TSCPCA 009-2024 CQJR 015-2024 TSCJR 006-2024 基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法

ICS03.060CCSA11团 体 标 准T/SCPCA009-2024 T/CQJR015-2024 T/SCJR006-2024基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法Evaluationmethodoffinancialwebapplicationsecurityprotectionplatformbasedonremotebrowserisolationtechnology2024-06-20发布 2024-07-20实施四川省支付清算协会重庆市金融学会 发四川省金融学会T/SCPCAT/SCPCA009-2024 T/CQJR015-2024 T/SCJR006-2024目 次前言 II引言 III范围 1规范性引用文件 1术语和定义 1缩略语 2评价等级判定 2等级说明 2等级判定方法 2打分方法 2参考评估域权重 2能力计算方法 3技术原理 3安全防护能力 3隐藏Web应用系统的源代码/API/JS 3隔离自动化攻击源 3隔离注入式攻击 3评价方法 4安全能力 4兼容性 6易用性及用户体验 7附录A（资料性）威胁隔离平台测试环境规范 9附录B（资料性）参考评估权重 10参考文献 11I前 言本文件按照GB/T1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的定起草。本文件由四川省支付清算协会提出。本文件由四川省支付清算协会、重庆市金融学会、四川省金融学会归口。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件起草单位：成都农村商业银行股份有限公司、重庆银行股份有限公司、四川农村商业联合银行股份有限公司、北京安胜华信科技有限公司、北京钛星数安科技有限公司。本文件主要起草人：蔡兵、李黎明、叶明、谢春利、钱建诚、吕茂婷、米俊霖、张未卿、赵建波、叶宇航、杨钧丞、李悦、顾方方、邓何、汪洪珍、唐福喜、林真伟、谢昌建、徐宁、阳方升、本文件为首次发布。II引 言基于远程浏览器隔离技术的Web安全防护平台其原理是在一个远程的虚拟化平台上为每个Web访问构建一个浏览器访问请求（称之为“远程浏览器”），执行用户的访问会话，将用户访问与真实Web服务器隔离，这样即使有Web攻击，也无法侵害到真实的Web应用服务器。从而解决多种常规Web应用安全防护手段难以解决的安全问题，保证金融Web应用系统的安全。在金融Web应用保护场景中，为规范基于远程浏览器隔离技术的安全平台能力要求，为同类产品的生产和服务提供有效参考，促使产品质量的持续改善，特制定本文件。III基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法范围本文件界定了金融Web应用安全防护的能力评价方法。确立了基于远程浏览器隔离技术的Web应用安全防护平台（以下简称：威胁隔离平台）的功能要求、成熟度要求和评价方法。本文件适用于成渝地区金融机构Web安全防护方案/产品选型参考。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语术语和定义下列术语和定义适用于本文件。3.1浏览器 browser计算机系统中用来检索、展示以及传递Web信息资源的应用程序。3.2远程浏览器隔离 remotebrowserisolation一种将Web浏览活动运行在一个远程隔离的环境中，以保护计算机用户免受可能遇到的任何恶意软件的伤害的技术。3.3安全传输层协议 transportlayersecurity为互联网通信提供安全及数据完整性保障的一种安全协议。3.4安全套接字协议 securesocketslayer为网络通信提供安全及数据完整性的一种安全协议。3.5桌面虚拟化 virtualdesktopinfrastructure指计算机的终端系统（也称作桌面）进行虚拟化，以达到桌面使用的安全性和灵活性，可以通过任何设备，在任何地点，任何时间通过网络访问属于个人的桌面系统的技术手段。3.6文档对象模型 documentobjectmodel是一种与平台和语言无关的应用程序接口(API1缩略语下列缩略语适用于本文件。API：应用程序接口（ApplicationProgrammingInterface）AWVS：AcunetixWeb（AcunetixWebVulnerabilityScanner）CVE：通用漏洞披露（CommonVulnerabilitiesandExposures）HTML：超文本标记语言（HyperTextMarkupLanguage）HTML55（HyperTextMarkupLanguage5）HTTP：超文本传输协议（HyperTextTransferProtocol）HTTPS：超文本安全传输协议（HypertextTransferProtocolSecure）JS：脚本语言（JavaScript）SQL：结构化查询语言（StructuredQueryLanguage）WEBSHELL：网页脚本程序（WebShellScript）WWW：万维网（WorldWideWeb）XML：可扩展标记语言（ExtensibleMarkupLanguage）XSS：跨站脚本攻击（CrossSiteScripting）评价等级判定等级说明网络安全产品能力等级分为三个等级，从低到高分别是一级（基础级）、二级（成熟级）和三级（专业级）。等级判定方法安全能力测试、兼容性测试、易用性及用户体验测试，需要搭建威胁隔离平台测试环境，按附录A中规定的方法进行判定。基础级完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得分达到60-70（不含）分，60（不含）分以下不予评级。成熟级完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得分达到70-90（不含）分。专业级完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得分达到90分以上。打分方法评估组应将采集的证据与能力要求进行对照，按照满足程度对评估域的每一条要求进行打分。能力要求满足程度与得分对应表如表1所示。表1 成熟度要求满足程度与对应得分成熟度要求满足程度得分全部满足1部分满足0.5不满足0参考评估域权重2根据网络安全产品能力要求，给出主要评估域及推荐权重，按附录B中规定给出。能力计算方法能力域总得分为该域下所有能力分项得分的加权求和，能力域得分按公式（1）计算：B=×（1）本公式中：B——能力域总得分；C——能力域分项得分；β——能力域分项权重。成熟度要素得分为该要素下能力域的加权求和，成熟度要素的得分按公式（2）计算：A=×（2）本公式中：A——成熟度要素得分；B——能力域总得分；α——能力域权重。技术原理HTML5HTML5安全防护能力Web/API/JSWebWebWebWebWeb隔离自动化攻击源WebWeb100Web隔离注入式攻击3http/httpsGETURLGET评价方法安全能力隐藏源代码/API/活动脚本表2 隐藏源代码/API/活动脚本评估表评估要求产品应具备如下能力：隐藏Web应用系统源代码、API和活动脚本评估权重20%预置条件已经部署威胁隔离平台。评估方法步骤1：网站未进行隔离防护，打开本地浏览器开发者工具，查看网页源代码、活动脚本、API请求和响应信息；步骤2：网站进行隔离防护，打开本地浏览器开发者工具，查看网页源代码、活动脚本、API请求和响应信息。预期结果成功隐藏Web应用系统源代码、API和活动脚本。WEBSHELL表3 防WEBSHELL评估表成熟度要求产品应具备如下能力：应成功拦截webshell攻击评估权重10%预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行webshell攻击测试，验证网站隔离前webshell防护效果；步骤2：网站进行隔离防护，对网站进行webshell攻击测试，查看隔离后网站防webshell攻击情况。预期结果威胁隔离平台能成功拦截webshell攻击。SQL表4 防SQL注入评估表成熟度要求产品应具备如下能力：应防止SQL注入攻击评估权重5%预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行依次进行POST、GET、输入框的SQL注入攻击测试，查看隔离前网站防SQL注入攻击情况；步骤2：网站进行隔离防护，对网站进行依次进行POST、GET、输入框的SQL注入攻击测试，查看隔离后网站防SQL注入攻击情况。预期结果威胁隔离平台能成功阻断SQL注入攻击。4XSS表5 防XSS注入评估表成熟度要求产品应具备如下能力：应防止XSS注入攻击评估权重5%预置条件已经部署威胁隔离平台。验证流程步骤1XSSXSS注入攻击；步骤2：对网站进行存储型XSS(持久型)测试;测试网站隔离前后能否防护该类型XSS注入攻击；步骤DOMXSSXSS注入攻击。预期结果威胁隔离平台能成功阻断XSS注入攻击。反爬虫表6 反爬虫评估表成熟度要求产品应具备如下能力：防止爬虫获取网站内容评估权重5%预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行恶意爬虫攻击测试，验证网站隔离前反爬虫效果；步骤2：网站进行隔离防护，对网站进行恶意爬虫攻击测试，验证网站隔离后反爬虫效果。预期结果部署威胁隔离平台后，原始网页内容爬取失败。防自动化扫描与攻击表7 防自动化扫描与攻击评估表成熟度要求产品应具备如下能力：防止自动化工具对网站发起的扫描及攻击评估权重5%预置条件已经部署威胁隔离平台。验证流程步骤AWVS扫描目标Web步骤2：网站进行隔离防护，通过自动化扫描工具AWVS重新目标Web应用系统，查看扫描结果。预期结果部署威胁隔离平台后，漏洞扫描工具无法获取到Web应用系统的漏洞。Web表8 防Web文件路径扫描探测评估表成熟度要求产品应具备如下能力：隐藏网站的目录和文件信息评估权重5%预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行文件路径的探测测试，验证网站隔离前防5护效果；步骤2：网站进行隔离防护，对网站进行文件路径的探测测试，验证网站隔离后防护效果。预期结果部署威胁隔离平台后，无法扫描出网站的目录和文件信息。网页防篡改表9 网页防篡改评估表成熟度要求产品应具备如下能力：防止网页内容被篡改评估权重5%预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行篡改攻击测试，查看隔离前网站防篡改攻击情况；步骤2：网站进行隔离防护，对网站进行篡改攻击测试，查看隔离后网站防篡改攻击情况。预期结果部署威胁隔离平台后，成功阻断篡改攻击。防止漏洞利用表10 防止漏洞利用评估表成熟度要求产品应具备如下能力：防止利用Web漏洞（包含0Day/1Day）发起的攻击评估权重10%预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，通过工具利用水平或垂直越权漏洞（或其他传统WAF无法防护的0Day/1Day漏洞）攻击，查看攻击情况；步骤2：网站进行隔离防护后，通过工具利用水平或垂直越权漏洞（或其他传统WAF无法防护的0Day/1Day漏洞）攻击，查看攻击情况。预期结果部署威胁隔离平台后，成功防止利用水平或垂直越权漏洞进行攻击。网银系统安全防护表11 网银系统安全防护评估表成熟度要求产品应具备如下能力：针对网银系统，具备上述1～9所有的安全防护能力评估权重30%预置条件已经部署威胁隔离平台。验证流程步骤1：网银系统未进行隔离防护，依次执行上述1～9测试用例，查看攻击情况；步骤2：网银系统进行隔离防护后，依次执行上述1～9测试用例，查看攻击情况。预期结果部署威胁隔离平台后，网银系统成功防止漏洞利用攻击。兼容性浏览器兼容性表12 浏览器兼容性评估表成熟度要求：产品应具备如下能力：6适配GoogleChrome，Safari，Firefox，Edge，IE11，360浏览器评估权重：25%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，依次打开上述浏览器，访问目标网站，查看UI界面显示效果，没有兼容性问题；步骤2：网站进行隔离防护，依次打开上述浏览器，访问目标网站，查看UI界面显示效果，没有兼容性问题。预期结果：隔离防护前后，目标网站兼容性无差异。页面渲染测试表13 页面渲染测试评估表成熟度要求：产品应具备如下能力：页面正常渲染，所有页面功能不受影响评估权重：25%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，访问目标网站，依次点击一级页面，二级页面等，查看UI界面显示效果及网站功能；步骤2：网站进行隔离防护，访问目标网站，依次点击一级页面，二级页面等，查看UI界面显示效果及网站功能。预期结果：隔离防护前后，目标网站所有页面正常渲染，功能使用正常。网银系统兼容性表14 网银系统兼容性评估表成熟度要求：产品应具备如下能力：适配网银系统评估权重：50%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，打开本地浏览器，访问网银系统，查看UI界面显示效果，访问业务功能模块，没有兼容性问题；步骤UI界面显示效果，访问业务功能模块，没有兼容性问题。预期结果：隔离防护前后，网银系统均可正常使用，业务功能正常，兼容性无差异。易用性及用户体验易用性

表15 易用性评估表成熟度要求：产品应具备如下能力：实现上述防护能力的同时，终端PC无需安装任何额外的软件、插件或者专用浏览器评估权重：50%预置条件：1）已经部署威胁隔离平台。验证流程：步骤：网站进行隔离防护后，打开终端PC上已有的浏览器，可正常访问目标网站。预期结果：1）无需安装软件、插件或者专用浏览器。用户体验表16 用户体验评估表成熟度要求：产品应具备如下能力：7实现上诉防护能力后，用户访问目标Web应用系统的响应时间延迟无明显变化评估权重：50%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，访问目标网站，测试服务响应时间；步骤2：网站进行隔离防护，访问目标网站，测试服务响应时间。预期结果：1）网站保护前后，访问服务响应时间变化不超过5%。可用性高可用表1