信息安全技术 信息系统 安全审计产品技术要求和测试评价方法

GA/T ××××—2001 GA/T ××××—2001 beijing 目 次 II前 言 III引 言 11 范围 12 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 性引用文件 13 术语和定义及记法 13.1 术语和定义 23.2 记法 24 安全审计产品分级 24.1 基本型 24.2 增强型 25 功能要求 25.1 安全功能要求 75.2 自身安全要求 76 性能要求 86.1 稳定性 86.2 资源占用 86.3 网络影响 86.4 吞吐量 87 保证要求 87.1 配置管理保证 87.2 交付与运行保证 87.3 指导性文档 87.4 测试保证 97.5 脆弱性分析保证 97.6 生命周期支持 98 测评方法 98.1 产品功能 198.2 自身安全 208.3 产品性能 208.4 保证要求 24附　录　A 24A.1 安全审计流程 24A.2 审计跟踪涵盖的阶段 24A.2.1 事件采集阶段 24A.2.2 事件处理阶段 24A.2.3 事件响应阶段 前 言 本 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 由公安部提出。 本标准由全国信息安全标准化技术委员会归口。 本标准由公安部十一局、北京中科网威信息技术有限公司、中华人民共和国公安部第三研究所、上海汉邦京泰数码技术有限公司负责起草。 本标准主要起草人：肖江、叶小列、刘宝旭、王晓箴、朱建平、沈亮、陆中威、王贤蔚、王鸣。 本标准委托中华人民共和国公安部第三研究所负责解释。 本标准的附录A是资料性附录。 引 言 安全审计产品能为信息系统风险评估、安全策略的制定提供强有力的数据支撑，针对信息系统的违规行为进行监测并提供事件追溯的依据。安全审计产品不仅能对信息系统各组成要素进行事件采集；还可将采集数据进行系统分析，并形成可自定义的报告，降低网络 安全管理 企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理 成本，保障信息系统的正常运行。 本标准规定了安全审计产品的基本技术要求和扩展技术要求，提出了该类产品应达到的安全目标，并给出了该类产品的基本功能、增强功能和安全保证要求。 本标准规定了安全审计产品的测评方法，包括安全审计产品测评的内容，测评功能目标及测试环境，给出了产品基本功能、增强功能和安全保证要求必须达到的具体目标。 本标准的目的是指导 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 者如何设计和实现安全审计产品，并为安全审计产品的测评和应用提供技术支持和指导。 信息安全技术 信息系统 安全审计产品技术要求和测试评价方法 1　 范围 本标准规定了安全审计产品技术要求和测评方法。 本标准适用于对信息系统各客体进行审计事件采集、处理、分析，并提供审计报告、报警、响应及审计数据记录、备份的安全产品的开发、测评和应用。 2　 规范性引用文件 下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包含勘误的内容）或者修订版均不适合于本标准，但鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 5271.8－2001 信息系统 词汇 第8部分：安全 GB/T 18336（所有部分） 信息技术 安全技术 信息技术安全性评估准则 3　 术语和定义及记法 GB 17859-1999、GB/T 5271.8－2001和GB/T 18336-2001确立的及以下术语和定义适用于本标准。 3.1　 术语和定义 安全审计 security audit 对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应响应动作。 事件辨别器 event discriminator 提供事件最初的识别并决定是否向审计记录器传送该事件消息和产生审计报警的功能部件。 审计记录器 audit recorder 产生审计记录并将记录保存在本地或远程系统的功能部件。 审计分析器 audit analyzer 检查审计记录，以确认是否需要产生审计报警及采取相应行动的功能部件，对分析结果进行数据汇总，发送至报表生成器。 报表生成器 report processor 根据数据分析结论，进行报告处理，生成相关报告的功能部件。 报警处理器 alarm processor 接受审计报警请求并产生响应动作的功能部件。 审计跟踪检阅器 audit trail examiner 用来检阅审计记录并产生分析报告的功能部件。 审计备份器 audit archiver 根据授权管理员的要求将审计记录的全部或部分备份到安全存储介质的功能部件。 审计代理 audit agent 安全审计系统中完成审计数据采集、鉴别并向审计跟踪记录中心发送审计消息的功能部件，包括软件代理和硬件代理。 审计跟踪记录中心 audit trail center 安全审计系统中负责接收各审计代理发送的审计消息并对消息进行记录、分析、报警、生成报告和备份的功能部件。 授权管理员 authorized administrator 可管理安全审计产品组件的授权用户。 嗅探 sniffing 对网络线路上传送的数据包进行捕获以获得信息的行为。 入侵 intrusion 任何企图危害资源保密性、完整性或可用性的行为。 3.2　 记法 本标准中所用记法，采用符号【】内加文字表示，区别不同级别的产品，用【基本型】和【增强型】表示安全审计产品的2个级别。未标注【基本型】或【增强型】的要求及方法适用于全部安全审计产品。 4　 安全审计产品分级 4.1　 基本型 对主机、服务器、网络、数据库管理系统、应用系统等客体采集对象进行审计，并对审计事件进行分析和响应的安全审计产品。 4.2　 增强型 对主机、服务器、网络、数据库管理系统、应用系统中至少两类客体采集对象进行审计，并对审计事件进行关联分析与响应的安全审计产品。 5　 功能要求 5.1　 安全功能要求 5.1.1　 审计跟踪 5.1.1.1　 审计事件生成 5.1.1.1.1　 审计数据采集 【基本型】产品至少应包括以下一类采集范围，【增强型】产品至少应包括以下两类采集范围： a) 主机、服务器审计数据采集： 1) 目标主机的启动和关闭； 2) 目标主机的日志； 3) 目标主机的软、硬件信息； 4) 目标主机的外围设备使用； 5) 目标主机的文件使用； 6) 目标主机网络连接。 b) 网络审计数据采集： 1） 网络协议； 2） 入侵行为； 3） 网络流量。 c) 数据库管理系统审计数据采集： 1） 数据库数据操作； 2） 数据库结构操作； 3） 数据库用户更改。 d) 应用系统审计数据采集： 1） 目标应用系统日志； 2） 目标应用系统操作。 e) 其它审计数据采集： 1） 网络设备日志； 2） 其它系统审计记录。 5.1.1.1.2　 用户身份关联 产品应将可审计的事件与引起该事件的用户身份相关联。 5.1.1.1.3　 紧急事件报警 对于系统安全策略定义的紧急事件，产品应直接向报警处理器发送报警消息。 5.1.1.1.4　 审计数据生成效率 产品应在实际的系统环境和网络带宽下实时的进行审计数据生成。 5.1.1.1.5　 事件鉴别扩展接口 【增强型】产品应提供一个功能接口，对其自身无法鉴别的安全事件，用户可通过该接口，将扩展的事件鉴别模块以插件的形式接入事件辨别器。 5.1.1.2　 审计记录 5.1.1.2.1　 可理解的格式 产品应按照事件的分类和级别，采用可理解的格式生成包含以下内容的审计记录： a) 事件ID； b) 事件主体； c) 事件客体； d) 事件发生的日期和时间； e) 事件类型； f) 事件的级别； g) 主体身份； h) 事件的结果（成功或失败）。 产品应通过采用通用的、标准的审计数据格式，将不同应用系统产生的审计数据按照统一的标准化格式进行组织和存储。 5.1.1.2.2　 数据库支持 产品应支持至少一种主流数据库，将审计记录存放到数据库中，方便用户查阅、检索和统计分析。 5.1.1.2.3　 数据安全存储 产品应对产生的审计记录数据进行保护，防止其被泄漏或篡改。 5.1.1.3　 审计分析 5.1.1.3.1　 潜在危害 产品应提供一个审计事件集合。当这些事件的发生、累计发生次数或发生频率超过设定的阈值时，表明信息系统出现了可能的潜在危害。针对这些事件集合，应有一个固定的规则集，利用该规则集对信息系统的潜在危害进行分析。审计事件集合应可定制。 5.1.1.3.2　 异常事件和行为 产品应维护一个与被审计信息系统相关的异常事件集合。当这些异常事件发生时表明被审计信息系统产生了潜在或实际的危害与攻击。异常事件集合应可定制。 产品应对异常事件和行为进行分析处理，例如： a) 用户活动异常； b) 系统资源滥用或耗尽； c) 网络应用服务超负荷； d) 网络通信连接数剧增。 5.1.1.3.3　 复杂行为 产品应对复杂行为进行以下操作： a) 【基本型】： 1) 对不规则或频繁出现的事件进行统计分析； 2) 对相互关联的事件进行综合分析和判断； 3) 向授权用户提供自定义匹配模式。 b) 【增强型】： 1) 满足【基本型】的要求； 2) 多审计功能协作审计； 3) 各审计功能关联分析。 5.1.1.3.4　 审计分析接口 【增强型】产品应提供审计分析接口，便于用户开发或选择不同的审计分析模块以增强自身的审计分析能力。 5.1.1.3.5　 系统报警消息 当审计分析器的分析表明信息系统出现潜在危害、异常事件以及攻击行为时，产品应向报警处理器发送报警消息或者生成特殊的审计记录。报警消息应具有可理解的格式并包含下列内容： a) 事件ID； b) 事件主体； c) 事件客体； d) 事件发生时间； e) 事件危险级别； f) 事件描述； g) 事件结果（成功或失败）。 5.1.1.3.6　 审计分析报告 a) 产品应至少支持按关键字生成、按模块功能生成、按危害等级生成、按自定义格式生成等分析报告生成方式； b) 报告内容应至少支持文字、图象两种描述方式； c) 审计数据报告生成格式应至少支持txt、html、doc、xls等文件格式。 5.1.1.4　 事件响应 安全审计产品可对事件辨别器和审计分析器发送的报警消息采取相应的响应动作。 5.1.1.4.1　 产生报警 产品应产生报警，报警方式至少包含以下方式中的两种： a) 向中央控制台发送报警消息； b) 向系统管理员发送报警邮件； c) 向网管中心发送SNMP、Trap消息； d) 向声光电发生装置发送声光电信号； e) 向网管人员发送SMS短消息。 5.1.1.4.2　 响应方式 产品应采取相应响应方式，以保证信息系统以及自身的安全。应采取下列至少一种形式的响应方式： a) 对策略中标记为阻断的攻击进行阻断； b) 调用授权管理员预定义的操作或应用程序； c) 向其它网络产品发送互动信号，进行联合行动的协商和执行。 5.1.1.5　 审计查阅 5.1.1.5.1　 常规查阅 产品应为授权管理员提供查阅审计记录的功能，查阅的结果应以用户易于理解的方式和格式提供，并且能生成报告和进行打印。 5.1.1.5.2　 有限查阅 产品应确保除授权管理员之外，其他用户无权对审计记录进行查阅。 5.1.1.5.3　 可选查阅 产品应为授权管理员提供将审计记录按一定的条件进行选择、搜索、分类和排序的功能，所得结果应以用户友好的、便于理解的形式提供报告或打印。 5.1.1.6　 审计记录存储 5.1.1.6.1　 安全保护 产品应至少采取一种安全机制，保护审计记录数据免遭未经授权的删除或修改，如采取严格的身份鉴别机制和适合的文件读写权限等。任何对审计记录数据的删除或修改都应生成系统自身安全审计记录。 5.1.1.6.2　 可用性保证 在审计存储空间耗尽、遭受攻击等异常情况下，产品应采取相应措施保证已存储的审计记录数据的可用性。 5.1.1.6.3　 保存时限 产品应提供设置审计记录保存时限的最低值功能，用户可根据自身需要设定记录保存时间。产品应设定缺省保存时间，至少为两个月。 5.1.1.7　 审计策略 5.1.1.7.1　 事件分类和分级 产品应对可审计跟踪的事件按用户可理解的方式进行分类，方便用户浏览和策略定制。同时应将可审计事件的重要程度划分为不同的级别，对不同级别的事件采取不同的处理方式。 5.1.1.7.2　 缺省策略 产品应设置系统缺省策略，对可审计事件进行审计。 5.1.1.7.3　 策略模板 产品应为用户提供多套策略模板，使用户可根据具体的信息系统要求选择最适宜的审计策略，对可审计事件进行审计。 5.1.1.7.4　 策略定制 产品应使用户可自主定制适合本地实际环境的审计策略。 5.1.2　 审计数据保护 5.1.2.1　 数据传输控制 审计代理与审计跟踪记录中心相互传输审计记录数据及配置和控制信息时，产品应确保只有授权管理员能决定数据传输的启动或终止。 5.1.2.2　 数据传输安全 【增强型】产品在审计代理与审计跟踪记录中心相互传输审计记录数据及配置和控制信息时，应保证传输的数据不被泄漏或篡改，保证传输错误或异常中断的情况下能重发数据。 5.1.3　 安全管理 5.1.3.1　 管理角色 产品应为管理角色进行分级，使不同级别的管理角色具有不同的管理权限。管理角色应至少分为以下三种： a) 管理员 管理员身份用户可对审计产品本身进行管理、下发审计策略、处理实时报警信息。 b) 日志查看员 可对具体日志进行查看、分析、处理，并可使用审计分析器及报告生成器。 c) 审计日志查看员 可对管理员用户及日志查看员用户对审计系统的操作进行审计。 5.1.3.2　 操作审计 产品应对不同管理角色在管理期间的全部活动生成相应的审计记录。这些记录用来在系统遭到破坏时进行事故分析，并为行为的追溯提供依据。 5.1.3.3　 安全状态监测 管理员能实时获取网络安全状态信息，监测产品的运行情况，并对其产生的日志和报警信息进行汇总和统一分析。 5.1.4　 标识和鉴别 5.1.4.1　 管理角色属性 产品应为每个管理角色规定与之相关的安全属性，如管理角色标识、鉴别信息、隶属组、权限等，并提供使用默认值对创建的每个管理角色的属性进行初始化的功能。 5.1.4.2　 身份鉴别 5.1.4.2.1　 用户鉴别 在某个管理角色需要执行管理功能之前，产品应对该管理角色的身份进行鉴别。 5.1.4.2.2　 多重鉴别 产品应根据不同管理角色的管理职责和权限采用不同的身份鉴别机制。 5.1.4.2.3　 重鉴别 当已通过身份鉴别的管理角色空闲操作的时间超过规定值，在该管理角色需要执行管理功能前，产品应对该管理角色的身份重新进行鉴别。 5.1.4.3　 鉴别数据保护 产品应保证鉴别数据不被未授权查阅或修改。 5.1.4.4　 鉴别失败处理 产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值，当管理员的不成功登录尝试超过阈值，系统应通过技术手段阻止管理员的进一步鉴别请求，如帐号失效一段时间，锁定该管理员帐号直至超级管理员恢复该管理员的被鉴别能力等。 5.1.5　 产品升级 5.1.5.1　 手动升级 授权管理员能定期对产品进行手动的升级，如更新匹配规则库、策略文件以及服务程序等。授权管理员取得升级包后，能按照升级说明文件的要求，对系统进行升级。 5.1.5.2　 自动升级 产品应定期检查相关升级网站，自动下载系统升级包，下载完毕后自动运行升级程序进行升级。升级过程中可暂时终止系统服务程序的运行，升级完成后应重新启动服务程序，按照原有的策略继续运行。 自动升级应采取身份验证、数字签名等手段避免得到错误或伪造的系统升级包。 5.1.5.3　 审计代理升级 分布式审计所包含的各审计代理应支持自动检测审计中心版本，自动下载升级包，进行升级。 5.1.5.4　 升级日志记录 产品应自动审计记录升级日志。升级日志至少应包含时间、目标、目的、内容、版本等信息。 5.1.6　 联动要求 5.1.6.1　 联动支持 【增强型】产品应与当前主流的其它类型的安全产品以相互确认的协议或通讯方式交流审计信息，采取联合行动以加固或保护被审计信息系统。 5.1.6.2　 联动接口 【增强型】产品应至少提供一个标准的、开放的接口，能按照该接口规范为其它类型安全产品编写相应的程序模块，达到与其联动的目的。 5.1.7　 监管要求 【增强型】产品可兼具监管功能。部分安全事件可通过使用监管功能进行管理。 5.2　 自身安全要求 5.2.1　 自身审计数据生成 产品应对与自身安全相关的以下事件生成审计记录： a) 对产品进行操作的尝试，如关闭审计功能或子系统； b) 产品管理员的登录和注销； c) 对安全策略进行更改的操作； d) 对鉴别机制的使用； e) 读取、修改、破坏审计跟踪数据的尝试； f) 因鉴别尝试不成功的次数超出了设定的限值，导致的会话连接终止； g) 对管理角色进行增加，删除和属性修改的操作； h) 对安全功能配置参数的修改（设置和更新），无论成功与否。 5.2.2　 自身安全审计记录独立存放 产品应将自身安全审计记录与被审计的目标信息系统的审计记录分开保存到不同的记录文件或数据库（或同一数据库的不同表）中，方便用户查阅和分析。 5.2.3　 审计代理安全 a) 硬件代理应具备抗病毒、入侵攻击的能力。 b) 软件代理应具备自保护能力，使用专用卸载程序对软件代理进行卸载时应提供密码保护，除专用卸载程序外用户不可手工删除、停用。 c) 审计跟踪记录中心应提供检测信息系统是否已安装软件代理的功能。若未安装软件代理，将产生报警。 5.2.4　 产品卸载安全 卸载产品时，应采用相关技术对产品中保存的审计数据进行删除,或提醒用户删除。 5.2.5　 系统时间安全 产品应提供同步审计代理与审计跟踪记录中心时间的功能，并应同时自动记录审计代理与审计跟踪记录中心的时间。 5.2.6　 系统部署安全 【增强型】产品应支持多级分布式部署模式，保证安全审计系统某分中心遭受攻击、通讯异常等问题时产品正常运行。 6　 性能要求 6.1　 稳定性 软件代理在宿主操作系统上应工作稳定，不应造成宿主机崩溃情况。 硬件代理产品在与产品设计相适应的网络带宽下应运行稳定。 6.2　 资源占用 软件代理的运行对宿主机资源，如CPU、内存空间和存储空间的占用，不应超过宿主机的承受能力。不应影响对宿主机合法的用户登录和资源访问。 6.3　 网络影响 产品的运行不应对原网络正常通讯产生明显影响。 6.4　 吞吐量 产品应有足够的吞吐量，保证对被审计信息系统接受和发送的海量数据的控制。在大流量的情况下，产品应通过自身调节做到动态负载均衡。 7　 保证要求 7.1　 配置管理保证 7.1.1　 开发商应使用配置管理系统，为产品的不同版本提供唯一的标识。 7.1.2　 开发者应针对不同用户提供唯一的授权标识。 7.1.3　 要求配置项应有唯一标识。 7.1.4　 开发商应提供配置管理文档。 7.2　 交付与运行保证 7.2.1　 开发商应确保产品的交付、安装、配置和使用是可控的。 7.2.2　 开发商应以文件方式说明产品的安装，配置和启动的过程。 7.2.3　 用户 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 应详尽描述产品的安装，配置和启动运行所必需的基本步骤。 7.2.4　 上述过程中不应向非产品使用者提供网络拓扑信息。 7.3　 指导性文档 7.3.1　 管理员指南 a) 开发商应提供针对产品管理员的管理员指南。 b) 管理员指南应描述管理员可使用的管理功能和接口。 c) 管理员指南应描述怎样以安全的方式管理产品。 d) 对于在安全处理环境中必须进行控制的功能和特权，管理员指南应提出相应的警告。 e) 管理员指南应描述所有受管理员控制的安全参数，并给出合适的参数值。 f) 管理员指南应包含安全功能如何相互作用的指导。 g) 管理员指南应包含怎样安全配置产品的指令。 h) 管理员指南应描述在产品的安全安装过程中可能要使用的所有配置选项。 i) 管理员指南应充分描述与安全管理相关的详细过程。 j) 管理员指南应能指导用户在产品的安装过程中产生一个安全的配置。 7.3.2　 用户指南 a) 开发商应提供用户指南。 b) 用户指南应描述非管理员用户可用的功能和接口。 c) 用户指南应包含使用产品提供的安全功能和指导。 d) 用户指南应清晰地阐述产品安全运行中用户所必须负的职责，包含产品在安全使用环境中对用户行为的假设。 7.4　 测试保证 7.4.1　 功能测试 a) 开发商应测试产品的功能，并记录结果。 b) 开发商在提供产品时应同时提供该产品的测试文档。 c) 测试文档应由测试计划、测试过程描述和测试结果组成。 d) 测试文档应确定将要测试的产品功能，并描述将要达到的测试目标。 e) 测试过程的描述应确定将要进行的测试，并描述测试每一安全功能的实际情况。 f) 测试文档的测试结果应给出每一项测试的预期结果。 g) 开发商的测试结果应证明每一项安全功能和设计目标相符。 7.4.2　 测试覆盖面分析报告 a) 开发商应提供对产品测试覆盖范围的分析报告。 b) 测试覆盖面分析报告应证明测试文件中确定的测试项目可覆盖产品的所有安全功能。 7.4.3　 测试深度分析报告 a) 开发商应提供对产品的测试深度的分析报告。 b) 测试深度分析报告应证明测试文件中确定的测试能充分表明产品的运行符合安全功能规范。 7.4.4　 独立性测试 开发商应提供用于适合测试的部件，且提供的测试集合应与其自测产品功能时使用的测试集合相一致。 7.5　 脆弱性分析保证 7.5.1　 指南检查 a) 开发者应提供指南性文档。 b) 在指南性文档中，应确定对产品的所有可能的操作方式（包含失败和操作 失误后的操作）、它们的后果以及对于保持安全操作的意义。指南性文档中还应列出所有目标环境的假设以及所有外部安全措施（包含外部程序的、物理的或人员的控制）的要求。指南性文档应是完整的、清晰的、一致的、合理的。 7.5.2　 脆弱性分析 a) 开发者应从用户可能破坏安全策略的明显途径出发，对产品的各种功能进行分析并提供文档。对被确定的脆弱性，开发者应明确记录采取的措施。 b) 对每一条脆弱性，应有证据显示在使用产品的环境中该脆弱性不能被利用。在文档中，还需证明经过标识脆弱性的产品可以抵御明显的穿透性攻击。 c) 脆弱性分析文档应明确指出产品已知的安全隐患、能够侵犯产品的已知方法以及如何避免这些隐患被利用。 7.6　 生命周期支持 a) 开发者应提供开发安全文件。 b) 开发安全文件应描述在产品的开发环境中，为保护产品设计和实现的机密性和完整性，而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在产品的开发和维护过程中执行安全措施的证据。 8　 测评方法 8.1　 产品功能 8.1.1　 安全功能 8.1.1.1　 审计跟踪 8.1.1.1.1　 审计事件生成 8.1.1.1.1.1　 审计数据生成 a) 评价内容：见5.1.1.1.1　的内容； b) 测试评价方法： 1） 主机、服务器审计测试： ——启动和关闭目标主机，审查审计记录； ——审查目标主机的日志审计记录； ——审查目标主机的软、硬件信息审计记录； ——模拟使用目标主机的外围设备，审查审计记录； ——模拟使用目标主机文件，审查审计记录； ——从目标主机进行网络连接，审查审计记录。 2） 网络审计测试： ——从目标主机发起服务请求，审查审计记录； ——模拟网络入侵行为，进行审计记录； ——向网络上发送大量畸形数据包造成网络流量加大，审查审计记录。 3） 数据库管理系统审计测试： ——模拟进行数据库数据操作，审查审计记录； ——模拟更改数据库结构，审查审计记录； ——模拟更改数据库用户，审查审计记录。 4） 应用系统审计测试： ——审查目标应用系统日志审计记录； ——进行目标应用系统操作，审查审计记录。 5） 其它审计测试： ——审查网络设备日志审计记录； ——审查其它系统审计记录； c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 【基本型】至少符合以上五类其中一项测试要求，【增强型】至少符合其中两项测试要求； 2) 对每一个测试都产生正确的审计记录； 3) 产生的审计记录与事件存在明确的对应关系。 8.1.1.1.1.2　 用户身份关联 a) 评价内容：见5.1.1.1.2　的内容； b) 测试评价方法： 1) 用不同用户身份登录系统进行操作； 2) 检查审计记录。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断。审计记录应能区别不同用户行为。 8.1.1.1.1.3　 紧急事件报警 a) 评价内容：见5.1.1.1.3　的内容； b) 测试评价方法： 1) 检查系统配置是否支持紧急事件定义； 2) 生成紧急事件； 3) 检查审计记录； 4) 检查报警处理器是否收到报警信息。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 系统配置应支持紧急事件定义； 2) 审计记录应能准确记录紧急事件； 3) 报警处理器应能收到并处理紧急事件。 8.1.1.1.1.4　 审计数据生成效率 a) 评价内容：见5.1.1.1.4　的内容； b) 测试评价方法： 1) 将产品部署在测试环境； 2) 生成约占网络带宽70%左右的背景流量； 3) 检查审计跟踪检验器。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断。审计数据应能实时生成。 8.1.1.1.1.5　 事件鉴别扩展接口 a) 评价内容：见5.1.1.1.5　的内容； b) 测试评价方法： 1) 检查事件定义模块； 2) 自定义安全事件模块。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品支持自定义的安全事件； 2) 产品能检测自定义的安全事件。 8.1.1.1.2　 审计记录 8.1.1.1.2.1　 审计记录格式 a) 评价内容：见5.1.1.2.1　的内容； b) 测试评价方法：评价者应审查审计记录中是否包含事件ID、事件发生的日期和时间、事件类型、事件级别、事件主体和事件结果； c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，审计记录应详细、完整、容易理解。 8.1.1.1.2.2　 数据库支持 a) 评价内容：见5.1.1.2.2　的内容； b) 测试评价方法：评价者应审查产品是否支持产品说明手册声称支持的数据库类型，支持的数据库类型至少包含一种主流数据库，如SQL Server、Oracle等； c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断。产品支持的数据库类型至少包含一种主流数据库。 8.1.1.1.2.3　 审计记录数据安全存储 a) 评价内容：见5.1.1.2.3　的内容； b) 测试评价方法： 种功能进行了确定了以 1）评价者应审查产品说明手册声称的审计记录安全措施； 2) 对声称的措施进行核实。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断。产品应对产生的审计记录数据进行保护。 8.1.1.1.3　 审计分析 8.1.1.1.3.1　 潜在危害 a) 评价内容：见5.1.1.3.1　的内容； b) 测试评价方法： 1) 评价者应检查审计事件集合； 2) 评价者应检查事件报警触发条件。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 审计事件集合分类清晰； 2) 事件报警触发条件合理； 3) 审计事件及报警触发条件可订制。 8.1.1.1.3.2　 异常事件和行为 a) 评价内容：见5.1.1.3.2　的内容； b) 测试评价方法： 1) 用户越权访问，审查审计记录； 2) 耗尽系统资源，审查审计记录； 3) 网络应用服务超负荷，审查审计记录； 4) 建立大量网络通信连接，审查审计记录。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1） 对每一个测试产生正确的审计记录； 2） 产生的审计记录与事件存在明确的对应关系。 8.1.1.1.3.3　 复杂行为 a) 评价内容：见5.1.1.3.3　的内容； b) 测试评价方法： 1） 【基本型】测试评价： ——评价者应审查产品手册产品是否具有概率统计分析能力并验证； ——评价者应审查产品手册产品是否具有关联分析能力并验证； ——评价者应审查产品手册产品是否提供自定义匹配模式并验证。 2） 【增强型】测试评价： ——进行与【基本型】相同的测试； ——评价者应审查多审计功能协作审计的能力； ——评价者应审查各审计功能是否可关联分析。 c) 测试评价结果： 1) 【基本型】测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： ——产品对不规则或频繁出现的事件能进行统计分析； ——产品对相互关联的事件能利用关联分析相关技术进行综合分析和判断； ——产品能向授权用户提供自定义匹配模式。 2) 【增强型】测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： ——产品满足【基本型】相应的要求； ——各审计功能之间可协同工作； ——可进行关联分析形成最终报表。 8.1.1.1.3.4　 审计分析接口 a) 评价内容：见5.1.1.3.4　的内容； b) 测试评价方法： 1) 查看产品说明手册是否包含提供审计分析接口的说明； 2) 对审计分析接口进行测试，是否可选择不同的审计分析模块。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品应提供审计分析接口； 2) 审计分析接口设计灵活，使用户可选择不同的审计分析模块。 8.1.1.1.3.5　 审计报警信息 a) 评价内容：见5.1.1.3.5　的内容； b) 测试评价方法： 1) 评价者应审查产品的报警信息是否详细、完整、容易理解； 2） 评价者应审查产品的报警信息是否包含以下内容：事件ID、事件主体、事件客体、事件发生时间、事件危险级别及事件描述。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，评价者审查内容应包含以上两方面。 8.1.1.1.3.6　 审计分析报告 a) 评价内容：见5.1.1.3.6　的内容； b) 测试评价方法： 1） 产品的生成报告是否详细、完整、容易理解； 2） 评价者应审查产品是否能支持按关键字生成、按模块功能生成、按危害等级生成、按自定义格式生成等方式生成审计分析报告； 3） 评价者应审查产品是否能支持文字、图象两种描述方式； 4） 评价者应审查审计数据报告是否能支持txt、html、doc、xls等系统格式。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，评价者审查内容应包含以上四方面。 8.1.1.1.4　 事件响应 8.1.1.1.4.1　 报警形式 a) 评价内容：见5.1.1.4.1　的内容； b) 测试评价方法： 1） 评价者应审查产品说明手册对支持报警方式的描述； 2） 验证报警方式是否准确、有效。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品提供至少两种报警方式； 2) 报警方式准确、有效。 8.1.1.1.4.2　 响应方式 a) 评价内容：见5.1.1.4.2　的内容； b) 测试评价方法：评价者应审查产品说明手册是否包含产品对支持的响应方式的描述，并且测试响应机制是否准确、有效； c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断。 8.1.1.1.5　 审计查阅 8.1.1.1.5.1　 常规查阅 a) 评价内容：见5.1.1.5.1　的内容； b) 测试评价方法： 1) 打开审计跟踪检阅器； 2) 查阅审计记录，生成报告，打印报告。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 提供审计查阅功能； 2) 审计查阅以用户易理解的方式和格式提供； 3) 提供生成报告并打印的功能。 8.1.1.1.5.2　 有限查阅 a) 评价内容：见5.1.1.5.2　的内容； b) 测试评价方法： 1) 评价者以不具有审计查阅权限的用户身份登录系统； 2) 查阅审计记录，生成报告，打印报告； 3) 进入审计记录存储的目录，检查是否可以查看审计记录。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 只有经过授权的用户能查阅审计记录； 2) 审计记录以不可理解的格式进行存储。 8.1.1.1.5.3　 可选查阅 a) 评价内容：见5.1.1.5.3　的内容； b) 测试评价方法： 1) 进入审计跟踪检阅器； 2) 进行选择、搜索、分类、排序操作。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 具有针对审计记录选择、搜索、分类、排序的能力； 2) 处理时具有友好的用户界面，提供便于理解的处理结果。 8.1.1.1.6　 审计记录存储 8.1.1.1.6.1　 安全保护 a) 评价内容：见5.1.1.6.1　的内容； b) 测试评价方法： 1) 评价者应审查产品说明手册是否包含对审计记录保护机制的描述； 2) 对保护机制进行核实； 3) 对审计记录数据进行删除或修改。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品具有有效机制保护审计记录免遭未授权的删除或修改； 2) 针对审计记录数据的删除或修改生成系统自身安全审计记录。 8.1.1.1.6.2　 可用性 a) 评价内容：见5.1.1.6.2　的内容； b) 测试评价方法： 1) 评价者应审查产品说明手册具有何种保证审计记录可用性的机制； 2) 对保证机制进行核实。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品崩溃时审计记录的丢失控制在可接受的程度； 2) 产品能向用户提供可选择操作以处理审计记录存贮空间满的问题，如回滚等； 3) 用户可定制警戒值，当审计记录存储空间达到警戒值时，触发报警机制。 8.1.1.1.6.3　 保存时限 a) 评价内容：见5.1.1.6.3　的内容； b) 测试评价方法： 1） 评价者应审查产品说明手册中审计数据最低保存时限的说明； 2） 对产品是否允许用户设置保存时限进行核实，查看系统缺省保存时限。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1） 产品具有为审计数据设置最低保存时限的功能； 2） 用户可按自身需要设置审计数据保存时限，系统缺省保存时限不低于2个月。 8.1.1.1.7　 审计策略 8.1.1.1.7.1　 事件分级和分类 a) 评价内容：见5.1.1.7.1　的内容； b) 测试评价方法： 1) 打开审计跟踪检阅器； 2) 查看是否对可审计事件进行分类、分级。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应满足： 1) 对可审计事件进行分类和分级； 2) 事件分类采用用户可理解的、主流的分类方法； 3) 事件分级有明确界定范围。 8.1.1.1.7.2　 缺省策略 a) 评价内容：见5.1.1.7.2　的内容； b) 测试评价方法： 1) 打开审计跟踪检阅器； 2) 查看产品是否具有缺省策略； 3) 对缺省策略进行核实验证。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品具有缺省策略； 2) 产品能按照缺省策略对可审计事件进行审计。 8.1.1.1.7.3　 策略模板 a) 评价内容：见5.1.1.7.3　的内容； b) 测试评价方法：打开审计跟踪检阅器，检查产品是否提供两套以上的策略模板； c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品应具有两套以上的缺省策略； 2) 内置策略应有明显区别，适用于不同审计环境。 8.1.1.1.7.4　 策略定制 a) 评价内容：见5.1.1.7.4　的内容； b) 测试评价方法：打开审计跟踪检阅器，检查产品是否提供策略定制能力； c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品提供策略定制功能； 2) 策略定制提供向导功能，能进行复杂条件的定制。 8.1.1.2　 审计数据保护 8.1.1.2.1　 数据传输控制 a) 评价内容：见5.1.2.1　的内容； b) 测试评价方法：评价者分别以授权管理员和非授权管理员的身份登录系统，在审计代理和审计跟踪记录中心间传输审计记录数据及配置和控制信息； c) 测试评估结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 授权管理员可进行数据传输，可决定数据传输的启动或终止； 2) 非授权管理员不能进行数据传输。 8.1.1.2.2　 数据传输安全 a) 评价内容：见5.1.2.2　的内容； b) 测试评价方法： 1） 在审计代理和审计跟踪记录中心之间传递信息，通过网络嗅探的方式获取传输的内容； 2） 通过网络注入的方式篡改传输的数据，审查系统是否能够发现； 3） 人为制造异常中断，审查重新连接后是否重传； 4） 审查开发者文档中对保证审计代理和审计跟踪记录中心之间传递信息的安全性的描述。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合： 1） 获取的内容应为不可理解的内容； 2） 传输数据被篡改后，系统提示异常或重新传输； 3） 重新连接后，系统能重发数据； 4） 开发者文档提供为保证审计代理和审计跟踪记录中心之间数据传输安全性所采取措施的详细描述，列举所采取的措施。 8.1.1.3　 安全管理 8.1.1.3.1　 管理角色 a) 评价内容：见5.1.3.1　的内容； b) 测试评价方法： 1) 检查产品是否允许定义多个角色； 2) 检查产品是否具有系统管理员、日志查看员、审计日志查看员管理角色权限； 3) 检查各角色是否可以进行细粒度权限划分。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 可定义多个角色的用户； 2) 系统管理员、日志查看员、审计日志查看员三种管理角色权限分开； 3) 每个角色可具有多个用户，每个用户只属于一个角色； 4) 每一个用户标识是全局唯一的，不应一个用户标识用于多个用户。 8.1.1.3.2　 操作审计 a) 评价内容：见5.1.3.2　的内容； b) 测试评价方法： 1) 评价者应审查产品说明书是否详细描述系统所支持的可审计行为； 2) 评价者应切换不同角色对系统进行操作测试并查看审计记录是否对不同角色的管理行为进行详细而完备的记录。 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，评价者审查内容应 c) 换不同角色， 包含以上三方面。 8.1.1.3.3　 安全状态监测 a) 评价内容：见5.1.3.3　的内容； b) 测试评价方法： 1) 查询产品说明书，查看系统是否支持管理员安全状态监测功能； 2) 以管理员角色登录系统，查看是否可以监测系统状态。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1） 产品说明书应详细描述支持的安全状态监测功能； 2） 管理员应可以实时对系统进行安全状态监测。 8.1.1.4　 标识和鉴别 8.1.1.4.1　 角色属性 a) 评价内容：见5.1.4.1　的内容； b) 测试评价方法： 1） 评价者应审查产品说明手册中是否为各管理角色规定与之相关的安全属性，如管理角色标识、鉴别信息、隶属组、权限等； 2） 分别以不同管理角色身份登录，测试产品是否使用默认值对创建的各管理角色的属性进行初始化。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品说明手册为各管理角色规定与之相关的安全属性； 2) 产品使用默认值对创建的各管理角色的属性进行初始化。 8.1.1.4.2　 身份鉴别 8.1.1.4.2.1　 用户鉴别 a) 评价内容：见5.1.4.2.1　的内容； b) 测试评价方法：登录产品，并切换为不同用户，检查是否在执行管理功能之前要求首先进行身份认证； c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 在用户执行管理功能之前对用户进行身份鉴别； 2) 登录之前可执行操作仅有输入登录信息、查看登录帮助； 3) 用户没有切换角色而执行本角色具有权限的管理功能时，不必重新认证。 8.1.1.4.2.2　 多重鉴别 a) 评价内容：见5.1.4.2.2　的内容； b) 测试评价方法：用不同角色登录产品，检查产品是否支持对高级别用户的高强度鉴别机制； c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品至少提供两种鉴别机制； 2) 对于高级别用户，产品提供更高强度的鉴别机制。 8.1.1.4.2.3　 重鉴别 a) 评价内容：见5.1.4.2.3　的内容； b) 测试评价方法： 1) 审查产品说明书是否描述产品支持重鉴别，并获取空闲操作的阈值； 2) 登录产品并空闲操作达到阈值，然后执行管理功能，检查产品是否要求重新鉴别。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品说明书详细说明重鉴别的阈值及设置方法； 2) 登录产品后并空闲时间超过阈值后，执行管理功能时，产品要求用户重新鉴别。 8.1.1.4.3　 鉴别数据保护 a) 评价内容：见5.1.4.3　的内容； b) 测试评价方法：检查产品是否只允许授权用户查阅或修改鉴别数据； c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，产品应只允许授权用户查阅或修改鉴别数据。 8.1.1.4.4　 鉴别失败处理 a) 评价内容：见5.1.4.4　的内容； b) 测试评价方法： 1) 检查产品是否定义用户鉴别尝试的最大允许失败次数； 2) 检查产品是否定义当用户连续鉴别尝试失败达到阈值后采取的措施； 3) 尝试多次失败的用户鉴别行为，检查达到阈值后，系统是否采取相应措施并生成审计事件。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品具备定义用户鉴别尝试的最大允许失败次数的功能； 2) 产品定义了当用户鉴别尝试失败连续达到指定次数后采取的措施； 3) 当用户连续鉴别尝试失败达到阈值后，产品实施措施并将有关信息生成审计事件； 4) 最大允许失败次数仅由授权管理员设定； 5) 解除措施的权限仅超级管理员具有。 8.1.1.5　 产品升级 8.1.1.5.1　 手动升级 a) 评价内容：见5.1.5.1　的内容； b) 测试评价方法： 1) 审查产品说明书是否描述产品支持手动升级； 2) 按照产品说明书，测试产品是否可实施手动升级。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，产品应提供手动升级功能。 8.1.1.5.2　 自动升级 a) 评价内容：见5.1.5.2　的内容； b) 测试评价方法： 1) 评价者应审查产品说明书是否描述产品支持自动升级； 2) 按照产品说明书，测试产品是否可实施自动升级。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品支持自动升级功能； 2) 产品自动升级功能可对升级周期、是否提示用户、是否自动重新启动等进行设置； 3) 产品能对升级包应进行校验，防止升级包被篡改或替换。 8.1.1.5.3　 审计代理升级 a) 评价内容：见5.1.5.3　的内容； b) 测试评价方法： 1) 评价者应审查产品说明书是否描述产品支持审计代理升级； 2) 按照产品说明书，测试审计代理是否可检测中心版本，下载相应升级包，实施在线升级。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1） 产品支持审计代理升级功能； 2） 审计代理可检测中心版本，下载相应升级包，进行在线升级。 8.1.1.5.4　 升级日志记录 a) 评价内容：见5.1.5.4　的内容； b) 测试评价方法： 1） 评价者应审查产品是否可自动审计记录升级日志； 2） 评价者应审查升级日志是否包含时间、目标、目的、内容、版本等信息。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1） 产品可自动审计记录升级日志； 2） 升级日志包含时间、目标、目的、内容、版本等信息。 8.1.1.6　 联动 8.1.1.6.1　 联动支持 a) 评价内容：见5.1.6.1　的内容； b) 测试评价方法： 1) 评价者应审查产品说明书是否描述产品支持与其它产品的联动； 2) 按照产品说明书，测试产品是否可与其它产品联动。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1) 产品支持与其它产品的联动； 2) 产品为与其它产品的联动提供相应设置。 8.1.1.6.2　 联动接口 a) 评价内容：见5.1.6.2　的内容； b) 测试评价方法：评价者应审查产品说明书是否描述产品提供联动接口； c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断。产品应提供公开的联动接口。 8.1.1.7　 监管功能 a) 评价内容：见5.1.7　的内容； b) 测试评价方法： 1） 评价者应审查产品说明书，产品是否支持对安全事件的监管功能； 2） 测试产品是否可以完成监管操作。 c) 测试评价结果：记录审查结果并对该结果是否符合测试评价方法要求作出判断，应符合： 1） 产品说明书描述产品可如何完成监管功能及详细操作过程； 2） 可通过产品完成对安全事件的监管。 8.2　 自身安全 8.2.1　 自身审计数据生成 a)评价内容：见5.2.1　的内容； b) 测试评价方法