【文章內(nèi)容簡介】 身份鑒別機制。 重鑒別 當(dāng)已通過身份鑒別的管理角色空閑操作的時間超過規(guī)定值，在該管理角色需要執(zhí)行管理功能前，產(chǎn)品應(yīng)對該管理角色的身份重新進行鑒別。 鑒別數(shù)據(jù)保護 產(chǎn)品應(yīng)保證鑒別數(shù)據(jù)不被未授權(quán)查閱或修改。 鑒別失敗處理 中國最大的管理資源中心 第 11 頁 共 38 頁 產(chǎn)品應(yīng)為管理員登錄設(shè)定一個授權(quán)管理員可修改的鑒別嘗試閾值，當(dāng)管理員的不成功登錄嘗試超過閾值，系統(tǒng)應(yīng)通過技術(shù)手段阻止管理員的進一步鑒別請求，如帳號失效一段時間， 鎖定該管理員帳號直至超級管理員恢復(fù)該管理員的被鑒別能力等。 產(chǎn)品升級 手動升級 授權(quán)管理員能定期對產(chǎn)品進行手動的升級， 如更新匹配規(guī)則庫、策略文件以及服務(wù)程序等。授權(quán)管理員取得升級包后，能按照升級說明文件的要求，對系統(tǒng)進行升級 。 自動升級 產(chǎn)品應(yīng)定期檢查相關(guān)升級網(wǎng)站，自動下載系統(tǒng)升級包，下載完畢后自動運行升級程序進行升級。升級過程中可暫時終止系統(tǒng)服務(wù)程序的運行，升級完成后應(yīng)重新啟動服務(wù)程序，按照原有的策略繼續(xù)運行。 自動升級應(yīng)采取身份驗證、數(shù)字簽名等手段避免得到錯誤或偽造的系統(tǒng)升級包。 審計代理升級 分布式審 計所包含的各審計代理應(yīng)支持自動檢測審計中心版本，自動下載升級包，進行升級。 升級日志記錄 產(chǎn)品應(yīng)自動審計記錄升級日志。升級日志至少應(yīng)包含時間、目標、目的、內(nèi)容、版本等信息。 聯(lián)動要求 聯(lián)動支持 【增強型】 產(chǎn)品應(yīng)與當(dāng)前主流的其它類型的安全產(chǎn)品以相互確認的協(xié)議或通訊方式交流審計信息，采取聯(lián)合行動以加固或保護被審計信息系統(tǒng) 。 聯(lián)動接口 【增強型】 產(chǎn)品應(yīng)至少提供一個標準的、開放的接口，能按照該接口規(guī)范為其它類型安全產(chǎn)品編寫相應(yīng)的程序模塊，達到與其聯(lián)動的目的。 監(jiān)管要求 【增強型】 產(chǎn)品可兼具監(jiān)管功能。部分安全事件可通 過使用監(jiān)管功能進行管理。 自身安全要求 自身審計數(shù)據(jù)生成 產(chǎn)品應(yīng)對與自身安全相關(guān)的以下事件生成審計記錄： a) 對產(chǎn)品進行操作的嘗試，如關(guān)閉審計功能或子系統(tǒng) ； b) 產(chǎn)品管理員的登錄和注銷； c) 對安全策略進行更改的操作； d) 對鑒別機制的使用； e) 讀取、修改、破壞審計跟蹤數(shù)據(jù)的嘗試 ； f) 因鑒別嘗試不成功的次數(shù)超出了設(shè)定的限值，導(dǎo)致的會話連接終止； g) 對管理角色進行增加，刪除和屬性修改的操作； h) 對安全功能配置參數(shù)的修改（設(shè)置和更新），無論成功與否。 自身安全審計記錄獨立存放 產(chǎn)品應(yīng)將自身安全審計記錄與被審計的目標信息系統(tǒng)的審計記錄分 開保存到不同的記錄文件或數(shù)據(jù)庫（或同一數(shù)據(jù)庫的不同表）中，方便用戶查閱和分析。 審計代理安全 a) 硬件代理應(yīng)具備抗病毒、入侵攻擊的能力。 b) 軟件代理應(yīng)具備自保護能力，使用專用卸載程序?qū)浖磉M行卸載時應(yīng)提供密碼保護，除專用卸載程序外用戶不可手工刪除、停用。 中國最大的管理資源中心 第 12 頁 共 38 頁 c) 審計跟蹤記錄中心應(yīng)提供檢測信息系統(tǒng)是否已安裝軟件代理的功能。若未安裝軟件代理，將產(chǎn)生報警。 產(chǎn)品卸載安全 卸載產(chǎn)品時，應(yīng)采用相關(guān)技術(shù)對產(chǎn)品中保存的審計數(shù)據(jù)進行刪除 ,或提醒用戶刪除。 系統(tǒng)時間安全 產(chǎn)品應(yīng)提供同步審計代理與審計跟蹤記錄中心時間的功能，并應(yīng)同時自 動記錄審計代理與審計跟蹤記錄中心的時間。 系統(tǒng)部署安全 【增強型】 產(chǎn)品應(yīng)支持多級分布式部署模式，保證安全審計系統(tǒng)某分中心遭受攻擊、通訊異常等問題時產(chǎn)品正常運行。 6 性能要求 穩(wěn)定性 軟件代理在宿主操作系統(tǒng)上應(yīng)工作穩(wěn)定，不應(yīng)造成宿主機崩潰情況。 硬件代理產(chǎn)品在與產(chǎn)品設(shè)計相適應(yīng)的網(wǎng)絡(luò)帶寬下應(yīng)運行穩(wěn)定。 資源占用 軟件代理 的運行對宿主機資源，如 CPU、內(nèi)存空間和存儲空間的占用，不應(yīng)超過宿主機的承受能力。不應(yīng)影響對宿主機合法的用戶登錄和資源訪問。 網(wǎng)絡(luò)影響 產(chǎn)品的運行不應(yīng)對原網(wǎng)絡(luò)正常通訊產(chǎn)生明顯影響。 吞吐量 產(chǎn)品應(yīng) 有足夠的吞吐量，保證對被審計信息系統(tǒng)接受和發(fā)送的海量數(shù)據(jù)的控制。在大流量的情況下，產(chǎn)品應(yīng)通過自身調(diào)節(jié)做到動態(tài)負載均衡。 7 保證要求 配置管理保證 開發(fā)商應(yīng)使用配置管理系統(tǒng)，為產(chǎn)品的不同版本提供唯一的標識。 開發(fā)者應(yīng)針對不同用戶提供唯一的授權(quán)標識。 要求配置項應(yīng)有唯一標識。 開發(fā)商應(yīng)提供配置管理文檔。 交付與運行保證 開發(fā)商應(yīng)確保產(chǎn)品的交付、安裝、配置和使用是可控的。 開發(fā)商應(yīng)以文件方式說明產(chǎn)品的安裝，配置和啟動的過程。 用戶手冊應(yīng)詳盡描述產(chǎn)品的安裝，配置和啟動運行所必需的基本步驟。 上述過程中不應(yīng)向非產(chǎn)品使用 者提供網(wǎng)絡(luò)拓撲信息。 指導(dǎo)性文檔 管理員指南 a) 開發(fā)商應(yīng)提供針對產(chǎn)品管理員的管理員指南。 b) 管理員指南應(yīng)描述管理員可使用的管理功能和接口。 c) 管理員指南應(yīng)描述怎樣以安全的方式管理產(chǎn)品。 中國最大的管理資源中心 第 13 頁 共 38 頁 d) 對于在安全處理環(huán)境中必須進行控制的功能和特權(quán)，管理員指南應(yīng)提出相應(yīng)的警告。 e) 管理員指南應(yīng)描述所有受管理員控制的安全參數(shù)，并給出合適的參數(shù)值。 f) 管理員指南應(yīng)包含安全功能如何相互作用的指導(dǎo)。 g) 管理員指南應(yīng)包含怎樣安全配置產(chǎn)品的指令。 h) 管理員指南應(yīng)描述在產(chǎn)品的安全安裝過程中可能要使用的所有配置選項。 i) 管理員指南應(yīng)充分描述與安全管理相關(guān)的 詳細過程。 j) 管理員指南應(yīng)能指導(dǎo)用戶在產(chǎn)品的安裝過程中產(chǎn)生一個安全的配置。 用戶指南 ? 開發(fā)商應(yīng)提供用戶指南。 ? 用戶指南應(yīng)描述非管理員用戶可用的功能和接口。 ? 用戶指南應(yīng)包含使用產(chǎn)品提供的安全功能和指導(dǎo)。 ? 用戶指南應(yīng)清晰地闡述產(chǎn)品安全運行中用戶所必須負的職責(zé)，包含產(chǎn)品在安全使用環(huán)境中對用戶行為的假設(shè)。 測試保證 功能測試 a) 開發(fā)商應(yīng)測試產(chǎn)品的功能，并記錄結(jié)果。 b) 開發(fā)商在提供產(chǎn)品時應(yīng)同時提供該產(chǎn)品的測試文檔。 c) 測試文檔應(yīng)由測試計劃、測試過程描述和測試結(jié)果組成。 d) 測試文檔應(yīng)確定將要測試的產(chǎn)品功能，并描述將要達到的測試目 標。 e) 測試過程的描述應(yīng)確定將要進行的測試，并描述測試每一安全功能的實際情況。 f) 測試文檔的測試結(jié)果應(yīng)給出每一項測試的預(yù)期結(jié)果。 g) 開發(fā)商的測試結(jié)果應(yīng)證明每一項安全功能和設(shè)計目標相符。 測試覆蓋面分析報告 a) 開發(fā)商應(yīng)提供對產(chǎn)品測試覆蓋范圍的分析報告。 b) 測試覆蓋面分析報告應(yīng)證明測試文件中確定的測試項目可覆蓋產(chǎn)品的所有安全功能。 測試深度分析報告 a) 開發(fā)商應(yīng)提供對產(chǎn)品的測試深度的分析報告。 b) 測試深度分析報告應(yīng)證明測試文件中確定的測試能充分表明產(chǎn)品的運行符合安全功能規(guī)范。 獨立性測試 開發(fā)商應(yīng)提供用于適合測試的部件，且提供 的測試集合應(yīng)與其自測產(chǎn)品功能時使用的測試集合相一致。 脆弱性分析保證 指南檢查 a) 開發(fā)者應(yīng)提供指南性文檔。 b) 在指南性文檔中，應(yīng)確定對產(chǎn)品的所有可能的操作方式（包含失敗和操作 失誤后的操作）、它們的后果以及對于保持安全操作的意義。指南性文檔中還應(yīng)列出所有目標環(huán)境的假設(shè)以及所有外部安全措施（包含外部程序的、物理的或人員的控制）的要求。指南性文檔應(yīng)是完整的、清晰的、一致的、合理的。 脆弱性分析 a) 開發(fā)者應(yīng)從用戶可能破壞安全策略的明顯途徑出發(fā)，對產(chǎn)品的各種功能進行分析并提供文檔。對被確定的脆弱性，開發(fā)者應(yīng)明確記錄采取 的措施。 中國最大的管理資源中心 第 14 頁 共 38 頁 b) 對每一條脆弱性，應(yīng)有證據(jù)顯示在使用產(chǎn)品的環(huán)境中該脆弱性不能被利用。在文檔中，還需證明經(jīng)過標識脆弱性的產(chǎn)品可以抵御明顯的穿透性攻擊。 c) 脆弱性分析文檔應(yīng)明確指出產(chǎn)品已知的安全隱患、能夠侵犯產(chǎn)品的已知方法以及如何避免這些隱患被利用。 生命周期支持 a) 開發(fā)者應(yīng)提供開發(fā)安全文件。 b) 開發(fā)安全文件應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護產(chǎn)品設(shè)計和實現(xiàn)的機密性和完整性，而在物理上、程序上、人員上以及其他方面所采取的必要的安全措施。開發(fā)安全文件還應(yīng)提供在產(chǎn)品的開發(fā)和維護過程中執(zhí)行安全措施的證據(jù)。 8 測評方法 產(chǎn)品功能 安全功 能 審計跟蹤 審計事件生成 審計數(shù)據(jù)生成 a) 評價內(nèi)容： 見 的內(nèi)容； b) 測試評價方法： 1） 主機、服務(wù)器審計測試： —— 啟動和關(guān)閉目標主機，審查審計記錄； —— 審查目標主機的日志審計記錄； —— 審查目標主機的軟、硬件信息審計記錄； —— 模擬使用目標主機的外圍設(shè)備，審查審計記錄； —— 模擬使用目標主機文件，審查審計記錄； —— 從目標主機進行網(wǎng)絡(luò)連接，審查審計記錄。 2） 網(wǎng)絡(luò)審計測試： —— 從目標主機發(fā)起服務(wù)請求，審查審計記錄 ； —— 模擬網(wǎng)絡(luò)入侵行為 ，進行審計記錄； —— 向網(wǎng)絡(luò)上發(fā)送大量畸形數(shù)據(jù)包造成網(wǎng)絡(luò)流量加大，審查審計記錄。 3） 數(shù)據(jù)庫管理系統(tǒng)審計測試： —— 模擬進行數(shù)據(jù)庫數(shù)據(jù)操作，審查審計記錄； —— 模擬更改數(shù)據(jù)庫結(jié)構(gòu)，審查審計記錄； —— 模擬更改數(shù)據(jù)庫用戶，審查審計記錄。 4） 應(yīng)用系統(tǒng)審計測試： —— 審查目標應(yīng)用系統(tǒng)日志審計記錄； —— 進行目標應(yīng)用系統(tǒng)操作，審查審計記錄。 5） 其它審計測試： —— 審查網(wǎng)絡(luò)設(shè)備日志審計記錄； —— 審查其它系統(tǒng)審計記錄； c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合： 1) 【基本型】至少符合以上五類 其中一項測試要求，【增強型】至少符合其中兩項測試要求； 2) 對每一個測試都產(chǎn)生正確的審計記錄 ； 3) 產(chǎn)生的審計記錄與事件存在明確的對應(yīng)關(guān)系。 中國最大的管理資源中心 第 15 頁 共 38 頁 用戶身份關(guān)聯(lián) a) 評價內(nèi)容： 見 的內(nèi)容； b) 測試評價方法： 1) 用不同用戶身份登錄系統(tǒng)進行操作； 2) 檢查審計記錄。 c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷。審計記錄應(yīng)能區(qū)別不同用戶行為。 緊急事件報警 a) 評價內(nèi)容： 見 的內(nèi)容； b) 測試評價方法： 1) 檢查系統(tǒng)配置是否支持緊急事件定義； 2) 生成緊急事件； 3) 檢查審計記錄； 4) 檢查報警處理器是否收到報警信息。 c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合： 1) 系統(tǒng)配置應(yīng)支持緊急事件定義； 2) 審計記錄應(yīng)能準確記錄緊急事件； 3) 報警處理器應(yīng)能收到并處理緊急事件。 審計數(shù)據(jù)生成效率 a) 評價內(nèi)容： 見 的內(nèi)容； b) 測試評價方法： 1) 將產(chǎn)品部署在測試環(huán)境； 2) 生成約占 網(wǎng)絡(luò)帶寬 70%左右的背景流量； 3) 檢查審計跟蹤檢驗器。 c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷。審計數(shù)據(jù)應(yīng)能實時生成。 事件鑒別擴展接口 a) 評價內(nèi)容：見 的內(nèi)容； b) 測試評價方法： 1) 檢查事件定義模塊； 2) 自定義安全事件模塊。 c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合： 1) 產(chǎn)品支持自定義的安全事件； 2) 產(chǎn)品能檢測自定義的安全事件。 審計記錄 審計記錄 格式 a) 評價內(nèi)容：見 的內(nèi)容； b) 測試評價方法：評價者應(yīng)審查審計記錄中是否包含事件 ID、事件發(fā)生的日期和時間、事件類型、事件級別