国标-信息安全技术信息系统安全审计产品技术要求和测试评价方法(编辑修改稿)

国标-信息安全技术信息系统安全审计产品技术要求和测试评价方法(编辑修改稿)内容摘要：

身份鉴别机制。 重鉴别 当已通过身份鉴别的管理角色空闲操作的时间超过规定值，在该管理角色需要执行管理功能前，产品应对该管理角色的身份重新进行鉴别。 鉴别数据保护 产品应保证鉴别数据不被未授权查阅或修改。 鉴别失败处理 中国最大的管理资源中心 第 11 页 共 38 页 产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值，当管理员的不成功登录尝试超过阈值，系统应通过技术手段阻止管理员的进一步鉴别请求，如帐号失效一段时间， 锁定该管理员帐号直至超级管理员恢复该管理员的被鉴别能力等。 产品升级 手动升级 授权管理员能定期对产品进行手动的升级， 如更新匹配规则库、策略文件以及服务程序等。 授权管理员取得升级包后，能按照升级说明文件的要求，对系统进行升级。 自动升级 产品应定期检查相关升级网站，自动下载系统升级包，下载完毕后自动运行升级程序进行升级。 升级过程中可暂时终止系统服务程序的运行，升级完成后应重新启动服务程序，按照原有的策略继续运行。 自动升级应采取身份验证、数字签名等手段避免得到错误或伪造的系统升级包。 审计代理升级 分布式审 计所包含的各审计代理应支持自动检测审计中心版本，自动下载升级包，进行升级。 升级日志记录 产品应自动审计记录升级日志。 升级日志至少应包含时间、目标、目的、内容、版本等信息。 联动要求 联动支持 【增强型】 产品应与当前主流的其它类型的安全产品以相互确认的协议或通讯方式交流审计信息，采取联合行动以加固或保护被审计信息系统。 联动接口 【增强型】 产品应至少提供一个标准的、开放的接口，能按照该接口规范为其它类型安全产品编写相应的程序模块，达到与其联动的目的。 监管要求 【增强型】 产品可兼具监管功能。 部分安全事件可通 过使用监管功能进行管理。 自身安全要求 自身审计数据生成 产品应对与自身安全相关的以下事件生成审计记录： a) 对产品进行操作的尝试，如关闭审计功能或子系统 ； b) 产品管理员的登录和注销； c) 对安全策略进行更改的操作； d) 对鉴别机制的使用； e) 读取、修改、破坏审计跟踪数据的尝试 ； f) 因鉴别尝试不成功的次数超出了设定的限值，导致的会话连接终止； g) 对管理角色进行增加，删除和属性修改的操作； h) 对安全功能配置参数的修改（设置和更新），无论成功与否。 自身安全审计记录独立存放 产品应将自身安全审计记录与被审计的目标信息系统的审计记录分 开保存到不同的记录文件或数据库（或同一数据库的不同表）中，方便用户查阅和分析。 审计代理安全 a) 硬件代理应具备抗病毒、入侵攻击的能力。 b) 软件代理应具备自保护能力，使用专用卸载程序对软件代理进行卸载时应提供密码保护，除专用卸载程序外用户不可手工删除、停用。 中国最大的管理资源中心 第 12 页 共 38 页 c) 审计跟踪记录中心应提供检测信息系统是否已安装软件代理的功能。 若未安装软件代理，将产生报警。 产品卸载安全 卸载产品时，应采用相关技术对产品中保存的审计数据进行删除 ,或提醒用户删除。 系统时间安全 产品应提供同步审计代理与审计跟踪记录中心时间的功能，并应同时自 动记录审计代理与审计跟踪记录中心的时间。 系统部署安全 【增强型】 产品应支持多级分布式部署模式，保证安全审计系统某分中心遭受攻击、通讯异常等问题时产品正常运行。 6 性能要求 稳定性 软件代理在宿主操作系统上应工作稳定，不应造成宿主机崩溃情况。 硬件代理产品在与产品设计相适应的网络带宽下应运行稳定。 资源占用 软件代理 的运行对宿主机资源，如 CPU、内存空间和存储空间的占用，不应超过宿主机的承受能力。 不应影响对宿主机合法的用户登录和资源访问。 网络影响 产品的运行不应对原网络正常通讯产生明显影响。 吞吐量 产品应 有足够的吞吐量，保证对被审计信息系统接受和发送的海量数据的控制。 在大流量的情况下，产品应通过自身调节做到动态负载均衡。 7 保证要求 配置管理保证 开发商应使用配置管理系统，为产品的不同版本提供唯一的标识。 开发者应针对不同用户提供唯一的授权标识。 要求配置项应有唯一标识。 开发商应提供配置管理文档。 交付与运行保证 开发商应确保产品的交付、安装、配置和使用是可控的。 开发商应以文件方式说明产品的安装，配置和启动的过程。 用户手册应详尽描述产品的安装，配置和启动运行所必需的基本步骤。 上述过程中不应向非产品使用 者提供网络拓扑信息。 指导性文档 管理员指南 a) 开发商应提供针对产品管理员的管理员指南。 b) 管理员指南应描述管理员可使用的管理功能和接口。 c) 管理员指南应描述怎样以安全的方式管理产品。 中国最大的管理资源中心 第 13 页 共 38 页 d) 对于在安全处理环境中必须进行控制的功能和特权，管理员指南应提出相应的警告。 e) 管理员指南应描述所有受管理员控制的安全参数，并给出合适的参数值。 f) 管理员指南应包含安全功能如何相互作用的指导。 g) 管理员指南应包含怎样安全配置产品的指令。 h) 管理员指南应描述在产品的安全安装过程中可能要使用的所有配置选项。 i) 管理员指南应充分描述与安全管理相关的 详细过程。 j) 管理员指南应能指导用户在产品的安装过程中产生一个安全的配置。 用户指南  开发商应提供用户指南。  用户指南应描述非管理员用户可用的功能和接口。  用户指南应包含使用产品提供的安全功能和指导。  用户指南应清晰地阐述产品安全运行中用户所必须负的职责，包含产品在安全使用环境中对用户行为的假设。 测试保证 功能测试 a) 开发商应测试产品的功能，并记录结果。 b) 开发商在提供产品时应同时提供该产品的测试文档。 c) 测试文档应由测试计划、测试过程描述和测试结果组成。 d) 测试文档应确定将要测试的产品功能，并描述将要达到的测试目 标。 e) 测试过程的描述应确定将要进行的测试，并描述测试每一安全功能的实际情况。 f) 测试文档的测试结果应给出每一项测试的预期结果。 g) 开发商的测试结果应证明每一项安全功能和设计目标相符。 测试覆盖面分析报告 a) 开发商应提供对产品测试覆盖范围的分析报告。 b) 测试覆盖面分析报告应证明测试文件中确定的测试项目可覆盖产品的所有安全功能。 测试深度分析报告 a) 开发商应提供对产品的测试深度的分析报告。 b) 测试深度分析报告应证明测试文件中确定的测试能充分表明产品的运行符合安全功能规范。 独立性测试 开发商应提供用于适合测试的部件，且提供 的测试集合应与其自测产品功能时使用的测试集合相一致。 脆弱性分析保证 指南检查 a) 开发者应提供指南性文档。 b) 在指南性文档中，应确定对产品的所有可能的操作方式（包含失败和操作 失误后的操作）、它们的后果以及对于保持安全操作的意义。 指南性文档中还应列出所有目标环境的假设以及所有外部安全措施（包含外部程序的、物理的或人员的控制）的要求。 指南性文档应是完整的、清晰的、一致的、合理的。 脆弱性分析 a) 开发者应从用户可能破坏安全策略的明显途径出发，对产品的各种功能进行分析并提供文档。 对被确定的脆弱性，开发者应明确记录采取 的措施。 中国最大的管理资源中心 第 14 页 共 38 页 b) 对每一条脆弱性，应有证据显示在使用产品的环境中该脆弱性不能被利用。 在文档中，还需证明经过标识脆弱性的产品可以抵御明显的穿透性攻击。 c) 脆弱性分析文档应明确指出产品已知的安全隐患、能够侵犯产品的已知方法以及如何避免这些隐患被利用。 生命周期支持 a) 开发者应提供开发安全文件。 b) 开发安全文件应描述在产品的开发环境中，为保护产品设计和实现的机密性和完整性，而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。 开发安全文件还应提供在产品的开发和维护过程中执行安全措施的证据。 8 测评方法 产品功能 安全功 能 审计跟踪 审计事件生成 审计数据生成 a) 评价内容： 见 的内容； b) 测试评价方法： 1） 主机、服务器审计测试： —— 启动和关闭目标主机，审查审计记录； —— 审查目标主机的日志审计记录； —— 审查目标主机的软、硬件信息审计记录； —— 模拟使用目标主机的外围设备，审查审计记录； —— 模拟使用目标主机文件，审查审计记录； —— 从目标主机进行网络连接，审查审计记录。 2） 网络审计测试： —— 从目标主机发起服务请求，审查审计记录 ； —— 模拟网络入侵行为 ，进行审计记录； —— 向网络上发送大量畸形数据包造成网络流量加大，审查审计记录。 3） 数据库管理系统审计测试： —— 模拟进行数据库数据操作，审查审计记录； —— 模拟更改数据库结构，审查审计记录； —— 模拟更改数据库用户，审查审计记录。 4） 应用系统审计测试： —— 审查目标应用系统日志审计记录； —— 进行目标应用系统操作，审查审计记录。 5） 其它审计测试： —— 审查网络设备日志审计记录； —— 审查其它系统审计记录； c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 【基本型】至少符合以上五类 其中一项测试要求，【增强型】至少符合其中两项测试要求； 2) 对每一个测试都产生正确的审计记录 ； 3) 产生的审计记录与事件存在明确的对应关系。 中国最大的管理资源中心 第 15 页 共 38 页 用户身份关联 a) 评价内容： 见 的内容； b) 测试评价方法： 1) 用不同用户身份登录系统进行操作； 2) 检查审计记录。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断。 审计记录应能区别不同用户行为。 紧急事件报警 a) 评价内容： 见 的内容； b) 测试评价方法： 1) 检查系统配置是否支持紧急事件定义； 2) 生成紧急事件； 3) 检查审计记录； 4) 检查报警处理器是否收到报警信息。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 系统配置应支持紧急事件定义； 2) 审计记录应能准确记录紧急事件； 3) 报警处理器应能收到并处理紧急事件。 审计数据生成效率 a) 评价内容： 见 的内容； b) 测试评价方法： 1) 将产品部署在测试环境； 2) 生成约占 网络带宽 70%左右的背景流量； 3) 检查审计跟踪检验器。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断。 审计数据应能实时生成。 事件鉴别扩展接口 a) 评价内容：见 的内容； b) 测试评价方法： 1) 检查事件定义模块； 2) 自定义安全事件模块。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品支持自定义的安全事件； 2) 产品能检测自定义的安全事件。 审计记录 审计记录 格式 a) 评价内容：见 的内容； b) 测试评价方法：评价者应审查审计记录中是否包含事件 ID、事件发生的日期和时间、事件类型、事件级别。