T/SCPCA 009-2024 基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法
T/SCPCA 009-2024 The evaluation method for financial Web application security protection platform based on remote browser isolation technology
基本信息
发布历史
-
2024年06月
文前页预览
研制信息
- 起草单位:
- 成都农村商业银行股份有限公司、重庆银行股份有限公司、四川农村商业联 合银行股份有限公司、北京安胜华信科技有限公司、北京钛星数安科技有限公司
- 起草人:
- 蔡兵、李黎明、叶明、谢春利、钱建诚、吕茂婷、米俊霖、张未卿、赵建波、叶宇航、杨钧丞、李悦、顾方方、邓何、汪洪珍、唐福喜、林真伟、谢昌建、徐宁、阳方升、刘畅、聂志宏、熊玉、付毅、陈滔、白金、夏浩淳、陈晓东、李德、刘海光、吴天、母丹、刘东甲、何佳佳、贺伟、汤湘祁
- 出版信息:
- 页数:15页 | 字数:- | 开本: -
内容描述
ICS03.060
CCSA11
团体标准
T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024
基于远程浏览器隔离技术的
金融Web应用安全防护平台评价方法
Evaluationmethodoffinancialwebapplicationsecurityprotection
platformbasedonremotebrowserisolationtechnology
202 4-06-20发布2024-07-20实施
四川省支付清算协会
重庆市金融学会发布
四川省金融学会
T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024
目次
前言..................................................................................II
引言.................................................................................III
1范围.................................................................................1
2规范性引用文件.......................................................................1
3术语和定义...........................................................................1
4缩略语...............................................................................2
5评价等级判定.........................................................................2
5.1等级说明.........................................................................2
5.2等级判定方法.....................................................................2
5.3打分方法.........................................................................2
5.4参考评估域权重...................................................................2
5.5能力计算方法.....................................................................3
6技术原理.............................................................................3
7安全防护能力.........................................................................3
7.1隐藏Web应用系统的源代码/API/JS..................................................3
7.2隔离自动化攻击源.................................................................3
7.3隔离注入式攻击...................................................................3
8评价方法.............................................................................4
8.1安全能力.........................................................................4
8.2兼容性...........................................................................6
8.3易用性及用户体验.................................................................7
附录A(资料性)威胁隔离平台测试环境规范...............................................9
附录B(资料性)参考评估权重..........................................................10
参考文献..............................................................................11
I
T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024
前言
本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规
定起草。
本文件由四川省支付清算协会提出。
本文件由四川省支付清算协会、重庆市金融学会、四川省金融学会归口。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件起草单位:成都农村商业银行股份有限公司、重庆银行股份有限公司、四川农村商业联
合银行股份有限公司、北京安胜华信科技有限公司、北京钛星数安科技有限公司。
本文件主要起草人:蔡兵、李黎明、叶明、谢春利、钱建诚、吕茂婷、米俊霖、张未卿、赵建
波、叶宇航、杨钧丞、李悦、顾方方、邓何、汪洪珍、唐福喜、林真伟、谢昌建、徐宁、阳方升、
刘畅、聂志宏、熊玉、付毅、陈滔、白金、夏浩淳、陈晓东、李德、刘海光、吴天、母丹、刘东甲、
何佳佳、贺伟、汤湘祁。
本文件为首次发布。
II
T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024
引言
基于远程浏览器隔离技术的Web安全防护平台其原理是在一个远程的虚拟化平台上为每个Web访
问构建一个浏览器访问请求(称之为“远程浏览器”),执行用户的访问会话,将用户访问与真实
Web服务器隔离,这样即使有Web攻击,也无法侵害到真实的Web应用服务器。从而解决多种常规Web
应用安全防护手段难以解决的安全问题,保证金融Web应用系统的安全。
在金融Web应用保护场景中,为规范基于远程浏览器隔离技术的安全平台能力要求,为同类产品
的生产和服务提供有效参考,促使产品质量的持续改善,特制定本文件。
III
T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024
基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法
1范围
本文件界定了金融Web应用安全防护的能力评价方法。确立了基于远程浏览器隔离技术的Web应
用安全防护平台(以下简称:威胁隔离平台)的功能要求、成熟度要求和评价方法。
本文件适用于成渝地区金融机构Web安全防护方案/产品选型参考。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用
文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)
适用于本文件。
GB/T25069信息安全技术术语
3术语和定义
下列术语和定义适用于本文件。
3.1
浏览器browser
计算机系统中用来检索、展示以及传递Web信息资源的应用程序。
3.2
远程浏览器隔离remotebrowserisolation
一种将Web浏览活动运行在一个远程隔离的环境中,以保护计算机用户免受可能遇到的任何恶意
软件的伤害的技术。
3.3
安全传输层协议transportlayersecurity
为互联网通信提供安全及数据完整性保障的一种安全协议。
3.4
安全套接字协议securesocketslayer
为网络通信提供安全及数据完整性的一种安全协议。
3.5
桌面虚拟化virtualdesktopinfrastructure
指计算机的终端系统(也称作桌面)进行虚拟化,以达到桌面使用的安全性和灵活性,可以通
过任何设备,在任何地点,任何时间通过网络访问属于个人的桌面系统的技术手段。
3.6
文 档对象模型ocumentobjectmodel
d
是一种与平台和语言无关的应用程序接口(API),它可以动态地访问程序和脚本,更新其内容、结
构和WWW文档的风格(HTML和XML文档是通过说明部分定义的)。文档可以进一步被处理,处理的结果
可以加入到当前的页面。DOM是一种基于树的API文档,它要求在处理过程中整个文档都表示在存储
器中。
1
T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024
4缩略语
下列缩略语适用于本文件。
a)API:应用程序接口(ApplicationProgrammingInterface)
b)AWVS:Acun
定制服务
推荐标准
- NB/T 47018.5-2017 承压设备用焊接材料订货技术条件 第5部分:堆焊用不锈钢焊带和焊剂 2017-03-28
- NB/T 47018.3-2017 承压设备用焊接材料订货技术条件 第3部分:气体保护电弧焊丝和填充丝 2017-03-28
- NB/T 47057-2017 液化气体罐式集装箱 2017-03-28
- NB/T 47018.4-2017 承压设备用焊接材料订货技术条件 第4部分:埋弧焊钢焊丝和焊剂 2017-03-28
- NB/T 51066-2017 煤炭工业建设工程检测规范 2017-03-28
- NB/T 47018.2-2017 承压设备用焊接材料订货技术条件 第2部分:钢焊条 2017-03-28
- NB/T 47010-2017 承压设备用不锈钢和耐热钢锻件 2017-03-28
- NB/T 47018.1-2017 承压设备用焊接材料订货技术条件 第1部分:采购通则 2017-03-28
- NB/T 47056-2017 锅炉受压元件焊接接头金相和断口检验方法 2017-03-28
- NB/T 47055-2017 锅炉涂装和包装通用技术条件 2017-03-28