未发现的漏洞数量占扫描范围内实际同类型漏洞总数的比例。例如产品未发现的SQL注入点占扫描范围内实际注入点总数的比例。缩略语CSRF：跨站请求伪造（CrossSiteRequestForgery)HTTP：超文本传输协议（HyperTextTransferProtocol）HTTPS：安全超文本传输协议（HypertextTransferProtocoloverSecureSocketLayer）LDAP：轻量目录访问协议（LightweightDirectoryAccessProtocol）OWASP：开放式网页应用程序安全项目（OpenWebApplicationSecurityProject）SQL：结构化查询语言（StructuredQueryLanguage）SSL：安全套接层（SecureSocketsLayer）URL：统一资源定位符，也称网页地址（UniversalResourceLocator）WSDL：web服务描述语言（WebServicesDescriptionLanguage）XSS：跨站脚本（CrossSiteScripting）安全技术要求总体说明Web应用安全检测系统描述Web应用安全检测系统的目的就是帮助用户充分了解Web应用存在的安全隐患，建立安全可靠的Web应用服务，改善并提升应用系统抗各类Web应用攻击的能力（如：注入攻击、跨站脚本、文件包含和信息泄漏等）。Web应用安全检测系统架构如图1所示：图1Web应用安全检测系统架构图检测模块系统核心模块。扫描开始后，向扫描引擎发送指令，扫描选中对象目标，收集正确的扫描信息，同时可以把扫描引擎返回的扫描结果展示给用户。2）报表管理对扫描结果进行分析处理，提供详细的检测扫描报告，对所有漏洞进行详尽描述，以及相应的修复和改进建议。3）策略管理提供Web应用安全检测系统的策略库，能够按照漏洞类型、类别和危害程度等进行分类。同时，可支持漏洞策略的自定义扩展。4）用户管理对系统的用户角色和权限进行分配管理。5）任务设置用以创建和定制扫描任务，能够按照计划任务启动扫描，可进行扫描暂停、重新扫描和移除扫描任务等操作。6）系统设置对系统进行设置，包括系统安全设置、更新管理和络链接设置等。要求分类本标准将Web应用安全检测系统安全技术要求分为安全功能、安全保障和性能要求三个大类。其中，安全功能要求是对Web应用安全检测系统应具备的安全功能提出具体要求，主要包括扫描能力、扫描配置管理和扫描结果分析处理等；安全保障要求针对Web应用安全检测系统的开发过程和文档内容提出具体的要求，例如开发、指导性文档、生命周期支持和测试等；性能要求则是对Web应用安全检测系统应达到的性能指标作出规定，包括误报率、漏报率和URL发现率。安全等级本标准按照Web应用安全检测系统安全功能的强度划分安全功能要求的级别，参照GB/T

18336.3-2015划分安全保障要求的级别。安全等级分为基本级和增强级，如表1、表2所示。安全功能强弱和安全保障要求高低是等级划分的具体依据。安全等级突出安全特性，性能要求不作为等级划分依据。与基本级内容相比，增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”表示。安全功能要求等级划分表安全功能基本级增强级扫描能力资源发现***漏洞检测***变形检测——*状态监测——**内容检测——*升级能力***支持SSL应用**WebService支持——*对目标系统的影响**扫描配置管理向导功能**扫描范围***登录扫描**扫描策略策略选择***策略扩展——*扫描速度***任务定制***稳定性和容错性***结果分析处理结果验证***结果保存**统计分析**报告生成***报告输出**互动性要求——*标识与鉴别用户标识属性定义**属性初始化**唯一性标识**身份鉴别用户鉴别**鉴别数据保护**表1（续）安全功能基本级增强级标识与鉴别身份鉴别鉴别失败处理——*超时锁定或注销——*安全管理安全管理功能**安全角色管理***远程安全传输**可信管理主机——*审计日志审计日志生成***审计日志保存**审计日志管理**注：“*”表示具有该要求，“**”表示要求有所增强，“——”表示不适用。安全保障要求等级划分表安全保障要求基本级增强级开发安全架构**功能规范***实现表示——*产品设计***指导性文档操作用户指南**准备程序**生命周期支持配置管理能力***配置管理范围***交付程序**开发安全——*生命周期定义——*工具和技术——*测试测试覆盖***测试深度——*功能测试**独立测试**脆弱性评定***基本级安全要求安全功能要求扫描能力资源发现产品应能够发现Web应用中的以下各种URL，并以树型结构呈现。解析和执行JavaScript等脚本而获得的URL；页面文件包括的URL；Flash中内嵌的URL。漏洞检测产品应能够检测出Web应用漏洞，包括但不限于以下内容：SQL注入漏洞，支持基于GET、POST方式提交的应包括字符、数字和搜索等的注入漏洞；Cookie注入漏洞，支持基于Cookie方式提交的应包括字符、数字和搜索等的注入漏洞；XSS漏洞，支持基于GET、POST方式的跨站攻击漏洞；CSRF漏洞；目录遍历漏洞；信息泄漏漏洞，支持路径泄漏、文件备份、源代码泄漏、目录浏览和phpinfo等信息泄漏；认证方式脆弱，包括但不限于常见的帐号、弱口令等；文件包含漏洞，支持远程、本地方式的文件包含漏洞。升级能力产品应支持漏洞特征库的更新能力。支持SSL应用产品应能对基于HTTPS协议的Web应用系统进行扫描。对目标系统的影响产品在扫描过程中应避免影响目标Web应用系统的正常工作，不对其产生较大的性能影响。扫描配置管理向导功能产品应提供向导功能，方便用户进行配置。扫描范围产品应能够按照下列条件配置扫描的范围：指定域名和URL；扫描的深度；不扫描的URL，例如登出、删除等相关页面。登录扫描产品应能够基于用户的登录信息对Web应用进行扫描。如基于录制信息、Cookie、Session和Token等一种或多种方式授权登录并进行扫描。策略选择产品应能够按照下列方式来选择扫描策略：漏洞类型、类别；漏洞危害程度。扫描速度产品应能够采用配置HTTP请求速度、扫描线程或进程数目等方式调节扫描速度。任务定制产品应能按照计划任务实现批量启动扫描，并根据设置自动生成相应的报告。稳定性和容错性产品应能够稳定的运行：主界面不应失去响应或非正常退出；扫描进度不应停滞不前；扫描任务应可随时停止；应支持断点续扫。扫描结果分析处理结果验证产品应具备Web应用漏洞验证的功能，提供参数验证XSS漏洞、SQL注入点、目录遍历、信息泄漏和命令执行等安全漏洞。结果保存扫描结果应非明文存储于掉电非易失性介质中。统计分析产品应能对扫描获取的原始数据进行整理，并对结果进行统计分析。报告生成产品应能对扫描结果进行分析并形成报告，报告可分为下列类别:对扫描信息的结果生成相应报告，漏洞信息应包括URL、漏洞名称、漏洞描述等详细信息；产品应对漏洞提出相应的安全性建议。报告输出产品的扫描报告应能按下列要求输出：导出为常用文档格式（支持Html、Doc、Pdf其中的一种或几种）；通过文字、图表等形式将统计结果展现。标识与鉴别用户标识属性定义产品应为每个管理角色规定与之相关的安全属性，例如管理角色标识、鉴别信息、隶属组、权限等。属性初始化产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。唯一性标识产品应为用户提供唯一标识。同时将用户的身份标识与该用户的所有可审计能力相关联。身份鉴别用户鉴别产品应在执行任何与管理员相关功能之前鉴别用户的身份。鉴别数据保护产品应保证鉴别数据不被未授权查阅或修改。安全管理安全功能管理应允许授权管理员对产品进行以下管理：查看安全属性；修改安全属性；启动、关闭全部或部分安全功能；制定和修改各种安全策略。安全角色管理产品应具有至少两种不同权限的管理员角色，例如操作员、安全员、审计员等。远程安全传输若产品组件间通过网络进行通讯，应采取措施保障传输数据的安全性。审计日志审计日志生成应对与自身安全相关的以下事件生成审计日志：管理员的登录成功和失败；对安全策略进行配置的操作；对安全角色进行增加、删除和属性修改的操作。产品应在每一个审计日志记录中记录事件发生的日期、时间、用户标识、事件描述和结果。若采用远程登录方式对产品进行管理还应记录管理主机的地址。审计日志保存审计日志应能存储于永久性存储介质中。审计日志管理应提供下列审计日志管理功能：只允许授权管理员访问审计日志；提供针对操作用户、日期时间和操作类型等条件的查询和检索功能；授权管理员应能存档和导出审计日志。安全保障要求开发安全架构开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：与产品设计文档中对安全功能实施抽象描述的级别一致；描述与安全功能要求一致的产品安全功能的安全域；描述产品安全功能初始化过程为何是安全的；证实产品安全功能能够防止被破坏；证实产品安全功能能够防止安全特性被旁路。功能规范开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：完全描述产品的安全功能；描述所有安全功能接口的目的与使用方法；标识和描述每个安全功能接口相关的所有参数；描述安全功能接口相关的安全功能实施行为；描述由安全功能实施行为处理而引起的直接错误消息；证实安全功能要求到安全功能接口的追溯。产品设计开发者应提供产品设计文档，产品设计文档应满足以下要求：根据子系统描述产品结构；标识和描述产品安全功能的所有子系统；描述安全功能所有子系统间的相互作用；提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。指导性文档操作用户指南开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；描述如何以安全的方式使用产品提供的可用接口；描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系；充分实现安全目的所必须执行的安全策略。准备程序开发者应提供产品及其准备程序，准备程序描述应满足以下要求：描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；描述安全安装产品及其运行环境必需的所有步骤。生命周期支持配置管理能力开发者的配置管理能力应满足以下要求：为产品的不同版本提供唯一的标识；使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法。配置管理范围开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表至少包含产品、安全保障要求的评估证据和产品的组成部分。交付程序开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。测试测试覆盖开发者应提供测试覆盖文档，测试覆盖描述应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性。功能测试开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容：测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其它测试结果的任何顺序依赖性；预期的测试结果，表明测试成功后的预期输出；实际测试结果和预期的测试结果一致。独立测试开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。脆弱性评定基于已标识的潜在脆弱性，产品能够抵抗具有基本攻击潜力攻击者的攻击。增强级安全要求安全功能要求扫描能力资源发现产品应能够发现Web应用中的以下各种URL，并以树型结构呈现。a)解析和执行JavaScript等脚本而获得的URL；b)页面文件包括的URL；c)Flash、Flex中内嵌的URL。漏洞检测产品应能够检测出Web应用漏洞，包括但不限于以下内容：SQL注入漏洞，支持基于GET、POST方式提交的应包括字符、数字和搜索等的注入漏洞；Cookie注入漏洞，支持基于Cookie方式提交的应包括字符、数字和搜索等的注入漏洞；XSS漏洞，支持基于GET、POST、Referrer和Cookie方式的跨站攻击漏洞；CSRF漏洞；目录遍历漏洞；信息泄漏漏洞，支持路径泄漏、文件备份、源代码泄漏、目录浏览和phpinfo等信息泄漏；认证方式脆弱，包括但不限于各种登录绕过、常见的帐号、弱口令等。文件包含漏洞，支持远程、本地方式的文件包含漏洞；命令执行漏洞；j) 第三方组件的漏洞，如Struts2、FCKeditor编辑器等；l) LDAP注入漏洞；m) XPath注入漏洞。变形检测产品应支持漏洞的变形检测，以此绕过简单的防护过滤检测机制。支持包括大小写随机转换、多种绕过空格限制、空格替换和URL编码等机制。状态监测检测目标系统的访问状态，包括但不限于对以下非正常状态进行检测并评估风险：不可访问；访问延迟；域名跳转变化；域名解析IP变化；被搜索引擎标记为危险的站点。内容检测检测目标系统请求返回的内容，对以下非正常的返回内容进行检测并评估风险：判别内容变更；识别敏感关键字。升级能力产品应提供以下升级能力：支持漏洞特征库的更新；至少采取一种安全机制，保证升级的时效性，例如自动升级，更新通知等手段。支持SSL应用产品应能对基于HTTPS协议的Web应用系统进行扫描。WebService支持产品应能基于WSDL文件，对WebService进行扫描。对目标系统的影响产品在扫描过程中应避免影响目标Web应用系统的正常工作，不对其产生较大的性能影响。扫描配置管理向导功能产品应提供向导功能，方便用户进行配置。扫描范围产品应能够按照下列条件配置扫描的范围：指定域名和URL；扫描的深度；不扫描的URL，例如登出、删除等相关页面；路径模式排重；路径模式大小写区分。登录扫描产品应能够基于用户的登录信息对Web应用进行扫描。如基于录制信息、Cookie、Session和Token等一种或多种方式授权登录并进行扫描。扫描策略策略选择产品应能够按照下列方式来选择扫描策略：漏洞类型、类别；漏洞危害程度；Web系统指纹信息。策略扩展产品应能够提供第三方插件设计，根据需要可自行编写漏洞策略，以完善扫描策略。扫描速度产品应提供合理的扫描速度：配置HTTP请求速度、扫描线程或进程数目等方式进行调节；支持分布式部署扫描引擎方式；支持多引擎负载均衡，提高整体的扫描速度。任务定制产品应能按照计划任务实现批量、定时和周期性启动扫描，并根据设置自动生成相应的报告。稳定性和容错性产品应能够稳定的运行：主界面不应失去响应或非正常退出；扫描进度不应停滞不前；扫描任务应可随时停止；应支持断点续扫；在扫描未结束的情况下，可以将已经扫描的部分展示并导出报告。扫描结果分析处理结果验证产品应具备Web应用漏洞验证的功能，提供下列验证能力：提供参数验证XSS漏洞、SQL注入点、目录遍历、信息泄漏和命令执行等安全漏洞；通过SQL注入点获取后台数据库的相关信息。提供辅助工具验证漏洞。结果保存扫描结果应非明文存储于掉电非易失性介质中。统计分析产品应能对扫描获取的原始数据进行整理，并对结果进行统计分析。报告生成产品应能对扫描结果进行分析并形成报告，报告可分为下列类别:对扫描信息的结果生成相应报告，漏洞信息应包括URL、漏洞名称、漏洞描述等详细信息；产品应对漏洞提出相应的安全性建议；支持导出行业合规报告，包括但不限于OWASPTOP10等；支持编辑和自定义设计报告，添加自定义注释或详细信息，为技术人员修复安全缺陷提供帮助；支持批量导出报告；支持根据横向、纵向比较的趋势分析报告。报告输出产品的扫描报告应能按下列要求输出：导出为常用文档格式（支持Html、Doc、Pdf其中的一种或几种）；通过文字、图表等形式将统计结果展现。互动性要求产品应提供或采用一个标准的、开放的接口。遵照该接口规范，可为其它类型安全产品编写相应的程序模块，达到与产品进行互动的目的。标识与鉴别用户标识属性定义产品应为每个管理角色规定与之相关的安全属性，例如管理角色标识、鉴别信息、隶属组、权限等。属性初始化产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。唯一性标识产品应为用户提供唯一标识。同时将用户的身份标识与该用户的所有可审计能力相关联。身份鉴别用户鉴别产品应在执行任何与管理员相关功能之前鉴别用户的身份。鉴别数据保护产品应保证鉴别数据不被未授权查阅或修改。鉴别失败处理当对用户鉴别失败的次数达到指定次数后，产品应能终止用户的访问。超时锁定或注销应具有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下，终止会话，需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。安全管理安全功能管理产品应允许授权管理员进行以下管理：查看安全属性；修改安全属性；启动、关闭全部或部分安全功能；制定和修改各种安全策略。安全角色管理产品应能对管理员角色进行区分：具有至少两种不同权限的管理员角色，例如操作员、审计员等；应根据不同的功能模块，自定义各种不同权限角色，并可对管理员分配角色。远程安全传输若产品组件间通过网络进行通讯，应采取措施保障传输数据的安全性。可信管理主机若控制台提供远程管理功能，应能对可远程管理的主机地址进行限制。审计日志审计日志生成应对与自身安全相关的以下事件生成审计日志：管理员的登录成功和失败；对安全策略进行配置的操作；对安全角色进行增加、删除和属性修改的操作；对扫描结果的备份和删除。产品应在每一个审计日志记录中记录事件发生的日期、时间、用户标识、事件描述和结果。若采用远程登录方式对产品进行管理还应记录管理主机的地址。审计日志保存审计日志应能存储于永久性存储介质中。审计日志管理应提供下列审计日志管理功能：只允许授权管理员访问审计日志；提供针对操作用户、日期时间和操作类型等条件的查询和检索功能；授权管理员应能存档和导出审计日志。安全保障要求开发安全架构开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：与产品设计文档中对安全功能实施抽象描述的级别一致；描述与安全功能要求一致的产品安全功能的安全域；描述产品安全功能初始化过程为何是安全的；证实产品安全功能能够防止被破坏；证实产品安全功能能够防止安全特性被旁路。功能规范开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：完全描述产品的安全功能；描述所有安全功能接口的目的与使用方法；标识和描述每个安全功能接口相关的所有参数；描述安全功能接口相关的安全功能实施行为；描述由安全功能实施行为处理而引起的直接错误消息；证实安全功能要求到安全功能接口的追溯；描述安全功能实施过程中，与安全功能接口相关的所有行为；描述可能由安全功能接口的调用而引起的所有直接错误消息。实现表示开发者应提供全部安全功能的实现表示，实现表示应满足以下要求：提供产品设计描述与实现表示实例之间的映射，并证明其一致性；按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；以开发人员使用的形式提供。产品设计开发者应提供产品设计文档，产品设计文档应满足以下要求：根据子系统描述产品结构；标识和描述产品安全功能的所有子系统；描述安全功能所有子系统间的相互作用；提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；根据模块描述安全功能；提供安全功能子系统到模块间的映射关系；描述所有安全功能实现模块，包括其目的及与其它模块间的相互作用；描述所有实现模块的安全功能要求相关接口、其它接口的返回值、与其它模块间的相互作用及调用的接口；描述所有安全功能的支撑或相关模块，包括其目的及与其它模块间的相互作用。指导性文档操作用户指南开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；描述如何以安全的方式使用产品提供的可用接口；描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系；充分实现安全目的所必须执行的安全策略。准备程序开发者应提供产品及其准备程序，准备程序描述应满足以下要求：描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；描述安全安装产品及其运行环境必需的所有步骤。生命周期支持配置管理能力开发者的配置管理能力应满足以下要求：为产品的不同版本提供唯一的标识；使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项；提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进行已授权的改变；配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。实施的配置管理与配置管理计划相一致；配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。配置管理范围开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：产品、安全保障要求的评估证据和产品的组成部分；实现表示、安全缺陷报告及其解决状态。交付程序开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。开发安全开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。生命周期定义开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文档描述用于开发和维护产品的模型。工具和技术开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。测试测试覆盖开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求：表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性；表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。测试深度开发者应提供测试深度的分析。测试深度分析描述应满足以下要求：证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性；证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。功能测试开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容：测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其它测试结果的任何顺序依赖性；预期的测试结果，表明测试成功后的预期输出；实际测试结果和预期的测试结果一致。独立测试开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试。脆弱性评定基于已标识的潜在脆弱性，产品能够抵抗具有增强型基本攻击潜力的攻击者的攻击。性能要求误报率在已知漏洞的Web应用环境下，对产品的误报情况进行测试。产品判断错误的漏洞数量占所有发现到的同类型漏洞总数的比例须低于20%。漏报率在已知漏洞的Web应用环境下，对产品的漏报情况进行测试。产品未发现的漏洞数量占扫描范围内实际同类型漏洞总数的比例须低于20%。URL发现率在已知URL的Web应用环境下,对产品在扫描过程中发现的URL数目进行测试，URL发现比例应大于90%。测试评价方法测试环境Web应用安全检测系统安全功能及性能测试环境可参见图2所示。需按照.1、.2、.1和.2的要求部署漏洞测试环境。漏洞环境部署参考示例：针对网络爬虫设置了Web2.0、flash的解析障碍，提供用户登陆模块来测试检测系统是否支持cookie录制，漏洞包含SQL错误注入、跨站脚本、CSRF、目录遍历、代码注入、命令注入、SQL盲注、Cookie注入、表单绕过、弱口令、第三方软件、信息泄漏、Xpath注入、目录浏览、脚本木马、敏感文件等。针对每种漏洞提供漏洞URL和参数以便统计误报率和漏报率。图2安全功能与性能测试环境图基本级安全要求测试安全功能测试扫描能力资源发现资源发现的测试方法与预期结果如下：测试方法：配置产品扫描Javascript脚本的页面地址，查看扫描结果；配置产品扫描包括页面文件的URL地址，查看扫描结果；配置产品扫描内嵌URL的Flash地址，查看扫描结果。预期结果：产品能够解析和执行Javascript脚本，获取相应URL并以树型结构呈现；产品能够获取页面文件内包括的URL并以树型结构呈现；产品能够获取Flash中内嵌的URL并以树型结构呈现。漏洞检测漏洞检测的测试方法与预期结果如下：测试方法：配置产品扫描策略，执行对Web应用漏洞平台（部署SQL注入、cookie注入、XSS、CSRF、目录遍历、信息泄露、认证方式脆弱性和文件包含等漏洞）的扫描任务；查看扫描结果。预期结果：产品能够发现基于Get、Post方式提交的字符、数字、搜索等的SQL注入漏洞；产品能够发现基于Cookie方式提交的字符、数字、搜索等的Cookie注入漏洞；产品能够发现基于Get、Post方式的XSS漏洞；产品能够发现基于CSRF漏洞；产品能够发现目录遍历漏洞；产品能够发现路径泄漏、文件备份、源代码泄漏、目录浏览和phpinfo等信息泄露；产品能够发现常见的帐号、弱口令等认证方式脆弱漏洞；产品能够发现文件包含漏洞。升级能力升级能力的测试方法与预期结果如下：测试方法：检查产品是否具备漏洞特征库的更新能力；预期结果：产品支持漏洞特征库的更新功能。支持SSL应用支持SSL应用的测试方法与预期结果如下：测试方法：配置产品扫描基于HTTPS协议的Web应用系统；查看扫描结果。预期结果：产品支持扫描基于HTTPS协议的Web应用系统。对目标系统的影响对目标系统的影响的测试方法与预期结果如下：测试方法：配置产品对Web应用系统进行扫描；检查产品在扫描过程中，是否对Web应用系统和正常访问造成明显的性能影响。预期结果：产品在扫描过程中未对Web应用系统和正常访问造成明显的性能影响。扫描配置管理向导功能向导功能的测试方法与预期结果如下：测试方法：检查产品在配置过程中是否提供了向导功能。预期结果：产品在配置过程中提供了向导功能。扫描范围扫描范围的测试方法与预期结果如下：测试方法：配置扫描策略，分别制定扫描的URL范围，包括指定域名和URL，查看扫描结果；配置扫描的深度，查看扫描结果；配置不扫描的URL（例如登出、删除等页面），查看扫描结果。预期结果：产品能够根据指定域名和URL进行扫描，且扫描结果未超出定义的范围；产品能够配置扫描的深度，且扫描结果未超出定义的深度范围；产品能够配置不扫描的URL，且扫描结果未包括设定的URL地址。登录扫描登录扫描的测试方法与预期结果如下：测试方法：配置登录扫描的策略，查看扫描结果。预期结果：产品支持基于用户的登录信息（如基于Cookie、Session、Token、录制的登录信息等一种或多种方式）对Web应用进行扫描，并扫描结果包括登录后的页面。策略选择策略选择的测试方法与预期结果如下：测试方法：根据漏洞类型、类别配置产品的扫描策略，查看扫描结果；根据漏洞危害程度配置产品的扫描策略，查看扫描结果。预期结果：产品能够根据漏洞类型对Web应用系统进行扫描，且扫描结果未超出定义的范围；产品能够根据漏洞危害程度对Web应用系统进行扫描，且扫描结果未超出定义的范围。扫描速度扫描速度的测试方法与预期结果如下：测试方法：检查产品是否能够根据HTTP请求速度、扫描线程或进程数目等调节扫描速度。预期结果：产品能够根据HTTP请求速度、扫描线程或进程数目等调节扫描速度。任务定制任务定制的测试方法与预期结果如下：测试方法：配置产品的批量扫描计划任务，查看扫描结果。预期结果：产品能够根据计划进行批量扫描，且能够自动生成扫描结果。稳定性和容错性稳定性和容错性的测试方法与预期结果如下：测试方法：在扫描过程中，检查产品是否出现失去响应或非正常退出的现象；在扫描过程中，检查产品是否出现扫描进度停滞不前的现象；在扫描过程中，检查是否能够随时停止正在执行的扫描任务；在扫描过程中，检查产品是否支持断点续扫功能。预期结果：产品未出现失去响应或非正常退出的现象；产品未出现扫描进度停滞不前的现象；产品在扫描过程中能够随时停止扫描任务；产品能够支持断点续扫功能。扫描结果分析处理结果验证结果验证的测试方法与预期结果如下：测试方法：根据漏洞扫描结果，检查产品是否提供了参数验证XSS漏洞、SQL注入点、目录遍历、信息泄漏和命令执行等安全漏洞。预期结果：产品提供了漏洞的验证参数，能够支持验证XSS漏洞、SQL注入点、目录遍历、信息泄漏和命令执行等安全漏洞。结果保存结果保存的测试方法与预期结果如下：测试方法：检查产品的扫描结果是否非明文存储于掉电非易失性存储介质中。预期结果：产品的扫描结果非明文保存（如加密或存储于数据库）于掉电非易失性存储介质（如硬盘）中。统计分析统计分析的测试方法与预期结果如下：测试方法：检查产品是否能够对扫描获取的原始数据进行整理并进行统计分析。预期结果：产品能够对扫描获取的原始数据进行整理、统计和分析。报告生成报告生成的测试方法与预期结果如下：测试方法：生成并查看扫描报告，扫描报告中的漏洞信息是否包括URL、漏洞名称、漏洞描述等详细信息；扫描报告是否包括了漏洞的安全性建议。预期结果：产品扫描报告中的漏洞信息包括了URL、漏洞名称、漏洞描述等准确信息；产品扫描报告中包括了漏洞的安全性建议（漏洞的修复建议）。报告输出报告输出的测试方法与预期结果如下：测试方法：查看扫描报告的导出格式；查看扫描报告的内容，是否包括文字、图表等形式的统计结果。预期结果：产品的扫描报告支持常用文档格式（如Doc、Excel或Pdf等）；产品的扫描报告包括文字、图表等形式的统计结果。标识与鉴别用户标识属性定义属性定义的测试方法与预期结果如下：测试方法：检查产品是否能够创建用户，并为其赋予标识、鉴别信息、隶属组、权限等安全属性。预期结果：产品能够为创建的用户配置标识、鉴别信息、隶属组、权限等安全属性。属性初始化属性初始化的测试方法与预期结果如下：测试方法：检查产品是否能够对创建的每个用户的属性进行初始化。预期结果：产品为创建的每个用户的属性提供初始化的能力。唯一性标识唯一性标识的测试方法与预期结果如下：测试方法：检查产品是否不允许命名同一标识的用户，且在日志中将关于该用户的事件与标识相关联。预期结果：产品不允许创建同名用户，且将关于该用户的事件与标识相关联。身份鉴别用户鉴别用户鉴别的测试方法与预期结果如下：测试方法：通过所有管理接口尝试登录产品，是否均需进行身份鉴别；检查是否只有通过身份鉴别后，才能访问授权的安全功能模块；当正常或非正常（强行断电）退出后，重新尝试登录产品，是否需进行身份鉴别。预期结果：只有通过身份鉴别后才能访问授权的安全功能模块，且无论正常或非正常退出后，重新登录产品均需进行身份鉴别。鉴别数据保护鉴别数据保护的测试方法与预期结果如下：测试方法：检查非授权用户是否能够查阅、修改鉴别数据。预期结果：产品的非授权用户不能查阅、修改鉴别数据。安全管理安全功能管理安全功能管理的测试方法与预期结果如下：测试方法：以授权管理员身份登录产品，分别进行查看和修改各种安全属性、启动和关闭安全功能、制定和修改各种安全策略等操作，并检查设置是否生效。预期结果：产品的授权管理员能够进行查看和修改各种安全属性、启动和关闭安全功能、制定和修改各种安全策略等操作，且设置生效。安全角色管理安全角色管理的测试方法与预期结果如下：测试方法：产品至少提供两类管理员角色，分别以不同角色身份登录，检查权限是否不同；预期结果：产品具备两种以上管理员角色，且权限各不相同。远程安全传输远程安全传输的测试方法与预期结果如下：测试方法：若产品组件间通过网络进行通讯，使用协议分析仪截取数据并检查内容是否为非明文。预期结果：若产品组件间不通过网络传输数据，则此项为非检测项；若产品组件间通过网络进行通讯，传输数据为非明文。审计日志审计日志生成审计日志生成的测试方法与预期结果如下：测试方法：尝试进行.1要求的各项操作，触发审计事件；查看审计日志是否包括事件发生的日期、时间、用户标识、事件描述和结果；若产品支持远程管理，查看审计日志是否记录管理主机的IP地址。预期结果：产品能够针对上述事件生成审计日志，日志内容包括事件发生的日期、时间、用户标识、事件描述和结果；同时产品支持远程管理时，审计日志能够记录管理主机的IP地址。审计日志保存审计日志保存的测试方法与预期结果如下：测试方法：通过断电重启产品或日志存储设备等手段，检查是否会造成审计日志的丢失。预期结果：断电重启后，产品的审计日志不应丢失。审计日志管理审计日志的管理的测试方法与预期结果如下：测试方法：分别以授权管理员身份和未授权用户身份查看审计日志，检查产品是否仅允许授权管理员访问审计日志；检查产品是否能够对审计日志按操作用户、日期时间和操作类型等条件进行查询和检索；检查产品是否能够存档和导出审计日志。预期结果：产品仅允许授权管理员访问审计记录，未授权用户无法查看审计日志；产品应能够按条件查询和检索审计日志，且查询结果准确完整；产品应能够存档和导出审计日志。安全保障要求测试开发安全架构安全架构的测试方法与预期结果如下：测试方法：审查安全架构文档是否准确描述如下内容：与产品设计文档中对安全功能实施抽象描述的级别一致；描述与安全功能要求一致的产品安全功能的安全域；描述产品安全功能初始化过程为何是安全的；证实产品安全功能能够防止被破坏；证实产品安全功能能够防止安全特性被旁路。预期结果：开发者提供的文档内容应满足上述要求。功能规范功能规范的测试方法与预期结果如下：测试方法：审查功能规范文档是否准确描述如下内容：完全描述产品的安全功能；描述所有安全功能接口的目的与使用方法；标识和描述每个安全功能接口相关的所有参数；描述安全功能接口相关的安全功能实施行为；描述由安全功能实施行为处理而引起的直接错误消息；证实安全功能要求到安全功能接口的追溯。预期结果：开发者提供的文档内容应满足上述要求。产品设计产品设计的测试方法与预期结果如下：测试方法：审查产品设计文档是否准确描述如下内容：根据子系统描述产品结构；标识和描述产品安全功能的所有子系统；描述安全功能所有子系统间的相互作用；提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口。预期结果：开发者提供的文档内容应满足上述要求。指导性文档操作用户指南操作用户指南的测试方法与预期结果如下：测试方法：审查操作用户指南是否准确描述如下内容：描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；描述如何以安全的方式使用产品提供的可用接口；描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系；充分实现安全目的所必须执行的安全策略。预期结果：开发者提供的文档内容应满足上述要求。准备程序准备程序的测试方法与预期结果如下：测试方法：审查准备程序文档是否准确描述如下内容：描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；描述安全安装产品及其运行环境必需的所有步骤。预期结果：开发者提供的文档内容应满足上述要求。生命周期支持配置管理能力配置管理能力的测试方法与预期结果如下：测试方法：审查开发者是否为不同版本的产品提供唯一的标识；现场检查配置管理系统是否对所有的配置项作出唯一的标识，且配置管理系统是否对配置项进行了维护；审查开发者提供的配置管理文档，是否描述了对配置项进行唯一标识的方法。预期结果：开发者提供的文档和现场活动证据内容应满足上述要求。配置管理范围配置管理范围的测试方法与预期结果如下：测试方法：审查开发者提供的配置项列表；配置项列表是否描述了组成产品的全部配置项及相应的开发者。预期结果：开发者提供的文档和现场活动证据内容应满足上述要求。交付程序交付程序的测试方法与预期结果如下：测试方法：现场检查开发者是否使用一定的交付程序交付产品；审查开发者是否使用文档描述交付过程，文档中是否包含以下内容：在给用户方交付系统的各版本时，为维护安全所必需的所有程序。预期结果：开发者提供的文档和现场活动证据内容应满足上述要求。测试测试覆盖测试覆盖证的测试方法与预期结果如下：测试方法：审查开发者提供的测试覆盖文档，在测试覆盖证据中，是否表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对应的。预期结果：开发者提供的文档内容应满足上述要求。功能测试功能测试的测试方法与预期结果如下：测试方法：审查开发者提供的测试文档，是否包括测试计划、预期的测试结果和实际测试结果；审查测试计划是否标识了要测试的安全功能，是否描述了每个安全功能的测试方案（包括对其它测试结果的顺序依赖性）；审查期望的测试结果是否表明测试成功后的预期输出；审查实际测试结果是否表明每个被测试的安全功能能按照规定进行运作。预期结果：开发者提供的文档内容应满足上述要求。独立测试独立测试的测试方法与预期结果如下：测试方法：评价者应审查开发者提供的测试资源；评价者应审查开发者提供的测试集合是否与其自测系统功能时使用的测试集合相一致。预期结果：开发者提供的资源应满足上述要求。脆弱性评定脆弱性评定的测试方法与预期结果如下：测试方法：从用户可能破坏安全策略的明显途径出发，按照安全机制定义的安全强度级别，对产品进行脆弱性分析。预期结果：渗透性测试结果应表明产品能够抵抗具有基本攻击潜力攻击者的攻击。增强级安全要求测试安全功能测试扫描能力资源发现资源发现的测试方法与预期结果如下：测试方法：配置产品扫描Javascript脚本的页面地址，查看扫描结果；配置产品扫描包括页面文件的URL地址，查看扫描结果；配置产品扫描内嵌URL的Flash、Fexl地址，查看扫描结果。预期结果：产品能够解析Javascript脚本，获取相应URL并以树型结构呈现；产品能够执行Javascript脚本，获取相应URL并以树型结构呈现；产品能够获取页面文件内包括的URL并以树型结构呈现；产品能够获取Flash、Fexl中内嵌的URL并以树型结构呈现。漏洞检测漏洞检测的测试方法与预期结果如下：测试方法：配置产品扫描策略，执行对Web应用漏洞平台（部署SQL注入、Cookie注入、XSS、CSRF、目录遍历、信息泄露、认证方式脆弱性、文件包含、命令执行、第三方组件、LDAP注入和XPath等漏洞）的扫描任务；查看扫描结果。预期结果：产品能够发现基于Get、Post方式提交的字符、数字、搜索等的SQL注入漏洞；产品能够发现基于Cookie方式提交的字符、数字、搜索等的Cookie注入漏洞产品能够发现基于Get、Post、Referrer、Cookie方式的XSS漏洞；产品能够发现基于CSRF漏洞；产品能够发现目录遍历漏洞；产品能够发现路径泄漏、文件备份、源代码泄漏、目录浏览和phpinfo等信息泄露；产品能够发现登录绕过、常见的帐号、弱口令等认证方式脆弱漏洞；产品能够发现文件包含漏洞；产品能够发现命令执行漏洞；产品能够发现第三方组件漏洞；产品能够发现LDAP注入漏洞；产品能够发现XPath注入漏洞。变形检测变形检测的测试方法与预期结果如下：测试方法：配置产品的变形检测配置选项，执行扫描任务；查看产品的扫描参数。预期结果：产品支持漏洞的变形检测（支持包括大小写随机转换、多种绕过空格限制、空格替换和URL编码等）。状态监测状态监测的测试方法与预期结果如下：测试方法：配置产品的监测策略，查看产品是否能够对Web系统的非正常状态（包括不可访问、访问延迟、域名跳转变化、域名解析IP变化和被搜索引擎标记为危险等）进行监测并评估风险。预期结果：产品能够对Web系统的非正常状态进行监测并评估风险。内容监测内容监测的测试方法与预期结果如下：测试方法：配置产品的监测策略，查看产品是否能够对Web系统的非正常返回内容（包括内容变更、敏感关键字等）进行监测并评估风险。预期结果：产品能够对Web系统的非正常返回内容进行监测并评估风险。升级能力升级能力的测试方法与预期结果如下：测试方法：检查产品是否具备漏洞特征库的更新能力；检查产品保证升级时效性的安全机制（如自动升级，更新通知等）。预期结果：产品支持漏洞特征库的更新功能；产品采取安全机制保证漏洞特征库升级的时效性。支持SSL应用支持SSL应用的测试方法与预期结果如下：测试方法：配置产品扫描基于HTTPS协议的Web应用系统；查看扫描结果。预期结果：产品支持扫描基于HTTPS协议的Web应用系统。WebService支持WebService支持的测试方法与预期结果如下：测试方法：配置产品扫描WSDL文件，对WebService进行扫描；查看扫描结果。预期结果：产品支持基于WSDL文件对WebService进行扫描。对目标系统的影响对目标系统的影响的测试方法与预期结果如下：测试方法：配置产品对Web应用系统进行扫描；检查产品在扫描过程中，是否对Web应用系统和正常访问造成明显的性能影响。预期结果：产品在扫描过程中未对Web应用系统和正常访问造成明显的性能影响。扫描配置管理向导功能向导功能的测试方法与预期结果如下：测试方法：检查产品在配置过程中是否提供了向导功能。预期结果：产品在配置过程中提供了向导功能。扫描范围扫描范围的测试方法与预期结果如下：测试方法：配置扫描策略，分别制定扫描的URL范围，包括域名和URL，查看扫描结果；配置扫描的深度，查看扫描结果；配置不扫描的URL（例如登出、删除等页面），查看扫描结果；配置路径模式排重和大小写区分。预期结果：产品能够根据指定的URL、当前域、整个域、IP地址进行扫描，且扫描结果未超出定义的范围；产品能够配置扫描的深度，且扫描结果未超出定义的深度范围；产品能够配置不扫描的URL，且扫描结果未包括设定的URL地址；产品能够配置路径模式排重和大小写区分，且扫描结果准确。登录扫描登录扫描的测试方法与预期结果如下：测试方法：配置登录扫描的策略，查看扫描结果。预期结果：产品支持基于用户的登录信息（基于Cookie、Session、Token、录制的登录信息等一种或多种方式）对Web应用进行扫描，并扫描结果包括登录后的页面。扫描策略策略选择策略选择的测试方法与预期结果如下：测试方法：根据漏洞类型、类别配置产品的扫描策略，查看扫描结果；根据漏洞危害程度配置产品的扫描策略，查看扫描结果；根据Web系统指纹信息配置产品的扫描策略，查看扫描结果。预期结果：产品能够根据漏洞类型对Web应用系统进行扫描，且扫描结果未超出定义的范围；产品能够根据漏洞危害程度对Web应用系统进行扫描，且扫描结果未超出定义的范围；产品能够根据Web系统指纹信息对Web应用系统进行扫描，且扫描结果未超出定义的范围。策略扩展策略扩展的测试方法与预期结果如下：测试方法：检查产品是否能够允许用户根据插件自定义漏洞策略。预期结果：产品能够根据插件自定义漏洞策略。扫描速度扫描速度的测试方法与预期结果如下：测试方法：检查产品是否能够根据HTTP请求速度、扫描线程或进程数目等调节扫描速度；检查产品是否支持分布式部署扫描引擎；检查产品是否支持多引擎负载均衡；预期结果：产品能够根据HTTP请求速度、扫描线程或进程数目等调节扫描速度；产品支持分布式部署扫描引擎；产品支持多引擎负载均衡。任务定制任务定制的测试方法与预期结果如下：测试方法：配置产品的批量、定时和周期性扫描计划任务，查看扫描结果。预期结果：产品能够根据计划进行批量、定时和周期性扫描，且能够自动生成扫描结果。稳定性和容错性稳定性和容错性的测试方法与预期结果如下：测试方法：在扫描过程中，检查产品是否出现失去响应或非正常退出的现象；在扫描过程中，检查产品是否出现扫描进度停滞不前的现象；在扫描过程中，检查是否能够随时停止正在执行的扫描任务；在扫描过程中，检查产品是否支持断点续扫功能；在扫描过程中，检查产品是否能够导出已扫描的内容结果报告。预期结果：产品未出现失去响应或非正常退出的现象；产品未出现扫描进度停滞不前的现象；产品在扫描过程中能够随时停止扫描任务；产品能够支持断点续扫功能；产品在扫描过程中能够导出已扫描的内容结果报告。扫描结果分析处理结果验证结果验证的测试方法与预期结果如下：测试方法：根据漏洞扫描结果，检查产品是否提供了参数验证XSS漏洞、SQL注入点、目录遍历、信息泄漏和命令执行等安全漏洞；检查产品是否能够通过SQL注入点获取后台数据库中的信息；检查产品是否提供辅助工具验证漏洞。预期结果：产品提供了漏洞的验证参数，能够支持验证XSS漏洞、SQL注入点、目录遍历、信息泄漏和命令执行等安全漏洞；产品能够通过SQL注入点获取后台数据库中的信息（如数据库表、字段中等内容）；产品提供辅助工具对漏洞进行验证。结果保存结果保存的测试方法与预期结果如下：测试方法：检查产品的扫描结果是否非明文存储于掉电非易失性存储介质中。预期结果：产品的扫描结果非明文保存（如加密或存储于数据库）于掉电非易失性存储介质（如硬盘）中。统计分析统计分析的测试方法与预期结果如下：测试方法：检查产品是否能够对扫描获取的原始数据进行整理并进行统计分析。预期结果：产品能够对扫描获取的原始数据进行整理、统计和分析。报告生成报告生成的测试方法与预期结果如下：测试方法：生成并查看扫描报告，扫描报告中的漏洞信息是否包括URL、漏洞名称、漏洞描述等详细信息；扫描报告是否包括了漏洞的安全性建议；扫描报告是否包括OWASPTOP10等内容；检查产品是否支持编辑和自定义设计报告，添加自定义注释或详细信息，能够为技术人员修复安全缺陷提供帮助；检查产品是否支持批量导出报告，是否能够根据横向、纵向比较的趋势分析报告。预期结果：产品扫描报告中的漏洞信息包括了URL、漏洞名称、漏洞描述等准确信息；产品扫描报告中包括了漏洞的安全性建议（漏洞的修复建议）；产品扫描报告包括OWASPTOP10等内容；产品支持编辑和自定义设计报告，添加自定义注视或详细信息，能够为技术人员修复安全缺陷提供帮助；产品支持批量导出报告，够根据横向、纵向比较的趋势分析报告。报告输出报告输出的测试方法与预期结果如下：测试方法：查看扫描报告的导出格式；查看扫描报告的内容，是否包括文字、图表等形式的统计结果。预期结果：产品的扫描报告支持常用文档格式（如Doc、Excel或Pdf等）；产品的扫描报告包括文字、图表等形式的统计结果。互动性要求互动性要求的测试方法与预期结果如下：测试方法：查看厂商提供的接口文档。预期结果：产品厂商提供的文档清晰的说明了接口调用的方法。标识与鉴别用户标识属性定义属性定义的测试方法与预期结果如下：测试方法：检查产品是否能够创建用户，并为其赋予标识、鉴别信息、隶属组、权限等安全属性。预期结果：产品能够为创建的用户配置标识、鉴别信息、隶属组、权限等安全属性。属性初始化属性初始化的测试方法与预期结果如下：测试方法：检查产品是否能够对创建的每个用户的属性进行初始化。预期结果：产品为创建的每个用户的属性提供了初始化的能力。唯一性标识唯一性标识的测试方法与预期结果如下：测试方法：检查产品是否不允许命名同一标识的用户，且在日志中将关于该用户的事件与标识相关联。预期结果：产品不允许创建同名用户，且将关于该用户的事件与标识相关联。身份鉴别用户鉴别用户鉴别的测试方法与预期结果如下：测试方法：通过所有管理接口尝试登录产品，是否均需进行身份鉴别；检查是否只有通过身份鉴别后，才能访问授权的安全功能模块；当正常或非正常（强行断电）退出后，重新尝试登录产品，是否需进行身份鉴别。预期结果：只有通过身份鉴别后才能访问授权的安全功能模块，且无论正常或非正常退出后，重新登录产品均需进行身份鉴别。鉴别数据保护鉴别数据保护的测试方法与预期结果如下：测试方法：检查非授权用户是否能够查阅、修改鉴别数据。预期结果：产品的非授权用户不能查阅、修改鉴别数据。鉴别失败处理鉴别失败处理的测试方法与预期结果如下：测试方法：尝试连续失败登录产品，次数到达产品设定值；检查产品是否能够终止用户的访问。预期结果：若登录失败次数到达设定值，产品能够终止用户的访问。超时锁定或注销超时锁定或注销的测试方法与预期结果如下：测试方法：以授权管理员身份登录产品设置最大超时时间，并在设定的时间段内不进行任何操作；检查产品是否能够终止会话，再次登录是否需重新进行身份鉴别。预期结果：产品具备登录超时锁定或注销功能，且最大超时时间仅由授权管理员设定。安全管理安全功能管理安全功能管理的测试方法与预期结果如下：测试方法：以授权管理员身份登录产品，分别进行查看和修改各种安全属性、启动和关闭安全功能、制定和修改各种安全策略等操作，并检查设置是否生效。预期结果：产品的授权管理员能够进行查看和修改各种安全属性、启动和关闭安全功能、制定和修改各种安全策略等操作，且设置生效。安全角色管理安全角色管理的测试方法与预期结果如下：测试方法：产品至少提供两类管理员角色，分别以不同角色身份登录，检查权限是否不同；检查产品是否能够根据功能模块定义管理员角色，并分别以不同角色身份登录，检查权限是否不同。预期结果：产品具备两种以上管理员角色，且权限各不相同；产品能够根据功能模块定义不同的管理员角色。远程安全传输远程安全传输的测试方法与预期结果如下：测试方法：若扫描结果通过网络传输时，使用协议分析仪截取数据并检查内容是否为非明文。预期结果：若产品组件间不通过网络传输数据，则此项为非检测项；若当产品组件间通过网络进行通讯，传输数据为非明文。可信管理主机可信管理主机的测试方法与预期结果如下：测试方法：若产品具备远程管理功能，登录产品限制远程管理主机的IP地址，并分别使用受限和未受限的主机进行尝试登录。预期结果：若产品未提供远程管理功能，则此项为非检测项；若产品提供远程管理功能，且受限主机无法登录产品，而未受限主机能够正常访问。审计日志审计日志生成审计日志生成的测试方法与预期结果如下：测试方法：尝试进行.7要求的操作，触发审计事件；查看审计日志是否包括事件发生的日期、时间、用户标识、事件描述和结果；若产品支持远程管理，查看审计日志是否记录管理主机的IP地址。预期结果：产品能够针对上述事件生成审计日志，日志内容包括事件发生的日期、时间、用户标识、事件描述和结果；同时产品支持远程管理时，审计日志能够记录管理主机的IP地址。审计日志保存审计日志保存的测试方法与预期结果如下：测试方法：通过断电重启产品或日志存储设备等手段，检查是否会造成审计日志的丢失。预期结果：断电重启后，产品的审计日志不应丢失。审计日志管理审计日志的管理的测试方法与预期结果如下：测试方法：分别以授权管理员身份和未授权用户身份查看审计日志，检查产品是否仅允许授权管理员访问审计日志；检查产品是否能够对审计日志按条件进行查询；检查产品是否能够存档和导出审计日志。预期结果：产品仅允许授权管理员访问审计记录，未授权用户无法查看审计日志；产品应能够按条件查询审计日志，且查询结果准确完整；产品应能够存档和导出审计日志。安全保障要求测试开发安全架构安全架构的测试方法与预期结果如下：测试方法：审查安全架构文档是否准确描述如下内容：与产品设计文档中对安全功能实施抽象描述的级别一致；描述与安全功能要求一致的产品安全功能的安全域；描述产品安全功能初始化过程为何是安全的；证实产品安全功能能够防止被破坏；证实产品安全功能能够防止安全特性被旁路。预期结果：开发者提供的文档内容应满足上述要求。功能规范功能规范的测试方法与预期结果如下：测试方法：审查功能规范文档是否准确描述如下内容：完全描述产品的安全功能；描述所有安全功能接口的目的与使用方法；标识和描述每个安全功能接口相关的所有参数；描述安全功能接口相关的安全功能实施行为；描述由安全功能实施行为处理而引起的直接错误消息；证实安全功能要求到安全功能接口的追溯；描述安全功能实施过程中，与安全功能接口相关的所有行为；描述可能由安全功能接口的调用而引起的所有直接错误消息。预期结果：开发者提供的文档内容应满足上述要求。实现表示实现表示的测试方法与预期结果如下：测试方法：审查实现表示文档是否准确描述如下内容：以开发人员使用的形式提供产品设计描述与实现表示实例之间的映射，并证明其一致性；按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度。预期结果：开发者提供的文档内容应满足上述要求。产品设计产品设计的测试方法与预期结果如下：测试方法：审查产品设计文档是否准确描述如下内容：根据子系统描述产品结构；标识和描述产品安全功能的所有子系统；描述安全功能所有子系统间的相互作用；提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；根据模块描述安全功能；提供安全功能子系统到模块间