《WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價(jià)規(guī)范》（2017RB011）-征求意見稿

《《WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價(jià)規(guī)范》（2017RB011）-征求意見稿》由會員分享，可在線閱讀，更多相關(guān)《《WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價(jià)規(guī)范》（2017RB011）-征求意見稿（28頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

ICS 點(diǎn)擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號 RB 中華人民共和國認(rèn)證認(rèn)可行業(yè)標(biāo)準(zhǔn) RB/T XXXXX—XXXX WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價(jià)規(guī)范 點(diǎn)擊此處添加標(biāo)準(zhǔn)英文譯名 點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識 （征求意見稿） （本稿完成日期：2018-12-28） XXXX - XX - XX發(fā)布 XXXX - XX - XX實(shí)施 中華人民共和國國家市場監(jiān)督管理總局 國家認(rèn)證認(rèn)可監(jiān)督管理委員會發(fā)布 RB/T XXXXX—XXXX 目??次 前言 2 1　范圍 3 2　規(guī)范性引用文件 3 3　術(shù)語、定義和縮略語 3 3.1　術(shù)語和定義 3 3.2　縮略語 3 4　評價(jià)要求 4 4.1　總體說明 4 4.2　功能要求 4 4.3　自身安全要求 5 4.4　安全保障要求 7 5　評價(jià)方法 10 5.1　總體說明 10 5.2　檢測環(huán)境與工具 10 5.3　功能檢測 11 5.4　自身安全檢測 14 5.5　安全保障要求評估 21 前??言 本規(guī)范按照GB/T 1.1-2009的規(guī)則起草。 本規(guī)范由國家認(rèn)證認(rèn)可監(jiān)督管理委員會提出并歸口。 本規(guī)范起草單位： 本規(guī)范主要起草人： WEB應(yīng)用安全監(jiān)測系統(tǒng)安全評價(jià)規(guī)范 1　 范圍 本規(guī)范規(guī)定了WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全評價(jià)要求及評價(jià)方法。 本規(guī)范適用于第三方認(rèn)證機(jī)構(gòu)和檢測機(jī)構(gòu)對WEB應(yīng)用安全監(jiān)測系統(tǒng)的評價(jià)，WEB 應(yīng)用安全監(jiān)測系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)也可參照。 2　 規(guī)范性引用文件 下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。 GB/T 18336-2015《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則》 GB/T 25069 信息安全技術(shù) 術(shù)語 3　 術(shù)語、定義和縮略語 3.1　 術(shù)語和定義 標(biāo)準(zhǔn)GB/T 18336-2015和GB/T 25069界定的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。 3.1.1　 WEB應(yīng)用安全監(jiān)測系統(tǒng) WEB應(yīng)用安全監(jiān)測系統(tǒng)是指部署在網(wǎng)絡(luò)里，以監(jiān)控的方式，實(shí)現(xiàn)對WEB應(yīng)用的服務(wù)狀態(tài)、安全狀態(tài)進(jìn)行監(jiān)測的產(chǎn)品。 3.1.2　 SQL注入 把SQL命令插入到WEB表單遞交或者輸入域名、頁面請求的查詢字符串中，以達(dá)到欺騙服務(wù)器執(zhí)行惡意SQL命令的目的。客戶端通過插入或注入SQL查詢語句輸入數(shù)據(jù)到應(yīng)用。 3.1.3　 跨站腳本攻擊 跨站腳本攻擊（也稱為XSS）指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。 3.1.4　 網(wǎng)頁掛馬 網(wǎng)頁掛馬是指一個(gè)木馬程序（或惡意代碼）被上傳到網(wǎng)站形成網(wǎng)頁木馬，使網(wǎng)頁瀏覽者訪問被掛馬的網(wǎng)頁時(shí)執(zhí)行其中的惡意代碼。 3.2　 縮略語 以下縮略語適用于本文件 HTTP 超文本傳輸協(xié)議 Hypertext Transfer Protocol URL 統(tǒng)一資源定位器 Uniform Resource Locator SSH 建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議 Secure Shell TOE 評估對象 Target of Evaluation TSF TOE安全功能 TOE Security Functions 4　 評價(jià)要求 4.1　 總體說明 4.1.1　 評價(jià)要求分類 本評價(jià)要求包括對產(chǎn)品的功能要求、自身安全要求和安全保障要求。 4.1.2　 安全等級 本評價(jià)規(guī)范不對產(chǎn)品進(jìn)行安全等級劃分。產(chǎn)品的安全保障要求采用GB/T 18336.3-2015中有關(guān) EAL2 級的要求。 4.2　 功能要求 4.2.1　 WEB應(yīng)用狀態(tài)監(jiān)控 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能定時(shí)訪問目標(biāo)WEB應(yīng)用，并分析返回頁面，檢測是否包含錯誤信息，及時(shí)發(fā)現(xiàn)WEB應(yīng)用訪問異常。 4.2.2　 WEB漏洞掃描 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠掃描到SQL注入攻擊、跨站腳本攻擊（XSS）、信息泄露等常見的 WEB應(yīng)用安全漏洞。 4.2.3　 網(wǎng)頁掛馬檢測 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測到被掛馬的WEB頁面。 4.2.4　 自動通告 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能在發(fā)現(xiàn)WEB應(yīng)用出現(xiàn)故障或者WEB應(yīng)用安全漏洞時(shí)，自動通知系統(tǒng)管理員。 4.2.5　 產(chǎn)品升級 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能支持手動或者自動的方式進(jìn)行產(chǎn)品升級，對漏洞知識庫、木馬特征以及服務(wù)程序等進(jìn)行更新。 4.2.6　 管理功能 4.2.6.1　 系統(tǒng)管理 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)具備配置管理功能，支持本地管理或遠(yuǎn)程管理。 4.2.6.2　 任務(wù)管理 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持監(jiān)測掃描任務(wù)添加域名或IP地址，能夠設(shè)置掃描時(shí)間周期并實(shí)時(shí)顯示任務(wù)進(jìn)度及詳情，支持對已完成掃描任務(wù)的記錄和管理。 4.2.6.3　 報(bào)表管理 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持報(bào)表功能并能輸出報(bào)表；報(bào)表內(nèi)容應(yīng)包含網(wǎng)站基本信息（包括IP地址、網(wǎng)站標(biāo)題及服務(wù)器所處位置等等信息）、任務(wù)概要信息（包括任務(wù)掃描時(shí)間、掃描深度、網(wǎng)站安全等級等信息）以及執(zhí)行結(jié)果信息（包括SQL注入、XSS跨站、網(wǎng)站掛馬等鏈接的詳細(xì)信息）。 4.2.7　 服務(wù)能力監(jiān)測 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能對WEB應(yīng)用的訪問響應(yīng)時(shí)間進(jìn)行監(jiān)測，顯示訪問延時(shí)波動。 4.2.8　 篡改監(jiān)測 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能及時(shí)發(fā)現(xiàn)指定的WEB應(yīng)用（如指定URL地址等）被篡改的行為（如篡改頁面的文字、圖片、媒體信息等），并產(chǎn)生用戶告警信息（如通過郵件、短信及提示信息等顯示告警信息）。 4.3　 自身安全要求 4.3.1　 安全審計(jì) 4.3.1.1　 審計(jì)數(shù)據(jù)產(chǎn)生 a) WEB 應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)對以下事件生成審計(jì)記錄： 1) 審計(jì)功能的啟動與關(guān)閉； 2) 用戶的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為； 3) 鑒別機(jī)制的使用； 4) 鑒別失敗的次數(shù)超過給定閾值導(dǎo)致會話終止； 5) 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 b) WEB 應(yīng)用安全監(jiān)測系統(tǒng)每個(gè)審計(jì)記錄中應(yīng)記錄下列信息： 1) 事件發(fā)生的日期、時(shí)間； 2) 事件的類型； 3) 主體身份標(biāo)識； 4) 事件的描述及結(jié)果。 4.3.1.2　 審計(jì)查閱 a) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為授權(quán)用戶提供讀取審計(jì)記錄的功能。 b) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)以便于用戶理解的方式提供審計(jì)記錄。 4.3.1.3　 限制審計(jì)查閱 除明確允許讀訪問的用戶外，TSF應(yīng)禁止所有用戶對審計(jì)記錄的讀訪問。 4.3.1.4　 可選審計(jì)查閱 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)提供根據(jù)條件對審計(jì)數(shù)據(jù)進(jìn)行查詢或排序的功能。 4.3.1.5　 防止審計(jì)數(shù)據(jù)丟失 a) WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)把生成的審計(jì)記錄存儲于一個(gè)永久性的記錄中，并應(yīng)提供相應(yīng)措施以防止故障或攻擊造成的審計(jì)事件丟失； b) 對因故障或存儲耗竭而導(dǎo)致審計(jì)數(shù)據(jù)丟失的最大審計(jì)存儲容量，WEB應(yīng)用安全監(jiān)測系統(tǒng)的開發(fā)者應(yīng)提供相應(yīng)的分析結(jié)果； c) 一旦審計(jì)存儲容量達(dá)到事先規(guī)定的警戒值，應(yīng)能發(fā)送警告信息，并采取相應(yīng)的防護(hù)措施。 4.3.1.6　 審計(jì)數(shù)據(jù)保護(hù) a) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保護(hù)存儲的審計(jì)記錄免遭未授權(quán)的刪除； b) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)禁止對審計(jì)記錄的修改。 4.3.2　 標(biāo)識和鑒別 4.3.2.1　 唯一性標(biāo)識 WEB 應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保證任何用戶都具有全局唯一的標(biāo)識。 4.3.2.2　 鑒別的時(shí)機(jī) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)要求每個(gè)用戶在執(zhí)行與數(shù)據(jù)泄露防護(hù)產(chǎn)品安全相關(guān)的任何其他操作之前，都已被成功鑒別 4.3.2.3　 用戶屬性定義 WEB 應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為每一個(gè)用戶保存安全屬性表，屬性應(yīng)包括：用戶標(biāo)識、授權(quán)信息或用戶組信息、其他安全屬性等。 4.3.2.4　 鑒別失敗處理 a) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測用戶的不成功的鑒別嘗試； b) 在經(jīng)過一定次數(shù)的鑒別失敗后，WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)采取措施以終止登錄嘗試的動作，直至滿足已定義的條件才允許進(jìn)行重新鑒別； c) 鑒別嘗試的閾值應(yīng)僅允許授權(quán)管理員設(shè)定。 4.3.2.5　 受保護(hù)的鑒別反饋 鑒別進(jìn)行時(shí)，WEB應(yīng)用安全監(jiān)測系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋，不顯示字符本身。 4.3.3　 安全管理 4.3.3.1　 安全功能行為的管理 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅限于授權(quán)用戶對下述功能具有修改的能力。 a) 監(jiān)測任務(wù)的管理； b) 其他安全功能行為的管理。 4.3.3.2　 安全屬性的管理 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)執(zhí)行訪問控制策略或信息流控制策略，以限制已識別了的授權(quán)角色查詢、修改和刪除安全屬性的能力。 4.3.3.3　 安全角色 a) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)維護(hù)已標(biāo)識的授權(quán)角色； b) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠?qū)⒂脩襞c角色關(guān)聯(lián)起來。 4.3.3.4　 TSF 數(shù)據(jù)的管理 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅允許授權(quán)用戶控制 安全功能數(shù)據(jù)的管理。 4.3.4　 TSF保護(hù) 4.3.4.1　 內(nèi)部TSF數(shù)據(jù)傳送的基本保護(hù) TSF應(yīng)保護(hù)所有從 WEB應(yīng)用安全監(jiān)測系統(tǒng)傳送到遠(yuǎn)程管理主機(jī)的TSF數(shù)據(jù)（如：登錄鑒別數(shù)據(jù)、安全設(shè)置信息）在傳送過程中不會被未授權(quán)泄漏。 4.3.4.2　 自動恢復(fù) a) 當(dāng)WEB應(yīng)用安全監(jiān)測系統(tǒng)發(fā)生失效、服務(wù)中斷等故障，無法自動恢復(fù)時(shí)，系統(tǒng)應(yīng)能夠提供進(jìn)入維護(hù)模式，通過該模式保證系統(tǒng)返回到一個(gè)安全狀態(tài)。 b) 當(dāng)WEB應(yīng)用安全監(jiān)測系統(tǒng)的服務(wù)發(fā)生中斷后，在人工干預(yù)的情況下或者無人工干預(yù)自動恢復(fù)到安全狀態(tài)（如：安全策略、系統(tǒng)配置等）。 4.3.5　 用戶數(shù)據(jù)保護(hù) 4.3.5.1　 基于安全屬性的訪問控制 a) 產(chǎn)品安全功能應(yīng)基于安全屬性和確定的安全屬性組，對已明確的客體執(zhí)行產(chǎn)品訪問控制策略； b) 產(chǎn)品安全功能應(yīng)執(zhí)行產(chǎn)品訪問控制策略，決定受控的主體與客體間的操作是否被允許。 4.4　 安全保障要求 4.4.1　 開發(fā) 4.4.1.1　 安全架構(gòu)描述 a) 開發(fā)者行為元素： 1) 開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TOE，確保TSF的安全特性不可旁路； 2) 開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TSF，以防止不可信主體的破壞； 3) 開發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。 b) 內(nèi)容和形式元素： 1) 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計(jì)文檔中對SFR-執(zhí)行的抽象描述的級別一致； 2) 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域； 3) 安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的； 4) 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞； 5) 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR-執(zhí)行的功能被旁路。 4.4.1.2　 安全執(zhí)行功能規(guī)范 a) 開發(fā)者行為元素： 1) 開發(fā)者應(yīng)提供一個(gè)功能規(guī)范； 2) 開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。 b) 內(nèi)容和形式元素： 1) 功能規(guī)范應(yīng)完整地描述TSF； 2) 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法； 3) 功能規(guī)范應(yīng)識別和描述每個(gè)TSFI相關(guān)的所有參數(shù)； 4) 對于每個(gè)SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為； 5) 對于SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯誤消息； 6) 功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。 4.4.1.3　 基礎(chǔ)設(shè)計(jì) a) 開發(fā)者行為元素： 1) 開發(fā)者應(yīng)提供TOE的設(shè)計(jì)； 2) 開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射。 b) 內(nèi)容和形式元素： 1) 設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)； 2) 設(shè)計(jì)應(yīng)標(biāo)識TSF的所有子系統(tǒng)； 3) 設(shè)計(jì)應(yīng)對每一個(gè)SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述，以確定它不是SFR-執(zhí)行； 4) 設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； 5) 設(shè)計(jì)應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； 6) 映射關(guān)系應(yīng)證實(shí)TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。 4.4.2　 指導(dǎo)性文檔 4.4.2.1　 操作用戶指南 a) 開發(fā)者行為元素： 開發(fā)者應(yīng)提供操作用戶指南。 b) 內(nèi)容和形式元素： 1) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述，在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ? 2) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述，怎樣以安全的方式使用TOE提供的可用接口； 3) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)應(yīng)指明安全值； 4) 操作用戶指南應(yīng)對每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實(shí)體的安全特性； 5) 操作用戶指南應(yīng)標(biāo)識TOE運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系； 6) 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述，為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的所必須執(zhí)行的安全策略； 7) 操作用戶指南應(yīng)是明確和合理的。 4.4.2.2　 準(zhǔn)備程序 a) 開發(fā)者行為元素： 開發(fā)者應(yīng)提供TOE，包括它的準(zhǔn)備程序。 b) 內(nèi)容和形式元素： 1) 準(zhǔn)備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； 2) 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境必需的所有步驟。 4.4.3　 生命周期支持 4.4.3.1　 CM系統(tǒng)的使用 a) 開發(fā)者行為元素： 1) 開發(fā)者應(yīng)提供TOE及其參照號； 2) 開發(fā)者應(yīng)提供CM文檔； 3) 開發(fā)者應(yīng)使用CM系統(tǒng)。 b) 內(nèi)容和形式元素： 1) 應(yīng)給TOE標(biāo)注唯一參照號； 2) CM文檔應(yīng)描述用于唯一標(biāo)識配置項(xiàng)的方法； 3) CM系統(tǒng)應(yīng)唯一標(biāo)識所有配置項(xiàng)。 4.4.3.2　 部分TOE CM覆蓋 a) 開發(fā)者行為元素： 開發(fā)者應(yīng)提供TOE配置項(xiàng)列表。 b) 內(nèi)容和形式元素： 1) 配置項(xiàng)列表應(yīng)包括：TOE本身、安全保障要求的評估證據(jù)和TOE的組成部分； 2) 配置項(xiàng)列表應(yīng)唯一標(biāo)識配置項(xiàng)； 3) 對于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡要說明該配置項(xiàng)的開發(fā)者。 4.4.3.3　 交付程序 a) 開發(fā)者行為元素： 1) 開發(fā)者應(yīng)將把TOE或其部分交付給消費(fèi)者的程序文檔化； 2) 開發(fā)者應(yīng)使用交付程序。 b) 內(nèi)容和形式元素： 交付文檔應(yīng)描述，在向消費(fèi)者分發(fā)TOE版本時(shí)，用以維護(hù)安全性所必需的所有程序。 4.4.4　 測試 4.4.4.1　 覆蓋證據(jù) a) 開發(fā)者行為元素： 開發(fā)者應(yīng)提供測試覆蓋的證據(jù)。 b) 內(nèi)容和形式元素： 測試覆蓋的證據(jù)應(yīng)表明測試文檔中的測試與功能規(guī)范中的TSF接口之間的對應(yīng)性。 4.4.4.2　 功能測試 a) 開發(fā)者行為元素： 1) 開發(fā)者應(yīng)測試TSF，并文檔化測試結(jié)果； 2) 開發(fā)者應(yīng)提供測試文檔。 b) 內(nèi)容和形式元素： 1) 測試文檔應(yīng)包括測試計(jì)劃、預(yù)期的測試結(jié)果和實(shí)際的測試結(jié)果； 2) 測試計(jì)劃應(yīng)標(biāo)識要執(zhí)行的測試并描述執(zhí)行每個(gè)測試的方案，這些方案應(yīng)包括對于其他測試結(jié)果的任何順序依賴性； 3) 預(yù)期的測試結(jié)果應(yīng)指出測試成功執(zhí)行后的預(yù)期輸出； 4) 實(shí)際的測試結(jié)果應(yīng)與預(yù)期的測試結(jié)果一致。 4.4.4.3　 獨(dú)立測試-抽樣 a) 開發(fā)者行為元素： 開發(fā)者應(yīng)提供用于測試的TOE。 b) 內(nèi)容和形式元素： 1) TOE應(yīng)適合測試； 2) 開發(fā)者應(yīng)提供一組與開發(fā)者TSF功能測試中同等的一系列資源。 4.4.5　 脆弱性評定 4.4.5.1　 脆弱性分析 a) 開發(fā)者行為元素： 開發(fā)者應(yīng)提供用于測試的TOE。 b) 內(nèi)容和形式元素： TOE應(yīng)適合測試。 5　 評價(jià)方法 5.1　 總體說明 評價(jià)方法與評價(jià)要求一一對應(yīng)，它給出具體的方法來驗(yàn)證WEB應(yīng)用安全監(jiān)測系統(tǒng)產(chǎn)品是否滿足評價(jià)要求。評價(jià)過程分為檢測和評估，其中，檢測內(nèi)容為功能要求及自身安全要求，評估內(nèi)容為安全保障要求，評估的主要方式為文件審核和現(xiàn)場核查。 5.2　 檢測環(huán)境與工具 a) 檢測環(huán)境圖 u 圖1　 功能檢測環(huán)境圖 b) 檢測工具：WEB瀏覽器、網(wǎng)絡(luò)協(xié)議分析工具 5.3　 功能檢測 5.3.1　 WEB應(yīng)用狀態(tài)監(jiān)控 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能定時(shí)對目標(biāo)WEB應(yīng)用訪問，并分析返回頁面，檢測是否包含錯誤信息，及時(shí)發(fā)現(xiàn)WEB應(yīng)用訪問異常。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持WEB應(yīng)用狀態(tài)監(jiān)控； 2) 按照產(chǎn)品說明書，使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在服務(wù)器上存在問題的WEB應(yīng)用實(shí)施狀態(tài)監(jiān)控，并查看監(jiān)控結(jié)果。 c) 結(jié)果判定 1) 產(chǎn)品提供支持WEB應(yīng)用狀態(tài)監(jiān)控功能； 3) 產(chǎn)品能夠監(jiān)測應(yīng)用訪問的異常情況； 1)-2)項(xiàng)均滿足為“符合”；否則為“不符合”。 5.3.2　 WEB漏洞掃描 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠掃描到SQL注入攻擊、跨站腳本攻擊（XSS）、信息泄露等常見的 WEB應(yīng)用安全漏洞。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)檢查是否支持對SQL注入攻擊、跨站腳本（XSS）攻擊、信息泄露（源代碼、報(bào)錯信息、目錄信息）等常見的WEB攻擊手段掃描檢測； 2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上存在SQL注入、跨站腳本、信息泄露等安全漏洞的WEB應(yīng)用進(jìn)行掃描，查看掃描結(jié)果。 c) 結(jié)果判定 1) 產(chǎn)品提供支持WEB漏洞掃描功能； 2) 產(chǎn)品能夠監(jiān)測出部署在測試服務(wù)器上的WEB應(yīng)用存在SQL注入、跨站腳本、信息泄露等安全漏洞； 1)-2)項(xiàng)均滿足為“符合”；否則為“不符合”。 5.3.3　 網(wǎng)頁掛馬檢測 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測到被掛馬的WEB頁面。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持網(wǎng)頁掛馬檢測； 2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上存在網(wǎng)頁掛馬的WEB應(yīng)用進(jìn)行掃描，查看掃描結(jié)果。 c) 結(jié)果判定 1) 產(chǎn)品提供支持網(wǎng)頁掛馬檢測功能； 2) 產(chǎn)品能夠完成網(wǎng)頁掛馬檢測，并能夠檢測出被掛馬的WEB頁面； 1)-2)項(xiàng)均滿足為“符合”；否則為“不符合”。 5.3.4　 自動通告 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持在發(fā)現(xiàn)WEB應(yīng)用出現(xiàn)故障或者發(fā)現(xiàn)WEB應(yīng)用安全漏洞時(shí)，能自動通知系統(tǒng)管理員。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持自動通告； 2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上存在安全漏洞的WEB應(yīng)用進(jìn)行監(jiān)測，查看是否能夠在發(fā)現(xiàn)漏洞或故障后，通過郵件、短信、頁面提示、聲音報(bào)警等一種或多種方式自動通知管理員。 c) 結(jié)果判定 1) 產(chǎn)品提供自動通知功能； 2) 產(chǎn)品能夠在發(fā)現(xiàn)漏洞或故障后，通過郵件、短信、頁面提示、聲音報(bào)警等一種或多種方式自動通知管理員。 1)-2)項(xiàng)均滿足為“符合”；否則為“不符合”。 5.3.5　 產(chǎn)品升級 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持手動或者自動的方式進(jìn)行產(chǎn)品升級（如對漏洞知識庫、木馬特征以及服務(wù)程序等進(jìn)行更新）。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持產(chǎn)品升級； 2) 按照產(chǎn)品說明書，測試WEB應(yīng)用安全監(jiān)測系統(tǒng)是否可實(shí)施手動或自動升級。 c) 結(jié)果判定 1) 產(chǎn)品提供升級功能； 2) 產(chǎn)品能夠支持手動或者自動的方式進(jìn)行產(chǎn)品升級。 1)-2)項(xiàng)均滿足為“符合”；否則為“不符合”。 5.3.6　 管理功能 5.3.6.1　 系統(tǒng)管理 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)具備配置管理功能，支持本地管理或遠(yuǎn)程管理。 b) 檢測方法 查看WEB應(yīng)用安全監(jiān)測系統(tǒng)的管理方式（如：Console口、Telnet、SSH、HTTP、HTTPS、SNMP、產(chǎn)品專用的管理程序），是否支持本地管理或遠(yuǎn)程管理方式，并進(jìn)行驗(yàn)證。 c) 結(jié)果判定 1) WEB應(yīng)用安全監(jiān)測系統(tǒng)支持本地的管理方式，且能夠有效實(shí)施配置管理； 2) WEB應(yīng)用安全監(jiān)測系統(tǒng)支持遠(yuǎn)程管理方式，且能夠有效實(shí)施配置管理。 1)或 2)項(xiàng)有一項(xiàng)滿足為“符合”，其他情況為“不符合”。 5.3.6.2　 任務(wù)管理 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持監(jiān)測掃描任務(wù)添加域名或IP地址，能夠設(shè)置掃描時(shí)間周期并實(shí)時(shí)顯示任務(wù)進(jìn)度及詳情，支持對已完成掃描任務(wù)的記錄和管理。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持任務(wù)管理功能； 2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)添加掃描任務(wù)對部署在測試服務(wù)器上的WEB應(yīng)用進(jìn)行監(jiān)測掃描，查看當(dāng)前任務(wù)進(jìn)展情況； 3) 任務(wù)完成之后對歷史任務(wù)進(jìn)行查看、搜索、排序和刪除等操作。 c) 結(jié)果判定 1) WEB應(yīng)用安全監(jiān)測系統(tǒng)支持掃描任務(wù)添加域名或IP地址并支持掃描時(shí)間周期的設(shè)置； 2) WEB應(yīng)用安全監(jiān)測系統(tǒng)支持查看當(dāng)前掃描任務(wù)的詳細(xì)信息，并可對已完成的掃描任務(wù)進(jìn)行管理。 1)或 2)項(xiàng)有一項(xiàng)滿足為“符合”，其他情況為“不符合”。 5.3.6.3　 報(bào)表管理 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)支持報(bào)表功能并能輸出報(bào)表；報(bào)表內(nèi)容應(yīng)包含網(wǎng)站基本信息（包括IP地址、網(wǎng)站標(biāo)題及服務(wù)器所處位置等等信息）、任務(wù)概要信息（包括任務(wù)掃描時(shí)間、掃描深度、網(wǎng)站安全等級等信息）以及執(zhí)行結(jié)果信息（包括SQL注入、XSS跨站、網(wǎng)站掛馬等鏈接的詳細(xì)信息）。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持報(bào)表管理功能； 2) 登錄WEB應(yīng)用安全監(jiān)測系統(tǒng)查看歷史任務(wù)報(bào)表，查看報(bào)表內(nèi)容是否包含檢測要求中的相關(guān)信息。 3) 導(dǎo)出歷史任務(wù)報(bào)表，報(bào)表應(yīng)能被導(dǎo)出（如HTML、WORD等格式）。 c) 結(jié)果判定 1) WEB應(yīng)用安全監(jiān)測系統(tǒng)的報(bào)表內(nèi)容應(yīng)包含檢測要求中的詳細(xì)內(nèi)容； 2) WEB應(yīng)用安全監(jiān)測系統(tǒng)的報(bào)表應(yīng)能被導(dǎo)出（導(dǎo)出格式不限）。 1)或 2)項(xiàng)有一項(xiàng)滿足為“符合”，其他情況為“不符合”。 5.3.7　 服務(wù)能力監(jiān)測 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能對WEB應(yīng)用的訪問響應(yīng)時(shí)間進(jìn)行監(jiān)測，顯示訪問延時(shí)波動。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持服務(wù)能力監(jiān)測； 2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上的WEB應(yīng)用進(jìn)行監(jiān)測，查看是否能夠顯示訪問延時(shí)波動。 c) 結(jié)果判定 1) 產(chǎn)品提供服務(wù)能力監(jiān)測功能； 2) 產(chǎn)品能夠顯示訪問延時(shí)波動。 1)-2)項(xiàng)均滿足為“符合”；否則為“不符合”。 5.3.8　 篡改監(jiān)測 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能及時(shí)發(fā)現(xiàn)指定的WEB應(yīng)用（如指定URL地址等）被篡改的行為（如篡改頁面的文字、圖片、媒體信息等），并產(chǎn)生用戶告警信息（如通過郵件、短信及提示信息等顯示告警信息）。 b) 檢測方法 1) 審查產(chǎn)品說明書描述，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否支持篡改監(jiān)測功能，并登錄配置界面驗(yàn)證產(chǎn)品是否提供對篡改監(jiān)控頁面的設(shè)置； 2) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上WEB應(yīng)用的指定頁面進(jìn)行監(jiān)測，對WEB應(yīng)用進(jìn)行授權(quán)發(fā)布或更新，驗(yàn)證對發(fā)布后的應(yīng)用能否重新建立新的掃描對比基準(zhǔn)，以區(qū)別非授權(quán)篡改。 3) 使用WEB應(yīng)用安全監(jiān)測系統(tǒng)對部署在測試服務(wù)器上WEB應(yīng)用的指定頁面進(jìn)行監(jiān)測，對WEB應(yīng)用進(jìn)行篡改操作（如修改頁面內(nèi)容、媒體信息及刪除圖片等），查看WEB應(yīng)用安全監(jiān)測系統(tǒng)是否對其篡改操作行為進(jìn)行告警，并通過何種方式進(jìn)行告警。 c) 結(jié)果判定 1) 產(chǎn)品提供篡改監(jiān)控功能，并提供對篡改監(jiān)控頁面的參數(shù)設(shè)置（如設(shè)置指定的URL地址、監(jiān)測深度等）； 2) 產(chǎn)品能夠?qū)φ０l(fā)布或更新行為手動或自動建立新的掃描基準(zhǔn)，以區(qū)分非授權(quán)篡改； 3) 產(chǎn)品能夠?qū)Υ鄹牟僮餍袨檫M(jìn)行告警。 1)-3)項(xiàng)均滿足為“符合”；否則為“不符合”。 5.4　 自身安全檢測 5.4.1　 檢測環(huán)境與工具 5.4.2　 安全審計(jì) 5.4.2.1　 審計(jì)數(shù)據(jù)產(chǎn)生 a) 檢測要求 1) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)對以下事件生成審計(jì)記錄： —— 審計(jì)功能的啟動與關(guān)閉； —— 用戶的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為； —— 鑒別機(jī)制的使用； —— 鑒別失敗的次數(shù)超過給定閾值導(dǎo)致會話終止； —— 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 2) WEB應(yīng)用安全監(jiān)測系統(tǒng)每個(gè)審計(jì)記錄中應(yīng)記錄下列信息： —— 事件發(fā)生的日期、時(shí)間； —— 事件的類型； —— 主體身份標(biāo)識； —— 事件的描述及結(jié)果。 b) 檢測方法 1) 以授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng)，執(zhí)行檢測要求1）中相關(guān)的操作，查看審計(jì)記錄，檢查系統(tǒng)是否對操作進(jìn)行了審計(jì)記錄；； 2) 查看審計(jì)記錄內(nèi)容中是否包括事件發(fā)生的日期和時(shí)間、事件類型、主體身份標(biāo)識、事件描述及結(jié)果等信息。 c) 結(jié)果判定 1) WEB應(yīng)用安全監(jiān)測系統(tǒng)能夠?qū)σ韵率录蓪徲?jì)記錄： —— 審計(jì)功能的啟動與關(guān)閉； —— 用戶的創(chuàng)建、修改、刪除、權(quán)限分配等管理行為； —— 鑒別機(jī)制的使用； —— 鑒別失敗的次數(shù)超過給定閾值導(dǎo)致會話終止； —— 其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。 2) WEB應(yīng)用安全監(jiān)測系統(tǒng)的審計(jì)記錄中能夠記錄下列信息： —— 事件發(fā)生的日期、時(shí)間； —— 事件的類型； —— 主體身份標(biāo)識； —— 事件的描述及結(jié)果。 1)-2)項(xiàng)均滿足為“符合”，其他情況為“不符合”。 5.4.2.2　 審計(jì)查閱 a) 檢測要求 1) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為授權(quán)用戶提供讀取審計(jì)記錄的功能。 2) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)以便于用戶理解的方式提供審計(jì)記錄。 b) 檢測方法 1) 以授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng)，查驗(yàn)是否為授權(quán)用戶提供從審計(jì)記錄中讀取審計(jì)信息的功能。 2) 查看 WEB應(yīng)用安全監(jiān)測系統(tǒng)審計(jì)信息的提供方式和格式。 c) 結(jié)果判定 1) 授權(quán)用戶能夠讀取審計(jì)記錄； 2) 審計(jì)記錄以用戶易理解的方式和格式提供。 1)-2)項(xiàng)均滿足為“符合”；否則為“不符合”。 5.4.2.3　 限制審計(jì)查閱 a) 檢測要求 除明確允許讀訪問的用戶外，TSF應(yīng)禁止所有用戶對審計(jì)記錄的讀訪問。 b) 檢測方法 1) 檢查授權(quán)用戶是否能夠讀取其權(quán)限范圍內(nèi)的審計(jì)信息； 2) 檢查非授權(quán)用戶是否不能讀取任何審計(jì)信息。 c) 結(jié)果判定 1) 授權(quán)用戶能夠讀取其權(quán)限范圍內(nèi)的審計(jì)信息； 2) 非授權(quán)用戶不能讀取任何審計(jì)信息。 1)-2)項(xiàng)均滿足為“符合”；否則為“不符合”。 5.4.2.4　 可選審計(jì)查閱 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)提供根據(jù)條件對審計(jì)數(shù)據(jù)進(jìn)行查詢或排序的功能。 b) 檢測方法 1) 以授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng)，以一定的條件（如，主體ID（標(biāo)識符）、客體ID、日期、時(shí)間等）對審計(jì)數(shù)據(jù)進(jìn)行查詢或排序操作； 2) 檢查查詢或排序的結(jié)果是否完全正確。 c) 結(jié)果判定 1) 能夠支持根據(jù)條件對審計(jì)數(shù)據(jù)進(jìn)行查詢或排序； 2) 查詢或排序的結(jié)果是否完全正確。 1)-2)項(xiàng)均滿足為“符合”，其他情況為“不符合”。 5.4.2.5　 防止審計(jì)數(shù)據(jù)丟失 a) 檢測要求 1) WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)把生成的審計(jì)記錄存儲于一個(gè)永久性的記錄中，并應(yīng)提供相應(yīng)措施以防止故障或攻擊造成的審計(jì)事件丟失； 2) 對因故障或存儲耗竭而導(dǎo)致審計(jì)數(shù)據(jù)丟失的最大審計(jì)存儲容量，WEB應(yīng)用安全監(jiān)測系統(tǒng)的開發(fā)者應(yīng)提供相應(yīng)的分析結(jié)果； 3) 一旦審計(jì)存儲容量達(dá)到事先規(guī)定的警戒值，應(yīng)能發(fā)送警告信息，并采取相應(yīng)的防護(hù)措施。 b) 檢測方法 1) 查驗(yàn)WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能是否將生成的審計(jì)記錄存儲于一個(gè)永久性的記錄中（如，硬盤），而非易失性部件中（如，內(nèi)存）。 2) 查驗(yàn)是否提供相應(yīng)措施以防止故障或攻擊造成的審計(jì)事件丟失（檢測是否提供安全措施，如可以自動存檔或?qū)С鰧徲?jì)事件，防止意外丟失）； 3) 查驗(yàn)對因故障或存儲耗竭而導(dǎo)致審計(jì)數(shù)據(jù)丟失的最大審計(jì)存儲容量，WEB應(yīng)用安全監(jiān)測系統(tǒng)的開發(fā)者是否提供相應(yīng)的分析結(jié)果 （包括對可能到達(dá)最大容量的充分估計(jì)，對容量問題設(shè)計(jì)一定措施，如開辟大容量空間存放審計(jì)數(shù)據(jù)、接近上限前提醒管理員等）； 4) 模擬審計(jì)容量大量消耗相關(guān)的操作，測試WEB應(yīng)用安全監(jiān)測系統(tǒng)是否在審計(jì)存儲容量達(dá)到事先規(guī)定的警戒值時(shí)發(fā)出警告信息，并采取相應(yīng)的防護(hù)措施（如，停止記錄、僅從最早的記錄開始覆蓋等）。 c) 結(jié)果判定 1) 審計(jì)記錄存儲于一個(gè)永久性的記錄中； 2) 系統(tǒng)支持自動存檔機(jī)制或支持授權(quán)管理員的導(dǎo)出備份功能，從而能夠防止由于故障和攻擊可能造成的意外丟失； 3) 對因故障或存儲耗竭而導(dǎo)致審計(jì)數(shù)據(jù)丟失的最大審計(jì)存儲容量，系統(tǒng)的開發(fā)者能夠提供相應(yīng)的分析結(jié)果； 4) 審計(jì)容量達(dá)到警戒值時(shí)發(fā)出警告信息，并能夠采取相應(yīng)的防護(hù)措施。 1)-4)項(xiàng)均滿足為“符合”；其他情況為“不符合”。 5.4.2.6　 審計(jì)數(shù)據(jù)保護(hù) a) 檢測要求 1) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保護(hù)存儲的審計(jì)記錄免遭未授權(quán)的刪除； 2) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)禁止對審計(jì)記錄的修改。 b) 檢測方法 1) 分別以授權(quán)用戶和非授權(quán)用戶身份執(zhí)行刪除審計(jì)記錄的操作，驗(yàn)證WEB應(yīng)用安全監(jiān)測系統(tǒng)是否能夠確保免遭未授權(quán)的刪除； 2) 查看WEB應(yīng)用安全監(jiān)測系統(tǒng)是否能夠防止修改審計(jì)記錄的操作。 c) 結(jié)果判定 1) 能夠確保免遭未授權(quán)的刪除； 2) 審計(jì)記錄不能修改。 1）—2）項(xiàng)滿足為“符合”，其他情況為“不符合”。 5.4.3　 標(biāo)識和鑒別 5.4.3.1　 唯一性標(biāo)識 a) 檢測要求 WEB 應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)保證任何用戶都具有全局唯一的標(biāo)識。 b) 檢測方法 1) 以授權(quán)用戶身份登錄數(shù)據(jù)泄露防護(hù)產(chǎn)品，查看用戶信息； 2) 嘗試新建一個(gè)相同用戶標(biāo)識的用戶，檢查操作是否能夠成功。 c) 結(jié)果判定 1) 系統(tǒng)不允許新建相同用戶標(biāo)識的用戶。 1)項(xiàng)滿足為“符合”；其他情況為“不符合”。 5.4.3.2　 鑒別的時(shí)機(jī) a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)要求每個(gè)用戶在執(zhí)行與數(shù)據(jù)泄露防護(hù)產(chǎn)品安全相關(guān)的任何其他操作之前，都已被成功鑒別。 b) 檢測方法 1) 查看用戶在未被成功鑒別前，是否被拒絕執(zhí)行任何安全相關(guān)的操作； 2) 查看產(chǎn)品是否拒絕使用錯誤鑒別信息的用戶登錄； 3) 嘗試以正確的鑒別信息登錄，驗(yàn)證產(chǎn)品是否允許登錄，是否允許進(jìn)行相應(yīng)的安全管理操作。 4) 對系統(tǒng)中所有角色的授權(quán)用戶進(jìn)行測試，查驗(yàn)WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能是否確保對每個(gè)授權(quán)用戶都進(jìn)行鑒別。 c) 結(jié)果判定 1) 用戶被成功鑒別前，不能執(zhí)行任何與安全相關(guān)的操作； 2) 使用錯誤鑒別信息，產(chǎn)品不允許登錄； 3) 使用正確的鑒別信息，能夠成功登錄，并能夠執(zhí)行相應(yīng)的安全管理操作。 4) 系統(tǒng)能夠確保對每個(gè)授權(quán)用戶都進(jìn)行鑒別。 1)-4)項(xiàng)均滿足為“符合”；其他情況為“不符合”。 5.4.3.3　 用戶屬性定義 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)為每一個(gè)用戶保存安全屬性表，屬性應(yīng)包括：用戶標(biāo)識、授權(quán)信息或用戶組信息、其他安全屬性等。 b) 檢測方法 1) 查看產(chǎn)品是否為每一個(gè)用戶保存其安全屬性表，屬性可包括：用戶標(biāo)識、授權(quán)信息或用戶組信息、其他安全屬性等； 2) 以不同的授權(quán)用戶身份登錄WEB應(yīng)用安全監(jiān)測系統(tǒng)，執(zhí)行其權(quán)限范圍內(nèi)的操作，檢查該用戶可執(zhí)行的操作與其安全屬性（如用戶標(biāo)識、授權(quán)信息等）的要求是否一致； 3) 查驗(yàn)是否能夠有效對安全屬性進(jìn)行設(shè)定、修改； 4) 修改用戶的部分安全屬性后，檢查該用戶可執(zhí)行的操作與其被修改后的安全屬性的要求是否一致。 c) 結(jié)果判定 1) 系統(tǒng)支持為每一個(gè)用戶定義及維護(hù)其安全屬性表； 2) 所有用戶能夠依據(jù)其安全屬性進(jìn)行相應(yīng)的操作； 3) 支持對安全屬性的設(shè)定、修改； 4) 用戶可執(zhí)行的操作與其被修改后的安全屬性（如授權(quán)信息等）的要求一致。 1)-4)均滿足為“符合”；其他情況為“不符合”。 5.4.3.4　 鑒別失敗處理 a) 檢測要求 1) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能檢測用戶的不成功的鑒別嘗試； 2) 在經(jīng)過一定次數(shù)的鑒別失敗后，WEB應(yīng)用安全監(jiān)測系統(tǒng)的安全功能應(yīng)采取措施以終止登錄嘗試的動作，直至滿足已定義的條件才允許進(jìn)行重新鑒別； 3) 鑒別嘗試的閾值應(yīng)僅允許授權(quán)管理員設(shè)定。 b) 檢測方法 1) 以錯誤的鑒別信息嘗試登錄，查驗(yàn)是否被拒絕進(jìn)入系統(tǒng)； 2) 進(jìn)行一定次數(shù)的登錄嘗試，驗(yàn)證在一定次數(shù)的鑒別失敗后，WEB應(yīng)用安全監(jiān)測系統(tǒng)是否對登錄嘗試主機(jī)終止其建立會話的過程（例如：關(guān)閉身份鑒別的對話界面、鎖定帳戶等）； 3) 如果系統(tǒng)提供最多失敗次數(shù)的設(shè)定功能。查驗(yàn)該閾值是否僅由授權(quán)管理員設(shè)定，并驗(yàn)證所設(shè)定的次數(shù)是否有效； c) 結(jié)果判定 1) 系統(tǒng)能夠檢測用戶的不成功的鑒別嘗試； 2) 在連續(xù)登錄鑒別嘗試失敗連續(xù)達(dá)到指定次數(shù)后，用戶賬號或登錄點(diǎn)失效； 3) 達(dá)到解鎖條件后，失效的用戶賬號或登錄點(diǎn)能夠重新進(jìn)行鑒別操作； 4) 未成功鑒別嘗試次數(shù)閾值僅由授權(quán)管理員能夠進(jìn)行設(shè)置。 1)-4）項(xiàng)均滿足為“符合”；其他情況為“不符合”。 5.4.3.5　 受保護(hù)的鑒別反饋 a) 檢測要求 鑒別進(jìn)行時(shí)，WEB應(yīng)用安全監(jiān)測系統(tǒng)安全功能應(yīng)以隱性的方式顯示鑒別數(shù)據(jù)輸入的反饋，不顯示字符本身。 b) 檢測方法 執(zhí)行用戶身份鑒別操作，輸入用戶鑒別數(shù)據(jù)，檢查WEB應(yīng)用安全監(jiān)測系統(tǒng)給出的反饋信息是否不顯示字符本身。 c) 結(jié)果判定 1) 產(chǎn)品給出的反饋信息不顯示字符本身。 1)項(xiàng)滿足為“符合”；其他情況為“不符合”。 5.4.4　 安全管理 5.4.4.1　 安全功能行為的管理 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅限于授權(quán)用戶對下述功能具有修改的能力。 1) 監(jiān)測任務(wù)的管理； 2) 其他安全功能行為的管理。 b) 檢測方法 1) 檢查WEB應(yīng)用安全監(jiān)測系統(tǒng)管理系統(tǒng)的安全功能是否明確規(guī)定僅限于指定的授權(quán)角色對監(jiān)測任務(wù)具有設(shè)定、修改的能力。 2) 檢查指定的授權(quán)用戶對系統(tǒng)的功能進(jìn)行設(shè)定、修改等操作前，是否先登錄才能操作。 c) 結(jié)果判定 1) WEB應(yīng)用安全監(jiān)測系統(tǒng)僅限于授權(quán)用戶對監(jiān)測任務(wù)等功能進(jìn)行設(shè)定、修改。 2) 指定的授權(quán)用戶對系統(tǒng)的功能進(jìn)行設(shè)定、修改等操作前，先登錄才能操作。 1)-2)項(xiàng)均滿足為“符合”；其他情況為“不符合”。 5.4.4.2　 安全屬性的管理 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)執(zhí)行訪問控制策略或信息流控制策略， 以限制已識別了的授權(quán)角色查詢、修改和刪除安全屬性的能力。 b) 檢測方法 1) 查看產(chǎn)品所設(shè)定的安全屬性組（如：用戶名、帳戶有效性、帳戶過期時(shí)間和口令過期時(shí)間等）； 2) 對用戶的安全屬性進(jìn)行查詢、創(chuàng)建、修改和刪除，并作相應(yīng)驗(yàn)證； 3) 驗(yàn)證是否僅指定的授權(quán)管理員（如：系統(tǒng)管理員）對安全屬性具有管理能力。 c) 結(jié)果判定 1) 產(chǎn)品能夠提供對安全屬性進(jìn)行查詢、創(chuàng)建、修改和刪除的功能； 2) 產(chǎn)品僅允許指定的授權(quán)管理員對安全屬性具有管理能力。 1)-2)均滿足為“符合”；其他情況為“不符合”。 5.4.4.3　 安全角色 a) 檢測要求 1) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)維護(hù)已標(biāo)識的授權(quán)角色； 2) WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)能夠?qū)⒂脩襞c角色關(guān)聯(lián)起來。 b) 檢測方法 1) 查看產(chǎn)品說明文檔中關(guān)于安全管理角色的劃分和描述； 2) 查驗(yàn)是否允許定義多個(gè)角色或?qū)巧M(jìn)行分級，使不同級別的管理角色具有不同的管理權(quán)限； 3) 將用戶與角色關(guān)聯(lián)起來，并進(jìn)行驗(yàn)證； 4) 檢測未授予安全管理角色的普通用戶是否能夠執(zhí)行安全管理功能相關(guān)操作。 c) 結(jié)果判定 1) 產(chǎn)品支持定義多個(gè)角色或?qū)巧M(jìn)行分級，使不同級別的管理角色具有不同的管理權(quán)限； 2) 用戶能夠與角色進(jìn)行關(guān)聯(lián)，從而實(shí)施相應(yīng)的管理功能； 3) 未授予安全管理角色的普通用戶不能執(zhí)行安全管理功能相關(guān)操作。 1)-3)均滿足為“符合”；其他情況為“不符合”。 5.4.4.4　 TSF數(shù)據(jù)的管理 a) 檢測要求 WEB應(yīng)用安全監(jiān)測系統(tǒng)應(yīng)僅允許授權(quán)用戶控制安全功能數(shù)據(jù)的管理。 b) 檢測方法 1) 驗(yàn)證授權(quán)管理員用戶對TSF數(shù)據(jù)的管理能力（如，審計(jì)信息、時(shí)鐘、系統(tǒng)配置、重鑒別的閾值、掃描間隔時(shí)間、告警參數(shù)和其它TSF配置參數(shù)等）； 2) 驗(yàn)證僅允許指定的授權(quán)管理員才能實(shí)施 TSF 數(shù)據(jù)的管理。 c) 結(jié)果判定 1) 產(chǎn)品能夠提供對TSF數(shù)據(jù)（如，審計(jì)信息、時(shí)鐘、系統(tǒng)配置、重鑒別的閾值、掃描間隔時(shí)間、告警參數(shù)和其它TSF配置參數(shù)等）的管理能力； 2) 僅允許指定的授權(quán)管理員（如：安全策略管理員）才能實(shí)施TSF數(shù)據(jù)的管理。 1)-2)均滿足為“符合”；其他情況為“不符合”。 5.4.5　 TSF保護(hù) 5.4.5.1　 內(nèi)部TSF數(shù)據(jù)傳送的基本保護(hù) a) 檢測要求 TSF應(yīng)保護(hù)所有從WEB 應(yīng)用安全監(jiān)測系統(tǒng)傳送到遠(yuǎn)程管理主機(jī)的TSF數(shù)據(jù)（如：登錄鑒別數(shù)據(jù)、安全設(shè)置信息）在傳送過程中不會被未授權(quán)泄漏。 b) 檢測方法 1) 審查產(chǎn)品說明手冊，當(dāng)產(chǎn)品需要通過網(wǎng)絡(luò)進(jìn)行管理時(shí)，是否能提供對安全功能數(shù)據(jù)采取安全保護(hù)措施； 2) 使用網(wǎng)絡(luò)協(xié)議分析工具，對網(wǎng)絡(luò)傳輸?shù)陌踩δ軘?shù)據(jù)進(jìn)行截包分析并加以驗(yàn)證。 c) 結(jié)果判定 1) 產(chǎn)品能夠提供對安全功能數(shù)據(jù)進(jìn)行非明文傳輸。 1）項(xiàng)滿足為“符合”；其他情況為“不符合”。 5.4.5.2　 自動恢復(fù) a) 檢測要求 1) 當(dāng)WEB應(yīng)用安全監(jiān)測系統(tǒng)發(fā)生失效、服務(wù)中斷等故障，無法自動恢復(fù)時(shí)，系統(tǒng)應(yīng)能夠提供進(jìn)入維護(hù)模式，通過該模式保證系統(tǒng)返回到一個(gè)安全狀態(tài)。 2) 當(dāng)WEB應(yīng)用安全監(jiān)測系統(tǒng)的服務(wù)發(fā)生中斷后，在人工干預(yù)的情況下或者無人工干預(yù)自動恢復(fù)到安全狀態(tài)（如：安全策略、系統(tǒng)配置等）。 b) 檢測方法 1) 審查產(chǎn)品說明手冊，產(chǎn)品是否提供自動恢復(fù)功能； 2) 人為造成系統(tǒng)關(guān)鍵功能失效（包括WEB應(yīng)用安全監(jiān)測系統(tǒng)與相連的網(wǎng)絡(luò)設(shè)備之間網(wǎng)絡(luò)通信斷開；WEB應(yīng)用安全監(jiān)測系統(tǒng)電源關(guān)閉等）；驗(yàn)證系統(tǒng)是否提供系統(tǒng)關(guān)鍵功能的自動恢復(fù)功能。 3) 如果無法進(jìn)行自動恢復(fù)功能，驗(yàn)證系統(tǒng)是否提供維護(hù)模式，通過維護(hù)模式保證系統(tǒng)返回到安全狀態(tài)。 c) 結(jié)果判定 1) 產(chǎn)品提供自動恢復(fù)功能； 2) 產(chǎn)品能夠自動恢復(fù)到未發(fā)生故障之前的狀態(tài)； 3) 產(chǎn)品提供維護(hù)模式，并通過維護(hù)模式保證系統(tǒng)返回到安全狀態(tài)。 1）-3）項(xiàng)滿足為“符合”；其他情況為“不符合”。 5.4.6　 用戶數(shù)據(jù)保護(hù) 5.4.6.1　 基于安全屬性的訪問控制 a) 檢測要求 1) 產(chǎn)品安全功能應(yīng)基于安全屬性和確定的安全屬性組，對已明確的客體執(zhí)行產(chǎn)品訪問控制策略； 2) 產(chǎn)品安全功能應(yīng)執(zhí)行產(chǎn)品訪問控制策略，決定受控的主體與客體間的操作是否被允許。 b) 檢測方法 1) 驗(yàn)證產(chǎn)品定義了不同的安全屬性組（如：用戶名、帳戶有效性、帳戶過期時(shí)間和口令過期時(shí)間等），并規(guī)定了對產(chǎn)品的訪問控制策略； 2) 驗(yàn)證用戶對產(chǎn)品的訪問，由訪問控制策略進(jìn)行約束。 c) 結(jié)果判定 1) 產(chǎn)品能夠基于安全屬性設(shè)置相應(yīng)的訪問控制策略。 2) 產(chǎn)品能夠依據(jù)訪問控制策略執(zhí)行訪問控制。 1）-2）項(xiàng)滿足為“符合”；其他情況為“不符合”。 5.5　 安全保障要求評估 5.5.1　 開發(fā) 5.5.1.1　 安全架構(gòu)描述 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TOE，確保TSF的安全特性不可旁路； —— 開發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TSF，以防止不可信主體的破壞； —— 開發(fā)者應(yīng)提供TSF安全架構(gòu)的描述。 2) 內(nèi)容和形式元素： —— 安全架構(gòu)的描述應(yīng)與在TOE設(shè)計(jì)文檔中對SFR-執(zhí)行的抽象描述的級別一致； —— 安全架構(gòu)的描述應(yīng)描述與安全功能要求一致的TSF安全域； —— 安全架構(gòu)的描述應(yīng)描述TSF初始化過程為何是安全的； —— 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止被破壞； —— 安全架構(gòu)的描述應(yīng)證實(shí)TSF可防止SFR-執(zhí)行的功能被旁路。 b) 評估方法 評估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開發(fā)者提供了TSF安全架構(gòu)的描述； 2) 開發(fā)者提供的TSF安全架構(gòu)的描述滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足為“符合”，其他情況為“不符合”。 5.5.1.2　 安全執(zhí)行功能規(guī)范 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應(yīng)提供一個(gè)功能規(guī)范； —— 開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯關(guān)系。 2) 內(nèi)容和形式元素： —— 功能規(guī)范應(yīng)完整地描述TSF； —— 功能規(guī)范應(yīng)描述所有的TSFI的目的和使用方法； —— 功能規(guī)范應(yīng)識別和描述每個(gè)TSFI相關(guān)的所有參數(shù)； —— 對于每個(gè)SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述TSFI相關(guān)的SFR-執(zhí)行行為； —— 對于SFR-執(zhí)行TSFI，功能規(guī)范應(yīng)描述由SFR-執(zhí)行行為相關(guān)處理而引起的直接錯誤消息； —— 功能規(guī)范應(yīng)證實(shí)安全功能要求到TSFI的追溯。 b) 評估方法 1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評估者應(yīng)確定功能規(guī)范是安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。 c) 結(jié)果判定 1) 開發(fā)者提供了功能規(guī)范文檔； 2) 開發(fā)者提供的功能規(guī)范文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開發(fā)者提供的功能規(guī)范是安全功能要求的一個(gè)準(zhǔn)確且完備的實(shí)例化。 1）—3）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 5.5.1.3　 基礎(chǔ)設(shè)計(jì) a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應(yīng)提供TOE的設(shè)計(jì)； —— 開發(fā)者應(yīng)提供從功能規(guī)范的TSFI到TOE設(shè)計(jì)中獲取到的最低層分解的映射。 2) 內(nèi)容和形式元素： —— 設(shè)計(jì)應(yīng)根據(jù)子系統(tǒng)描述TOE的結(jié)構(gòu)； —— 設(shè)計(jì)應(yīng)標(biāo)識TSF的所有子系統(tǒng)； —— 設(shè)計(jì)應(yīng)對每一個(gè)SFR-支撐或SFR-無關(guān)的TSF子系統(tǒng)的行為進(jìn)行足夠詳細(xì)的描述，以確定它不是SFR-執(zhí)行； —— 設(shè)計(jì)應(yīng)概括SFR-執(zhí)行子系統(tǒng)的SFR-執(zhí)行行為； —— 設(shè)計(jì)應(yīng)描述TSF的SFR-執(zhí)行子系統(tǒng)間的互相作用和TSF的SFR-執(zhí)行子系統(tǒng)與其他TSF子系統(tǒng)間的相互作用； —— 映射關(guān)系應(yīng)證實(shí)TOE設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的TSFI。 b) 評估方法 1) 評估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容與形式的所有要求； 2) 評估者應(yīng)確定設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。 c) 結(jié)果判定 1) 開發(fā)者提供了TOE設(shè)計(jì)文檔； 2) 開發(fā)者提供的TOE設(shè)計(jì)文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開發(fā)者提供的設(shè)計(jì)是所有安全功能要求的正確且完備的實(shí)例。 1）—3）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 5.5.2　 指導(dǎo)性文檔 5.5.2.1　 操作用戶指南 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應(yīng)提供操作用戶指南。 2) 內(nèi)容和形式元素： —— 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述，在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ? —— 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述，怎樣以安全的方式使用TOE提供的可用接口； —— 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)應(yīng)指明安全值； —— 操作用戶指南應(yīng)對每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實(shí)體的安全特性； —— 操作用戶指南應(yīng)標(biāo)識TOE運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯誤），它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系； —— 操作用戶指南應(yīng)對每一種用戶角色進(jìn)行描述，為了充分實(shí)現(xiàn)ST中描述的運(yùn)行環(huán)境安全目的所必須執(zhí)行的安全策略； —— 操作用戶指南應(yīng)是明確和合理的。 b) 評估方法 評估者應(yīng)確認(rèn)所有提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開發(fā)者提供了操作用戶指南； 2) 開發(fā)者提供的操作用戶指南滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 5.5.2.2　 準(zhǔn)備程序 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應(yīng)提供TOE，包括它的準(zhǔn)備程序。 2) 內(nèi)容和形式元素： —— 準(zhǔn)備程序應(yīng)描述與開發(fā)者交付程序相一致的安全接收所交付TOE所必需的所有步驟； —— 準(zhǔn)備程序應(yīng)描述安全安裝TOE以及安全準(zhǔn)備與ST中描述的運(yùn)行環(huán)境安全目的一致的運(yùn)行環(huán)境必需的所有步驟。 b) 評估方法 1) 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求； 2) 評估者應(yīng)運(yùn)用準(zhǔn)備程序確認(rèn)TOE運(yùn)行能被安全的準(zhǔn)備。 c) 結(jié)果判定 1) 開發(fā)者提供了TOE以及它的準(zhǔn)備程序； 2) 開發(fā)者提供的準(zhǔn)備程序滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 運(yùn)用準(zhǔn)備程序能夠確認(rèn)TOE運(yùn)行能被安全的準(zhǔn)備。 1）—3）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 5.5.3　 生命周期支持 5.5.3.1　 CM系統(tǒng)的使用 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應(yīng)提供TOE及其參照號； —— 開發(fā)者應(yīng)提供CM文檔； —— 開發(fā)者應(yīng)使用CM系統(tǒng)。 2) 內(nèi)容和形式元素： —— 應(yīng)給TOE標(biāo)注唯一參照號； —— CM文檔應(yīng)描述用于唯一標(biāo)識配置項(xiàng)的方法； —— CM系統(tǒng)應(yīng)唯一標(biāo)識所有配置項(xiàng)。 b) 評估方法 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開發(fā)者提供了TOE，并為其標(biāo)注唯一參照號； 2) 開發(fā)者提供了配置管理文檔，且文檔滿足證據(jù)的內(nèi)容和形式的所有要求； 3) 開發(fā)者使用了配置管理系統(tǒng)，且配置管理系統(tǒng)滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—3）項(xiàng)均滿足的為“符合”，其他情況為“不符合”。 5.5.3.2　 部分TOE CM覆蓋 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應(yīng)提供TOE配置項(xiàng)列表。 2) 內(nèi)容和形式元素： —— 配置項(xiàng)列表應(yīng)包括：TOE本身、安全保障要求的評估證據(jù)和TOE的組成部分； —— 配置項(xiàng)列表應(yīng)唯一標(biāo)識配置項(xiàng)； —— 對于每一個(gè)TSF相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡要說明該配置項(xiàng)的開發(fā)者。 b) 評估方法 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1) 開發(fā)者提供了產(chǎn)品配置項(xiàng)列表； 2) 開發(fā)者提供的產(chǎn)品配置項(xiàng)列表滿足證據(jù)的內(nèi)容和形式的所有要求。 1）—2）項(xiàng)均滿足的為“符合”；其他情況為“不符合”。 5.5.3.3　 交付程序 a) 評估要求 1) 開發(fā)者行為元素： —— 開發(fā)者應(yīng)將把TOE或其部分交付給消費(fèi)者的程序文檔化； —— 開發(fā)者應(yīng)使用交付程序。 2) 內(nèi)容和形式元素： —— 交付文檔應(yīng)描述，在向消費(fèi)者分發(fā)TOE版本時(shí)，用以維護(hù)安全性所必需的所有程序。 b) 評估方法 評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。 c) 結(jié)果判定 1)