收藏
下载资源

信息技术日志分析产品安全检验规范.

上传人:jiups****uk12 文档编号:90222653 上传时间:2019-06-09 格式:DOC 页数:16 大小:50.50KB
返回 下载 相关 举报
信息技术日志分析产品安全检验规范._第1页
第1页 / 共16页
信息技术日志分析产品安全检验规范._第2页
第2页 / 共16页
信息技术日志分析产品安全检验规范._第3页
第3页 / 共16页
信息技术日志分析产品安全检验规范._第4页
第4页 / 共16页
信息技术日志分析产品安全检验规范._第5页
第5页 / 共16页
点击查看更多>>
资源描述

《信息技术日志分析产品安全检验规范.》由会员分享,可在线阅读,更多相关《信息技术日志分析产品安全检验规范.(16页珍藏版)》请在金锄头文库上搜索。

1、 出处:公安部计算机信息系统安全产品质量监督检验中心作者:佚名时间:2006-06-11网址:http:/本规范由中华人民共和国公安部公共信息网络安全监察局提出。本规范起草单位:公安部计算机信息系统安全产品质量监督检验中心。公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。信息技术日志分析产品安全检验规范1.范围本规范规定了日志分析产品的安全功能要求和保证要求。本规范适用于日志分析产品的生产及安全功能检测。2.术语和定义2.1 审计信息泛指被审计产品作为审计处理对象的各种数据信息,包括日志以及各种安全设备产生的安全事件报告信息。2.2审计数据源用以产生审计信息的软件系

2、统或硬件设备。2.3审计中心用于完成审计信息的分析处理功能的软件程序。2.4审计代理为获取特定设备上的审计信息而运行在该设备上的软件程序。3.日志分析产品的安全功能3.1日志收集3.1.1数据源控制审计系统应该提供对审计数据源的授权控制机制,只有授权的审计数据源发送的审计信息才能被审计系统分析处理。3.1.2 获取syslog日志审计系统应支持在标准端口(udp:514)接收标准syslog日志。3.1.3基于代理的日志获取审计系统应提供代理机制获取其审计信息,如操作系统日志,安全设备报警信息等。3.1.4 数据源范围数据源至少包括:常见操作系统的系统日志;路由器,交换机日志;常见服务器日志(

3、如FTP、WEB服务器)。3.1.5 日志格式的统一安全审计系统应能对多种日志进行集中分析和处理,审计系统应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格式时不能造成字段丢失。3.1.6 日志数据的预处理审计系统应提供基于一定策略对原始日志数据进行筛选等预处理功能,预处理工作应该在将原始日志存入数据库前完成3.1.7 防止数据丢失当与审计中心连接出现故障时,要有一定的措施防止审计数据丢失。确保该时段内的各项审计日志在连接正常之后传输到审计中心。3.2日志分析管理3.2.1日志实时监视审计系统应能够对部分或者全部数据源所产生的日志进行实时监视。3.2.2审计代理状态监视审计系统应能

4、够监视审计代理的状态,运行是否正常等。3.2.3条件查询审计系统应提供基于时间、源地址、目的地址、协议类型、危险级别等字段的组合查询。3.2.4统计报表审计系统应能够手动或自动生成统计报表。至少能按各数据源生成报表。3.2.5报表格式报表应至少支持一种常用的文件格式(如HTML、XLS等),如使用专有报表格式,必须提供报表浏览工具。3.2.6 数据库支持审计数据存储应支持一个常用的数据库(如MySQL,Oracle等)。3.2.7审计数据管理应能够对审计数据进行备份/删除。3.3安全功能3.3.1管理员身份鉴别应保证只有授权管理员和可信主机才有权使用产品的管理功能,对授权管理员和可信主机应进行

5、身份鉴别。3.3.2管理员权限:a)管理员属性修改(更改密码等);b)启动、关闭全部或部分监测功能;c)修改日志分析产品其它安全策略。3.4审计功能3.4.1审计数据生成应至少能对下列事件生成日志:a)日志分析产品的启动和关闭;b)鉴别成功和失败;c)其它重要操作,如增加、删除管理员,存档、删除、清空日志等。应在每一个日志记录中记录事件发生的日期和时间、事件描述。3.4.2 审计管理应提供下列日志管理功能:a)只允许授权管理员访问日志记录;b)提供对日志记录的查询功能;c)授权管理员能存档、删除和清空日志记录。4.日志分析产品的保证要求4.1 交付和运行4.1.1交付过程4.1.1.1 开发者

6、行为元素:a)开发者应将把日志分析产品及其部分交付给用户的程序文档化;b)开发者应使用交付程序。4.1.1.2 证据元素的内容和表示交付文档应描述,在给用户方分配日志分析产品的版本时,用以维护安全所必需的所有程序。4.1.2 安装、生成和启动程序4.1.2.1 开发者行为元素开发者应将日志分析产品安全地安装、生成和启动所必需的程序文档化。4.1.2.2 证据元素的内容和表示文档应描述日志分析产品安全地安装、生成和启动所必要的步骤。4.2 指导性文档4.2.1 管理员指南4.2.1.1 开发者行为元素开发者应当提供针对系统管理员的管理员指南。4.2.1.2 证据的内容和形式元素:a)管理员指南应

7、当描述日志分析产品管理员可使用的管理功能和接口;b)管理员指南应当描述如何以安全的方式管理日志分析产品;c)管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告;d)管理员指南应当描述所有与日志分析产品的安全运行有关的用户行为的假设;e)管理员指南应当描述所有受管理员控制的安全参数,合适时,应指明安全值;f)管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件,包括改变TSF所控制的实体的安全特性;g)管理员指南应当与为评估而提供的其他所有文档保持一致;h)管理员指南应当描述与管理员有关的IT环境的所有安全要求。4.2.2 用户指南4.2.2.1开发者行为元素开发者应当提

8、供用户指南。4.2.2.2 证据的内容和形式元素:a)用户指南应该描述日志分析产品的非管理用户可用的功能和接口;b)用户指南应该描述日志分析产品提供的用户可访问的安全功能的用法;c)用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告;d)用户指南应该清晰地阐述日志分析产品安全运行中用户所必须负的职责,包括有关在日志分析产品安全环境阐述中找得到的用户行为的假设;e)用户指南应该与为评估而提供的其它所有文档保持一致;f)用户指南应该描述与用户有关的IT环境的所有安全要求。信息技术数据库安全审计产品检验规范 出处:公安部计算机信息系统安全产品质量监督检验中心作者:佚名时间:2006

9、-06-11网址:http:/为了规范全国数据库安全审计产品的开发与应用,保障公共信息网络安全,根据公安部公共信息网络安全监察局的要求,本规范对数据库安全审计产品提出了自身安全功能要求、安全功能要求和保证要求,作为对其进行检测的依据。本规范由中华人民共和国公安部公共信息网络安全监察局提出。本规范起草单位:公安部计算机信息系统安全产品质量监督检验中心。公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。本规范规定了数据库安全审计产品的技术要求,提出了该类产品应具备的功能要求和安全保证要求。并根据功能和保证要求的不同将数据库安全审计产品进行了分级。本规范的目的是为数据库安全

10、审计产品的研制、开发、测评和采购提供技术支持和指导。使用符合本规范的数据库安全审计产品可对数据库操作行为进行隐蔽监视,能对事后发现的安全事件进行会话恢复,为数据库取证提供有效的工具。本规范不涉及在加密网络中使用的数据库安全审计产品。信息技术数据库安全审计产品检验规范1.范围本规范规定了在网络中使用的数据库安全审计产品的自身安全功能要求、安全功能要求和保证要求。本规范适用于数据库安全审计产品的生产及检测。2.术语和定义下列术语和定义适用于本规范:2.1 数据库安全审计数据库安全审计产品是对网络中指定数据库的使用状态进行跟踪并记录的产品。2.2 审计日志审计日志是指数据库安全审计产品自身审计产生的

11、信息。2.3 审计记录审计记录是指跟踪指定数据库的使用状态产生的信息。2.4 审计信息审计信息是指所有的审计日志和审计记录的总称。3.安全审计等级划分规范3.1自身安全功能要求3.1.1自主访问控制3.1.1.1属性定义产品应为每个管理角色规定与之相关的安全属性,例如管理角色标识、鉴别信息、隶属组、权限等。为了规范全国数据库安全审计产品的开发与应用,保障公共信息网络安全,根据公安部公共信息网络安全监察局的要求,本规范对数据库安全审计产品提出了自身安全功能要求、安全功能要求和保证要求,作为对其进行检测的依据。3.1.1.2属性初始化产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。

12、3.1.2身份鉴别3.1.2.1基本鉴别产品应在执行任何与授权管理员或用户相关功能之前鉴别授权管理员或用户的身份。3.1.2.2鉴别失败处理(扩展项)产品应能在鉴别尝试达到最大失败次数后,终止用户建立会话的过程。3.1.3 可信数据3.1.3.1远程保密传输与远程可信组件的传送过程中,安全审计产品应提供保护所有的信息数据不被泄漏的功能。3.1.3.2审计信息完整性产品应提供在各种使用情况下,保证所有审计信息完整性的功能:a)应提供防止非授权用户对审计记录或审计日志内容修改或手工添加的功能;b)应提供防止未授权的删除本地存储的审计记录或审计日志的功能。3.2安全功能要求3.2.1审计记录3.2.

13、1.1审计记录基本内容应记录数据库访问的相关信息,每一条记录内容至少应包括:访问开始时间。对于网络数据库安全审计产品,还必须对网络数据库通讯的源地址和目标地址进行记录。3.2.1.2数据库通讯信息采集应对下列数据库访问内容进行审计a)用于访问的数据库用户帐号;b)访问的数据库对象;c)数据库操作类型;d)具体数据库操作的内容。3.2.2 审计日志3.2.2.1 审计日志内容应记录安全审计产品自身的审计,记录内容至少应包括:a)管理员登陆事件。b)事件日期与时间、主体身份和事件结果(成功或失败)。3.2.2.2其他审计日志(扩展项)应记录安全审计产品自身的审计,记录内容至少应包括:a)符合表1中的所有可审计事件;b)表1细节一栏中指定的附加信息。表1可审计事件事件 细节所有对审计记录或审计日志的删除或清空记录时间从审计记录或审计日志中读取信息在信息采集功能运行时所有对审计配置的修改所有鉴别机制的使用位置对角色中用户组的修改修改后的用户身份安全审计系统组件的启动与关闭3.2.3审计查阅应提供查询审计记录或审计日志的功能。3.2.4可理解的格式应使审计结果为人所理解。3.2.5 防止审计数据丢失(扩展项)3.2.5.1产品应将生成的审计记录和审计日志储

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号