【正文】 。形成的結果交由事件處理階段負責；b) 對事件處理階段提交的安全策略分發(fā)至各審計代理，審計代理依據(jù)策略進行客體事件采集?！?事件處理階段事件處理階段包含以下行為：a） 事件處理階段對采集到數(shù)據(jù)進行事件處理，按照預定策略進行事件辨析，決定：1) 忽略該事件；2) 產(chǎn)生審計信息；3) 產(chǎn)生審計信息并報警；4) 產(chǎn)生審計信息且進行響應聯(lián)動。b） 對實時信息與審計數(shù)據(jù)庫記錄的審計信息，按照用戶定義與預定策略進行數(shù)據(jù)分析并形成審計報告；c） 對審計記錄器按照預定策略進行數(shù)據(jù)備份；d） 按照事件響應階段制定的安全策略，協(xié)調各組建工作?！?事件響應階段事件響應階段包含以下行為：a) 對事件處理階段產(chǎn)生的報警信息、響應請求進行報警與響應；b) 對審計分析數(shù)據(jù)生成各類審計分析報告；c) 按照預定策略對請求記錄與備份數(shù)據(jù)，寫入審計數(shù)據(jù)庫與備份數(shù)據(jù)庫；d) 根據(jù)用戶需求制定安全策略并交由事件處理階段處理。注：以上各階段之間并沒有明顯的時間相關性，它們之間可能存在時間上的交叉。信息系統(tǒng)安全審計產(chǎn)品技術要求和測試評價方法（征求意見稿）編制說明一．任務來源本任務來自全國信息系統(tǒng)安全標準化技術委員會，由全國信息安全標準化技術委員會WG5工作組負責管理。任務承擔單位：北京中科網(wǎng)威信息技術有限公司標準主要起草人：肖江、葉小列、劉寶旭、王曉箴、朱建平、沈亮、陸中威、王賢蔚、王鳴。任務參加單位：北京中科網(wǎng)威信息技術有限公司、公安部三所、公安部十一局、上海漢邦京泰數(shù)碼技術有限公司。該標準由北京中科網(wǎng)威信息技術有限公司、中華人民共和國公安部第三研究所、上海漢邦京泰數(shù)碼技術有限公司負責起草。 二．本標準依據(jù)的規(guī)范性引用文件有以下各項：（1）本標準保持了與相關標準的移植性，主要參考了以下資料：GB/T 178591999 計算機信息系統(tǒng)安全保護等級劃分準則GB/T 標準化工作導則 第一部分：標準的結構和編寫規(guī)則GB/T 信息系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第2部分：安全體系結構GB/T 信息技術 安全技術 信息技術安全性評估準則 第1部分：簡介和一般模型（idt ISO/IEC 154081：1999）GB/T 信息技術 安全技術 信息技術安全性評估準則 第2部分：安全功能要求（idt ISO/IEC 154082：1999）GB/T 信息技術 安全技術 信息技術安全性評估準則 第3部分：安全保證要求（idt ISO/IEC 154083：1999）三．主要過程a) 成立專門標準編寫組北京中科網(wǎng)威信息技術有限公司于2002年籌建標準編制組，進行了前期研究工作。2005年標準編制再次提上日程，編制組于2005年8月完成了標準征求意見稿的第一稿，并組織了專家評審會。2005年11月，經(jīng)由WG5工作組牽頭協(xié)調，中科網(wǎng)威信息技術有限公司、中華人民共和國公安部第三研究所、上海漢邦京泰數(shù)碼技術有限公司聯(lián)合組成編制組，繼續(xù)標準編寫。b) 制定工作計劃編制組首先根據(jù)調研和收集資料、完成草稿、征求意見稿、送審稿的工作流程制定了相應的工作計劃，并確定定期召開編制組人員會議或組內通報編制情況，以及時征求到意見和交流情況。c) 確定標準內容經(jīng)編寫組2次會議討論之后，先完成《信息技術審計跟蹤產(chǎn)品技術要求》標準，并在該標準的基礎上編寫《信息技術審計跟蹤產(chǎn)品測試評價方法》。最終經(jīng)編寫組會議討論將兩個標準合并，并定名為《信息系統(tǒng)安全審計產(chǎn)品技術要求和測試評價方法》（以下簡稱本標準）。技術要求部分包括功能要求、性能要求、安全保證要求，測試評價方法部分對測試環(huán)境和測評方法、步驟進行了規(guī)范。d) 主要工作過程按照公安部信息系統(tǒng)安全標準化技術委員會的有關《評估準則》的完成時間計劃： 2002年3月，項目啟動，完成該標準涉及的范圍，了解目前國內外相關產(chǎn)品的一些行業(yè)法規(guī)等，準備好相關資料；2005年8月，完成標準的征求意見稿草稿。2005年8月9日，在中科網(wǎng)威舉行了專家評審會，會后我們對專家意見進行了認真研究，并作出相應的修改。2005年8月——11月，詳細了解目前國內外該類產(chǎn)品的主要功能、技術特點、性能指標，開展了廣泛大量的調研。其間參考的主要產(chǎn)品或方案有：啟明星辰天玥網(wǎng)絡安全審計系統(tǒng)、復旦光華S_Audit網(wǎng)絡入侵檢測與安全審計系統(tǒng)、天融信網(wǎng)絡衛(wèi)士安全審計系統(tǒng)TAL、漢邦信息安全綜合強審計系統(tǒng)、格方內網(wǎng)監(jiān)控與審計系統(tǒng)、天元龍馬基于強審計的應用安全系統(tǒng)、Rier KeySafety終端安全登錄與安全審計系統(tǒng)等。通過對大量先進產(chǎn)品的觀察研究，我們對安全審計產(chǎn)品的功能要求和發(fā)展趨勢進行了總結歸納，進一步修改完善了《技術要求和測評方法》。2005年11月25日，在中科網(wǎng)威召開了編制協(xié)調會，安標委WG5工作組、中科網(wǎng)威公司國標編制組、漢邦軟科集團負責人三方首次碰面進行協(xié)調溝通，確定了共同完成本標準的任務、日程進度安排及若干相關細節(jié)。2005年12月3日，在漢邦公司召開了編制組內部討論會，會上雙方成員就國標編制的原則及標準內容進行了詳細討論，對產(chǎn)品分類原則、產(chǎn)品功能要求、測試方法、性能要求等細節(jié)認真磋商。會后按成員通過的意見修改了標準，形成了現(xiàn)有的意見征求稿。2005年12月13日，在中科網(wǎng)威舉行了第二次專家評審會。與會專家對標準（征求意見稿）提出了若干意見。會后我們對專家意見進行了整理和研究。根據(jù)專家意見，作出了主要的修改包括：調整標準結構，將功能要求分為安全功能要求和自身安全要求；考慮到產(chǎn)品的實際應用情況，將產(chǎn)品分為基本型和增強型兩級。2005年12月2006年2月，對標準（征求意見稿）根據(jù)專家意見進行再一次的檢查與修改。四．編制的目標和原則安全審計產(chǎn)品是一種對計算機網(wǎng)絡及信息系統(tǒng)進行人工或自動的審計跟蹤、保存和維護審計記錄的工具。安全審計產(chǎn)品通過準確記錄信息系統(tǒng)及網(wǎng)絡內發(fā)生的各種事件，向系統(tǒng)及網(wǎng)絡管理者提供及時的報警，并按照設定的策略采取相應的保護行動，對信息系統(tǒng)和網(wǎng)絡的濫用及入侵起到防范作用。由于此類產(chǎn)品直接關系網(wǎng)絡的安全性，因此必須對該類產(chǎn)品的實現(xiàn)和測評制定相應的國家標準，本標準即規(guī)定了安全審計產(chǎn)品的技術要求和測試評價方法。a） 編制目標以當前國內外網(wǎng)絡安全領域廣泛使用的安全審計產(chǎn)品所具備的基本功能及《技術要求》為基礎來規(guī)定安全審計產(chǎn)品的評估準則，以國內外同類產(chǎn)品的測試、評估辦法為基礎來規(guī)定安全審計產(chǎn)品的評估準則。力求廣泛吸取國內外先進的信息安全標準的相關內容，根據(jù)我國實際國情和信息安全狀況制定出領先的、對信息系統(tǒng)安全審計產(chǎn)品的評測具有指導意義的產(chǎn)品評估評測標準。b）編制原則本標準力求與國際接軌，且必須符合我國信息安全的現(xiàn)狀，必須遵從我國有關法律法規(guī)的規(guī)定。主要原則如下：（1） 先進性標準是技術發(fā)展的要求，而先進的標準對技術和產(chǎn)品研發(fā)、測評又具有引導、規(guī)范和推動作用。因此標準的編寫必須遵照先進性原則。要保證先進性就必須參考國際先進標準，吸取其精華。（2） 實用性產(chǎn)品評估準則必須是可用的，才能對相應產(chǎn)品的評測評估起到指導和規(guī)范作用。本標準遵從實用性原則。（3） 兼容性本標準既要與國際接軌，也要與我國現(xiàn)有的政策、法律、法規(guī)相一致。（4） 可操作性制訂《標準》的一個重要目的是對相關產(chǎn)品進行評測和對比，因此，必須具有良好的可操作性。才能成為一個產(chǎn)品評測和對比的客觀標準。本標準嚴格遵守可操作性準則。五．有關問題的說明（包括專家意見的處理）1. 國外相關標準情況目前尚未發(fā)現(xiàn)國際和國外關于信息系統(tǒng)安全審計產(chǎn)品的類似評估標準。根據(jù)調研發(fā)現(xiàn)，英國和加拿大主要是根據(jù)CC進行IT安全產(chǎn)品的測評和認證及相關的PP及ST報告，另外也查詢了國家測評認證中心、軍隊信息安全檢測中心、公安部等單位。由于CC是通用的產(chǎn)品開發(fā)、測評的準則，對各個安全類有詳細的說明和要求，但也由于它的廣泛通用性，導致了它對某一特定類別的安全產(chǎn)品的評測缺乏可操作性和針對性。2. 該標準的目的制定本標準意在規(guī)范當前我國網(wǎng)絡安全領域的一類網(wǎng)絡安全工具——安全審計產(chǎn)品的研制、開發(fā)、測試、評估和產(chǎn)品的采購等方面，與其他相關法規(guī)和標準并無沖突，而是起到了相輔相成的作用。3. 該標準的適用情況該標準對信息系統(tǒng)安全審計產(chǎn)品的開發(fā)、測評和應用起到規(guī)范和引導的作用。由于針對一類具體的產(chǎn)品，它具有靈活和可操作性的特點。本標準適用于對信息系統(tǒng)各客體進行審計事件采集、處理、分析，提供審計報告、報警、響應及審計數(shù)據(jù)記錄、備份的安全產(chǎn)品的開發(fā)、測評和應用。4. 關于標準結構的說明本標準主要由技術要求和測試評價方法兩部分組成。技術要求劃分為功能要求、性能要求、保證要求三類，其中功能要求又分為安全功能要求和自身安全要求兩部分：安全功能要求包括審計跟蹤、審計數(shù)據(jù)保護、安全管理、標識和鑒別、產(chǎn)品升級、聯(lián)動要求和擴展要求等內容；自身安全要求包括自身審計數(shù)據(jù)生成、自身安全審計記錄獨立存放、審計代理安全、產(chǎn)品卸載安全、系統(tǒng)時間安全和系統(tǒng)部署安全等。性能要求包括穩(wěn)定性、資源占用、網(wǎng)絡影響和吞吐量等內容；安全保證要求包括配置管理保證、交付與運行保證、指導性文檔、測試保證、脆弱性分析保證和生命周期支持等內容。測試評價方法對測試環(huán)境和測評方法、步驟進行了規(guī)范，測試內容來自于本標準中技術要求部分相關章節(jié)。本標準確定了所有的測試項目及結果，力求準確全面。上一稿中，對產(chǎn)品自身安全的功能要求以“自保護”為名放在第4章“安全目標”中，結構稍顯混亂。后經(jīng)專家指出并經(jīng)過編制組認真研究，決定將功能要求分為安全功能要求和自身安全要求兩部分，便于將功能細分，減少混淆。5. 關于標準名稱的說明初稿中本標準首先定名為《信息技術 審計跟蹤產(chǎn)品技術要求》，在標準的進一步修訂過程中，我們認識到將標準限定為“審計跟蹤”是很狹窄的，審計跟蹤僅僅是安全審計產(chǎn)品的一個重要功能，而無法代替全部的用戶需求，如此定義會使用戶誤解。因此我們根據(jù)制定本標準的目的和標準的適用情況更名為“安全審計產(chǎn)品”。而“信息技術”的概念過于模糊，故更改為“信息系統(tǒng)”。6. 關于將技術要求和測評方法合并的說明在編寫初稿時，曾參考之前的其它相關國家標準將《技術要求》和《測評方法》分開編寫。之后經(jīng)過編寫組內部討論，考慮到本標準的實際情況為內容相對精簡，將兩部分合并在一起應該更有助于開發(fā)者和用戶參照技術要求、對照測評方法。因此我們決定將兩部分合并，命名為《信息系統(tǒng)安全審計產(chǎn)品技術要求和測試評價方法》。7. 關于產(chǎn)品分級的說明根據(jù)相關編制要求，我們對目前審計市場現(xiàn)狀進行了深入調查，參照市場相關資料及用戶抽樣調查，目前審計產(chǎn)品覆蓋范圍主要分為主機審計、網(wǎng)絡審計、數(shù)據(jù)庫管理系統(tǒng)審計、應用系統(tǒng)審計、其它審計五大類，具體代表產(chǎn)品有：1） 主機、服務器審計：漢邦信息安全審計系統(tǒng)、金鷹易視桌面監(jiān)控審計、格方天一網(wǎng)絡審計系統(tǒng)等；2） 網(wǎng)絡審計：漢邦網(wǎng)絡審計系統(tǒng)、光華S_Audit網(wǎng)絡入侵檢測與安全審計系統(tǒng)、啟明星辰天玥網(wǎng)絡安全審計系統(tǒng)；3） 數(shù)據(jù)庫管理系統(tǒng)審計：漢邦數(shù)據(jù)庫審計系統(tǒng)、光華DB_Audit數(shù)據(jù)庫安全審計系統(tǒng)、格方天一數(shù)據(jù)庫審計系統(tǒng)；4） 應用系統(tǒng)審計：漢邦應用審計系統(tǒng)、萬達分布式應用審計系統(tǒng)等；5） 其它審計：漢邦信息安全監(jiān)管系統(tǒng)（對安全設備的審計）、天融信安全審計綜合分析系統(tǒng)（對安全設備的審計）等產(chǎn)品。在本標準編制中，我們參照市場綜合情況，將產(chǎn)品分為基本型和增強型兩級：基本型：對主機、服務器、網(wǎng)絡、數(shù)據(jù)庫管理系統(tǒng)、應用系統(tǒng)等進行審計，并對審計事件進行分析和響應的安全審計產(chǎn)品。增強型：對主機、服務器、網(wǎng)絡、數(shù)據(jù)庫管理系統(tǒng)、應用系統(tǒng)中至少兩類應用系統(tǒng)進行審計，并可對審計事件進行關聯(lián)分析與響應的安全審計產(chǎn)品。8. 關于產(chǎn)品概述和分類位置的說明 初稿中將安全審計產(chǎn)品的概述及分類放在正文中第四章，并且提出兩個模型：單主機型安全審計系統(tǒng)模型和分布式安全審計系統(tǒng)模型。在第一次修改過程中考慮到標準應該具有高度概括和抽象的特性，不應將模型作為要求放在標準中，并結合專家意見，曾將安全審計產(chǎn)品的概述及分類與兩個模型的概念一并移至資料性附錄A。第二次修改時，編寫組內部討論十分激烈，主題為是否應該將安全審計產(chǎn)品的分類重新安排在標準中。因為本標準的技術要求和測評方法有很大比例是按照該分類展開的，考慮到如果不先將產(chǎn)品的分類定義提出，很容易造成用戶的費解甚至誤解。因此最后編寫組決定將安全審計產(chǎn)品的概述及分類提前至標準中，而將兩個模型仍舊保留在資料性附錄A中，保持標準的高度概括和抽象性。在征求專家意見后，將產(chǎn)品進行了重新分級，兩級產(chǎn)品功能上是包含的關系。編制組討論后本著編制原則，不再給出產(chǎn)品模型，而是提出了安全審計流程的概念，并給出示意圖。9. 關于安全工作環(huán)境的說明初稿中將安全工作環(huán)境作為第五章列入，從網(wǎng)絡連接條件、物理條件、人員條件三方面進行了說明。之后專家提出修改意見，歸類應從威脅、策略等角度進行分析，考慮到標準的實際情況，最終決定安全工作環(huán)境部分刪除。10. 關于標準中編號的說明初稿中為保證與CC的統(tǒng)一性，在產(chǎn)品功能要求部分，每項要求后都對應給出了該類或該族的名稱，本意是希望本標準能與CC達到最高程度的契合。但修訂初稿時我們發(fā)現(xiàn)，產(chǎn)品性能要求和安全保證要求部分不能在每項后對應類名，因此使整個標準稍顯凌亂。因此為保證標準文字的嚴謹性和內容的易理解性，經(jīng)編寫組討論決定，取消在產(chǎn)品功能要求部分編號后對應類名或族名的做法，保證全文風格統(tǒng)一。11. 關于產(chǎn)品功能要求內容的確定在安全審計產(chǎn)品技術要求部分中“安全功能要求”具體內容的確定上，我們十分慎重地斟酌了若干次。通過對目前國內已有的比較先進的安全審計產(chǎn)品的參考，我們總結出安全審計產(chǎn)品所具備的功能以及未來安全審計產(chǎn)品的走勢如下表所示：功能所屬類別詳細功能審計數(shù)據(jù)生成跟蹤審計在線過濾旁路審計分級審計審計分析數(shù)據(jù)挖掘和關聯(lián)分析靈活多樣的報表生成形式系統(tǒng)功能分布式系統(tǒng)集中審計管理良好的系統(tǒng)結構模型針對大流量的動態(tài)負載均衡擴展功能產(chǎn)品升級維護