1、-施行-发布信息平安技术网站数据恢复产品技术要求与评价方法Information security technology-Technical requirements and evaluation approaches of website data recovery products(征求意见稿第5送审稿)GB/T 中华人民共和国国家标准ICS 35.040L 80+中华人民共和国国家质量监视检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发布目 次目 次I前 言IV1 范围12 标准性援用文件13 术语和定义14 网站数据恢复产品等级划分25 技术要求35.1 根本级要求35.1
2、.1 功能要求35.1.1.1 网站数据监测功能35.1.1.2 报警功能45.1.1.3 网站数据自动恢复功能45.1.1.4 网站数据备份45.1.1.5 网站数据合法更新45.1.1.6 治理操纵功能45.1.2 平安要求55.1.2.1 权限治理功能55.1.2.2 身份鉴别55.1.2.3 审计功能55.1.2.4 用户数据保护55.1.2.5 程序数据保护65.1.2.6 抵御已经知道攻击65.1.3 保证要求65.1.3.1 交付与运转65.1.3.2 指导性文档65.1.3.3 测试65.2 加强级要求75.2.1 功能要求75.2.1.1 网站数据监测功能75.2.1.2 报
3、警功能75.2.1.3 网站数据自动恢复功能75.2.1.4 网站数据备份85.2.1.5 网站数据合法更新85.2.1.6 治理操纵功能85.2.2 平安要求85.2.2.1 权限治理功能85.2.2.2 身份鉴别85.2.2.3 审计功能95.2.2.4 用户数据保护95.2.2.5 程序数据保护95.2.2.6 抵御已经知道攻击95.2.3 保证要求105.2.3.1 配置治理105.2.3.2 交付与运转105.2.3.3 开发105.2.3.4 指导性文档115.2.3.5 生命周期支持115.2.3.6 测试115.2.3.7 脆弱性评定126 测评方法126.1 测试环境与工具1
4、26.2 根本级测试126.2.1 功能要求测试126.2.1.1 网站数据监测功能126.2.1.2 报警功能136.2.1.3 网站数据自动恢复功能136.2.1.4 网站数据备份146.2.1.5 网站数据合法更新146.2.1.6 治理操纵功能146.2.2 平安要求测试156.2.2.1 权限治理功能156.2.2.2 身份鉴别156.2.2.3 审计功能166.2.2.4 用户数据保护166.2.2.5 程序数据保护176.2.2.6 抵御已经知道攻击176.2.3 保证要求评估176.2.3.1 交付与运转176.2.3.2 指导性文档186.2.3.3 测试186.3 加强级测
5、试196.3.1 功能要求测试196.3.1.1 网站数据监测功能196.3.1.2 报警功能206.3.1.3 网站数据自动恢复功能206.3.1.4 网站数据备份216.3.1.5 网站数据合法更新226.3.1.6 治理操纵功能226.3.2 平安要求测试236.3.2.1 权限治理功能236.3.2.2 身份鉴别236.3.2.3 审计功能236.3.2.4 用户数据保护246.3.2.5 程序数据保护246.3.2.6 抵御已经知道攻击256.3.3 平安保证要求评估256.3.3.1 配置治理256.3.3.2 交付与运转266.3.3.3 开发266.3.3.4 指导性文档266
6、.3.3.5 生命周期支持276.3.3.6 测试276.3.3.7 脆弱性评定28附录A (材料性附录) 网站恢复过程例如29A.1备份环节29A.2监测环节29A.2.1监测方式29A.2.2比拟方式29A.3恢复环节29附录B (材料性附录) 功能评价31B.1功能指标31B.1.1监控响应时间31B.1.2篡改恢复时间31B.1.3网络妨碍31B.1.4稳定性31B.2 功能测试31B.2.1监控响应时间31B.2.2篡改恢复时间31B.2.3网络妨碍31B.2.4稳定性31参考文献33前 言本标准的附录A、附录B为材料性附录。本标准由全国信息平安标准化技术委员会提出并归口。本标准起草
7、单位:。信息平安技术网站数据恢复产品技术要求与评价方法1 范围本标准规定了网站数据恢复产品技术要求与评价方法。本标准适用于测评机构对网站数据恢复产品的测试评价。网站数据恢复产品的设计和实现也可参照使用。2 标准性援用文件以下文件中的条款通过本标准的援用而成为本标准的条款。但凡注日期的援用文件,其随后所有的修正单(不包括订正的内容)或修订版均不适用于本标准,然而,鼓舞依照本标准达成协议的各方研究是否可使用这些文件的最新版本。但凡不注日期的援用文件,其最新版本适用于本标准。GB/T 5271.8-2001 信息技术 词汇 第8部分:平安(idt ISO/IEC 2382-8:1998)GB/T 1
8、8336(所有部分) 信息技术 平安技术 信息技术平安性评估准则(idt ISO/IEC 15408)GB/Z 20986-2007 信息平安技术 信息平安事件分类分级指南3 术语和定义GB/T 5271.8-2001和GB/T 18336确立的以及以下术语和定义适用于本标准。3.1网站数据 website data与网站发布的网页内容相关的数据,包括静态网页文件、动态脚本文件、网页目录和网站数据库。3.2网站数据恢复 website data recovery网站数据恢复是指对受保护的网站数据的未受权更改及时地进展恢复的过程。3.3网站数据恢复产品 website data recovery
9、 product网站数据恢复产品是用以实现网站数据恢复的软件或软硬件组合。3.4受权治理员 authorized administrator具有使用网站数据恢复产品治理功能权限的受权用户。3.5网站备份数据 backup data for website得到受权治理员认可的网站数据副本。3.6静态网页 static web page当从WEB效劳器下载到客户端时,其内容(正文、图像、表中的数据等)不会因访咨询对象或下载恳求的不同而发生变化的网页。3.7动态网页 dynamic web page当从WEB效劳器下载到客户端时,其内容(正文、图像、表中的数据等)可依照访咨询对象或下载恳求的不同而发
10、生变化的网页。动态网页内容可由WEB效劳器端脚本语言(如PHP, Perl, ASP, ASP.NET, JSP等)依照超文本标记语言的表格中的数据、网页地址中的参数、访咨询网页的阅读器类型、数据库或WEB效劳器的状态等条件生成。3.10动态脚本 dynamic script指一组脚本语言代码,用以支持生成动态网页。3.11完全备份 full backup备份所有指定的数据对象的过程,不管这些数据自上次备份后是否被已更改。完全备份是增量备份的根底。3.12增量备份incremental backup仅备份自上次备份后更改正的数据对象。4 网站数据恢复产品等级划分网站数据恢复产品分为两个等级:根
11、本级和加强级,如表1所示。表1 网站数据恢复产品等级划分表技术要求根本级加强级功能要求网站数据监测功能静态网页文件监测功能动态脚本文件监测功能网页目录监测功能网站数据库监测功能报警功能实时报警事件报警方式网站数据自动恢复功能静态网页文件自动恢复功能动态脚本文件自动恢复功能网页目录自动恢复功能网站数据库手动或自动恢复功能网站数据备份网站数据备份初始化网站数据备份功能网站数据备份方式网站数据合法更新表1(续)技术要求根本级加强级功能要求治理操纵功能监控对象治理远程治理治理界面友好性与网站发布系统的兼容性平安要求权限治理功能身份鉴别身份鉴别鉴别失败处理审计功能可审计事件审计数据内容审计跟踪治理可理解
12、的格式审计记录查询用户数据保护治理信息传输平安备份数据的平安存储备份数据的平安传输程序数据保护本身进程、效劳保护程序文件保护抵御已经知道攻击抵御木马、病毒的攻击抵御对网站数据库的攻击保证要求配置治理交付与运转开发指导性文档生命周期支持测试脆弱性评定注:在表中,如某项技术要求采纳加粗字体,则表示该项技术要求在根本级中不要求或加强级对根本级的要求进展了加强。标准正文中,对技术要求的描绘内容采纳同样的记法。5 技术要求5.1 根本级要求5.1.1 功能要求5.1.1.1 网站数据监测功能5.1.1.1.1 静态网页文件监测功能网站数据恢复产品应监测受保护静态网页文件,并能发觉对其进展的未受权更改。即
13、:a)静态网页文件未受权增加的监测及发觉;b)静态网页文件未受权删除的监测及发觉;c)静态网页文件其它未受权修正(包括文件内容或属性修正、重命名、挪动等)的监测及发觉。注:文件属性应包括只读、隐藏、平安权限等。5.1.1.1.2 网页目录监测功能网站数据恢复产品应监测受保护网页目录,并能发觉对其进展的未受权更改。即:a)网页目录未受权增加的监测及发觉;b)网页目录未受权删除的监测及发觉;c)网页目录其它未受权修正(包括目录属性修正、重命名、挪动等)的监测及发觉。注:目录属性应包括只读、隐藏、平安权限等。5.1.1.2 报警功能5.1.1.2.1 实时报警事件网站数据恢复产品应对以下事件进展实时
14、报警:a)受保护静态网页文件、受保护网页目录被未受权增、删、改;b)监控保护程序异常关闭。5.1.1.2.2 报警方式网站数据恢复产品应提供适当的报警方式。如:E_mail报警、声音或屏幕提示等报警方式。5.1.1.3 网站数据自动恢复功能5.1.1.3.1 静态网页文件自动恢复功能网站数据恢复产品应使用备份文件自动恢复遭受未受权更改的受保护静态网页文件。即:a)静态网页文件未受权增加的恢复;b)静态网页文件未受权删除的恢复;c)静态网页文件其它未受权修正(包括文件内容或属性修正、重命名、挪动等)的恢复。5.1.1.3.2 网页目录自动恢复功能网站数据恢复产品应使用备份目录自动恢复遭受未受权更
15、改的受保护网页目录。即:a)网页目录未受权增加的恢复;b)网页目录未受权删除的恢复;c)网页目录其它未受权修正(包括目录属性修正、重命名、挪动等)的恢复。5.1.1.4 网站数据备份5.1.1.4.1 网站数据备份初始化网站数据恢复产品在初次安装后应采取一定措施确保被监控的网站数据与网站备份数据一致。5.1.1.4.2 网站数据备份功能网站数据恢复产品应提供网站数据的及时备份功能,备份功能的实现能够采纳完全备份或增量备份的方式进展。5.1.1.5 网站数据合法更新网站数据恢复产品应提供网站数据合法更新功能。该功能能够采纳自动更新或手动更新的方式实现。手动更新时,产品应确保只有受权治理员或受权用
16、户能够对网站数据(包括静态网页文件、网页目录)进展更新。自动更新时,产品应能够及时发觉备份数据的变化,并自动同步该数据到WEB效劳器,从而保证备份数据与被监控网站数据的一致性。5.1.1.6 治理操纵功能5.1.1.6.1 监控对象治理用户可增加或撤消其相应的被监控目录/文件。5.1.1.6.2 治理界面友好性网站数据恢复产品应提供友好的治理界面,以便于对系统进展治理。5.1.1.6.3 与网站发布系统的兼容性网站数据恢复产品应至少支持一种网站发布系统。安装网站数据恢复产品后,网站数据恢复产品及网站发布系统均能稳定运转。5.1.2 平安要求5.1.2.1 权限治理功能网站数据恢复产品应为角色进
17、展分级,至少提供受权治理员和用户两种角色。受权治理员具有使用产品治理功能的权限。用户具有对网站内容更新、备份等权限。5.1.2.2 身份鉴别5.1.2.2.1 身份鉴别网站数据恢复产品应对登陆系统的受权治理员和用户至少采纳一种身份鉴别方式进展身份鉴别,且身份鉴别功能应独立于操作系统本身的身份鉴别功能。5.1.2.2.2 鉴别失败处理网站数据恢复产品应为受权治理员和用户登录设定一个可修正的鉴别尝试阈值,当鉴别失败尝试超过阈值,系统应通过技术手段终止其与系统之间的会话过程。5.1.2.3 审计功能5.1.2.3.1 可审计事件网站数据恢复产品应对以下事件进展审计:a) 受保护静态网页文件、受保护网
18、页目录的增、删、改和恢复;b) 监控保护效劳的开启和关闭;c) 任何对鉴别机制的使用;d) 对备份或恢复平安策略进展更改的操作;e) 因鉴别尝试不成功的次数超出了设定的限值,导致的会话连接终止;f) 对治理角色进展增加、删除和属性修正的操作。5.1.2.3.2 审计数据内容审计数据中至少应包括事件发生的日期和时间、事件类型、主体身份等内容。日期应包含年、月、日,时间应包括时、分、秒。事件类型定义应遵照GB/Z 20986-2007的规定,并可依照事件的详细性质扩展相应子类,例如当发生网页文件被未受权删除的平安事件,其事件类型应为GB/Z 20986-2007中的4.2.3 a)类型,并可扩展子
19、类“网页文件被未受权删除”。假设事件为5.1.2.3.1 a),则应指出受破坏静态网页文件、网页目录的位置和名称。5.1.2.3.3 审计跟踪治理受权治理员应能存档、删除和清空审计记录。5.1.2.3.4 可理解的格式应使存储于永久性审计记录中的所有审计数据为人所理解,不应有歧义。5.1.2.3.5 审计记录查询应能按条件或条件组合对审计记录进展查询。5.1.2.4 用户数据保护5.1.2.4.1 治理信息传输平安假设提供远程治理功能,应采取平安措施对传输的远程治理信息(例如,登录信息和会话信息)进展保护,如加密或使用专用信道等。5.1.2.4.2 备份数据的平安存储假设需访咨询备份端,应进展
20、身份鉴别,以保证所有访咨询存储在备份端的备份数据的操作均得到了正确的受权。5.1.2.4.3 备份数据的平安传输当通过网络进展网站数据备份或恢复时,应采取平安措施保证被传输数据的完好性。5.1.2.5 程序数据保护5.1.2.5.1 本身进程、效劳保护网站数据恢复产品应具备防止未受权终止产品运转的措施。5.1.2.5.2 程序文件保护网站数据恢复产品应采取保护措施,以保证部署在WEB效劳器上的主要程序文件(如执行文件、日志库文件等)不被未受权删除或修正。5.1.2.6 抵御已经知道攻击5.1.2.6.1 抵御木马、病毒的攻击网站数据恢复产品应采取有效措施来抵御木马、病毒等攻击手段,保证产品正常
21、运转。5.1.3 保证要求5.1.3.1 交付与运转5.1.3.1.1 交付a) 开发者应使用一定的交付程序给用户交付网站数据恢复产品,并把交付过程文档化;b) 交付文档应描绘在给用户方交付网站数据恢复产品的各个版本时,为维护平安所必需的所有程序。5.1.3.1.2 安装、生成和启动开发者应提供文档说明网站数据恢复产品平安地安装、生成和启动所必要的步骤。5.1.3.2 指导性文档5.1.3.2.1 治理员指南a) 开发者应提供治理员指南。治理员指南应提供以下内容:1) 治理员可使用的治理功能和接口;2) 如何以平安的方式治理产品;3) 在平安处理环境中必须进展操纵的功能和权限的警告;4) 所有
22、与产品的平安运转有关的用户行为的假设;5) 所有受治理员操纵的平安参数,适宜时,应指明平安值;6) 每一种与需要执行的治理功能有关的平安相关事件,包括对改变平安功能所操纵的实体的平安特性;7) 系统治理员有关的IT环境的所有平安要求。b) 治理员指南应与为评估而提供的其他所有文档保持一致。5.1.3.2.2 用户指南a) 开发者应提供用户指南。用户指南应提供以下内容:1) 网站数据恢复产品的非治理员用户可用的功能和接口;2) 网站数据恢复产品提供的用户能够访咨询的平安功能的用法;3) 用户能够获取但受平安处理环境操纵的所有功能和权限;4) 网站数据恢复产品平安操作中用户所必须负的职责;5) 与
23、用户有关的IT环境的所有平安要求。b) 用户指南应与评估而提供的其他所有文档保持一致。5.1.3.3 测试5.1.3.3.1 测试覆盖范围开发者应提供测试覆盖范围的分析结果。测试覆盖范围的分析结果应当论证测试文档中所标识的测试和功能标准中所描绘的平安功能之间的对应性。5.1.3.3.2 功能测试a) 开发者应测试平安功能,并文档化结果;b) 开发者应提供测试文档,测试文档应包括测试计划、测试过程描绘、预期测试结果和实际测试结果;c) 测试计划应标识要测试的平安功能,描绘要执行的测试目的;d) 测试过程描绘应标识要执行的测试,并描绘每个平安功能的测试概况,这些概况包括关于其他测试结果的顺序依赖性
24、;e) 预期的测试结果应说明成功测试运转后的预期输出;f) 开发者执行测试的结果应论证了每个被测试的平安性功能已按照规定进展运作了。5.1.3.3.3 独立性测试a) 开发者应提供用于测试的网站数据恢复产品,网站数据恢复产品应与测试相习惯;b) 开发者应提供一个与开发者的平安功能测试中使用的资源相当的集合,确保评估能验证测试结果。5.2 加强级要求5.2.1 功能要求5.2.1.1 网站数据监测功能5.2.1.1.1 静态网页文件监测功能网站数据恢复产品应监测受保护静态网页文件,并能发觉对其进展的未受权更改。即:a) 静态网页文件未受权增加的监测及发觉;b) 静态网页文件未受权删除的监测及发觉
25、;c) 静态网页文件其它未受权修正(包括文件内容或属性修正、重命名、挪动等)的监测及发觉。注:文件属性应包括只读、隐藏、平安权限等。5.2.1.1.2 动态脚本文件监测功能网站数据恢复产品应监测受保护动态脚本文件,并能发觉对其进展的未受权更改。即:a) 动态脚本文件未受权增加的监测及发觉;b) 动态脚本文件未受权删除的监测及发觉;c) 动态脚本文件其它未受权修正(包括文件内容或属性修正、重命名、挪动等)的监测及发觉。注:文件属性应包括只读、隐藏、平安权限等。5.2.1.1.3 网页目录监测功能网站数据恢复产品应监测受保护网页目录,并能发觉对其进展的未受权更改。即:a) 网页目录未受权增加的监测
26、及发觉;b) 网页目录未受权删除的监测及发觉;c) 网页目录其它未受权修正(包括目录属性修正、重命名、挪动等)的监测及发觉。注:目录属性应包括只读、隐藏、平安权限等。5.2.1.1.4 网站数据库监测功能 网站数据恢复产品应监测产品适用的受保护网站数据库,并能发觉对其进展的未受权操作。5.2.1.2 报警功能5.2.1.2.1 实时报警事件网站数据恢复产品应对以下事件进展实时报警:a) 受保护静态网页文件、受保护动态脚本文件、受保护网页目录被未受权增、删、改及受保护网站数据库被未受权操作;b) 监控保护程序异常关闭。5.2.1.2.2 报警方式网站数据恢复产品应提供适当的报警方式。如:E_ma
27、il报警、声音或屏幕提示等警告方式。5.2.1.3 网站数据自动恢复功能5.2.1.3.1 静态网页文件自动恢复功能网站数据恢复产品应使用备份文件自动恢复遭受未受权更改的受保护静态网页文件。即:a) 静态网页文件未受权增加的恢复;b) 静态网页文件未受权删除的恢复;c) 静态网页文件其它未受权修正(包括文件内容或属性修正、重命名、挪动等)的恢复。5.2.1.3.2 动态脚本文件自动恢复功能网站数据恢复产品应使用备份文件自动恢复遭受未受权更改的受保护动态脚本文件。即:a) 动态脚本文件未受权增加的恢复;b) 动态脚本文件未受权删除的恢复;c) 动态脚本文件其它未受权修正(包括文件内容或属性修正、
28、重命名、挪动等)的恢复。5.2.1.3.3 网页目录自动恢复功能网站数据恢复产品应使用备份目录自动恢复遭受未受权更改的受保护网页目录。即:a) 网页目录未受权增加的恢复;b) 网页目录未受权删除的恢复;c) 网页目录其它未受权修正(包括目录属性修正、重命名、挪动等)的恢复。5.2.1.3.4 网站数据库手动或自动恢复功能网站数据恢复产品应使用备份数据库手动或自动恢复因未受权操作而改变的产品适用的数据库。5.2.1.4 网站数据备份5.2.1.4.1 网站数据备份初始化网站数据恢复产品在初次安装后应采取一定措施确保被监控的网站数据与网站备份数据一致。5.2.1.4.2 网站数据备份功能网站数据恢
29、复产品应提供网站数据的及时备份功能,备份功能的实现能够采纳完全备份或增量备份的方式进展。5.2.1.4.3 网站数据备份方式备份方式应支持手动备份和自动备份,自动备份应具备一定的实时性。5.2.1.5 网站数据合法更新网站数据恢复产品应提供网站数据合法更新功能。该功能能够采纳自动更新或手动更新的方式实现。手动更新时,产品应确保只有受权治理员或受权用户能够对网站数据(包括静态网页文件、动态脚本文件、网页目录和网站数据库)进展更新。自动更新时,产品应能够及时发觉备份数据的变化,并自动同步该数据到WEB效劳器,从而保证备份数据与被监控网站数据的一致性。5.2.1.6 治理操纵功能5.2.1.6.1
30、监控对象治理用户可增加或撤消其相应的被监控目录/文件/产品适用的网站数据库。5.2.1.6.2 远程治理网站数据恢复产品应提供远程治理功能,受权治理员或用户可通过远程方式进展治理。5.2.1.6.3 治理界面友好性网站数据恢复产品应提供友好的治理界面,以便于对系统进展治理。5.2.1.6.4 与网站发布系统的兼容性网站数据恢复产品应至少支持一种网站发布系统。安装网站数据恢复产品后,网站数据恢复产品及网站发布系统均能稳定运转。5.2.2 平安要求5.2.2.1 权限治理功能网站数据恢复产品应为角色进展分级,至少提供受权治理员和用户两种角色。受权治理员具有使用产品治理功能的权限。用户具有对网站内容
31、更新、备份等权限。5.2.2.2 身份鉴别5.2.2.2.1 身份鉴别网站数据恢复产品应对登陆系统的受权治理员和用户至少采纳一种身份鉴别方式进展身份鉴别,且身份鉴别功能应独立于操作系统本身的身份鉴别功能。5.2.2.2.2 鉴别失败处理网站数据恢复产品应为受权治理员和用户登录设定一个可修正的鉴别尝试阈值,当鉴别失败尝试超过阈值,系统应通过技术手段终止其与系统之间的会话过程。5.2.2.3 审计功能5.2.2.3.1 可审计事件网站数据恢复产品应对以下事件进展审计:a) 受保护静态网页文件、受保护动态脚本文件、受保护网页目录的增、删、改和恢复及受保护数据库未受权操作和恢复;b) 监控保护效劳的开
32、启和关闭;c) 任何对鉴别机制的使用;d) 对备份或恢复平安策略进展更改的操作;e) 读取、修正、破坏审计跟踪数据的尝试;f) 因鉴别尝试不成功的次数超出了设定的限值,导致的会话连接终止;g) 对治理角色进展增加、删除和属性修正的操作;h) 对其他平安功能配置参数的修正(设置和更新),不管成功与否。5.2.2.3.2 审计数据内容审计数据中至少应包括事件发生的日期和时间、事件类型、主体身份等内容。日期应包含年、月、日,时间应包括时、分、秒。事件类型定义应遵照GB/Z 20986-2007的规定,并可依照事件的详细性质扩展相应子类,例如当发生网页文件被未受权删除的平安事件,其事件类型应为GB/Z
33、 20986-2007中的4.2.3 a)类型,并可扩展子类“网页文件被未受权删除”。假设事件为5.2.2.3.1 a),则应指出受破坏静态网页文件、动态脚本文件、网页目录或网站数据库文件的位置和名称。5.2.2.3.3 审计跟踪治理受权治理员应能存档、删除和清空审计记录。5.2.2.3.4 可理解的格式应使存储于永久性审计记录中的所有审计数据为人所理解,不应有歧义。5.2.2.3.5 审计记录查询应能按条件或条件组合对审计记录进展查询。5.2.2.4 用户数据保护5.2.2.4.1 治理信息传输平安假设提供远程治理功能,应采取平安措施对传输的远程治理信息(例如,登录信息和会话信息)进展保护,
34、如加密或使用专用信道等。5.2.2.4.2 备份数据的平安存储假设需访咨询备份端,应进展身份鉴别,以保证所有访咨询存储在备份端的备份数据的操作均得到了正确的受权。5.2.2.4.3 备份数据的平安传输当通过网络进展网站数据备份或恢复时,应采取平安措施保证被传输数据的完好性。5.2.2.5 程序数据保护5.2.2.5.1 本身进程、效劳保护网站数据恢复产品应具备防止未受权终止产品运转的措施。5.2.2.5.2 程序文件保护网站数据恢复产品应采取保护措施,以保证网站数据恢复产品的主要程序文件(如执行文件、日志库文件等)不被未受权删除或修正。5.2.2.6 抵御已经知道攻击5.2.2.6.1 抵御木
35、马、病毒的攻击网站数据恢复产品应采取有效措施来抵御木马、病毒等攻击手段,保证产品正常运转。5.2.2.6.2 抵御对网站数据库的攻击网站数据恢复产品应采取有效措施来阻止针对网站数据库的攻击,如针对动态网页的SQL注入式攻击。5.2.3 保证要求5.2.3.1 配置治理5.2.3.1.1 配置治理才能a) 开发者应使用配置治理系统,并提供配置治理文档,为网站数据恢复产品的不同版本提供唯一的标识;b) 配置治理系统应对所有的配置项作出唯一的标识,同时应提供所有配置项被有效维护的证据;c) 配置治理文档应包括一个配置清单和一个配置计划。配置治理清单应描绘组成网站数据恢复产品评估目的的配置项,以及用来
36、标识配置项的方法。配置治理计划应描绘配置系统是如何使用的,同时应能提供配置治理系统的运作和配置治理计划相一致的证据;d) 配置治理系统应提供措施使得配置项只能进展受权修正。5.2.3.1.2 配置治理范围开发者应提供配置治理文档,配置治理文档:a) 应说明配置治理系统至少能跟踪以下几项:实现表示,设计文档,测试文档,用户文档,治理员文档和配置治理文档;b) 应描绘配置治理系统是如何跟踪配置项的。5.2.3.2 交付与运转5.2.3.2.1 交付a) 开发者应使用一定的交付程序给用户交付网站数据恢复产品,并把交付过程文档化;b) 交付文档应描绘在给用户方交付网站数据恢复产品的各个版本时,为维护平
37、安所必需的所有程序。5.2.3.2.2 安装、生成和启动开发者应提供文档说明网站数据恢复产品平安地安装、生成和启动所必要的步骤。5.2.3.3 开发5.2.3.3.1 功能标准开发者应当提供功能标准,功能标准:a) 应当使用非方式化风格来描绘网站数据恢复产品平安功能及其外部接口;b) 应当是内在一致的;c) 应当描绘所有外部平安功能接口的用处与使用方法,适当的时候,要提供妨碍、例外情况和错误信息的细节;d) 应当是网站数据恢复产品平安功能要求精确和完好的例如。5.2.3.3.2 高层设计开发者应当提供网站数据恢复产品的高层设计,高层设计:a) 应以非方式化方式表述同时是内在一致的;b) 应当按
38、照子系统来描绘网站数据恢复产品平安功能的构造;c) 应当描绘网站数据恢复产品平安功能的每一个子系统所提供的平安功能;d) 应当标识网站数据恢复产品平安功能所要求的任何根底性的硬件、固件或软件,和在这些硬件、固件或软件中实现的支持性保护机制提供的功能表示;e) 应当标识网站数据恢复产品平安功能子系统的所有接口;f) 应当标识网站数据恢复产品平安功能子系统的哪些接口是外部可见的;g) 应当描绘网站数据恢复产品平安功能子系统所有接口的用处与使用方法,并适当提供妨碍、例外情况和错误音讯的细节;h) 应当描绘把网站数据恢复产品分成平安策略施行和其他子系统的这种别离。5.2.3.3.3 表示对应性a) 开
39、发者应当在所提供的平安功能表示的相邻对之间提供其对应性分析;b) 分析应当论证平安功能表示的每个相邻对较为抽象的平安功能表示的所有相关平安功能都在较不抽象的平安功能表示中得到正确且完备地细化。5.2.3.4 指导性文档5.2.3.4.1 治理员指南a) 开发者应提供治理员指南。治理员指南应提供以下内容:1) 治理员可使用的治理功能和接口;2) 如何以平安的方式治理产品;3) 在平安处理环境中必须进展操纵的功能和权限的警告;4) 所有与产品的平安运转有关的用户行为的假设;5) 所有受治理员操纵的平安参数,适宜时,应指明平安值;6) 每一种与需要执行的治理功能有关的平安相关事件,包括对改变平安功能
40、所操纵的实体的平安特性;7) 系统治理员有关的IT环境的所有平安要求。b) 治理员指南应与为评估而提供的其他所有文档保持一致。5.2.3.4.2 用户指南a) 开发者应提供用户指南。用户指南应提供以下内容:1) 网站数据恢复产品的非治理员用户可用的功能和接口;2) 网站数据恢复产品提供的用户能够访咨询的平安功能的用法;3) 用户能够获取但受平安处理环境操纵的所有功能和权限;4) 网站数据恢复产品平安操作中用户所必须负的职责;5) 与用户有关的IT环境的所有平安要求。b) 用户指南应与评估而提供的其他所有文档保持一致。5.2.3.5 生命周期支持5.2.3.5.1 开发平安开发者应提供开发平安文
41、档,开发平安文档:a) 应描绘在网站数据恢复产品的开发环境中,用以保护网站数据恢复产品设计和实现的保密性和完好性在物理、程序、人员以及其他方面必要的平安措施;b) 应提供在网站数据恢复产品的开发和维护过程中执行平安措施的证据。5.2.3.6 测试5.2.3.6.1 测试覆盖范围开发者应提供测试覆盖范围的分析结果,测试覆盖范围的分析结果:a) 应当论证测试文档中所标识的测试和功能标准中所描绘的平安功能之间的对应性;b) 应当论证功能标准中所描绘平安功能和测试文档所标识的测试之间的对应性是完备的。5.2.3.6.2 测试深度开发者应提供测试深度的分析,深度分析应论证测试文档中所标识的测试足以论证该
42、平安功能运转是和高层设计一致的。5.2.3.6.3 功能测试a) 开发者应测试平安功能,并文档化结果;b) 开发者应提供测试文档,测试文档应包括测试计划、测试过程描绘、预期测试结果和实际测试结果;c) 测试计划应标识要测试的平安功能,描绘要执行的测试目的;d) 测试过程描绘应标识要执行的测试,并描绘每个平安功能的测试概况,这些概况包括关于其他测试结果的顺序依赖性;e) 预期的测试结果应说明成功测试运转后的预期输出;f) 开发者执行测试的结果应论证了每个被测试的平安性功能已按照规定进展运作了。5.2.3.6.4 独立性测试a) 开发者应提供用于测试的网站数据恢复产品,网站数据恢复产品应与测试相习
43、惯;b) 开发者应提供一个与开发者的平安功能测试中使用的资源相当的集合,确保评估能验证测试结果。5.2.3.7 脆弱性评定5.2.3.7.1 脆弱性分析a) 开发者应分析网站数据恢复产品可交付材料,以寻找用户违背平安策略的明显途径,并将分析结果文档化;b) 开发者应文档化明显的脆弱性分布。关于已标识的脆弱性,文档应说明在所期望的网站数据恢复产品环境中无法利用这些脆弱性。5.2.3.7.2 指南检查开发者应提供指南性文档。指南性文档:a) 应确定对网站数据恢复产品的所有可能的运转方式(包括失败和操作失误后的运转),它们的后果以及关于保持平安运转的意义;b) 应是完备的、明晰的、一致的、合理的;c) 应列出所有目的环境的假设;d) 应列出所有外部平安措施(包括外部程序的、物理的或人员的操纵)的要求。6 测评方法6.1 测试环境与工具WEB效劳器备份效劳器网站备份数据网站数据恢复产品治理模块网站数据恢复产品监控模块网站数据图1 网站数据恢复产品测试环境典型拓扑图例如6.2 根本级测试6.2
