《基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法》（公开征求意见稿）

1T/SCPCAXXXX-2024T/SCJRXXX-2024T/CQJRXXX-2024基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法本文件界定了金融Web应用安全防护的能力评价方法。确立了基于远程浏览器隔离技术的Web应用安全防护平台（以下简称：威胁隔离平台）的功能要求、成熟度要求和评价方法。本文件适用于成渝地区金融机构Web安全防护方案/产品选型参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语3术语和定义下列术语和定义适用于本文件。3.1浏览器browser计算机系统中用来检索、展示以及传递Web信息资源的应用程序。3.2远程浏览器隔离remotebrowserisolation一种将Web浏览活动运行在一个远程隔离的环境中，以保护计算机用户免受可能遇到的任何恶意软件的伤害的技术。3.3安全传输层协议transportlayersecurity为互联网通信提供安全及数据完整性保障的一种安全协议。3.4安全套接字协议securesocketslayer为网络通信提供安全及数据完整性的一种安全协议。3.5桌面虚拟化virtualdesktopinfrastructure指计算机的终端系统（也称作桌面）进行虚拟化，以达到桌面使用的安全性和灵活性，可以通过任何设备，在任何地点，任何时间通过网络访问属于个人的桌面系统的技术手段。3.6文档对象模型documentobjectmodel是一种与平台和语言无关的应用程序接口(API),它可以动态地访问程序和脚本,更新其内容、结构和WWW文档的风格(HTML和XML文档是通过说明部分定义的)。文档可以进一步被处理，处理的结果可以加入到当前的页面。DOM是一种基于树的API文档，它要求在处理过程中整个文档都表示在存储器中。4缩略语下列缩略语适用于本文件。a)API：应用程序接口（ApplicationProgrammingInterface）2T/SCPCAXXXX-2024T/SCJRXXX-2024T/CQJRXXX-2024b)AWVS：AcunetixWeb漏洞扫描程序（AcunetixWebVulnerabilityScanner）c)CVE：通用漏洞披露（CommonVulnerabilitiesandExposures）d)HTML：超文本标记语言（HyperTextMarkupLanguage）e)HTML5：超文本标记语言修订版5（HyperTextMarkupLanguage5）f)HTTP：超文本传输协议（HyperTextTransferProtocol）g)HTTPS：超文本安全传输协议（HypertextTransferProtocolSecure）h)JS：脚本语言（JavaScript）i)SQL：结构化查询语言（StructuredQueryLanguage）j)WEBSHELL：网页脚本程序（WebShellScript）k)WWW：万维网（WorldWideWeb）l)XML：可扩展标记语言（ExtensibleMarkupLanguage）m)XSS：跨站脚本攻击（CrossSiteScripting）5评价等级判定5.1等级说明网络安全产品能力等级分为三个等级，从低到高分别是一级（基础级）、二级（成熟级）和三级（专业级）。5.2等级判定方法安全能力测试、兼容性测试、易用性及用户体验测试，需要搭建威胁隔离平台测试环境，按附录A中规定的方法进行判定。5.2.1基础级完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得分达到60-70（不含）分，60（不含）分以下不予评级。5.2.2成熟级完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得分达到70-90（不含）分。5.2.3专业级完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得分达到90分以上。5.3打分方法评估组应将采集的证据与能力要求进行对照，按照满足程度对评估域的每一条要求进行打分。能力要求满足程度与得分对应表如表1所示。表1成熟度要求满足程度与对应得分105.4参考评估域权重根据网络安全产品能力要求，给出主要评估域及推荐权重，按附录B中规定给出。5.5能力计算方法3T/SCPCAXXXX-2024T/SCJRXXX-2024T/CQJRXXX-2024能力域总得分为该域下所有能力分项得分的加权求和，能力域得分按公式（1）计算：B=Σ（C×β)…………（1）本公式中：B——能力域总得分；C——能力域分项得分；β——能力域分项权重。成熟度要素得分为该要素下能力域的加权求和，成熟度要素的得分按公式（2）计算：A=Σ（B×α)…………（2）本公式中：A——成熟度要素得分；B——能力域总得分；α——能力域权重。6技术原理威胁隔离平台技术核心是远程浏览器技术、容器技术以及HTML5渲染技术的结合。为每个用户分配一个独立的虚拟容器，利用远程浏览器技术在容器中构建一个处理中心，执行源网页中的所有脚本，并将执行完的结果转换成网页视觉编码，实时同步给用户浏览器，利用HTML5技术在用户浏览器重新渲染成网页镜像，从而实现“零”源脚本交互，达到用户与业务系统/Web应用服务器安全隔离的效果。7安全防护能力7.1隐藏Web应用系统的源代码/API/JS源代码暴露往往是Web攻击发起的起点，在用户浏览器中，可以查看网站或Web应用的源代码以及脚本语句，如果网站或Web应用的源代码设计不严谨，黑客可以从暴露的源代码中发现漏洞，基于漏洞发起攻击。威胁隔离平台可隐藏Web应用的源码/API/JS，当用户在本地浏览器中访问Web应用时，所有服务器返回的网页代码和脚本均在远程浏览器执行，远程浏览器不会对本地浏览器提供任何原始网页的代码，第三方框架等信息。7.2隔离自动化攻击源恶意攻击者往往会利用浏览器的开放性或者漏洞，采用自动化工具对Web应用发起漏洞扫描或者“暴力破解式”攻击，攻击成本低，效率高。这种自动化攻击，是当前针对Web应用最常用的攻击手段。威胁隔离平台可以100%隔离自动化攻击源。由于针对应用的访问已经转移到远程浏览器，而远程浏览器只接受键盘和鼠标输入，所有的自动攻击工具都无法和远程浏览器直接通信或者发送攻击指令，因此，采用自动化工具对Web应用发起的攻击将不会有任何效果。7.3隔离注入式攻击注入式攻击通常都是通过直接组装http/https请求来发起攻击，威胁隔离平台上的远程浏览器4T/SCPCAXXXX-2024T/SCJRXXX-2024T/CQJRXXX-2024只接受GET请求，攻击者注入的渠道非常受限；并且远程浏览器对URL请求进行加密处理，可以防止通过篡改GET请求进行注入攻击，进而达到对注入攻击的防护效果。8评价方法8.1安全能力8.1.1隐藏源代码/API/活动脚本表2隐藏源代码/API/活动脚本评估表评估要求产品应具备如下能力：隐藏Web应用系统源代码、API和活动脚本评估权重20%预置条件已经部署威胁隔离平台。评估方法步骤1：网站未进行隔离防护，打开本地浏览器开发者工具，查看网页源代码、活动脚本、API请求和响应信息；步骤2：网站进行隔离防护，打开本地浏览器开发者工具，查看网页源代码、活动脚本、API请求和响应信息。预期结果成功隐藏Web应用系统源代码、API和活动脚本。8.1.2防WEBSHELL表3防WEBSHELL评估表成熟度要求产品应具备如下能力：应成功拦截webshell攻击评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行webshell攻击测试，验证网站隔离前webshell防护效果；步骤2：网站进行隔离防护，对网站进行webshell攻击测试，查看隔离后网站防webshell攻击情况。预期结果威胁隔离平台能成功拦截webshell攻击。8.1.3防SQL注入表4防SQL注入评估表成熟度要求产品应具备如下能力：应防止SQL注入攻击评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行依次进行POST、GET、输入框的SQL注入攻击测试，查看隔离前网站防SQL注入攻击情况；表4防SQL注入评估表（续）验证流程步骤2：网站进行隔离防护，对网站进行依次进行POST、GET、输入框的SQL注入攻击测试，查看隔离后网站防SQL注入攻击情况。预期结果威胁隔离平台能成功阻断SQL注入攻击。8.1.4防XSS注入5T/SCPCAXXXX-2024T/SCJRXXX-2024T/CQJRXXX-2024表5防XSS注入评估表成熟度要求产品应具备如下能力：应防止XSS注入攻击评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：对网站进行反射型XSS(非持久型)测试，测试网站隔离前后能否防护该类型XSS注入攻击；步骤2：对网站进行存储型XSS(持久型)测试;测试网站隔离前后能否防护该类型XSS注入攻击；步骤3：对网站进行DOMXSS(文档对象型)测试，测试网站隔离前后能否防护该类型XSS注入攻击。预期结果威胁隔离平台能成功阻断XSS注入攻击。8.1.5反爬虫表6反爬虫评估表成熟度要求产品应具备如下能力：防止爬虫获取网站内容评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行恶意爬虫攻击测试，验证网站隔离前反爬虫效果；步骤2：网站进行隔离防护，对网站进行恶意爬虫攻击测试，验证网站隔离后反爬虫效果。预期结果部署威胁隔离平台后，原始网页内容爬取失败。8.1.6防自动化扫描与攻击表7防自动化扫描与攻击评估表成熟度要求产品应具备如下能力：防止自动化工具对网站发起的扫描及攻击评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，通过自动化扫描工具AWVS扫描目标Web应用系统，查看扫描结果；步骤2：网站进行隔离防护，通过自动化扫描工具AWVS重新目标Web应用系统，查看扫描结果。预期结果部署威胁隔离平台后，漏洞扫描工具无法获取到Web应用系统的漏洞。8.1.7防Web文件路径扫描探测表8防Web文件路径扫描探测评估表成熟度要求产品应具备如下能力：隐藏网站的目录和文件信息评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行文件路径的探测测试，验证网站隔离前防护效果；步骤2：网站进行隔离防护，对网站进行文件路径的探测测试，验证网站隔离后防护6T/SCPCAXXXX-2024T/SCJRXXX-2024T/CQJRXXX-2024效果。预期结果部署威胁隔离平台后，无法扫描出网站的目录和文件信息。8.1.8网页防篡改表9网页防篡改评估表成熟度要求产品应具备如下能力：防止网页内容被篡改评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，对网站进行篡改攻击测试，查看隔离前网站防篡改攻击情况；步骤2：网站进行隔离防护，对网站进行篡改攻击测试，查看隔离后网站防篡改攻击情况。预期结果部署威胁隔离平台后，成功阻断篡改攻击。8.1.9防止漏洞利用表10防止漏洞利用评估表成熟度要求产品应具备如下能力：防止利用Web漏洞（包含0Day/1Day）发起的攻击评估权重预置条件已经部署威胁隔离平台。验证流程步骤1：网站未进行隔离防护，通过工具利用水平或垂直越权漏洞（或其他传统WAF无法防护的0Day/1Day漏洞）攻击，查看攻击情况；步骤2：网站进行隔离防护后，通过工具利用水平或垂直越权漏洞（或其他传统WAF无法防护的0Day/1Day漏洞）攻击，查看攻击情况。预期结果部署威胁隔离平台后，成功防止利用水平或垂直越权漏洞进行攻击。8.1.10网银系统安全防护表11网银系统安全防护评估表成熟度要求产品应具备如下能力：针对网银系统，具备上述1～9所有的安全防护能力评估权重30%预置条件已经部署威胁隔离平台。表11网银系统安全防护评估表（续）验证流程步骤1：网银系统未进行隔离防护，依次执行上述1～9测试用例，查看攻击情况；步骤2：网银系统进行隔离防护后，依次执行上述1～9测试用例，查看攻击情况。预期结果部署威胁隔离平台后，网银系统成功防止漏洞利用攻击。8.2兼容性8.2.1浏览器兼容性7T/SCPCAXXXX-2024T/SCJRXXX-2024T/CQJRXXX-2024表12浏览器兼容性评估表成熟度要求：产品应具备如下能力：适配GoogleChrome，Safari，Firefox，Edge，IE11，360览器评估权重：25%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，依次打开上述浏览器，访问目标网站，查看UI界面显示效果，没有兼容性问题；步骤2：网站进行隔离防护，依次打开上述浏览器，访问目标网站，查看UI界面显示效果，没有兼容性问题。预期结果：隔离防护前后，目标网站兼容性无差异。8.2.2页面渲染测试表13页面渲染测试评估表成熟度要求：产品应具备如下能力：页面正常渲染，所有页面功能不受影响评估权重：25%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，访问目标网站，依次点击一级页面，二级页面等，查看UI界面显示效果及网站功能；步骤2：网站进行隔离防护，访问目标网站，依次点击一级页面，二级页面等，查看UI界面显示效果及网站功能。预期结果：隔离防护前后，目标网站所有页面正常渲染，功能使用正常。8.2.3网银系统兼容性表14网银系统兼容性评估表成熟度要求：产品应具备如下能力：适配网银系统评估权重：50%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，打开本地浏览器，访问网银系统，查看UI界面显示效果，访问业务功能模块，没有兼容性问题；步骤2：网站进行隔离防护，打开本地浏览器，访问网银系统，查看UI界面显示效果，访问业务功能模块，没有兼容性问题。预期结果：隔离防护前后，网银系统均可正常使用，业务功能正常，兼容性无差异。8.3易用性及用户体验8.3.1易用性表15易用性评估表成熟度要求：产品应具备如下能力：实现上述防护能力的同时，终端PC无需安装任何额外的软件、插件或者专用浏览器评估权重：50%预置条件：1）已经部署威胁隔离平台。验证流程：步骤：网站进行隔离防护后，打开终端PC上已有的浏览器，可正常访问目标网站。预期结果：1）无需安装软件、插件或者专用浏览器。8.3.2用户体验8T/SCPCAXXXX-2024T/SCJRXXX-2024T/CQJRXXX-2024表16用户体验评估表成熟度要求：产品应具备如下能力：用户访问目标Web应用系统时，保护前后，服务响应时间评估权重：50%预置条件：1）已经部署威胁隔离平台。验证流程：步骤1：网站未进行隔离防护，访问目标网站，测试服务响应时间。步骤2：网站进行隔离防护，访问目标网站，测试服务响应时间。预期结果：1）网站保护前后，访问服务响应时间变化不超过5%。8.4可用性8.4.1高可用表17高可用评估表成熟度要求：产品应具备如下能力：系统关键服务是否采用负载均衡或主备方式，避免服务单点故障导致受保护网站无法访问，关键服务包含流量接入模块、容器调度模块、远程浏览器模块。评估权重：预置条件：1）已经部