《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》（2017RB011）-征求意見稿

《《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》（2017RB011）-征求意見稿》由會員分享，可在線閱讀，更多相關《《WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范》（2017RB011）-征求意見稿（28頁珍藏版）》請在裝配圖網(wǎng)上搜索。

ICS 點擊此處添加中國標準文獻分類號 RB 中華人民共和國認證認可行業(yè)標準 RB/T XXXXX—XXXX WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范 點擊此處添加標準英文譯名 點擊此處添加與國際標準一致性程度的標識 （征求意見稿） （本稿完成日期：2018-12-28） XXXX - XX - XX發(fā)布 XXXX - XX - XX實施 中華人民共和國國家市場監(jiān)督管理總局 國家認證認可監(jiān)督管理委員會發(fā)布 RB/T XXXXX—XXXX 目??次 前言 2 1　范圍 3 2　規(guī)范性引用文件 3 3　術語、定義和縮略語 3 3.1　術語和定義 3 3.2　縮略語 3 4　評價要求 4 4.1　總體說明 4 4.2　功能要求 4 4.3　自身安全要求 5 4.4　安全保障要求 7 5　評價方法 10 5.1　總體說明 10 5.2　檢測環(huán)境與工具 10 5.3　功能檢測 11 5.4　自身安全檢測 14 5.5　安全保障要求評估 21 前??言 本規(guī)范按照GB/T 1.1-2009的規(guī)則起草。 本規(guī)范由國家認證認可監(jiān)督管理委員會提出并歸口。 本規(guī)范起草單位： 本規(guī)范主要起草人： WEB應用安全監(jiān)測系統(tǒng)安全評價規(guī)范 1　 范圍 本規(guī)范規(guī)定了WEB應用安全監(jiān)測系統(tǒng)的安全評價要求及評價方法。 本規(guī)范適用于第三方認證機構和檢測機構對WEB應用安全監(jiān)測系統(tǒng)的評價，WEB 應用安全監(jiān)測系統(tǒng)的設計和實現(xiàn)也可參照。 2　 規(guī)范性引用文件 下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 GB/T 18336-2015《信息技術 安全技術 信息技術安全評估準則》 GB/T 25069 信息安全技術 術語 3　 術語、定義和縮略語 3.1　 術語和定義 標準GB/T 18336-2015和GB/T 25069界定的以及下列術語和定義適用于本標準。 3.1.1　 WEB應用安全監(jiān)測系統(tǒng) WEB應用安全監(jiān)測系統(tǒng)是指部署在網(wǎng)絡里，以監(jiān)控的方式，實現(xiàn)對WEB應用的服務狀態(tài)、安全狀態(tài)進行監(jiān)測的產(chǎn)品。 3.1.2　 SQL注入 把SQL命令插入到WEB表單遞交或者輸入域名、頁面請求的查詢字符串中，以達到欺騙服務器執(zhí)行惡意SQL命令的目的。客戶端通過插入或注入SQL查詢語句輸入數(shù)據(jù)到應用。 3.1.3　 跨站腳本攻擊 跨站腳本攻擊（也稱為XSS）指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。 3.1.4　 網(wǎng)頁掛馬 網(wǎng)頁掛馬是指一個木馬程序（或惡意代碼）被上傳到網(wǎng)站形成網(wǎng)頁木馬，使網(wǎng)頁瀏覽者訪問被掛馬的網(wǎng)頁時執(zhí)行其中的惡意代碼。 3.2　 縮略語 以下縮略語適用于本文件 HTTP 超文本傳輸協(xié)議 Hypertext Transfer Protocol URL 統(tǒng)一資源定位器 Uniform Resource Locator SSH 建立在應用層和傳輸層基礎上的安全協(xié)議 Secure Shell TOE 評估對象 Target of Evaluation TSF TOE安全功能 TOE Security Functions 4　 評價要求 4.1　 總體說明 4.1.1　 評價要求分類 本評價要求包括對產(chǎn)品的功能要求、自身安全要求和安全保障要求。 4.1.2　 安全等級 本評價規(guī)范不對產(chǎn)品進行安全等級劃分。產(chǎn)品的安全保障要求采用GB/T 18336.3-2015中有關 EAL2 級的要求。 4.2　 功能要求 4.2.1　 WEB應用狀態(tài)監(jiān)控 WEB應用安全監(jiān)測系統(tǒng)應能定時訪問目標WEB應用，并分析返回頁面，檢測是否包含錯誤信息，及時發(fā)現(xiàn)WEB應用訪問異常。 4.2.2　 WEB漏洞掃描 WEB應用安全監(jiān)測系統(tǒng)應能夠掃描到SQL注入攻擊、跨站腳本攻擊（XSS）、信息泄露等常見的 WEB應用安全漏洞。 4.2.3　 網(wǎng)頁掛馬檢測 WEB應用安全監(jiān)測系統(tǒng)應能檢測到被掛馬的WEB頁面。 4.2.4　 自動通告 WEB應用安全監(jiān)測系統(tǒng)應能在發(fā)現(xiàn)WEB應用出現(xiàn)故障或者WEB應用安全漏洞時，自動通知系統(tǒng)管理員。 4.2.5　 產(chǎn)品升級 WEB應用安全監(jiān)測系統(tǒng)應能支持手動或者自動的方式進行產(chǎn)品升級，對漏洞知識庫、木馬特征以及服務程序等進行更新。 4.2.6　 管理功能 4.2.6.1　 系統(tǒng)管理 WEB應用安全監(jiān)測系統(tǒng)應具備配置管理功能，支持本地管理或遠程管理。 4.2.6.2　 任務管理 WEB應用安全監(jiān)測系統(tǒng)應支持監(jiān)測掃描任務添加域名或IP地址，能夠設置掃描時間周期并實時顯示任務進度及詳情，支持對已完成掃描任務的記錄和管理。 4.2.6.3　 報表管理 WEB應用安全監(jiān)測系統(tǒng)應支持報表功能并能輸出報表；報表內(nèi)容應包含網(wǎng)站基本信息（包括IP地址、網(wǎng)站標題及服務器所處位置等等信息）、任務概要信息（包括任務掃描時間、掃描深度、網(wǎng)站安全等級等信息）以及執(zhí)行結果信息（包括SQL注入、XSS跨站、網(wǎng)站掛馬等鏈接的詳細信息）。 4.2.7　 服務能力監(jiān)測 WEB應用安全監(jiān)測系統(tǒng)應能對WEB應用的訪問響應時間進行監(jiān)測，顯示訪問延時波動。 4.2.8　 篡改監(jiān)測 WEB應用安全監(jiān)測系統(tǒng)應能及時發(fā)現(xiàn)指定的WEB應用（如指定URL地址等）被篡改的行為（如篡改頁面的文字、圖片、媒體信息等），并產(chǎn)生用戶告警信息（如通過郵件、短信及提示信息等顯示告警信息）。 4.3　 自身安全要求 4.3.1　 安全審計 4.3.1.1　 審計數(shù)據(jù)產(chǎn)生 a) WEB 應用安全監(jiān)測系統(tǒng)應對以下事件生成審計記錄： 1) 審計功能的啟動與關閉； 2) 用戶的創(chuàng)建、修改、刪除、權限分配等管理行為； 3) 鑒別機制的使用； 4) 鑒別失敗的次數(shù)超過給定閾值導致會話終止； 5) 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 b) WEB 應用安全監(jiān)測系統(tǒng)每個審計記錄中應記錄下列信息： 1) 事件發(fā)生的日期、時間； 2) 事件的類型； 3) 主體身份標識； 4) 事件的描述及結果。 4.3.1.2　 審計查閱 a) WEB應用安全監(jiān)測系統(tǒng)應為授權用戶提供讀取審計記錄的功能。 b) WEB應用安全監(jiān)測系統(tǒng)應以便于用戶理解的方式提供審計記錄。 4.3.1.3　 限制審計查閱 除明確允許讀訪問的用戶外，TSF應禁止所有用戶對審計記錄的讀訪問。 4.3.1.4　 可選審計查閱 WEB應用安全監(jiān)測系統(tǒng)應提供根據(jù)條件對審計數(shù)據(jù)進行查詢或排序的功能。 4.3.1.5　 防止審計數(shù)據(jù)丟失 a) WEB應用安全監(jiān)測系統(tǒng)的安全功能應把生成的審計記錄存儲于一個永久性的記錄中，并應提供相應措施以防止故障或攻擊造成的審計事件丟失； b) 對因故障或存儲耗竭而導致審計數(shù)據(jù)丟失的最大審計存儲容量，WEB應用安全監(jiān)測系統(tǒng)的開發(fā)者應提供相應的分析結果； c) 一旦審計存儲容量達到事先規(guī)定的警戒值，應能發(fā)送警告信息，并采取相應的防護措施。 4.3.1.6　 審計數(shù)據(jù)保護 a) WEB應用安全監(jiān)測系統(tǒng)應保護存儲的審計記錄免遭未授權的刪除； b) WEB應用安全監(jiān)測系統(tǒng)應禁止對審計記錄的修改。 4.3.2　 標識和鑒別 4.3.2.1　 唯一性標識 WEB 應用安全監(jiān)測系統(tǒng)應保證任何用戶都具有全局唯一的標識。 4.3.2.2　 鑒別的時機 WEB應用安全監(jiān)測系統(tǒng)應要求每個用戶在執(zhí)行與數(shù)據(jù)泄露防護產(chǎn)品安全相關的任何其他操作之前，都已被成功鑒別 4.3.2.3　 用戶屬性定義 WEB 應用安全監(jiān)測系統(tǒng)應為每一個用戶保存安全屬性表，屬性應包括：用戶標識、授權信息或用戶組信息、其他安全屬性等。 4.3.2.4　 鑒別失敗處理 a) WEB應用安全監(jiān)測系統(tǒng)應能檢測用戶的不成功的鑒別嘗試； b) 在經(jīng)過一定次數(shù)的鑒別失敗后，WEB應用安全監(jiān)測系統(tǒng)的安全功能應采取措施以終止登錄嘗試的動作，直至滿足已定義的條件才允許進行重新鑒別； c) 鑒別嘗試的閾值應僅允許授權管理員設定。 4.3.2.5　 受保護的鑒別反饋 鑒別進行時，WEB應用安全監(jiān)測系統(tǒng)安全功能應以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋，不顯示字符本身。 4.3.3　 安全管理 4.3.3.1　 安全功能行為的管理 WEB應用安全監(jiān)測系統(tǒng)應僅限于授權用戶對下述功能具有修改的能力。 a) 監(jiān)測任務的管理； b) 其他安全功能行為的管理。 4.3.3.2　 安全屬性的管理 WEB應用安全監(jiān)測系統(tǒng)應執(zhí)行訪問控制策略或信息流控制策略，以限制已識別了的授權角色查詢、修改和刪除安全屬性的能力。 4.3.3.3　 安全角色 a) WEB應用安全監(jiān)測系統(tǒng)應維護已標識的授權角色； b) WEB應用安全監(jiān)測系統(tǒng)應能夠將用戶與角色關聯(lián)起來。 4.3.3.4　 TSF 數(shù)據(jù)的管理 WEB應用安全監(jiān)測系統(tǒng)應僅允許授權用戶控制 安全功能數(shù)據(jù)的管理。 4.3.4　 TSF保護 4.3.4.1　 內(nèi)部TSF數(shù)據(jù)傳送的基本保護 TSF應保護所有從 WEB應用安全監(jiān)測系統(tǒng)傳送到遠程管理主機的TSF數(shù)據(jù)（如：登錄鑒別數(shù)據(jù)、安全設置信息）在傳送過程中不會被未授權泄漏。 4.3.4.2　 自動恢復 a) 當WEB應用安全監(jiān)測系統(tǒng)發(fā)生失效、服務中斷等故障，無法自動恢復時，系統(tǒng)應能夠提供進入維護模式，通過該模式保證系統(tǒng)返回到一個安全狀態(tài)。 b) 當WEB應用安全監(jiān)測系統(tǒng)的服務發(fā)生中斷后，在人工干預的情況下或者無人工干預自動恢復到安全狀態(tài)（如：安全策略、系統(tǒng)配置等）。 4.3.5　 用戶數(shù)據(jù)保護 4.3.5.1　 基于安全屬性的訪問控制 a) 產(chǎn)品安全功能應基于安全屬性和確定的安全屬性組，對已明確的客體執(zhí)行產(chǎn)品訪問控制策略； b) 產(chǎn)品安全功能應執(zhí)行產(chǎn)品訪問控制策略，決定受控的主體與客體間的操作是否被允許。 4.4　 安全保障要求 4.4.1　 開發(fā) 4.4.1.1　 安全架構描述 a) 開發(fā)者行為元素： 1) 開發(fā)者應設計并實現(xiàn)TOE，確保TSF的安全特性不可旁路； 2) 開發(fā)者應設計并實現(xiàn)TSF，以防止不可信主體的破壞； 3) 開發(fā)者應提供TSF安全架構的描述。 b) 內(nèi)容和形式元素： 1) 安全架構的描述應與在TOE設計文檔中對SFR-執(zhí)行的抽象描述的級別一致； 2) 安全架構的描述應描述與安全功能要求一致的TSF安全域； 3) 安全架構的描述應描述TSF初始化過程為何是安全的； 4) 安全架構的描述應證實TSF可防止被破壞； 5) 安全架構的描述應證實TSF可防止SFR-執(zhí)行的功能被旁路。 4.4.1.2　 安全執(zhí)行功能規(guī)范 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供一個功能規(guī)范； 2) 開發(fā)者應提供功能規(guī)范到安全功能要求的追溯關系。 b) 內(nèi)容和形式元素： 1) 功能規(guī)范應完整地描述TSF； 2) 功能規(guī)范應描述所有的TSFI的目的和使用方法； 3) 功能規(guī)范應識別和描述每個TSFI相關的所有參數(shù)； 4) 對于每個SFR-執(zhí)行TSFI，功能規(guī)范應描述TSFI相關的SFR-執(zhí)行行為； 5) 對于SFR-執(zhí)行TSFI，功能規(guī)范應描述由SFR-執(zhí)行行為相關處理而引起的直接錯誤消息； 6) 功能規(guī)范應證實安全功能要求到TSFI的追溯。 4.4.1.3　 基礎設計 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供TOE的設計； 2) 開發(fā)者應提供從功能規(guī)范的TSFI到TOE設計中獲取到的最低層分解的映射。 b) 內(nèi)容和形式元素： 1) 設計應根據(jù)子系統(tǒng)描述TOE的結構； 2) 設計應標識TSF的所有子系統(tǒng)； 3) 設計應對每一個SFR-支撐或SFR-無關的TSF子系統(tǒng)的行為進行足夠詳細的描述，以確定它不是SFR-執(zhí)行； 4) 設計應概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； 5) 設計應描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； 6) 映射關系應證實TOE設計中描述的所有行為能夠映射到調(diào)用它的TSFI。 4.4.2　 指導性文檔 4.4.2.1　 操作用戶指南 a) 開發(fā)者行為元素： 開發(fā)者應提供操作用戶指南。 b) 內(nèi)容和形式元素： 1) 操作用戶指南應對每一種用戶角色進行描述，在安全處理環(huán)境中應被控制的用戶可訪問的功能和特權，包含適當?shù)木拘畔ⅲ? 2) 操作用戶指南應對每一種用戶角色進行描述，怎樣以安全的方式使用TOE提供的可用接口； 3) 操作用戶指南應對每一種用戶角色進行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時應指明安全值； 4) 操作用戶指南應對每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關的每一種安全相關事件，包括改變TSF所控制實體的安全特性； 5) 操作用戶指南應標識TOE運行的所有可能狀態(tài)（包括操作導致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關系和聯(lián)系； 6) 操作用戶指南應對每一種用戶角色進行描述，為了充分實現(xiàn)ST中描述的運行環(huán)境安全目的所必須執(zhí)行的安全策略； 7) 操作用戶指南應是明確和合理的。 4.4.2.2　 準備程序 a) 開發(fā)者行為元素： 開發(fā)者應提供TOE，包括它的準備程序。 b) 內(nèi)容和形式元素： 1) 準備程序應描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； 2) 準備程序應描述安全安裝TOE以及安全準備與ST中描述的運行環(huán)境安全目的一致的運行環(huán)境必需的所有步驟。 4.4.3　 生命周期支持 4.4.3.1　 CM系統(tǒng)的使用 a) 開發(fā)者行為元素： 1) 開發(fā)者應提供TOE及其參照號； 2) 開發(fā)者應提供CM文檔； 3) 開發(fā)者應使用CM系統(tǒng)。 b) 內(nèi)容和形式元素： 1) 應給TOE標注唯一參照號； 2) CM文檔應描述用于唯一標識配置項的方法； 3) CM系統(tǒng)應唯一標識所有配置項。 4.4.3.2　 部分TOE CM覆蓋 a) 開發(fā)者行為元素： 開發(fā)者應提供TOE配置項列表。 b) 內(nèi)容和形式元素： 1) 配置項列表應包括：TOE本身、安全保障要求的評估證據(jù)和TOE的組成部分； 2) 配置項列表應唯一標識配置項； 3) 對于每一個TSF相關的配置項，配置項列表應簡要說明該配置項的開發(fā)者。 4.4.3.3　 交付程序 a) 開發(fā)者行為元素： 1) 開發(fā)者應將把TOE或其部分交付給消費者的程序文檔化； 2) 開發(fā)者應使用交付程序。 b) 內(nèi)容和形式元素： 交付文檔應描述，在向消費者分發(fā)TOE版本時，用以維護安全性所必需的所有程序。 4.4.4　 測試 4.4.4.1　 覆蓋證據(jù) a) 開發(fā)者行為元素： 開發(fā)者應提供測試覆蓋的證據(jù)。 b) 內(nèi)容和形式元素： 測試覆蓋的證據(jù)應表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對應性。 4.4.4.2　 功能測試 a) 開發(fā)者行為元素： 1) 開發(fā)者應測試TSF，并文檔化測試結果； 2) 開發(fā)者應提供測試文檔。 b) 內(nèi)容和形式元素： 1) 測試文檔應包括測試計劃、預期的測試結果和實際的測試結果； 2) 測試計劃應標識要執(zhí)行的測試并描述執(zhí)行每個測試的方案，這些方案應包括對于其他測試結果的任何順序依賴性； 3) 預期的測試結果應指出測試成功執(zhí)行后的預期輸出； 4) 實際的測試結果應與預期的測試結果一致。 4.4.4.3　 獨立測試-抽樣 a) 開發(fā)者行為元素： 開發(fā)者應提供用于測試的TOE。 b) 內(nèi)容和形式元素： 1) TOE應適合測試； 2) 開發(fā)者應提供一組與開發(fā)者TSF功能測試中同等的一系列資源。 4.4.5　 脆弱性評定 4.4.5.1　 脆弱性分析 a) 開發(fā)者行為元素： 開發(fā)者應提供用于測試的TOE。 b) 內(nèi)容和形式元素： TOE應適合測試。 5　 評價方法 5.1　 總體說明 評價方法與評價要求一一對應，它給出具體的方法來驗證WEB應用安全監(jiān)測系統(tǒng)產(chǎn)品是否滿足評價要求。評價過程分為檢測和評估，其中，檢測內(nèi)容為功能要求及自身安全要求，評估內(nèi)容為安全保障要求，評估的主要方式為文件審核和現(xiàn)場核查。 5.2　 檢測環(huán)境與工具 a) 檢測環(huán)境圖 u 圖1　 功能檢測環(huán)境圖 b) 檢測工具：WEB瀏覽器、網(wǎng)絡協(xié)議分析工具 5.3　 功能檢測 5.3.1　 WEB應用狀態(tài)監(jiān)控 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應能定時對目標WEB應用訪問，并分析返回頁面，檢測是否包含錯誤信息，及時發(fā)現(xiàn)WEB應用訪問異常。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應用安全監(jiān)測系統(tǒng)是否支持WEB應用狀態(tài)監(jiān)控； 2) 按照產(chǎn)品說明書，使用WEB應用安全監(jiān)測系統(tǒng)對部署在服務器上存在問題的WEB應用實施狀態(tài)監(jiān)控，并查看監(jiān)控結果。 c) 結果判定 1) 產(chǎn)品提供支持WEB應用狀態(tài)監(jiān)控功能； 3) 產(chǎn)品能夠監(jiān)測應用訪問的異常情況； 1)-2)項均滿足為“符合”；否則為“不符合”。 5.3.2　 WEB漏洞掃描 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應能夠掃描到SQL注入攻擊、跨站腳本攻擊（XSS）、信息泄露等常見的 WEB應用安全漏洞。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應用安全監(jiān)測系統(tǒng)檢查是否支持對SQL注入攻擊、跨站腳本（XSS）攻擊、信息泄露（源代碼、報錯信息、目錄信息）等常見的WEB攻擊手段掃描檢測； 2) 使用WEB應用安全監(jiān)測系統(tǒng)對部署在測試服務器上存在SQL注入、跨站腳本、信息泄露等安全漏洞的WEB應用進行掃描，查看掃描結果。 c) 結果判定 1) 產(chǎn)品提供支持WEB漏洞掃描功能； 2) 產(chǎn)品能夠監(jiān)測出部署在測試服務器上的WEB應用存在SQL注入、跨站腳本、信息泄露等安全漏洞； 1)-2)項均滿足為“符合”；否則為“不符合”。 5.3.3　 網(wǎng)頁掛馬檢測 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應能檢測到被掛馬的WEB頁面。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應用安全監(jiān)測系統(tǒng)是否支持網(wǎng)頁掛馬檢測； 2) 使用WEB應用安全監(jiān)測系統(tǒng)對部署在測試服務器上存在網(wǎng)頁掛馬的WEB應用進行掃描，查看掃描結果。 c) 結果判定 1) 產(chǎn)品提供支持網(wǎng)頁掛馬檢測功能； 2) 產(chǎn)品能夠完成網(wǎng)頁掛馬檢測，并能夠檢測出被掛馬的WEB頁面； 1)-2)項均滿足為“符合”；否則為“不符合”。 5.3.4　 自動通告 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應支持在發(fā)現(xiàn)WEB應用出現(xiàn)故障或者發(fā)現(xiàn)WEB應用安全漏洞時，能自動通知系統(tǒng)管理員。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應用安全監(jiān)測系統(tǒng)是否支持自動通告； 2) 使用WEB應用安全監(jiān)測系統(tǒng)對部署在測試服務器上存在安全漏洞的WEB應用進行監(jiān)測，查看是否能夠在發(fā)現(xiàn)漏洞或故障后，通過郵件、短信、頁面提示、聲音報警等一種或多種方式自動通知管理員。 c) 結果判定 1) 產(chǎn)品提供自動通知功能； 2) 產(chǎn)品能夠在發(fā)現(xiàn)漏洞或故障后，通過郵件、短信、頁面提示、聲音報警等一種或多種方式自動通知管理員。 1)-2)項均滿足為“符合”；否則為“不符合”。 5.3.5　 產(chǎn)品升級 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應支持手動或者自動的方式進行產(chǎn)品升級（如對漏洞知識庫、木馬特征以及服務程序等進行更新）。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應用安全監(jiān)測系統(tǒng)是否支持產(chǎn)品升級； 2) 按照產(chǎn)品說明書，測試WEB應用安全監(jiān)測系統(tǒng)是否可實施手動或自動升級。 c) 結果判定 1) 產(chǎn)品提供升級功能； 2) 產(chǎn)品能夠支持手動或者自動的方式進行產(chǎn)品升級。 1)-2)項均滿足為“符合”；否則為“不符合”。 5.3.6　 管理功能 5.3.6.1　 系統(tǒng)管理 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應具備配置管理功能，支持本地管理或遠程管理。 b) 檢測方法 查看WEB應用安全監(jiān)測系統(tǒng)的管理方式（如：Console口、Telnet、SSH、HTTP、HTTPS、SNMP、產(chǎn)品專用的管理程序），是否支持本地管理或遠程管理方式，并進行驗證。 c) 結果判定 1) WEB應用安全監(jiān)測系統(tǒng)支持本地的管理方式，且能夠有效實施配置管理； 2) WEB應用安全監(jiān)測系統(tǒng)支持遠程管理方式，且能夠有效實施配置管理。 1)或 2)項有一項滿足為“符合”，其他情況為“不符合”。 5.3.6.2　 任務管理 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應支持監(jiān)測掃描任務添加域名或IP地址，能夠設置掃描時間周期并實時顯示任務進度及詳情，支持對已完成掃描任務的記錄和管理。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應用安全監(jiān)測系統(tǒng)是否支持任務管理功能； 2) 使用WEB應用安全監(jiān)測系統(tǒng)添加掃描任務對部署在測試服務器上的WEB應用進行監(jiān)測掃描，查看當前任務進展情況； 3) 任務完成之后對歷史任務進行查看、搜索、排序和刪除等操作。 c) 結果判定 1) WEB應用安全監(jiān)測系統(tǒng)支持掃描任務添加域名或IP地址并支持掃描時間周期的設置； 2) WEB應用安全監(jiān)測系統(tǒng)支持查看當前掃描任務的詳細信息，并可對已完成的掃描任務進行管理。 1)或 2)項有一項滿足為“符合”，其他情況為“不符合”。 5.3.6.3　 報表管理 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應支持報表功能并能輸出報表；報表內(nèi)容應包含網(wǎng)站基本信息（包括IP地址、網(wǎng)站標題及服務器所處位置等等信息）、任務概要信息（包括任務掃描時間、掃描深度、網(wǎng)站安全等級等信息）以及執(zhí)行結果信息（包括SQL注入、XSS跨站、網(wǎng)站掛馬等鏈接的詳細信息）。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應用安全監(jiān)測系統(tǒng)是否支持報表管理功能； 2) 登錄WEB應用安全監(jiān)測系統(tǒng)查看歷史任務報表，查看報表內(nèi)容是否包含檢測要求中的相關信息。 3) 導出歷史任務報表，報表應能被導出（如HTML、WORD等格式）。 c) 結果判定 1) WEB應用安全監(jiān)測系統(tǒng)的報表內(nèi)容應包含檢測要求中的詳細內(nèi)容； 2) WEB應用安全監(jiān)測系統(tǒng)的報表應能被導出（導出格式不限）。 1)或 2)項有一項滿足為“符合”，其他情況為“不符合”。 5.3.7　 服務能力監(jiān)測 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應能對WEB應用的訪問響應時間進行監(jiān)測，顯示訪問延時波動。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應用安全監(jiān)測系統(tǒng)是否支持服務能力監(jiān)測； 2) 使用WEB應用安全監(jiān)測系統(tǒng)對部署在測試服務器上的WEB應用進行監(jiān)測，查看是否能夠顯示訪問延時波動。 c) 結果判定 1) 產(chǎn)品提供服務能力監(jiān)測功能； 2) 產(chǎn)品能夠顯示訪問延時波動。 1)-2)項均滿足為“符合”；否則為“不符合”。 5.3.8　 篡改監(jiān)測 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應能及時發(fā)現(xiàn)指定的WEB應用（如指定URL地址等）被篡改的行為（如篡改頁面的文字、圖片、媒體信息等），并產(chǎn)生用戶告警信息（如通過郵件、短信及提示信息等顯示告警信息）。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應用安全監(jiān)測系統(tǒng)是否支持篡改監(jiān)測功能，并登錄配置界面驗證產(chǎn)品是否提供對篡改監(jiān)控頁面的設置； 2) 使用WEB應用安全監(jiān)測系統(tǒng)對部署在測試服務器上WEB應用的指定頁面進行監(jiān)測，對WEB應用進行授權發(fā)布或更新，驗證對發(fā)布后的應用能否重新建立新的掃描對比基準，以區(qū)別非授權篡改。 3) 使用WEB應用安全監(jiān)測系統(tǒng)對部署在測試服務器上WEB應用的指定頁面進行監(jiān)測，對WEB應用進行篡改操作（如修改頁面內(nèi)容、媒體信息及刪除圖片等），查看WEB應用安全監(jiān)測系統(tǒng)是否對其篡改操作行為進行告警，并通過何種方式進行告警。 c) 結果判定 1) 產(chǎn)品提供篡改監(jiān)控功能，并提供對篡改監(jiān)控頁面的參數(shù)設置（如設置指定的URL地址、監(jiān)測深度等）； 2) 產(chǎn)品能夠對正常發(fā)布或更新行為手動或自動建立新的掃描基準，以區(qū)分非授權篡改； 3) 產(chǎn)品能夠對篡改操作行為進行告警。 1)-3)項均滿足為“符合”；否則為“不符合”。 5.4　 自身安全檢測 5.4.1　 檢測環(huán)境與工具 5.4.2　 安全審計 5.4.2.1　 審計數(shù)據(jù)產(chǎn)生 a) 檢測要求 1) WEB應用安全監(jiān)測系統(tǒng)應對以下事件生成審計記錄： —— 審計功能的啟動與關閉； —— 用戶的創(chuàng)建、修改、刪除、權限分配等管理行為； —— 鑒別機制的使用； —— 鑒別失敗的次數(shù)超過給定閾值導致會話終止； —— 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 2) WEB應用安全監(jiān)測系統(tǒng)每個審計記錄中應記錄下列信息： —— 事件發(fā)生的日期、時間； —— 事件的類型； —— 主體身份標識； —— 事件的描述及結果。 b) 檢測方法 1) 以授權用戶身份登錄WEB應用安全監(jiān)測系統(tǒng)，執(zhí)行檢測要求1）中相關的操作，查看審計記錄，檢查系統(tǒng)是否對操作進行了審計記錄；； 2) 查看審計記錄內(nèi)容中是否包括事件發(fā)生的日期和時間、事件類型、主體身份標識、事件描述及結果等信息。 c) 結果判定 1) WEB應用安全監(jiān)測系統(tǒng)能夠對以下事件生成審計記錄： —— 審計功能的啟動與關閉； —— 用戶的創(chuàng)建、修改、刪除、權限分配等管理行為； —— 鑒別機制的使用； —— 鑒別失敗的次數(shù)超過給定閾值導致會話終止； —— 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 2) WEB應用安全監(jiān)測系統(tǒng)的審計記錄中能夠記錄下列信息： —— 事件發(fā)生的日期、時間； —— 事件的類型； —— 主體身份標識； —— 事件的描述及結果。 1)-2)項均滿足為“符合”，其他情況為“不符合”。 5.4.2.2　 審計查閱 a) 檢測要求 1) WEB應用安全監(jiān)測系統(tǒng)應為授權用戶提供讀取審計記錄的功能。 2) WEB應用安全監(jiān)測系統(tǒng)應以便于用戶理解的方式提供審計記錄。 b) 檢測方法 1) 以授權用戶身份登錄WEB應用安全監(jiān)測系統(tǒng)，查驗是否為授權用戶提供從審計記錄中讀取審計信息的功能。 2) 查看 WEB應用安全監(jiān)測系統(tǒng)審計信息的提供方式和格式。 c) 結果判定 1) 授權用戶能夠讀取審計記錄； 2) 審計記錄以用戶易理解的方式和格式提供。 1)-2)項均滿足為“符合”；否則為“不符合”。 5.4.2.3　 限制審計查閱 a) 檢測要求 除明確允許讀訪問的用戶外，TSF應禁止所有用戶對審計記錄的讀訪問。 b) 檢測方法 1) 檢查授權用戶是否能夠讀取其權限范圍內(nèi)的審計信息； 2) 檢查非授權用戶是否不能讀取任何審計信息。 c) 結果判定 1) 授權用戶能夠讀取其權限范圍內(nèi)的審計信息； 2) 非授權用戶不能讀取任何審計信息。 1)-2)項均滿足為“符合”；否則為“不符合”。 5.4.2.4　 可選審計查閱 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應提供根據(jù)條件對審計數(shù)據(jù)進行查詢或排序的功能。 b) 檢測方法 1) 以授權用戶身份登錄WEB應用安全監(jiān)測系統(tǒng)，以一定的條件（如，主體ID（標識符）、客體ID、日期、時間等）對審計數(shù)據(jù)進行查詢或排序操作； 2) 檢查查詢或排序的結果是否完全正確。 c) 結果判定 1) 能夠支持根據(jù)條件對審計數(shù)據(jù)進行查詢或排序； 2) 查詢或排序的結果是否完全正確。 1)-2)項均滿足為“符合”，其他情況為“不符合”。 5.4.2.5　 防止審計數(shù)據(jù)丟失 a) 檢測要求 1) WEB應用安全監(jiān)測系統(tǒng)的安全功能應把生成的審計記錄存儲于一個永久性的記錄中，并應提供相應措施以防止故障或攻擊造成的審計事件丟失； 2) 對因故障或存儲耗竭而導致審計數(shù)據(jù)丟失的最大審計存儲容量，WEB應用安全監(jiān)測系統(tǒng)的開發(fā)者應提供相應的分析結果； 3) 一旦審計存儲容量達到事先規(guī)定的警戒值，應能發(fā)送警告信息，并采取相應的防護措施。 b) 檢測方法 1) 查驗WEB應用安全監(jiān)測系統(tǒng)的安全功能是否將生成的審計記錄存儲于一個永久性的記錄中（如，硬盤），而非易失性部件中（如，內(nèi)存）。 2) 查驗是否提供相應措施以防止故障或攻擊造成的審計事件丟失（檢測是否提供安全措施，如可以自動存檔或導出審計事件，防止意外丟失）； 3) 查驗對因故障或存儲耗竭而導致審計數(shù)據(jù)丟失的最大審計存儲容量，WEB應用安全監(jiān)測系統(tǒng)的開發(fā)者是否提供相應的分析結果 （包括對可能到達最大容量的充分估計，對容量問題設計一定措施，如開辟大容量空間存放審計數(shù)據(jù)、接近上限前提醒管理員等）； 4) 模擬審計容量大量消耗相關的操作，測試WEB應用安全監(jiān)測系統(tǒng)是否在審計存儲容量達到事先規(guī)定的警戒值時發(fā)出警告信息，并采取相應的防護措施（如，停止記錄、僅從最早的記錄開始覆蓋等）。 c) 結果判定 1) 審計記錄存儲于一個永久性的記錄中； 2) 系統(tǒng)支持自動存檔機制或支持授權管理員的導出備份功能，從而能夠防止由于故障和攻擊可能造成的意外丟失； 3) 對因故障或存儲耗竭而導致審計數(shù)據(jù)丟失的最大審計存儲容量，系統(tǒng)的開發(fā)者能夠提供相應的分析結果； 4) 審計容量達到警戒值時發(fā)出警告信息，并能夠采取相應的防護措施。 1)-4)項均滿足為“符合”；其他情況為“不符合”。 5.4.2.6　 審計數(shù)據(jù)保護 a) 檢測要求 1) WEB應用安全監(jiān)測系統(tǒng)應保護存儲的審計記錄免遭未授權的刪除； 2) WEB應用安全監(jiān)測系統(tǒng)應禁止對審計記錄的修改。 b) 檢測方法 1) 分別以授權用戶和非授權用戶身份執(zhí)行刪除審計記錄的操作，驗證WEB應用安全監(jiān)測系統(tǒng)是否能夠確保免遭未授權的刪除； 2) 查看WEB應用安全監(jiān)測系統(tǒng)是否能夠防止修改審計記錄的操作。 c) 結果判定 1) 能夠確保免遭未授權的刪除； 2) 審計記錄不能修改。 1）—2）項滿足為“符合”，其他情況為“不符合”。 5.4.3　 標識和鑒別 5.4.3.1　 唯一性標識 a) 檢測要求 WEB 應用安全監(jiān)測系統(tǒng)應保證任何用戶都具有全局唯一的標識。 b) 檢測方法 1) 以授權用戶身份登錄數(shù)據(jù)泄露防護產(chǎn)品，查看用戶信息； 2) 嘗試新建一個相同用戶標識的用戶，檢查操作是否能夠成功。 c) 結果判定 1) 系統(tǒng)不允許新建相同用戶標識的用戶。 1)項滿足為“符合”；其他情況為“不符合”。 5.4.3.2　 鑒別的時機 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應要求每個用戶在執(zhí)行與數(shù)據(jù)泄露防護產(chǎn)品安全相關的任何其他操作之前，都已被成功鑒別。 b) 檢測方法 1) 查看用戶在未被成功鑒別前，是否被拒絕執(zhí)行任何安全相關的操作； 2) 查看產(chǎn)品是否拒絕使用錯誤鑒別信息的用戶登錄； 3) 嘗試以正確的鑒別信息登錄，驗證產(chǎn)品是否允許登錄，是否允許進行相應的安全管理操作。 4) 對系統(tǒng)中所有角色的授權用戶進行測試，查驗WEB應用安全監(jiān)測系統(tǒng)的安全功能是否確保對每個授權用戶都進行鑒別。 c) 結果判定 1) 用戶被成功鑒別前，不能執(zhí)行任何與安全相關的操作； 2) 使用錯誤鑒別信息，產(chǎn)品不允許登錄； 3) 使用正確的鑒別信息，能夠成功登錄，并能夠執(zhí)行相應的安全管理操作。 4) 系統(tǒng)能夠確保對每個授權用戶都進行鑒別。 1)-4)項均滿足為“符合”；其他情況為“不符合”。 5.4.3.3　 用戶屬性定義 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應為每一個用戶保存安全屬性表，屬性應包括：用戶標識、授權信息或用戶組信息、其他安全屬性等。 b) 檢測方法 1) 查看產(chǎn)品是否為每一個用戶保存其安全屬性表，屬性可包括：用戶標識、授權信息或用戶組信息、其他安全屬性等； 2) 以不同的授權用戶身份登錄WEB應用安全監(jiān)測系統(tǒng)，執(zhí)行其權限范圍內(nèi)的操作，檢查該用戶可執(zhí)行的操作與其安全屬性（如用戶標識、授權信息等）的要求是否一致； 3) 查驗是否能夠有效對安全屬性進行設定、修改； 4) 修改用戶的部分安全屬性后，檢查該用戶可執(zhí)行的操作與其被修改后的安全屬性的要求是否一致。 c) 結果判定 1) 系統(tǒng)支持為每一個用戶定義及維護其安全屬性表； 2) 所有用戶能夠依據(jù)其安全屬性進行相應的操作； 3) 支持對安全屬性的設定、修改； 4) 用戶可執(zhí)行的操作與其被修改后的安全屬性（如授權信息等）的要求一致。 1)-4)均滿足為“符合”；其他情況為“不符合”。 5.4.3.4　 鑒別失敗處理 a) 檢測要求 1) WEB應用安全監(jiān)測系統(tǒng)應能檢測用戶的不成功的鑒別嘗試； 2) 在經(jīng)過一定次數(shù)的鑒別失敗后，WEB應用安全監(jiān)測系統(tǒng)的安全功能應采取措施以終止登錄嘗試的動作，直至滿足已定義的條件才允許進行重新鑒別； 3) 鑒別嘗試的閾值應僅允許授權管理員設定。 b) 檢測方法 1) 以錯誤的鑒別信息嘗試登錄，查驗是否被拒絕進入系統(tǒng)； 2) 進行一定次數(shù)的登錄嘗試，驗證在一定次數(shù)的鑒別失敗后，WEB應用安全監(jiān)測系統(tǒng)是否對登錄嘗試主機終止其建立會話的過程（例如：關閉身份鑒別的對話界面、鎖定帳戶等）； 3) 如果系統(tǒng)提供最多失敗次數(shù)的設定功能。查驗該閾值是否僅由授權管理員設定，并驗證所設定的次數(shù)是否有效； c) 結果判定 1) 系統(tǒng)能夠檢測用戶的不成功的鑒別嘗試； 2) 在連續(xù)登錄鑒別嘗試失敗連續(xù)達到指定次數(shù)后，用戶賬號或登錄點失效； 3) 達到解鎖條件后，失效的用戶賬號或登錄點能夠重新進行鑒別操作； 4) 未成功鑒別嘗試次數(shù)閾值僅由授權管理員能夠進行設置。 1)-4）項均滿足為“符合”；其他情況為“不符合”。 5.4.3.5　 受保護的鑒別反饋 a) 檢測要求 鑒別進行時，WEB應用安全監(jiān)測系統(tǒng)安全功能應以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋，不顯示字符本身。 b) 檢測方法 執(zhí)行用戶身份鑒別操作，輸入用戶鑒別數(shù)據(jù)，檢查WEB應用安全監(jiān)測系統(tǒng)給出的反饋信息是否不顯示字符本身。 c) 結果判定 1) 產(chǎn)品給出的反饋信息不顯示字符本身。 1)項滿足為“符合”；其他情況為“不符合”。 5.4.4　 安全管理 5.4.4.1　 安全功能行為的管理 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應僅限于授權用戶對下述功能具有修改的能力。 1) 監(jiān)測任務的管理； 2) 其他安全功能行為的管理。 b) 檢測方法 1) 檢查WEB應用安全監(jiān)測系統(tǒng)管理系統(tǒng)的安全功能是否明確規(guī)定僅限于指定的授權角色對監(jiān)測任務具有設定、修改的能力。 2) 檢查指定的授權用戶對系統(tǒng)的功能進行設定、修改等操作前，是否先登錄才能操作。 c) 結果判定 1) WEB應用安全監(jiān)測系統(tǒng)僅限于授權用戶對監(jiān)測任務等功能進行設定、修改。 2) 指定的授權用戶對系統(tǒng)的功能進行設定、修改等操作前，先登錄才能操作。 1)-2)項均滿足為“符合”；其他情況為“不符合”。 5.4.4.2　 安全屬性的管理 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應執(zhí)行訪問控制策略或信息流控制策略， 以限制已識別了的授權角色查詢、修改和刪除安全屬性的能力。 b) 檢測方法 1) 查看產(chǎn)品所設定的安全屬性組（如：用戶名、帳戶有效性、帳戶過期時間和口令過期時間等）； 2) 對用戶的安全屬性進行查詢、創(chuàng)建、修改和刪除，并作相應驗證； 3) 驗證是否僅指定的授權管理員（如：系統(tǒng)管理員）對安全屬性具有管理能力。 c) 結果判定 1) 產(chǎn)品能夠提供對安全屬性進行查詢、創(chuàng)建、修改和刪除的功能； 2) 產(chǎn)品僅允許指定的授權管理員對安全屬性具有管理能力。 1)-2)均滿足為“符合”；其他情況為“不符合”。 5.4.4.3　 安全角色 a) 檢測要求 1) WEB應用安全監(jiān)測系統(tǒng)應維護已標識的授權角色； 2) WEB應用安全監(jiān)測系統(tǒng)應能夠將用戶與角色關聯(lián)起來。 b) 檢測方法 1) 查看產(chǎn)品說明文檔中關于安全管理角色的劃分和描述； 2) 查驗是否允許定義多個角色或對角色進行分級，使不同級別的管理角色具有不同的管理權限； 3) 將用戶與角色關聯(lián)起來，并進行驗證； 4) 檢測未授予安全管理角色的普通用戶是否能夠執(zhí)行安全管理功能相關操作。 c) 結果判定 1) 產(chǎn)品支持定義多個角色或對角色進行分級，使不同級別的管理角色具有不同的管理權限； 2) 用戶能夠與角色進行關聯(lián)，從而實施相應的管理功能； 3) 未授予安全管理角色的普通用戶不能執(zhí)行安全管理功能相關操作。 1)-3)均滿足為“符合”；其他情況為“不符合”。 5.4.4.4　 TSF數(shù)據(jù)的管理 a) 檢測要求 WEB應用安全監(jiān)測系統(tǒng)應僅允許授權用戶控制安全功能數(shù)據(jù)的管理。 b) 檢測方法 1) 驗證授權管理員用戶對TSF數(shù)據(jù)的管理能力（如，審計信息、時鐘、系統(tǒng)配置、重鑒別的閾值、掃描間隔時間、告警參數(shù)和其它TSF配置參數(shù)等）； 2) 驗證僅允許指定的授權管理員才能實施 TSF 數(shù)據(jù)的管理。 c) 結果判定 1) 產(chǎn)品能夠提供對TSF數(shù)據(jù)（如，審計信息、時鐘、系統(tǒng)配置、重鑒別的閾值、掃描間隔時間、告警參數(shù)和其它TSF配置參數(shù)等）的管理能力； 2) 僅允許指定的授權管理員（如：安全策略管理員）才能實施TSF數(shù)據(jù)的管理。 1)-2)均滿足為“符合”；其他情況為“不符合”。 5.4.5　 TSF保護 5.4.5.1　 內(nèi)部TSF數(shù)據(jù)傳送的基本保護 a) 檢測要求 TSF應保護所有從WEB 應用安全監(jiān)測系統(tǒng)傳送到遠程管理主機的TSF數(shù)據(jù)（如：登錄鑒別數(shù)據(jù)、安全設置信息）在傳送過程中不會被未授權泄漏。 b) 檢測方法 1) 審查產(chǎn)品說明手冊，當產(chǎn)品需要通過網(wǎng)絡進行管理時，是否能提供對安全功能數(shù)據(jù)采取安全保護措施； 2) 使用網(wǎng)絡協(xié)議分析工具，對網(wǎng)絡傳輸?shù)陌踩δ軘?shù)據(jù)進行截包分析并加以驗證。 c) 結果判定 1) 產(chǎn)品能夠提供對安全功能數(shù)據(jù)進行非明文傳輸。 1）項滿足為“符合”；其他情況為“不符合”。 5.4.5.2　 自動恢復 a) 檢測要求 1) 當WEB應用安全監(jiān)測系統(tǒng)發(fā)生失效、服務中斷等故障，無法自動恢復時，系統(tǒng)應能夠提供進入維護模式，通過該模式保證系統(tǒng)返回到一個安全狀態(tài)。 2) 當WEB應用安全監(jiān)測系統(tǒng)的服務發(fā)生中斷后，在人工干預的情況下或者無人工干預自動恢復到安全狀態(tài)（如：安全策略、系統(tǒng)配置等）。 b) 檢測方法 1) 審查產(chǎn)品說明手冊，產(chǎn)品是否提供自動恢復功能； 2) 人為造成系統(tǒng)關鍵功能失效（包括WEB應用安全監(jiān)測系統(tǒng)與相連的網(wǎng)絡設備之間網(wǎng)絡通信斷開；WEB應用安全監(jiān)測系統(tǒng)電源關閉等）；驗證系統(tǒng)是否提供系統(tǒng)關鍵功能的自動恢復功能。 3) 如果無法進行自動恢復功能，驗證系統(tǒng)是否提供維護模式，通過維護模式保證系統(tǒng)返回到安全狀態(tài)。 c) 結果判定 1) 產(chǎn)品提供自動恢復功能； 2) 產(chǎn)品能夠自動恢復到未發(fā)生故障之前的狀態(tài)； 3) 產(chǎn)品提供維護模式，并通過維護模式保證系統(tǒng)返回到安全狀態(tài)。 1）-3）項滿足為“符合”；其他情況為“不符合”。 5.4.6　 用戶數(shù)據(jù)保護 5.4.6.1　 基于安全屬性的訪問控制 a) 檢測要求 1) 產(chǎn)品安全功能應基于安全屬性和確定的安全屬性組，對已明確的客體執(zhí)行產(chǎn)品訪問控制策略； 2) 產(chǎn)品安全功能應執(zhí)行產(chǎn)品訪問控制策略，決定受控的主體與客體間的操作是否被允許。 b) 檢測方法 1) 驗證產(chǎn)品定義了不同的安全屬性組（如：用戶名、帳戶有效性、帳戶過期時間和口令過期時間等），并規(guī)定了對產(chǎn)品的訪問控制策略； 2) 驗證用戶對產(chǎn)品的訪問，由訪問控制策略進行約束。 c) 結果判定 1) 產(chǎn)品能夠基于安全屬性設置相應的訪問控制策略。 2) 產(chǎn)品能夠依據(jù)訪問控制策略執(zhí)行訪問控制。 1）-2）項滿足為“符合”；其他情況為“不符合”。 5.5　 安全保障要求評估 5.5.1　 開發(fā) 5.5.1.1　 安全架構描述 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應設計并實現(xiàn)TOE，確保TSF的安全特性不可旁路； —— 開發(fā)者應設計并實現(xiàn)TSF，以防止不可信主體的破壞； —— 開發(fā)者應提供TSF安全架構的描述。 2) 內(nèi)容和形式元素： —— 安全架構的描述應與在TOE設計文檔中對SFR-執(zhí)行的抽象描述的級別一致； —— 安全架構的描述應描述與安全功能要求一致的TSF安全域； —— 安全架構的描述應描述TSF初始化過程為何是安全的； —— 安全架構的描述應證實TSF可防止被破壞； —— 安全架構的描述應證實TSF可防止SFR-執(zhí)行的功能被旁路。 b) 評估方法 評估者應確認提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結果判定 1) 開發(fā)者提供了TSF安全架構的描述； 2) 開發(fā)者提供的TSF安全架構的描述滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項均滿足為“符合”，其他情況為“不符合”。 5.5.1.2　 安全執(zhí)行功能規(guī)范 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應提供一個功能規(guī)范； —— 開發(fā)者應提供功能規(guī)范到安全功能要求的追溯關系。 2) 內(nèi)容和形式元素： —— 功能規(guī)范應完整地描述TSF； —— 功能規(guī)范應描述所有的TSFI的目的和使用方法； —— 功能規(guī)范應識別和描述每個TSFI相關的所有參數(shù)； —— 對于每個SFR-執(zhí)行TSFI，功能規(guī)范應描述TSFI相關的SFR-執(zhí)行行為； —— 對于SFR-執(zhí)行TSFI，功能規(guī)范應描述由SFR-執(zhí)行行為相關處理而引起的直接錯誤消息； —— 功能規(guī)范應證實安全功能要求到TSFI的追溯。 b) 評估方法 1) 評估者應確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評估者應確定功能規(guī)范是安全功能要求的一個準確且完備的實例化。 c) 結果判定 1) 開發(fā)者提供了功能規(guī)范文檔； 2) 開發(fā)者提供的功能規(guī)范文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開發(fā)者提供的功能規(guī)范是安全功能要求的一個準確且完備的實例化。 1）—3）項均滿足的為“符合”；其他情況為“不符合”。 5.5.1.3　 基礎設計 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應提供TOE的設計； —— 開發(fā)者應提供從功能規(guī)范的TSFI到TOE設計中獲取到的最低層分解的映射。 2) 內(nèi)容和形式元素： —— 設計應根據(jù)子系統(tǒng)描述TOE的結構； —— 設計應標識TSF的所有子系統(tǒng)； —— 設計應對每一個SFR-支撐或SFR-無關的TSF子系統(tǒng)的行為進行足夠詳細的描述，以確定它不是SFR-執(zhí)行； —— 設計應概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； —— 設計應描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； —— 映射關系應證實TOE設計中描述的所有行為能夠映射到調(diào)用它的TSFI。 b) 評估方法 1) 評估者應確認提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求； 2) 評估者應確定設計是所有安全功能要求的正確且完備的實例。 c) 結果判定 1) 開發(fā)者提供了TOE設計文檔； 2) 開發(fā)者提供的TOE設計文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開發(fā)者提供的設計是所有安全功能要求的正確且完備的實例。 1）—3）項均滿足的為“符合”；其他情況為“不符合”。 5.5.2　 指導性文檔 5.5.2.1　 操作用戶指南 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應提供操作用戶指南。 2) 內(nèi)容和形式元素： —— 操作用戶指南應對每一種用戶角色進行描述，在安全處理環(huán)境中應被控制的用戶可訪問的功能和特權，包含適當?shù)木拘畔ⅲ? —— 操作用戶指南應對每一種用戶角色進行描述，怎樣以安全的方式使用TOE提供的可用接口； —— 操作用戶指南應對每一種用戶角色進行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時應指明安全值； —— 操作用戶指南應對每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關的每一種安全相關事件，包括改變TSF所控制實體的安全特性； —— 操作用戶指南應標識TOE運行的所有可能狀態(tài)（包括操作導致的失敗或者操作性錯誤），它們與維持安全運行之間的因果關系和聯(lián)系； —— 操作用戶指南應對每一種用戶角色進行描述，為了充分實現(xiàn)ST中描述的運行環(huán)境安全目的所必須執(zhí)行的安全策略； —— 操作用戶指南應是明確和合理的。 b) 評估方法 評估者應確認所有提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結果判定 1) 開發(fā)者提供了操作用戶指南； 2) 開發(fā)者提供的操作用戶指南滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項均滿足的為“符合”；其他情況為“不符合”。 5.5.2.2　 準備程序 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應提供TOE，包括它的準備程序。 2) 內(nèi)容和形式元素： —— 準備程序應描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； —— 準備程序應描述安全安裝TOE以及安全準備與ST中描述的運行環(huán)境安全目的一致的運行環(huán)境必需的所有步驟。 b) 評估方法 1) 評估者應確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評估者應運用準備程序確認TOE運行能被安全的準備。 c) 結果判定 1) 開發(fā)者提供了TOE以及它的準備程序； 2) 開發(fā)者提供的準備程序滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 運用準備程序能夠確認TOE運行能被安全的準備。 1）—3）項均滿足的為“符合”；其他情況為“不符合”。 5.5.3　 生命周期支持 5.5.3.1　 CM系統(tǒng)的使用 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應提供TOE及其參照號； —— 開發(fā)者應提供CM文檔； —— 開發(fā)者應使用CM系統(tǒng)。 2) 內(nèi)容和形式元素： —— 應給TOE標注唯一參照號； —— CM文檔應描述用于唯一標識配置項的方法； —— CM系統(tǒng)應唯一標識所有配置項。 b) 評估方法 評估者應確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結果判定 1) 開發(fā)者提供了TOE，并為其標注唯一參照號； 2) 開發(fā)者提供了配置管理文檔，且文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開發(fā)者使用了配置管理系統(tǒng)，且配置管理系統(tǒng)滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—3）項均滿足的為“符合”，其他情況為“不符合”。 5.5.3.2　 部分TOE CM覆蓋 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應提供TOE配置項列表。 2) 內(nèi)容和形式元素： —— 配置項列表應包括：TOE本身、安全保障要求的評估證據(jù)和TOE的組成部分； —— 配置項列表應唯一標識配置項； —— 對于每一個TSF相關的配置項，配置項列表應簡要說明該配置項的開發(fā)者。 b) 評估方法 評估者應確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結果判定 1) 開發(fā)者提供了產(chǎn)品配置項列表； 2) 開發(fā)者提供的產(chǎn)品配置項列表滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項均滿足的為“符合”；其他情況為“不符合”。 5.5.3.3　 交付程序 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應將把TOE或其部分交付給消費者的程序文檔化； —— 開發(fā)者應使用交付程序。 2) 內(nèi)容和形式元素： —— 交付文檔應描述，在向消費者分發(fā)TOE版本時，用以維護安全性所必需的所有程序。 b) 評估方法 評估者應確認所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結果判定 1)