標(biāo)準(zhǔn)編號(hào):	GA/T 911-2019
中文名稱:	信息安全技術(shù) 日志分析產(chǎn)品安全技術(shù)要求
英文名稱:	Information security technology Security technical requirements for log analysis products
中標(biāo)分類:	A90    社會(huì)公共安全綜合
行業(yè)分類:	GA    公共安全行業(yè)標(biāo)準(zhǔn)
ICS分類:	35.240 35.240    信息技術(shù)應(yīng)用 35.240
發(fā)布機(jī)構(gòu):	中華人民共和國公安部
發(fā)布日期:	2019-03-19
實(shí)施日期:	2019-3-19
標(biāo)準(zhǔn)狀態(tài):	valid
替代舊標(biāo)準(zhǔn):	GA/T 911-2010 信息安全技術(shù)　日志分析產(chǎn)品安全技術(shù)要求
翻譯語言:	英文
文件格式:	PDF
中文字符數(shù):	17000 字
翻譯價(jià)格(元):	1190.0
交付時(shí)間:	付款后 1 個(gè)工作日

Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative. This standard is developed in accordance with the rules given in GB/T 1.1-2009. This standard replaces GA/T 911-2010 Information security technology—Security technology requirements for log analysis products and has the following main changes with respect to GA/T 911-2010: ——Requirements of "grading" are modified to basic level and enhanced level (see Chapter 8; 7.2, 7.3 and 7.4 of Edition 2010); ——"Standard protocol reception" is deleted (see 4.1.2.1 of Edition 2010); ——"Collection of agent mode" is deleted (see 4.1.2.2 of Edition 2010); ——Requirements for "Log file import” are deleted (see 4.1.2.3 of Edition 2010); ——Requirements for "Data collection" are added (see 5.1.2.1); ——Requirements for "Audit record backup" are modified (see 5.1.6; 4.2.3 of Edition 2010); ——Requirements for "self-protection ability of software agent" are deleted (see 5.1.1.1 of Edition 2010); ——Requirements for "Data transmission control" are deleted (see 5.1.1.3 of Edition 2010); ——Requirements for "Data resumption" are deleted (see 5.1.1.4 of Edition 2010); ——Requirements for "Multi-level deployment" are added (see 6.1.1); ——Requirements for "Multiple authentications" are added (see 6.2.1.3). ——Requirements for "Locking after timeout" are added (see 6.2.1.4); ——Requirements for "Audit record storage" are deleted (see 5.3.2 of Edition 2010); ——Requirements for "Audit management" are deleted (see 5.3.3 of Edition 2010); ——Requirements for "Data storage security" are added (see 6.3.3); This standard was proposed by the Network Security Bureau, Ministry of Public Security. This standard is under the jurisdiction of the Information Security Standardization Technical Committee of the Ministry of Public Security. The previous edition of this standard is as follows: ——GA/T 911-2010. Information security technology— Security technical requirements for log analysis products 1 Scope This standard specifies the security function requirements, self-security function requirements and security assurance requirements of log analysis products as well as grading requirements. This standard is applicable to the design, development and testing of log analysis products. 2 Normative references The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced documents (including any amendment) applies. GB/T 18336.3-2015 Information technology—Security techniques—Evaluation criteria for IT security—Part 3: Security assurance components GB/T 25069-2010 Information security technology—Glossary 3 Terms and definitions For the purposes of this document, the terms and definitions given in GB/T 18336.3-2015 and GB/T 25069-2010 and the following apply. 3.1 log analysis product security product that collects log data in information system by means of log agent, standard protocol and file import, and stores and analyzes it centrally 3.2 log data source original source from which the log data is generated 3.3 log administration center functional module for centralized processing, storage and analysis of collected log data 3.4 audit log log analysis generated due to audit of the log analysis product 3.5 log record log data which is generated based on specific rules and stored in the log administration center after preprocessing the collected original log data 3.6 authorized administrator users who have administration authority for log analysis products in terms of the system configuration, security policies and log data 4 General information 4.1 Classification of security technical requirements This standard covers three security technical requirements of log analysis products, i.e. security function, self-security function and security assurance. The security function requirements are specific requirements for the security functions of log analysis products, including log collection and storage, log record processing, log presentation and alarm, and development interface, etc.; self-security functions are specific requirements for self-security functions of log analysis products, including component security, security management, self-audit function and system alarm, etc.; security assurance specifies specific requirements for the life cycle process of log analysis products, such as development, guidance documents, life cycle support, test and vulnerability assessment. 4.2 Security grading The log analysis products are classified into two security grades, i.e. basic level and enhanced level according to the rigorous level of its security function, self-security function and security assurance requirements. The security assurance requirement refers to GB/T 18336.3-2015. 5 Security function requirements 5.1 Log collection and storage 5.1.1 Log data source Log analysis products shall be able to add, modify and delete log data sources. The log data sources shall include at least the following types: a) Network equipment, e.g. switches, routers, firewall; b) Operating system; c) Database system; d) Other application systems. 5.1.2 Log data collection 5.1.2.1 Data collection Log analysis products shall be able to collect log data from log data sources by at least one of the following methods: a) Log agent; b) Standard protocols; c) File import; d) Others. 5.1.2.2 Timeliness of log collection Log analysis products shall be able to collect log data from log data sources in time. 5.1.3 Preprocessing of log data 5.1.3.1 Data screening Log analysis products shall be able to screen the collected log data based on established policies and selectively generate log records. 5.1.3.2 Data conversion Log analysis products shall be able to convert the original log data in different formats into a unified data format while protecting key data items from loss and damage. 5.1.4 Log record generation The log analysis product shall generate log records after preprocessing and event analysis of the collected log data. The log records shall be understandable to the administrator and contain the following information: a) Event date and time; b) Subject of the event; c) Object of the event; d) Description of the event; e) Type of the event; f) Event level; g) IP address, MAC, or name of the log data source. 5.1.5 Log record storage 5.1.5.1 Security protection Log analysis products shall be provided with security mechanisms to protect log records from unauthorized reading, deletion, or modification. 5.1.5.2 Protection against loss of log records Log analysis products shall be provided with the following measures to prevent log records from being lost: a) Log records shall be stored in non-volatile storage media in case of power off; b) Alarm will be given when capacity of the log records reaches the threshold; c) The earlier log records will be converted to other devices automatically before they run out of storage space. 5.1.6 Log record backup Log analysis products shall be provided with the following log record backup functions: a) Supporting customizable automated backup functions and strategies; b) Converting log records in an automatic way to realize remote backup.

Foreword i 1 Scope 2 Normative references 3 Terms and definitions 4 General information 4.1 Classification of security technical requirements 4.2 Security grading 5 Security function requirements 5.1 Log collection and storage 5.2 Log analysis and processing 5.3 Log presentation and alarm 5.4 Development interface 6 Self-security function requirements 6.1 Component security 6.2 Security management 6.3 Self-audit function 6.4 System alarm 7 Security assurance requirements 7.1 Development 7.2 Guidance documents 7.3 Life cycle support 7.4 Tests 7.5 Vulnerability assessment 8 Requirements of security at different levels 8.1 Security function requirements 8.2 Self-security function requirements 8.3 Security assurance requirements

ICS 35.240 A 90 GA 中華人民共和國公共安全行業(yè)標(biāo)準(zhǔn) GA／T 911-2019 代普GA／T 911-2010 信息安全技術(shù) 日志分析產(chǎn)品安全技術(shù)要求 Information security technology—Security technical requirements for log analysis products 2019-03-19發(fā)布 2019-03-19實(shí)施 中華人民共和國公安部 發(fā)布 前言 本標(biāo)準(zhǔn)按照GB／T 1.1-2009給出的規(guī)則起草。 本標(biāo)準(zhǔn)代替GA／T 911-2010《信息安全技術(shù) 日志分析產(chǎn)品安全技術(shù)要求》，與GA／T 911-2010相比主要變化如下： ——修改了“等級(jí)劃分”的要求，將等級(jí)劃分為基本級(jí)和增強(qiáng)級(jí)兩級(jí)(見第8章，2010年版的7.2、7.3和7.4)； ——?jiǎng)h除了“標(biāo)準(zhǔn)協(xié)議接收”的要求(見2010年版的4.1.2.1)； ——?jiǎng)h除了“代理方式采集”的要求(見2010年版的4.1.2.2)； ——?jiǎng)h除了“日志文件導(dǎo)入”的要求(見2010年版的4.1.2.3)； ——增加了“數(shù)據(jù)采集”的要求(見5.1.2.1)； ——修改了“審計(jì)記錄備份”的要求(見5.1.6，2010年版的4.2.3)； ——?jiǎng)h除了“軟件代理的自保護(hù)能力”的要求(見2010年版的5.1.1.1)； ——?jiǎng)h除了“數(shù)據(jù)傳輸控制”的要求(見2010年版的5.1.1.3)； ——?jiǎng)h除了“數(shù)據(jù)續(xù)傳”的要求(見2010年版的5.1.1.4)； ——增加了“多級(jí)部署”的要求(見6.1.1)； ——增加了“多重鑒別”的要求(見6.2.1.3)； ——增加了“超時(shí)鎖定”的要求(見6.2.1.4)； ——?jiǎng)h除了“審計(jì)記錄存儲(chǔ)”的要求(見2010年版的5.3.2)； ——?jiǎng)h除了“審計(jì)管理”的要求(見2010年版的5.3.3)； ——增加了“數(shù)據(jù)存儲(chǔ)安全”的要求(見6.3.3)。 本標(biāo)準(zhǔn)由公安部網(wǎng)絡(luò)安全保衛(wèi)局提出。 本標(biāo)準(zhǔn)由公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。 本標(biāo)準(zhǔn)的歷次版本發(fā)布情況為： ——GA／T 911-2010。 信息安全技術(shù) 日志分析產(chǎn)品安全技術(shù)要求 1 范圍 本標(biāo)準(zhǔn)規(guī)定了日志分析產(chǎn)品的安全功能要求、自身安全功能要求、安全保障要求及等級(jí)劃分要求。 本標(biāo)準(zhǔn)適用于日志分析產(chǎn)品的設(shè)計(jì)、開發(fā)及檢測(cè)。 2 規(guī)范性引用文件 下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。 GB／T 18336，3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第3部分：安全保障組件 GB／T 25069-2010 信息安全技術(shù) 術(shù)語 3 術(shù)語和定義 GB／T 18336.3-2015和GB／T 25069-2010界定的以及下列術(shù)語和定義適用于本文件。3.1 日志分析產(chǎn)品 log analysis product 通過日志代理、標(biāo)準(zhǔn)協(xié)議、文件導(dǎo)入等方式采集信息系統(tǒng)中的日志數(shù)據(jù)，并進(jìn)行集中存儲(chǔ)和分析的安全產(chǎn)品。 3.2 日志數(shù)據(jù)源 log data source 產(chǎn)生日志數(shù)據(jù)的原始來源。 3.3 日志管理中心 log administration center 對(duì)采集到的日志數(shù)據(jù)進(jìn)行集中處理、存儲(chǔ)、分析的功能模塊。 3.4 審計(jì)日志 audit log 日志分析產(chǎn)品自身審計(jì)產(chǎn)生的日志數(shù)據(jù)。 3.5 日志記錄 log record 對(duì)采集到的原始日志數(shù)據(jù)進(jìn)行預(yù)處理之后，根據(jù)一定規(guī)則生成并保存在日志管理中心的日志數(shù)據(jù)。 3.6 授權(quán)管理員 authorized administrator 具有日志分析產(chǎn)品管理權(quán)限的用戶，負(fù)責(zé)對(duì)日志分析產(chǎn)品的系統(tǒng)配置、安全策略和日志數(shù)據(jù)進(jìn)行管理。 4 總體說明 4.1 安全技術(shù)要求分類 本標(biāo)準(zhǔn)將日志分析產(chǎn)品安全技術(shù)要求分為安全功能、自身安全功能和安全保障要求三大類。其中，安全功能要求是對(duì)日志分析產(chǎn)品應(yīng)具備的安全功能提出具體要求，包括日志采集和存儲(chǔ)、日志記錄處理、日志呈現(xiàn)和報(bào)警以及開發(fā)接口等；自身安全功能是對(duì)日志分析產(chǎn)品應(yīng)具備的自身安全功能提出具體要求，包括組件安全、安全管理、自身審計(jì)功能和系統(tǒng)報(bào)警等；安全保障要求針對(duì)日志分析產(chǎn)品的生命周期過程提出具體的要求，例如開發(fā)、指導(dǎo)性文檔、生命周期支持、測(cè)試和脆弱性評(píng)定等。 4.2 安全等級(jí)劃分 日志分析產(chǎn)品的安全等級(jí)按照其安全功能要求、自身安全功能要求和安全保障要求的強(qiáng)度劃分為基本級(jí)和增強(qiáng)級(jí)，其中安全保障要求參考了GB／T 18336.3-2015。 5 安全功能要求 5.1 日志采集和存儲(chǔ) 5.1.1 日志數(shù)據(jù)源 日志分析產(chǎn)品應(yīng)能對(duì)日志數(shù)據(jù)源進(jìn)行添加、修改和刪除等管理操作，并且日志數(shù)據(jù)源的類型應(yīng)至少包含以下范圍： a) 網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器、防火墻； b) 操作系統(tǒng)； c) 數(shù)據(jù)庫系統(tǒng)； d) 其他應(yīng)用系統(tǒng)。 5.1.2 日志數(shù)據(jù)采集 5.1.2.1 數(shù)據(jù)采集 日志分析產(chǎn)品應(yīng)能通過一定的方式采集日志數(shù)據(jù)源的日志數(shù)據(jù)，至少包括以下一種采集方式： a) 日志代理； b) 標(biāo)準(zhǔn)協(xié)議； c) 文件導(dǎo)入； d) 其他。 5.1.2.2 日志采集及時(shí)性 日志分析產(chǎn)品應(yīng)能及時(shí)采集日志數(shù)據(jù)源的日志數(shù)據(jù)。 5.1.3 日志數(shù)據(jù)的預(yù)處理 5.1.3.1 數(shù)據(jù)篩選 日志分析產(chǎn)品應(yīng)能基于既定策略對(duì)采集的日志數(shù)據(jù)進(jìn)行過濾，有選擇地生成日志記錄。 5.1.3.2 數(shù)據(jù)轉(zhuǎn)換 日志分析產(chǎn)品應(yīng)能將各種不同格式的原始日志數(shù)據(jù)轉(zhuǎn)換為統(tǒng)一的數(shù)據(jù)格式，且轉(zhuǎn)換時(shí)不能造成關(guān)鍵數(shù)據(jù)項(xiàng)丟失和損壞。 5.1.4 日志記錄生成 日志分析產(chǎn)品應(yīng)在對(duì)采集的日志數(shù)據(jù)進(jìn)行預(yù)處理和事件分析之后，生成相應(yīng)的日志記錄，日志記錄內(nèi)容應(yīng)為管理員可理解，并且包含以下信息： a) 事件發(fā)生的日期和時(shí)間； b) 事件主體； c) 事件客體； d) 事件描述； e) 事件類型； f) 事件級(jí)別； g) 日志數(shù)據(jù)源的IP地址、MAC或名稱。 5.1.5 日志記錄存儲(chǔ) 5.1.5.1 安全保護(hù) 日志分析產(chǎn)品應(yīng)采取安全機(jī)制，保護(hù)日志記錄免遭未經(jīng)授權(quán)的讀取、刪除或修改。 5.1.5.2 防止日志記錄丟失 日志分析產(chǎn)品應(yīng)提供以下措施防止日志記錄丟失： a) 日志記錄應(yīng)存儲(chǔ)于掉電非易失性存儲(chǔ)介質(zhì)中； b) 當(dāng)日志記錄的存儲(chǔ)容量達(dá)到閾值時(shí)，發(fā)出報(bào)警信息； c) 在日志記錄的存儲(chǔ)空間耗盡前自動(dòng)將較早日志記錄轉(zhuǎn)存到其他設(shè)備上。 5.1.6 日志記錄備份 日志分析產(chǎn)品應(yīng)提供以下日志記錄備份功能： a) 支持可定制的自動(dòng)化備份功能及策略； b) 通過自動(dòng)方式對(duì)日志記錄進(jìn)行轉(zhuǎn)存，實(shí)現(xiàn)異地備份。 5.2 日志分析和處理 5.2.1 日志記錄處理 5.2.1.1 數(shù)據(jù)整合 日志分析產(chǎn)品應(yīng)能檢查日志記錄是否重復(fù)或無效，并進(jìn)行數(shù)據(jù)的整合。 5.2.1.2 數(shù)據(jù)拆分 若日志記錄的單一字段包含多種信息并且這多種信息間具有分隔符，日志分析產(chǎn)品應(yīng)能將此單一字段拆分成便于分析的若干字段存儲(chǔ)。 5.2.2 日志記錄分析 5.2.2.1 事件辨別 日志分析產(chǎn)品應(yīng)能動(dòng)態(tài)地維護(hù)一個(gè)事件庫，對(duì)網(wǎng)絡(luò)中的各種事件根據(jù)一定的特征進(jìn)行分類，并且應(yīng)能對(duì)采集的日志數(shù)據(jù)進(jìn)行分析，判斷日志數(shù)據(jù)所屬的事件類型。 5.2.2.2 事件定級(jí) 日志分析產(chǎn)品應(yīng)為不同類型的事件設(shè)定級(jí)別，以表明事件的性質(zhì)或揭示此類事件的發(fā)生給信息系統(tǒng)所帶來危險(xiǎn)程度。 5.2.2.3 事件統(tǒng)計(jì) 日志分析產(chǎn)品應(yīng)能夠根據(jù)事件的以下屬性進(jìn)行統(tǒng)計(jì)： a) 事件主體； b) 事件客體； c) 事件類型； d) 事件級(jí)別； e) 事件發(fā)生的日期和時(shí)間； f) 日志數(shù)據(jù)源的IP地址或名稱； g) 事件的其他屬性或?qū)傩缘慕M合。 5.2.2.4 潛在危害分析 日志分析產(chǎn)品應(yīng)能設(shè)定單類事件累計(jì)發(fā)生次數(shù)或發(fā)生頻率的閾值，當(dāng)統(tǒng)計(jì)分析表明此類事件超出閾值時(shí)則表明信息系統(tǒng)出現(xiàn)了潛在的危害。 5.2.2.5 異常行為分析 日志分析產(chǎn)品應(yīng)維護(hù)一個(gè)與信息系統(tǒng)相關(guān)的合法用戶的正常行為集合，以此區(qū)分入侵者的行為和合法用戶的異常行為。 5.2.2.6 關(guān)聯(lián)事件分析 日志分析產(chǎn)品應(yīng)提供以下關(guān)聯(lián)分析功能： a) 根據(jù)事件的級(jí)別、事件的累計(jì)發(fā)生次數(shù)等指標(biāo)進(jìn)行綜合分析，從而對(duì)信息系統(tǒng)或信息系統(tǒng)中單個(gè)資源的風(fēng)險(xiǎn)等級(jí)進(jìn)行評(píng)估； b) 通過對(duì)多個(gè)日志數(shù)據(jù)源進(jìn)行關(guān)聯(lián)事件分析應(yīng)能分析到多步訪問行為，并能根據(jù)已知的事件序列以圖示方法模擬出完整的訪問路徑。 5.2.2.7 日志記錄數(shù)據(jù)挖掘 日志分析產(chǎn)品應(yīng)能夠從大量的日志數(shù)據(jù)中提取隱含的、事先未知的、具有潛在價(jià)值的有用信息和知識(shí)，具體要求如下： a) 提取同一類型的事件的共同性質(zhì)，如事件頻繁發(fā)生的時(shí)間段等； b) 提取單個(gè)事件和其他事件之間依賴或關(guān)聯(lián)的知識(shí)，如事件發(fā)生的因果關(guān)系等； c) 提取反映同類事件共同性質(zhì)的特征和不同事件之間的差異型特征，揭示隱含事件的發(fā)生； d) 發(fā)現(xiàn)其他類型的知識(shí)，揭示偏離常規(guī)的異?，F(xiàn)象； e) 根據(jù)數(shù)據(jù)的時(shí)間序列，由歷史的和當(dāng)前的數(shù)據(jù)去推測(cè)未來的數(shù)據(jù)，比如分析某一目標(biāo)系統(tǒng)的用戶訪問日志，從中尋找用戶普遍訪問的規(guī)律。 5.3 日志呈現(xiàn)和報(bào)警 5.3.1 日志查詢 日志分析產(chǎn)品應(yīng)能夠根據(jù)事件的以下屬性進(jìn)行日志記錄查詢： a) 事件主體； b) 事件客體； c) 事件類型； d) 事件級(jí)別； e) 事件發(fā)生的日期和時(shí)間； f) 日志數(shù)據(jù)源的IP地址或名稱； g) 事件的其他屬性或?qū)傩缘慕M合。 5.3.2 統(tǒng)計(jì)報(bào)表 日志分析產(chǎn)品應(yīng)能夠根據(jù)事件統(tǒng)計(jì)結(jié)果生成統(tǒng)計(jì)報(bào)表，并能以通用格式輸出。 5.3.3 分析報(bào)告 日志分析產(chǎn)品應(yīng)能根據(jù)日志記錄分析結(jié)果生成分析報(bào)告，并能夠以通用格式輸出，分析報(bào)告應(yīng)包含以下內(nèi)容： a) 日志記錄分析結(jié)果； b) 對(duì)信息系統(tǒng)或信息系統(tǒng)中單個(gè)資源的風(fēng)險(xiǎn)等級(jí)提供評(píng)估結(jié)果； c) 對(duì)日志記錄分析結(jié)果提供補(bǔ)救建議； d) 根據(jù)日志數(shù)據(jù)挖掘收集到的知識(shí)，提供預(yù)測(cè)性的信息。 5.3.4 報(bào)警機(jī)制 日志分析產(chǎn)品應(yīng)能針對(duì)以下事件，進(jìn)行報(bào)警： a) 用戶指定的事件，如高危險(xiǎn)級(jí)別的事件等； b) 潛在危害分析結(jié)果表明信息系統(tǒng)存在潛在危害； c) 異常行為分析結(jié)果表明信息系統(tǒng)存在入侵者的行為或合法用戶的異常行為； d) 日志記錄分析結(jié)果表明信息系統(tǒng)或信息系統(tǒng)中某一資源存在風(fēng)險(xiǎn)。 5.4 開發(fā)接口 日志分析產(chǎn)品應(yīng)至少提供一個(gè)標(biāo)準(zhǔn)的，開放的接口，能按照該接口的規(guī)范為其他信息安全產(chǎn)品編寫相應(yīng)的程序模塊，以便共享信息或規(guī)范化聯(lián)動(dòng)。 6 自身安全功能要求 6.1 組件安全 6.1.1 日志代理狀態(tài)監(jiān)測(cè) 日志分析產(chǎn)品應(yīng)能監(jiān)測(cè)日志代理的在線狀態(tài)。 6.1.2 多級(jí)部署 日志分析產(chǎn)品應(yīng)支持分布式多級(jí)方式部署。 6.1.3 集中管理 日志分析產(chǎn)品應(yīng)能夠集中定制日志采集策略，并分發(fā)應(yīng)用到相應(yīng)的日志代理上。 6.1.4 數(shù)據(jù)傳輸安全 若日志分析產(chǎn)品組件間通過網(wǎng)絡(luò)進(jìn)行通訊，日志分析產(chǎn)品應(yīng)對(duì)組件間相互傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)，保證數(shù)據(jù)在傳送過程中的完整性和保密性。 6.1.5 時(shí)間同步 日志分析產(chǎn)品應(yīng)提供時(shí)間同步功能，保證日志分析產(chǎn)品組件之間時(shí)間的一致性。 6.2 安全管理 6.2.1 標(biāo)識(shí)和鑒別 6.2.1.1 唯一性標(biāo)識(shí) 日志分析產(chǎn)品應(yīng)為用戶提供唯一標(biāo)識(shí)，同時(shí)將用戶的身份標(biāo)識(shí)與該用戶的所有可審計(jì)事件相關(guān)聯(lián)。 6.2.1.2 身份鑒別 日志分析產(chǎn)品應(yīng)在執(zhí)行任何與安全功能相關(guān)的操作之前對(duì)用戶進(jìn)行鑒別。 6.2.1.3 多重鑒別 日志分析產(chǎn)品應(yīng)能向管理角色提供除口令身份鑒別機(jī)制以外的其他身份鑒別機(jī)制。 6.2.1.4 超時(shí)鎖定 日志分析產(chǎn)品應(yīng)具有登錄超時(shí)鎖定或注銷功能。在設(shè)定的時(shí)間段內(nèi)沒有任何操作的情況下，終止會(huì)話，需要再次進(jìn)行身份鑒別才能夠重新操作。最大超時(shí)時(shí)間僅由授權(quán)管理員設(shè)定。 6.2.1.5 鑒別數(shù)據(jù)保護(hù) 日志分析產(chǎn)品應(yīng)保證鑒別數(shù)據(jù)不被未授權(quán)查閱或修改。 6.2.1.6 鑒別失敗處理 當(dāng)用戶鑒別失敗的次數(shù)達(dá)到設(shè)定值時(shí)，日志分析產(chǎn)品應(yīng)按以下措施處理： a) 終止會(huì)話； b) 鎖定用戶賬號(hào)或遠(yuǎn)程登錄主機(jī)的地址； c) 產(chǎn)生系統(tǒng)報(bào)警消息，通知授權(quán)管理員。 6.2.2 安全功能管理 日志分析產(chǎn)品應(yīng)為授權(quán)管理員提供以下管理功能： a) 查看和修改各種安全屬性； b) 定制和修改各種安全策略。 6.2.3 區(qū)分安全角色管理 日志分析產(chǎn)品應(yīng)能通過對(duì)授權(quán)管理員給以不同的角色配置，賦予授權(quán)管理員不同的管理權(quán)限 6.2.4 遠(yuǎn)程管理 若日志分析產(chǎn)品提供遠(yuǎn)程管理功能，應(yīng)采取以下措施保證遠(yuǎn)程管理安全： a) 對(duì)遠(yuǎn)程管理信息進(jìn)行保密傳輸； b) 對(duì)遠(yuǎn)程登錄主機(jī)的地址進(jìn)行限制。 6.3 自身審計(jì)功能 6.3.1 審計(jì)日志生成 日志分析產(chǎn)品應(yīng)對(duì)以下事件生成審計(jì)日志： a) 管理員的登錄事件，包括成功和失?。? b) 對(duì)安全策略進(jìn)行更改的操作； c) 因鑒別嘗試不成功的次數(shù)達(dá)到設(shè)定值，導(dǎo)致的會(huì)話連接終止； d) 對(duì)日志記錄的備份和刪除； e) 日志代理狀態(tài)的變更； f) 對(duì)安全角色進(jìn)行增加，刪除和屬性修改的操作； g) 管理員的其他操作。 應(yīng)在每一條審計(jì)日志中記錄事件發(fā)生的日期，時(shí)間、用戶標(biāo)識(shí)，事件描述和結(jié)果。若日志分析產(chǎn)品提供遠(yuǎn)程管理功能，還應(yīng)記錄遠(yuǎn)程登錄主機(jī)的地址。 6.3.2 數(shù)據(jù)存儲(chǔ)安全 日志分析產(chǎn)品應(yīng)防止審計(jì)數(shù)據(jù)被刪除或篡改，保證存儲(chǔ)數(shù)據(jù)的完整性。 6.4 系統(tǒng)報(bào)警 6.4.1 報(bào)警事件類型 日志分析產(chǎn)品應(yīng)能對(duì)以下系統(tǒng)事件進(jìn)行報(bào)警： a) 日志記錄的存儲(chǔ)空間達(dá)到設(shè)定值； b) 用戶鑒別失敗的次數(shù)達(dá)到設(shè)定值； c) 授權(quán)管理員自定義的其他系統(tǒng)事件。 6.4.2 報(bào)警消息 日志分析產(chǎn)品的報(bào)警消息內(nèi)容應(yīng)滿足以下要求： a) 為管理員可理解； b) 至少包括事件發(fā)生的日期、時(shí)間、事件主體和事件描述。 6.4.3 報(bào)警方式 日志分析產(chǎn)品的報(bào)警方式應(yīng)包含以下方式中的一種或多種： a) 彈出報(bào)警窗口； b) 發(fā)送報(bào)警郵件； c) 發(fā)送Snmp trap消息； d) 發(fā)送聲光電信號(hào)； e) 發(fā)送SMS短消息。 7 安全保障要求 7.1 開發(fā) 7.1.1 安全架構(gòu) 開發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求： a) 與產(chǎn)品設(shè)計(jì)文檔中對(duì)安全功能實(shí)施抽象描述的級(jí)別一致； b) 描述與安全功能要求一致的產(chǎn)品安全功能的安全域； c) 描述產(chǎn)品安全功能初始化過程為何是安全的； d) 證實(shí)產(chǎn)品安全功能能夠防止被破壞； e) 證實(shí)產(chǎn)品安全功能能夠防止安全特性被旁路。 7.1.2 功能規(guī)范 開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求： a) 完全描述產(chǎn)品的安全功能； b) 描述所有安全功能接口的目的與使用方法； c) 標(biāo)識(shí)和描述每個(gè)安全功能接口相關(guān)的所有參數(shù)； d) 描述安全功能接口相關(guān)的安全功能實(shí)施行為； e) 描述由安全功能實(shí)施行為處理而引起的直接錯(cuò)誤消息； f) 證實(shí)安全功能要求到安全功能接口的追溯； g) 描述安全功能實(shí)施過程中，與安全功能接口相關(guān)的所有行為； h) 描述可能由安全功能接口的調(diào)用而引起的所有直接錯(cuò)誤消息。 7.1.3 實(shí)現(xiàn)表示 開發(fā)者應(yīng)提供全部安全功能的實(shí)現(xiàn)表示，實(shí)現(xiàn)表示應(yīng)滿足以下要求： a) 提供產(chǎn)品設(shè)計(jì)描述與實(shí)現(xiàn)表示實(shí)例之間的映射，并證明其一致性； b) 按詳細(xì)級(jí)別定義產(chǎn)品安全功能，詳細(xì)程度達(dá)到無須進(jìn)一步設(shè)計(jì)就能生成安全功能的程度； c) 以開發(fā)人員使用的形式提供。 7.1.4 產(chǎn)品設(shè)計(jì) 開發(fā)者應(yīng)提供產(chǎn)品設(shè)計(jì)文檔，產(chǎn)品設(shè)計(jì)文檔應(yīng)滿足以下要求： a) 根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)； b) 標(biāo)識(shí)和描述產(chǎn)品安全功能的所有子系統(tǒng)； c) 描述安全功能所有子系統(tǒng)間的相互作用； d) 提供的映射關(guān)系能夠證實(shí)設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的安全功能接口； e) 根據(jù)模塊描述安全功能； f) 提供安全功能子系統(tǒng)到模塊間的映射關(guān)系； g) 描述所有安全功能實(shí)現(xiàn)模塊，包括其目的及與其他模塊間的相互作用； h) 描述所有實(shí)現(xiàn)模塊的安全功能要求相關(guān)接口，其他接口的返回值、與其他模塊間的相互作用及調(diào)用的接口； i) 描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其他模塊間的相互作用。 7.2 指導(dǎo)性文檔 7.2.1 操作用戶指南 開發(fā)者應(yīng)提供明確和合理的操作用戶指南，操作用戶指南與為評(píng)估而提供的其他所有文檔保持一致，對(duì)每一種用戶角色的描述應(yīng)滿足以下要求： a) 描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ? b) 描述如何以安全的方式使用產(chǎn)品提供的可用接口； c) 描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時(shí)指明安全值； d) 明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制實(shí)體的安全特性； e) 標(biāo)識(shí)產(chǎn)品運(yùn)行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤)，以及它們與維持安全運(yùn)行之間的因果關(guān)系和聯(lián)系； f) 充分實(shí)現(xiàn)安全目的所必須執(zhí)行的安全策略。 7.2.2 準(zhǔn)備程序 開發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求： a) 描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟； b) 描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。 7.3 生命周期支持 7.3.1 配置管理能力 開發(fā)者的配置管理能力應(yīng)滿足以下要求： a) 為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)。 b) 使用配置管理系統(tǒng)對(duì)組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維護(hù)，并唯一標(biāo)識(shí)配置項(xiàng)。 c) 提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法。 d) 配置管理系統(tǒng)提供一種自動(dòng)方式來支持產(chǎn)品的生成，通過該方式確保只能對(duì)產(chǎn)品的實(shí)現(xiàn)表示進(jìn)行已授權(quán)的改變。 e) 配置管理文檔包括一個(gè)配置管理計(jì)劃，配置管理計(jì)劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品實(shí)施的配置管理與配置管理計(jì)劃相一致。 f) 配置管理計(jì)劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項(xiàng)的程序。 7.3.2 配置管理范圍 開發(fā)者應(yīng)提供產(chǎn)品配置項(xiàng)列表，并說明配置項(xiàng)的開發(fā)者。配置項(xiàng)列表應(yīng)包含以下內(nèi)容： a) 產(chǎn)品、安全保障要求的評(píng)估證據(jù)和產(chǎn)品的組成部分； b) 實(shí)現(xiàn)表示、安全缺陷報(bào)告及其解決狀態(tài)。 7.3.3 交付程序 開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時(shí)，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。 7.3.4 開發(fā)安全 開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在產(chǎn)品的開發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。 7.3.5 生命周期定義 開發(fā)者應(yīng)建立一個(gè)生命周期模型對(duì)產(chǎn)品的開發(fā)和維護(hù)進(jìn)行必要的控制，并提供生命周期定義文檔描述用于開發(fā)和維護(hù)產(chǎn)品的模型。 7.3.6 工具和技術(shù) 開發(fā)者應(yīng)明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實(shí)現(xiàn)中每個(gè)語句的含義和所有依賴于實(shí)現(xiàn)的選項(xiàng)的含義。 7.4 測(cè)試 7.4.1 測(cè)試覆蓋 開發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋描述應(yīng)滿足以下要求： a) 表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對(duì)應(yīng)性； b) 表明上述對(duì)應(yīng)性是完備的，并證實(shí)功能規(guī)范中的所有安全功能接口都進(jìn)行了測(cè)試。7.4.2 測(cè)試深度 開發(fā)者應(yīng)提供測(cè)試深度的分析。測(cè)試深度分析描述應(yīng)滿足以下要求： a) 證實(shí)測(cè)試文檔中的測(cè)試與產(chǎn)品設(shè)計(jì)中的安全功能子系統(tǒng)和實(shí)現(xiàn)模塊之間的一致性； b) 證實(shí)產(chǎn)品設(shè)計(jì)中的所有安全功能子系統(tǒng)、實(shí)現(xiàn)模塊都已經(jīng)進(jìn)行過測(cè)試。 7.4.3 功能測(cè)試 開發(fā)者應(yīng)測(cè)試產(chǎn)品安全功能，將結(jié)果文檔化并提供測(cè)試文檔。測(cè)試文檔應(yīng)包括以下內(nèi)容： a) 測(cè)試計(jì)劃，標(biāo)識(shí)要執(zhí)行的測(cè)試，并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案包括對(duì)于其他測(cè)試結(jié)果的任何順序依賴性； b) 預(yù)期的測(cè)試結(jié)果，表明測(cè)試成功后的預(yù)期輸出； c) 實(shí)際測(cè)試結(jié)果和預(yù)期的一致性。 7.4.4 獨(dú)立測(cè)試 開發(fā)者應(yīng)提供一組與其自測(cè)安全功能時(shí)使用的同等資源，以用于安全功能的抽樣測(cè)試。 7.5 脆弱性評(píng)定 基于已標(biāo)識(shí)的潛在脆弱性，產(chǎn)品能夠抵抗以下攻擊行為： a) 具有基本攻擊潛力的攻擊者的攻擊； b) 具有增強(qiáng)型基本攻擊潛力的攻擊者的攻擊。 8 不同安全等級(jí)的要求 8.1 安全功能要求 不同安全等級(jí)的日志分析產(chǎn)品的安全功能要求如表1所示。 表1 不同安全等級(jí)的日志分析產(chǎn)品的安全功能要求 安全功能要求 基本級(jí) 增強(qiáng)級(jí) 日志采集和存儲(chǔ) 日志數(shù)據(jù)源 5.1.1a)～c) 5.1.1 日志數(shù)據(jù)采集 數(shù)據(jù)采集 5.1.2.1 5.1.2.1 日志采集及時(shí)性 5.1.2.2 5.1.2.2 日志數(shù)據(jù)的預(yù)處理 數(shù)據(jù)篩選 5.1.3.1 5.1.3.1 數(shù)據(jù)轉(zhuǎn)換 5.1.3.2 5.1.3.2 日志記錄生成 5.1.4 5.1.4 日志記錄存儲(chǔ) 安全保護(hù) 5.1.5.1 5.1.5.1 防止日志記錄丟失 5.1.5.2a)、b) 5.1.5.2 日志記錄備份 5.1.6a) 5.1.6 日志處理和分析 日志記錄處理 數(shù)據(jù)整合 — 5.2.1.1 數(shù)據(jù)拆分 — 5.2.1.2 日志記錄分析 事件辨別 5.2.2.1 5.2.2.1 事件定級(jí) 5.2.2.2 5.2.2.2 事件統(tǒng)計(jì) 5.2.2.3a)～f) 5.2.2.3 潛在危害分析 5.2.2.4 5.2.2.4 異常行為分析 — 5.2.2.5 關(guān)聯(lián)事件分析 — 5.2.2.6 日志記錄數(shù)據(jù)挖掘 — 5.2.2.7 日志呈現(xiàn)和報(bào)警 日志查詢 5.3.1a)～f) 5.3.1 統(tǒng)計(jì)報(bào)表 5.3.2 5.3.2 分析報(bào)告 — 5.3.3 報(bào)警機(jī)制 5.3.4a).b) 5.3.4 開發(fā)接口 — 5.4 8.2 自身安全功能要求 不同安全等級(jí)的日志分析產(chǎn)品的自身安全功能要求如表2所示。 表2 不同安全等級(jí)的日志分析產(chǎn)品的自身安全功能要求 自身安全功能要求 基本級(jí) 增強(qiáng)級(jí) 組件安全 日志代理狀態(tài)監(jiān)測(cè) 6.1.1 6.1.1 多級(jí)部署 — 6.1.2 集中管理 — 6.1.3 數(shù)據(jù)傳輸安全 — 6.1.4 時(shí)間同步 — 6.1.5 安全管理 標(biāo)識(shí)和鑒別 唯一性標(biāo)識(shí) 6.2.1.1 6.2.1.1 身份鑒別 6.2.1.2 6.2.1.2 多重鑒別 — 6.2.1.3 超時(shí)鎖定 6.2.1.4 6.2.1.4 鑒別數(shù)據(jù)保護(hù) 6.2.1.5 6.2.1.5 鑒別失敗處理 — 6.2.1.6 安全功能管理 6.2.2 6.2.2 區(qū)分安全角色管理 — 6.2.3 遠(yuǎn)程管理 — 6.2.4 自身審計(jì)功能 審計(jì)日志生成 6.3.1a)～e) 6.3.1 數(shù)據(jù)存儲(chǔ)安全 — 6.3.2 系統(tǒng)報(bào)警 報(bào)警事件類型 6.4.la)、b) 6.4.1 報(bào)警消息 6.4.2 6.4.2 報(bào)警方式 6.4.3 6.4.3 8.3 安全保障要求 不同安全等級(jí)的日志分析產(chǎn)品的安全保障要求如表3所示。 表3 不同安全等級(jí)的日志分析產(chǎn)品的安全保障要求 安全保障要求 基本級(jí) 增強(qiáng)級(jí) 開發(fā) 安全架構(gòu) 7.1.1 7.1.1 功能規(guī)范 7.1.2a)～f) 7.1.2 實(shí)現(xiàn)表示 — 7.1.3 產(chǎn)品設(shè)計(jì) 7.1.4a)～d) 7.1.4 指導(dǎo)性文檔 操作用戶指南 7.2.1 7.2.1 準(zhǔn)備程序 7.2.2 7.2.2 生命周期支持 配置管理能力 7.3.1a)～c) 7.3.1 配置管理范圍 7.3.2a) 7.3.2 交付程序 7.3.3 7.3.3 開發(fā)安全 — 7.3.4 生命周期定義 — 7.3.5 工具和技術(shù) — 7.3.6 測(cè)試 覆蓋 7.4.1a) 7.4.1 深度 — 7.4.2 功能測(cè)試 7.4.3 7.4.3 獨(dú)立測(cè)試 7.4.4 7.4.4 脆弱性評(píng)定 7.5a) 7.5b)