《基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法》（公开征求意见稿）.pdf

T/SCPCAXXXX-2024T/SCJRXXX-2024T/CQJRXXX-2024

基于远程浏览器隔离技术的金融Web应用安全防护平台评价方法

1范围

本文件界定了金融Web应用安全防护的能力评价方法。确立了基于远程浏览器隔离技术的Web应

用安全防护平台（以下简称：威胁隔离平台）的功能要求、成熟度要求和评价方法。

本文件适用于成渝地区金融机构Web安全防护方案/产品选型参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用

文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）

适用于本文件。

GB/T25069信息安全技术术语

3术语和定义

下列术语和定义适用于本文件。

3.1

浏览器browser

计算机系统中用来检索、展示以及传递Web信息资源的应用程序。

3.2

远程浏览器隔离remotebrowserisolation

一种将Web浏览活动运行在一个远程隔离的环境中，以保护计算机用户免受可能遇到的任何恶意

软件的伤害的技术。

3.3

安全传输层协议transportlayersecurity

为互联网通信提供安全及数据完整性保障的一种安全协议。

3.4

安全套接字协议securesocketslayer

为网络通信提供安全及数据完整性的一种安全协议。

3.5

桌面虚拟化virtualdesktopinfrastructure

指计算机的终端系统（也称作桌面）进行虚拟化，以达到桌面使用的安全性和灵活性，可以通

过任何设备，在任何地点，任何时间通过网络访问属于个人的桌面系统的技术手段。

3.6

文档对象模型documentobjectmodel

是一种与平台和语言无关的应用程序接口(API),它可以动态地访问程序和脚本,更新其内容、结

构和WWW文档的风格(HTML和XML文档是通过说明部分定义的)。文档可以进一步被处理，处理的结果

可以加入到当前的页面。DOM是一种基于树的API文档，它要求在处理过程中整个文档都表示在存储

器中。

4缩略语

下列缩略语适用于本文件。

a)API：应用程序接口（ApplicationProgrammingInterface）

1

T/SCPCAXXXX-2024T/SCJRXXX-2024T/CQJRXXX-2024

b)AWVS：AcunetixWeb漏洞扫描程序（AcunetixWebVulnerabilityScanner）

c)CVE：通用漏洞披露（CommonVulnerabilitiesandExposures）

d)HTML：超文本标记语言（HyperTextMarkupLanguage）

e)HTML5：超文本标记语言修订版5（HyperTextMarkupLanguage5）

f)HTTP：超文本传输协议（HyperTextTransferProtocol）

g)HTTPS：超文本安全传输协议（HypertextTransferProtocolSecure）

h)JS：脚本语言（JavaScript）

i)SQL：结构化查询语言（StructuredQueryLanguage）

j)WEBSHELL：网页脚本程序（WebShellScript）

k)WWW：万维网（WorldWideWeb）

l)XML：可扩展标记语言（ExtensibleMarkupLanguage）

m)XSS：跨站脚本攻击（CrossSiteScripting）

5评价等级判定

5.1等级说明

网络安全产品能力等级分为三个等级，从低到高分别是一级（基础级）、二级（成熟级）和三

级（专业级）。

5.2等级判定方法

安全能力测试、兼容性测试、易用性及用户体验测试，需