T-SCPCA 009-2024 T-CQJR 015-2024 T-SCJR 006-2024 基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法

CCSA11T/SCPCA009-2024T/CQJR015-2024T/S2024-06-20发布布发会会学学融融金金市省庆川重四四布发会会学学融融金金市省庆川重四IT/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024前言 2规范性引用文件 3术语和定义 4缩略语 5评价等级判定 5.1等级说明 5.2等级判定方法 5.3打分方法 5.4参考评估域权重 5.5能力计算方法 6技术原理 7安全防护能力 7.1隐藏Web应用系统的源代码/API/JS 7.2隔离自动化攻击源 7.3隔离注入式攻击 8评价方法 8.1安全能力 8.2兼容性 8.3易用性及用户体验 附录A（资料性）威胁隔离平台测试环境规范 9附录B（资料性）参考评估权重 10参考文献 T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由四川省支付清算协会提出。本文件由四川省支付清算协会、重庆市金融学会、四川省金融学会归口。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件起草单位：成都农村商业银行股份有限公司、重庆银行股份有限公司、四川农村商业联合银行股份有限公司、北京安胜华信科技有限公司、北京钛星数安科技有限公司。本文件主要起草人：蔡兵、李黎明、叶明、谢春利、钱建诚、吕茂婷、米俊霖、张未卿、赵建波、叶宇航、杨钧丞、李悦、顾方方、邓何、汪洪珍、唐福喜、林真伟、谢昌建、徐宁、阳方升、刘畅、聂志宏、熊玉、付毅、陈滔、白金、夏浩淳、陈晓东、李德、刘海光、吴天、母丹、刘东甲、何佳佳、贺伟、汤湘祁。本文件为首次发布。T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024基于远程浏览器隔离技术的Web安全防护平台其原理是在一个远程的虚拟化平台上为每个Web访问构建一个浏览器访问请求（称之为“远程浏览器”），执行用户的访问会话，将用户访问与真实Web服务器隔离，这样即使有Web攻击，也无法侵害到真实的Web应用服务器。从而解决多种常规Web应用安全防护手段难以解决的安全问题，保证金融Web应用系统的安全。在金融Web应用保护场景中，为规范基于远程浏览器隔离技术的安全平台能力要求，为同类产品的生产和服务提供有效参考，促使产品质量的持续改善，特制定本文件。1T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法本文件界定了金融Web应用安全防护的能力评价方法。确立了基于远程浏览器隔离技术的Web应用安全防护平台（以下简称：威胁隔离平台）的功能要求、成熟度要求和评价方法。本文件适用于成渝地区金融机构Web安全防护方案/产品选型参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语3术语和定义下列术语和定义适用于本文件。3.1浏览器browser计算机系统中用来检索、展示以及传递Web信息资源的应用程序。3.2远程浏览器隔离remotebrowserisolation一种将Web浏览活动运行在一个远程隔离的环境中，以保护计算机用户免受可能遇到的任何恶意软件的伤害的技术。3.3安全传输层协议transportlayersecurity为互联网通信提供安全及数据完整性保障的一种安全协议。3.4安全套接字协议securesocketslayer为网络通信提供安全及数据完整性的一种安全协议。3.5桌面虚拟化virtualdesktopinfrastructure指计算机的终端系统（也称作桌面）进行虚拟化，以达到桌面使用的安全性和灵活性，可以通过任何设备，在任何地点，任何时间通过网络访问属于个人的桌面系统的技术手段。3.6文档对象模型documentobjectmodel是一种与平台和语言无关的应用程序接口(API),它可以动态地访问程序和脚本,更新其内容、结构和WWW文档的风格(HTML和XML文档是通过说明部分定义的)。文档可以进一步被处理，处理的结果可以加入到当前的页面。DOM是一种基于树的API文档，它要求在处理过程中整个文档都表示在存储器中。2T/SCPCA009-2024T/CQJR015-2024T/SCJR006-20244缩略语下列缩略语适用于本文件。a)API：应用程序接口（ApplicationProgrammingInterface）b)AWVS：AcunetixWeb漏洞扫描程序（AcunetixWebVulnerabilityScanner）c)CVE：通用漏洞披露（CommonVulnerabilitiesandExposures）d)HTML：超文本标记语言（HyperTextMarkupLanguage）e)HTML5：超文本标记语言修订版5（HyperTextMarkupLanguage5）f)HTTP：超文本传输协议（HyperTextTransferProtocol）g)HTTPS：超文本安全传输协议（HypertextTransferProtocolSecure）h)JS：脚本语言（JavaScript）i)SQL：结构化查询语言（StructuredQueryLanguage）j)WEBSHELL：网页脚本程序（WebShellScript）k)WWW：万维网（WorldWideWeb）l)XML：可扩展标记语言（ExtensibleMarkupLanguage）m)XSS：跨站脚本攻击（CrossSiteScripting）5评价等级判定5.1等级说明网络安全产品能力等级分为三个等级，从低到高分别是一级（基础级）、二级（成熟级）和三级（专业级）。5.2等级判定方法安全能力测试、兼容性测试、易用性及用户体验测试，需要搭建威胁隔离平台测试环境，按附录A中规定的方法进行判定。5.2.1基础级完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得分达到60-70（不含）分，60（不含）分以下不予评级。5.2.2成熟级完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得分达到70-90（不含）分。5.2.3专业级完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得分达到90分以上。5.3打分方法评估组应将采集的证据与能力要求进行对照，按照满足程度对评估域的每一条要求进行打分。能力要求满足程度与得分对应表如表1所示。表1成熟度要求满足程度与对应得分105.4参考评估域权重3T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024根据网络安全产品能力要求，给出主要评估域及推荐权重，按附录B中规定给出。5.5能力计算方法能力域总得分为该域下所有能力分项得分的加权求和，能力域得分按公式（1）计算：B=∑（C×β）…………（1）本公式中：B——能力域总得分；C——能力域分项得分；β——能力域分项权重。成熟度要素得分为该要素下能力域的加权求和，成熟度要素的得分按公式（2）计算：A=∑（B×α）…………（2）本公式中：A——成熟度要素得分；B——能力域总得分；α——能力域权重。6技术原理威胁隔离平台技术核心是远程浏览器技术、容器技术以及HTML5渲染技术的结合。为每个用户分配一个独立的虚拟容器，利用远程浏览器技术在容器中构建一个处理中心，执行源网页中的所有脚本，并将执行完的结果转换成网页视觉编码，实时同步给用户浏览器，利用HTML5技术在用户浏览器重新渲染成网页镜像，从而实现“零”源脚本交互，达到用户与业务系统/Web应用服务器安全隔离的效果。7安全防护能力7.1隐藏Web应用系统的源代码/API/JS源代码暴露往往是Web攻击发起的起点，在用户浏览器中，可以查看网站或Web应用的源代码以及脚本语句，如果网站或Web应用的源代码设计不严谨，黑客可以从暴露的源代码中发现漏洞，基于漏洞发起攻击。威胁隔离平台可隐藏Web应用的源码/API/JS，当用户在本地浏览器中访问Web应用时，所有服务器返回的网页代码和脚本均在远程浏览器执行，远程浏览器不会对本地浏览器提供任何原始网页的代码，第三方框架等信息。7.2隔离自动化攻击源恶意攻击者往往会利用浏览器的开放性或者漏洞，采用自动化工具对Web应用发起漏洞扫描或者“暴力破解式”攻击，攻击成本低，效率高。这种自动化攻击，是当前针对Web应用最常用的攻击手段。威胁隔离平台可以100%隔离自动化攻击源。由于针对应用的访问已经转移到远程浏览器，而远程浏览器只接受键盘和鼠标输入，所有的自动攻击工具都无法和远程浏览器直接通信或者发送攻击指令，因此，采用自动化工具对Web应用发起的攻击将不会有任何效果。7.3隔离注入式攻击4T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024注入式攻击通常都是通过直接组装http/https请求来发起攻击，威胁隔离平台上的远程浏览器只接受GET请求，攻击者注入的渠道非常受限；并且远程浏览器对URL请求进行加密处理，可以防止通过篡改GET请求进行注入攻击，进而达到对注入攻击的防护效果。8评价方法8.1安全能力8.1.1隐藏源代码/API/活动脚本表2隐藏源代码/API/活动脚本评估表评估要求产品应具备如下能力：隐藏Web应用系统源代码、API和活动脚本评估权重20%预置条件已经部署威胁隔离平台。评估方法步骤1：网站未进行隔离防护，打开本地浏览器开发者工具，查看网页源代码、活动脚本、API请求和响应信息；步骤2：网站进行隔离防护，打开本地浏览器开发者工具，查看网页源代码、活动脚本、API请求和响应信息。预期结果成功隐藏Web应用系统源代码、API和活动脚本。8.1.2防WEBSHELL表3防WEBSHELL评估表成熟度要求产品应具备如下能力：应成功拦截webshell攻击评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行webshell攻击测试，验证网站隔离前webshell防护效果；步骤2：网站进行隔离防护，对网站进行webshell攻击测试，查看隔离后网站防webshell攻击情况。预期结果威胁隔离平台能成功拦截webshell攻击。8.1.3防SQL注入表4防SQL注入评估表成熟度要求产品应具备如下能力：应防止SQL注入攻击评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行依次进行POST、GET、输入框的SQL注入攻击测试，查看隔离前网站防SQL注入攻击情况；步骤2：网站进行隔离防护，对网站进行依次进行POST、GET、输入框的SQL注入攻击测试，查看隔离后网站防SQL注入攻击情况。预期结果威胁隔离平台能成功阻断SQL注入攻击。5T/SCPCA009-2024T/CQJR015-2024T/SCJR006-20248.1.4防XSS注入表5防XSS注入评估表成熟度要求产品应具备如下能力：应防止XSS注入攻击评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：对网站进行反射型XSS(非持久型)测试，测试网站隔离前后能否防护该类型XSS注入攻击；步骤2：对网站进行存储型XSS(持久型)测试;测试网站隔离前后能否防护该类型XSS注入攻击；步骤3：对网站进行DOMXSS(文档对象型)测试，测试网站隔离前后能否防护该类型XSS注入攻击。预期结果威胁隔离平台能成功阻断XSS注入攻击。8.1.5反爬虫表6反爬虫评估表成熟度要求产品应具备如下能力：防止爬虫获取网站内容评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行恶意爬虫攻击测试，验证网站隔离前反爬虫效果；步骤2：网站进行隔离防护，对网站进行恶意爬虫攻击测试，验证网站隔离后反爬虫效果。预期结果部署威胁隔离平台后，原始网页内容爬取失败。8.1.6防自动化扫描与攻击表7防自动化扫描与攻击评估表成熟度要求产品应具备如下能力：防止自动化工具对网站发起的扫描及攻击评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，通过自动化扫描工具AWVS扫描目标Web应用系统，查看扫描结果；步骤2：网站进行隔离防护，通过自动化扫描工具AWVS重新目标Web应用系统，查看扫描结果。预期结果部署威胁隔离平台后，漏洞扫描工具无法获取到Web应用系统的漏洞。8.1.7防Web文件路径扫描探测表8防Web文件路径扫描探测评估表成熟度要求产品应具备如下能力：隐藏网站的目录和文件信息评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行文件路径的探测测试，验证网站隔离前防6T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024护效果；步骤2：网站进行隔离防护，对网站进行文件路径的探测测试，验证网站隔离后防护效果。预期结果部署威胁隔离平台后，无法扫描出网站的目录和文件信息。8.1.8网页防篡改表9网页防篡改评估表成熟度要求产品应具备如下能力：防止网页内容被篡改评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行篡改攻击测试，查看隔离前网站防篡改攻击情况；步骤2：网站进行隔离防护，对网站进行篡改攻击测试，查看隔离后网站防篡改攻击情况。预期结果部署威胁隔离平台后，成功阻断篡改攻击。8.1.9防止漏洞利用表10防止漏洞利用评估表成熟度要求产品应具备如下能力：防止利用Web漏洞（包含0Day/1Day）发起的攻击评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，通过工具利用水平或垂直越权漏洞（或其他传统WAF无法防护的0Day/1Day漏洞）攻击，查看攻击情况；步骤2：网站进行隔离防护后，通过工具利用水平或垂直越权漏洞（或其他传统WAF无法防护的0Day/1Day漏洞）攻击，查看攻击情况。预期结果部署威胁隔离平台后，成功防止利用水平或垂直越权漏洞进行攻击。8.1.10网银系统安全防护表11网银系统安全防护评估表成熟度要求产品应具备如下能力：针对网银系统，具备上述1～9所有的安全防护能力评估权重30%预置条件已经部署威胁隔离平台。验证流程步骤1：网银系统未进行隔离防护，依次执行上述1～9测试用例，查看攻击情况；步骤2：网银系统进行隔离防护后，依次执行上述1～9测试用例，查看攻击情况。预期结果部署威胁隔离平台后，网银系统成功防止漏洞利用攻击。8.2兼容性8.2.1浏览器兼容性表12浏览器兼容性评估表成熟度要求：产品应具备如下能力：7T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024适配GoogleChrome，Safari，Firefox，Edge，IE11，360浏览器评估权重：25%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，依次打开上述浏览器，访问目标网站，查看UI界面显示效果，没有兼容性问题；步骤2：网站进行隔离防护，依次打开上述浏览器，访问目标网站，查看UI界面显示效果，没有兼容性问题。预期结果：隔离防护前后，目标网站兼容性无差异。8.2.2页面渲染测试表13页面渲染测试评估表成熟度要求：产品应具备如下能力：页面正常渲染，所有页面功能不受影响评估权重：25%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，访问目标网站，依次点击一级页面，二级页面等，查看UI界面显示效果及网站功能；步骤2：网站进行隔离防护，访问目标网站，依次点击一级页面，二级页面等，查看UI界面显示效果及网站功能。预期结果：隔离防护前后，目标网站所有页面正常渲染，功能使用正常。8.2.3网银系统兼容性表14网银系统兼容性评估表成熟度要求：产品应具备如下能力：适配网银系统评估权重：50%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，打开本地浏览器，访问网银系统，查看UI界面显示效果，访问业务功能模块，没有兼容性问题；步骤2：网站进行隔离防护，打开本地浏览器，访问网银系统，查看UI界面显示效果，访问业务功能模块，没有兼容性问题。预期结果：隔离防护前后，网银系统均可正常使用，业务功能正常，兼容性无差异。8.3易用性及用户体验8.3.1易用性表15易用性评估表成熟度要求：产品应具备如下能力：实现上述防护能力的同时，终端PC无需安装任何额外的软件、插件或者专用浏览器评估权重：50%预置条件：1）已经部署威胁隔离平台。验证流程：步骤：网站进行隔离防护后，打开终端PC上已有的浏览器，可正常访问目标网站。预期结果：1）无需安装软件、插件或者专用浏览器。8.3.2用户体验表16用户体验评估表成熟度要求：产品应具备如下能力：8T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024实现上诉防护能力后，用户访问目标Web应用系统的响应时间延迟无明显变化评估权重：50%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，访问目标网站，测试服务响应时间；步骤2：网站进行隔离防护，访问目标网站，测试服务响应时间。预期结果：1）网站保护前后，访问服务响应时间变化不超过5%。8.4可用性8.4.1