网站恢复产品认证关键技术标准规范.doc

资源描述

网站恢复产品认证技术规范 ISCCC XXX XXX- 信息技术信息安全网站恢复产品认证技术规范 Technical specifications for website recovery product certification (立案送审稿) XXXX-XX-XX公布 XXXX -XX-XX实施中国信息安全认证中心公布目次前言 1 1 范围 2 2 规范性引用文件 2 3 术语和定义 2 4 功效要求 3 4.1 运行平台 3 4.2 网页公布系统 3 4.3 检测优先级 4 4.4 检测时间间隔管理 4 4.5 监控目录/文件管理 4 4.6 界面 4 4.7 增量备份 4 5 性能评价原因 4 5.1 监控响应时间 4 5.2 篡改恢复时间 4 5.3 稳定性 4 5.4 资源占用 4 5.5 网络影响 5 6 安全功效要求 5 6.1 静态网页文件自动恢复功效 5 6.2 动态脚本文件自动恢复功效 5 6.3 网页目录自动恢复功效 5 6.4 报警功效 5 6.5 审计日志功效 6 6.6 抵御已知攻击 7 7 本身安全要求 7 7.1 管理功效 7 7.2 备份文件安全存放及保密传输 7 7.3 本身审计数据生成 7 8 确保要求 8 8.1 交付和运行确保 8 8.2 指导性文档 8 8.3 测试确保 9 8.4 脆弱性分析确保 10 8.5 生命周期支持 10 9 网站恢复产品安全技术要求等级划分 10 附录 A 13 参考文件 15 前言本技术规范属于网站恢复产品认证技术规范。本技术规范依据中国网站恢复产品生产和使用现实状况，并参考了相关技术规范而制订。本技术规范由中国信息安全认证中心（ISCCC）提出并归口。本技术规范关键起草单位：中国信息安全认证中心。网站恢复产品认证技术规范 1 范围 1.1 本技术规范要求了网站恢复产品技术要求。 1.2 本技术规范关键适适用于第三方测评机构对网站恢复产品检测。网站恢复产品设计和实现也可参考使用。 2 规范性引用文件下列文件中条款经过本技术规范引用而成为本技术规范条款。通常注日期引用文件，其随即全部修改单（不包含勘误内容）或修订版均不适适用于本技术规范，然而，激励依据本技术规范达成协议各方研究是否可使用这些文件最新版本。通常不注日期引用文件，其最新版本适适用于本技术规范。 GB/T18336.1- 信息技术安全技术信息技术安全性评定准则第1部分：介绍和通常模型 GB/T18336.2- 信息技术安全技术信息技术安全性评定准则第2部分：安全功效要求 GB/T18336.3- 信息技术安全技术信息技术安全性评定准则第3部分：安全确保要求 3 术语和定义 GB/T 5271.8—和GB/T 18336确立术语和定义适适用于本技术规范。下列术语和定义适适用于本技术规范。 3.1 网站恢复 website recovery 网站恢复是指对网页内容未授权更改立即地进行自动恢复过程。网站恢复是指对受保护静态网页文件、动态脚本文件及目录未授权更改立即地进行自动恢复过程。 3.2 网站恢复产品 website recovery product 网站恢复产品是用以实现网站恢复（3.1）软件或软硬件组合。 3.3 网站数据 website data 和网站对外公布网页内容相关数据。 3.4 授权管理员 authorized administrator 可管理网站恢复产品（3.2）授权用户。 3.5 网站备份数据 backup for website data 得到授权管理员(3.4)认可网站数据（3.3）副本。 3.6 当地服务器 local server 网站系统所在服务器。 3.7 远程服务器 remote server 和当地服务器（3.6）经过网络相连接非当地服务器。 3.8 静态网页保留在当地服务器（3.6）上，但不会在当地服务器上（3.6）运行，其内容不会因访问条件不一样而发生改变一个或一组文件。 3.9 动态网页保留并运行于当地服务器（3.6）上，其内容在当地服务器（3.6）上动态生成，能依据访问条件不一样而发生改变一个或一组文件。 3.10 动态脚本文件保留并运行于当地服务器（3.6）上，用以支持生成动态网页（3.9）内容文件。其内容通常是一组脚本语言代码。 3.11 连续篡改攻击攻击者在网页被恢复后立即重新篡改网页内容攻击行为。 4 功效要求 4.1 运行平台 4.1.1 操作系统网站恢复产品全部功效能够在指定操作系统平台上正常运行。比如，支持Windows、Linux等。 4.1.2 Web服务器网站恢复产品全部功效能够配合指定Web服务器正常运行。比如，支持IIS、J2EE（Weblogic/Websphere）等。 4.2 网页公布系统安装网站恢复产品后，应该不影响网站原有网页公布系统。 4.3 检测优先级若网站恢复产品使用定时检测方法（A.2.1.1）进行监测，应该许可用户对待检测对象设置不一样优先级。 4.4 检测时间间隔管理若网站恢复产品使用定时检测方法（A.2.1.1）进行监测，应该许可用户对检测时间间隔进行配置。 4.5 监控目录/文件管理用户可增加或撤消被监控目录/文件。 4.6 界面网站恢复产品应为用户提供友好操作界面。 4.7 增量备份当网站数据正当更新后，仅对上次备份以来数据对象改变进行备份，以形成新网站备份数据。 5 性能评价原因 5.1 监控响应时间监控响应时间是指发觉网站数据被未授权更改到对其进行报警所需时间。该指标由监控策略、比较方法、被保护对象属性等原因决定，时间越短，保护效率越高。 5.2 篡改恢复时间篡改恢复时间是指发觉网站数据被未授权更改到对其进行自动恢复所需时间。该指标由网站备份数据存放位置、传输带宽、被保护对象属性等原因决定，时间越短，保护效率越高。 5.3 稳定性安装网站恢复产品后，网站恢复产品和对应网站系统均能稳定运行。稳定性可用平均无故障率等指标进行评价。 5.4 资源占用安装网站恢复产品后，对网站系统所在服务器资源（如CPU、内存空间和存放空间），不应长时间固定或无限制占用，不应影响网站系统正当用户登录和资源访问。资源占用可用CPU占用率、内存拥有率、存放空间拥有率等指标进行评价。 5.5 网络影响若网站恢复产品采取远程监控方法（A.2.1），不应对原网络正常通讯产生长时间固定影响。网络影响可用带宽占用率等指标进行评价。 6 安全功效要求 6.1 静态网页文件自动恢复功效网站恢复产品能对受保护静态网页文件未授权更改善行识别，并能用备份文件进行自动恢复。即： a）静态网页文件未授权增加恢复； b）静态网页文件未授权删除恢复； c）静态网页文件未授权修改（包含文件属性修改、重命名、移动等）恢复。 6.2 动态脚本文件自动恢复功效网站恢复产品能对受保护动态脚本文件未授权更改善行识别，并能用备份文件进行自动恢复。即： a）动态脚本文件未授权增加恢复； b）动态脚本文件未授权删除恢复； c）动态脚本文件未授权修改（包含文件属性修改、重命名、移动等）恢复。 6.3 网页目录自动恢复功效网站恢复产品能识别对受保护网页目录未授权破坏进行识别，并能用备份目录进行自动恢复。即： a）网页目录未授权增加恢复； b）网页目录未授权删除恢复； c）网页目录未授权修改（包含目录属性修改、重命名、移动等）恢复。 6.4 报警功效 6.4.1 应对以下事件实时报警： a）对受保护网页文件未授权增、删、改报警； b）对受保护网页目录及属性未授权增、删、改报警； c）对监控保护进程异常关闭报警。 6.4.2 报警信息数据格式：报警信息数据项内部数据结构定义可参考以下：序号名称类型长度 1 事件发生日期字符 8 2 事件发生时间字符 6 3 事件类型字符 30 4 备注字符 100 注：若事件为6.4.1 a）、b），则应在“备注”项中指出受破坏文件或目录位置。 6.4.3 报警方法应提供合适报警方法（比如：（1）E_mail报警；（2）以声音或屏幕提醒等形式向指定计算机发送警告信息；） 6.5 审计日志功效 6.5.1 可审计事件： a）对受保护网页文件进行增、删、改和恢复日志； b）对受保护网页目录进行增、删、改和恢复日志； c）监控保护服务开启和关闭日志。 6.5.2 审计信息数据格式：审计信息数据项内部数据结构定义可参考以下：序号名称类型长度 1 事件发生日期字符 8 2 事件发生时间字符 6 3 事件类型字符 30 4 备注字符 100 注：若事件为6.4.1 a）、b），则应在“备注”项中指出受破坏文件或目录位置。 6.5.3 审计跟踪管理管理员应能创建、存档、删除和清空审计统计。 6.5.4 可了解格式该类产品应使存放于永久性审计统计中全部审计数据为人所了解，并可按条件或条件组合查询。 6.6 抵御已知攻击应能抵御已知手段攻击。比如，最少应能防范连续篡改攻击（3.10）。 7 本身安全要求 7.1 管理功效 7.1.1 管理员身份判别网站恢复产品应确保只有授权管理员能使用产品管理功效。对授权管理员应进行身份判别。 7.1.2 管理员权限网站恢复产品应确保授权管理员有下列权限： a)管理员属性修改（更改密码等）； b)开启、关闭监控保护服务； c)增加或撤消对全部受保护目录监控； d)授权正当用户对网页内容进行正当更新。 7.1.3 管理信息传输安全若提供远程管理功效，应能对远程管理信息（比如，登录信息和会话）进行保密传输。 7.2 备份文件安全存放及保密传输 a) 仅管理员可指定备份端，用户可备份指定文件及目录到备份端； b) 备份端应对登录用户进行身份判别，实现备份文件在备份端安全存放； c) 用备份文件对受保护网页文件未授权更改善行恢复时，备份文件应保密传输； d) 应提供网页内容正当更新后立即备份。 7.3 本身审计数据生成产品应对和本身安全相关以下事件生成审计统计： a) 对产品进行操作尝试，如关闭审计功效或子系统； b) 产品管理员登录和退出； c) 对安全策略进行更改操作； d) 读取、修改、破坏审计跟踪数据尝试； e) 因判别尝试不成功次数超出了设定限值，造成会话连接终止； f) 对管理角色进行增加，删除和属性修改操作； g) 对其它安全功效配置参数修改（设置和更新），不管成功是否。 8 确保要求 8.1 交付和运行确保 a) 开发者应使用一定交付程序交付网站恢复产品，并将交付过程文档化。 b) 交付文档应描述在给用户方交付网站恢复产品各版本时，为维护安全所必需全部程序。 c) 开发者应提供文档说明网站恢复产品安装、生成、开启和日志生成过程。 8.2 指导性文档 8.2.1 管理员指南 a) 开发商应提供针对产品管理员管理员指南。 b) 管理员指南应描述管理员可使用管理功效和接口。 c) 管理员指南应描述怎样以安全方法管理产品。 d) 对于在安全处理环境中必需进行控制功效和特权，管理员指南应提出对应警告。 e) 管理员指南应描述全部对和网站恢复产品安全操作相关用户行为假设。 f) 管理员指南应包含安全功效怎样相互作用指导。 g) 每一个和管理功效相关安全相关事件，包含对安全功效所控制实体安全特征进行改变。 h) 全部和系统管理员相关IT环境安全要求。 i) 管理员指南应和为评价而提供其它全部文件保持一致。 8.2.2 用户指南 a) 开发商应提供用户指南。 b) 用户指南应描述非管理员用户可用功效和接口。 c) 用户指南应包含使用产品提供安全功效和指导。 d) 用户指南应描述用户可获取但应受安全处理环境控制全部功效和权限。 e) 用户指南应清楚地叙述产品安全运行中用户所必需负职责，包含产品在安全使用环境中对用户行为假设。 f) 用户指南应描述和用户相关IT环境全部安全要求。 g) 用户指南应和为评价而提供其它全部文件保持一致。 8.3 测试确保 8.3.1 功效测试 a) 开发商应测试产品功效，并统计结果。 b) 开发商在提供产品时应同时提供该产品测试文档。 c) 测试文档应由测试计划、测试过程描述、预期测试结果和实际测试结果组成。 d) 测试文档应标识将要测试产品功效，并描述将要达成测试目标。 e) 测试过程应标识要实施测试，并描述每个安全功效测试概况，这些概况包含对其它测试结果次序依靠性。 f) 开发商期望测试结果应表明测试成功后预期输出。实际测试结果应表明每个被测试安全功效能根据要求进行运作。 8.3.2 测试覆盖面分析汇报 a) 开发商应提供对产品测试覆盖范围分析汇报。 b) 测试覆盖面分析汇报应证实测试文件中确定测试项目可覆盖产品全部安全功效。 8.3.3 测试深度分析汇报 a) 开发商应提供对产品测试深度分析汇报。 b) 测试深度分析汇报应证实测试文件中确定测试能充足表明产品运行符合安全功效规范。 8.3.4 独立性测试开发商应提供用于适合测试部件，且提供测试集合应和其自测产品功效时使用测试集合相一致。 8.4 脆弱性分析确保 8.4.1 指南检验 a) 开发者应提供指南性文档。 b) 在指南性文档中，应确定对产品全部可能操作方法（包含失败和操作失误后操作）、它们后果和对于保持安全操作意义。指南性文档中还应列出全部目标环境假设和全部外部安全方法（包含外部程序、物理或人员控制）要求。指南性文档应是完整、清楚、一致、合理。 8.4.2 脆弱性分析 a) 开发者应从用户可能破坏安全策略显著路径出发，对产品多种功效进行分析并提供文档。对被确定脆弱性，开发者应明确统计采取方法。 b) 对每一条脆弱性，应有证据显示在使用产品环境中该脆弱性不能被利用。在文档中，还需证实经过标识脆弱性产品能够抵御显著穿透性攻击。 c) 脆弱性分析文档应明确指出产品已知安全隐患、能够侵犯产品已知方法和怎样避免这些隐患被利用。 8.5 生命周期支持 a) 开发者应提供开发安全文件。 b) 开发安全文件应描述在产品开发环境中，为保护产品设计和实现机密性和完整性，而在物理上、程序上、人员上和其它方面所采取必需安全方法。开发安全文件还应提供在产品开发和维护过程中实施安全方法证据。 9 网站恢复产品安全技术要求等级划分依据信息技术网站恢复产品开发、生产现实状况及实际应用情况，我们将网站恢复产品划分成两个等级。网站恢复产品等级划分如表9.1所表示。表9.1网站恢复产品等级划分表基础要求级增强要求级 4 功效要求 4.1 运行平台 4.1 4.1 4.2 网页公布系统 4.2 4.2 4.3 检测优先级 4.3 4.4 配置检测时间间隔 4.4 4.4 4.5 监控目录/文件管理 4.5 4.5 4.6 界面 4.6 4.6 4.7 增量备份 4.7 5 性能评价原因 5.1 监控响应时间 5.1 5.1 5.2 篡改恢复时间 5.2 5.2 5.3 稳定性 5.3 5.3 5.4 资源占用 5.4 5.5 网络影响 5.5 6 安全功效要求 6.1 静态网页文件自动恢复功效 6.1 6.1 6.2 动态脚本文件自动恢复功效 6.2 6.3 网页目录自动恢复功效 6.3 6.3 6.4 报警功效 6.4.1 实时报警 6.4.1 6.4.1 6.4.2 报警信息数据格式 6.4.2 6.4.3 报警方法 6.4.3 6.4.3 6.5 审计日志功效 6.5.1 可审计事件 6.5.1 6.5.1 6.5.2 审计信息数据格式 6.5.2 6.5.3 审计跟踪管理 6.5.3 6.5.3 6.5.4 可了解格式 6.5.4 6.5.4 6.6 抵御已知攻击 6.6 7 本身安全要求 7.1 管理功效 7.1.1 管理员身份判别 7.1.1 7.1.1 7.1.2 管理员权限 7.1.2 7.1.2 7.1.3 管理信息传输安全 7.1.3 7.2 备份文件安全存放及保密传输 7.2 7.2 7.3 本身审计数据生成 7.3 8 确保要求 8.1 交付和运行确保 8.1 8.1 8.2 指导性文档 8.2 8.2 8.3测试确保 8.3 8.4 脆弱性分析确保 8.4 8.5 生命周期支持 8.5 注： 1）基础要求是对网站恢复产品最低安全等级要求； 2）增强要求是深入提升网站恢复产品安全功效和可用性附加要求。附录 A （资料性附录）网站恢复过程举例网站恢复通常是在监测到网站数据内容被未授权更改后，立即产生报警，并进行准实时自动恢复。网站恢复通常包含3个步骤：备份步骤，监测步骤和恢复步骤。 A.1备份步骤备份步骤关键对网站数据进行备份，保留或更新网站备份数据。网站备份数据能够存放在当地服务器或远程服务器； A.2监测步骤监测步骤关键检验网站数据内容是否被未授权更改，并依据检验结果产生对应报警。 A.2.1监测方法监测操作能够在当地服务器或远程服务器上进行，采取定时检测方法、触发方法或其它方法。 A.2.1.1定时检测方法定时检测方法依据设定时间定时读出要监控网站数据（或其它能用以判定网站数据是否被更改信息，比如，对应文件属性等），将其和网站备份数据相比较，从而判定网站数据是否被更改。为提升检测效率，可能将网站数据分为不相同级，对不相同级网站数据设置不一样检测时间。比如，将高等级网站数据检测时间间隔设得较短，以取得很好实时性；而将等级较低网站数据检测时间间隔设得较长，以减轻系统负担。 A.2.1.2触发方法触发方法经过部分特定事件来触发检测操作，而不是定时地、主动地对网站数据进行检测。这些特定事件可能是文件被访问、创建、修改或删除等。比如，当用户访问某个网页时候触发对该网页进行完整性检验。或利用部分特殊技术（比如，文件过滤驱动程序）捕捉网站文件被访问、创建、修改或删除等事件，从而触发检测操作。 A.2.2比较方法在判定文件是否被修改时，往往采取将被保护网站数据和网站备份数据进行比较方法进行。 A.2.2.1 全文比较这是最常见比较方法，它能直接、正确地判定出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下。部分保护软件采取文件属性如文件大小、创建修改时间等进行比较。这种方法即使简单高效，但也有严重缺点：恶意入侵者能够经过精心结构，把替换文件属性设置得和原文件完全相同，从而使被恶意更改文件无法被检测出来。 A.2.2.2 函数比较经过比较文件Hash值（比如，MD5算法）判定文件是否被修改。这种比较方法效率高，难以伪造，能比较正确地发觉文件被篡改。 A.3恢复步骤当监测到网站数据内容被未授权更改后开启恢复步骤，使用网站备份数据替换被未授权更改网站数据。依据网站备份数据存放位置不一样，恢复操作能够分为当地或远程方法。假如网站备份数据存放在当地服务器，则需要拥有对被保护目录或文件写权限。假如网站备份数据存放在远程服务器，则需要经过其它方法进行，比如，文件共享或FTP方法，对应地，需要文件共享或FTP帐号，而且该帐号拥有对被保护目录或文件写权限。参考文件［1］MSCTC-GFJ-08 信息技术网站恢复产品安全检验规范［2］高延玲，张玉清等. 网页保护系统综述[J]. 计算机工程， 30(10)：113

展开阅读全文