代替GB/T29766—2013信息安全技術網站數據恢復產品技術要求與測試評價方法2021-10-11發布2022-05-01實施國家市場監督管理總局GB/T29766—2021 I 2規范性引用文件 3術語和定義 4縮略語 25產品描述 26技術要求 36.1安全功能要求 36.2自身安全要求 66.3安全保障要求 7測試評價方法 7.1測試環境與工具 7.2安全功能要求測試 7.3自身安全功能測試 7.4安全保障評估方法 附錄A(規范性)網站恢復產品等級劃分 附錄B(規范性)性能參數與測試 B.1性能指標 B.2性能測試 I本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。本文件代替GB/T29766—2013《信息安全技術網站數據恢復產品技術要求與測試評價方法》,與GB/T29766—2013相比，除結構調整和編輯性改動外，主要技術變化如下：——修改了“術語與定義”章節(見第3章，2013年版的第3章);——增加了“縮略語”章節(見第4章);——增加了“產品描述”章節(見第5章);——增加了“網站數據防篡改”要求(見6.1.2);——修改了“實施告警事件”要求(見6.1.3.1,2013年版的5.1.1.2.1);——修改了“備份數據保護”(見6.1.9,2013年版的5.1.1.10);——刪除了“抵御已知攻擊”的要求(見2013年版的5.1.1.12);請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：中認信安(北京)技術服務有限公司、中國網絡安全審查技術與認證中心、公安部第三研究所、中國電子科技集團公司第十五研究所、上海市信息安全測評認證中心、北京信息安全測評中心、公安部第一研究所、北京天融信網絡安全技術有限公司、北京神州綠盟科技有限公司、藍盾信息安全技術有限公司、廈門服云信息科技有限公司、杭州安恒信息技術股份有限公司、北京山石網科信息技術有限公司、北京北信源軟件股份有限公司、中國科學院信息工程研究所。本文件及其所代替文件的歷次版本發布情況為：——2013年首次發布為GB/T29766—2013;——本次為第一次修訂。1信息安全技術網站數據恢復產品技術要求與測試評價方法本文件規定了網站數據恢復產品安全功能要求、自身安全要求、安全保障要求與測試評價方法。本文件適用于對網站數據恢復產品的研制、生產、測試和評價。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T18336.1信息技術安全技術信息技術安全評估準則第1部分：簡介和一般模型GB/T25069信息安全技術術語3術語和定義GB/T18336.1和GB/T25069界定的以及下列術語和定義適用于本文件。實現網站數據防篡改、備份與恢復的軟件或軟硬件組合。網站靜態數據staticwebsitedata網站服務器上不會因訪問對象或下載請求的不同而發生變化的數據。網站動態數據dynamicwebsitedata網站服務器上可根據訪問對象或下載請求的不同而發生變化的數據，可由網站服務器端腳本語言根據提交條件或狀態生成。網站數據websitedata與網站發布的內容相關的數據。注：網站數據包括網站靜態數據、網站動態數據和網站目錄。網站數據恢復websitedatarecovery對遭受非授權更改的網站數據及時進行恢復的過程。授權管理員authorizedadministrator具有使用網站數據恢復產品管理功能權限的人員。2授權管理員認可的網站數據副本。完全備份fullbackup備份所有指定的數據對象的過程。增量備份incrementalbackup僅備份自上次備份后更改過的數據對象的過程。下列縮略語適用于本文件。IP:網際互聯協議(InternetProtocol)5產品描述網站數據恢復產品是指提供對網站數據的監測、防篡改，并實現數據備份和恢復等安全功能的產品，通常由網站數據恢復產品服務器端、控制端、備份端和監控代理等組件組成，其中監控代理運行在網站服務器上，主要提供網站數據監測、防篡改等功能，當監測到網站數據被篡改等安全事件后，產品可使用備份文件自動或手動對遭受非授權更改的網站數據進行恢復；網站數據恢復產品服務器端用于集中監控和收集事件記錄，并進行告警；控制端用于對產品服務器端進行管理，備份端主要用于備份、存儲網站數據。網站數據恢復產品保護的資產是WEB站點的網頁文件、腳本等受保護的網站數據，此外網站數據恢復產品本身及其內部的重要數據也是受保護的資產。網站數據恢復產品典型部署網絡拓撲圖如圖1所示。網站數據恢復產品控制端網站數據恢復產品備份端(網站數據)交換機網站用戶群合網站數據恢復產品服務器端web站點(網站數據)(安裝監控代皿)圖1網站數據恢復產品典型部署網絡拓撲圖3網站數據恢復產品的安全技術要求分為安全功能要求、自身安全要求和安全保障要求。其中，安全功能要求是對網站數據恢復產品應具備的安全功能提出具體要求，包括網站數據監測功能、網站數據防篡改功能、告警功能、網站數據恢復功能、網站數據備份、網站數據正常更新、管理控制功能、審計功能、備份數據保護；自身安全功能要求針對網站數據恢復產品的自身安全提出具體的要求，包括身份標識與鑒別、管理能力、管理審計、管理方式和程序數據保護；安全保障要求針對網站數據恢復產品的生命周期過程提出具體要求，包括開發、指導性文檔、生命周期支持、測試和脆弱性評定。網站數據恢復產品的安全等級分為基本級和增強級。安全功能與自身安全的強弱、以及安全保障要求的高低是等級劃分的具體依據，安全等級突出安全特性，其中“加粗宋體字”表示所描述的要求僅適用于增強級產品，具體安全技術要求的等級劃分按附錄A要求。6技術要求6.1安全功能要求6.1.1網站數據監測6.1.1.1網站靜態數據監測產品應提供網站靜態數據監測功能，并能對其非授權增加、刪除、修改(包括文件內容或屬性修改、重命名、移動等)進行實時告警和審計。6.1.1.2網站動態數據監測產品應提供網站動態數據監測功能，并能對其非授權增加、刪除、修改(包括文件內容或屬性修改、重命名、移動等)進行實時告警和審計。6.1.1.3網站目錄監測產品應提供網站目錄監測功能，并能對其非授權增加、刪除、修改(包括目錄屬性修改、重命名、移動等)進行實時告警和審計。6.1.2網站數據防篡改6.1.2.1網站靜態數據防篡改應提供防止受保護網站靜態數據被非授權更改的能力。6.1.2.2網站動態數據防篡改應能夠提供防止受保護網站動態數據被非授權更改的能力。6.1.2.3網站目錄防篡改應提供防止受保護網站目錄被非授權更改的能力。6.1.3告警功能6.1.3.1實時告警事件產品應對以下事件進行實時告警：4a)受保護網站靜態數據、受保護網站動態數據、受保護網站目錄的非授權操作；b)監控保護程序的異常關閉；c)監控保護程序或相關的功能文件被更改或刪除；d)網站服務狀態異常。應提供適當的告警方式。如：郵件、聲音或屏幕提示等告警方式。告警信息內容應包括但不限于：事件發生時間、事件類型、操作者(進程)、訪問數據信息等。產品在初次安裝后應采取一定措施確保被監控的網站數據與網站備份數據一致，并保證網站備份數據的正確性和可用性。應實現對網站數據進行備份的功能，并保證備份的及時性。備份功能的實現采用完全備份或增量備份的方式進行。備份方式應支持手動備份和自動備份，自動備份應具備一定的實時性。產品應使用備份文件自動恢復遭受非授權更改的受保護網站靜態數據。產品應使用備份文件(自動或手動)恢復遭受非授權更改的受保護網站動態數據。產品應使用備份目錄自動恢復遭受非授權更改的受保護網站目錄。產品應提供或支持網站數據正常更新功能。該功能可以采用自動更新或手動更新的方式實現。手動更新時，產品應確保只有經授權的用戶能夠對網站數據進行更新。自動更新時，產品應能夠及時發現備份數據的變化，并自動同步備份數據(包括網站靜態數據、網站動態數據和網站目錄)到WEB服務器，從而保證備份數據與被監控網站數據的一致性。56.1.7管理控制功能產品應能增加或撤銷被監控的目錄、文件或網站動態數據。6.1.7.2與網站發布系統的兼容性產品應至少支持一種網站發布系統。安裝產品后，產品及網站發布系統均能穩定運行。產品應支持對網站數據監測、網站數據防篡改、網站數據備份與恢復、網站數據正常更新和事件告警方式等定制策略，并提供缺省配置策略。產品應對以下事件進行審計：a)網站數據的正常更新；b)受保護網站靜態數據非授權操作與恢復；c)受保護網站動態數據非授權操作和恢復；d)受保護網站目錄非授權操作與恢復；e)更改策略操作、監控保護程序異常情況。審計數據中至少應包括事件發生的時間、用戶標識(進程)、事件類型、網站數據的位置和名稱、事件結果等內容。審計數據應存儲于掉電非易失性存儲介質中。審計數據存儲空間達到閾值時，應能對審計數據進行自動備份或轉存。審計記錄應便于為人所理解，不應有歧義。應能按條件或條件組合對審計記錄進行查詢。例如，按時間、事件類型等條件進行查詢。應提供審計數據統計分析功能，并生成報表和導出報表。66.1.9備份數據保護6.1.9.1備份數據的安全存儲備份數據的安全存儲的要求包括但不限于：a)應設置備份數據訪問控制策略，以保證所有訪問備份數據的操作均得到了正確的授權；b)應采取安全措施保證備份數據的完整性，保證網站數據恢復的正確性。6.1.9.2備份數據的安全傳輸當通過網絡進行網站數據備份或恢復時，應采取安全措施保證傳輸數據的完整性。6.2自身安全要求6.2.1身份標識與鑒別身份標識與鑒別的要求包括但不限于：a)應對用戶身份進行標識和鑒別，用戶標識應具有唯一性；b)應對用戶身份鑒別信息進行安全保護，保障用戶鑒別信息存儲和傳輸過程中的保密性和完整性；c)應提供登錄失敗處理功能，包括但不限于限制連續的非授權登錄嘗試次數等；d)應提供登錄超時處理功能，當登錄連接超時自動退出；e)在采用基于口令的身份鑒別時，要求對用戶設置的口令進行復雜度及有效期檢查，確保用戶口令滿足一定的復雜度要求，并在口令使用時間達到有效期時要求用戶進行修改；f)當網站數據恢復產品中存在默認口令時，應在用戶首次登錄時提示用戶對默認口令進行修改；g)應對授權管理員選擇兩種或兩種以上組合的鑒別技術進行身份鑒別。6.2.2管理能力管理能力的要求包括但不限于：a)向授權用戶提供設置和修改安全管理相關的數據參數的功能；b)向授權用戶提供設置、查詢和修改各種安全策略的功能；c)向授權用戶提供管理審計日志的功能，包括審計的存檔、刪除、清空、導出和備份等；d)支持更新自身系統的能力，包括對軟件系統的升級以及各種特征庫的升級；e)應區分管理用戶角色，應能夠劃分為系統管理員、安全操作員和安全審計員，三類管理角色權限能夠相互制約。6.2.3管理審計管理審計的要求包括但不限于：a)對用戶賬戶的登錄和注銷、服務啟動、重要配置變更、增加/刪除/修改管理員、保存/刪除審計日志等操作行為進行日志記錄；b)對網站數據恢復產品及其模塊的異常狀態進行告警，并記錄日志；c)日志記錄中包括如下內容：事件發生的日期和時間、事件的類型、事件主體、事件操作結果；d)保護審計日志，防止未授權的操作。7產品的管理方式要求包括但不限于：a)若支持通過網絡接口進行遠程管理，應能夠限定進行遠程管理的IP地址；b)若支持通過網絡接口進行遠程管理，管理端與網站數據恢復產品之間的所有通訊數據應非明文傳輸；c)應支持集中管理，通過集中管理平臺實現監控運行狀態、下發安全策略、升級系統版本、升級特征庫版本6.2.5程序數據保護產品應具備防止非授權終止自身運行的措施。產品應采取保護措施，以保證產品的主要程序文件(如執行文件、日志庫文件等)不被非授權刪除或修改。6.3安全保障要求開發者應提供網站數據恢復產品安全功能的安全架構描述，安全架構描述應滿足以下要求：a)與網站數據恢復產品設計文檔中對安全功能的描述范圍相一致；b)充分描述網站數據恢復產品采取的自我保護、不可旁路的安全機制。開發者應提供完備的功能規范說明，功能規范說明應滿足以下要求：a)根據網站數據恢復產品類型清晰描述6.2、6.3中定義的安全功能；b)標識和描述網站數據恢復產品所有安全功能接口的目的、使用方法及相關參數；c)描述安全功能實施過程中，與安全功能接口相關的所有行為；d)描述可能由安全功能接口的調用而引起的所有直接錯誤消息。開發者應提供網站數據恢復產品設計文檔，網站數據恢復產品設計文檔應滿足以下要求：a)通過子系統描述網站數據恢復產品結構，標識和描述網站數據恢復產品安全功能的所有子系統，并描述子系統間的相互作用；b)提供子系統和安全功能接口間的對應關系；c)通過實現模塊描述安全功能，標識和描述實現模塊的目的、相關接口及返回值等，并描述實現模塊間的相互作用及調用的接口；d)提供實現模塊和子系統間的對應關系。8開發者應提供網站數據恢復產品安全功能的實現表示，實現表示應滿足以下要求：a)詳細定義網站數據恢復產品安全功能，包括軟件代碼、設計數據等實例；b)提供實現表示與網站數據恢復產品設計描述間的對應關系。6.3.2指導性文檔開發者應提供明確和合理的操作用戶指南，對每一種用戶角色的描述應滿足以下要求：a)描述用戶能夠訪問的功能和特權，包含適當的警示信息；b)描述網站數據恢復產品安全功能及接口的用戶操作方法，包括配置參數的安全值等；c)標識和描述網站數據恢復產品運行的所有可能狀態，包括操作導致的失敗或者操作性錯誤；d)描述實現網站數據恢復產品安全目的必需執行的安全策略。開發者應提供網站數據恢復產品及其準備程序，準備程序描述應滿足以下要求：a)描述與開發者交付程序相一致的安全接收所交付網站數據恢復產品必需的所有步驟；b)描述安全安裝網站數據恢復產品及其運行環境必需的所有步驟。6.3.3生命周期支持開發者的配置管理能力應滿足以下要求：a)為網站數據恢復產品的不同版本提供唯一的標識。b)使用配置管理系統對組成網站數據恢復產品的所有配置項進行維護，并進行唯一標識。c)提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法。d)配置管理系統提供自動方式來支持網站數據恢復產品的生成，通過自動化措施確保配置項僅接受授權變更。e)配置管理文檔包括一個配置管理計劃，描述用來接受修改過的或新建的作為網站數據恢復產品組成部分的配置項的程序。配置管理計劃描述應描述如何使用配置管理系統開發網站數據恢復產品，開發者實施的配置管理應與配置管理計劃相一致。開發者應提供網站數據恢復產品配置項列表，并說明配置項的開發者。配置項列表應包含以下a)網站數據恢復產品、安全保障要求的評估證據和網站數據恢復產品的組成部分；b)實現表示、安全缺陷報告及其解決狀態。開發者應使用一定的交付程序交付網站數據恢復產品，并將交付過程文檔化。在給用戶方交付網站數據恢復產品的各版本時，交付文檔應描述為維護安全所必需的所有程序。9開發者應提供開發安全文檔。開發安全文檔應描述在網站數據恢復產品的開發環境中，為保護網站數據恢復產品設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。開發者應建立一個生命周期模型對網站數據恢復產品的開發和維護進行的必要控制，并提供生命周期定義文檔描述用于開發和維護網站數據恢復產品的模型。開發者應明確定義用于開發網站數據恢復產品的工具，并提供開發工具文檔無歧義地定義實現中每個語句的含義和所有依賴于實現的選項的含義。開發者應提供測試覆蓋文檔，測試覆蓋描述應滿足以下要求：a)表明測試文檔中所標識的測試與功能規范中所描述的網站數據恢復產品的安全功能間的對應性；b)表明上述對應性是完備的，并證實功能規范中的所有安全功能接口都進行了測試。開發者應提供測試深度的分析。測試深度分析描述應滿足以下要求：a)證實測試文檔中的測試與網站數據恢復產品設計中的安全功能子系統和實現模塊之間的一b)證實網站數據恢復產品設計中的所有安全功能子系統、實現模塊都已經進行過測試。開發者應測試網站數據恢復產品安全功能，將結果文檔化并提供測試文檔。測試文檔應包括以下內容：a)測試計劃，標識要執行的測試，并描述執行每個測試的方案，這些方案包括對于其他測試結果的任何順序依賴性；b)預期的測試結果，表明測試成功后的預期輸出；c)實際測試結果和預期的測試結果的對比。開發者應提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。基于已標識的潛在脆弱性，產品能抵抗以下強度的攻擊：a)具有基本攻擊潛力的攻擊者的攻擊；b)具有中等攻擊潛力的攻擊者的攻擊。7測試評價方法7.1測試環境與工具測評評價方法包括針對基本級產品和增強級產品的安全功能要求測試和安全保障要求評估。有關性能指標和測試方法應按附錄B的規定。網站數據恢復產品測試的典型網絡拓撲結構示意圖如圖2所示。網站數據恢復產品備份端(網站數據)網站數據恢復產品網站數據恢復產品服務器端測試機圖2網站數據恢復產品測試典型網絡拓撲圖測試設備包括但不限于測試所需的交換機、Web服務器、網站數據恢復產品控制主機等其他設備。測試機包括但不限于測試控制設備、測試工具集等。7.2安全功能要求測試7.2.1網站數據監測測試評價方法如下。a)測試方法：1)配置相關策略，指定需要監測的Web服務器和相關靜態數據，如目錄、文件。2)嘗試登錄網頁所在的Web服務器，并分別進行以下操作：(1)對受保護的網站靜態數據進行非授權增加；(2)對受保護的網站靜態數據進行非授權刪除；(3)對受保護的網站靜態數據進行非授權修改(包括文件屬性修改、重命名、移動等);(4)對受保護的網站靜態數據內容進行非授權添加、刪除或修改。3)檢查產品能否對非授權增加、刪除和修改網站靜態數據的事件進行實時告警，并且告警事件與實際情況相符。b)預期結果：產品能對非授權增加、刪除和修改網站靜態數據的事件進行實時告警，并且告警事件與實際情況相符。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)配置相關策略，指定需要監測的Web服務器和相關動態數據，如數據庫數據或文件。2)嘗試登錄網站動態數據所在的Web服務器，并分別進行以下操作：(1)對受保護的網站動態數據進行非授權增加；(2)對受保護的網站動態數據進行非授權刪除；(3)對受保護的網站動態數據進行非授權修改；(4)對受保護的網站動態數據內容進行非授權添加、刪除或修改。3)檢查產品能否對非授權增加、刪除和修改網站動態數據的事件進行實時告警，并且告警事件與實際情況相符。b)預期結果：產品能對非授權增加、刪除和修改網站動態數據的事件進行實時告警，并且告警事件與實際情況相符。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)配置相關策略，指定需要監測的Web服務器和相關目錄。2)嘗試登錄網站目錄所在的Web服務器，并分別進行以下操作：(1)對受保護的網站目錄進行非授權增加；(2)對受保護的網站目錄進行非授權刪除；(3)對受保護的網站目錄進行非授權修改(包括目錄屬性修改、重命名、移動等)。3)檢查產品能否對非授權增加、刪除和修改網站目錄的事件進行實時告警，并且告警事件與實際情況相符。b)預期結果：產品能對非授權增加、刪除和修改網站目錄的事件進行實時告警，并且告警事件與實際情況相符。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.2.2網站數據防篡改7.2.2.1網站靜態數據防篡改測試評價方法如下。a)測試方法：1)配置相關策略，指定需要保護的Web服務器和相關靜態數據，如文件。2)嘗試登錄網頁所在的Web服務器，并分別進行以下操作：(1)對受保護的網站靜態數據進行非授權增加；(2)對受保護的網站靜態數據進行非授權刪除；(3)對受保護的網站靜態數據進行非授權修改(包括文件屬性修改、重命名、移動等);(4)對受保護的網站靜態數據內容進行非授權添加、刪除或修改。3)檢查產品能否對阻止非授權增加、刪除和修改網站靜態數據的事件。b)預期結果：產品能防止非授權增加、刪除和修改網站靜態數據。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.2.2.2網站動態數據防篡改測試評價方法如下。a)測試方法：1)配置相關策略，指定需要保護的Web服務器和相關動態數據，如數據庫數據或文件。2)嘗試登錄相關服務器進行以下操作：(1)對受保護的網站動態數據進行非授權增加；(2)對受保護的網站動態數據進行非授權刪除；(3)對受保護的網站動態數據進行非授權修改(包括但不限于文件屬性修改、重命名、移動等);(4)對受保護的網站動態數據的內容進行非授權添加、刪除或修改。3)檢查產品能否阻止非授權增加、刪除和修改網站動態數據的事件。b)預期結果：產品能防止對非授權增加、刪除和修改網站動態數據。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)配置相關策略，指定需要監測的Web服務器和相關目錄。2)嘗試登錄網站目錄所在的Web服務器，并分別進行以下操作：(1)對受保護的網站目錄進行非授權增加；(2)對受保護的網站目錄進行非授權刪除；(3)對受保護的網站目錄進行非授權修改(包括目錄屬性修改、重命名、移動等)。3)檢查產品能否阻止非授權增加、刪除和修改網站目錄的事件，并進行實時告警，并且告警事件與實際情況相符。b)預期結果：產品能阻止非授權增加、刪除和修改網站目錄，并進行實時告警，且告警事件與實際情況相符。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)嘗試登錄網頁和網站目錄所在的Web服務器，并分別進行以下操作：(1)對受保護的網站靜態數據進行非授權增、刪、改操作；(2)對受保護的網站動態數據進行非授權增、刪、改操作；(3)對受保護的網站目錄進行非授權增、刪、改操作；2)嘗試登錄監控保護程序所在的Web服務器，并使用相關工具，如操作系統中的任務管理器或管理工具中“服務”關閉監控保護程序或相關服務；3)嘗試修改或刪除監控保護程序或相關的功能文件；4)檢查產品是否監測Web服務器相關性能；5)檢查產品是否對以上由非授權操作引起的安全事件進行實時告警。b)預期結果：產品對以上的所有事件都能進行實時告警。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)設置不同告警方式，并分別觸發6.1.3.1中所列的事件；2)檢查產品是否按照設定的方式進行了告警。b)預期結果：產品對所有告警事件都能按照設定的方式進行告警。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)設置不同告警方式，并分別觸發6.1.3.1中所列的事件；2)檢查產品的告警信息內容應包括但不限于：事件發生時間、事件類型、操作者(進程)、訪問數據信息等。b)預期結果：告警信息內容都包括但不限于：事件發生時間、事件類型、操作者(進程)、訪問數據信息等。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.2.4.1網站數據備份初始化測試評價方法如下。a)測試方法：檢查產品相關資料中是否存在對網站數據備份初始化的描述，并驗證在初次安裝產品后，系統是否采取措施確保被監控的網站數據與網站備份數據一致。b)預期結果：產品在初次安裝后，采取一定措施確保被監控的網站數據與網站備份數據一致。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)登錄產品管理界面，驗證是否能夠按照操作或預設的備份策略，實現網站數據備份功能；2)驗證產品實際的備份功能是否能夠實現。b)預期結果：產品能夠按照操作或預設備份方式，實現完全備份功能或增量備份功能。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：登錄產品管理界面，驗證產品的備份方式是否支持手動備份和自動備份，自動備份是否具備一定的實時性。b)預期結果：產品提供的網站數據備份方式支持手動備份和自動備份，自動備份具備一定的實時性。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.2.5網站數據恢復測試評價方法如下。a)測試方法：1)配置相關策略，指定需要監測的Web服務器和相關靜態數據，如目錄或文件；2)嘗試登錄網頁所在的Web服務器，并分別進行以下操作：(1)對受保護的網站靜態數據進行非授權增加；(2)對受保護的網站靜態數據進行非授權刪除；(3)對受保護的網站靜態數據進行非授權修改(包括文件屬性修改、重命名、移動等);(4)對受保護的網站靜態數據的內容進行添加、刪除或修改；3)檢查產品能否使用備份文件自動恢復遭受非授權更改的網站靜態數據。b)預期結果：產品能自動刪除非授權增加的網站靜態數據，自動添加非授權刪除的網站靜態數據，自動恢復非授權修改的網站靜態數據，自動恢復對數據內容進行添加、刪除或修改。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)配置相關策略，指定需要監測的Web服務器和相關動態數據，如文件或數據庫數據等；2)嘗試登錄Web服務器，并進行非授權操作，如對受保護的網站動態數據進行添加、刪除或修改等；3)檢查產品能否使用備份數據以手動或自動的方式對網站數據進行恢復。b)預期結果：產品能使用備份數據以手動或自動的方式恢復因非授權操作而改變的產品適用的動態數據。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)配置相關策略，指定需要監測的Web服務器和相關目錄；2)嘗試登錄網站目錄所在的Web服務器，并分別進行以下操作：(1)對受保護的網站目錄進行非授權增加；(2)對受保護的網站目錄進行非授權刪除；(3)對受保護的網站目錄進行非授權修改(包括目錄屬性修改、重命名、移動等);3)檢查產品能否使用備份目錄自動恢復遭受非授權更改的網站目錄。b)預期結果：產品能自動刪除非授權增加的網站目錄，自動添加非授權刪除的網站目錄，自動恢復非授權修改的網站目錄。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：登錄產品管理界面，驗證產品是否提供或支持自動或手動方式對網站數據進行正常更新的功能。同時，在手動更新時，驗證只有經授權的用戶能夠對網站數據(包括網站靜態數據、網站動態數據、網站目錄)進行更新；在自動更新時，驗證產品能及時發現備份數據的變化，并自動同步該數據到Web服務器。b)預期結果：產品能提供網站數據正常更新功能，且該功能滿足要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.2.7管理控制功能測試評價方法如下。a)測試方法：1)以普通用戶身份登錄產品管理界面，查看其監控內容，嘗試增加或撤銷本用戶的被監控的目錄或文件或網站動態數據；2)以另一普通用戶身份登錄產品管理界面，查看其監控內容，確認管理界面未提供查看或修改其他用戶的被監控目錄或文件或網站動態數據的功能；3)針對調整過的目錄或文件或網站動態數據引發告警事件，驗證系統是否能進行告警。b)預期結果：產品能夠實現監控對象管理功能。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.2.7.2與網站發布系統的兼容性測試評價方法如下。a)測試方法：1)把產品與幾種網站發布系統分別進行配置；2)分別對產品和幾種網站發布系統進行功能測試；3)驗證產品和網站發布系統是否均能實現相應功能，并記錄網站發布系統的型號。b)預期結果：產品至少兼容一種網站發布系統，且均能實現相應功能。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)檢查文檔并查驗策略定制的機制，是否提供缺省策略；2)執行產品的各項待測策略定制功能；3)驗證待測策略定制功能是否有效。b)預期結果：產品提供缺省策略，并能夠有效地進行策略定制。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)執行產品的各項待測策略管理功能；2)驗證待測策略管理功能是否有效。b)預期結果：產品能夠有效地進行策略管理。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)觸發6.1.8.1a)中的所有事件，檢查生成的審計記錄；2)觸發6.1.8.1b)中的所有事件，檢查生成的審計記錄；3)觸發6.1.8.1c)中的所有事件，檢查生成的審計記錄；4)觸發6.1.8.1d)中的所有事件，檢查生成的審計記錄；5)觸發6.1.8.le)中的所有事件，檢查生成的審計記錄。b)預期結果：1)產品對6.1.8.1a)中的所有事件形成記錄；2)產品對6.1.8.1b)中的所有事件形成記錄；3)產品對6.1.8.1c)中的所有事件形成記錄；4)產品對6.1.8.1d)中的所有事件形成記錄；5)產品對6.1.8.le)中的所有事件形成記錄。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)分別觸發6.1.8.1a),6.1.8.1b),6.1.8.1c)中的所有事件；2)檢查產品的審計數據的內容是否包含了6.1.8.1中要求的內容。b)預期結果：產品的審計信息至少包含了6.1.8.1中要求的內容。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下：a)測試方法：1)查閱所有審計數據是否存儲于掉電非易失性存儲介質中，查閱數據的存儲周期是否可2)設定存儲空間閾值，進行操作使審計數據存儲空間達到閾值，檢查是否能轉存至其他存儲設備。b)預期結果：1)所有審計數據均存儲于掉電非易失性存儲介質中，審計數據存儲周期可設定；2)審計數據可以轉存至其他存儲設備。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：查閱相關審計記錄中的所有審計數據，驗證數據的內容是否能理解且不存在歧義。b)預期結果：相關審計記錄中的審計數據內容能被操作者理解。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：按條件或條件組合對審計記錄進行查詢。b)預期結果：審計記錄應能按條件或條件組合進行查詢。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：對審計數據進行統計分析，并生成報表。b)預期結果：能夠生成統計分析報表，且內容準確。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.2.9備份數據保護7.2.9.1備份數據的安全存儲測試評價方法如下。a)測試方法：1)以不同的用戶角色訪問備份數據；2)模擬對備份數據進行破壞，并根據破壞后的備份數據進行恢復測試，驗證數據恢復時是否對備份數據進行完整性驗證。b)預期結果：1)僅得到授權的用戶能訪問備份數據；2)執行數據恢復功能時，驗證備份數據的完整性，只有通過驗證后才能正確恢復。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.2.9.2備份數據的安全傳輸測試評價方法如下。a)測試方法：通過網絡進行網站數據備份或恢復操作。b)預期結果：產品應按照聲明的方式保證被傳輸數據的完整性。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.3自身安全功能測試7.3.1身份識別與鑒別測試評價方法如下a)測試方法：1)測試網站數據恢復產品是否對其用戶進行唯一性標識，如不準許創建重名用戶；2)測試網站數據恢復產品對于用戶鑒別信息的存儲和傳輸過程中，采取何種措施對其保密性和完整性進行保護；3)嘗試連續多次失敗登錄網站數據恢復產品，觸發網站數據恢復產品的登錄失敗處理功能，檢查網站數據恢復產品采用何種機制防止用戶進一步進行嘗試；4)網站數據恢復產品登錄后，在超時時間內無任何操作，查看網站數據恢復產品是否自動退出；5)若網站數據恢復產品采用口令鑒別機制，測試網站數據恢復產品是否提供了口令復雜度和有效期校驗機制，是否不準許用戶設置弱口令，如空口令、純數字等，口令到期后要求用戶修改；6)網站數據恢復產品存在默認口令時，檢查網站數據恢復產品是否提示用戶對默認口令進行修改；7)查看網站數據恢復產品本地和遠程管理是否支持雙因子身份鑒別。b)預期結果：1)網站數據恢復產品確保在管理員進行操作之前，對管理員、主機和用戶等進行唯一的身份識別；2)網站數據恢復產品支持非明文的遠程管理會話，明文的遠程管理方式能夠關閉；3)輸入錯誤口令達到設定的最大失敗次數后，網站數據恢復產品終止可信主機或用戶建立會話的過程，并對該失敗用戶做禁止訪問處理；4)網站數據恢復產品登錄后，在超時時間內無任何操作，網站數據恢復產品自動退出；5)管理員需通過口令驗證等身份鑒別措施；并對口令強度具有要求；6)網站數據恢復產品存在默認口令時，網站數據恢復產品能夠提示用戶對默認口令進行修改；7)網站數據恢復產品支持雙因子鑒別。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)驗證網站數據恢復產品是否向授權管理員提供設置和修改安全管理參數的功能；2)驗證網站數據恢復產品是否向授權管理員提供設置、查詢和修改各種安全策略的功能；3)驗證網站數據恢復產品是否向授權管理員提供管理審計日志的功能，包括審計導出、備份等；4)驗證網站數據恢復產品是否支持自身系統以及各種特征庫的升級；5)驗證網站數據恢復產品是否區分管理員角色，是否能夠劃分為系統管理員、安全操作員和安全審計員，且三類管理員角色權限相互制約。b)預期結果：1)網站數據恢復產品能夠向授權管理員提供設置和修改安全管理參數的功能；2)網站數據恢復產品能夠向授權管理員提供設置、查詢和修改各種安全策略的功能；3)網站數據恢復產品能夠向授權管理員提供管理審計日志的功能，包括審計的存檔、刪除、4)網站數據恢復產品能夠支持自身系統以及各種特征庫的升級；5)網站數據恢復產品能夠區分管理員角色，能夠劃分為系統管理員、安全操作員和安全審計員，且三類管理員角色權限相互制約。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)針對網站數據恢復產品嘗試進行用戶登錄和注銷、服務啟動、重要配置變更、增加/刪除/修改管理員、保存/刪除審計日志等操作行為，檢查網站數據恢復產品是否針對上述操作生成審計日志；2)驗證網站數據恢復產品是否能夠對其異常狀態(如服務器端和客戶端無法連接；功能模塊發生異常等)進行告警，檢查是否記錄上述告警日志；3)檢查網站數據恢復產品的審計日志是否包括事件發生的日期和時間，事件的類型，主體身4)檢查網站數據恢復產品是否保護審計日志，防止未授權的操作。b)預期結果：1)網站數據恢復產品能夠對用戶登錄和注銷、服務啟動、重要配置變更、增加/刪除/修改管理員、保存/刪除審計日志等操作行為生成審計日志；2)網站數據恢復產品能夠對其異常狀態(如服務器端和客戶端無法連接；功能模塊發生異常等)進行告警，并記錄告警日志，告警日志內容包括事件發生的日期和時間，事件的類型，事件主體，事件描述等信息；3)網站數據恢復產品的審計日志中包括事件發生的日期和時間，事件的類型，主體身份，事件操作結果等內容；4)網站數據恢復產品保護審計日志，防止未授權的操作。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：1)驗證網站數據恢復產品在遠程管理過程中，是否能夠限定進行遠程管理的IP地址；2)驗證網站數據恢復產品在遠程管理過程中，管理端與網站數據恢復產品之間的所有通信數據是否為非明文傳輸；3)檢查產品是否支持集中管理，并通過集中管理平臺實現監控運行狀態、下發安全策略、升b)預期結果：1)網站數據恢復產品支持通過網絡接口進行遠程管理，并能夠限定進行遠程管理的IP地址；2)網站數據恢復產品在遠程管理過程中，管理端與網站數據恢復產品之間的所有通信數據為非明文傳輸；3)產品支持集中管理，并通過集中管理平臺實現監控運行狀態、下發安全策略、升級系統版c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.3.5程序數據保護測試評價方法如下。a)測試方法：嘗試非授權終止產品運行。b)預期結果：產品具備防止非授權終止自身運行的措施。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：嘗試非授權刪除或修改產品主要程序文件(至少包括執行文件、日志庫文件)。b)預期結果：產品能阻止非授權的行為。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.4安全保障評估方法測試評價方法如下。a)測試方法：檢查開發者提供的安全架構證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：1)與網站數據恢復產品設計文檔中對安全功能的描述范圍是否相一致；2)是否充分描述網站數據恢復產品采取的自我保護、不可旁路的安全機制。b)預期結果：開發者提供的信息應滿足6.3.1.1中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發者提供的功能規范證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：1)是否清晰描述6.1、6.2中定義的網站數據恢復產品安全功能；2)是否描述網站數據恢復產品所有安全功能接口的目的、使用方法及相關參數；3)描述安全功能實施過程中，是否描述與安全功能接口相關的所有行為；4)是否描述可能由安全功能接口的調用而引起的所有直接錯誤消息。b)預期結果：開發者提供的信息應滿足6.3.1.2中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發者提供的網站數據恢復產品設計證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：1)是否根據子系統描述網站數據恢復產品結構；2)是否標識和描述網站數據恢復產品安全功能的所有子系統；3)是否描述安全功能所有子系統間的相互作用；4)提供的對應關系是否能夠證實設計中描述的所有行為映射到調用的安全功能接口；5)是否根據實現模塊描述安全功能；6)是否描述所有實現模塊的安全功能要求相關接口、接口的返回值、與其他模塊間的相互作用及調用的接口；7)是否提供實現模塊和子系統間的對應關系。b)預期結果：開發者提供的信息應滿足6.3.1.3中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發者提供的實現表示證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：1)是否通過軟件代碼、設計數據等實例詳細定義網站數據恢復產品安全功能；2)是否提供實現表示與網站數據恢復產品設計描述間的對應關系。b)預期結果：開發者提供的信息應滿足6.3.1.4中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.4.2指導性文檔測試評價方法如下。a)測試方法：檢查開發者提供的操作用戶指南證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：1)是否描述用戶能夠訪問的功能和特權，包含適當的警示信息；2)是否描述如何以安全的方式使用網站數據恢復產品提供的可用接口；3)是否描述網站數據恢復產品安全功能及接口的用戶操作方法，包括配置參數的安全值；4)是否標識和描述網站數據恢復產品運行的所有可能狀態，包括操作導致的失敗或者操作性錯誤：5)是否描述實現網站數據恢復產品安全目的必需執行的安全策略。b)預期結果：開發者提供的信息應滿足6.3.2.1中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發者提供的準備程序證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：1)是否描述與開發者交付程序相一致的安全接收所交付網站數據恢復產品必需的所有步驟；2)是否描述安全安裝網站數據恢復產品及其運行環境必需的所有步驟。b)預期結果：開發者提供的信息應滿足6.3.2.2中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。7.4.3生命周期支持測試評價方法如下。a)測試方法：檢查開發者提供的配置管理能力證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：1)檢查開發者是否為不同版本的網站數據恢復產品提供唯一的標識；2)現場檢查配置管理系統是否對所有的配置項作出唯一的標識，且對配置項進行了維護；3)檢查開發者提供的配置管理文檔，是否描述了對配置項進行唯一標識的方法；4)現場檢查是否能夠通過自動化配置管理系統支持網站數據恢復產品的生成，是否僅通過自動化措施對配置項進行授權變更；5)檢查配置管理計劃是否描述了用來接受修改過的或新建的作為網站數據恢復產品組成部分的配置項的程序；6)檢查配置管理計劃是否描述如何使用配置管理系統開發網站數據恢復產品，現場核查活動是否與計劃一致。b)預期結果：開發者提供的信息和現場活動證據內容應滿足6.3.3.1中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發者提供的配置管理范圍證據，并檢查開發者提供的信息是否滿足內容和形式的所有1)檢查開發者提供的配置項列表；2)配置項列表是否描述了組成網站數據恢復產品的全部配置項及相應的開發者；3)檢查開發者是否將實現表示、安全缺陷報告及其解決狀態納入配置管理范圍，是否對安全缺陷進行跟蹤。b)預期結果：開發者提供的信息和現場活動證據內容應滿足6.3.3.2中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發者提供的交付程序證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：1)現場檢查開發者是否使用一定的交付程序交付網站數據恢復產品；2)檢查開發者是否使用文檔描述交付過程，文檔中是否包含以下內容：在給用戶方交付系統的各版本時，為維護安全所必需的所有程序。b)預期結果：開發者提供的信息和現場活動證據內容應滿足6.3.3.3中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發者提供的開發安全證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：1)檢查開發者提供的開發安全文檔，該文檔是否描述在系統的開發環境中，為保護系統設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施；2)現場檢查網站數據恢復產品的開發環境，開發者是否使用了物理的、程序的、人員的和其他方面的安全措施保證網站數據恢復產品設計和實現的保密性和完整性，這些安全措施是否得到了有效的執行。b)預期結果：開發者提供的信息和現場活動證據內容應滿足6.3.3.4中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發者提供的生命周期定義證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：1)現場檢查開發者是否使用生命周期模型對網站數據恢復產品的開發和維護進行的必要控制；2)檢查開發者提供生命周期定義文檔是否描述了用于開發和維護網站數據恢復產品的模型。b)預期結果：開發者提供的信息和現場活動證據內容應滿足6.3.3.5中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發者提供的工具和技術證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：1)現場檢查開發者是否明確定義用于開發網站數據恢復產品的工具；2)是否提供開發工具文檔無歧義地定義實現中每個語句的含義和所有依賴于實現的選項的含義。b)預期結果：開發者提供的信息和現場活動證據內容應滿足6.3.3.6中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發提供的測試覆蓋證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：1)檢查開發者提供的測試覆蓋文檔，在測試覆蓋證據中，是否表明測試文檔中所標識的測試與功能規范中所描述的網站數據恢復產品的安全功能是對應的；2)檢查開發者提供的測試覆蓋分析結果，是否表明功能規范中的所有安全功能接口都進行b)預期結果：開發者提供的信息應滿足6.3.4.1中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發者提供的測試深度證據，并檢查開發者提供的信息是否滿足證據的內容和形式的所有要求：1)檢查開發者提供的測試深度分析，是否說明了測試文檔中所標識的對安全功能的測試，并足以表明與網站數據恢復產品設計中的安全功能子系統和實現模塊之間的一致性；2)是否能夠證實所有安全功能子系統、實現模塊都已經進行過測試。b)預期結果：開發者提供的信息應滿足6.3.4.2中所述的要求。c)結果判定：實際測試結果與相關預期結果一致則判定為符合，其他情況判定為不符合。測試評價方法如下。a)測試方法：檢查開發者提供的功能測試證據，并檢查開發者提供的信息是否滿足內容和形式的所有要求：1)檢查開發者提供的測試文檔，是否包括測試計劃、預期的測試結果和實際測試結果；2)檢查測試計劃是否標識了要測試的安全