《信息安全技术要求和测试评价方法.doc》由会员分享,可在线阅读,更多相关《信息安全技术要求和测试评价方法.doc(37页珍藏版)》请在金锄头文库上搜索。
1、GB国家质量监督检验检疫总局发布-实施-发布信息安全技术信息系统安全审计产品技术要求和测试评价方法Technical requirements and testing and evaluation techniques for information system security audit products(征求意见稿)GB/T 中华人民共和国国家标准ICS beijing互联网经过了10年的发展,不仅互联网本身拥有极大的使用价值,而且互联网还为其它传统行业的发展提供了新的工具和途径,一些传统行业得以创造出许多以前很难实现的服务和价值。例如网上炒股炒汇、网站短信服务、QQ等即时通讯工具都在
2、中国蓬勃发展并为相关企业带来了巨大经济效益。目 次前 言II引 言III1 范围12 规范性引用文件13 术语和定义及记法13.1 术语和定义13.2 记法24 安全审计产品分级24.1 基本型24.2 增强型25 功能要求25.1 安全功能要求25.2 自身安全要求76 性能要求76.1 稳定性86.2 资源占用86.3 网络影响86.4 吞吐量87 保证要求87.1 配置管理保证87.2 交付与运行保证87.3 指导性文档87.4 测试保证87.5 脆弱性分析保证97.6 生命周期支持98 测评方法98.1 产品功能98.2 自身安全198.3 产品性能208.4 保证要求20附录A24A
3、.1 安全审计流程24A.2 审计跟踪涵盖的阶段24A.2.1 事件采集阶段24A.2.2 事件处理阶段24A.2.3 事件响应阶段24前 言本标准由公安部提出。本标准由全国信息安全标准化技术委员会归口。本标准由公安部十一局、北京中科网威信息技术有限公司、中华人民共和国公安部第三研究所、上海汉邦京泰数码技术有限公司负责起草。本标准主要起草人:肖江、叶小列、刘宝旭、王晓箴、朱建平、沈亮、陆中威、王贤蔚、王鸣。本标准委托中华人民共和国公安部第三研究所负责解释。本标准的附录A是资料性附录。引 言安全审计产品能为信息系统风险评估、安全策略的制定提供强有力的数据支撑,针对信息系统的违规行为进行监测并提供
4、事件追溯的依据。安全审计产品不仅能对信息系统各组成要素进行事件采集;还可将采集数据进行系统分析,并形成可自定义的报告,降低网络安全管理成本,保障信息系统的正常运行。本标准规定了安全审计产品的基本技术要求和扩展技术要求,提出了该类产品应达到的安全目标,并给出了该类产品的基本功能、增强功能和安全保证要求。本标准规定了安全审计产品的测评方法,包括安全审计产品测评的内容,测评功能目标及测试环境,给出了产品基本功能、增强功能和安全保证要求必须达到的具体目标。本标准的目的是指导设计者如何设计和实现安全审计产品,并为安全审计产品的测评和应用提供技术支持和指导。信息安全技术 信息系统 安全审计产品技术要求和测
5、试评价方法1 范围本标准规定了安全审计产品技术要求和测评方法。本标准适用于对信息系统各客体进行审计事件采集、处理、分析,并提供审计报告、报警、响应及审计数据记录、备份的安全产品的开发、测评和应用。2 规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包含勘误的内容)或者修订版均不适合于本标准,但鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 5271.82001 信息系统 词汇 第8部分:安全GB/T
6、18336(所有部分) 信息技术 安全技术 信息技术安全性评估准则3 术语和定义及记法GB 17859-1999、GB/T 5271.82001和GB/T 18336-2001确立的及以下术语和定义适用于本标准。 3.1 术语和定义 3.1.1安全审计 security audit对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应响应动作。3.1.2事件辨别器 event discriminator提供事件最初的识别并决定是否向审计记录器传送该事件消息和产生审计报警的功能部件。3.1.3审计记录器 audit recorder产生审计记录并将记录保存在本地或远程系统
7、的功能部件。3.1.4审计分析器 audit analyzer检查审计记录,以确认是否需要产生审计报警及采取相应行动的功能部件,对分析结果进行数据汇总,发送至报表生成器。3.1.5报表生成器 report processor根据数据分析结论,进行报告处理,生成相关报告的功能部件。3.1.6报警处理器 alarm processor 接受审计报警请求并产生响应动作的功能部件。3.1.7审计跟踪检阅器 audit trail examiner用来检阅审计记录并产生分析报告的功能部件。3.1.8审计备份器 audit archiver根据授权管理员的要求将审计记录的全部或部分备份到安全存储介质的功能
8、部件。3.1.9审计代理 audit agent安全审计系统中完成审计数据采集、鉴别并向审计跟踪记录中心发送审计消息的功能部件,包括软件代理和硬件代理。3.1.10审计跟踪记录中心 audit trail center安全审计系统中负责接收各审计代理发送的审计消息并对消息进行记录、分析、报警、生成报告和备份的功能部件。3.1.11授权管理员 authorized administrator可管理安全审计产品组件的授权用户。3.1.12嗅探 sniffing对网络线路上传送的数据包进行捕获以获得信息的行为。3.1.13入侵 intrusion 任何企图危害资源保密性、完整性或可用性的行为。3.2
9、 记法本标准中所用记法,采用符号【】内加文字表示,区别不同级别的产品,用【基本型】和【增强型】表示安全审计产品的2个级别。未标注【基本型】或【增强型】的要求及方法适用于全部安全审计产品。 4 安全审计产品分级4.1 基本型对主机、服务器、网络、数据库管理系统、应用系统等客体采集对象进行审计,并对审计事件进行分析和响应的安全审计产品。4.2 增强型对主机、服务器、网络、数据库管理系统、应用系统中至少两类客体采集对象进行审计,并对审计事件进行关联分析与响应的安全审计产品。5 功能要求5.1 安全功能要求5.1.1 审计跟踪5.1.1.1 审计事件生成5.1.1.1.1 审计数据采集【基本型】产品至
10、少应包括以下一类采集范围,【增强型】产品至少应包括以下两类采集范围:a) 主机、服务器审计数据采集:1) 目标主机的启动和关闭;2) 目标主机的日志;3) 目标主机的软、硬件信息;4) 目标主机的外围设备使用;5) 目标主机的文件使用;6) 目标主机网络连接。b) 网络审计数据采集:1) 网络协议;2) 入侵行为;3) 网络流量。c) 数据库管理系统审计数据采集:1) 数据库数据操作;2) 数据库结构操作;3) 数据库用户更改。d) 应用系统审计数据采集:1) 目标应用系统日志;2) 目标应用系统操作。e) 其它审计数据采集:1) 网络设备日志;2) 其它系统审计记录。5.1.1.1.2 用户
11、身份关联产品应将可审计的事件与引起该事件的用户身份相关联。5.1.1.1.3 紧急事件报警对于系统安全策略定义的紧急事件,产品应直接向报警处理器发送报警消息。5.1.1.1.4 审计数据生成效率产品应在实际的系统环境和网络带宽下实时的进行审计数据生成。5.1.1.1.5 事件鉴别扩展接口【增强型】产品应提供一个功能接口,对其自身无法鉴别的安全事件,用户可通过该接口,将扩展的事件鉴别模块以插件的形式接入事件辨别器。5.1.1.2 审计记录5.1.1.2.1 可理解的格式产品应按照事件的分类和级别,采用可理解的格式生成包含以下内容的审计记录:a) 事件ID;b) 事件主体;c) 事件客体;d) 事
12、件发生的日期和时间;e) 事件类型;f) 事件的级别;g) 主体身份;h) 事件的结果(成功或失败)。产品应通过采用通用的、标准的审计数据格式,将不同应用系统产生的审计数据按照统一的标准化格式进行组织和存储。5.1.1.2.2 数据库支持产品应支持至少一种主流数据库,将审计记录存放到数据库中,方便用户查阅、检索和统计分析。5.1.1.2.3 数据安全存储产品应对产生的审计记录数据进行保护,防止其被泄漏或篡改。5.1.1.3 审计分析5.1.1.3.1 潜在危害产品应提供一个审计事件集合。当这些事件的发生、累计发生次数或发生频率超过设定的阈值时,表明信息系统出现了可能的潜在危害。针对这些事件集合
13、,应有一个固定的规则集,利用该规则集对信息系统的潜在危害进行分析。审计事件集合应可定制。5.1.1.3.2 异常事件和行为产品应维护一个与被审计信息系统相关的异常事件集合。当这些异常事件发生时表明被审计信息系统产生了潜在或实际的危害与攻击。异常事件集合应可定制。产品应对异常事件和行为进行分析处理,例如:a) 用户活动异常;b) 系统资源滥用或耗尽;c) 网络应用服务超负荷;d) 网络通信连接数剧增。5.1.1.3.3 复杂行为产品应对复杂行为进行以下操作:a) 【基本型】:1) 对不规则或频繁出现的事件进行统计分析;2) 对相互关联的事件进行综合分析和判断;3) 向授权用户提供自定义匹配模式。
14、b) 【增强型】:1) 满足【基本型】的要求;2) 多审计功能协作审计;3) 各审计功能关联分析。5.1.1.3.4 审计分析接口【增强型】产品应提供审计分析接口,便于用户开发或选择不同的审计分析模块以增强自身的审计分析能力。5.1.1.3.5 系统报警消息当审计分析器的分析表明信息系统出现潜在危害、异常事件以及攻击行为时,产品应向报警处理器发送报警消息或者生成特殊的审计记录。报警消息应具有可理解的格式并包含下列内容:a) 事件ID;b) 事件主体;c) 事件客体;d) 事件发生时间;e) 事件危险级别;f) 事件描述;g) 事件结果(成功或失败)。5.1.1.3.6 审计分析报告a) 产品应至少支持按关键字生成、按模块功能生成、按危害等级生成、按自定义格式生成等分析报告生成方式;b) 报告内容应至少支持文字、图象两种描述方式;c) 审计数据报告生成格式应至少支持txt、html、doc、xls等文件格式。5.1.1.4 事件响应安全审计产品可对事件辨别器和审计分析器发送的报警消息采取相应的响应动作。5.1.1.4.1 产生报警产品应产生报警,报警方式至少包含以下方式中的两种:a) 向中央控制台发送报警消息;
