信息技术日志分析产品安全检验规范

《信息技术日志分析产品安全检验规范》由会员分享，可在线阅读，更多相关《信息技术日志分析产品安全检验规范（16页珍藏版）》请在装配图网上搜索。

1、 出处：公安部计算机信息系统安全产品质量监督检验中心作者：佚名时间：2006-06-11网址：本规范由中华人民共和国公安部公共信息网络安全监察局提出。本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。信息技术日志分析产品安全检验规范1.范围本规范规定了日志分析产品的安全功能要求和保证要求。本规范适用于日志分析产品的生产及安全功能检测。2.术语和定义2.1 审计信息泛指被审计产品作为审计处理对象的各种数据信息，包括日志以及各种安全设备产生的安全事件报告信息。2.2审计数据源用以产生审计信息的软件系统或硬件设备

2、。2.3审计中心用于完成审计信息的分析处理功能的软件程序。2.4审计代理为获取特定设备上的审计信息而运行在该设备上的软件程序。3.日志分析产品的安全功能3.1日志收集3.1.1数据源控制审计系统应该提供对审计数据源的授权控制机制，只有授权的审计数据源发送的审计信息才能被审计系统分析处理。3.1.2 获取syslog日志审计系统应支持在标准端口（udp:514）接收标准syslog日志。3.1.3基于代理的日志获取审计系统应提供代理机制获取其审计信息，如操作系统日志，安全设备报警信息等。3.1.4 数据源范围数据源至少包括：常见操作系统的系统日志；路由器，交换机日志；常见服务器日志（如FTP、W

3、EB服务器）。3.1.5 日志格式的统一安全审计系统应能对多种日志进行集中分析和处理，审计系统应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格式时不能造成字段丢失。3.1.6 日志数据的预处理审计系统应提供基于一定策略对原始日志数据进行筛选等预处理功能，预处理工作应该在将原始日志存入数据库前完成3.1.7 防止数据丢失当与审计中心连接出现故障时，要有一定的措施防止审计数据丢失。确保该时段内的各项审计日志在连接正常之后传输到审计中心。3.2日志分析管理3.2.1日志实时监视审计系统应能够对部分或者全部数据源所产生的日志进行实时监视。3.2.2审计代理状态监视审计系统应能够监视审计代

4、理的状态，运行是否正常等。3.2.3条件查询审计系统应提供基于时间、源地址、目的地址、协议类型、危险级别等字段的组合查询。3.2.4统计报表审计系统应能够手动或自动生成统计报表。至少能按各数据源生成报表。3.2.5报表格式报表应至少支持一种常用的文件格式（如HTML、XLS等），如使用专有报表格式，必须提供报表浏览工具。3.2.6 数据库支持审计数据存储应支持一个常用的数据库（如MySQL，Oracle等）。3.2.7审计数据管理应能够对审计数据进行备份/删除。3.3安全功能3.3.1管理员身份鉴别应保证只有授权管理员和可信主机才有权使用产品的管理功能，对授权管理员和可信主机应进行身份鉴别。3

5、.3.2管理员权限：a)管理员属性修改（更改密码等）；b)启动、关闭全部或部分监测功能；c)修改日志分析产品其它安全策略。3.4审计功能3.4.1审计数据生成应至少能对下列事件生成日志：a)日志分析产品的启动和关闭；b)鉴别成功和失败；c)其它重要操作，如增加、删除管理员，存档、删除、清空日志等。应在每一个日志记录中记录事件发生的日期和时间、事件描述。3.4.2 审计管理应提供下列日志管理功能：a)只允许授权管理员访问日志记录；b)提供对日志记录的查询功能；c)授权管理员能存档、删除和清空日志记录。4.日志分析产品的保证要求4.1 交付和运行4.1.1交付过程4.1.1.1 开发者行为元素：a

6、)开发者应将把日志分析产品及其部分交付给用户的程序文档化；b)开发者应使用交付程序。4.1.1.2 证据元素的内容和表示交付文档应描述，在给用户方分配日志分析产品的版本时，用以维护安全所必需的所有程序。4.1.2 安装、生成和启动程序4.1.2.1 开发者行为元素开发者应将日志分析产品安全地安装、生成和启动所必需的程序文档化。4.1.2.2 证据元素的内容和表示文档应描述日志分析产品安全地安装、生成和启动所必要的步骤。4.2 指导性文档4.2.1 管理员指南4.2.1.1 开发者行为元素开发者应当提供针对系统管理员的管理员指南。4.2.1.2 证据的内容和形式元素：a)管理员指南应当描述日志分

7、析产品管理员可使用的管理功能和接口；b)管理员指南应当描述如何以安全的方式管理日志分析产品；c)管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告；d)管理员指南应当描述所有与日志分析产品的安全运行有关的用户行为的假设；e)管理员指南应当描述所有受管理员控制的安全参数，合适时，应指明安全值；f)管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件，包括改变TSF所控制的实体的安全特性；g)管理员指南应当与为评估而提供的其他所有文档保持一致；h)管理员指南应当描述与管理员有关的IT环境的所有安全要求。4.2.2 用户指南4.2.2.1开发者行为元素开发者应当提供用户指南。

8、4.2.2.2 证据的内容和形式元素：a)用户指南应该描述日志分析产品的非管理用户可用的功能和接口；b)用户指南应该描述日志分析产品提供的用户可访问的安全功能的用法；c)用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告；d)用户指南应该清晰地阐述日志分析产品安全运行中用户所必须负的职责，包括有关在日志分析产品安全环境阐述中找得到的用户行为的假设；e)用户指南应该与为评估而提供的其它所有文档保持一致；f)用户指南应该描述与用户有关的IT环境的所有安全要求。信息技术数据库安全审计产品检验规范 出处：公安部计算机信息系统安全产品质量监督检验中心作者：佚名时间：2006-06-11

9、网址：为了规范全国数据库安全审计产品的开发与应用，保障公共信息网络安全，根据公安部公共信息网络安全监察局的要求，本规范对数据库安全审计产品提出了自身安全功能要求、安全功能要求和保证要求，作为对其进行检测的依据。本规范由中华人民共和国公安部公共信息网络安全监察局提出。本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。本规范规定了数据库安全审计产品的技术要求，提出了该类产品应具备的功能要求和安全保证要求。并根据功能和保证要求的不同将数据库安全审计产品进行了分级。本规范的目的是为数据库安全审计产品的研制、开发、测

10、评和采购提供技术支持和指导。使用符合本规范的数据库安全审计产品可对数据库操作行为进行隐蔽监视，能对事后发现的安全事件进行会话恢复，为数据库取证提供有效的工具。本规范不涉及在加密网络中使用的数据库安全审计产品。信息技术数据库安全审计产品检验规范1.范围本规范规定了在网络中使用的数据库安全审计产品的自身安全功能要求、安全功能要求和保证要求。本规范适用于数据库安全审计产品的生产及检测。2.术语和定义下列术语和定义适用于本规范：2.1 数据库安全审计数据库安全审计产品是对网络中指定数据库的使用状态进行跟踪并记录的产品。2.2 审计日志审计日志是指数据库安全审计产品自身审计产生的信息。2.3 审计记录审

11、计记录是指跟踪指定数据库的使用状态产生的信息。2.4 审计信息审计信息是指所有的审计日志和审计记录的总称。3.安全审计等级划分规范3.1自身安全功能要求3.1.1自主访问控制3.1.1.1属性定义产品应为每个管理角色规定与之相关的安全属性，例如管理角色标识、鉴别信息、隶属组、权限等。为了规范全国数据库安全审计产品的开发与应用，保障公共信息网络安全，根据公安部公共信息网络安全监察局的要求，本规范对数据库安全审计产品提出了自身安全功能要求、安全功能要求和保证要求，作为对其进行检测的依据。3.1.1.2属性初始化产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。3.1.2身份鉴别3.1

12、.2.1基本鉴别产品应在执行任何与授权管理员或用户相关功能之前鉴别授权管理员或用户的身份。3.1.2.2鉴别失败处理（扩展项）产品应能在鉴别尝试达到最大失败次数后，终止用户建立会话的过程。3.1.3 可信数据3.1.3.1远程保密传输与远程可信组件的传送过程中,安全审计产品应提供保护所有的信息数据不被泄漏的功能。3.1.3.2审计信息完整性产品应提供在各种使用情况下，保证所有审计信息完整性的功能：a)应提供防止非授权用户对审计记录或审计日志内容修改或手工添加的功能；b)应提供防止未授权的删除本地存储的审计记录或审计日志的功能。3.2安全功能要求3.2.1审计记录3.2.1.1审计记录基本内容应

13、记录数据库访问的相关信息，每一条记录内容至少应包括：访问开始时间。对于网络数据库安全审计产品，还必须对网络数据库通讯的源地址和目标地址进行记录。3.2.1.2数据库通讯信息采集应对下列数据库访问内容进行审计a)用于访问的数据库用户帐号；b)访问的数据库对象；c)数据库操作类型；d)具体数据库操作的内容。3.2.2 审计日志3.2.2.1 审计日志内容应记录安全审计产品自身的审计，记录内容至少应包括：a)管理员登陆事件。b)事件日期与时间、主体身份和事件结果（成功或失败）。3.2.2.2其他审计日志（扩展项）应记录安全审计产品自身的审计，记录内容至少应包括：a)符合表1中的所有可审计事件；b)表

14、1细节一栏中指定的附加信息。表1可审计事件事件 细节所有对审计记录或审计日志的删除或清空记录时间从审计记录或审计日志中读取信息在信息采集功能运行时所有对审计配置的修改所有鉴别机制的使用位置对角色中用户组的修改修改后的用户身份安全审计系统组件的启动与关闭3.2.3审计查阅应提供查询审计记录或审计日志的功能。3.2.4可理解的格式应使审计结果为人所理解。3.2.5 防止审计数据丢失（扩展项）3.2.5.1产品应将生成的审计记录和审计日志储存于一个永久性的介质中。3.2.5.2 当审计存储耗尽/失败/受攻击情况发生时，产品应确保审计记录和审计日志不被破坏。3.2.5.3产品应能够制定某种策略，具体处

15、理当审计存储接近最大存储空间时的情况。（例如：安全审计产品可“忽略可审计事件” 或“覆盖所存储的最早的审计记录”或“阻止产生所有可审计事件（除有特权的授权用户外）”，并发送一个告警信息。）3.2.6可选择查阅（扩展项）应提供可选择查阅工具，可供用户进行如下查询：a)应能根据3.2.1.1和3.2.1.2所列各项条件，对审计记录进行单项选择查询；b)应能根据3.2.1.1和3.2.1.2所列各项条件，对审计记录进行任意组合选择查询；c)应能对查询所得结果进行排序。3.2.7 分析结果处理（扩展项）3.2.7.1 审计跟踪管理授权管理员应能对审计记录进行创建、删除和清空。3.2.7.2 报表功能产

16、品应能根据审计记录进行统计和分析，并且能根据预先定义的模板生成报表。4.数据库安全审计产品的保证要求4.1交付和运行4.1.1交付过程4.1.1.1 开发者行为元素：a)开发者应将把数据库安全审计产品及其部分交付给用户的程序文档化；b)开发者应使用交付程序。4.1.1.2 证据元素的内容和表示交付文档应描述，在给用户方分配数据库安全审计产品的版本时，用以维护安全所必需的所有程序。4.1.2 安装、生成和启动程序4.1.2.1 开发者行为元素开发者应将数据库安全审计产品安全地安装、生成和启动所必需的程序文档化。4.1.2.2 证据元素的内容和表示文档应描述数据库安全审计产品安全地安装、生成和启动

17、所必要的步骤。4.2 指导性文档4.2.1 管理员指南4.2.1.1 开发者行为元素开发者应当提供针对系统管理员的管理员指南。4.2.1.2 证据的内容和形式元素：a)管理员指南应当描述数据库安全审计产品管理员可使用的管理功能和接口；b)管理员指南应当描述如何以安全的方式管理数据库安全审计产品；c)管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告；d)管理员指南应当描述所有与数据库安全审计产品的安全运行有关的用户行为的假设；e)管理员指南应当描述所有受管理员控制的安全参数，合适时，应指明安全值；f)管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件，包括改变TSF所

18、控制的实体的安全特性；g)管理员指南应当与为评估而提供的其他所有文档保持一致；h)管理员指南应当描述与管理员有关的IT环境的所有安全要求。4.2.2 用户指南4.2.2.1 开发者行为元素开发者应当提供用户指南。4.2.2.2 证据的内容和形式元素：a)用户指南应该描述数据库安全审计产品的非管理用户可用的功能和接口；b)用户指南应该描述数据库安全审计产品提供的用户可访问的安全功能的用法；c)用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告；d)用户指南应该清晰地阐述数据库安全审计产品安全运行中用户所必须负的职责，包括有关在数据库安全审计产品安全环境阐述中找得到的用户行为的假

19、设；e)用户指南应该与为评估而提供的其它所有文档保持一致；f)用户指南应该描述与用户有关的IT环境的所有安全要求。5.数据库安全审计产品安全技术要求的等级划分依据信息技术-数据库安全审计产品的开发、生产现状及实际应用情况，我们对数据库安全审计产品的安全功能要求划分成二个等级。数据库安全审计产品安全技术要求等级划分如表2所示。表2 安全功能等级划分判定准则基本要求：为数据库安全审计产品的最底安全级别。扩展要求：为进一步提升产品安全功能的附加要求。信息技术Web过滤防护产品安全检验规范 出处：公安部计算机信息系统安全产品质量监督检验中心作者：佚名时间：2006-06-11网址：本规范由中华人民共和

20、国公安部公共信息网络安全监察局提出。本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。信息技术Web过滤防护产品安全检验规范1 范围本规范规定了信息技术-Web过滤防护产品的安全功能要求和保证要求。本规范适用于信息技术-Web过滤防护产品的生产及检测。2 术语和定义2.1 Web过滤防护Web过滤防护是一个Web服务器上的软件。它可以过滤任何客户端对Web服务器的HTTP请求，并使用预先定义的规则允许和禁止其连接，防护Web服务器。3 信息技术-Web过滤防护的安全功能3.1 HTTP请求的过滤功能3.1.

21、1 允许/禁止HTTP各种请求应能够根据HTTP的请求类型允许或者禁止。3.1.2 HTTP协议头各个字段的长度对HTTP协议头的各部分长度进行设置，防止缓冲区溢出攻击。3.1.3 URL关键字过滤对所请求的URL中所包含的关键字进行过滤。3.1.4 后缀名过滤对所请求的WEB服务器文件后缀名进行过滤3.1.5 禁止WEB服务器的返回内容对WEB服务器返回的内容进行过滤3.1.6 所支持的网站类型至少能够支持静态网站，以及ASP、PHP、JSP等动态网站中的两个及以上3.2 管理及审计功能3.2.1 过滤规则库管理3.2.1.1 用户能根据3.1中的格式规定添加、删除、修改自定义过滤规则。3.

22、2.1.2 具有一定的设置好的初始模板。3.2.2 安全属性的设置管理员能够设置所有安全相关的属性3.2.3 审计数据生成a) 审计应包括所有被过滤的事件b) 每个事件发生的日期、时间，对方IP地址，所请求的URL，所匹配的规则3.2.4 日志清空应提供对审计事件的清空功能3.2.5 可理解的格式所有审计事件能被理解3.2.6防止审计数据丢失日志信息应存储在永久性存储介质中等4 Web过滤防护产品的保证要求4.1 交付和运行4.1.1交付过程4.1.1.1 开发者行为元素：a) 开发者应将把Web过滤防护产品及其部分交付给用户的程序文档化；b) 开发者应使用交付程序。4.1.1.2 证据元素的

23、内容和表示交付文档应描述，在给用户方分配Web过滤防护产品的版本时，用以维护安全所必需的所有程序。4.1.2 安装、生成和启动程序4.1.2.1 开发者行为元素开发者应将Web过滤防护产品安全地安装、生成和启动所必需的程序文档化。4.1.2.2 证据元素的内容和表示文档应描述Web过滤防护产品安全地安装、生成和启动所必要的步骤。4.2 指导性文档4.2.1 管理员指南4.2.1.1 开发者行为元素开发者应当提供针对系统管理员的管理员指南。4.2.1.2 证据的内容和形式元素：a) 管理员指南应当描述Web过滤防护产品管理员可使用的管理功能和接口；b) 管理员指南应当描述如何以安全的方式管理We

24、b过滤防护产品；c) 管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告；d) 管理员指南应当描述所有与Web过滤防护产品的安全运行有关的用户行为的假设；e) 管理员指南应当描述所有受管理员控制的安全参数，合适时，应指明安全值；f) 管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件，包括改变TSF所控制的实体的安全特性；g) 管理员指南应当与为评估而提供的其他所有文档保持一致；h) 管理员指南应当描述与管理员有关的IT环境的所有安全要求。4.2.2 用户指南4.2.2.1 开发者行为元素开发者应当提供用户指南。4.2.2.2 证据的内容和形式元素：a) 用户指南应该描述Web过滤防护产品的非管理用户可用的功能和接口；b) 用户指南应该描述Web过滤防护产品提供的用户可访问的安全功能的用法；c) 用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告；d) 用户指南应该清晰地阐述Web过滤防护产品安全运行中用户所必须负的职责，包括有关在Web过滤防护产品安全环境阐述中找得到的用户行为的假设；e) 用户指南应该与为评估而提供的其它所有文档保持一致；f) 用户指南应该描述与用户有关的IT环境的所有安全要求。