T/SCPCA 009-2024 基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法

T/SCPCA 009-2024 The evaluation method for financial Web application security protection platform based on remote browser isolation technology

团体标准 中文(简体) 现行 页数:15页 | 格式:PDF

基本信息

标准号
T/SCPCA 009-2024
标准类型
团体标准
标准状态
现行
中国标准分类号(CCS)
国际标准分类号(ICS)
发布日期
2024-06-20
实施日期
2024-07-20
发布单位/组织
-
归口单位
四川省支付清算协会
适用范围
范围:本文件界定了金融Web应用安全防护的能力评价方法。确立了基于远程浏览器隔离技术的Web应用安全防护平台(以下简称:威胁隔离平台)的功能要求、成熟度要求和评价方法。本文件适用于成渝地区金融机构Web安全防护方案/产品选型参考; 主要技术内容:1 范围2 规范性引用文件3 术语和定义4 缩略语5 评价等级判定6 技术原理7 安全防护能力8 评价方法

文前页预览

研制信息

起草单位:
成都农村商业银行股份有限公司、重庆银行股份有限公司、四川农村商业联 合银行股份有限公司、北京安胜华信科技有限公司、北京钛星数安科技有限公司
起草人:
蔡兵、李黎明、叶明、谢春利、钱建诚、吕茂婷、米俊霖、张未卿、赵建波、叶宇航、杨钧丞、李悦、顾方方、邓何、汪洪珍、唐福喜、林真伟、谢昌建、徐宁、阳方升、刘畅、聂志宏、熊玉、付毅、陈滔、白金、夏浩淳、陈晓东、李德、刘海光、吴天、母丹、刘东甲、何佳佳、贺伟、汤湘祁
出版信息:
页数:15页 | 字数:- | 开本: -

内容描述

ICS03.060

CCSA11

团体标准

T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024

基于远程浏览器隔离技术的

金融Web应用安全防护平台评价方法

Evaluationmethodoffinancialwebapplicationsecurityprotection

platformbasedonremotebrowserisolationtechnology

2024-06-20发布2024-07-20实施

四川省支付清算协会

重庆市金融学会发布

四川省金融学会

T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024

目次

前言..................................................................................II

引言.................................................................................III

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4缩略语...............................................................................2

5评价等级判定.........................................................................2

5.1等级说明.........................................................................2

5.2等级判定方法.....................................................................2

5.3打分方法.........................................................................2

5.4参考评估域权重...................................................................2

5.5能力计算方法.....................................................................3

6技术原理.............................................................................3

7安全防护能力.........................................................................3

7.1隐藏Web应用系统的源代码/API/JS..................................................3

7.2隔离自动化攻击源.................................................................3

7.3隔离注入式攻击...................................................................3

8评价方法.............................................................................4

8.1安全能力.........................................................................4

8.2兼容性...........................................................................6

8.3易用性及用户体验.................................................................7

附录A(资料性)威胁隔离平台测试环境规范...............................................9

附录B(资料性)参考评估权重..........................................................10

参考文献..............................................................................11

I

T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规

定起草。

本文件由四川省支付清算协会提出。

本文件由四川省支付清算协会、重庆市金融学会、四川省金融学会归口。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件起草单位:成都农村商业银行股份有限公司、重庆银行股份有限公司、四川农村商业联

合银行股份有限公司、北京安胜华信科技有限公司、北京钛星数安科技有限公司。

本文件主要起草人:蔡兵、李黎明、叶明、谢春利、钱建诚、吕茂婷、米俊霖、张未卿、赵建

波、叶宇航、杨钧丞、李悦、顾方方、邓何、汪洪珍、唐福喜、林真伟、谢昌建、徐宁、阳方升、

刘畅、聂志宏、熊玉、付毅、陈滔、白金、夏浩淳、陈晓东、李德、刘海光、吴天、母丹、刘东甲、

何佳佳、贺伟、汤湘祁。

本文件为首次发布。

II

T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024

引言

基于远程浏览器隔离技术的Web安全防护平台其原理是在一个远程的虚拟化平台上为每个Web访

问构建一个浏览器访问请求(称之为“远程浏览器”),执行用户的访问会话,将用户访问与真实

Web服务器隔离,这样即使有Web攻击,也无法侵害到真实的Web应用服务器。从而解决多种常规Web

应用安全防护手段难以解决的安全问题,保证金融Web应用系统的安全。

在金融Web应用保护场景中,为规范基于远程浏览器隔离技术的安全平台能力要求,为同类产品

的生产和服务提供有效参考,促使产品质量的持续改善,特制定本文件。

III

T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024

基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法

1范围

本文件界定了金融Web应用安全防护的能力评价方法。确立了基于远程浏览器隔离技术的Web应

用安全防护平台(以下简称:威胁隔离平台)的功能要求、成熟度要求和评价方法。

本文件适用于成渝地区金融机构Web安全防护方案/产品选型参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用

文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)

适用于本文件。

GB/T25069信息安全技术术语

3术语和定义

下列术语和定义适用于本文件。

3.1

浏览器browser

计算机系统中用来检索、展示以及传递Web信息资源的应用程序。

3.2

远程浏览器隔离remotebrowserisolation

一种将Web浏览活动运行在一个远程隔离的环境中,以保护计算机用户免受可能遇到的任何恶意

软件的伤害的技术。

3.3

安全传输层协议transportlayersecurity

为互联网通信提供安全及数据完整性保障的一种安全协议。

3.4

安全套接字协议securesocketslayer

为网络通信提供安全及数据完整性的一种安全协议。

3.5

桌面虚拟化virtualdesktopinfrastructure

指计算机的终端系统(也称作桌面)进行虚拟化,以达到桌面使用的安全性和灵活性,可以通

过任何设备,在任何地点,任何时间通过网络访问属于个人的桌面系统的技术手段。

3.6

文档对象模型ocumentobjectmodel

d

是一种与平台和语言无关的应用程序接口(API),它可以动态地访问程序和脚本,更新其内容、结

构和WWW文档的风格(HTML和XML文档是通过说明部分定义的)。文档可以进一步被处理,处理的结果

可以加入到当前的页面。DOM是一种基于树的API文档,它要求在处理过程中整个文档都表示在存储

器中。

1

T/SCPCA009-2024T/CQJR015-2024T/SCJR006-2024

4缩略语

下列缩略语适用于本文件。

a)API:应用程序接口(ApplicationProgrammingInterface)

b)AWVS:Acun

定制服务

    相似标准推荐

    更多>