信息技术网站恢复产品安全检验规范.pdfVIP

编号：MSCTC-GFJ-08 信 息 技 术 网 站 恢 复 产 品 安 全 检 验 规 范 公安部计算机信息系统安全产品质量监督检验中心 第一版 第 0 次修订 2003 年 11 月01 日颁布 2003 年 12 月01 日实施 GAXXX--2002 前 言 为了规范全国网站恢复产品的开发与应用，保障公共信息网络安全，根据公安部公共 信息网络安全监察局的要求，本规范对网站恢复产品提出了安全功能要求和保证要求，作 为对其进行检测的依据。 本规范由中华人民共和国公安部公共信息网络安全监察局提出。 本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。 公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。 i GAXXX--2002 信息技术网站恢复产品安全检验规范 1 范围 本规范规定了网站恢复产品的安全功能要求和技术要求。 本规范适用于网站恢复产品的生产及安全功能检测。 2 术语和定义 2.1 网站恢复website recovery 网站恢复产品是一种对网页内容的未授权更改准实时地进行自动恢复的软件。 3 网站恢复产品的安全功能要求 3.1 网页文件自动恢复功能 网站恢复产品能对受保护静态网页文件的未授权更改进行识别，并能用备份文件进行自 动恢复。即： a ）网页文件未授权增加的恢复； b ）网页文件未授权删除的恢复； c ）网页文件未授权修改（包括文件属性修改、重命名、移动等）的恢复。 3.2 网页目录自动恢复功能 网站恢复产品能识别对受保护网页目录的未授权破坏进行识别，并能用备份目录进行自 动恢复。即： a ）网页目录未授权增加的恢复； b ）网页目录未授权删除的恢复； c ）网页目录未授权修改（包括目录属性修改、重命名、移动等）的恢复。 3.3 管理功能 3.3.1 管理员身份鉴别 网站恢复产品应保证只有授权管理员能使用产品的管理功能。对授权管理员应进行身份 鉴别。 3.3.2 管理员权限 网站恢复产品应保证授权管理员有下列权限： 1 GAXXX--2002 a) 管理员属性修改（更改密码等）； b) 启动、关闭监控保护服务； c) 增加或撤消对所有受保护目录的监控； d） 授权合法用户对网页内容进行合法更新。 3.3.3 监控目录/文件管理 3.3.3.1 用户可增加或撤消其相应的被监控的目录/文件； 3.3.3.2 若采用定期扫描的监测机制，则对监控目录/文件遭受未授权更改的监测时间间隔， 用户可自行设置。 3.3.4 备份文件的安全存储及保密传输 3.3.4.1 仅管理员可指定备份端，用户可备份指定文件及目录到备份端； 3.3.4.2 备份端应对登录用户进行身份鉴别，实现备份文件在备份端的安全存储； 3.3.4.3 用备份文件对受保护网页文件的未授权更改进行恢复时，备份文件应保密传输； 3.3.4.4 应提供网页内容合法更新后的及时备份。 3.3.5 产品自身安全性 应能抵御已知手段攻击，保证其正常运行不受影响。 3.3.6 远程管理的安全性 若提供远程管理功能，应对远程管理的登录信息及会话保密传输。