ICS 03.060
CCS A 11
团
体 标 准
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
基于远程浏览器隔离技术的
金融Web应用安全防护平台评价方法
Evaluation method of financial web application security protection
platform based on remote browser isolation technology
2024-06-20 发布
2024-07-20 实施
四 川 省 支 付 清 算 协 会
重 庆 市 金 融 学 会
发 布
四 川 省 金 融 学 会
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
目 次
前言 .................................................................................. II
引言 ................................................................................. III
1 范围 ................................................................................. 1
2 规范性引用文件 ....................................................................... 1
3 术语和定义 ........................................................................... 1
4 缩略语 ............................................................................... 2
5 评价等级判定 ......................................................................... 2
5.1 等级说明 ......................................................................... 2
5.2 等级判定方法 ..................................................................... 2
5.3 打分方法 ......................................................................... 2
5.4 参考评估域权重 ................................................................... 2
5.5 能力计算方法 ..................................................................... 3
6 技术原理 ............................................................................. 3
7 安全防护能力 ......................................................................... 3
7.1 隐藏 Web 应用系统的源代码/API/JS .................................................. 3
7.2 隔离自动化攻击源 ................................................................. 3
7.3 隔离注入式攻击 ................................................................... 3
8 评价方法 ............................................................................. 4
8.1 安全能力 ......................................................................... 4
8.2 兼容性 ........................................................................... 6
8.3 易用性及用户体验 ................................................................. 7
附录 A（资料性） 威胁隔离平台测试环境规范 ...............................................9
附录 B（资料性） 参考评估权重 ..........................................................10
参考文献 .............................................................................. 11
I
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
前 言
本文件按照GB/T 1.1-2020《标准化工作导则
定起草。
本文件由四川省支付清算协会提出。
第1部分：标准化文件的结构和起草规则》的规
本文件由四川省支付清算协会、重庆市金融学会、四川省金融学会归口。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件起草单位：成都农村商业银行股份有限公司、重庆银行股份有限公司、四川农村商业联
合银行股份有限公司、北京安胜华信科技有限公司、北京钛星数安科技有限公司。
本文件主要起草人：蔡兵、李黎明、叶明、谢春利、钱建诚、吕茂婷、米俊霖、张未卿、赵建
波、叶宇航、杨钧丞、李悦、顾方方、邓何、汪洪珍、唐福喜、林真伟、谢昌建、徐宁、阳方升、
刘畅、聂志宏、熊玉、付毅、陈滔、白金、夏浩淳、陈晓东、李德、刘海光、吴天、母丹、刘东甲、
何佳佳、贺伟、汤湘祁。
本文件为首次发布。
II
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
引 言
基于远程浏览器隔离技术的Web安全防护平台其原理是在一个远程的虚拟化平台上为每个Web访
问构建一个浏览器访问请求（称之为“远程浏览器”），执行用户的访问会话，将用户访问与真实
Web服务器隔离，这样即使有Web攻击，也无法侵害到真实的Web应用服务器。从而解决多种常规Web
应用安全防护手段难以解决的安全问题，保证金融Web应用系统的安全。
在金融Web应用保护场景中，为规范基于远程浏览器隔离技术的安全平台能力要求，为同类产品
的生产和服务提供有效参考，促使产品质量的持续改善，特制定本文件。
III
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
基于远程浏览器隔离技术的金融 Web 应用安全防护平台评价方法
1
范围
本文件界定了金融Web应用安全防护的能力评价方法。确立了基于远程浏览器隔离技术的Web应
用安全防护平台（以下简称：威胁隔离平台）的功能要求、成熟度要求和评价方法。
本文件适用于成渝地区金融机构Web安全防护方案/产品选型参考。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用
文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）
适用于本文件。
GB/T 25069 信息安全技术 术语
3
术语和定义
下列术语和定义适用于本文件。
3.1
浏览器
browser
计算机系统中用来检索、展示以及传递Web信息资源的应用程序。
3.2
远程浏览器隔离
remote browser isolation
一种将Web浏览活动运行在一个远程隔离的环境中，以保护计算机用户免受可能遇到的任何恶意
软件的伤害的技术。
3.3
安全传输层协议
transport layer security
为互联网通信提供安全及数据完整性保障的一种安全协议。
3.4
安全套接字协议
secure sockets layer
为网络通信提供安全及数据完整性的一种安全协议。
3.5
桌面虚拟化
virtual desktop infrastructure
指计算机的终端系统（也称作桌面）进行虚拟化，以达到桌面使用的安全性和灵活性，可以通
过任何设备，在任何地点，任何时间通过网络访问属于个人的桌面系统的技术手段。
3.6
文档对象模型
document object model
是一种与平台和语言无关的应用程序接口(API),它可以动态地访问程序和脚本,更新其内容、结
构和WWW文档的风格(HTML和XML文档是通过说明部分定义的)。文档可以进一步被处理，处理的结果
可以加入到当前的页面。DOM是一种基于树的API文档，它要求在处理过程中整个文档都表示在存储
器中。
1
4 缩略语 T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
下列缩略语适用于本文件。
a)
API：应用程序接口（Application Programming Interface）
b)
AWVS：Acunetix Web 漏洞扫描程序（Acunetix Web Vulnerability Scanner）
c)
CVE：通用漏洞披露（Common Vulnerabilities and Exposures）
d)
HTML：超文本标记语言（HyperText Markup Language）
e)
HTML5：超文本标记语言修订版 5（HyperText Markup Language 5）
f)
HTTP：超文本传输协议（HyperText Transfer Protocol）
g)
HTTPS：超文本安全传输协议（Hypertext Transfer Protocol Secure）
h)
JS：脚本语言（JavaScript）
i)
SQL：结构化查询语言（Structured Query Language）
j)
WEBSHELL：网页脚本程序（Web Shell Script）
k)
WWW：万维网（World Wide Web）
l)
XML：可扩展标记语言（Extensible Markup Language）
m)
XSS：跨站脚本攻击（Cross Site Scripting ）
5
评价等级判定
5.1 等级说明
网络安全产品能力等级分为三个等级，从低到高分别是一级（基础级）、二级（成熟级）和三
级（专业级）。
5.2 等级判定方法
安全能力测试、兼容性测试、易用性及用户体验测试，需要搭建威胁隔离平台测试环境，按附
录A中规定的方法进行判定。
5.2.1
基础级
完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得
分达到60-70（不含）分，60（不含）分以下不予评级。
5.2.2
成熟级
完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得
分达到70-90（不含）分。
5.2.3
专业级
完成全部安全能力测试、兼容性测试、易用性及用户体验测试、可用性测试，且成熟度要素得
分达到90分以上。
5.3 打分方法
评估组应将采集的证据与能力要求进行对照，按照满足程度对评估域的每一条要求进行打分。
能力要求满足程度与得分对应表如表1所示。
表 1
成熟度要求满足程度与对应得分
成熟度要求满足程度 得分
全部满足 1
部分满足 0.5
不满足 0
5.4 参考评估域权重
2
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
根据网络安全产品能力要求，给出主要评估域及推荐权重，按附录B中规定给出。
5.5 能力计算方法
能力域总得分为该域下所有能力分项得分的加权求和，能力域得分按公式（1）计算：
B = ∑（C × β） …………………………（1）
本公式中：
B
——能力域总得分；
C
——能力域分项得分；
β ——能力域分项权重。
成熟度要素得分为该要素下能力域的加权求和，成熟度要素的得分按公式（2）计算：
A = ∑（B × α）
…………………………（2）
本公式中：
A
——成熟度要素得分；
B
——能力域总得分；
α ——能力域权重。
6
技术原理
威胁隔离平台技术核心是远程浏览器技术、容器技术以及 HTML5 渲染技术的结合。为每个用户
分配一个独立的虚拟容器，利用远程浏览器技术在容器中构建一个处理中心，执行源网页中的所有
脚本，并将执行完的结果转换成网页视觉编码，实时同步给用户浏览器，利用 HTML5 技术在用户浏
览器重新渲染成网页镜像，从而实现“零”源脚本交互，达到用户与业务系统/Web 应用服务器安全
隔离的效果。
7
安全防护能力
7.1 隐藏 Web 应用系统的源代码/API/JS
源代码暴露往往是 Web 攻击发起的起点，在用户浏览器中，可以查看网站或 Web 应用的源代码
以及脚本语句，如果网站或 Web 应用的源代码设计不严谨，黑客可以从暴露的源代码中发现漏洞，
基于漏洞发起攻击。
威胁隔离平台可隐藏 Web 应用的源码/API/JS，当用户在本地浏览器中访问 Web 应用时，所有服
务器返回的网页代码和脚本均在远程浏览器执行，远程浏览器不会对本地浏览器提供任何原始网页
的代码，第三方框架等信息。
7.2 隔离自动化攻击源
恶意攻击者往往会利用浏览器的开放性或者漏洞，采用自动化工具对 Web 应用发起漏洞扫描或
者“暴力破解式”攻击，攻击成本低，效率高。这种自动化攻击，是当前针对 Web 应用最常用的攻
击手段。
威胁隔离平台可以 100%隔离自动化攻击源。由于针对应用的访问已经转移到远程浏览器，而远
程浏览器只接受键盘和鼠标输入，所有的自动攻击工具都无法和远程浏览器直接通信或者发送攻击
指令，因此，采用自动化工具对 Web 应用发起的攻击将不会有任何效果。
7.3 隔离注入式攻击
3
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
注入式攻击通常都是通过直接组装 http/https 请求来发起攻击，威胁隔离平台上的远程浏览器
只接受 GET 请求，攻击者注入的渠道非常受限；并且远程浏览器对 URL 请求进行加密处理，可以防
止通过篡改 GET 请求进行注入攻击，进而达到对注入攻击的防护效果。
8
评价方法
8.1 安全能力
8.1.1 隐藏源代码/API/活动脚本 隐藏源代码/API/活动脚本评估表
表 2
评估要求 产品应具备如下能力： 隐藏Web应用系统源代码、API和活动脚本
评估权重 20%
预置条件 已经部署威胁隔离平台。
评估方法 步骤1：网站未进行隔离防护，打开本地浏览器开发者工具，查看网页源代码、活动 脚本、API请求和响应信息； 步骤2：网站进行隔离防护，打开本地浏览器开发者工具，查看网页源代码、活动脚 本、API请求和响应信息。
预期结果 成功隐藏Web应用系统源代码、API和活动脚本。
8.1.2 防 WEBSHELL 表 3 防 WEBSHELL 评估表
成熟度要求 产品应具备如下能力： 应成功拦截webshell攻击
评估权重 10%
预置条件 已经部署威胁隔离平台。
验证流程 步骤1：网站未进行隔离防护，对网站进行webshell攻击测试，验证网站隔离前 webshell防护效果； 步骤2：网站进行隔离防护，对网站进行webshell攻击测试，查看隔离后网站防 webshell攻击情况。
预期结果 威胁隔离平台能成功拦截webshell攻击。
8.1.3 防 SQL 注入 表 4 防 SQL 注入评估表
成熟度要求 产品应具备如下能力： 应防止SQL注入攻击
评估权重 5%
预置条件 已经部署威胁隔离平台。
验证流程 步骤1：网站未进行隔离防护，对网站进行依次进行POST、GET、输入框的SQL注入攻 击测试，查看隔离前网站防SQL注入攻击情况； 步骤2：网站进行隔离防护，对网站进行依次进行POST、GET、输入框的SQL注入攻击 测试，查看隔离后网站防SQL注入攻击情况。
预期结果 威胁隔离平台能成功阻断SQL注入攻击。
4
8.1.4 防 XSS 注入 表 5 T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
防 XSS 注入评估表
成熟度要求 产品应具备如下能力： 应防止XSS注入攻击
评估权重 5%
预置条件 已经部署威胁隔离平台。
验证流程 步骤1：对网站进行反射型XSS(非持久型)测试，测试网站隔离前后能否防护该类型XSS 注入攻击； 步骤2：对网站进行存储型XSS(持久型)测试;测试网站隔离前后能否防护该类型XSS 注入攻击； 步骤3：对网站进行DOM XSS(文档对象型)测试，测试网站隔离前后能否防护该类型XSS 注入攻击。
预期结果 威胁隔离平台能成功阻断XSS注入攻击。
8.1.5 反爬虫 表 6 反爬虫评估表
成熟度要求 产品应具备如下能力： 防止爬虫获取网站内容
评估权重 5%
预置条件 已经部署威胁隔离平台。
验证流程 步骤1：网站未进行隔离防护，对网站进行恶意爬虫攻击测试，验证网站隔离前反爬 虫效果； 步骤2：网站进行隔离防护，对网站进行恶意爬虫攻击测试，验证网站隔离后反爬虫 效果。
预期结果 部署威胁隔离平台后，原始网页内容爬取失败。
8.1.6 防自动化扫描与攻击 表 7 防自动化扫描与攻击评估表
成熟度要求 产品应具备如下能力： 防止自动化工具对网站发起的扫描及攻击
评估权重 5%
预置条件 已经部署威胁隔离平台。
验证流程 步骤1：网站未进行隔离防护，通过自动化扫描工具AWVS扫描目标Web应用系统，查看 扫描结果； 步骤2：网站进行隔离防护，通过自动化扫描工具AWVS重新目标Web应用系统，查看扫 描结果。
预期结果 部署威胁隔离平台后，漏洞扫描工具无法获取到Web应用系统的漏洞。
8.1.7 防 Web 文件路径扫描探测 防 Web 文件路径扫描探测评估表
表 8
成熟度要求 产品应具备如下能力： 隐藏网站的目录和文件信息
评估权重 5%
预置条件 已经部署威胁隔离平台。
验证流程 步骤1：网站未进行隔离防护，对网站进行文件路径的探测测试，验证网站隔离前防
5
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
护效果； 步骤2：网站进行隔离防护，对网站进行文件路径的探测测试，验证网站隔离后防护 效果。
预期结果 部署威胁隔离平台后，无法扫描出网站的目录和文件信息。
8.1.8 网页防篡改 表 9 网页防篡改评估表
成熟度要求 产品应具备如下能力： 防止网页内容被篡改
评估权重 5%
预置条件 已经部署威胁隔离平台。
验证流程 步骤1：网站未进行隔离防护，对网站进行篡改攻击测试，查看隔离前网站防篡改攻 击情况； 步骤2：网站进行隔离防护，对网站进行篡改攻击测试，查看隔离后网站防篡改攻击 情况。
预期结果 部署威胁隔离平台后，成功阻断篡改攻击。
8.1.9 防止漏洞利用 表 10 防止漏洞利用评估表
成熟度要求 产品应具备如下能力： 防止利用Web漏洞（包含0Day/1Day）发起的攻击
评估权重 10%
预置条件 已经部署威胁隔离平台。
验证流程 步骤1：网站未进行隔离防护，通过工具利用水平或垂直越权漏洞（或其他传统WAF 无法防护的0Day/1Day漏洞）攻击，查看攻击情况； 步骤2：网站进行隔离防护后，通过工具利用水平或垂直越权漏洞（或其他传统WAF 无法防护的0Day/1Day漏洞）攻击，查看攻击情况。
预期结果 部署威胁隔离平台后，成功防止利用水平或垂直越权漏洞进行攻击。
8.1.10 网银系统安全防护 表 11 网银系统安全防护评估表
成熟度要求 产品应具备如下能力： 针对网银系统，具备上述1～9所有的安全防护能力
评估权重 30%
预置条件 已经部署威胁隔离平台。
验证流程 步骤1：网银系统未进行隔离防护，依次执行上述1～9测试用例，查看攻击情况； 步骤2：网银系统进行隔离防护后，依次执行上述1～9测试用例，查看攻击情况。
预期结果 部署威胁隔离平台后，网银系统成功防止漏洞利用攻击。
8.2 兼容性
8.2.1 浏览器兼容性 表 12 浏览器兼容性评估表
成熟度要求： 产品应具备如下能力：
6
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
适配Google Chrome，Safari，Firefox，Edge，IE11，360浏览器
评估权重： 25%
预置条件： 1）已经部署威胁隔离平台。
验证流程： 步骤1：网站未进行隔离防护，依次打开上述浏览器，访问目标网站，查看UI界面显 示效果，没有兼容性问题； 步骤2：网站进行隔离防护，依次打开上述浏览器，访问目标网站，查看UI界面显示 效果，没有兼容性问题。
预期结果： 隔离防护前后，目标网站兼容性无差异。
8.2.2 页面渲染测试 表 13 页面渲染测试评估表
成熟度要求： 产品应具备如下能力： 页面正常渲染，所有页面功能不受影响
评估权重： 25%
预置条件： 1）已经部署威胁隔离平台。
验证流程： 步骤1：网站未进行隔离防护，访问目标网站，依次点击一级页面，二级页面等，查 看UI界面显示效果及网站功能； 步骤2：网站进行隔离防护，访问目标网站，依次点击一级页面，二级页面等，查看 UI界面显示效果及网站功能。
预期结果： 隔离防护前后，目标网站所有页面正常渲染，功能使用正常。
8.2.3 网银系统兼容性 表 14 网银系统兼容性评估表
成熟度要求： 产品应具备如下能力： 适配网银系统
评估权重： 50%
预置条件： 1）已经部署威胁隔离平台。
验证流程： 步骤1：网站未进行隔离防护，打开本地浏览器，访问网银系统，查看UI界面显示效 果，访问业务功能模块，没有兼容性问题； 步骤2：网站进行隔离防护，打开本地浏览器，访问网银系统，查看UI界面显示效果， 访问业务功能模块，没有兼容性问题。
预期结果： 隔离防护前后，网银系统均可正常使用，业务功能正常，兼容性无差异。
8.3 易用性及用户体验
8.3.1 易用性 表 15 易用性评估表
成熟度要求： 产品应具备如下能力： 实现上述防护能力的同时，终端PC无需安装任何额外的软件、插件或者专用浏览器
评估权重： 50%
预置条件： 1）已经部署威胁隔离平台。
验证流程： 步骤：网站进行隔离防护后，打开终端PC上已有的浏览器，可正常访问目标网站。
预期结果： 1）无需安装软件、插件或者专用浏览器。
8.3.2 用户体验 表 16 用户体验评估表
成熟度要求： 产品应具备如下能力：
7
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
实现上诉防护能力后，用户访问目标Web应用系统的响应时间延迟无明显变化
评估权重： 50%
预置条件： 1）已经部署威胁隔离平台。
验证流程： 步骤1：网站未进行隔离防护，访问目标网站，测试服务响应时间； 步骤2：网站进行隔离防护，访问目标网站，测试服务响应时间。
预期结果： 1）网站保护前后，访问服务响应时间变化不超过5%。
8.4 可用性
8.4.1 高可用 表 17 高可用评估表
成熟度要求： 产品应具备如下能力： 系统关键服务是否采用负载均衡或主备方式，避免服务单点故障导致受保护网站无法 访问，关键服务包含流量接入模块、容器调度模块、远程浏览器模块。
评估权重： 100%
预置条件： 1）已经部署威胁隔离平台。
验证流程： 步骤1：关闭一个流量接入模块； 步骤2：关闭一个容器调度模块； 步骤3：关闭一个远程浏览器模块。
预期结果： 1）受保护网站能正常访问。
8
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
附 录 A
（规范性）
威胁隔离平台测试环境规范
A.1 概述
威胁隔离平台测试环境应包括威胁隔离平台server端、目标网站、本地浏览器和互联网。
A,2 测试环境拓扑
威胁隔离平台测试环境拓扑如图A.1所示：
图A.1 威胁隔离平台测试环境拓扑
9
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
附 录 B
（规范性）
参考评估权重
表B.1
参考权重表
成熟度要素 成熟度要 素权重 能力域分项 能力域分项权 重
安全能力 80% 隐藏源代码/API/活动脚本 20%
防 WEBSHELL 10%
防 SQL 注入 5%
防 XSS 注入 5%
反爬虫 5%
防自动化扫描与攻击 5%
防 Web 文件路径扫描探测 5%
网页防篡改 5%
防止漏洞利用 10%
网银系统安全防护 30%
兼容性 10% 浏览器兼容性 25%
页面渲染测试 25%
网银系统兼容性 50%
易用性及用 户体验 5% 易用性 50%
用户体验 50%
可用性 5% 高可用 100%
计算公式：总分=∑每项成熟度要素权重*对应能力域分项权重*100
10
T/SCPCA 009-2024 T/CQJR 015-2024 T/SCJR 006-2024
参
考 文 献
[1] GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
[2] GB/T 32917-2016 信息安全技术 Web应用防火墙安全技术要求与测试评价方法
[3] JR/T 0068-2020 网上银行系统信息安全通用规范
[4] JR/T 0071.2-2020 金融行业网络安全等级保护实施指引 第2部分：基本要求
11