【正文】 查產(chǎn)品手冊(cè)產(chǎn)品是否提供自定義匹配模式并驗(yàn)證。 異常事件和行為 a) 評(píng)價(jià)內(nèi)容： 見(jiàn) 的內(nèi)容； b) 測(cè)試評(píng)價(jià)方法： 1) 用戶(hù)越權(quán)訪(fǎng)問(wèn)，審查審計(jì)記錄； 2) 耗盡系統(tǒng)資源，審查審計(jì)記錄； 3) 網(wǎng)絡(luò)應(yīng)用服務(wù)超負(fù)荷，審查審計(jì)記錄； 4) 建立大量網(wǎng)絡(luò)通信連接，審查審計(jì)記錄。 審計(jì)分析 潛在危害 a) 評(píng)價(jià)內(nèi)容： 見(jiàn) 的內(nèi)容； b) 測(cè)試評(píng)價(jià)方法： 1) 評(píng)價(jià)者應(yīng)檢 查審計(jì)事件集合； 2) 評(píng)價(jià)者應(yīng)檢查事件報(bào)警觸發(fā)條件。 c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷。產(chǎn)品支持的數(shù)據(jù)庫(kù)類(lèi)型至少包含一種主流數(shù)據(jù)庫(kù)。 審計(jì)記錄 審計(jì)記錄 格式 a) 評(píng)價(jià)內(nèi)容：見(jiàn) 的內(nèi)容； b) 測(cè)試評(píng)價(jià)方法：評(píng)價(jià)者應(yīng)審查審計(jì)記錄中是否包含事件 ID、事件發(fā)生的日期和時(shí)間、事件類(lèi)型、事件級(jí)別、事件主體和事件結(jié)果； c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，審計(jì)記錄應(yīng)詳細(xì)、完整、容易理解。 事件鑒別擴(kuò)展接口 a) 評(píng)價(jià)內(nèi)容：見(jiàn) 的內(nèi)容； b) 測(cè)試評(píng)價(jià)方法： 1) 檢查事件定義模塊； 2) 自定義安全事件模塊。 c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷。 c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合： 1) 系統(tǒng)配置應(yīng)支持緊急事件定義； 2) 審計(jì)記錄應(yīng)能準(zhǔn)確記錄緊急事件； 3) 報(bào)警處理器應(yīng)能收到并處理緊急事件。審計(jì)記錄應(yīng)能區(qū)別不同用戶(hù)行為。 中國(guó)最大的管理資源中心 第 15 頁(yè) 共 38 頁(yè) 用戶(hù)身份關(guān)聯(lián) a) 評(píng)價(jià)內(nèi)容： 見(jiàn) 的內(nèi)容； b) 測(cè)試評(píng)價(jià)方法： 1) 用不同用戶(hù)身份登錄系統(tǒng)進(jìn)行操作； 2) 檢查審計(jì)記錄。 4） 應(yīng)用系統(tǒng)審計(jì)測(cè)試： —— 審查目標(biāo)應(yīng)用系統(tǒng)日志審計(jì)記錄； —— 進(jìn)行目標(biāo)應(yīng)用系統(tǒng)操作，審查審計(jì)記錄。 2） 網(wǎng)絡(luò)審計(jì)測(cè)試： —— 從目標(biāo)主機(jī)發(fā)起服務(wù)請(qǐng)求，審查審計(jì)記錄 ； —— 模擬網(wǎng)絡(luò)入侵行為 ，進(jìn)行審計(jì)記錄； —— 向網(wǎng)絡(luò)上發(fā)送大量畸形數(shù)據(jù)包造成網(wǎng)絡(luò)流量加大，審查審計(jì)記錄。開(kāi)發(fā)安全文件還應(yīng)提供在產(chǎn)品的開(kāi)發(fā)和維護(hù)過(guò)程中執(zhí)行安全措施的證據(jù)。 生命周期支持 a) 開(kāi)發(fā)者應(yīng)提供開(kāi)發(fā)安全文件。在文檔中，還需證明經(jīng)過(guò)標(biāo)識(shí)脆弱性的產(chǎn)品可以抵御明顯的穿透性攻擊。對(duì)被確定的脆弱性，開(kāi)發(fā)者應(yīng)明確記錄采取 的措施。指南性文檔應(yīng)是完整的、清晰的、一致的、合理的。 b) 在指南性文檔中，應(yīng)確定對(duì)產(chǎn)品的所有可能的操作方式（包含失敗和操作 失誤后的操作）、它們的后果以及對(duì)于保持安全操作的意義。 獨(dú)立性測(cè)試 開(kāi)發(fā)商應(yīng)提供用于適合測(cè)試的部件，且提供 的測(cè)試集合應(yīng)與其自測(cè)產(chǎn)品功能時(shí)使用的測(cè)試集合相一致。 測(cè)試深度分析報(bào)告 a) 開(kāi)發(fā)商應(yīng)提供對(duì)產(chǎn)品的測(cè)試深度的分析報(bào)告。 測(cè)試覆蓋面分析報(bào)告 a) 開(kāi)發(fā)商應(yīng)提供對(duì)產(chǎn)品測(cè)試覆蓋范圍的分析報(bào)告。 f) 測(cè)試文檔的測(cè)試結(jié)果應(yīng)給出每一項(xiàng)測(cè)試的預(yù)期結(jié)果。 d) 測(cè)試文檔應(yīng)確定將要測(cè)試的產(chǎn)品功能，并描述將要達(dá)到的測(cè)試目 標(biāo)。 b) 開(kāi)發(fā)商在提供產(chǎn)品時(shí)應(yīng)同時(shí)提供該產(chǎn)品的測(cè)試文檔。 ? 用戶(hù)指南應(yīng)清晰地闡述產(chǎn)品安全運(yùn)行中用戶(hù)所必須負(fù)的職責(zé)，包含產(chǎn)品在安全使用環(huán)境中對(duì)用戶(hù)行為的假設(shè)。 ? 用戶(hù)指南應(yīng)描述非管理員用戶(hù)可用的功能和接口。 j) 管理員指南應(yīng)能指導(dǎo)用戶(hù)在產(chǎn)品的安裝過(guò)程中產(chǎn)生一個(gè)安全的配置。 h) 管理員指南應(yīng)描述在產(chǎn)品的安全安裝過(guò)程中可能要使用的所有配置選項(xiàng)。 f) 管理員指南應(yīng)包含安全功能如何相互作用的指導(dǎo)。 中國(guó)最大的管理資源中心 第 13 頁(yè) 共 38 頁(yè) d) 對(duì)于在安全處理環(huán)境中必須進(jìn)行控制的功能和特權(quán)，管理員指南應(yīng)提出相應(yīng)的警告。 b) 管理員指南應(yīng)描述管理員可使用的管理功能和接口。 上述過(guò)程中不應(yīng)向非產(chǎn)品使用 者提供網(wǎng)絡(luò)拓?fù)湫畔ⅰ? 開(kāi)發(fā)商應(yīng)以文件方式說(shuō)明產(chǎn)品的安裝，配置和啟動(dòng)的過(guò)程。 開(kāi)發(fā)商應(yīng)提供配置管理文檔。 開(kāi)發(fā)者應(yīng)針對(duì)不同用戶(hù)提供唯一的授權(quán)標(biāo)識(shí)。在大流量的情況下，產(chǎn)品應(yīng)通過(guò)自身調(diào)節(jié)做到動(dòng)態(tài)負(fù)載均衡。 網(wǎng)絡(luò)影響 產(chǎn)品的運(yùn)行不應(yīng)對(duì)原網(wǎng)絡(luò)正常通訊產(chǎn)生明顯影響。 資源占用 軟件代理 的運(yùn)行對(duì)宿主機(jī)資源，如 CPU、內(nèi)存空間和存儲(chǔ)空間的占用，不應(yīng)超過(guò)宿主機(jī)的承受能力。 6 性能要求 穩(wěn)定性 軟件代理在宿主操作系統(tǒng)上應(yīng)工作穩(wěn)定，不應(yīng)造成宿主機(jī)崩潰情況。 系統(tǒng)時(shí)間安全 產(chǎn)品應(yīng)提供同步審計(jì)代理與審計(jì)跟蹤記錄中心時(shí)間的功能，并應(yīng)同時(shí)自 動(dòng)記錄審計(jì)代理與審計(jì)跟蹤記錄中心的時(shí)間。若未安裝軟件代理，將產(chǎn)生報(bào)警。 b) 軟件代理應(yīng)具備自保護(hù)能力，使用專(zhuān)用卸載程序?qū)浖磉M(jìn)行卸載時(shí)應(yīng)提供密碼保護(hù)，除專(zhuān)用卸載程序外用戶(hù)不可手工刪除、停用。 自身安全審計(jì)記錄獨(dú)立存放 產(chǎn)品應(yīng)將自身安全審計(jì)記錄與被審計(jì)的目標(biāo)信息系統(tǒng)的審計(jì)記錄分 開(kāi)保存到不同的記錄文件或數(shù)據(jù)庫(kù)（或同一數(shù)據(jù)庫(kù)的不同表）中，方便用戶(hù)查閱和分析。部分安全事件可通 過(guò)使用監(jiān)管功能進(jìn)行管理。 聯(lián)動(dòng)接口 【增強(qiáng)型】 產(chǎn)品應(yīng)至少提供一個(gè)標(biāo)準(zhǔn)的、開(kāi)放的接口，能按照該接口規(guī)范為其它類(lèi)型安全產(chǎn)品編寫(xiě)相應(yīng)的程序模塊，達(dá)到與其聯(lián)動(dòng)的目的。升級(jí)日志至少應(yīng)包含時(shí)間、目標(biāo)、目的、內(nèi)容、版本等信息。 審計(jì)代理升級(jí) 分布式審 計(jì)所包含的各審計(jì)代理應(yīng)支持自動(dòng)檢測(cè)審計(jì)中心版本，自動(dòng)下載升級(jí)包，進(jìn)行升級(jí)。升級(jí)過(guò)程中可暫時(shí)終止系統(tǒng)服務(wù)程序的運(yùn)行，升級(jí)完成后應(yīng)重新啟動(dòng)服務(wù)程序，按照原有的策略繼續(xù)運(yùn)行。授權(quán)管理員取得升級(jí)包后，能按照升級(jí)說(shuō)明文件的要求，對(duì)系統(tǒng)進(jìn)行升級(jí) 。 鑒別失敗處理 中國(guó)最大的管理資源中心 第 11 頁(yè) 共 38 頁(yè) 產(chǎn)品應(yīng)為管理員登錄設(shè)定一個(gè)授權(quán)管理員可修改的鑒別嘗試閾值，當(dāng)管理員的不成功登錄嘗試超過(guò)閾值，系統(tǒng)應(yīng)通過(guò)技術(shù)手段阻止管理員的進(jìn)一步鑒別請(qǐng)求，如帳號(hào)失效一段時(shí)間， 鎖定該管理員帳號(hào)直至超級(jí)管理員恢復(fù)該管理員的被鑒別能力等。 重鑒別 當(dāng)已通過(guò)身份鑒別的管理角色空閑操作的時(shí)間超過(guò)規(guī)定值，在該管理角色需要執(zhí)行管理功能前，產(chǎn)品應(yīng)對(duì)該管理角色的身份重新進(jìn)行鑒別。 身份鑒別 用戶(hù) 鑒別 在某個(gè)管理角色需要執(zhí)行管理功能之前，產(chǎn)品應(yīng)對(duì)該管理角色的身份進(jìn)行鑒別。 安全狀態(tài)監(jiān)測(cè) 管理員能實(shí)時(shí)獲取網(wǎng)絡(luò)安全狀態(tài)信息，監(jiān)測(cè)產(chǎn)品的運(yùn)行情況，并對(duì)其產(chǎn)生的日志和報(bào)警信息進(jìn)行匯總和統(tǒng)一分析。 操作審計(jì) 產(chǎn)品應(yīng)對(duì)不同管理角色在管理期間的全部活動(dòng)生成相應(yīng)的審計(jì)記錄。 ? 日志查看員 可對(duì)具體日志進(jìn)行查看、分析、處理，并可使用審計(jì)分析器及報(bào)告生成器。 安全管理 管理角色 產(chǎn)品應(yīng)為管理角色進(jìn)行分級(jí)，使不同級(jí)別的管理角色具有不同的管理權(quán)限。 審計(jì)數(shù)據(jù)保護(hù) 數(shù)據(jù)傳輸控制 審計(jì)代理與審計(jì)跟蹤記錄中心相互傳輸審計(jì)記錄數(shù)據(jù)及配置和控制信息時(shí)，產(chǎn)品 應(yīng)確保只有授權(quán)管理員能決定數(shù)據(jù)傳輸?shù)膯?dòng)或終止。 策略模板 產(chǎn)品應(yīng)為用戶(hù)提供多套策略模板，使用戶(hù)可根據(jù)具體的信息系統(tǒng)要求選擇最適宜的審計(jì)策略，對(duì)可審計(jì)事件進(jìn)行審計(jì)。同時(shí)應(yīng)將可審計(jì)事件的重要程度劃分為不同的級(jí)別，對(duì)不同級(jí)別的事件采取不同的處理方式。產(chǎn)品應(yīng)設(shè)定缺省保存時(shí)間，至少為兩個(gè)月。 可用性保證 在審計(jì)存儲(chǔ)空間耗盡、遭受攻擊等異常情況下，產(chǎn)品應(yīng)采取相應(yīng)措施保證已存儲(chǔ)的審計(jì)記錄數(shù)據(jù)的可用性。 審計(jì)記錄存儲(chǔ) 安全保護(hù) 產(chǎn)品應(yīng)至少采取一種安全機(jī)制，保護(hù)審計(jì)記錄數(shù)據(jù)免遭未經(jīng)授權(quán)的刪除或修改，如采取嚴(yán)格的身份鑒別機(jī)制和適合的文件讀寫(xiě)權(quán)限等。 有限查閱 產(chǎn)品應(yīng)確保除授權(quán)管理員之外，其他用戶(hù)無(wú)權(quán)對(duì)審計(jì)記錄進(jìn)行查閱。應(yīng)采取下列至少一種形式的響應(yīng)方式： a) 對(duì)策略中標(biāo)記為阻斷的攻擊進(jìn)行阻斷； b) 調(diào)用授權(quán)管理員預(yù)定義的操作或應(yīng)用程序； c) 向其它網(wǎng)絡(luò)產(chǎn)品發(fā)送互動(dòng)信號(hào)，進(jìn)行聯(lián)合行動(dòng)的協(xié)商和執(zhí)行。 產(chǎn)生報(bào)警 產(chǎn)品應(yīng)產(chǎn)生報(bào)警，報(bào)警方式至少包含以下方式中的兩種： a) 向中央控制臺(tái)發(fā)送報(bào)警消息； b) 向系統(tǒng)管理員發(fā)送報(bào)警郵件； c) 向網(wǎng)管中心發(fā)送 SNMP、 Trap消息； d) 向聲光電發(fā)生裝置發(fā)送聲光電信號(hào)； e) 向網(wǎng)管人員發(fā)送 SMS短消息。 審計(jì)分析報(bào)告 中國(guó)最大的管理資源中心 第 9 頁(yè) 共 38 頁(yè) a) 產(chǎn)品應(yīng)至少支持按關(guān)鍵 字生成、按模塊功能生成、按危害等級(jí)生成、按自定義格式生成等分析報(bào)告生成方式； b) 報(bào)告內(nèi)容應(yīng)至少支持文字、圖象兩種描述方式； c) 審計(jì)數(shù)據(jù)報(bào)告生成格式應(yīng)至少支持 txt、 html、 doc、 xls等文件格式。 系統(tǒng)報(bào)警消息 當(dāng)審計(jì)分析器的分析表明信息系統(tǒng)出現(xiàn)潛在危害、異常事件以及攻擊行為時(shí)，產(chǎn)品應(yīng)向報(bào)警處理器發(fā)送報(bào)警消息或者生成特殊的審計(jì)記錄。 b) 【 增強(qiáng)型】： 1) 滿(mǎn)足【基本型】的要求； 2) 多審計(jì)功能協(xié)作審計(jì)； 3) 各審計(jì)功能關(guān)聯(lián)分析。 產(chǎn)品應(yīng)對(duì)異常事件和行為進(jìn)行分析處理，例如： a) 用戶(hù)活動(dòng)異常； b) 系統(tǒng)資源濫用或耗盡； c) 網(wǎng)絡(luò)應(yīng)用服務(wù)超負(fù)荷； d) 網(wǎng)絡(luò)通信連接數(shù)劇增。當(dāng)這些異常事件發(fā)生時(shí)表明被審計(jì)信息系統(tǒng)產(chǎn)生了潛在或?qū)嶋H的危害與攻擊。審計(jì)事件集合應(yīng)可定制。當(dāng)這些事件的發(fā)生、累計(jì)發(fā)生次數(shù)或發(fā)生頻率超過(guò)設(shè)定的閾值時(shí)，表明信息系統(tǒng)出現(xiàn)了可能的潛在危害。 數(shù)據(jù)安全存儲(chǔ) 產(chǎn)品應(yīng)對(duì)產(chǎn)生的審計(jì)記錄數(shù)據(jù)進(jìn)行保護(hù)，防止其被泄漏或篡改。 中國(guó)最大的管理資源中心 第 8 頁(yè) 共 38 頁(yè) 產(chǎn)品應(yīng)通過(guò)采用通用的、標(biāo)準(zhǔn)的審計(jì)數(shù)據(jù)格式，將不同應(yīng)用系統(tǒng)產(chǎn)生的審計(jì)數(shù)據(jù)按照統(tǒng)一的標(biāo)準(zhǔn)化格式進(jìn)行組織和存儲(chǔ)。 事件鑒別擴(kuò)展接口 【增強(qiáng)型】 產(chǎn)品應(yīng)提供一個(gè)功能接口，對(duì)其自身無(wú)法鑒別的安全事件，用戶(hù)可通過(guò)該接口，將擴(kuò)展的事件鑒別模塊以插件的形式接入事件辨別器。 緊急事件報(bào)警 對(duì)于系統(tǒng)安全策略定義的緊急事件，產(chǎn)品應(yīng)直接向報(bào)警處理器發(fā)送報(bào)警消息。 e) 其它審計(jì) 數(shù)據(jù)采集 ： 1） 網(wǎng)絡(luò)設(shè)備日志； 2） 其它系統(tǒng)審計(jì)記錄。 c) 數(shù)據(jù)庫(kù)管理系統(tǒng)審計(jì) 數(shù)據(jù)采集 ： 1） 數(shù)據(jù)庫(kù)數(shù)據(jù)操作； 2） 數(shù)據(jù)庫(kù)結(jié)構(gòu)操作； 3） 數(shù)據(jù)庫(kù)用戶(hù)更改。 5 功能要求 安全功能要求 審計(jì)跟蹤 審計(jì)事件生成 審計(jì)數(shù)據(jù)采集 中國(guó)最大的管理資源中心 第 7 頁(yè) 共 38 頁(yè) 【基本型】產(chǎn)品至少應(yīng)包括以下一類(lèi)采集范圍 ，【增強(qiáng)型】產(chǎn)品至少應(yīng)包括以下兩類(lèi)采集范圍： a) 主機(jī)、服務(wù)器審計(jì)數(shù)據(jù)采集： 1) 目標(biāo)主機(jī)的啟動(dòng)和關(guān)閉； 2) 目標(biāo)主機(jī)的日志； 3) 目標(biāo)主機(jī)的軟、硬件信息； 4) 目標(biāo)主機(jī)的外圍設(shè)備使用； 5) 目標(biāo)主機(jī)的 文件 使用 ； 6) 目標(biāo)主機(jī)網(wǎng)絡(luò)連接。 4 安全審計(jì)產(chǎn)品分級(jí) 基本型 對(duì) 主機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)管理系統(tǒng)、應(yīng)用系統(tǒng)等客體采集對(duì)象進(jìn)行審計(jì)，并對(duì)審計(jì)事件進(jìn)行分析和響應(yīng)的安全審計(jì)產(chǎn)品。 記法 本標(biāo)準(zhǔn)中所用記法，采用符號(hào)【】?jī)?nèi)加文字表示，區(qū)別 不同級(jí)別的產(chǎn)品，用【基本型】和【增強(qiáng)型】表示安全審計(jì)產(chǎn)品的 2 個(gè)級(jí)別。 嗅探 sniffing 對(duì)網(wǎng)絡(luò)線(xiàn)路上傳送的數(shù)據(jù)包進(jìn)行捕獲以獲得信息的行為。 審計(jì)跟蹤記錄中心