T-SCPCA 009-2024 T-CQJR 015-2024 T-SCJR 006-2024 基于遠程瀏覽器隔離技術的金融Web應用安全防護平臺評價方法

CCSA11T/SCPCA009-2024T/CQJR015-2024T/S2024-06-20發(fā)布布發(fā)會會學學融融金金市省慶川重四四布發(fā)會會學學融融金金市省慶川重四IT/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024前言 2規(guī)范性引用文件 3術語和定義 4縮略語 5評價等級判定 5.1等級說明 5.2等級判定方法 5.3打分方法 5.4參考評估域權重 5.5能力計算方法 6技術原理 7安全防護能力 7.1隱藏Web應用系統(tǒng)的源代碼/API/JS 7.2隔離自動化攻擊源 7.3隔離注入式攻擊 8評價方法 8.1安全能力 8.2兼容性 8.3易用性及用戶體驗 附錄A（資料性）威脅隔離平臺測試環(huán)境規(guī)范 9附錄B（資料性）參考評估權重 10參考文獻 T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件由四川省支付清算協(xié)會提出。本文件由四川省支付清算協(xié)會、重慶市金融學會、四川省金融學會歸口。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件起草單位：成都農村商業(yè)銀行股份有限公司、重慶銀行股份有限公司、四川農村商業(yè)聯合銀行股份有限公司、北京安勝華信科技有限公司、北京鈦星數安科技有限公司。本文件主要起草人：蔡兵、李黎明、葉明、謝春利、錢建誠、呂茂婷、米俊霖、張未卿、趙建波、葉宇航、楊鈞丞、李悅、顧方方、鄧何、汪洪珍、唐福喜、林真?zhèn)?、謝昌建、徐寧、陽方升、劉暢、聶志宏、熊玉、付毅、陳滔、白金、夏浩淳、陳曉東、李德、劉海光、吳天、母丹、劉東甲、何佳佳、賀偉、湯湘祁。本文件為首次發(fā)布。T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024基于遠程瀏覽器隔離技術的Web安全防護平臺其原理是在一個遠程的虛擬化平臺上為每個Web訪問構建一個瀏覽器訪問請求（稱之為“遠程瀏覽器”），執(zhí)行用戶的訪問會話，將用戶訪問與真實Web服務器隔離，這樣即使有Web攻擊，也無法侵害到真實的Web應用服務器。從而解決多種常規(guī)Web應用安全防護手段難以解決的安全問題，保證金融Web應用系統(tǒng)的安全。在金融Web應用保護場景中，為規(guī)范基于遠程瀏覽器隔離技術的安全平臺能力要求，為同類產品的生產和服務提供有效參考，促使產品質量的持續(xù)改善，特制定本文件。1T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024基于遠程瀏覽器隔離技術的金融Web應用安全防護平臺評價方法本文件界定了金融Web應用安全防護的能力評價方法。確立了基于遠程瀏覽器隔離技術的Web應用安全防護平臺（以下簡稱：威脅隔離平臺）的功能要求、成熟度要求和評價方法。本文件適用于成渝地區(qū)金融機構Web安全防護方案/產品選型參考。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術術語3術語和定義下列術語和定義適用于本文件。3.1瀏覽器browser計算機系統(tǒng)中用來檢索、展示以及傳遞Web信息資源的應用程序。3.2遠程瀏覽器隔離remotebrowserisolation一種將Web瀏覽活動運行在一個遠程隔離的環(huán)境中，以保護計算機用戶免受可能遇到的任何惡意軟件的傷害的技術。3.3安全傳輸層協(xié)議transportlayersecurity為互聯網通信提供安全及數據完整性保障的一種安全協(xié)議。3.4安全套接字協(xié)議securesocketslayer為網絡通信提供安全及數據完整性的一種安全協(xié)議。3.5桌面虛擬化virtualdesktopinfrastructure指計算機的終端系統(tǒng)（也稱作桌面）進行虛擬化，以達到桌面使用的安全性和靈活性，可以通過任何設備，在任何地點，任何時間通過網絡訪問屬于個人的桌面系統(tǒng)的技術手段。3.6文檔對象模型documentobjectmodel是一種與平臺和語言無關的應用程序接口(API),它可以動態(tài)地訪問程序和腳本,更新其內容、結構和WWW文檔的風格(HTML和XML文檔是通過說明部分定義的)。文檔可以進一步被處理，處理的結果可以加入到當前的頁面。DOM是一種基于樹的API文檔，它要求在處理過程中整個文檔都表示在存儲器中。2T/SCPCA009-2024T/CQJR015-2024T/SCJR006-20244縮略語下列縮略語適用于本文件。a)API：應用程序接口（ApplicationProgrammingInterface）b)AWVS：AcunetixWeb漏洞掃描程序（AcunetixWebVulnerabilityScanner）c)CVE：通用漏洞披露（CommonVulnerabilitiesandExposures）d)HTML：超文本標記語言（HyperTextMarkupLanguage）e)HTML5：超文本標記語言修訂版5（HyperTextMarkupLanguage5）f)HTTP：超文本傳輸協(xié)議（HyperTextTransferProtocol）g)HTTPS：超文本安全傳輸協(xié)議（HypertextTransferProtocolSecure）h)JS：腳本語言（JavaScript）i)SQL：結構化查詢語言（StructuredQueryLanguage）j)WEBSHELL：網頁腳本程序（WebShellScript）k)WWW：萬維網（WorldWideWeb）l)XML：可擴展標記語言（ExtensibleMarkupLanguage）m)XSS：跨站腳本攻擊（CrossSiteScripting）5評價等級判定5.1等級說明網絡安全產品能力等級分為三個等級，從低到高分別是一級（基礎級）、二級（成熟級）和三級（專業(yè)級）。5.2等級判定方法安全能力測試、兼容性測試、易用性及用戶體驗測試，需要搭建威脅隔離平臺測試環(huán)境，按附錄A中規(guī)定的方法進行判定。5.2.1基礎級完成全部安全能力測試、兼容性測試、易用性及用戶體驗測試、可用性測試，且成熟度要素得分達到60-70（不含）分，60（不含）分以下不予評級。5.2.2成熟級完成全部安全能力測試、兼容性測試、易用性及用戶體驗測試、可用性測試，且成熟度要素得分達到70-90（不含）分。5.2.3專業(yè)級完成全部安全能力測試、兼容性測試、易用性及用戶體驗測試、可用性測試，且成熟度要素得分達到90分以上。5.3打分方法評估組應將采集的證據與能力要求進行對照，按照滿足程度對評估域的每一條要求進行打分。能力要求滿足程度與得分對應表如表1所示。表1成熟度要求滿足程度與對應得分105.4參考評估域權重3T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024根據網絡安全產品能力要求，給出主要評估域及推薦權重，按附錄B中規(guī)定給出。5.5能力計算方法能力域總得分為該域下所有能力分項得分的加權求和，能力域得分按公式（1）計算：B=∑（C×β）…………（1）本公式中：B——能力域總得分；C——能力域分項得分；β——能力域分項權重。成熟度要素得分為該要素下能力域的加權求和，成熟度要素的得分按公式（2）計算：A=∑（B×α）…………（2）本公式中：A——成熟度要素得分；B——能力域總得分；α——能力域權重。6技術原理威脅隔離平臺技術核心是遠程瀏覽器技術、容器技術以及HTML5渲染技術的結合。為每個用戶分配一個獨立的虛擬容器，利用遠程瀏覽器技術在容器中構建一個處理中心，執(zhí)行源網頁中的所有腳本，并將執(zhí)行完的結果轉換成網頁視覺編碼，實時同步給用戶瀏覽器，利用HTML5技術在用戶瀏覽器重新渲染成網頁鏡像，從而實現“零”源腳本交互，達到用戶與業(yè)務系統(tǒng)/Web應用服務器安全隔離的效果。7安全防護能力7.1隱藏Web應用系統(tǒng)的源代碼/API/JS源代碼暴露往往是Web攻擊發(fā)起的起點，在用戶瀏覽器中，可以查看網站或Web應用的源代碼以及腳本語句，如果網站或Web應用的源代碼設計不嚴謹，黑客可以從暴露的源代碼中發(fā)現漏洞，基于漏洞發(fā)起攻擊。威脅隔離平臺可隱藏Web應用的源碼/API/JS，當用戶在本地瀏覽器中訪問Web應用時，所有服務器返回的網頁代碼和腳本均在遠程瀏覽器執(zhí)行，遠程瀏覽器不會對本地瀏覽器提供任何原始網頁的代碼，第三方框架等信息。7.2隔離自動化攻擊源惡意攻擊者往往會利用瀏覽器的開放性或者漏洞，采用自動化工具對Web應用發(fā)起漏洞掃描或者“暴力破解式”攻擊，攻擊成本低，效率高。這種自動化攻擊，是當前針對Web應用最常用的攻擊手段。威脅隔離平臺可以100%隔離自動化攻擊源。由于針對應用的訪問已經轉移到遠程瀏覽器，而遠程瀏覽器只接受鍵盤和鼠標輸入，所有的自動攻擊工具都無法和遠程瀏覽器直接通信或者發(fā)送攻擊指令，因此，采用自動化工具對Web應用發(fā)起的攻擊將不會有任何效果。7.3隔離注入式攻擊4T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024注入式攻擊通常都是通過直接組裝http/https請求來發(fā)起攻擊，威脅隔離平臺上的遠程瀏覽器只接受GET請求，攻擊者注入的渠道非常受限；并且遠程瀏覽器對URL請求進行加密處理，可以防止通過篡改GET請求進行注入攻擊，進而達到對注入攻擊的防護效果。8評價方法8.1安全能力8.1.1隱藏源代碼/API/活動腳本表2隱藏源代碼/API/活動腳本評估表評估要求產品應具備如下能力：隱藏Web應用系統(tǒng)源代碼、API和活動腳本評估權重20%預置條件已經部署威脅隔離平臺。評估方法步驟1：網站未進行隔離防護，打開本地瀏覽器開發(fā)者工具，查看網頁源代碼、活動腳本、API請求和響應信息；步驟2：網站進行隔離防護，打開本地瀏覽器開發(fā)者工具，查看網頁源代碼、活動腳本、API請求和響應信息。預期結果成功隱藏Web應用系統(tǒng)源代碼、API和活動腳本。8.1.2防WEBSHELL表3防WEBSHELL評估表成熟度要求產品應具備如下能力：應成功攔截webshell攻擊評估權重預置條件已經部署威脅隔離平臺。驗證流程步驟1：網站未進行隔離防護，對網站進行webshell攻擊測試，驗證網站隔離前webshell防護效果；步驟2：網站進行隔離防護，對網站進行webshell攻擊測試，查看隔離后網站防webshell攻擊情況。預期結果威脅隔離平臺能成功攔截webshell攻擊。8.1.3防SQL注入表4防SQL注入評估表成熟度要求產品應具備如下能力：應防止SQL注入攻擊評估權重預置條件已經部署威脅隔離平臺。驗證流程步驟1：網站未進行隔離防護，對網站進行依次進行POST、GET、輸入框的SQL注入攻擊測試，查看隔離前網站防SQL注入攻擊情況；步驟2：網站進行隔離防護，對網站進行依次進行POST、GET、輸入框的SQL注入攻擊測試，查看隔離后網站防SQL注入攻擊情況。預期結果威脅隔離平臺能成功阻斷SQL注入攻擊。5T/SCPCA009-2024T/CQJR015-2024T/SCJR006-20248.1.4防XSS注入表5防XSS注入評估表成熟度要求產品應具備如下能力：應防止XSS注入攻擊評估權重預置條件已經部署威脅隔離平臺。驗證流程步驟1：對網站進行反射型XSS(非持久型)測試，測試網站隔離前后能否防護該類型XSS注入攻擊；步驟2：對網站進行存儲型XSS(持久型)測試;測試網站隔離前后能否防護該類型XSS注入攻擊；步驟3：對網站進行DOMXSS(文檔對象型)測試，測試網站隔離前后能否防護該類型XSS注入攻擊。預期結果威脅隔離平臺能成功阻斷XSS注入攻擊。8.1.5反爬蟲表6反爬蟲評估表成熟度要求產品應具備如下能力：防止爬蟲獲取網站內容評估權重預置條件已經部署威脅隔離平臺。驗證流程步驟1：網站未進行隔離防護，對網站進行惡意爬蟲攻擊測試，驗證網站隔離前反爬蟲效果；步驟2：網站進行隔離防護，對網站進行惡意爬蟲攻擊測試，驗證網站隔離后反爬蟲效果。預期結果部署威脅隔離平臺后，原始網頁內容爬取失敗。8.1.6防自動化掃描與攻擊表7防自動化掃描與攻擊評估表成熟度要求產品應具備如下能力：防止自動化工具對網站發(fā)起的掃描及攻擊評估權重預置條件已經部署威脅隔離平臺。驗證流程步驟1：網站未進行隔離防護，通過自動化掃描工具AWVS掃描目標Web應用系統(tǒng)，查看掃描結果；步驟2：網站進行隔離防護，通過自動化掃描工具AWVS重新目標Web應用系統(tǒng)，查看掃描結果。預期結果部署威脅隔離平臺后，漏洞掃描工具無法獲取到Web應用系統(tǒng)的漏洞。8.1.7防Web文件路徑掃描探測表8防Web文件路徑掃描探測評估表成熟度要求產品應具備如下能力：隱藏網站的目錄和文件信息評估權重預置條件已經部署威脅隔離平臺。驗證流程步驟1：網站未進行隔離防護，對網站進行文件路徑的探測測試，驗證網站隔離前防6T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024護效果；步驟2：網站進行隔離防護，對網站進行文件路徑的探測測試，驗證網站隔離后防護效果。預期結果部署威脅隔離平臺后，無法掃描出網站的目錄和文件信息。8.1.8網頁防篡改表9網頁防篡改評估表成熟度要求產品應具備如下能力：防止網頁內容被篡改評估權重預置條件已經部署威脅隔離平臺。驗證流程步驟1：網站未進行隔離防護，對網站進行篡改攻擊測試，查看隔離前網站防篡改攻擊情況；步驟2：網站進行隔離防護，對網站進行篡改攻擊測試，查看隔離后網站防篡改攻擊情況。預期結果部署威脅隔離平臺后，成功阻斷篡改攻擊。8.1.9防止漏洞利用表10防止漏洞利用評估表成熟度要求產品應具備如下能力：防止利用Web漏洞（包含0Day/1Day）發(fā)起的攻擊評估權重預置條件已經部署威脅隔離平臺。驗證流程步驟1：網站未進行隔離防護，通過工具利用水平或垂直越權漏洞（或其他傳統(tǒng)WAF無法防護的0Day/1Day漏洞）攻擊，查看攻擊情況；步驟2：網站進行隔離防護后，通過工具利用水平或垂直越權漏洞（或其他傳統(tǒng)WAF無法防護的0Day/1Day漏洞）攻擊，查看攻擊情況。預期結果部署威脅隔離平臺后，成功防止利用水平或垂直越權漏洞進行攻擊。8.1.10網銀系統(tǒng)安全防護表11網銀系統(tǒng)安全防護評估表成熟度要求產品應具備如下能力：針對網銀系統(tǒng)，具備上述1～9所有的安全防護能力評估權重30%預置條件已經部署威脅隔離平臺。驗證流程步驟1：網銀系統(tǒng)未進行隔離防護，依次執(zhí)行上述1～9測試用例，查看攻擊情況；步驟2：網銀系統(tǒng)進行隔離防護后，依次執(zhí)行上述1～9測試用例，查看攻擊情況。預期結果部署威脅隔離平臺后，網銀系統(tǒng)成功防止漏洞利用攻擊。8.2兼容性8.2.1瀏覽器兼容性表12瀏覽器兼容性評估表成熟度要求：產品應具備如下能力：7T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024適配GoogleChrome，Safari，Firefox，Edge，IE11，360瀏覽器評估權重：25%預置條件：1）已經部署威脅隔離平臺。驗證流程：步驟1：網站未進行隔離防護，依次打開上述瀏覽器，訪問目標網站，查看UI界面顯示效果，沒有兼容性問題；步驟2：網站進行隔離防護，依次打開上述瀏覽器，訪問目標網站，查看UI界面顯示效果，沒有兼容性問題。預期結果：隔離防護前后，目標網站兼容性無差異。8.2.2頁面渲染測試表13頁面渲染測試評估表成熟度要求：產品應具備如下能力：頁面正常渲染，所有頁面功能不受影響評估權重：25%預置條件：1）已經部署威脅隔離平臺。驗證流程：步驟1：網站未進行隔離防護，訪問目標網站，依次點擊一級頁面，二級頁面等，查看UI界面顯示效果及網站功能；步驟2：網站進行隔離防護，訪問目標網站，依次點擊一級頁面，二級頁面等，查看UI界面顯示效果及網站功能。預期結果：隔離防護前后，目標網站所有頁面正常渲染，功能使用正常。8.2.3網銀系統(tǒng)兼容性表14網銀系統(tǒng)兼容性評估表成熟度要求：產品應具備如下能力：適配網銀系統(tǒng)評估權重：50%預置條件：1）已經部署威脅隔離平臺。驗證流程：步驟1：網站未進行隔離防護，打開本地瀏覽器，訪問網銀系統(tǒng)，查看UI界面顯示效果，訪問業(yè)務功能模塊，沒有兼容性問題；步驟2：網站進行隔離防護，打開本地瀏覽器，訪問網銀系統(tǒng)，查看UI界面顯示效果，訪問業(yè)務功能模塊，沒有兼容性問題。預期結果：隔離防護前后，網銀系統(tǒng)均可正常使用，業(yè)務功能正常，兼容性無差異。8.3易用性及用戶體驗8.3.1易用性表15易用性評估表成熟度要求：產品應具備如下能力：實現上述防護能力的同時，終端PC無需安裝任何額外的軟件、插件或者專用瀏覽器評估權重：50%預置條件：1）已經部署威脅隔離平臺。驗證流程：步驟：網站進行隔離防護后，打開終端PC上已有的瀏覽器，可正常訪問目標網站。預期結果：1）無需安裝軟件、插件或者專用瀏覽器。8.3.2用戶體驗表16用戶體驗評估表成熟度要求：產品應具備如下能力：8T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024實現上訴防護能力后，用戶訪問目標Web應用系統(tǒng)的響應時間延遲無明顯變化評估權重：50%預置條件：1）已經部署威脅隔離平臺。驗證流程：步驟1：網站未進行隔離防護，訪問目標網站，測試服務響應時間；步驟2：網站進行隔離防護，訪問目標網站，測試服務響應時間。預期結果：1）網站保護前后，訪問服務響應時間變化不超過5%。8.4可用性8.4.1