《WEB应用安全监测系统安全评价规范》（2017RB011）-征求意见稿

ICS点击此处添加中国标准文献分类号RB中华人民共和国认证认可行业标准RB/T XXXXXXXXXWEB应用安全监测系统安全评价规范点击此处添加标准英文译名点击此处添加与国际标准一致性程度的标识（征求意见稿）（本稿完成日期：2018-12-28）XXXX - XX - XX发布XXXX - XX - XX实施中华人民共和国国家市场监督管理总局国家认证认可监督管理委员会发布RB/T XXXXXXXXX目次前言21范围32规范性引用文件33术语、定义和缩略语33.1术语和定义33.2缩略语34评价要求44.1总体说明44.2功能要求44.3自身安全要求54.4安全保障要求75评价方法105.1总体说明105.2检测环境与工具105.3功能检测115.4自身安全检测145.5安全保障要求评估21前言本规范按照GB/T 1.1-2009的规则起草。本规范由国家认证认可监督管理委员会提出并归口。本规范起草单位：本规范主要起草人：WEB应用安全监测系统安全评价规范1 范围本规范规定了WEB应用安全监测系统的安全评价要求及评价方法。本规范适用于第三方认证机构和检测机构对WEB应用安全监测系统的评价，WEB 应用安全监测系统的设计和实现也可参照。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 18336-2015信息技术 安全技术 信息技术安全评估准则GB/T 25069 信息安全技术 术语3 术语、定义和缩略语3.1 术语和定义标准GB/T 18336-2015和GB/T 25069界定的以及下列术语和定义适用于本标准。3.1.1 WEB应用安全监测系统WEB应用安全监测系统是指部署在网络里，以监控的方式，实现对WEB应用的服务状态、安全状态进行监测的产品。3.1.2 SQL注入把SQL命令插入到WEB表单递交或者输入域名、页面请求的查询字符串中，以达到欺骗服务器执行恶意SQL命令的目的。客户端通过插入或注入SQL查询语句输入数据到应用。3.1.3 跨站脚本攻击跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。3.1.4 网页挂马网页挂马是指一个木马程序（或恶意代码）被上传到网站形成网页木马，使网页浏览者访问被挂马的网页时执行其中的恶意代码。3.2 缩略语以下缩略语适用于本文件HTTP 超文本传输协议 Hypertext Transfer ProtocolURL 统一资源定位器 Uniform Resource LocatorSSH 建立在应用层和传输层基础上的安全协议 Secure ShellTOE 评估对象 Target of EvaluationTSF TOE安全功能 TOE Security Functions4 评价要求4.1 总体说明4.1.1 评价要求分类本评价要求包括对产品的功能要求、自身安全要求和安全保障要求。4.1.2 安全等级本评价规范不对产品进行安全等级划分。产品的安全保障要求采用GB/T 18336.3-2015中有关 EAL2 级的要求。4.2 功能要求4.2.1 WEB应用状态监控WEB应用安全监测系统应能定时访问目标WEB应用，并分析返回页面，检测是否包含错误信息，及时发现WEB应用访问异常。4.2.2 WEB漏洞扫描WEB应用安全监测系统应能够扫描到SQL注入攻击、跨站脚本攻击（XSS）、信息泄露等常见的 WEB应用安全漏洞。4.2.3 网页挂马检测WEB应用安全监测系统应能检测到被挂马的WEB页面。4.2.4 自动通告WEB应用安全监测系统应能在发现WEB应用出现故障或者WEB应用安全漏洞时，自动通知系统管理员。4.2.5 产品升级WEB应用安全监测系统应能支持手动或者自动的方式进行产品升级，对漏洞知识库、木马特征以及服务程序等进行更新。4.2.6 管理功能4.2.6.1 系统管理WEB应用安全监测系统应具备配置管理功能，支持本地管理或远程管理。4.2.6.2 任务管理WEB应用安全监测系统应支持监测扫描任务添加域名或IP地址，能够设置扫描时间周期并实时显示任务进度及详情，支持对已完成扫描任务的记录和管理。4.2.6.3 报表管理WEB应用安全监测系统应支持报表功能并能输出报表；报表内容应包含网站基本信息（包括IP地址、网站标题及服务器所处位置等等信息）、任务概要信息（包括任务扫描时间、扫描深度、网站安全等级等信息）以及执行结果信息（包括SQL注入、XSS跨站、网站挂马等链接的详细信息）。4.2.7 服务能力监测WEB应用安全监测系统应能对WEB应用的访问响应时间进行监测，显示访问延时波动。4.2.8 篡改监测WEB应用安全监测系统应能及时发现指定的WEB应用（如指定URL地址等）被篡改的行为（如篡改页面的文字、图片、媒体信息等），并产生用户告警信息（如通过邮件、短信及提示信息等显示告警信息）。4.3 自身安全要求4.3.1 安全审计4.3.1.1 审计数据产生a) WEB 应用安全监测系统应对以下事件生成审计记录：1) 审计功能的启动与关闭；2) 用户的创建、修改、删除、权限分配等管理行为；3) 鉴别机制的使用；4) 鉴别失败的次数超过给定阈值导致会话终止；5) 其他系统参数配置和管理安全功能行为的操作。b) WEB 应用安全监测系统每个审计记录中应记录下列信息：1) 事件发生的日期、时间；2) 事件的类型；3) 主体身份标识；4) 事件的描述及结果。4.3.1.2 审计查阅a) WEB应用安全监测系统应为授权用户提供读取审计记录的功能。b) WEB应用安全监测系统应以便于用户理解的方式提供审计记录。4.3.1.3 限制审计查阅除明确允许读访问的用户外，TSF应禁止所有用户对审计记录的读访问。4.3.1.4 可选审计查阅WEB应用安全监测系统应提供根据条件对审计数据进行查询或排序的功能。4.3.1.5 防止审计数据丢失a) WEB应用安全监测系统的安全功能应把生成的审计记录存储于一个永久性的记录中，并应提供相应措施以防止故障或攻击造成的审计事件丢失；b) 对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量，WEB应用安全监测系统的开发者应提供相应的分析结果；c) 一旦审计存储容量达到事先规定的警戒值，应能发送警告信息，并采取相应的防护措施。4.3.1.6 审计数据保护a) WEB应用安全监测系统应保护存储的审计记录免遭未授权的删除；b) WEB应用安全监测系统应禁止对审计记录的修改。4.3.2 标识和鉴别4.3.2.1 唯一性标识WEB 应用安全监测系统应保证任何用户都具有全局唯一的标识。4.3.2.2 鉴别的时机WEB应用安全监测系统应要求每个用户在执行与数据泄露防护产品安全相关的任何其他操作之前，都已被成功鉴别4.3.2.3 用户属性定义WEB 应用安全监测系统应为每一个用户保存安全属性表，属性应包括：用户标识、授权信息或用户组信息、其他安全属性等。4.3.2.4 鉴别失败处理a) WEB应用安全监测系统应能检测用户的不成功的鉴别尝试；b) 在经过一定次数的鉴别失败后，WEB应用安全监测系统的安全功能应采取措施以终止登录尝试的动作，直至满足已定义的条件才允许进行重新鉴别；c) 鉴别尝试的阈值应仅允许授权管理员设定。4.3.2.5 受保护的鉴别反馈鉴别进行时，WEB应用安全监测系统安全功能应以隐性的方式显示鉴别数据输入的反馈，不显示字符本身。4.3.3 安全管理4.3.3.1 安全功能行为的管理WEB应用安全监测系统应仅限于授权用户对下述功能具有修改的能力。a) 监测任务的管理； b) 其他安全功能行为的管理。4.3.3.2 安全属性的管理WEB应用安全监测系统应执行访问控制策略或信息流控制策略，以限制已识别了的授权角色查询、修改和删除安全属性的能力。4.3.3.3 安全角色a) WEB应用安全监测系统应维护已标识的授权角色； b) WEB应用安全监测系统应能够将用户与角色关联起来。4.3.3.4 TSF 数据的管理WEB应用安全监测系统应仅允许授权用户控制 安全功能数据的管理。4.3.4 TSF保护4.3.4.1 内部TSF数据传送的基本保护TSF应保护所有从 WEB应用安全监测系统传送到远程管理主机的TSF数据（如：登录鉴别数据、安全设置信息）在传送过程中不会被未授权泄漏。4.3.4.2 自动恢复a) 当WEB应用安全监测系统发生失效、服务中断等故障，无法自动恢复时，系统应能够提供进入维护模式，通过该模式保证系统返回到一个安全状态。b) 当WEB应用安全监测系统的服务发生中断后，在人工干预的情况下或者无人工干预自动恢复到安全状态（如：安全策略、系统配置等）。4.3.5 用户数据保护4.3.5.1 基于安全属性的访问控制a) 产品安全功能应基于安全属性和确定的安全属性组，对已明确的客体执行产品访问控制策略；b) 产品安全功能应执行产品访问控制策略，决定受控的主体与客体间的操作是否被允许。4.4 安全保障要求4.4.1 开发4.4.1.1 安全架构描述a) 开发者行为元素：1) 开发者应设计并实现TOE，确保TSF的安全特性不可旁路；2) 开发者应设计并实现TSF，以防止不可信主体的破坏；3) 开发者应提供TSF安全架构的描述。b) 内容和形式元素：1) 安全架构的描述应与在TOE设计文档中对SFR-执行的抽象描述的级别一致；2) 安全架构的描述应描述与安全功能要求一致的TSF安全域；3) 安全架构的描述应描述TSF初始化过程为何是安全的；4) 安全架构的描述应证实TSF可防止被破坏；5) 安全架构的描述应证实TSF可防止SFR-执行的功能被旁路。4.4.1.2 安全执行功能规范a) 开发者行为元素：1) 开发者应提供一个功能规范；2) 开发者应提供功能规范到安全功能要求的追溯关系。b) 内容和形式元素：1) 功能规范应完整地描述TSF；2) 功能规范应描述所有的TSFI的目的和使用方法；3) 功能规范应识别和描述每个TSFI相关的所有参数；4) 对于每个SFR-执行TSFI，功能规范应描述TSFI相关的SFR-执行行为；5) 对于SFR-执行TSFI，功能规范应描述由SFR-执行行为相关处理而引起的直接错误消息；6) 功能规范应证实安全功能要求到TSFI的追溯。4.4.1.3 基础设计a) 开发者行为元素：1) 开发者应提供TOE的设计；2) 开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射。b) 内容和形式元素：1) 设计应根据子系统描述TOE的结构；2) 设计应标识TSF的所有子系统；3) 设计应对每一个SFR-支撑或SFR-无关的TSF子系统的行为进行足够详细的描述，以确定它不是SFR-执行；4) 设计应概括SFR-执行子系统的SFR-执行行为；5) 设计应描述TSF的SFR-执行子系统间的互相作用和TSF的SFR-执行子系统与其他TSF子系统间的相互作用；6) 映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSFI。4.4.2 指导性文档4.4.2.1 操作用户指南a) 开发者行为元素：开发者应提供操作用户指南。b) 内容和形式元素：1) 操作用户指南应对每一种用户角色进行描述，在安全处理环境中应被控制的用户可访问的功能和特权，包含适当的警示信息；2) 操作用户指南应对每一种用户角色进行描述，怎样以安全的方式使用TOE提供的可用接口；3) 操作用户指南应对每一种用户角色进行描述，可用功能和接口，尤其是受用户控制的所有安全参数，适当时应指明安全值；4) 操作用户指南应对每一种用户角色明确说明，与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变TSF所控制实体的安全特性；5) 操作用户指南应标识TOE运行的所有可能状态（包括操作导致的失败或者操作性错误），它们与维持安全运行之间的因果关系和联系；6) 操作用户指南应对每一种用户角色进行描述，为了充分实现ST中描述的运行环境安全目的所必须执行的安全策略；7) 操作用户指南应是明确和合理的。4.4.2.2 准备程序a) 开发者行为元素：开发者应提供TOE，包括它的准备程序。b) 内容和形式元素：1) 准备程序应描述与开发者交付程序相一致的安全接收所交付TOE所必需的所有步骤；2) 准备程序应描述安全安装TOE以及安全准备与ST中描述的运行环境安全目的一致的运行环境必需的所有步骤。4.4.3 生命周期支持4.4.3.1 CM系统的使用a) 开发者行为元素：1) 开发者应提供TOE及其参照号；2) 开发者应提供CM文档；3) 开发者应使用CM系统。b) 内容和形式元素：1) 应给TOE标注唯一参照号；2) CM文档应描述用于唯一标识配置项的方法；3) CM系统应唯一标识所有配置项。4.4.3.2 部分TOE CM覆盖a) 开发者行为元素：开发者应提供TOE配置项列表。b) 内容和形式元素：1) 配置项列表应包括：TOE本身、安全保障要求的评估证据和TOE的组成部分；2) 配置项列表应唯一标识配置项；3) 对于每一个TSF相关的配置项，配置项列表应简要说明该配置项的开发者。4.4.3.3 交付程序a) 开发者行为元素：1) 开发者应将把TOE或其部分交付给消费者的程序文档化；2) 开发者应使用交付程序。b) 内容和形式元素：交付文档应描述，在向消费者分发TOE版本时，用以维护安全性所必需的所有程序。4.4.4 测试4.4.4.1 覆盖证据a) 开发者行为元素：开发者应提供测试覆盖的证据。b) 内容和形式元素：测试覆盖的证据应表明测试文档中的测试与功能规范中的TSF接口之间的对应性。4.4.4.2 功能测试a) 开发者行为元素：1) 开发者应测试TSF，并文档化测试结果；2) 开发者应提供测试文档。b) 内容和形式元素：1) 测试文档应包括测试计划、预期的测试结果和实际的测试结果；2) 测试计划应标识要执行的测试并描述执行每个测试的方案，这些方案应包括对于其他测试结果的任何顺序依赖性；3) 预期的测试结果应指出测试成功执行后的预期输出；4) 实际的测试结果应与预期的测试结果一致。4.4.4.3 独立测试-抽样a) 开发者行为元素：开发者应提供用于测试的TOE。b) 内容和形式元素：1) TOE应适合测试；2) 开发者应提供一组与开发者TSF功能测试中同等的一系列资源。4.4.5 脆弱性评定4.4.5.1 脆弱性分析a) 开发者行为元素：开发者应提供用于测试的TOE。b) 内容和形式元素：TOE应适合测试。5 评价方法5.1 总体说明评价方法与评价要求一一对应，它给出具体的方法来验证WEB应用安全监测系统产品是否满足评价要求。评价过程分为检测和评估，其中，检测内容为功能要求及自身安全要求，评估内容为安全保障要求，评估的主要方式为文件审核和现场核查。5.2 检测环境与工具a) 检测环境图u图1 功能检测环境图b) 检测工具：WEB浏览器、网络协议分析工具5.3 功能检测5.3.1 WEB应用状态监控a) 检测要求WEB应用安全监测系统应能定时对目标WEB应用访问，并分析返回页面，检测是否包含错误信息，及时发现WEB应用访问异常。b) 检测方法1) 审查产品说明书描述，WEB应用安全监测系统是否支持WEB应用状态监控；2) 按照产品说明书，使用WEB应用安全监测系统对部署在服务器上存在问题的WEB应用实施状态监控，并查看监控结果。c) 结果判定1) 产品提供支持WEB应用状态监控功能；3) 产品能够监测应用访问的异常情况；1)-2)项均满足为“符合”；否则为“不符合”。5.3.2 WEB漏洞扫描a) 检测要求WEB应用安全监测系统应能够扫描到SQL注入攻击、跨站脚本攻击（XSS）、信息泄露等常见的 WEB应用安全漏洞。b) 检测方法1) 审查产品说明书描述，WEB应用安全监测系统检查是否支持对SQL注入攻击、跨站脚本（XSS）攻击、信息泄露（源代码、报错信息、目录信息）等常见的WEB攻击手段扫描检测；2) 使用WEB应用安全监测系统对部署在测试服务器上存在SQL注入、跨站脚本、信息泄露等安全漏洞的WEB应用进行扫描，查看扫描结果。c) 结果判定1) 产品提供支持WEB漏洞扫描功能；2) 产品能够监测出部署在测试服务器上的WEB应用存在SQL注入、跨站脚本、信息泄露等安全漏洞；1)-2)项均满足为“符合”；否则为“不符合”。5.3.3 网页挂马检测a) 检测要求WEB应用安全监测系统应能检测到被挂马的WEB页面。b) 检测方法1) 审查产品说明书描述，WEB应用安全监测系统是否支持网页挂马检测；2) 使用WEB应用安全监测系统对部署在测试服务器上存在网页挂马的WEB应用进行扫描，查看扫描结果。c) 结果判定1) 产品提供支持网页挂马检测功能；2) 产品能够完成网页挂马检测，并能够检测出被挂马的WEB页面；1)-2)项均满足为“符合”；否则为“不符合”。5.3.4 自动通告a) 检测要求WEB应用安全监测系统应支持在发现WEB应用出现故障或者发现WEB应用安全漏洞时，能自动通知系统管理员。b) 检测方法1) 审查产品说明书描述，WEB应用安全监测系统是否支持自动通告；2) 使用WEB应用安全监测系统对部署在测试服务器上存在安全漏洞的WEB应用进行监测，查看是否能够在发现漏洞或故障后，通过邮件、短信、页面提示、声音报警等一种或多种方式自动通知管理员。c) 结果判定1) 产品提供自动通知功能；2) 产品能够在发现漏洞或故障后，通过邮件、短信、页面提示、声音报警等一种或多种方式自动通知管理员。1)-2)项均满足为“符合”；否则为“不符合”。5.3.5 产品升级a) 检测要求WEB应用安全监测系统应支持手动或者自动的方式进行产品升级（如对漏洞知识库、木马特征以及服务程序等进行更新）。b) 检测方法1) 审查产品说明书描述，WEB应用安全监测系统是否支持产品升级；2) 按照产品说明书，测试WEB应用安全监测系统是否可实施手动或自动升级。c) 结果判定1) 产品提供升级功能；2) 产品能够支持手动或者自动的方式进行产品升级。1)-2)项均满足为“符合”；否则为“不符合”。5.3.6 管理功能5.3.6.1 系统管理a) 检测要求WEB应用安全监测系统应具备配置管理功能，支持本地管理或远程管理。b) 检测方法查看WEB应用安全监测系统的管理方式（如：Console口、Telnet、SSH、HTTP、HTTPS、SNMP、产品专用的管理程序），是否支持本地管理或远程管理方式，并进行验证。c) 结果判定1) WEB应用安全监测系统支持本地的管理方式，且能够有效实施配置管理；2) WEB应用安全监测系统支持远程管理方式，且能够有效实施配置管理。1)或 2)项有一项满足为“符合”，其他情况为“不符合”。5.3.6.2 任务管理a) 检测要求WEB应用安全监测系统应支持监测扫描任务添加域名或IP地址，能够设置扫描时间周期并实时显示任务进度及详情，支持对已完成扫描任务的记录和管理。b) 检测方法1) 审查产品说明书描述，WEB应用安全监测系统是否支持任务管理功能；2) 使用WEB应用安全监测系统添加扫描任务对部署在测试服务器上的WEB应用进行监测扫描，查看当前任务进展情况；3) 任务完成之后对历史任务进行查看、搜索、排序和删除等操作。c) 结果判定1) WEB应用安全监测系统支持扫描任务添加域名或IP地址并支持扫描时间周期的设置；2) WEB应用安全监测系统支持查看当前扫描任务的详细信息，并可对已完成的扫描任务进行管理。1)或 2)项有一项满足为“符合”，其他情况为“不符合”。5.3.6.3 报表管理a) 检测要求WEB应用安全监测系统应支持报表功能并能输出报表；报表内容应包含网站基本信息（包括IP地址、网站标题及服务器所处位置等等信息）、任务概要信息（包括任务扫描时间、扫描深度、网站安全等级等信息）以及执行结果信息（包括SQL注入、XSS跨站、网站挂马等链接的详细信息）。b) 检测方法1) 审查产品说明书描述，WEB应用安全监测系统是否支持报表管理功能；2) 登录WEB应用安全监测系统查看历史任务报表，查看报表内容是否包含检测要求中的相关信息。3) 导出历史任务报表，报表应能被导出（如HTML、WORD等格式）。c) 结果判定1) WEB应用安全监测系统的报表内容应包含检测要求中的详细内容；2) WEB应用安全监测系统的报表应能被导出（导出格式不限）。1)或 2)项有一项满足为“符合”，其他情况为“不符合”。5.3.7 服务能力监测a) 检测要求WEB应用安全监测系统应能对WEB应用的访问响应时间进行监测，显示访问延时波动。b) 检测方法1) 审查产品说明书描述，WEB应用安全监测系统是否支持服务能力监测；2) 使用WEB应用安全监测系统对部署在测试服务器上的WEB应用进行监测，查看是否能够显示访问延时波动。c) 结果判定1) 产品提供服务能力监测功能；2) 产品能够显示访问延时波动。1)-2)项均满足为“符合”；否则为“不符合”。5.3.8 篡改监测a) 检测要求WEB应用安全监测系统应能及时发现指定的WEB应用（如指定URL地址等）被篡改的行为（如篡改页面的文字、图片、媒体信息等），并产生用户告警信息（如通过邮件、短信及提示信息等显示告警信息）。b) 检测方法1) 审查产品说明书描述，WEB应用安全监测系统是否支持篡改监测功能，并登录配置界面验证产品是否提供对篡改监控页面的设置；2) 使用WEB应用安全监测系统对部署在测试服务器上WEB应用的指定页面进行监测，对WEB应用进行授权发布或更新，验证对发布后的应用能否重新建立新的扫描对比基准，以区别非授权篡改。3) 使用WEB应用安全监测系统对部署在测试服务器上WEB应用的指定页面进行监测，对WEB应用进行篡改操作（如修改页面内容、媒体信息及删除图片等），查看WEB应用安全监测系统是否对其篡改操作行为进行告警，并通过何种方式进行告警。c) 结果判定1) 产品提供篡改监控功能，并提供对篡改监控页面的参数设置（如设置指定的URL地址、监测深度等）；2) 产品能够对正常发布或更新行为手动或自动建立新的扫描基准，以区分非授权篡改；3) 产品能够对篡改操作行为进行告警。1)-3)项均满足为“符合”；否则为“不符合”。5.4 自身安全检测5.4.1 检测环境与工具5.4.2 安全审计5.4.2.1 审计数据产生a) 检测要求1) WEB应用安全监测系统应对以下事件生成审计记录： 审计功能的启动与关闭； 用户的创建、修改、删除、权限分配等管理行为； 鉴别机制的使用； 鉴别失败的次数超过给定阈值导致会话终止； 其他系统参数配置和管理安全功能行为的操作。2) WEB应用安全监测系统每个审计记录中应记录下列信息： 事件发生的日期、时间； 事件的类型； 主体身份标识； 事件的描述及结果。b) 检测方法1) 以授权用户身份登录WEB应用安全监测系统，执行检测要求1）中相关的操作，查看审计记录，检查系统是否对操作进行了审计记录；2) 查看审计记录内容中是否包括事件发生的日期和时间、事件类型、主体身份标识、事件描述及结果等信息。c) 结果判定1) WEB应用安全监测系统能够对以下事件生成审计记录： 审计功能的启动与关闭； 用户的创建、修改、删除、权限分配等管理行为； 鉴别机制的使用； 鉴别失败的次数超过给定阈值导致会话终止； 其他系统参数配置和管理安全功能行为的操作。2) WEB应用安全监测系统的审计记录中能够记录下列信息： 事件发生的日期、时间； 事件的类型； 主体身份标识； 事件的描述及结果。 1)-2)项均满足为“符合”，其他情况为“不符合”。5.4.2.2 审计查阅a) 检测要求1) WEB应用安全监测系统应为授权用户提供读取审计记录的功能。2) WEB应用安全监测系统应以便于用户理解的方式提供审计记录。b) 检测方法1) 以授权用户身份登录WEB应用安全监测系统，查验是否为授权用户提供从审计记录中读取审计信息的功能。2) 查看 WEB应用安全监测系统审计信息的提供方式和格式。c) 结果判定1) 授权用户能够读取审计记录；2) 审计记录以用户易理解的方式和格式提供。1)-2)项均满足为“符合”；否则为“不符合”。5.4.2.3 限制审计查阅a) 检测要求除明确允许读访问的用户外，TSF应禁止所有用户对审计记录的读访问。b) 检测方法1) 检查授权用户是否能够读取其权限范围内的审计信息；2) 检查非授权用户是否不能读取任何审计信息。c) 结果判定1) 授权用户能够读取其权限范围内的审计信息；2) 非授权用户不能读取任何审计信息。1)-2)项均满足为“符合”；否则为“不符合”。5.4.2.4 可选审计查阅a) 检测要求WEB应用安全监测系统应提供根据条件对审计数据进行查询或排序的功能。b) 检测方法1) 以授权用户身份登录WEB应用安全监测系统，以一定的条件（如，主体ID（标识符）、客体ID、日期、时间等）对审计数据进行查询或排序操作； 2) 检查查询或排序的结果是否完全正确。c) 结果判定1) 能够支持根据条件对审计数据进行查询或排序；2) 查询或排序的结果是否完全正确。1)-2)项均满足为“符合”，其他情况为“不符合”。5.4.2.5 防止审计数据丢失a) 检测要求1) WEB应用安全监测系统的安全功能应把生成的审计记录存储于一个永久性的记录中，并应提供相应措施以防止故障或攻击造成的审计事件丢失；2) 对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量，WEB应用安全监测系统的开发者应提供相应的分析结果；3) 一旦审计存储容量达到事先规定的警戒值，应能发送警告信息，并采取相应的防护措施。b) 检测方法1) 查验WEB应用安全监测系统的安全功能是否将生成的审计记录存储于一个永久性的记录中（如，硬盘），而非易失性部件中（如，内存）。2) 查验是否提供相应措施以防止故障或攻击造成的审计事件丢失（检测是否提供安全措施，如可以自动存档或导出审计事件，防止意外丢失）；3) 查验对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量，WEB应用安全监测系统的开发者是否提供相应的分析结果 （包括对可能到达最大容量的充分估计，对容量问题设计一定措施，如开辟大容量空间存放审计数据、接近上限前提醒管理员等）；4) 模拟审计容量大量消耗相关的操作，测试WEB应用安全监测系统是否在审计存储容量达到事先规定的警戒值时发出警告信息，并采取相应的防护措施（如，停止记录、仅从最早的记录开始覆盖等）。c) 结果判定1) 审计记录存储于一个永久性的记录中；2) 系统支持自动存档机制或支持授权管理员的导出备份功能，从而能够防止由于故障和攻击可能造成的意外丢失；3) 对因故障或存储耗竭而导致审计数据丢失的最大审计存储容量，系统的开发者能够提供相应的分析结果；4) 审计容量达到警戒值时发出警告信息，并能够采取相应的防护措施。1)-4)项均满足为“符合”；其他情况为“不符合”。5.4.2.6 审计数据保护a) 检测要求1) WEB应用安全监测系统应保护存储的审计记录免遭未授权的删除；2) WEB应用安全监测系统应禁止对审计记录的修改。b) 检测方法1) 分别以授权用户和非授权用户身份执行删除审计记录的操作，验证WEB应用安全监测系统是否能够确保免遭未授权的删除；2) 查看WEB应用安全监测系统是否能够防止修改审计记录的操作。c) 结果判定1) 能够确保免遭未授权的删除；2) 审计记录不能修改。1）2）项满足为“符合”，其他情况为“不符合”。5.4.3 标识和鉴别5.4.3.1 唯一性标识a) 检测要求WEB 应用安全监测系统应保证任何用户都具有全局唯一的标识。b) 检测方法1) 以授权用户身份登录数据泄露防护产品，查看用户信息；2) 尝试新建一个相同用户标识的用户，检查操作是否能够成功。c) 结果判定1) 系统不允许新建相同用户标识的用户。1)项满足为“符合”；其他情况为“不符合”。5.4.3.2 鉴别的时机a) 检测要求WEB应用安全监测系统应要求每个用户在执行与数据泄露防护产品安全相关的任何其他操作之前，都已被成功鉴别。b) 检测方法1) 查看用户在未被成功鉴别前，是否被拒绝执行任何安全相关的操作；2) 查看产品是否拒绝使用错误鉴别信息的用户登录；3) 尝试以正确的鉴别信息登录，验证产品是否允许登录，是否允许进行相应的安全管理操作。4) 对系统中所有角色的授权用户进行测试，查验WEB应用安全监测系统的安全功能是否确保对每个授权用户都进行鉴别。c) 结果判定1) 用户被成功鉴别前，不能执行任何与安全相关的操作；2) 使用错误鉴别信息，产品不允许登录；3) 使用正确的鉴别信息，能够成功登录，并能够执行相应的安全管理操作。4) 系统能够确保对每个授权用户都进行鉴别。1)-4)项均满足为“符合”；其他情况为“不符合”。5.4.3.3 用户属性定义a) 检测要求WEB应用安全监测系统应为每一个用户保存安全属性表，属性应包括：用户标识、授权信息或用户组信息、其他安全属性等。b) 检测方法1) 查看产品是否为每一个用户保存其安全属性表，属性可包括：用户标识、授权信息或用户组信息、其他安全属性等；2) 以不同的授权用户身份登录WEB应用安全监测系统，执行其权限范围内的操作，检查该用户可执行的操作与其安全属性（如用户标识、授权信息等）的要求是否一致；3) 查验是否能够有效对安全属性进行设定、修改；4) 修改用户的部分安全属性后，检查该用户可执行的操作与其被修改后的安全属性的要求是否一致。c) 结果判定1) 系统支持为每一个用户定义及维护其安全属性表；2) 所有用户能够依据其安全属性进行相应的操作；3) 支持对安全属性的设定、修改；4) 用户可执行的操作与其被修改后的安全属性（如授权信息等）的要求一致。1)-4)均满足为“符合”；其他情况为“不符合”。5.4.3.4 鉴别失败处理a) 检测要求1) WEB应用安全监测系统应能检测用户的不成功的鉴别尝试；2) 在经过一定次数的鉴别失败后，WEB应用安全监测系统的安全功能应采取措施以终止登录尝试的动作，直至满足已定义的条件才允许进行重新鉴别；3) 鉴别尝试的阈值应仅允许授权管理员设定。b) 检测方法1) 以错误的鉴别信息尝试登录，查验是否被拒绝进入系统；2) 进行一定次数的登录尝试，验证在一定次数的鉴别失败后，WEB应用安全监测系统是否对登录尝试主机终止其建立会话的过程（例如：关闭身份鉴别的对话界面、锁定帐户等）；3) 如果系统提供最多失败次数的设定功能。查验该阈值是否仅由授权管理员设定，并验证所设定的次数是否有效；c) 结果判定1) 系统能够检测用户的不成功的鉴别尝试；2) 在连续登录鉴别尝试失败连续达到指定次数后，用户账号或登录点失效；3) 达到解锁条件后，失效的用户账号或登录点能够重新进行鉴别操作；4) 未成功鉴别尝试次数阈值仅由授权管理员能够进行设置。1)-4）项均满足为“符合”；其他情况为“不符合”。5.4.3.5 受保护的鉴别反馈a) 检测要求鉴别进行时，WEB应用安全监测系统安全功能应以隐性的方式显示鉴别数据输入的反馈，不显示字符本身。b) 检测方法执行用户身份鉴别操作，输入用户鉴别数据，检查WEB应用安全监测系统给出的反馈信息是否不显示字符本身。c) 结果判定1) 产品给出的反馈信息不显示字符本身。1)项满足为“符合”；其他情况为“不符合”。5.4.4 安全管理5.4.4.1 安全功能行为的管理a) 检测要求WEB应用安全监测系统应仅限于授权用户对下述功能具有修改的能力。1) 监测任务的管理； 2) 其他安全功能行为的管理。b) 检测方法1) 检查WEB应用安全监测系统管理系统的安全功能是否明确规定仅限于指定的授权角色对监测任务具有设定、修改的能力。2) 检查指定的授权用户对系统的功能进行设定、修改等操作前，是否先登录才能操作。c) 结果判定1) WEB应用安全监测系统仅限于授权用户对监测任务等功能进行设定、修改。2) 指定的授权用户对系统的功能进行设定、修改等操作前，先登录才能操作。1)-2)项均满足为“符合”；其他情况为“不符合”。5.4.4.2 安全属性的管理a) 检测要求WEB应用安全监测系统应执行访问控制策略或信息流控制策略， 以限制已识别了的授权角色查询、修改和删除安全属性的能力。b) 检测方法1) 查看产品所设定的安全属性组（如：用户名、帐户有效性、帐户过期时间和口令过期时间等）；2) 对用户的安全属性进行查询、创建、修改和删除，并作相应验证；3) 验证是否仅指定的授权管理员（如：系统管理员）对安全属性具有管理能力。c) 结果判定1) 产品能够提供对安全属性进行查询、创建、修改和删除的功能；2) 产品仅允许指定的授权管理员对安全属性具有管理能力。1)-2)均满足为“符合”；其他情况为“不符合”。5.4.4.3 安全角色a) 检测要求1) WEB应用安全监测系统应维护已标识的授权角色；2) WEB应用安全监测系统应能够将用户与角色关联起来。b) 检测方法1) 查看产品说明文档中关于安全管理角色的划分和描述；2) 查验是否允许定义多个角色或对角色进行分级，使不同级别的管理角色具有不同的管理权限；3) 将用户与角色关联起来，并进行验证；4) 检测未授予安全管理角色的普通用户是否能够执行安全管理功能相关操作。c) 结果判定1) 产品支持定义多个角色或对角色进行分级，使不同级别的管理角色具有不同的管理权限；2) 用户能够与角色进行关联，从而实施相应的管理功能；3) 未授予安全管理角色的普通用户不能执行安全管理功能相关操作。1)-3)均满足为“符合”；其他情况为“不符合”。5.4.4.4 TSF数据的管理a) 检测要求WEB应用安全监测系统应仅允许授权用户控制安全功能数据的管理。b) 检测方法1) 验证授权管理员用户对TSF数据的管理能力（如，审计信息、时钟、系统配置、重鉴别的阈值、扫描间隔时间、告警参数和其它TSF配置参数等）；2) 验证仅允许指定的授权管理员才能实施 TSF 数据的管理。c) 结果判定1) 产品能够提供对TSF数据（如，审计信息、时钟、系统配置、重鉴别的阈值、扫描间隔时间、告警参数和其它TSF配置参数等）的管理能力；2) 仅允许指定的授权管理员（如：安全策略管理员）才能实施TSF数据的管理。1)-2)均满足为“符合”；其他情况为“不符合”。5.4.5 TSF保护5.4.5.1 内部TSF数据传送的基本保护a) 检测要求TSF应保护所有从WEB 应用安全监测系统传送到远程管理主机的TSF数据（如：登录鉴别数据、安全设置信息）在传送过程中不会被未授权泄漏。b) 检测方法1) 审查产品说明手册，当产品需要通过网络进行管理时，是否能提供对安全功能数据采取安全保护措施；2) 使用网络协议分析工具，对网络传输的安全功能数据进行截包分析并加以验证。c) 结果判定1) 产品能够提供对安全功能数据进行非明文传输。1）项满足为“符合”；其他情况为“不符合”。5.4.5.2 自动恢复a) 检测要求1) 当WEB应用安全监测系统发生失效、服务中断等故障，无法自动恢复时，系统应能够提供进入维护模式，通过该模式保证系统返回到一个安全状态。2) 当WEB应用安全监测系统的服务发生中断后，在人工干预的情况下或者无人工干预自动恢复到安全状态（如：安全策略、系统配置等）。b) 检测方法1) 审查产品说明手册，产品是否提供自动恢复功能；2) 人为造成系统关键功能失效（包括WEB应用安全监测系统与相连的网络设备之间网络通信断开；WEB应用安全监测系统电源关闭等）；验证系统是否提供系统关键功能的自动恢复功能。3) 如果无法进行自动恢复功能，验证系统是否提供维护模式，通过维护模式保证系统返回到安全状态。c) 结果判定1) 产品提供自动恢复功能；2) 产品能够自动恢复到未发生故障之前的状态；3) 产品提供维护模式，并通过维护模式保证系统返回到安全状态。1）-3）项满足为“符合”；其他情况为“不符合”。5.4.6 用户数据保护5.4.6.1 基于安全属性的访问控制a) 检测要求1) 产品安全功能应基于安全属性和确定的安全属性组，对已明确的客体执行产品访问控制策略；2) 产品安全功能应执行产品访问控制策略，决定受控的主体与客体间的操作是否被允许。b) 检测方法1) 验证产品定义了不同的安全属性组（如：用户名、帐户有效性、帐户过期时间和口令过期时间等），并规定了对产品的访问控制策略；2) 验证用户对产品的访问，由访问控制策略进行约束。c) 结果判定1) 产品能够基于安全属性设置相应的访问控制策略。2) 产品能够依据访问控制策略执行访问控制。1）-2）项满足为“符合”；其他情况为“不符合”。5.5 安全保障要求评估5.5.1 开发5.5.1.1 安全架构描述a) 评估要求1) 开发者行为元素： 开发者应设计并实现TOE，确保TSF的安全特性不可旁路； 开发者应设计并实现TSF，以防止不可信主体的破坏； 开发者应提供TSF安全架构的描述。2) 内容和形式元素： 安全架构的描述应与在TOE设计文档中对SFR-执行的抽象描述的级别一致； 安全架构的描述应描述与安全功能要求一致的TSF安全域； 安全架构的描述应描述TSF初始化过程为何是安全的； 安全架构的描述应证实TSF可防止被破坏； 安全架构的描述应证实TSF可防止SFR-执行的功能被旁路。b) 评估方法评估者应确认提供的信息满足证据的内容和形式的所有要求。c) 结果判定1) 开发者提供了TSF安全架构的描述；2) 开发者提供的TSF安全架构的描述满足证据的内容和形式的所有要求。1）2）项均满足为“符合”，其他情况为“不符合”。5.5.1.2 安全执行功能规范a) 评估要求1) 开发者行为元素： 开发者应提供一个功能规范； 开发者应提供功能规范到安全功能要求的追溯关系。2) 内容和形式元素： 功能规范应完整地描述TSF； 功能规范应描述所有的TSFI的目的和使用方法； 功能规范应识别和描述每个TSFI相关的所有参数； 对于每个SFR-执行TSFI，功能规范应描述TSFI相关的SFR-执行行为； 对于SFR-执行TSFI，功能规范应描述由SFR-执行行为相关处理而引起的直接错误消息； 功能规范应证实安全功能要求到TSFI的追溯。b) 评估方法1) 评估者应确认所提供的信息满足证据的内容和形式的所有要求；2) 评估者应确定功能规范是安全功能要求的一个准确且完备的实例化。c) 结果判定1) 开发者提供了功能规范文档；2) 开发者提供的功能规范文档满足证据的内容和形式的所有要求；3) 开发者提供的功能规范是安全功能要求的一个准确且完备的实例化。1）3）项均满足的为“符合”；其他情况为“不符合”。5.5.1.3 基础设计a) 评估要求1) 开发者行为元素： 开发者应提供TOE的设计； 开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射。2) 内容和形式元素： 设计应根据子系统描述TOE的结构； 设计应标识TSF的所有子系统； 设计应对每一个SFR-支撑或SFR-无关的TSF子系统的行为进行足够详细的描述，以确定它不是SFR-执行； 设计应概括SFR-执行子系统的SFR-执行行为； 设计应描述TSF的SFR-执行子系统间的互相作用和TSF的SFR-执行子系统与其他TSF子系统间的相互作用； 映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSFI。b) 评估方法1) 评估者应确认提供的信息满足证据的内容与形式的所有要求；2) 评估者应确定设计是所有安全功能要求的正确且完备的实例。c) 结果判定1) 开发者提供了TOE设计文档；2) 开发者提供的TOE设计文档满足证据的内容和形式的所有要求；3) 开发者提供的设计是所有安全功能要求的正确且完备的实例。1）3）项均满足的为“符合”；其他情况为“不符合”。5.5.2 指导性文档5.5.2.1 操作用户指南a) 评估要求1) 开发者行为元素： 开发者应提供操作用户指南。2) 内容和形式元素： 操作用户指南应对每一种用户角色进行描述，在安全处理环境中应被控制的用户可访问的功能和特权，包含适当的警示信息； 操作用户指南应对每一种用户角色进行描述，怎样以安全的方式使用TOE提供的可用接口； 操作用户指南应对每一种用户角色进行描述，可用功能和接口，尤其是受用户控制的所有安全参数，适当时应指明安全值； 操作用户指南应对每一种用户角色明确说明，与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变TSF所控制实体的安全特性； 操作用户指南应标识TOE运行的所有可能状态（包括操作导致的失败或者操作性错误），它们与维持安全运行之间的因果关系和联系； 操作用户指南应对每一种用户角色进行描述，为了充分实现ST中描述的运行环境安全目的所必须执行的安全策略； 操作用户指南应是明确和合理的。b) 评估方法评估者应确认所有提供的信息满足证据的内容和形式的所有要求。c) 结果判定1) 开发者提供了操作用户指南；2) 开发者提供的操作用户指南满足证据的内容和形式的所有要求。1）2）项均满足的为“符合”；其他情况为“不符合”。5.5.2.2 准备程序a) 评估要求1) 开发者行为元素： 开发者应提供TOE，包括它的准备程序。2) 内容和形式元素： 准备程序应描述与开发者交付程序相一致的安全接收所交付TOE所必需的所有步骤； 准备程序应描述安全安装TOE以及安全准备与ST中描述的运行环境安全目的一致的运行环境必需的所有步骤。b) 评估方法1) 评估者应确认所提供的信息满足证据的内容和形式的所有要求；2) 评估者应运用准备程序确认TOE运行能被安全的准备。c) 结果判定1) 开发者提供了TOE以及它的准备程序；2) 开发者提供的准备程序满足证据的内容和形式的所有要求；3) 运用准备程序能够确认TOE运行能被安全的准备。1）3）项均满足的为“符合”；其他情况为“不符合”。5.5.3 生命周期支持5.5.3.1 CM系统的使用a) 评估要求1) 开发者行为元素： 开发者应提供TOE及其参照号； 开发者应提供CM文档； 开发者应使用CM系统。2) 内容和形式元素： 应给TOE标注唯一参照号； CM文档应描述用于唯一标识配置项的方法； CM系统应唯一标识所有配置项。b) 评估方法评估者应确认所提供的信息满足证据的内容和形式的所有要求。c) 结果判定1) 开发者提供了TOE，并为其标注唯一参照号；2) 开发者提供了配置管理文档，且文档满足证据的内容和形式的所有要求；3) 开发者使用了配置管理系统，且配置管理系统满足证据的内容和形式的所有要求。1）3）项均满足的为“符合”，其他情况为“不符合”。5.5.3.2 部分TOE CM覆盖a) 评估要求1) 开发者行为元素： 开发者应提供TOE配置项列表。2) 内容和形式元素： 配置项列表应包括：TOE本身、安全保障要求的评估证据和TOE的组成部分； 配置项列表应唯一标识配置项； 对于每一个TSF相关的配置项，配置项列表应简要说明该配置项的开发者。b) 评估方法评估者应确认所提供的信息满足证据的内容和形式的所有要求。c) 结果判定1) 开发者提供了产品配置项列表；2) 开发者提供的产品配置项列表满足证据的内容和形式的所有要求。1）2）项均满足的为“符合”；其他情况为“不符合”。5.5.3.3 交付程序a) 评估要求1) 开发者行为元素： 开发者应将把TOE或其部分交付给消费者的程序文档化； 开发者应使用交付程序。2) 内容和形式元素： 交付文档应描述，在向消费者分发TOE版本时，用以维护安全性所必需的所有程序。b) 评估方法评估者应确认所提供的信息满足证据的内容和形式的所有要求。c) 结果判定1)