網站恢復產品認證技術規范ISCCCXXXXXX-2007信息技術信息安全網站恢復產品認證技術規范Technicalspecificationsforwebsiterecoveryproductcertification(備案送審稿)XXXX-XX-XX發布 XXXX-XX-XX實施中國信息安全認證中心發布目次TOC\o"1-2"\h\z\u前言 11 范圍 22 規范性引用文件 23 術語和定義 24 功能要求 34.1 運行平臺 34.2 網頁發布系統 34.3 檢測優先級 44.4 檢測時間間隔管理 44.5 監控目錄/文件管理 44.6 界面 44.7 增量備份 45 性能評價因素 45.1 監控響應時間 45.2 篡改恢復時間 45.3 穩定性 45.4 資源占用 45.5 網絡影響 56 安全功能要求 56.1 靜態網頁文件自動恢復功能 56.2 動態腳本文件自動恢復功能 56.3 網頁目錄自動恢復功能 56.4 報警功能 56.5 審計日志功能 66.6 抵御已知攻擊 77 自身安全要求 77.1 管理功能 77.2 備份文件的安全存儲及保密傳輸 77.3 自身審計數據生成 78 保證要求 88.1 交付與運行保證 88.2 指導性文檔 88.3 測試保證 98.4 脆弱性分析保證 108.5 生命周期支持 109 網站恢復產品安全技術要求的等級劃分 10附錄A 13參考文獻 15前言本技術規范屬于網站恢復產品認證技術規范。本技術規范根據我國網站恢復產品生產和使用的現狀，并參考了相關技術規范而制定。本技術規范由中國信息安全認證中心（ISCCC）提出并歸口。本技術規范主要起草單位：中國信息安全認證中心。

網站恢復產品認證技術規范范圍本技術規范規定了網站恢復產品技術要求。本技術規范主要適用于第三方測評機構對網站恢復產品的檢測。網站恢復產品的設計和實現也可參照使用。規范性引用文件下列文件中的條款通過本技術規范的引用而成為本技術規范的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內容）或修訂版均不適用于本技術規范，然而，鼓勵根據本技術規范達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本技術規范。GB/T18336.1-2001信息技術安全技術信息技術安全性評估準則第1部分：簡介和一般模型GB/T18336.2-2001信息技術安全技術信息技術安全性評估準則第2部分：安全功能要求GB/T18336.3-2001信息技術安全技術信息技術安全性評估準則第3部分：安全保證要求術語和定義GB/T5271.8—2001和GB/T18336確立的術語和定義適用于本技術規范。下列術語和定義適用于本技術規范。網站恢復websiterecovery網站恢復是指對網頁內容的未授權更改及時地進行自動恢復的過程。網站恢復是指對受保護的靜態網頁文件、動態腳本文件及目錄的未授權更改及時地進行自動恢復的過程。網站恢復產品websiterecoveryproduct網站恢復產品是用以實現網站恢復（3.1）的軟件或軟硬件組合。網站數據websitedata與網站對外發布的網頁內容相關的數據。授權管理員authorizedadministrator可管理網站恢復產品（3.2）的授權用戶。網站備份數據backupforwebsitedata得到授權管理員(3.4)認可的網站數據（3.3）副本。本地服務器localserver網站系統所在的服務器。遠程服務器remoteserver與本地服務器（3.6）通過網絡相連接的非本地服務器。靜態網頁保存在本地服務器（3.6）上，但不會在本地服務器上（3.6）運行，其內容不會因訪問條件的不同而發生變化的一個或一組文件。動態網頁保存并運行于本地服務器（3.6）上，其內容在本地服務器（3.6）上動態生成，能根據訪問條件的不同而發生變化的一個或一組文件。動態腳本文件保存并運行于本地服務器（3.6）上，用以支持生成動態網頁（3.9）內容的文件。其內容一般是一組腳本語言代碼。連續篡改攻擊攻擊者在網頁被恢復后立即重新篡改網頁內容的攻擊行為。功能要求運行平臺操作系統網站恢復產品的所有功能能夠在指定操作系統平臺上正常運行。例如，支持Windows、Linux等。Web服務器網站恢復產品的所有功能能夠配合指定的Web服務器正常運行。例如，支持IIS、J2EE（Weblogic/Websphere）等。網頁發布系統安裝網站恢復產品后，應當不影響網站原有的網頁發布系統。檢測優先級若網站恢復產品使用定時檢測方式（A.2.1.1）進行監測，應當允許用戶檢測時間間隔管理若網站恢復產品使用定時檢測方式（A.監控目錄/文件管理用戶可增加或撤消被監控的目錄/文件。界面網站恢復產品應為用戶提供友好的操作界面。增量備份當網站數據合法更新后，僅對上次備份以來數據對象的變化進行備份，以形成新的網站備份數據。性能評價因素監控響應時間監控響應時間是指發現網站數據被未授權更改到對其進行報警所需的時間。該指標由監控策略、比較方式、被保護對象的屬性等因素決定，時間越短，保護效率越高。篡改恢復時間篡改恢復時間是指發現網站數據被未授權更改到對其進行自動恢復所需的時間。該指標由網站備份數據存放位置、傳輸帶寬、被保護對象屬性等因素決定，時間越短，保護效率越高。穩定性安裝網站恢復產品后，網站恢復產品以及相應的網站系統均能穩定運行。穩定性可用平均無故障率等指標進行評價。資源占用安裝網站恢復產品后，對網站系統所在的服務器資源（如CPU、內存空間和存儲空間），不應長時間固定或無限制占用，不應影響網站系統合法的用戶登錄和資源訪問。資源占用可用CPU占用率、內存占有率、存儲空間占有率等指標進行評價。網絡影響若網站恢復產品采用遠程監控方式（A.2.1），不應對原網絡正常通訊產生長時間固定影響。網絡影響可用帶寬占用率等指標進行評價。安全功能要求靜態網頁文件自動恢復功能網站恢復產品能對受保護靜態網頁文件的未授權更改進行識別，并能用備份文件進行自動恢復。即：a）靜態網頁文件未授權增加的恢復；b）靜態網頁文件未授權刪除的恢復；c）靜態網頁文件未授權修改（包括文件屬性修改、重命名、移動等）的恢復。動態腳本文件自動恢復功能網站恢復產品能對受保護動態腳本文件的未授權更改進行識別，并能用備份文件進行自動恢復。即：a）動態腳本文件未授權增加的恢復；b）動態腳本文件未授權刪除的恢復；c）動態腳本文件未授權修改（包括文件屬性修改、重命名、移動等）的恢復。網頁目錄自動恢復功能網站恢復產品能識別對受保護網頁目錄的未授權破壞進行識別，并能用備份目錄進行自動恢復。即：a）網頁目錄未授權增加的恢復；b）網頁目錄未授權刪除的恢復；c）網頁目錄未授權修改（包括目錄屬性修改、重命名、移動等）的恢復。報警功能應對以下事件實時報警：a）對受保護網頁文件的未授權增、刪、改的報警；b）對受保護網頁目錄及屬性的未授權增、刪、改的報警；c）對監控保護進程異常關閉的報警。報警信息的數據格式：報警信息數據項的內部數據結構定義可參考如下：序號名稱類型長度1事件發生日期字符82事件發生時間字符63事件類型字符304備注字符100注：若事件為6.4.1a）、b），則應在“備注報警方式應提供適當的報警方式（例如：（1）E_mail報警；（2）以聲音或屏幕提示等形式向指定計算機發送警告信息；）審計日志功能可審計事件：a）對受保護網頁文件進行增、刪、改和恢復的日志；b）對受保護網頁目錄進行增、刪、改和恢復的日志；c）監控保護服務的開啟和關閉的日志。審計信息的數據格式：審計信息數據項的內部數據結構定義可參考如下：序號名稱類型長度1事件發生日期字符82事件發生時間字符63事件類型字符304備注字符100注：若事件為6.4.1a）、b），則應在“備注審計跟蹤管理管理員應能創建、存檔、刪除和清空審計記錄?？衫斫獾母袷皆擃惍a品應使存儲于永久性審計記錄中的所有審計數據為人所理解，并可按條件或條件組合查詢。抵御已知攻擊應能抵御已知手段攻擊。例如，至少應能防范連續篡改攻擊（3.10）。自身安全要求管理功能管理員身份鑒別網站恢復產品應保證只有授權管理員能使用產品的管理功能。對授權管理員應進行身份鑒別。管理員權限網站恢復產品應保證授權管理員有下列權限：a)管理員屬性修改（更改密碼等）；b)啟動、關閉監控保護服務；c)增加或撤消對所有受保護目錄的監控；d)授權合法用戶對網頁內容進行合法更新。管理信息傳輸安全若提供遠程管理功能，應能對遠程管理信息（例如，登錄信息和會話）進行保密傳輸。備份文件的安全存儲及保密傳輸僅管理員可指定備份端，用戶可備份指定文件及目錄到備份端；備份端應對登錄用戶進行身份鑒別，實現備份文件在備份端的安全存儲；用備份文件對受保護網頁文件的未授權更改進行恢復時，備份文件應保密傳輸；應提供網頁內容合法更新后的及時備份。自身審計數據生成產品應對與自身安全相關的以下事件生成審計記錄：對產品進行操作的嘗試，如關閉審計功能或子系統；產品管理員的登錄和退出；對安全策略進行更改的操作；讀取、修改、破壞審計跟蹤數據的嘗試；因鑒別嘗試不成功的次數超出了設定的限值，導致的會話連接終止；對管理角色進行增加，刪除和屬性修改的操作；對其他安全功能配置參數的修改（設置和更新），無論成功與否。保證要求交付與運行保證開發者應使用一定的交付程序交付網站恢復產品，并將交付過程文檔化。交付文檔應描述在給用戶方交付網站恢復產品的各版本時，為維護安全所必需的所有程序。開發者應提供文檔說明網站恢復產品的安裝、生成、啟動和日志生成的過程。指導性文檔管理員指南開發商應提供針對產品管理員的管理員指南。管理員指南應描述管理員可使用的管理功能和接口。管理員指南應描述怎樣以安全的方式管理產品。對于在安全處理環境中必須進行控制的功能和特權，管理員指南應提出相應的警告。管理員指南應描述所有對與網站恢復產品的安全操作有關的用戶行為的假設。管理員指南應包含安全功能如何相互作用的指導。每一種與管理功能有關的安全相關事件，包括對安全功能所控制的實體的安全特性進行的改變。所有與系統管理員有關的IT環境的安全要求。管理員指南應與為評價而提供的其他所有文件保持一致。用戶指南開發商應提供用戶指南。用戶指南應描述非管理員用戶可用的功能和接口。用戶指南應包含使用產品提供的安全功能和指導。用戶指南應描述用戶可獲取但應受安全處理環境控制的所有功能和權限。用戶指南應清晰地闡述產品安全運行中用戶所必須負的職責，包含產品在安全使用環境中對用戶行為的假設。用戶指南應描述與用戶有關的IT環境的所有安全要求。用戶指南應與為評價而提供的其他所有文件保持一致。測試保證功能測試開發商應測試產品的功能，并記錄結果。開發商在提供產品時應同時提供該產品的測試文檔。測試文檔應由測試計劃、測試過程描述、預期的測試結果和實際測試結果組成。測試文檔應標識將要測試的產品功能，并描述將要達到的測試目標。測試過程應標識要執行的測試，并描述每個安全功能的測試概況，這些概況包括對其它測試結果的順序依賴性。開發商的期望測試結果應表明測試成功后的預期輸出。實際測試結果應表明每個被測試的安全功能能按照規定進行運作。測試覆蓋面分析報告開發商應提供對產品測試覆蓋范圍的分析報告。測試覆蓋面分析報告應證明測試文件中確定的測試項目可覆蓋產品的所有安全功能。測試深度分析報告開發商應提供對產品的測試深度的分析報告。測試深度分析報告應證明測試文件中確定的測試能充分表明產品的運行符合安全功能規范。獨立性測試開發商應提供用于適合測試的部件，且提供的測試集合應與其自測產品功能時使用的測試集合相一致。脆弱性分析保證指南檢查開發者應提供指南性文檔。在指南性文檔中，應確定對產品的所有可能的操作方式（包含失敗和操作失誤后的操作）、它們的后果以及對于保持安全操作的意義。指南性文檔中還應列出所有目標環境的假設以及所有外部安全措施（包含外部程序的、物理的或人員的控制）的要求。指南性文檔應是完整的、清晰的、一致的、合理的。脆弱性分析開發者應從用戶可能破壞安全策略的明顯途徑出發，對產品的各種功能進行分析并提供文檔。對被確定的脆弱性，開發者應明確記錄采取的措施。對每一條脆弱性，應有證據顯示在使用產品的環境中該脆弱性不能被利用。在文檔中，還需證明經過標識脆弱性的產品可以抵御明顯的穿透性攻擊。脆弱性分析文檔應明確指出產品已知的安全隱患、能夠侵犯產品的已知方法以及如何避免這些隱患被利用。生命周期支持開發者應提供開發安全文件。開發安全文件應描述在產品的開發環境中，為保護產品設計和實現的機密性和完整性，而在物理上、程序上、人員上以及其他方面所采取的必要的安全措施。開發安全文件還應提供在產品的開發和維護過程中執行安全措施的證據。網站恢復產品安全技術要求的等級劃分依據信息技術網站恢復產品的開發、生產現狀及實際應用情況，我們將網站恢復產品劃分成兩個等級。網站恢復產品等級劃分如表9.1所示。表9.1網站恢復產品等級劃分表基本要求級增強要求級4功能要求4.1 運行平臺 網頁發布系統 檢測優先級4.34.4 配置檢測時間間隔 監控目錄/文件管理 界面 增量備份4.75性能評價因素5.1 監控響應時間 篡改恢復時間 穩定性 資源占用5.45.5 網絡影響5.56安全功能要求6.1 靜態網頁文件自動恢復功能 動態腳本文件自動恢復功能6.26.3 網頁目錄自動恢復功能 報警功能...3.36.5 審計日志功能6.5.1可審計事件.2審計信息的數據格式審計跟蹤管理.4可理解的格式抵御已知攻擊6.67自身安全要求7.1 管理功能7.1.1管理員身份鑒別.17.1.2管理員權限.27.1.3管理信息傳輸安全 備份文件的安全存儲及保密傳輸 自身審計數據生成7.38保證要求8.1交付與運行保證指導性文檔測試保證8.38.4脆弱性分析保證8.48.5生命周期支持8.5注：基本要求是對網站恢復產品最低安全級別的要求；增強要求是進一步提升網站恢復產品安全功能和可用性的附加要求。

附錄A（資料性附錄）網站恢復過程舉例網站恢復一般是在監測到網站數據內容被未授權更改后，及時產生報警，并進行準實時的自動恢復。網站恢復一般涉及3個環節：備份環節，監測環節和恢復環節。A.1備份環節備份環節主要對網站數據進行備份，保存或更新網站備份數據。網站備份數據可以存放在本地服務器或遠程服務器；A.2監測環節監測環節主要檢查網站數據內容是否被未授權更改，并根據檢查結果產生相應報警。A.2.1監測操作可以在本地服務器或遠程服務器上進行，采用定時檢測方式、觸發方式或其他方式。A.2.1.1定時檢測方式根據設定的時間定時讀出要監控的網站數據（或其他能用以判斷網站數據是否被更改的信息，例如，相應的文件屬性等），將其與網站備份數據相比較，從而判斷網站數據是否被更改。為提高檢測效率，可能將網站數據分為不同等級，對不同等級的網站數據設置不同的檢測時間。例如，將高等級網站數據的檢測時間間隔設得較短，以獲得較好的實時性；而