【正文】 角色規(guī)定與之相關(guān)的安全屬性，如管理角色標(biāo)識(shí)、鑒別信息、隸屬組、權(quán)限等，并提供使用默認(rèn)值對(duì)創(chuàng)建的每個(gè)管理角色的屬性進(jìn)行初始化的功能。c) 審計(jì)日志查看員可對(duì)管理員用戶及日志查看員用戶對(duì)審計(jì)系統(tǒng)的操作進(jìn)行審計(jì)?！?數(shù)據(jù)傳輸安全【增強(qiáng)型】產(chǎn)品在審計(jì)代理與審計(jì)跟蹤記錄中心相互傳輸審計(jì)記錄數(shù)據(jù)及配置和控制信息時(shí)，應(yīng)保證傳輸?shù)臄?shù)據(jù)不被泄漏或篡改，保證傳輸錯(cuò)誤或異常中斷的情況下能重發(fā)數(shù)據(jù)?！?缺省策略產(chǎn)品應(yīng)設(shè)置系統(tǒng)缺省策略，對(duì)可審計(jì)事件進(jìn)行審計(jì)?！?保存時(shí)限產(chǎn)品應(yīng)提供設(shè)置審計(jì)記錄保存時(shí)限的最低值功能，用戶可根據(jù)自身需要設(shè)定記錄保存時(shí)間。　 可選查閱產(chǎn)品應(yīng)為授權(quán)管理員提供將審計(jì)記錄按一定的條件進(jìn)行選擇、搜索、分類和排序的功能，所得結(jié)果應(yīng)以用戶友好的、便于理解的形式提供報(bào)告或打印?！?響應(yīng)方式產(chǎn)品應(yīng)采取相應(yīng)響應(yīng)方式，以保證信息系統(tǒng)以及自身的安全。報(bào)警消息應(yīng)具有可理解的格式并包含下列內(nèi)容：a) 事件ID；b) 事件主體；c) 事件客體；d) 事件發(fā)生時(shí)間；e) 事件危險(xiǎn)級(jí)別；f) 事件描述；g) 事件結(jié)果（成功或失敗）?！?復(fù)雜行為產(chǎn)品應(yīng)對(duì)復(fù)雜行為進(jìn)行以下操作：a) 【基本型】：1) 對(duì)不規(guī)則或頻繁出現(xiàn)的事件進(jìn)行統(tǒng)計(jì)分析；2) 對(duì)相互關(guān)聯(lián)的事件進(jìn)行綜合分析和判斷；3) 向授權(quán)用戶提供自定義匹配模式?！?異常事件和行為產(chǎn)品應(yīng)維護(hù)一個(gè)與被審計(jì)信息系統(tǒng)相關(guān)的異常事件集合。　 審計(jì)分析　 潛在危害產(chǎn)品應(yīng)提供一個(gè)審計(jì)事件集合?！?審計(jì)記錄　 可理解的格式產(chǎn)品應(yīng)按照事件的分類和級(jí)別，采用可理解的格式生成包含以下內(nèi)容的審計(jì)記錄：a) 事件ID；b) 事件主體；c) 事件客體；d) 事件發(fā)生的日期和時(shí)間；e) 事件類型；f) 事件的級(jí)別；g) 主體身份；h) 事件的結(jié)果（成功或失?。??！?用戶身份關(guān)聯(lián)產(chǎn)品應(yīng)將可審計(jì)的事件與引起該事件的用戶身份相關(guān)聯(lián)。b) 網(wǎng)絡(luò)審計(jì)數(shù)據(jù)采集：1） 網(wǎng)絡(luò)協(xié)議；2） 入侵行為；3） 網(wǎng)絡(luò)流量。未標(biāo)注【基本型】或【增強(qiáng)型】的要求及方法適用于全部安全審計(jì)產(chǎn)品?！∈跈?quán)管理員 authorized administrator可管理安全審計(jì)產(chǎn)品組件的授權(quán)用戶?！徲?jì)跟蹤檢閱器 audit trail examiner用來(lái)檢閱審計(jì)記錄并產(chǎn)生分析報(bào)告的功能部件?！徲?jì)記錄器 audit recorder產(chǎn)生審計(jì)記錄并將記錄保存在本地或遠(yuǎn)程系統(tǒng)的功能部件。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。信息安全技術(shù) 信息系統(tǒng) 安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法1　 范圍本標(biāo)準(zhǔn)規(guī)定了安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)評(píng)方法。安全審計(jì)產(chǎn)品不僅能對(duì)信息系統(tǒng)各組成要素進(jìn)行事件采集；還可將采集數(shù)據(jù)進(jìn)行系統(tǒng)分析，并形成可自定義的報(bào)告，降低網(wǎng)絡(luò)安全管理成本，保障信息系統(tǒng)的正常運(yùn)行。本標(biāo)準(zhǔn)主要起草人：肖江、葉小列、劉寶旭、王曉箴、朱建平、沈亮、陸中威、王賢蔚、王鳴。GB國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布實(shí)施發(fā)布信息安全技術(shù)信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法Technical requirements and testing and evaluation techniques for information system security audit products（征求意見(jiàn)稿）GB/T —中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)ICS beijing31 / 38目 次前 言 II引 言 III1 范圍 12 規(guī)范性引用文件 13 術(shù)語(yǔ)和定義及記法 1 術(shù)語(yǔ)和定義 1 記法 24 安全審計(jì)產(chǎn)品分級(jí) 2 基本型 2 增強(qiáng)型 25 功能要求 2 安全功能要求 2 自身安全要求 76 性能要求 7 穩(wěn)定性 8 資源占用 8 網(wǎng)絡(luò)影響 8 吞吐量 87 保證要求 8 配置管理保證 8 交付與運(yùn)行保證 8 指導(dǎo)性文檔 8 測(cè)試保證 8 脆弱性分析保證 9 生命周期支持 98 測(cè)評(píng)方法 9 產(chǎn)品功能 9 自身安全 19 產(chǎn)品性能 20 保證要求 20附　錄　A 24 安全審計(jì)流程 24 審計(jì)跟蹤涵蓋的階段 24 事件采集階段 24 事件處理階段 24 事件響應(yīng)階段 24前 言本標(biāo)準(zhǔn)由公安部提出。本標(biāo)準(zhǔn)委托中華人民共和國(guó)公安部第三研究所負(fù)責(zé)解釋。本標(biāo)準(zhǔn)規(guī)定了安全審計(jì)產(chǎn)品的基本技術(shù)要求和擴(kuò)展技術(shù)要求，提出了該類產(chǎn)品應(yīng)達(dá)到的安全目標(biāo)，并給出了該類產(chǎn)品的基本功能、增強(qiáng)功能和安全保證要求。本標(biāo)準(zhǔn)適用于對(duì)信息系統(tǒng)各客體進(jìn)行審計(jì)事件采集、處理、分析，并提供審計(jì)報(bào)告、報(bào)警、響應(yīng)及審計(jì)數(shù)據(jù)記錄、備份的安全產(chǎn)品的開(kāi)發(fā)、測(cè)評(píng)和應(yīng)用。GB 178591999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T －2001 信息系統(tǒng) 詞匯 第8部分：安全GB/T 18336（所有部分） 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則3　 術(shù)語(yǔ)和定義及記法GB 17859199GB/T －2001和GB/T 183362001確立的及以下術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)?！徲?jì)分析器 audit analyzer檢查審計(jì)記錄，以確認(rèn)是否需要產(chǎn)生審計(jì)報(bào)警及采取相應(yīng)行動(dòng)的功能部件，對(duì)分析結(jié)果進(jìn)行數(shù)據(jù)匯總，發(fā)送至報(bào)表生成器?！徲?jì)備份器 audit archiver根據(jù)授權(quán)管理員的要求將審計(jì)記錄的全部或部分備份到安全存儲(chǔ)介質(zhì)的功能部件?！⌒崽? sniffing對(duì)網(wǎng)絡(luò)線路上傳送的數(shù)據(jù)包進(jìn)行捕獲以獲得信息的行為。 4　 安全審計(jì)產(chǎn)品分級(jí)　 基本型對(duì)主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)用系統(tǒng)等客體采集對(duì)象進(jìn)行審計(jì)，并對(duì)審計(jì)事件進(jìn)行分析和響應(yīng)的安全審計(jì)產(chǎn)品。c) 數(shù)據(jù)庫(kù)管理系統(tǒng)審計(jì)數(shù)據(jù)采集：1） 數(shù)據(jù)庫(kù)數(shù)據(jù)操作；2） 數(shù)據(jù)庫(kù)結(jié)構(gòu)操作；3） 數(shù)據(jù)庫(kù)用戶更改?！?緊急事件報(bào)警對(duì)于系統(tǒng)安全策略定義的緊急事件，產(chǎn)品應(yīng)直接向報(bào)警處理器發(fā)送報(bào)警消息。產(chǎn)品應(yīng)通過(guò)采用通用的、標(biāo)準(zhǔn)的審計(jì)數(shù)據(jù)格式，將不同應(yīng)用系統(tǒng)產(chǎn)生的審計(jì)數(shù)據(jù)按照統(tǒng)一的標(biāo)準(zhǔn)化格式進(jìn)行組織和存儲(chǔ)。當(dāng)這些事件的發(fā)生、累計(jì)發(fā)生次數(shù)或發(fā)生頻率超過(guò)設(shè)定的閾值時(shí)，表明信息系統(tǒng)出現(xiàn)了可能的潛在危害。當(dāng)這些異常事件發(fā)生時(shí)表明被審計(jì)信息系統(tǒng)產(chǎn)生了潛在或?qū)嶋H的危害與攻擊。b) 【增強(qiáng)型】：1) 滿足【基本型】的要求；2) 多審計(jì)功能協(xié)作審計(jì)；3) 各審計(jì)功能關(guān)聯(lián)分析。　 審計(jì)分析報(bào)告a) 產(chǎn)品應(yīng)至少支持按關(guān)鍵字生成、按模塊功能生成、按危害等級(jí)生成、按自定義格式生成等分析報(bào)告生成方式；b) 報(bào)告內(nèi)容應(yīng)至少支持文字、圖象兩種描述方式；c) 審計(jì)數(shù)據(jù)報(bào)告生成格式應(yīng)至少支持txt、html、doc、xls等文件格式。應(yīng)采取下列至少一種形式的響應(yīng)方式：a) 對(duì)策略中標(biāo)記為阻斷的攻擊進(jìn)行阻斷；b) 調(diào)用授權(quán)管理員預(yù)定義的操作或應(yīng)用程序；c) 向其它網(wǎng)絡(luò)產(chǎn)品發(fā)送互動(dòng)信號(hào)，進(jìn)行聯(lián)合行動(dòng)的協(xié)商和執(zhí)行?！?審計(jì)記錄存儲(chǔ)　 安全保護(hù)產(chǎn)品應(yīng)至少采取一種安全機(jī)制，保護(hù)審計(jì)記錄數(shù)據(jù)免遭未經(jīng)授權(quán)的刪除或修改，如采取嚴(yán)格的身份鑒別機(jī)制和適合的文件讀寫(xiě)權(quán)限等。產(chǎn)品應(yīng)設(shè)定缺省保存時(shí)間，至少為兩個(gè)月?！?策略模板產(chǎn)品應(yīng)為用戶提供多套策略模板，使用戶可根據(jù)具體的信息系統(tǒng)要求選擇最適宜的審計(jì)策略，對(duì)可審計(jì)事件進(jìn)行審計(jì)?！?安全管理　 管理角色產(chǎn)品應(yīng)為管理角色進(jìn)行分級(jí)，使不同級(jí)別的管理角色具有不同的管理權(quán)限?！?操作審計(jì)產(chǎn)品應(yīng)對(duì)不同管理角色在管理期間的全部活動(dòng)生成相應(yīng)的審計(jì)記錄?！?身份鑒別　 用戶鑒別在某個(gè)管理角色需要執(zhí)行管理功能之前，產(chǎn)品應(yīng)對(duì)該管理角色的身份進(jìn)行鑒別?！?鑒別失敗處理產(chǎn)品應(yīng)為管理員登錄設(shè)定一個(gè)授權(quán)管理員可修改的鑒別嘗試閾值，當(dāng)管理員的不成功登錄嘗試超過(guò)閾值，系統(tǒng)應(yīng)通過(guò)技術(shù)手段阻止管理員的進(jìn)一步鑒別請(qǐng)求，如帳號(hào)失效一段時(shí)間，鎖定該管理員帳號(hào)直至超級(jí)管理員恢復(fù)該管理員的被鑒別能力等。升級(jí)過(guò)程中可暫時(shí)終止系統(tǒng)服務(wù)程序的運(yùn)行，升級(jí)完成后應(yīng)重新啟動(dòng)服務(wù)程序，按照原有的策略繼續(xù)運(yùn)行。升級(jí)日志至少應(yīng)包含時(shí)間、目標(biāo)、目的、內(nèi)容、版本等信息。部分安全事件可通過(guò)使用監(jiān)管功能進(jìn)行管理。b) 軟件代理應(yīng)具備自保護(hù)能力，使用專用卸載程序?qū)浖磉M(jìn)行卸載時(shí)應(yīng)提供密碼保護(hù)，除專用卸載程序外用戶不可手工刪除、停用?！?系統(tǒng)時(shí)間安全產(chǎn)品應(yīng)提供同步審計(jì)代理與審計(jì)跟蹤記錄中心時(shí)間的功能，并應(yīng)同時(shí)自動(dòng)記錄審計(jì)代理與審計(jì)跟蹤記錄中心的時(shí)間?！?資源占用軟件代理的運(yùn)行對(duì)宿主機(jī)資源，如CPU、內(nèi)存空間和存儲(chǔ)空間的占用，不應(yīng)超過(guò)宿主機(jī)的承受能力。在大流量的情況下，產(chǎn)品應(yīng)通過(guò)自身調(diào)節(jié)做到動(dòng)態(tài)負(fù)載均衡?！?開(kāi)發(fā)商應(yīng)提供配置管理文檔?！?上述過(guò)程中不應(yīng)向非產(chǎn)品使用者提供網(wǎng)絡(luò)拓?fù)湫畔ⅰ) 對(duì)于在安全處理環(huán)境中必須進(jìn)行控制的功能和特權(quán)，管理員指南應(yīng)提出相應(yīng)的警告。h) 管理員指南應(yīng)描述在產(chǎn)品的安全安裝過(guò)程中可能要使用的所有配置選項(xiàng)。b) 用戶指南應(yīng)描述非管理員用戶可用的功能和接口。b) 開(kāi)發(fā)商在提供產(chǎn)品時(shí)應(yīng)同時(shí)提供該產(chǎn)品的測(cè)試文檔。f) 測(cè)試文檔的測(cè)試結(jié)果應(yīng)給出每一項(xiàng)測(cè)試的預(yù)期結(jié)果?！?測(cè)試深度分析報(bào)告a) 開(kāi)發(fā)商應(yīng)提供對(duì)產(chǎn)品的測(cè)試深度的分析報(bào)告。b) 在指南性文檔中，應(yīng)確定對(duì)產(chǎn)品的所有可能的操作方式（包含失敗和操作 失誤后的操作）、它們的后果以及對(duì)于保持安全操作的意義。對(duì)被確定的脆弱性，開(kāi)發(fā)者應(yīng)明確記錄采取的措施?！? 生命周期支持a) 開(kāi)發(fā)者應(yīng)提供開(kāi)發(fā)安全文件。2） 網(wǎng)絡(luò)審計(jì)測(cè)試：——從目標(biāo)主機(jī)發(fā)起服務(wù)請(qǐng)求，審查審計(jì)記錄；——模擬網(wǎng)絡(luò)入侵行為，進(jìn)行審計(jì)記錄；——向網(wǎng)絡(luò)上發(fā)送大量畸形數(shù)據(jù)包造成網(wǎng)絡(luò)流量加大，審查審計(jì)記錄?！?用戶身份關(guān)聯(lián)a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 用不同用戶身份登錄系統(tǒng)進(jìn)行操作；2) 檢查審計(jì)記錄。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 系統(tǒng)配置應(yīng)支持緊急事件定義；2) 審計(jì)記錄應(yīng)能準(zhǔn)確記錄緊急事件；3) 報(bào)警處理器應(yīng)能收到并處理緊急事件?！?事件鑒別擴(kuò)展接口a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 檢查事件定義模塊；2) 自定義安全事件模塊。產(chǎn)品支持的數(shù)據(jù)庫(kù)類型至少包含一種主流數(shù)據(jù)庫(kù)?！?審計(jì)分析　 潛在危害a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 評(píng)價(jià)者應(yīng)檢查審計(jì)事件集合；2) 評(píng)價(jià)者應(yīng)檢查事件報(bào)警觸發(fā)條件。　 復(fù)雜行為a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1） 【基本型】測(cè)試評(píng)價(jià)：——評(píng)價(jià)者應(yīng)審查產(chǎn)品手冊(cè)產(chǎn)品是否具有概率統(tǒng)計(jì)分析能力并驗(yàn)證；——評(píng)價(jià)者應(yīng)審查產(chǎn)品手冊(cè)產(chǎn)品是否具有關(guān)聯(lián)分析能力并驗(yàn)證；——評(píng)價(jià)者應(yīng)審查產(chǎn)品手冊(cè)產(chǎn)品是否提供自定義匹配模式并驗(yàn)證?！?審計(jì)分析接口a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法： 1) 查看產(chǎn)品說(shuō)明手冊(cè)是否包含提供審計(jì)分析接口的說(shuō)明；2) 對(duì)審計(jì)分析接口進(jìn)行測(cè)試，是否可選擇不同的審計(jì)分析模塊。　 審計(jì)分析報(bào)告a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1） 產(chǎn)品的生成報(bào)告是否詳細(xì)、完整、容易理解；2） 評(píng)價(jià)者應(yīng)審查產(chǎn)品是否能支持按關(guān)鍵字生成、按模塊功能生成、按危害等級(jí)生成、按自定義格式生成等方式生成審計(jì)分析報(bào)告；3） 評(píng)價(jià)者應(yīng)審查產(chǎn)品是否能支持文字、圖象兩種描述方式；4） 評(píng)價(jià)者應(yīng)審查審計(jì)數(shù)據(jù)報(bào)告是否能支持txt、html、doc、xls等系統(tǒng)格式?！?響應(yīng)方式a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：評(píng)價(jià)者應(yīng)審查產(chǎn)品說(shuō)明手冊(cè)是否包含產(chǎn)品對(duì)支持的響應(yīng)方式的描述，并且測(cè)試響應(yīng)機(jī)制是否準(zhǔn)確、有效；c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 只有經(jīng)過(guò)授權(quán)的用戶能查閱審計(jì)記錄；2) 審計(jì)記錄以不可理解的格式進(jìn)行存儲(chǔ)。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品具有有效機(jī)制保護(hù)審計(jì)記錄免遭未授權(quán)的刪除或修改；2) 針對(duì)審計(jì)記錄數(shù)據(jù)的刪除或修改生成系統(tǒng)自身安全審計(jì)記錄。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1） 產(chǎn)品具有為審計(jì)數(shù)據(jù)設(shè)置最低保存時(shí)限的功能；2） 用戶可按自身需要設(shè)置審計(jì)數(shù)據(jù)保存時(shí)限，系統(tǒng)缺省保存時(shí)限不低于2個(gè)月。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品具有缺省策略；2) 產(chǎn)品能按照缺省策略對(duì)可審計(jì)事件進(jìn)行審計(jì)?！?數(shù)據(jù)傳輸安全a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1） 在審計(jì)代理和審計(jì)跟蹤記錄中心之間傳遞信息，通過(guò)網(wǎng)絡(luò)嗅探的方式獲取傳輸?shù)膬?nèi)容；2） 通過(guò)網(wǎng)絡(luò)注入的方式篡改傳輸?shù)臄?shù)據(jù)，審查系統(tǒng)是否能夠發(fā)現(xiàn)；3） 人為制造異常中斷，審查重新連接后是否重傳；4） 審查開(kāi)發(fā)者文檔中對(duì)保證審計(jì)代理和審計(jì)跟蹤記錄中心之間傳遞信息的安全性的描述?！?操作審計(jì)a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 評(píng)價(jià)者應(yīng)審查產(chǎn)品說(shuō)明書(shū)是否詳細(xì)描述系統(tǒng)所支持的可審計(jì)行為；2) 評(píng)價(jià)者應(yīng)切換不同角色對(duì)系統(tǒng)進(jìn)行操作測(cè)試并查看審計(jì)記錄是否對(duì)不同角色的管理行為進(jìn)行詳細(xì)而完備的記錄?！?標(biāo)識(shí)和鑒別　 角色屬性a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1） 評(píng)價(jià)者應(yīng)審查產(chǎn)品說(shuō)明手冊(cè)中是否為各管理角色規(guī)定與之相關(guān)的安全屬性，如管理角色標(biāo)識(shí)、鑒別信息、隸屬組、權(quán)限等；2） 分別以不同管理角色身份登錄，測(cè)試產(chǎn)品是否使用默認(rèn)值