网站恢复产品认证技术规范.docx

1、网站恢复产品认证技术规范网站恢复产品认证技术规范网站恢复产品认证技术规范ISCCC XXX XXX-2007信息技术 信息安全网站恢复产品认证技术规范Technical specifications for website recovery product certification (备案送审稿)XXXX-XX-XX发布 XXXX -XX-XX实施中国信息安全认证中心 发布目 次前 言本技术规范属于网站恢复产品认证技术规范。本技术规范根据我国网站恢复产品生产和使用的现状，并参考了相关技术规范而制定。本技术规范由中国信息安全认证中心（ISCCC）提出并归口。本技术规范主要起草单位：中国信息安全

2、认证中心。网站恢复产品认证技术规范1 范围1.1 本技术规范规定了网站恢复产品技术要求。1.2 本技术规范主要适用于第三方测评机构对网站恢复产品的检测。网站恢复产品的设计和实现也可参照使用。2 规范性引用文件下列文件中的条款通过本技术规范的引用而成为本技术规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本技术规范，然而，鼓励根据本技术规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本技术规范。GB/T18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第1部分：简介和一般模型GB/T1833

3、6.2-2001 信息技术 安全技术 信息技术安全性评估准则 第2部分：安全功能要求GB/T18336.3-2001 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保证要求3 术语和定义GB/T 5271.82001和GB/T 18336确立的术语和定义适用于本技术规范。下列术语和定义适用于本技术规范。3.1 网站恢复 website recovery网站恢复是指对网页内容的未授权更改及时地进行自动恢复的过程。网站恢复是指对受保护的静态网页文件、动态脚本文件及目录的未授权更改及时地进行自动恢复的过程。3.2 网站恢复产品 website recovery product网站恢复产品

4、是用以实现网站恢复（3.1）的软件或软硬件组合。3.3 网站数据 website data与网站对外发布的网页内容相关的数据。3.4 授权管理员 authorized administrator可管理网站恢复产品（3.2）的授权用户。3.5 网站备份数据 backup for website data得到授权管理员(3.4)认可的网站数据（3.3）副本。3.6 本地服务器 local server网站系统所在的服务器。3.7 远程服务器 remote server与本地服务器（3.6）通过网络相连接的非本地服务器。3.8 静态网页保存在本地服务器（3.6）上，但不会在本地服务器上（3.6）运行

5、，其内容不会因访问条件的不同而发生变化的一个或一组文件。3.9 动态网页保存并运行于本地服务器（3.6）上，其内容在本地服务器（3.6）上动态生成，能根据访问条件的不同而发生变化的一个或一组文件。3.10 动态脚本文件保存并运行于本地服务器（3.6）上，用以支持生成动态网页（3.9）内容的文件。其内容一般是一组脚本语言代码。3.11 连续篡改攻击攻击者在网页被恢复后立即重新篡改网页内容的攻击行为。4 功能要求4.1 运行平台4.1.1 操作系统网站恢复产品的所有功能能够在指定操作系统平台上正常运行。例如，支持Windows、Linux等。4.1.2 Web服务器网站恢复产品的所有功能能够配合指

6、定的Web服务器正常运行。例如，支持IIS、J2EE（Weblogic/Websphere）等。4.2 网页发布系统安装网站恢复产品后，应当不影响网站原有的网页发布系统。4.3 检测优先级若网站恢复产品使用定时检测方式（A.2.1.1）进行监测，应当允许用户对待检测对象设置不同的优先级。4.4 检测时间间隔管理若网站恢复产品使用定时检测方式（A.2.1.1）进行监测，应当允许用户对检测时间间隔进行配置。4.5 监控目录/文件管理用户可增加或撤消被监控的目录/文件。4.6 界面网站恢复产品应为用户提供友好的操作界面。 4.7 增量备份当网站数据合法更新后，仅对上次备份以来数据对象的变化进行备份，

7、以形成新的网站备份数据。5 性能评价因素5.1 监控响应时间监控响应时间是指发现网站数据被未授权更改到对其进行报警所需的时间。该指标由监控策略、比较方式、被保护对象的属性等因素决定，时间越短，保护效率越高。5.2 篡改恢复时间篡改恢复时间是指发现网站数据被未授权更改到对其进行自动恢复所需的时间。该指标由网站备份数据存放位置、传输带宽、被保护对象属性等因素决定，时间越短，保护效率越高。5.3 稳定性安装网站恢复产品后，网站恢复产品以及相应的网站系统均能稳定运行。稳定性可用平均无故障率等指标进行评价。5.4 资源占用安装网站恢复产品后，对网站系统所在的服务器资源（如CPU、内存空间和存储空间），不

8、应长时间固定或无限制占用，不应影响网站系统合法的用户登录和资源访问。资源占用可用CPU占用率、内存占有率、存储空间占有率等指标进行评价。5.5 网络影响若网站恢复产品采用远程监控方式（A.2.1），不应对原网络正常通讯产生长时间固定影响。网络影响可用带宽占用率等指标进行评价。6 安全功能要求6.1 静态网页文件自动恢复功能网站恢复产品能对受保护静态网页文件的未授权更改进行识别，并能用备份文件进行自动恢复。即：a）静态网页文件未授权增加的恢复；b）静态网页文件未授权删除的恢复；c）静态网页文件未授权修改（包括文件属性修改、重命名、移动等）的恢复。6.2 动态脚本文件自动恢复功能网站恢复产品能对受

9、保护动态脚本文件的未授权更改进行识别，并能用备份文件进行自动恢复。即：a）动态脚本文件未授权增加的恢复；b）动态脚本文件未授权删除的恢复；c）动态脚本文件未授权修改（包括文件属性修改、重命名、移动等）的恢复。6.3 网页目录自动恢复功能网站恢复产品能识别对受保护网页目录的未授权破坏进行识别，并能用备份目录进行自动恢复。即：a）网页目录未授权增加的恢复；b）网页目录未授权删除的恢复；c）网页目录未授权修改（包括目录属性修改、重命名、移动等）的恢复。6.4 报警功能6.4.1 应对以下事件实时报警：a）对受保护网页文件的未授权增、删、改的报警；b）对受保护网页目录及属性的未授权增、删、改的报警；c

10、）对监控保护进程异常关闭的报警。6.4.2 报警信息的数据格式：报警信息数据项的内部数据结构定义可参考如下：序号 名 称 类 型 长度 1 事件发生日期 字符 8 2 事件发生时间 字符 63 事件类型 字符 304 备注 字符 100 注：若事件为6.4.1 a）、b），则应在“备注”项中指出受破坏文件或目录的位置。6.4.3 报警方式应提供适当的报警方式（例如：（1）E_mail报警；（2）以声音或屏幕提示等形式向指定计算机发送警告信息；）6.5 审计日志功能6.5.1 可审计事件：a）对受保护网页文件进行增、删、改和恢复的日志；b）对受保护网页目录进行增、删、改和恢复的日志；c）监控保护

11、服务的开启和关闭的日志。6.5.2 审计信息的数据格式：审计信息数据项的内部数据结构定义可参考如下：序号 名 称 类 型 长度 1 事件发生日期 字符 8 2 事件发生时间 字符 63 事件类型 字符 304 备注 字符 100 注：若事件为6.4.1 a）、b），则应在“备注”项中指出受破坏文件或目录的位置。6.5.3 审计跟踪管理管理员应能创建、存档、删除和清空审计记录。6.5.4 可理解的格式该类产品应使存储于永久性审计记录中的所有审计数据为人所理解，并可按条件或条件组合查询。6.6 抵御已知攻击应能抵御已知手段攻击。例如，至少应能防范连续篡改攻击（3.10）。7 自身安全要求7.1 管

12、理功能7.1.1 管理员身份鉴别网站恢复产品应保证只有授权管理员能使用产品的管理功能。对授权管理员应进行身份鉴别。7.1.2 管理员权限网站恢复产品应保证授权管理员有下列权限：a)管理员属性修改（更改密码等）；b)启动、关闭监控保护服务；c)增加或撤消对所有受保护目录的监控；d)授权合法用户对网页内容进行合法更新。7.1.3 管理信息传输安全若提供远程管理功能，应能对远程管理信息（例如，登录信息和会话）进行保密传输。7.2 备份文件的安全存储及保密传输a) 仅管理员可指定备份端，用户可备份指定文件及目录到备份端； b) 备份端应对登录用户进行身份鉴别，实现备份文件在备份端的安全存储；c) 用备

13、份文件对受保护网页文件的未授权更改进行恢复时，备份文件应保密传输；d) 应提供网页内容合法更新后的及时备份。7.3 自身审计数据生成产品应对与自身安全相关的以下事件生成审计记录：a) 对产品进行操作的尝试，如关闭审计功能或子系统；b) 产品管理员的登录和退出；c) 对安全策略进行更改的操作；d) 读取、修改、破坏审计跟踪数据的尝试；e) 因鉴别尝试不成功的次数超出了设定的限值，导致的会话连接终止；f) 对管理角色进行增加，删除和属性修改的操作；g) 对其他安全功能配置参数的修改（设置和更新），无论成功与否。8 保证要求8.1 交付与运行保证a) 开发者应使用一定的交付程序交付网站恢复产品，并将

14、交付过程文档化。b) 交付文档应描述在给用户方交付网站恢复产品的各版本时，为维护安全所必需的所有程序。c) 开发者应提供文档说明网站恢复产品的安装、生成、启动和日志生成的过程。8.2 指导性文档8.2.1 管理员指南a) 开发商应提供针对产品管理员的管理员指南。b) 管理员指南应描述管理员可使用的管理功能和接口。c) 管理员指南应描述怎样以安全的方式管理产品。d) 对于在安全处理环境中必须进行控制的功能和特权，管理员指南应提出相应的警告。e) 管理员指南应描述所有对与网站恢复产品的安全操作有关的用户行为的假设。f) 管理员指南应包含安全功能如何相互作用的指导。g) 每一种与管理功能有关的安全相

15、关事件，包括对安全功能所控制的实体的安全特性进行的改变。h) 所有与系统管理员有关的IT环境的安全要求。i) 管理员指南应与为评价而提供的其他所有文件保持一致。8.2.2 用户指南a) 开发商应提供用户指南。b) 用户指南应描述非管理员用户可用的功能和接口。c) 用户指南应包含使用产品提供的安全功能和指导。d) 用户指南应描述用户可获取但应受安全处理环境控制的所有功能和权限。e) 用户指南应清晰地阐述产品安全运行中用户所必须负的职责，包含产品在安全使用环境中对用户行为的假设。f) 用户指南应描述与用户有关的IT环境的所有安全要求。g) 用户指南应与为评价而提供的其他所有文件保持一致。8.3 测

16、试保证8.3.1 功能测试a) 开发商应测试产品的功能，并记录结果。b) 开发商在提供产品时应同时提供该产品的测试文档。c) 测试文档应由测试计划、测试过程描述、预期的测试结果和实际测试结果组成。d) 测试文档应标识将要测试的产品功能，并描述将要达到的测试目标。e) 测试过程应标识要执行的测试，并描述每个安全功能的测试概况，这些概况包括对其它测试结果的顺序依赖性。f) 开发商的期望测试结果应表明测试成功后的预期输出。实际测试结果应表明每个被测试的安全功能能按照规定进行运作。8.3.2 测试覆盖面分析报告a) 开发商应提供对产品测试覆盖范围的分析报告。b) 测试覆盖面分析报告应证明测试文件中确定

17、的测试项目可覆盖产品的所有安全功能。8.3.3 测试深度分析报告a) 开发商应提供对产品的测试深度的分析报告。b) 测试深度分析报告应证明测试文件中确定的测试能充分表明产品的运行符合安全功能规范。8.3.4 独立性测试开发商应提供用于适合测试的部件，且提供的测试集合应与其自测产品功能时使用的测试集合相一致。8.4 脆弱性分析保证8.4.1 指南检查a) 开发者应提供指南性文档。b) 在指南性文档中，应确定对产品的所有可能的操作方式（包含失败和操作 失误后的操作）、它们的后果以及对于保持安全操作的意义。指南性文档中还应列出所有目标环境的假设以及所有外部安全措施（包含外部程序的、物理的或人员的控制

18、）的要求。指南性文档应是完整的、清晰的、一致的、合理的。8.4.2 脆弱性分析a) 开发者应从用户可能破坏安全策略的明显途径出发，对产品的各种功能进行分析并提供文档。对被确定的脆弱性，开发者应明确记录采取的措施。b) 对每一条脆弱性，应有证据显示在使用产品的环境中该脆弱性不能被利用。在文档中，还需证明经过标识脆弱性的产品可以抵御明显的穿透性攻击。c) 脆弱性分析文档应明确指出产品已知的安全隐患、能够侵犯产品的已知方法以及如何避免这些隐患被利用。8.5 生命周期支持a) 开发者应提供开发安全文件。b) 开发安全文件应描述在产品的开发环境中，为保护产品设计和实现的机密性和完整性，而在物理上、程序上

19、、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在产品的开发和维护过程中执行安全措施的证据。 9 网站恢复产品安全技术要求的等级划分依据信息技术网站恢复产品的开发、生产现状及实际应用情况，我们将网站恢复产品划分成两个等级。网站恢复产品等级划分如表9.1所示。表9.1网站恢复产品等级划分表基本要求级增强要求级4 功能要求4.1 运行平台4.14.14.2 网页发布系统4.24.24.3 检测优先级4.34.4 配置检测时间间隔4.44.44.5 监控目录/文件管理4.54.54.6 界面4.64.64.7 增量备份4.75 性能评价因素5.1 监控响应时间5.15.15.2 篡改

20、恢复时间5.25.25.3 稳定性5.35.35.4 资源占用5.45.5 网络影响5.56 安全功能要求6.1 静态网页文件自动恢复功能6.16.16.2 动态脚本文件自动恢复功能6.26.3 网页目录自动恢复功能6.36.36.4 报警功能6.4.1 实时报警6.4.16.4.16.4.2 报警信息的数据格式6.4.26.4.3 报警方式6.4.36.4.36.5 审计日志功能6.5.1 可审计事件6.5.16.5.16.5.2 审计信息的数据格式6.5.26.5.3 审计跟踪管理6.5.36.5.36.5.4 可理解的格式6.5.46.5.46.6 抵御已知攻击6.67 自身安全要求7.

21、1 管理功能7.1.1 管理员身份鉴别7.1.17.1.17.1.2 管理员权限7.1.27.1.27.1.3 管理信息传输安全7.1.37.2 备份文件的安全存储及保密传输7.27.27.3 自身审计数据生成7.38 保证要求8.1 交付与运行保证8.18.18.2 指导性文档8.28.28.3测试保证8.38.4 脆弱性分析保证8.48.5 生命周期支持8.5注：1） 基本要求是对网站恢复产品最低安全级别的要求；2） 增强要求是进一步提升网站恢复产品安全功能和可用性的附加要求。附录 A（资料性附录）网站恢复过程举例网站恢复一般是在监测到网站数据内容被未授权更改后，及时产生报警，并进行准实时

22、的自动恢复。网站恢复一般涉及3个环节：备份环节，监测环节和恢复环节。A.1备份环节备份环节主要对网站数据进行备份，保存或更新网站备份数据。网站备份数据可以存放在本地服务器或远程服务器；A.2监测环节监测环节主要检查网站数据内容是否被未授权更改，并根据检查结果产生相应报警。A.2.1监测方式监测操作可以在本地服务器或远程服务器上进行，采用定时检测方式、触发方式或其他方式。A.2.1.1定时检测方式定时检测方式根据设定的时间定时读出要监控的网站数据（或其他能用以判断网站数据是否被更改的信息，例如，相应的文件属性等），将其与网站备份数据相比较，从而判断网站数据是否被更改。为提高检测效率，可能将网站数

23、据分为不同等级，对不同等级的网站数据设置不同的检测时间。例如，将高等级网站数据的检测时间间隔设得较短，以获得较好的实时性；而将等级较低的网站数据检测时间间隔设得较长，以减轻系统的负担。A.2.1.2触发方式触发方式通过一些特定的事件来触发检测操作，而不是定时地、主动地对网站数据进行检测。这些特定事件可能是文件被访问、创建、修改或删除等。例如，当用户访问某个网页的时候触发对该网页进行完整性检查。或利用一些特殊技术（例如，文件过滤驱动程序）捕获网站文件被访问、创建、修改或删除等事件，从而触发检测操作。A.2.2比较方式在判断文件是否被修改时，往往采用将被保护的网站数据和网站备份数据进行比较的方式进

24、行。A.2.2.1 全文比较这是最常用的比较方式，它能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下。一些保护软件采用文件的属性如文件大小、创建修改时间等进行比较。这种方法虽然简单高效，但也有严重的缺陷：恶意入侵者可以通过精心构造，把替换文件的属性设置得和原文件完全相同，从而使被恶意更改的文件无法被检测出来。A.2.2.2 函数比较通过比较文件的Hash值（例如，MD5算法）判断文件是否被修改。这种比较方式效率高，难以伪造，能比较精确地发现文件被篡改。A.3恢复环节当监测到网站数据内容被未授权更改后启动恢复环节，使用网站备份数据替换被未授权更改的网站数据。根据网站备份数据存放的位置不同，恢复操作可以分为本地或远程方式。如果网站备份数据存放在本地服务器，则需要拥有对被保护目录或文件的写权限。如果网站备份数据存放在远程服务器，则需要通过其他方式进行，例如，文件共享或FTP的方式，相应地，需要文件共享或FTP的帐号，并且该帐号拥有对被保护目录或文件的写权限。参考文献1MSCTC-GFJ-08 信息技术 网站恢复产品安全检验规范2高延玲，张玉清等. 网页保护系统综述J. 计算机工程，2004 30(10)：113