《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》（2017RB011）-征求意見(jiàn)稿

《《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》（2017RB011）-征求意見(jiàn)稿》由會(huì)員分享，可在線閱讀，更多相關(guān)《《WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范》（2017RB011）-征求意見(jiàn)稿（28頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

ICS 點(diǎn)擊此處添加中國(guó)標(biāo)準(zhǔn)文獻(xiàn)分類(lèi)號(hào) RB 中華人民共和國(guó)認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn) RB/T XXXXX—XXXX WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范 點(diǎn)擊此處添加標(biāo)準(zhǔn)英文譯名 點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí) （征求意見(jiàn)稿） （本稿完成日期：2018-12-28） XXXX - XX - XX發(fā)布 XXXX - XX - XX實(shí)施 中華人民共和國(guó)國(guó)家市場(chǎng)監(jiān)督管理總局 國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)發(fā)布 RB/T XXXXX—XXXX 目??次 前言 2 1　范圍 3 2　規(guī)范性引用文件 3 3　術(shù)語(yǔ)、定義和縮略語(yǔ) 3 3.1　術(shù)語(yǔ)和定義 3 3.2　縮略語(yǔ) 3 4　評(píng)價(jià)要求 4 4.1　總體說(shuō)明 4 4.2　功能要求 4 4.3　自身安全要求 5 4.4　安全保障要求 7 5　評(píng)價(jià)方法 10 5.1　總體說(shuō)明 10 5.2　檢測(cè)環(huán)境與工具 10 5.3　功能檢測(cè) 11 5.4　自身安全檢測(cè) 14 5.5　安全保障要求評(píng)估 21 前??言 本規(guī)范按照GB/T 1.1-2009的規(guī)則起草。 本規(guī)范由國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)提出并歸口。 本規(guī)范起草單位： 本規(guī)范主要起草人： WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全評(píng)價(jià)規(guī)范 1　 范圍 本規(guī)范規(guī)定了WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的安全評(píng)價(jià)要求及評(píng)價(jià)方法。 本規(guī)范適用于第三方認(rèn)證機(jī)構(gòu)和檢測(cè)機(jī)構(gòu)對(duì)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的評(píng)價(jià)，WEB 應(yīng)用安全監(jiān)測(cè)系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)也可參照。 2　 規(guī)范性引用文件 下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 GB/T 18336-2015《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則》 GB/T 25069 信息安全技術(shù) 術(shù)語(yǔ) 3　 術(shù)語(yǔ)、定義和縮略語(yǔ) 3.1　 術(shù)語(yǔ)和定義 標(biāo)準(zhǔn)GB/T 18336-2015和GB/T 25069界定的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。 3.1.1　 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是指部署在網(wǎng)絡(luò)里，以監(jiān)控的方式，實(shí)現(xiàn)對(duì)WEB應(yīng)用的服務(wù)狀態(tài)、安全狀態(tài)進(jìn)行監(jiān)測(cè)的產(chǎn)品。 3.1.2　 SQL注入 把SQL命令插入到WEB表單遞交或者輸入域名、頁(yè)面請(qǐng)求的查詢(xún)字符串中，以達(dá)到欺騙服務(wù)器執(zhí)行惡意SQL命令的目的?？蛻?hù)端通過(guò)插入或注入SQL查詢(xún)語(yǔ)句輸入數(shù)據(jù)到應(yīng)用。 3.1.3　 跨站腳本攻擊 跨站腳本攻擊（也稱(chēng)為XSS）指利用網(wǎng)站漏洞從用戶(hù)那里惡意盜取信息。 3.1.4　 網(wǎng)頁(yè)掛馬 網(wǎng)頁(yè)掛馬是指一個(gè)木馬程序（或惡意代碼）被上傳到網(wǎng)站形成網(wǎng)頁(yè)木馬，使網(wǎng)頁(yè)瀏覽者訪問(wèn)被掛馬的網(wǎng)頁(yè)時(shí)執(zhí)行其中的惡意代碼。 3.2　 縮略語(yǔ) 以下縮略語(yǔ)適用于本文件 HTTP 超文本傳輸協(xié)議 Hypertext Transfer Protocol URL 統(tǒng)一資源定位器 Uniform Resource Locator SSH 建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議 Secure Shell TOE 評(píng)估對(duì)象 Target of Evaluation TSF TOE安全功能 TOE Security Functions 4　 評(píng)價(jià)要求 4.1　 總體說(shuō)明 4.1.1　 評(píng)價(jià)要求分類(lèi) 本評(píng)價(jià)要求包括對(duì)產(chǎn)品的功能要求、自身安全要求和安全保障要求。 4.1.2　 安全等級(jí) 本評(píng)價(jià)規(guī)范不對(duì)產(chǎn)品進(jìn)行安全等級(jí)劃分。產(chǎn)品的安全保障要求采用GB/T 18336.3-2015中有關(guān) EAL2 級(jí)的要求。 4.2　 功能要求 4.2.1　 WEB應(yīng)用狀態(tài)監(jiān)控 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能定時(shí)訪問(wèn)目標(biāo)WEB應(yīng)用，并分析返回頁(yè)面，檢測(cè)是否包含錯(cuò)誤信息，及時(shí)發(fā)現(xiàn)WEB應(yīng)用訪問(wèn)異常。 4.2.2　 WEB漏洞掃描 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能夠掃描到SQL注入攻擊、跨站腳本攻擊（XSS）、信息泄露等常見(jiàn)的 WEB應(yīng)用安全漏洞。 4.2.3　 網(wǎng)頁(yè)掛馬檢測(cè) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能檢測(cè)到被掛馬的WEB頁(yè)面。 4.2.4　 自動(dòng)通告 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能在發(fā)現(xiàn)WEB應(yīng)用出現(xiàn)故障或者WEB應(yīng)用安全漏洞時(shí)，自動(dòng)通知系統(tǒng)管理員。 4.2.5　 產(chǎn)品升級(jí) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能支持手動(dòng)或者自動(dòng)的方式進(jìn)行產(chǎn)品升級(jí)，對(duì)漏洞知識(shí)庫(kù)、木馬特征以及服務(wù)程序等進(jìn)行更新。 4.2.6　 管理功能 4.2.6.1　 系統(tǒng)管理 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)具備配置管理功能，支持本地管理或遠(yuǎn)程管理。 4.2.6.2　 任務(wù)管理 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)支持監(jiān)測(cè)掃描任務(wù)添加域名或IP地址，能夠設(shè)置掃描時(shí)間周期并實(shí)時(shí)顯示任務(wù)進(jìn)度及詳情，支持對(duì)已完成掃描任務(wù)的記錄和管理。 4.2.6.3　 報(bào)表管理 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)支持報(bào)表功能并能輸出報(bào)表；報(bào)表內(nèi)容應(yīng)包含網(wǎng)站基本信息（包括IP地址、網(wǎng)站標(biāo)題及服務(wù)器所處位置等等信息）、任務(wù)概要信息（包括任務(wù)掃描時(shí)間、掃描深度、網(wǎng)站安全等級(jí)等信息）以及執(zhí)行結(jié)果信息（包括SQL注入、XSS跨站、網(wǎng)站掛馬等鏈接的詳細(xì)信息）。 4.2.7　 服務(wù)能力監(jiān)測(cè) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能對(duì)WEB應(yīng)用的訪問(wèn)響應(yīng)時(shí)間進(jìn)行監(jiān)測(cè)，顯示訪問(wèn)延時(shí)波動(dòng)。 4.2.8　 篡改監(jiān)測(cè) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能及時(shí)發(fā)現(xiàn)指定的WEB應(yīng)用（如指定URL地址等）被篡改的行為（如篡改頁(yè)面的文字、圖片、媒體信息等），并產(chǎn)生用戶(hù)告警信息（如通過(guò)郵件、短信及提示信息等顯示告警信息）。 4.3　 自身安全要求 4.3.1　 安全審計(jì) 4.3.1.1　 審計(jì)數(shù)據(jù)產(chǎn)生 a) WEB 應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)對(duì)以下事件生成審計(jì)記錄： 1) 審計(jì)功能的啟動(dòng)與關(guān)閉； 2) 用戶(hù)的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為； 3) 鑒別機(jī)制的使用； 4) 鑒別失敗的次數(shù)超過(guò)給定閾值導(dǎo)致會(huì)話(huà)終止； 5) 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 b) WEB 應(yīng)用安全監(jiān)測(cè)系統(tǒng)每個(gè)審計(jì)記錄中應(yīng)記錄下列信息： 1) 事件發(fā)生的日期、時(shí)間； 2) 事件的類(lèi)型； 3) 主體身份標(biāo)識(shí)； 4) 事件的描述及結(jié)果。 4.3.1.2　 審計(jì)查閱 a) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)為授權(quán)用戶(hù)提供讀取審計(jì)記錄的功能。 b) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)以便于用戶(hù)理解的方式提供審計(jì)記錄。 4.3.1.3　 限制審計(jì)查閱 除明確允許讀訪問(wèn)的用戶(hù)外，TSF應(yīng)禁止所有用戶(hù)對(duì)審計(jì)記錄的讀訪問(wèn)。 4.3.1.4　 可選審計(jì)查閱 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)提供根據(jù)條件對(duì)審計(jì)數(shù)據(jù)進(jìn)行查詢(xún)或排序的功能。 4.3.1.5　 防止審計(jì)數(shù)據(jù)丟失 a) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的安全功能應(yīng)把生成的審計(jì)記錄存儲(chǔ)于一個(gè)永久性的記錄中，并應(yīng)提供相應(yīng)措施以防止故障或攻擊造成的審計(jì)事件丟失； b) 對(duì)因故障或存儲(chǔ)耗竭而導(dǎo)致審計(jì)數(shù)據(jù)丟失的最大審計(jì)存儲(chǔ)容量，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的開(kāi)發(fā)者應(yīng)提供相應(yīng)的分析結(jié)果； c) 一旦審計(jì)存儲(chǔ)容量達(dá)到事先規(guī)定的警戒值，應(yīng)能發(fā)送警告信息，并采取相應(yīng)的防護(hù)措施。 4.3.1.6　 審計(jì)數(shù)據(jù)保護(hù) a) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)保護(hù)存儲(chǔ)的審計(jì)記錄免遭未授權(quán)的刪除； b) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)禁止對(duì)審計(jì)記錄的修改。 4.3.2　 標(biāo)識(shí)和鑒別 4.3.2.1　 唯一性標(biāo)識(shí) WEB 應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)保證任何用戶(hù)都具有全局唯一的標(biāo)識(shí)。 4.3.2.2　 鑒別的時(shí)機(jī) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)要求每個(gè)用戶(hù)在執(zhí)行與數(shù)據(jù)泄露防護(hù)產(chǎn)品安全相關(guān)的任何其他操作之前，都已被成功鑒別 4.3.2.3　 用戶(hù)屬性定義 WEB 應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)為每一個(gè)用戶(hù)保存安全屬性表，屬性應(yīng)包括：用戶(hù)標(biāo)識(shí)、授權(quán)信息或用戶(hù)組信息、其他安全屬性等。 4.3.2.4　 鑒別失敗處理 a) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能檢測(cè)用戶(hù)的不成功的鑒別嘗試； b) 在經(jīng)過(guò)一定次數(shù)的鑒別失敗后，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的安全功能應(yīng)采取措施以終止登錄嘗試的動(dòng)作，直至滿(mǎn)足已定義的條件才允許進(jìn)行重新鑒別； c) 鑒別嘗試的閾值應(yīng)僅允許授權(quán)管理員設(shè)定。 4.3.2.5　 受保護(hù)的鑒別反饋 鑒別進(jìn)行時(shí)，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋，不顯示字符本身。 4.3.3　 安全管理 4.3.3.1　 安全功能行為的管理 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)僅限于授權(quán)用戶(hù)對(duì)下述功能具有修改的能力。 a) 監(jiān)測(cè)任務(wù)的管理； b) 其他安全功能行為的管理。 4.3.3.2　 安全屬性的管理 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)執(zhí)行訪問(wèn)控制策略或信息流控制策略，以限制已識(shí)別了的授權(quán)角色查詢(xún)、修改和刪除安全屬性的能力。 4.3.3.3　 安全角色 a) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)維護(hù)已標(biāo)識(shí)的授權(quán)角色； b) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能夠?qū)⒂脩?hù)與角色關(guān)聯(lián)起來(lái)。 4.3.3.4　 TSF 數(shù)據(jù)的管理 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)僅允許授權(quán)用戶(hù)控制 安全功能數(shù)據(jù)的管理。 4.3.4　 TSF保護(hù) 4.3.4.1　 內(nèi)部TSF數(shù)據(jù)傳送的基本保護(hù) TSF應(yīng)保護(hù)所有從 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)傳送到遠(yuǎn)程管理主機(jī)的TSF數(shù)據(jù)（如：登錄鑒別數(shù)據(jù)、安全設(shè)置信息）在傳送過(guò)程中不會(huì)被未授權(quán)泄漏。 4.3.4.2　 自動(dòng)恢復(fù) a) 當(dāng)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)發(fā)生失效、服務(wù)中斷等故障，無(wú)法自動(dòng)恢復(fù)時(shí)，系統(tǒng)應(yīng)能夠提供進(jìn)入維護(hù)模式，通過(guò)該模式保證系統(tǒng)返回到一個(gè)安全狀態(tài)。 b) 當(dāng)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的服務(wù)發(fā)生中斷后，在人工干預(yù)的情況下或者無(wú)人工干預(yù)自動(dòng)恢復(fù)到安全狀態(tài)（如：安全策略、系統(tǒng)配置等）。 4.3.5　 用戶(hù)數(shù)據(jù)保護(hù) 4.3.5.1　 基于安全屬性的訪問(wèn)控制 a) 產(chǎn)品安全功能應(yīng)基于安全屬性和確定的安全屬性組，對(duì)已明確的客體執(zhí)行產(chǎn)品訪問(wèn)控制策略； b) 產(chǎn)品安全功能應(yīng)執(zhí)行產(chǎn)品訪問(wèn)控制策略，決定受控的主體與客體間的操作是否被允許。 4.4　 安全保障要求 4.4.1　 開(kāi)發(fā) 4.4.1.1　 安全架構(gòu)描述 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TOE，確保TSF的安全特性不可旁路； 2) 開(kāi)發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TSF，以防止不可信主體的破壞； 3) 開(kāi)發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。 b) 內(nèi)容和形式元素： 1) 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計(jì)文檔中對(duì)SFR-執(zhí)行的抽象描述的級(jí)別一致； 2) 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域； 3) 安全架構(gòu)的描述應(yīng)描述TSF初始化過(guò)程為何是安全的； 4) 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞； 5) 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR-執(zhí)行的功能被旁路。 4.4.1.2　 安全執(zhí)行功能規(guī)范 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供一個(gè)功能規(guī)范； 2) 開(kāi)發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。 b) 內(nèi)容和形式元素： 1) 功能規(guī)范應(yīng)完整地描述TSF； 2) 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法； 3) 功能規(guī)范應(yīng)識(shí)別和描述每個(gè)TSFI相關(guān)的所有參數(shù)； 4) 對(duì)于每個(gè)SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為； 5) 對(duì)于SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯(cuò)誤消息； 6) 功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。 4.4.1.3　 基礎(chǔ)設(shè)計(jì) a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供TOE的設(shè)計(jì)； 2) 開(kāi)發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射。 b) 內(nèi)容和形式元素： 1) 設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)； 2) 設(shè)計(jì)應(yīng)標(biāo)識(shí)TSF的所有子系統(tǒng)； 3) 設(shè)計(jì)應(yīng)對(duì)每一個(gè)SFR-支撐或SFR-無(wú)關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述，以確定它不是SFR-執(zhí)行； 4) 設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； 5) 設(shè)計(jì)應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； 6) 映射關(guān)系應(yīng)證實(shí)TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。 4.4.2　 指導(dǎo)性文檔 4.4.2.1　 操作用戶(hù)指南 a) 開(kāi)發(fā)者行為元素： 開(kāi)發(fā)者應(yīng)提供操作用戶(hù)指南。 b) 內(nèi)容和形式元素： 1) 操作用戶(hù)指南應(yīng)對(duì)每一種用戶(hù)角色進(jìn)行描述，在安全處理環(huán)境中應(yīng)被控制的用戶(hù)可訪問(wèn)的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ? 2) 操作用戶(hù)指南應(yīng)對(duì)每一種用戶(hù)角色進(jìn)行描述，怎樣以安全的方式使用TOE提供的可用接口； 3) 操作用戶(hù)指南應(yīng)對(duì)每一種用戶(hù)角色進(jìn)行描述，可用功能和接口，尤其是受用戶(hù)控制的所有安全參數(shù)，適當(dāng)時(shí)應(yīng)指明安全值； 4) 操作用戶(hù)指南應(yīng)對(duì)每一種用戶(hù)角色明確說(shuō)明，與需要執(zhí)行的用戶(hù)可訪問(wèn)功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實(shí)體的安全特性； 5) 操作用戶(hù)指南應(yīng)標(biāo)識(shí)TOE運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤），它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系； 6) 操作用戶(hù)指南應(yīng)對(duì)每一種用戶(hù)角色進(jìn)行描述，為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的所必須執(zhí)行的安全策略； 7) 操作用戶(hù)指南應(yīng)是明確和合理的。 4.4.2.2　 準(zhǔn)備程序 a) 開(kāi)發(fā)者行為元素： 開(kāi)發(fā)者應(yīng)提供TOE，包括它的準(zhǔn)備程序。 b) 內(nèi)容和形式元素： 1) 準(zhǔn)備程序應(yīng)描述與開(kāi)發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； 2) 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境必需的所有步驟。 4.4.3　 生命周期支持 4.4.3.1　 CM系統(tǒng)的使用 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)提供TOE及其參照號(hào)； 2) 開(kāi)發(fā)者應(yīng)提供CM文檔； 3) 開(kāi)發(fā)者應(yīng)使用CM系統(tǒng)。 b) 內(nèi)容和形式元素： 1) 應(yīng)給TOE標(biāo)注唯一參照號(hào)； 2) CM文檔應(yīng)描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法； 3) CM系統(tǒng)應(yīng)唯一標(biāo)識(shí)所有配置項(xiàng)。 4.4.3.2　 部分TOE CM覆蓋 a) 開(kāi)發(fā)者行為元素： 開(kāi)發(fā)者應(yīng)提供TOE配置項(xiàng)列表。 b) 內(nèi)容和形式元素： 1) 配置項(xiàng)列表應(yīng)包括：TOE本身、安全保障要求的評(píng)估證據(jù)和TOE的組成部分； 2) 配置項(xiàng)列表應(yīng)唯一標(biāo)識(shí)配置項(xiàng)； 3) 對(duì)于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡(jiǎn)要說(shuō)明該配置項(xiàng)的開(kāi)發(fā)者。 4.4.3.3　 交付程序 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)將把TOE或其部分交付給消費(fèi)者的程序文檔化； 2) 開(kāi)發(fā)者應(yīng)使用交付程序。 b) 內(nèi)容和形式元素： 交付文檔應(yīng)描述，在向消費(fèi)者分發(fā)TOE版本時(shí)，用以維護(hù)安全性所必需的所有程序。 4.4.4　 測(cè)試 4.4.4.1　 覆蓋證據(jù) a) 開(kāi)發(fā)者行為元素： 開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋的證據(jù)。 b) 內(nèi)容和形式元素： 測(cè)試覆蓋的證據(jù)應(yīng)表明測(cè)試文檔中的測(cè)試與功能規(guī)范中的TSF接口之間的對(duì)應(yīng)性。 4.4.4.2　 功能測(cè)試 a) 開(kāi)發(fā)者行為元素： 1) 開(kāi)發(fā)者應(yīng)測(cè)試TSF，并文檔化測(cè)試結(jié)果； 2) 開(kāi)發(fā)者應(yīng)提供測(cè)試文檔。 b) 內(nèi)容和形式元素： 1) 測(cè)試文檔應(yīng)包括測(cè)試計(jì)劃、預(yù)期的測(cè)試結(jié)果和實(shí)際的測(cè)試結(jié)果； 2) 測(cè)試計(jì)劃應(yīng)標(biāo)識(shí)要執(zhí)行的測(cè)試并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案應(yīng)包括對(duì)于其他測(cè)試結(jié)果的任何順序依賴(lài)性； 3) 預(yù)期的測(cè)試結(jié)果應(yīng)指出測(cè)試成功執(zhí)行后的預(yù)期輸出； 4) 實(shí)際的測(cè)試結(jié)果應(yīng)與預(yù)期的測(cè)試結(jié)果一致。 4.4.4.3　 獨(dú)立測(cè)試-抽樣 a) 開(kāi)發(fā)者行為元素： 開(kāi)發(fā)者應(yīng)提供用于測(cè)試的TOE。 b) 內(nèi)容和形式元素： 1) TOE應(yīng)適合測(cè)試； 2) 開(kāi)發(fā)者應(yīng)提供一組與開(kāi)發(fā)者TSF功能測(cè)試中同等的一系列資源。 4.4.5　 脆弱性評(píng)定 4.4.5.1　 脆弱性分析 a) 開(kāi)發(fā)者行為元素： 開(kāi)發(fā)者應(yīng)提供用于測(cè)試的TOE。 b) 內(nèi)容和形式元素： TOE應(yīng)適合測(cè)試。 5　 評(píng)價(jià)方法 5.1　 總體說(shuō)明 評(píng)價(jià)方法與評(píng)價(jià)要求一一對(duì)應(yīng)，它給出具體的方法來(lái)驗(yàn)證WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)產(chǎn)品是否滿(mǎn)足評(píng)價(jià)要求。評(píng)價(jià)過(guò)程分為檢測(cè)和評(píng)估，其中，檢測(cè)內(nèi)容為功能要求及自身安全要求，評(píng)估內(nèi)容為安全保障要求，評(píng)估的主要方式為文件審核和現(xiàn)場(chǎng)核查。 5.2　 檢測(cè)環(huán)境與工具 a) 檢測(cè)環(huán)境圖 u 圖1　 功能檢測(cè)環(huán)境圖 b) 檢測(cè)工具：WEB瀏覽器、網(wǎng)絡(luò)協(xié)議分析工具 5.3　 功能檢測(cè) 5.3.1　 WEB應(yīng)用狀態(tài)監(jiān)控 a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能定時(shí)對(duì)目標(biāo)WEB應(yīng)用訪問(wèn)，并分析返回頁(yè)面，檢測(cè)是否包含錯(cuò)誤信息，及時(shí)發(fā)現(xiàn)WEB應(yīng)用訪問(wèn)異常。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明書(shū)描述，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否支持WEB應(yīng)用狀態(tài)監(jiān)控； 2) 按照產(chǎn)品說(shuō)明書(shū)，使用WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)對(duì)部署在服務(wù)器上存在問(wèn)題的WEB應(yīng)用實(shí)施狀態(tài)監(jiān)控，并查看監(jiān)控結(jié)果。 c) 結(jié)果判定 1) 產(chǎn)品提供支持WEB應(yīng)用狀態(tài)監(jiān)控功能； 3) 產(chǎn)品能夠監(jiān)測(cè)應(yīng)用訪問(wèn)的異常情況； 1)-2)項(xiàng)均滿(mǎn)足為“符合”；否則為“不符合”。 5.3.2　 WEB漏洞掃描 a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能夠掃描到SQL注入攻擊、跨站腳本攻擊（XSS）、信息泄露等常見(jiàn)的 WEB應(yīng)用安全漏洞。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明書(shū)描述，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)檢查是否支持對(duì)SQL注入攻擊、跨站腳本（XSS）攻擊、信息泄露（源代碼、報(bào)錯(cuò)信息、目錄信息）等常見(jiàn)的WEB攻擊手段掃描檢測(cè)； 2) 使用WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)對(duì)部署在測(cè)試服務(wù)器上存在SQL注入、跨站腳本、信息泄露等安全漏洞的WEB應(yīng)用進(jìn)行掃描，查看掃描結(jié)果。 c) 結(jié)果判定 1) 產(chǎn)品提供支持WEB漏洞掃描功能； 2) 產(chǎn)品能夠監(jiān)測(cè)出部署在測(cè)試服務(wù)器上的WEB應(yīng)用存在SQL注入、跨站腳本、信息泄露等安全漏洞； 1)-2)項(xiàng)均滿(mǎn)足為“符合”；否則為“不符合”。 5.3.3　 網(wǎng)頁(yè)掛馬檢測(cè) a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能檢測(cè)到被掛馬的WEB頁(yè)面。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明書(shū)描述，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否支持網(wǎng)頁(yè)掛馬檢測(cè)； 2) 使用WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)對(duì)部署在測(cè)試服務(wù)器上存在網(wǎng)頁(yè)掛馬的WEB應(yīng)用進(jìn)行掃描，查看掃描結(jié)果。 c) 結(jié)果判定 1) 產(chǎn)品提供支持網(wǎng)頁(yè)掛馬檢測(cè)功能； 2) 產(chǎn)品能夠完成網(wǎng)頁(yè)掛馬檢測(cè)，并能夠檢測(cè)出被掛馬的WEB頁(yè)面； 1)-2)項(xiàng)均滿(mǎn)足為“符合”；否則為“不符合”。 5.3.4　 自動(dòng)通告 a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)支持在發(fā)現(xiàn)WEB應(yīng)用出現(xiàn)故障或者發(fā)現(xiàn)WEB應(yīng)用安全漏洞時(shí)，能自動(dòng)通知系統(tǒng)管理員。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明書(shū)描述，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否支持自動(dòng)通告； 2) 使用WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)對(duì)部署在測(cè)試服務(wù)器上存在安全漏洞的WEB應(yīng)用進(jìn)行監(jiān)測(cè)，查看是否能夠在發(fā)現(xiàn)漏洞或故障后，通過(guò)郵件、短信、頁(yè)面提示、聲音報(bào)警等一種或多種方式自動(dòng)通知管理員。 c) 結(jié)果判定 1) 產(chǎn)品提供自動(dòng)通知功能； 2) 產(chǎn)品能夠在發(fā)現(xiàn)漏洞或故障后，通過(guò)郵件、短信、頁(yè)面提示、聲音報(bào)警等一種或多種方式自動(dòng)通知管理員。 1)-2)項(xiàng)均滿(mǎn)足為“符合”；否則為“不符合”。 5.3.5　 產(chǎn)品升級(jí) a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)支持手動(dòng)或者自動(dòng)的方式進(jìn)行產(chǎn)品升級(jí)（如對(duì)漏洞知識(shí)庫(kù)、木馬特征以及服務(wù)程序等進(jìn)行更新）。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明書(shū)描述，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否支持產(chǎn)品升級(jí)； 2) 按照產(chǎn)品說(shuō)明書(shū)，測(cè)試WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否可實(shí)施手動(dòng)或自動(dòng)升級(jí)。 c) 結(jié)果判定 1) 產(chǎn)品提供升級(jí)功能； 2) 產(chǎn)品能夠支持手動(dòng)或者自動(dòng)的方式進(jìn)行產(chǎn)品升級(jí)。 1)-2)項(xiàng)均滿(mǎn)足為“符合”；否則為“不符合”。 5.3.6　 管理功能 5.3.6.1　 系統(tǒng)管理 a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)具備配置管理功能，支持本地管理或遠(yuǎn)程管理。 b) 檢測(cè)方法 查看WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的管理方式（如：Console口、Telnet、SSH、HTTP、HTTPS、SNMP、產(chǎn)品專(zhuān)用的管理程序），是否支持本地管理或遠(yuǎn)程管理方式，并進(jìn)行驗(yàn)證。 c) 結(jié)果判定 1) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)支持本地的管理方式，且能夠有效實(shí)施配置管理； 2) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)支持遠(yuǎn)程管理方式，且能夠有效實(shí)施配置管理。 1)或 2)項(xiàng)有一項(xiàng)滿(mǎn)足為“符合”，其他情況為“不符合”。 5.3.6.2　 任務(wù)管理 a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)支持監(jiān)測(cè)掃描任務(wù)添加域名或IP地址，能夠設(shè)置掃描時(shí)間周期并實(shí)時(shí)顯示任務(wù)進(jìn)度及詳情，支持對(duì)已完成掃描任務(wù)的記錄和管理。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明書(shū)描述，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否支持任務(wù)管理功能； 2) 使用WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)添加掃描任務(wù)對(duì)部署在測(cè)試服務(wù)器上的WEB應(yīng)用進(jìn)行監(jiān)測(cè)掃描，查看當(dāng)前任務(wù)進(jìn)展情況； 3) 任務(wù)完成之后對(duì)歷史任務(wù)進(jìn)行查看、搜索、排序和刪除等操作。 c) 結(jié)果判定 1) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)支持掃描任務(wù)添加域名或IP地址并支持掃描時(shí)間周期的設(shè)置； 2) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)支持查看當(dāng)前掃描任務(wù)的詳細(xì)信息，并可對(duì)已完成的掃描任務(wù)進(jìn)行管理。 1)或 2)項(xiàng)有一項(xiàng)滿(mǎn)足為“符合”，其他情況為“不符合”。 5.3.6.3　 報(bào)表管理 a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)支持報(bào)表功能并能輸出報(bào)表；報(bào)表內(nèi)容應(yīng)包含網(wǎng)站基本信息（包括IP地址、網(wǎng)站標(biāo)題及服務(wù)器所處位置等等信息）、任務(wù)概要信息（包括任務(wù)掃描時(shí)間、掃描深度、網(wǎng)站安全等級(jí)等信息）以及執(zhí)行結(jié)果信息（包括SQL注入、XSS跨站、網(wǎng)站掛馬等鏈接的詳細(xì)信息）。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明書(shū)描述，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否支持報(bào)表管理功能； 2) 登錄WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)查看歷史任務(wù)報(bào)表，查看報(bào)表內(nèi)容是否包含檢測(cè)要求中的相關(guān)信息。 3) 導(dǎo)出歷史任務(wù)報(bào)表，報(bào)表應(yīng)能被導(dǎo)出（如HTML、WORD等格式）。 c) 結(jié)果判定 1) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的報(bào)表內(nèi)容應(yīng)包含檢測(cè)要求中的詳細(xì)內(nèi)容； 2) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的報(bào)表應(yīng)能被導(dǎo)出（導(dǎo)出格式不限）。 1)或 2)項(xiàng)有一項(xiàng)滿(mǎn)足為“符合”，其他情況為“不符合”。 5.3.7　 服務(wù)能力監(jiān)測(cè) a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能對(duì)WEB應(yīng)用的訪問(wèn)響應(yīng)時(shí)間進(jìn)行監(jiān)測(cè)，顯示訪問(wèn)延時(shí)波動(dòng)。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明書(shū)描述，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否支持服務(wù)能力監(jiān)測(cè)； 2) 使用WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)對(duì)部署在測(cè)試服務(wù)器上的WEB應(yīng)用進(jìn)行監(jiān)測(cè)，查看是否能夠顯示訪問(wèn)延時(shí)波動(dòng)。 c) 結(jié)果判定 1) 產(chǎn)品提供服務(wù)能力監(jiān)測(cè)功能； 2) 產(chǎn)品能夠顯示訪問(wèn)延時(shí)波動(dòng)。 1)-2)項(xiàng)均滿(mǎn)足為“符合”；否則為“不符合”。 5.3.8　 篡改監(jiān)測(cè) a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能及時(shí)發(fā)現(xiàn)指定的WEB應(yīng)用（如指定URL地址等）被篡改的行為（如篡改頁(yè)面的文字、圖片、媒體信息等），并產(chǎn)生用戶(hù)告警信息（如通過(guò)郵件、短信及提示信息等顯示告警信息）。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明書(shū)描述，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否支持篡改監(jiān)測(cè)功能，并登錄配置界面驗(yàn)證產(chǎn)品是否提供對(duì)篡改監(jiān)控頁(yè)面的設(shè)置； 2) 使用WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)對(duì)部署在測(cè)試服務(wù)器上WEB應(yīng)用的指定頁(yè)面進(jìn)行監(jiān)測(cè)，對(duì)WEB應(yīng)用進(jìn)行授權(quán)發(fā)布或更新，驗(yàn)證對(duì)發(fā)布后的應(yīng)用能否重新建立新的掃描對(duì)比基準(zhǔn)，以區(qū)別非授權(quán)篡改。 3) 使用WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)對(duì)部署在測(cè)試服務(wù)器上WEB應(yīng)用的指定頁(yè)面進(jìn)行監(jiān)測(cè)，對(duì)WEB應(yīng)用進(jìn)行篡改操作（如修改頁(yè)面內(nèi)容、媒體信息及刪除圖片等），查看WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否對(duì)其篡改操作行為進(jìn)行告警，并通過(guò)何種方式進(jìn)行告警。 c) 結(jié)果判定 1) 產(chǎn)品提供篡改監(jiān)控功能，并提供對(duì)篡改監(jiān)控頁(yè)面的參數(shù)設(shè)置（如設(shè)置指定的URL地址、監(jiān)測(cè)深度等）； 2) 產(chǎn)品能夠?qū)φ０l(fā)布或更新行為手動(dòng)或自動(dòng)建立新的掃描基準(zhǔn)，以區(qū)分非授權(quán)篡改； 3) 產(chǎn)品能夠?qū)Υ鄹牟僮餍袨檫M(jìn)行告警。 1)-3)項(xiàng)均滿(mǎn)足為“符合”；否則為“不符合”。 5.4　 自身安全檢測(cè) 5.4.1　 檢測(cè)環(huán)境與工具 5.4.2　 安全審計(jì) 5.4.2.1　 審計(jì)數(shù)據(jù)產(chǎn)生 a) 檢測(cè)要求 1) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)對(duì)以下事件生成審計(jì)記錄： —— 審計(jì)功能的啟動(dòng)與關(guān)閉； —— 用戶(hù)的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為； —— 鑒別機(jī)制的使用； —— 鑒別失敗的次數(shù)超過(guò)給定閾值導(dǎo)致會(huì)話(huà)終止； —— 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 2) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)每個(gè)審計(jì)記錄中應(yīng)記錄下列信息： —— 事件發(fā)生的日期、時(shí)間； —— 事件的類(lèi)型； —— 主體身份標(biāo)識(shí)； —— 事件的描述及結(jié)果。 b) 檢測(cè)方法 1) 以授權(quán)用戶(hù)身份登錄WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)，執(zhí)行檢測(cè)要求1）中相關(guān)的操作，查看審計(jì)記錄，檢查系統(tǒng)是否對(duì)操作進(jìn)行了審計(jì)記錄；； 2) 查看審計(jì)記錄內(nèi)容中是否包括事件發(fā)生的日期和時(shí)間、事件類(lèi)型、主體身份標(biāo)識(shí)、事件描述及結(jié)果等信息。 c) 結(jié)果判定 1) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)能夠?qū)σ韵率录蓪徲?jì)記錄： —— 審計(jì)功能的啟動(dòng)與關(guān)閉； —— 用戶(hù)的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為； —— 鑒別機(jī)制的使用； —— 鑒別失敗的次數(shù)超過(guò)給定閾值導(dǎo)致會(huì)話(huà)終止； —— 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 2) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的審計(jì)記錄中能夠記錄下列信息： —— 事件發(fā)生的日期、時(shí)間； —— 事件的類(lèi)型； —— 主體身份標(biāo)識(shí)； —— 事件的描述及結(jié)果。 1)-2)項(xiàng)均滿(mǎn)足為“符合”，其他情況為“不符合”。 5.4.2.2　 審計(jì)查閱 a) 檢測(cè)要求 1) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)為授權(quán)用戶(hù)提供讀取審計(jì)記錄的功能。 2) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)以便于用戶(hù)理解的方式提供審計(jì)記錄。 b) 檢測(cè)方法 1) 以授權(quán)用戶(hù)身份登錄WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)，查驗(yàn)是否為授權(quán)用戶(hù)提供從審計(jì)記錄中讀取審計(jì)信息的功能。 2) 查看 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)審計(jì)信息的提供方式和格式。 c) 結(jié)果判定 1) 授權(quán)用戶(hù)能夠讀取審計(jì)記錄； 2) 審計(jì)記錄以用戶(hù)易理解的方式和格式提供。 1)-2)項(xiàng)均滿(mǎn)足為“符合”；否則為“不符合”。 5.4.2.3　 限制審計(jì)查閱 a) 檢測(cè)要求 除明確允許讀訪問(wèn)的用戶(hù)外，TSF應(yīng)禁止所有用戶(hù)對(duì)審計(jì)記錄的讀訪問(wèn)。 b) 檢測(cè)方法 1) 檢查授權(quán)用戶(hù)是否能夠讀取其權(quán)限范圍內(nèi)的審計(jì)信息； 2) 檢查非授權(quán)用戶(hù)是否不能讀取任何審計(jì)信息。 c) 結(jié)果判定 1) 授權(quán)用戶(hù)能夠讀取其權(quán)限范圍內(nèi)的審計(jì)信息； 2) 非授權(quán)用戶(hù)不能讀取任何審計(jì)信息。 1)-2)項(xiàng)均滿(mǎn)足為“符合”；否則為“不符合”。 5.4.2.4　 可選審計(jì)查閱 a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)提供根據(jù)條件對(duì)審計(jì)數(shù)據(jù)進(jìn)行查詢(xún)或排序的功能。 b) 檢測(cè)方法 1) 以授權(quán)用戶(hù)身份登錄WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)，以一定的條件（如，主體ID（標(biāo)識(shí)符）、客體ID、日期、時(shí)間等）對(duì)審計(jì)數(shù)據(jù)進(jìn)行查詢(xún)或排序操作； 2) 檢查查詢(xún)或排序的結(jié)果是否完全正確。 c) 結(jié)果判定 1) 能夠支持根據(jù)條件對(duì)審計(jì)數(shù)據(jù)進(jìn)行查詢(xún)或排序； 2) 查詢(xún)或排序的結(jié)果是否完全正確。 1)-2)項(xiàng)均滿(mǎn)足為“符合”，其他情況為“不符合”。 5.4.2.5　 防止審計(jì)數(shù)據(jù)丟失 a) 檢測(cè)要求 1) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的安全功能應(yīng)把生成的審計(jì)記錄存儲(chǔ)于一個(gè)永久性的記錄中，并應(yīng)提供相應(yīng)措施以防止故障或攻擊造成的審計(jì)事件丟失； 2) 對(duì)因故障或存儲(chǔ)耗竭而導(dǎo)致審計(jì)數(shù)據(jù)丟失的最大審計(jì)存儲(chǔ)容量，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的開(kāi)發(fā)者應(yīng)提供相應(yīng)的分析結(jié)果； 3) 一旦審計(jì)存儲(chǔ)容量達(dá)到事先規(guī)定的警戒值，應(yīng)能發(fā)送警告信息，并采取相應(yīng)的防護(hù)措施。 b) 檢測(cè)方法 1) 查驗(yàn)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的安全功能是否將生成的審計(jì)記錄存儲(chǔ)于一個(gè)永久性的記錄中（如，硬盤(pán)），而非易失性部件中（如，內(nèi)存）。 2) 查驗(yàn)是否提供相應(yīng)措施以防止故障或攻擊造成的審計(jì)事件丟失（檢測(cè)是否提供安全措施，如可以自動(dòng)存檔或?qū)С鰧徲?jì)事件，防止意外丟失）； 3) 查驗(yàn)對(duì)因故障或存儲(chǔ)耗竭而導(dǎo)致審計(jì)數(shù)據(jù)丟失的最大審計(jì)存儲(chǔ)容量，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的開(kāi)發(fā)者是否提供相應(yīng)的分析結(jié)果 （包括對(duì)可能到達(dá)最大容量的充分估計(jì)，對(duì)容量問(wèn)題設(shè)計(jì)一定措施，如開(kāi)辟大容量空間存放審計(jì)數(shù)據(jù)、接近上限前提醒管理員等）； 4) 模擬審計(jì)容量大量消耗相關(guān)的操作，測(cè)試WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否在審計(jì)存儲(chǔ)容量達(dá)到事先規(guī)定的警戒值時(shí)發(fā)出警告信息，并采取相應(yīng)的防護(hù)措施（如，停止記錄、僅從最早的記錄開(kāi)始覆蓋等）。 c) 結(jié)果判定 1) 審計(jì)記錄存儲(chǔ)于一個(gè)永久性的記錄中； 2) 系統(tǒng)支持自動(dòng)存檔機(jī)制或支持授權(quán)管理員的導(dǎo)出備份功能，從而能夠防止由于故障和攻擊可能造成的意外丟失； 3) 對(duì)因故障或存儲(chǔ)耗竭而導(dǎo)致審計(jì)數(shù)據(jù)丟失的最大審計(jì)存儲(chǔ)容量，系統(tǒng)的開(kāi)發(fā)者能夠提供相應(yīng)的分析結(jié)果； 4) 審計(jì)容量達(dá)到警戒值時(shí)發(fā)出警告信息，并能夠采取相應(yīng)的防護(hù)措施。 1)-4)項(xiàng)均滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.2.6　 審計(jì)數(shù)據(jù)保護(hù) a) 檢測(cè)要求 1) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)保護(hù)存儲(chǔ)的審計(jì)記錄免遭未授權(quán)的刪除； 2) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)禁止對(duì)審計(jì)記錄的修改。 b) 檢測(cè)方法 1) 分別以授權(quán)用戶(hù)和非授權(quán)用戶(hù)身份執(zhí)行刪除審計(jì)記錄的操作，驗(yàn)證WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否能夠確保免遭未授權(quán)的刪除； 2) 查看WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否能夠防止修改審計(jì)記錄的操作。 c) 結(jié)果判定 1) 能夠確保免遭未授權(quán)的刪除； 2) 審計(jì)記錄不能修改。 1）—2）項(xiàng)滿(mǎn)足為“符合”，其他情況為“不符合”。 5.4.3　 標(biāo)識(shí)和鑒別 5.4.3.1　 唯一性標(biāo)識(shí) a) 檢測(cè)要求 WEB 應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)保證任何用戶(hù)都具有全局唯一的標(biāo)識(shí)。 b) 檢測(cè)方法 1) 以授權(quán)用戶(hù)身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，查看用戶(hù)信息； 2) 嘗試新建一個(gè)相同用戶(hù)標(biāo)識(shí)的用戶(hù)，檢查操作是否能夠成功。 c) 結(jié)果判定 1) 系統(tǒng)不允許新建相同用戶(hù)標(biāo)識(shí)的用戶(hù)。 1)項(xiàng)滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.3.2　 鑒別的時(shí)機(jī) a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)要求每個(gè)用戶(hù)在執(zhí)行與數(shù)據(jù)泄露防護(hù)產(chǎn)品安全相關(guān)的任何其他操作之前，都已被成功鑒別。 b) 檢測(cè)方法 1) 查看用戶(hù)在未被成功鑒別前，是否被拒絕執(zhí)行任何安全相關(guān)的操作； 2) 查看產(chǎn)品是否拒絕使用錯(cuò)誤鑒別信息的用戶(hù)登錄； 3) 嘗試以正確的鑒別信息登錄，驗(yàn)證產(chǎn)品是否允許登錄，是否允許進(jìn)行相應(yīng)的安全管理操作。 4) 對(duì)系統(tǒng)中所有角色的授權(quán)用戶(hù)進(jìn)行測(cè)試，查驗(yàn)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的安全功能是否確保對(duì)每個(gè)授權(quán)用戶(hù)都進(jìn)行鑒別。 c) 結(jié)果判定 1) 用戶(hù)被成功鑒別前，不能執(zhí)行任何與安全相關(guān)的操作； 2) 使用錯(cuò)誤鑒別信息，產(chǎn)品不允許登錄； 3) 使用正確的鑒別信息，能夠成功登錄，并能夠執(zhí)行相應(yīng)的安全管理操作。 4) 系統(tǒng)能夠確保對(duì)每個(gè)授權(quán)用戶(hù)都進(jìn)行鑒別。 1)-4)項(xiàng)均滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.3.3　 用戶(hù)屬性定義 a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)為每一個(gè)用戶(hù)保存安全屬性表，屬性應(yīng)包括：用戶(hù)標(biāo)識(shí)、授權(quán)信息或用戶(hù)組信息、其他安全屬性等。 b) 檢測(cè)方法 1) 查看產(chǎn)品是否為每一個(gè)用戶(hù)保存其安全屬性表，屬性可包括：用戶(hù)標(biāo)識(shí)、授權(quán)信息或用戶(hù)組信息、其他安全屬性等； 2) 以不同的授權(quán)用戶(hù)身份登錄WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)，執(zhí)行其權(quán)限范圍內(nèi)的操作，檢查該用戶(hù)可執(zhí)行的操作與其安全屬性（如用戶(hù)標(biāo)識(shí)、授權(quán)信息等）的要求是否一致； 3) 查驗(yàn)是否能夠有效對(duì)安全屬性進(jìn)行設(shè)定、修改； 4) 修改用戶(hù)的部分安全屬性后，檢查該用戶(hù)可執(zhí)行的操作與其被修改后的安全屬性的要求是否一致。 c) 結(jié)果判定 1) 系統(tǒng)支持為每一個(gè)用戶(hù)定義及維護(hù)其安全屬性表； 2) 所有用戶(hù)能夠依據(jù)其安全屬性進(jìn)行相應(yīng)的操作； 3) 支持對(duì)安全屬性的設(shè)定、修改； 4) 用戶(hù)可執(zhí)行的操作與其被修改后的安全屬性（如授權(quán)信息等）的要求一致。 1)-4)均滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.3.4　 鑒別失敗處理 a) 檢測(cè)要求 1) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能檢測(cè)用戶(hù)的不成功的鑒別嘗試； 2) 在經(jīng)過(guò)一定次數(shù)的鑒別失敗后，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的安全功能應(yīng)采取措施以終止登錄嘗試的動(dòng)作，直至滿(mǎn)足已定義的條件才允許進(jìn)行重新鑒別； 3) 鑒別嘗試的閾值應(yīng)僅允許授權(quán)管理員設(shè)定。 b) 檢測(cè)方法 1) 以錯(cuò)誤的鑒別信息嘗試登錄，查驗(yàn)是否被拒絕進(jìn)入系統(tǒng)； 2) 進(jìn)行一定次數(shù)的登錄嘗試，驗(yàn)證在一定次數(shù)的鑒別失敗后，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)是否對(duì)登錄嘗試主機(jī)終止其建立會(huì)話(huà)的過(guò)程（例如：關(guān)閉身份鑒別的對(duì)話(huà)界面、鎖定帳戶(hù)等）； 3) 如果系統(tǒng)提供最多失敗次數(shù)的設(shè)定功能。查驗(yàn)該閾值是否僅由授權(quán)管理員設(shè)定，并驗(yàn)證所設(shè)定的次數(shù)是否有效； c) 結(jié)果判定 1) 系統(tǒng)能夠檢測(cè)用戶(hù)的不成功的鑒別嘗試； 2) 在連續(xù)登錄鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，用戶(hù)賬號(hào)或登錄點(diǎn)失效； 3) 達(dá)到解鎖條件后，失效的用戶(hù)賬號(hào)或登錄點(diǎn)能夠重新進(jìn)行鑒別操作； 4) 未成功鑒別嘗試次數(shù)閾值僅由授權(quán)管理員能夠進(jìn)行設(shè)置。 1)-4）項(xiàng)均滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.3.5　 受保護(hù)的鑒別反饋 a) 檢測(cè)要求 鑒別進(jìn)行時(shí)，WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋，不顯示字符本身。 b) 檢測(cè)方法 執(zhí)行用戶(hù)身份鑒別操作，輸入用戶(hù)鑒別數(shù)據(jù)，檢查WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)給出的反饋信息是否不顯示字符本身。 c) 結(jié)果判定 1) 產(chǎn)品給出的反饋信息不顯示字符本身。 1)項(xiàng)滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.4　 安全管理 5.4.4.1　 安全功能行為的管理 a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)僅限于授權(quán)用戶(hù)對(duì)下述功能具有修改的能力。 1) 監(jiān)測(cè)任務(wù)的管理； 2) 其他安全功能行為的管理。 b) 檢測(cè)方法 1) 檢查WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)管理系統(tǒng)的安全功能是否明確規(guī)定僅限于指定的授權(quán)角色對(duì)監(jiān)測(cè)任務(wù)具有設(shè)定、修改的能力。 2) 檢查指定的授權(quán)用戶(hù)對(duì)系統(tǒng)的功能進(jìn)行設(shè)定、修改等操作前，是否先登錄才能操作。 c) 結(jié)果判定 1) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)僅限于授權(quán)用戶(hù)對(duì)監(jiān)測(cè)任務(wù)等功能進(jìn)行設(shè)定、修改。 2) 指定的授權(quán)用戶(hù)對(duì)系統(tǒng)的功能進(jìn)行設(shè)定、修改等操作前，先登錄才能操作。 1)-2)項(xiàng)均滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.4.2　 安全屬性的管理 a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)執(zhí)行訪問(wèn)控制策略或信息流控制策略， 以限制已識(shí)別了的授權(quán)角色查詢(xún)、修改和刪除安全屬性的能力。 b) 檢測(cè)方法 1) 查看產(chǎn)品所設(shè)定的安全屬性組（如：用戶(hù)名、帳戶(hù)有效性、帳戶(hù)過(guò)期時(shí)間和口令過(guò)期時(shí)間等）； 2) 對(duì)用戶(hù)的安全屬性進(jìn)行查詢(xún)、創(chuàng)建、修改和刪除，并作相應(yīng)驗(yàn)證； 3) 驗(yàn)證是否僅指定的授權(quán)管理員（如：系統(tǒng)管理員）對(duì)安全屬性具有管理能力。 c) 結(jié)果判定 1) 產(chǎn)品能夠提供對(duì)安全屬性進(jìn)行查詢(xún)、創(chuàng)建、修改和刪除的功能； 2) 產(chǎn)品僅允許指定的授權(quán)管理員對(duì)安全屬性具有管理能力。 1)-2)均滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.4.3　 安全角色 a) 檢測(cè)要求 1) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)維護(hù)已標(biāo)識(shí)的授權(quán)角色； 2) WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)能夠?qū)⒂脩?hù)與角色關(guān)聯(lián)起來(lái)。 b) 檢測(cè)方法 1) 查看產(chǎn)品說(shuō)明文檔中關(guān)于安全管理角色的劃分和描述； 2) 查驗(yàn)是否允許定義多個(gè)角色或?qū)巧M(jìn)行分級(jí)，使不同級(jí)別的管理角色具有不同的管理權(quán)限； 3) 將用戶(hù)與角色關(guān)聯(lián)起來(lái)，并進(jìn)行驗(yàn)證； 4) 檢測(cè)未授予安全管理角色的普通用戶(hù)是否能夠執(zhí)行安全管理功能相關(guān)操作。 c) 結(jié)果判定 1) 產(chǎn)品支持定義多個(gè)角色或?qū)巧M(jìn)行分級(jí)，使不同級(jí)別的管理角色具有不同的管理權(quán)限； 2) 用戶(hù)能夠與角色進(jìn)行關(guān)聯(lián)，從而實(shí)施相應(yīng)的管理功能； 3) 未授予安全管理角色的普通用戶(hù)不能執(zhí)行安全管理功能相關(guān)操作。 1)-3)均滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.4.4　 TSF數(shù)據(jù)的管理 a) 檢測(cè)要求 WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)應(yīng)僅允許授權(quán)用戶(hù)控制安全功能數(shù)據(jù)的管理。 b) 檢測(cè)方法 1) 驗(yàn)證授權(quán)管理員用戶(hù)對(duì)TSF數(shù)據(jù)的管理能力（如，審計(jì)信息、時(shí)鐘、系統(tǒng)配置、重鑒別的閾值、掃描間隔時(shí)間、告警參數(shù)和其它TSF配置參數(shù)等）； 2) 驗(yàn)證僅允許指定的授權(quán)管理員才能實(shí)施 TSF 數(shù)據(jù)的管理。 c) 結(jié)果判定 1) 產(chǎn)品能夠提供對(duì)TSF數(shù)據(jù)（如，審計(jì)信息、時(shí)鐘、系統(tǒng)配置、重鑒別的閾值、掃描間隔時(shí)間、告警參數(shù)和其它TSF配置參數(shù)等）的管理能力； 2) 僅允許指定的授權(quán)管理員（如：安全策略管理員）才能實(shí)施TSF數(shù)據(jù)的管理。 1)-2)均滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.5　 TSF保護(hù) 5.4.5.1　 內(nèi)部TSF數(shù)據(jù)傳送的基本保護(hù) a) 檢測(cè)要求 TSF應(yīng)保護(hù)所有從WEB 應(yīng)用安全監(jiān)測(cè)系統(tǒng)傳送到遠(yuǎn)程管理主機(jī)的TSF數(shù)據(jù)（如：登錄鑒別數(shù)據(jù)、安全設(shè)置信息）在傳送過(guò)程中不會(huì)被未授權(quán)泄漏。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明手冊(cè)，當(dāng)產(chǎn)品需要通過(guò)網(wǎng)絡(luò)進(jìn)行管理時(shí)，是否能提供對(duì)安全功能數(shù)據(jù)采取安全保護(hù)措施； 2) 使用網(wǎng)絡(luò)協(xié)議分析工具，對(duì)網(wǎng)絡(luò)傳輸?shù)陌踩δ軘?shù)據(jù)進(jìn)行截包分析并加以驗(yàn)證。 c) 結(jié)果判定 1) 產(chǎn)品能夠提供對(duì)安全功能數(shù)據(jù)進(jìn)行非明文傳輸。 1）項(xiàng)滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.5.2　 自動(dòng)恢復(fù) a) 檢測(cè)要求 1) 當(dāng)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)發(fā)生失效、服務(wù)中斷等故障，無(wú)法自動(dòng)恢復(fù)時(shí)，系統(tǒng)應(yīng)能夠提供進(jìn)入維護(hù)模式，通過(guò)該模式保證系統(tǒng)返回到一個(gè)安全狀態(tài)。 2) 當(dāng)WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)的服務(wù)發(fā)生中斷后，在人工干預(yù)的情況下或者無(wú)人工干預(yù)自動(dòng)恢復(fù)到安全狀態(tài)（如：安全策略、系統(tǒng)配置等）。 b) 檢測(cè)方法 1) 審查產(chǎn)品說(shuō)明手冊(cè)，產(chǎn)品是否提供自動(dòng)恢復(fù)功能； 2) 人為造成系統(tǒng)關(guān)鍵功能失效（包括WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)與相連的網(wǎng)絡(luò)設(shè)備之間網(wǎng)絡(luò)通信斷開(kāi)；WEB應(yīng)用安全監(jiān)測(cè)系統(tǒng)電源關(guān)閉等）；驗(yàn)證系統(tǒng)是否提供系統(tǒng)關(guān)鍵功能的自動(dòng)恢復(fù)功能。 3) 如果無(wú)法進(jìn)行自動(dòng)恢復(fù)功能，驗(yàn)證系統(tǒng)是否提供維護(hù)模式，通過(guò)維護(hù)模式保證系統(tǒng)返回到安全狀態(tài)。 c) 結(jié)果判定 1) 產(chǎn)品提供自動(dòng)恢復(fù)功能； 2) 產(chǎn)品能夠自動(dòng)恢復(fù)到未發(fā)生故障之前的狀態(tài)； 3) 產(chǎn)品提供維護(hù)模式，并通過(guò)維護(hù)模式保證系統(tǒng)返回到安全狀態(tài)。 1）-3）項(xiàng)滿(mǎn)足為“符合”；其他情況為“不符合”。 5.4.6　 用戶(hù)數(shù)據(jù)保護(hù) 5.4.6.1　 基于安全屬性的訪問(wèn)控制 a) 檢測(cè)要求 1) 產(chǎn)品安全功能應(yīng)基于安全屬性和確定的安全屬性組，對(duì)已明確的客體執(zhí)行產(chǎn)品訪問(wèn)控制策略； 2) 產(chǎn)品安全功能應(yīng)執(zhí)行產(chǎn)品訪問(wèn)控制策略，決定受控的主體與客體間的操作是否被允許。 b) 檢測(cè)方法 1) 驗(yàn)證產(chǎn)品定義了不同的安全屬性組（如：用戶(hù)名、帳戶(hù)有效性、帳戶(hù)過(guò)期時(shí)間和口令過(guò)期時(shí)間等），并規(guī)定了對(duì)產(chǎn)品的訪問(wèn)控制策略； 2) 驗(yàn)證用戶(hù)對(duì)產(chǎn)品的訪問(wèn)，由訪問(wèn)控制策略進(jìn)行約束。 c) 結(jié)果判定 1) 產(chǎn)品能夠基于安全屬性設(shè)置相應(yīng)的訪問(wèn)控制策略。 2) 產(chǎn)品能夠依據(jù)訪問(wèn)控制策略執(zhí)行訪問(wèn)控制。 1）-2）項(xiàng)滿(mǎn)足為“符合”；其他情況為“不符合”。 5.5　 安全保障要求評(píng)估 5.5.1　 開(kāi)發(fā) 5.5.1.1　 安全架構(gòu)描述 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： —— 開(kāi)發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TOE，確保TSF的安全特性不可旁路； —— 開(kāi)發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TSF，以防止不可信主體的破壞； —— 開(kāi)發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。 2) 內(nèi)容和形式元素： —— 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計(jì)文檔中對(duì)SFR-執(zhí)行的抽象描述的級(jí)別一致； —— 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域； —— 安全架構(gòu)的描述應(yīng)描述TSF初始化過(guò)程為何是安全的； —— 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞； —— 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR-執(zhí)行的功能被旁路。 b) 評(píng)估方法 評(píng)估者應(yīng)確認(rèn)提供的信息滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了TSF安全架構(gòu)的描述； 2) 開(kāi)發(fā)者提供的TSF安全架構(gòu)的描述滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿(mǎn)足為“符合”，其他情況為“不符合”。 5.5.1.2　 安全執(zhí)行功能規(guī)范 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： —— 開(kāi)發(fā)者應(yīng)提供一個(gè)功能規(guī)范； —— 開(kāi)發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。 2) 內(nèi)容和形式元素： —— 功能規(guī)范應(yīng)完整地描述TSF； —— 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法； —— 功能規(guī)范應(yīng)識(shí)別和描述每個(gè)TSFI相關(guān)的所有參數(shù)； —— 對(duì)于每個(gè)SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為； —— 對(duì)于SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯(cuò)誤消息； —— 功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求； 2) 評(píng)估者應(yīng)確定功能規(guī)范是安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了功能規(guī)范文檔； 2) 開(kāi)發(fā)者提供的功能規(guī)范文檔滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求； 3) 開(kāi)發(fā)者提供的功能規(guī)范是安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。 1）—3）項(xiàng)均滿(mǎn)足的為“符合”；其他情況為“不符合”。 5.5.1.3　 基礎(chǔ)設(shè)計(jì) a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： —— 開(kāi)發(fā)者應(yīng)提供TOE的設(shè)計(jì)； —— 開(kāi)發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射。 2) 內(nèi)容和形式元素： —— 設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)； —— 設(shè)計(jì)應(yīng)標(biāo)識(shí)TSF的所有子系統(tǒng)； —— 設(shè)計(jì)應(yīng)對(duì)每一個(gè)SFR-支撐或SFR-無(wú)關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述，以確定它不是SFR-執(zhí)行； —— 設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； —— 設(shè)計(jì)應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； —— 映射關(guān)系應(yīng)證實(shí)TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)提供的信息滿(mǎn)足證據(jù)的內(nèi)容與形式的所有要求； 2) 評(píng)估者應(yīng)確定設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了TOE設(shè)計(jì)文檔； 2) 開(kāi)發(fā)者提供的TOE設(shè)計(jì)文檔滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求； 3) 開(kāi)發(fā)者提供的設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。 1）—3）項(xiàng)均滿(mǎn)足的為“符合”；其他情況為“不符合”。 5.5.2　 指導(dǎo)性文檔 5.5.2.1　 操作用戶(hù)指南 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： —— 開(kāi)發(fā)者應(yīng)提供操作用戶(hù)指南。 2) 內(nèi)容和形式元素： —— 操作用戶(hù)指南應(yīng)對(duì)每一種用戶(hù)角色進(jìn)行描述，在安全處理環(huán)境中應(yīng)被控制的用戶(hù)可訪問(wèn)的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ? —— 操作用戶(hù)指南應(yīng)對(duì)每一種用戶(hù)角色進(jìn)行描述，怎樣以安全的方式使用TOE提供的可用接口； —— 操作用戶(hù)指南應(yīng)對(duì)每一種用戶(hù)角色進(jìn)行描述，可用功能和接口，尤其是受用戶(hù)控制的所有安全參數(shù)，適當(dāng)時(shí)應(yīng)指明安全值； —— 操作用戶(hù)指南應(yīng)對(duì)每一種用戶(hù)角色明確說(shuō)明，與需要執(zhí)行的用戶(hù)可訪問(wèn)功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實(shí)體的安全特性； —— 操作用戶(hù)指南應(yīng)標(biāo)識(shí)TOE運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤），它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系； —— 操作用戶(hù)指南應(yīng)對(duì)每一種用戶(hù)角色進(jìn)行描述，為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的所必須執(zhí)行的安全策略； —— 操作用戶(hù)指南應(yīng)是明確和合理的。 b) 評(píng)估方法 評(píng)估者應(yīng)確認(rèn)所有提供的信息滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了操作用戶(hù)指南； 2) 開(kāi)發(fā)者提供的操作用戶(hù)指南滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿(mǎn)足的為“符合”；其他情況為“不符合”。 5.5.2.2　 準(zhǔn)備程序 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： —— 開(kāi)發(fā)者應(yīng)提供TOE，包括它的準(zhǔn)備程序。 2) 內(nèi)容和形式元素： —— 準(zhǔn)備程序應(yīng)描述與開(kāi)發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； —— 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境必需的所有步驟。 b) 評(píng)估方法 1) 評(píng)估者應(yīng)確認(rèn)所提供的信息滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求； 2) 評(píng)估者應(yīng)運(yùn)用準(zhǔn)備程序確認(rèn)TOE運(yùn)行能被安全的準(zhǔn)備。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了TOE以及它的準(zhǔn)備程序； 2) 開(kāi)發(fā)者提供的準(zhǔn)備程序滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求； 3) 運(yùn)用準(zhǔn)備程序能夠確認(rèn)TOE運(yùn)行能被安全的準(zhǔn)備。 1）—3）項(xiàng)均滿(mǎn)足的為“符合”；其他情況為“不符合”。 5.5.3　 生命周期支持 5.5.3.1　 CM系統(tǒng)的使用 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： —— 開(kāi)發(fā)者應(yīng)提供TOE及其參照號(hào)； —— 開(kāi)發(fā)者應(yīng)提供CM文檔； —— 開(kāi)發(fā)者應(yīng)使用CM系統(tǒng)。 2) 內(nèi)容和形式元素： —— 應(yīng)給TOE標(biāo)注唯一參照號(hào)； —— CM文檔應(yīng)描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法； —— CM系統(tǒng)應(yīng)唯一標(biāo)識(shí)所有配置項(xiàng)。 b) 評(píng)估方法 評(píng)估者應(yīng)確認(rèn)所提供的信息滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了TOE，并為其標(biāo)注唯一參照號(hào)； 2) 開(kāi)發(fā)者提供了配置管理文檔，且文檔滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求； 3) 開(kāi)發(fā)者使用了配置管理系統(tǒng)，且配置管理系統(tǒng)滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求。 1）—3）項(xiàng)均滿(mǎn)足的為“符合”，其他情況為“不符合”。 5.5.3.2　 部分TOE CM覆蓋 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： —— 開(kāi)發(fā)者應(yīng)提供TOE配置項(xiàng)列表。 2) 內(nèi)容和形式元素： —— 配置項(xiàng)列表應(yīng)包括：TOE本身、安全保障要求的評(píng)估證據(jù)和TOE的組成部分； —— 配置項(xiàng)列表應(yīng)唯一標(biāo)識(shí)配置項(xiàng)； —— 對(duì)于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡(jiǎn)要說(shuō)明該配置項(xiàng)的開(kāi)發(fā)者。 b) 評(píng)估方法 評(píng)估者應(yīng)確認(rèn)所提供的信息滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開(kāi)發(fā)者提供了產(chǎn)品配置項(xiàng)列表； 2) 開(kāi)發(fā)者提供的產(chǎn)品配置項(xiàng)列表滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿(mǎn)足的為“符合”；其他情況為“不符合”。 5.5.3.3　 交付程序 a) 評(píng)估要求 1) 開(kāi)發(fā)者行為元素： —— 開(kāi)發(fā)者應(yīng)將把TOE或其部分交付給消費(fèi)者的程序文檔化； —— 開(kāi)發(fā)者應(yīng)使用交付程序。 2) 內(nèi)容和形式元素： —— 交付文檔應(yīng)描述，在向消費(fèi)者分發(fā)TOE版本時(shí)，用以維護(hù)安全性所必需的所有程序。 b) 評(píng)估方法 評(píng)估者應(yīng)確認(rèn)所提供的信息滿(mǎn)足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1)