信息安全技术Web应用安全检测系统安全技术要求和测试评价方法.docx
《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法.docx》由会员分享,可在线阅读,更多相关《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法.docx(13页珍藏版)》请在冰豆网上搜索。
信息安全技术Web应用安全检测系统安全技术要求和测试评价方法
《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》(征求意见稿)
编制说明
1 工作简况
1.1任务来源
2014年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究制定《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》国家标准。
该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由杭州安恒信息技术有限公司负责主办。
1.2协作单位
在接到《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》标准的任务后,杭州安恒信息技术有限公司立即与各生产Web检测系统的厂商进行沟通,并得到了多家业内知名厂商的积极参与和反馈。
最终确定由公安部计算机信息系统安全产品质量监督检验中心、上海天泰网络技术有限公司等单位作为标准编制协作单位。
1.3主要工作过程
1.3.1成立编制组
2014年接到标准编制任务之后,立即组建标准编制组,开始标准草案的起草工作。
编制项目组主要成员:
孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等等。
1.3.2制定工作计划
编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。
1.3.3参考资料
该标准编制过程中,主要参考了:
•GB/T5271.8-2001信息系统词汇第8部分:
安全
•GB17859-1999计算机信息系统安全保护划分准则
•GB/T18336.3-2015信息技术安全技术信息技术安全性评估准则第3部分:
安全保障组件
•GB/T20271-2006信息安全技术信息系统通用安全技术要求
•GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
•GA/T1107-2013信息安全技术Web应用安全扫描产品安全技术要求
1.3.4确定编制内容
经编制组研究决定,以原行标内容为理论基础,以Web应用安全检测为研究目标,以GB17859-1999《计算机信息系统安全保护等级划分准则》和GB/T18336-2008《信息技术安全技术信息技术安全性评估准则》为主要参考依据,完成《信息安全技术Web应用安全检测系统安全技术要求和测试评价方法》标准的编制工作。
1.3.5编制工作简要过程
按照项目进度要求,编制组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解,查阅有关资料,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作。
2014年12月-2015年2月,相关人员调研该类产品的现状情况,为标准的编制积累素材;3月,在前期调研和工作积累的基础上,我司组织有关人员成立标准编制小组,对标准编制工作进行了任务分配,并完成了草案(第一稿)的编制,主要由“安全技术要求”(安全功能要求、自身安全功能要求、性能要求)、“测试评价方法”、“安全保障要求”、“等级划分要求”组成。
2015年3月,编制组以意见征求会形式邀请绿盟科技、知道创宇等厂商进行现场征求意见,编制组认真分析并及时采纳了建议,形成了草案(第二稿)。
2015年6月,WG5工作组在北京召开了标准项目检查会,与会专家对本标准进行了认真审议,并提出了相关意见和建议。
编制组根据专家意见进行修改完善。
草案(第三稿)
2016年5月,编制组以邮件形式征求了北京安域领创科技有限公司、北京神州绿盟信息安全科技股份有限公司等厂商的意见,编制组及时对意见进行了处理,形成了草案(第四稿)。
2016年8月,编制组在北京以研讨会形式邀请中国安全防范产品行业协会、公安部网络安全保卫局、中国信息安全认证中心、国家信息技术安全研究中心、中国科学院信息工程研究所、国家信息中心、阿里巴巴(北京)软件服务有限公司、中科信息安全共性技术国家工程研究中心有限公司、北京天融信科技股份有限公司、中软信息系统工程有限公司、中新网络信息安全股份有限公司、国际商业机器(中国)有限公司等单位的专家进行现场征求意见,根据反馈意见,修改了标准文本中有歧义的地方,形成了草案(第五稿)。
2016年8月,通过WG5秘书处,向成员单位广泛征求意见,并根据反馈意见进行了修改,主要包括增加Web应用安全检测系统结构和描述等,形成了草案(第六稿)。
2016年8月,WG5工作组在北京召开在研标准推进会,编制组汇报了标准内容及编制进度,并根据专家意见,完善了“漏洞检测”的类型,补充了漏洞定义,形成了草案(第七稿)。
2016年9月,WG5工作组完成组内投票,编制组根据意见完善并形成征求意见稿(第一稿)。
1.3.6起草人及其工作
标准编制组具体由孙小平、俞优、陆臻、金海俊、曹玉珍、张笑笑等人组成。
孙小平全面负责标准编制工作,包括制定工作计划、确定编制内容和整体进度、人员的安排;俞优和金海俊主要负责标准的前期调研、现状分析、标准各版本的编制、意见汇总的讨论处理、编制说明的编写等工作;张笑笑负责标准校对审核等工作;陆臻主要负责标准编制过程中的各项技术支持和整体指导。
2 标准主要内容
2.1编制原则
为使标准内容从一开始就与国家标准保持一致,本标准的编写参考了其他国家有关标准,主要有GB/T17859-1999、GB/T20271-2006、GB/T22239-2008和GB/T18336-2008。
本标准符合我国的实际情况,遵从我国有关法律、法规的规定。
具体原则与要求如下:
1)先进性
标准是先进经验的总结,同时也是技术的发展趋势。
目前,我国Web应用安全检测系统产品种类繁多,功能良莠不齐,要制定出先进的产品国家标准,必须参考国内外先进技术和标准,吸收其精华,才能制定出具有先进水平的标准。
本标准的编写始终遵循这一原则。
2)实用性
标准必须是可用的,才有实际意义,因此本标准的编写是在对国内外标准的相关技术内容消化、吸收的基础上,结合我国的实际情况,广泛了解了市场上主流产品的功能,吸收其精华,制定出符合我国国情的、可操作性强的标准。
3)兼容性
本标准既要与国际接轨,更要与我国现有的政策、法规、标准、规范等相一致。
编制组在对标准起草过程中始终遵循此原则,其内容符合我国已经发布的有关政策、法律和法规。
2.2编制思路
为贴合该类产品的技术特点,编制组以Web安全检测技术和Web安全漏洞为研究内容,深入分析Web应用安全检测系统的技术特点,通过标准编制研究、验证,明确了产品的定义,提出了科学的安全功能和性能要求,对于产品功能组件的描述尽可能做到清晰、明确。
标准安全功能产生的流程详见下图:
图1安全功能产生的流程图
2.3标准内容
2.3.1主要结构
本标准的编写格式和方法按照GB/T1.1-2000《标准化工作导则第一部分:
标准的结构和编写规则》的要求。
标准主要分为“范围”、“规范性引用文件”、“术语和定义”、“缩略语”、“安全技术要求”和“测试评价方法”共6个部分。
中,关于Web应用安全检测系统的具体要求,本标准分为3大类,分别是“产品安全功能要求”、“性能要求”和“安全保障要求”。
2.3.2主要内容
2.3.2.1范围、标准引用、术语定义和缩略语
该部分定义该标准适应的范围,所引用的其它标准情况,及以何种方式引用。
术语和定义明确了该标准所涉及的一些术语。
“缩略语”定义了该标准所涉及的缩略语。
在术语中主要明确了“Web应用安全检测系统”、“Web应用”、“Web服务”、“漏报率”、“误报率”、“URL发现”以及常见Web应用漏洞的相关概念。
2.3.2.2Web应用安全检测系统描述
Web应用安全检测系统的目的是为帮助用户充分了解Web应用存在的安全隐患,从而改善并提升应用系统抵抗各类Web应用攻击的能力(如:
注入攻击、跨站脚本、文件包含、信息泄漏和网页木马等),以此建立安全可靠的Web应用服务。
Web应用安全检测系统架构如图2所示:
图2Web应用安全检测系统架构图
1)检测模块
系统核心模块。
扫描开始后,向扫描引擎发送指令,扫描选中对象目标,收集正确的扫描信息,同时可以把扫描引擎返回的扫描结果展示给用户。
2)报表管理
对扫描结果进行分析处理,提供详细的检测扫描报告,对所有漏洞进行详尽描述,以及相应的修复和改进建议。
3)策略管理
提供Web应用安全检测系统的策略库,能够按照漏洞类型、类别和危害程度等进行分类。
同时,可支持漏洞策略的自定义扩展。
4)用户管理
对系统的用户角色和权限进行分配管理。
5)任务设置
用以创建和定制扫描任务,能够按照计划任务启动扫描,可进行扫描暂停、重新扫描和移除扫描任务等操作。
6)系统设置
对系统进行设置,包括系统安全设置、更新管理和络链接设置等。
实际部署时,Web应用安全检测系统部署时仅需保持与目标Web应用系统网络上可达,图3是Web应用安全检测系统的一个典型运行环境。
图3Web应用安全检测系统典型运行环境
2.3.2.3技术要求
本标准将Web应用安全检测系统安全技术要求分为安全功能、安全保障和性能要求三个大类。
其中,安全功能要求是对Web应用安全检测系统应具备的安全功能提出具体要求,包括扫描能力、扫描配置管理、扫描结果分析处理、标识和鉴别、安全管理和审计日志等要求;安全保障要求针对Web应用安全检测系统的开发和使用文档的内容提出具体的要求,例如交付和运行、开发、测试和指导性文档等;性能要求则是对Web应用安全检测系统应达到的性能指标作出规定,包括误报率、漏报率和URL发现率。
此外,标准按照Web应用安全检测系统安全功能的强度划分安全功能要求的级别,参照GB/T 18336.3-2015划分安全保障要求的级别。
安全等级分为基本级和增强级,安全功能强弱和安全保障要求高低是等级划分的具体依据。
安全等级突出安全特性,性能要求不作为等级划分依据。
一、安全功能要求
安全功能要求主要对产品实现的功能进行了要求。
主要包括扫描能力、扫描配置管理、扫描结果分析处理、互动性要求、标识与鉴别、安全管理和审计日志等功能。
表1 安全功能要求等级划分表
安全功能
基本级
增强级
扫描能力
资源发现
*
*
漏洞检测
*
**
变形检测
——
*
状态检测
*
**
内容检测
——
*
升级能力
*
**
支持SSL应用
*
*
WebService支持
——
*
对目标系统的影响
*
*
扫描配置管理
向导功能
*
*
扫描范围
*
**
登陆扫描
*
*
扫描策略
策略选择
*
**
策略扩展
——
*
扫描速度
*
**
任务定制
*
**
稳定性和容错性
*
**
扫描结果分析处理
结果验证
——
**
结果保存
*
*
统计分析
*
*
报告生成
*
**
报告输出
*
*
互动性要求
——
*
标识与鉴别
用户标识
属性定义
*
*
属性初始化
*
*
唯一性标识
*
*
身份鉴别
用户鉴别
*
*
鉴别数据保护
*
*
鉴别失败处理
——
*
超时锁定或注销
——
*
安全管理
安全管理功能
*
*
安全角色管理
*
**
数据完整性
——
*
远程安全传输
*
*
可信管理主机
——
*
审计日志
审计日志生成
*
**
审计日志的保存
*
*
审计日志管理
*
*
注:
“*”表示具有该要求,“**”表示要求有所增强,“——”表示不适用。
二、安全保障要求
该部分对产品的开发和使用文档的内容进行了要求,包括开发、指导性文档、生命周期支持、测试和脆弱性评定。
表2安全保障要求分级说明
安全保障要求
基本级
增强级
开发
安全架构
*
*
功能规范
*
**
实现表示
——
*
产品设计
*
**
指导性文档
操作用户指南
*
*
准备程序
*
*
生命周期支持
配置管理能力
*
**
配置管理范围
*
**
交付程序
*
*
开发安全
——
*
生命周期定义
——
*
工具和技术
——
*
测试
覆盖
*
**
深度
——
*
功能测试
*
*
独立测试
*
*
脆弱性评定
*
**
三、性能要求
主要对产品的性能方面进行了要求,主要包括:
误报率、漏报率、URL发现率。
2.3.2.4测试评价方法
主要规定了针对技术要求的测试与评价方法。
2.4编制的背景和意义
随着网络技术及其应用的快速发展,Web作为网络应用的主要载体,Web应用逐渐成为主流,广泛应用于各种业务系统中。
然而传统操作系统日益成熟化,利用系统漏洞越来越困难,攻击者的目标也逐渐转向于应用漏洞,于是各种各样的Web应用安全性成为了焦点。
根据Gattner的数据分析,80%基于Web的应用或多或少都存在安全问题,其中很大一部分是相当严重的问题,Web应用安全已超过所有以前网络层安全,逐渐成为最严重,最广泛,危害性最大的安全问题,严重影响了人们对Web应用的信心。
目前常见的攻击技术有SQL注入、钓鱼攻击等,基于Web应用的攻击可以给提供或接受Web应用服务者造成如下伤害:
1、泄漏客户敏感数据,例如:
网银帐号,手机通话记录等;
2、篡改数据,发布虚假信息或者进行交易欺诈;
3、使Web网站成为钓鱼攻击的平台,将攻击扩大到所有访问Web应用的用户。
如:
网银成为了钓鱼的场所,将直接危害网银用户的帐户安全;
4、拒绝服务,利用应用的弱点,造成拒绝服务,影响业务的正常运作;
……
Web应用系统的安全性越来越引起人们的高度关注,由此市场上出现了Web应用安全检测系统。
该类产品通过分析发现可被入侵者利用的Web程序漏洞,帮助应用开发者和管理者了解应用系统存在的脆弱性,为改善并提高应用系统安全性提供依据,帮助用户建立安全、可靠的Web应用服务。
产品实现的原理:
通过在httprequest中插入测试用例的方法实现应用攻击,并通过分析httpresponse判断该应用是否存在相应的漏洞。
图4工作原理图
Web应用扫描市场处于上升阶段,如何保证Web应用系统的安全性,且更符合产品实际需求及行业发展,迫切需要一个更加完善的标准来规范该类产品;该标准的制定可以完善相应类别产品的标准,完善信息安全标准体系。
该类产品符合GB/T25066-2010《信息安全技术信息安全产品类别与代码》中:
安全管理与支持(G)→风险评估(G4)→安全性检测分析(G402)关于应用系统安全性检测分析的分类要求。
2.5编制的目的
1)首先,该标准补充了信息安全产品分类的目录,可用于该类产品的研制、开发、测试、评估和产品的选型,有利于产品的规范化、统一化管理;
2)其次,该类产品广泛用于风险评估,通过对产品提出要求,可提高系统评估中的漏洞评估的深度,对于提高Web应用的安全性,减少安全事件发生具有重要的意义。
3)最后,能为国家信息安全产品管理部门与第三方测评机构对该类产品进行管理与测评提供依据。
3 国内外标准对比情况
无相关国家、国际标准。
4 与有关的现行法律、法规和强制性国家标准的关系
建议本标准推荐性实施。
本标准不触犯国家现行法律法规,不与其他强制性国标相冲突。
5 重大分歧意见的处理经过和依据
本标准编制过程中,如标准编制组内部出现重大意见分歧时,由标准编制组组长组织召开内部调解会解决;如标准编制单位之间出现重大意见分歧,由标准编制承担单位杭州安恒信息技术有限公司组织召开参编单位调解会解决。
如征求意见过程中,各厂家,特别是各部委意见与标准编制组之间出现重大意见分歧,由全国信息安全标准化技术委员会组织召开协调会解决,并认真听取专家意见进行修改。
6 国家标准作为强制性国家标准或推荐性国家标准的建议
建议将本标准作为国家标准在全国推荐性实施。
7 贯彻国家标准的要求和措施建议
该国标为生产、测试和评估Web应用安全检测系统提供指导性意见,建议在全国推荐性实施。
在具体贯彻实施该标准时,首先可要求不同的产品测试机构使用该标准作为Web应用安全检测系统的测试依据,例如,可使用在产品的销售许可测试、政府采购设备的准入测试、不同需求单位的招标选型测试等,由此可以进一步推动产品的生产厂商以该标准为依据,更全面地应用到产品的研发生产过程中,达到业界内全面使用该标准的局面。
8 废止现行有关标准的建议
无。
9 其他应予说明的事项。
无。
Web应用安全检测系统标准编制组
2016年10月