GBT 20945-2013 信息安全技术 信息系统安全审计产品技术要求和测试评价方法

网络审计型信息系统安全审计产品应能够审计以下事件： a) FTP通讯：

GB/T 209452013

b）HTTP通讯； c）SMTP/POP3通讯; TELNET通讯； e): 其他网络协议或应用通讯。 6.1.1.2.1.3 数据库事件审计 数据库审计型信息系统安全审计产品应能够审计以下事件： a）数据库用户操作，包括用户登录鉴别、切换用户、用户授权等； b) 数据库数据操作，包括数据的增加、删除、修改、查询等； c)3 数据库结构操作，包括新建、删除数据库或数据表等。 6.1.1.2.1.4J 应用系统事件审计 应用系统审计型信息系统安全审计产品应至少能够审计以下事件中的两种： a）用户登录、注销； 用户访问应用系统提供的服务； 用户管理应用系统； d) 应用系统出现系统资源超负荷或服务瘫痪等异常； 应用系统遭到DoS、SQL注人、跨站脚本等攻击； F) 其他应用系统事件，

风电场标准规范范本6.1.1.2.2 统讯

假息系统安全审计产品应能够以至标标识和事件类型等条件统计审让非件

6.1.1.3审计结果

6. 1,1,3.]审计记录

6.1.1.3.2统计报表

信息系统安全审计产品应能够把统计结果生成报表，并满足以下要求： ）报表包括文字和图像信息： b）报表可导出，至少支持HTML、PDF、WORD、EXCEL等文件格式中的一种

6.1.1.3.3审计查阅

a）仅授权用户能访问审计结果； b）提供审计结果查看工具； c）提供按一定的条件查询、组合查询和排序审计记录的功能

[6.1.1.4 管理控制

[6. 1. 1.4. 1图形界面

息系统安全审计产品应为用户提供配置管理的图

6.1.1.4.2事件分级

借息系统安全审计产品应能够设置事件分级策略以区分事件的安全级别，审计记录应包含事件 信息。

6.1.2自身安全功能要求

6.1.2.1用户与鉴别

6.1.2.1.1唯一性标识

偏系统安全审计产品应保证任何用户都具有全局唯一的标识。

6.1.2.1.2属性定义

信息系统安全审计产品应为每个用户规定与之相关的安全属性，包括：用户标识、鉴别信息 等。

6.1.2.1.3基本鉴别

6.1.2.1.4鉴别失败处理

6.1.2.1.5鉴别数据保护

信息系统安全审计产品应保证用户鉴别数据以非明文形式存储，不被未授权查看或修改

6.1.2.2数据传输安全

6.1.2.2.1远程管理保密

全审计产品若采用网络远程方式管理，应保证管

6.1.2.2.2时间同步

信息系统安全审计产品若由多个组件组成，应提供各组件与审计中心或时钟服务器时间同步 。

6.1.2.3数据存储安全

6.1.2.3.1存储介质

信息系统安全审计产品应将审计记录和日 审计日志存储于掉电非易失性存储介质中，

6.1.2.3.2数据库支持

6.1.2.3.3存储空间耗尽处理

.1.2.3.4数据存储完整

律计产品应将审计记录与自身审计日志存储于婴

信息系统安全审计产品不应提供对数据进行添加、修改、删除的功能或接目，防正审计记录和用身 审计日志被改。

6.1.2.4审计自志

6.1.3安全保证要求

开发者应为产品的不同版本提供唯·一的标识。

6.13.2安装、生成和启动程序

6.1.3.31非形式化功能规范

开发者应提供一个功能规范，功能规范应满足以下要求： a）使用非形式化风格来描述产品安全功能及其外部接口； b）是内在一致的； c）描述所有外部接口的用途与使用方法，适当时提供效果、例外情况和错误消息的细节； d）完备地表示产品安全功能。

6.1.3.3.2非形式化对应性证实

GB/T209452013

开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。 对于产品安全功能所表示的每个相邻对，分析应阐明，较为抽象的安全功能表示的所有相关安全 在较具体的安全功能表示中得到正确且完备地细化。

6.1.3.4 指导性文档

6.1.3.4.1管理员指南

6.1.3.4.2用户指南

开发者应提供用户指南，用户指南应与为评估而提供的其他所有文档保持一致。 用户指南应说明以下内容： a）产品的非管理员用户可使用的安全功能和接口； b）产品提供给用户的安全功能和接口的使用方法； C) 用户可获取但受安全处理环境所控制的所有功能和权限； d) 产品安全操作中用户所应承担的职责； C) 与用户有关的IT环境的所有安全要求

6.1.3.5. 1覆盖证据

开发者应提供测试覆盖的证据。 准测试覆盖证据中，应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对 应的。

6. 1.3.5.2 ± 一致性

6.2.1安全功能要求

6.2.1安全功能要求

6.2.1.1数据采集

统安全审计产品应至少能够根据审计目标设督数

GB/T20945—2013

6.2.1.2.1.1主机事件审计

6.2.1.2.1.4应用系统事件审计

6.2.1.2.2统计分析

6.2.1.2.2.1统计

信息系统安全审计产品应提供统计功能，要求如下： a）事件统计：以目标标识和事件类型等条件统计审计事件； b）流量统计：网络审计型产品至少统计TCP协议、UDP协议、网络应用等流量中的一种。 6.2.1.2.2.2关联分析 信息系统安全审计产品应能够对相互关联的事件进行综合分析。 6.2.1.2.2.3潜在危害分析 信息系统安全审计产品应提供潜在危害分析功能，设置某一事件累积发生的次数或频率超过阅值 的情况为潜在危害事件。 6.2.1.2.2.4异常事件分析 信息系统安全审计产品应至少能够分析以下异常事件中的一种： a) 用户活动异常； b) 系统资源滥用或耗尽； c) 网络应用服务超负荷； d) 网络通讯连接数剧增； c) 其他异常事件。

信息系统安全审计产品应提供统计功能，要求如下： a）事件统计：以目标标识和事件类型等条件统计审计事件； b）流量统计：网络审计型产品至少统计TCP协议、UDP协议、网络应用等流量中的一种。 6.2.1.2.2.2关联分析 信息系统安全审计产品应能够对相互关联的事件进行综合分析。 6.2.1.2.2.3潜在危害分析 信息系统安全审计产品应提供潜在危害分析功能，设置某一事件累积发生的次数或频率超过阈值 的情况为潜在危害事件。 6.2.1.2.2.4异常事件分析 信息系统安全审计产品应至少能够分析以下异常事件中的一种： a) 用户活动异常； b) 系统资源滥用或耗尽； c) 网络应用服务超负荷； 网络通讯连接数剧增； c) 其他异常事件，

6.2.1.2.2.2关联分析

6.2.1.2.2.4异常事件分

6.2.1.2.2.5扩展分析接口

信息系统安全审计产品应提供扩展分析接口 无法分析的事件

系统安全审计产品应提供扩展分析接口，用户可通过该接口利用扩展事件分析模块分析目身 的事件。

6.2.1.3审计结果

6.2.1.3.1审计记录

6.2.1,3.2 统计报表

息系统安全事计产品应能够把统计果生成报表，开满足以下要求： ）报表包括文字和图像信息：

b）报表可导出，至少支持HTML、PDF、WORD、EXCEL等文件格式中的一种。

6.2.1.3.3审计查阅

信息系统安全审计产品应提供审计结果查阅功能，并满足以下要求： a）仅授权用户能访问审计结果； b）提供审计结果查看工具； c）提供按一定的条件查询、组合查询和排序审计记录的功能

6.2.1.4管理控制

6.2.1.4.1图形界面

6.2.1.4.2事件分级

6.2.2.1.2属性定义

6.2.2.1.3用户角色

信息系统安全审计产品应设置多个用户角色并规定与之相关的权限，同时保证任何角色都具有全 局唯一的标识，

6.2.2.1.4基本鉴别

信息系统安全审计产品应保证任何用户在执行产品的安全功能前都要进行身份鉴别。若其采用网 络远程方式管理，还应对管理地址进行识别

6.2.2.1.5多重鉴别机制

信息系统安全审计产品应向用户提供除口令以外的其他身份鉴别机制，至少包括以下一种： a）电子签名或证书鉴别

b）智能IC卡鉴别； c) 指纹鉴别； 虹膜鉴别； c）其他鉴别机制

6.2.2.1.6超时锁定或注销

信息系统安全审计产品应提供用户 大超时时间仍没有在 作用户的管理会话，需要再次进行身份鉴别才 课作 最大超时时间仅由授权用户设定

6.2.2.1.7鉴别失败处理

信息系统安全审计产品应提供鉴别失败处理功能。用户连续鉴别失败达到最大失败次数后，阴 户进一步的鉴别请求。最大失败次数仅由授权川户设定。

6.2.2.1.8鉴别数据保护

信息系统安全审计产品应保证用户鉴别数据以明文形式存储，不被未授权查看或修改

6.2.2.2数据传输安全

6.2.2.2.1远程管理保率

信息系统安全审计产品若采用网络远程方式管理，应保证管理数据保密传输。

6.2.2.2.2数据传输保密

信息系统安全审计产品若由多个组件组成，应保证控制命令、采集数据等在组件间保密传输。

信息系统安全审计产品若由多个组件组成，应保证控制命令、采集数据等在组件间保密传输。

6.2.2.2.3数据传输完整性

信息系统安全审计产品若由多个组件组成，应提供一定的技术手段防止组件间传输的数据被算

6.2.2.2.4安全状态监测

信息系统安全审计产品应能够监测组件状态，包括： a）能监测自身CPU、内存、存储空间等状态； b）产品若由多个组件组成，审计中心能够监测各组件的运行状态

6.2.2.2.5审计代理安全

信息系统安全审计产品若包括软件审计代理组件，软件审计代理应能够保护自身安全，包括： a）进程具备自动加载措施，在审计目标操作系统启动时自动加载，并防止被取消自动加载； b） 进程具备保护措施，防止被强制终止； C 程序具备防卸载措施，卸载时至少提供口令保护； d）程序具备完整性检查措施，防止程序文件被算改

6.2.2.2.6分布式部署

信息系统安全审计产品应支持多级分布式部署模式，并满足以下要求： a）能够设置集中审计中心和审计分中心； b）某一审计分中心异常不影响集中审计中心和其他审计分中心正常运行：

信息系统安全审计产品应支持多级分布式部署模式，并满足以下要求： a）能够设置集中审计中心和审计分中心； b）某一审计分中心异常不影响集中审计中心和其他审计分中心正常运行：

CB/T 209452013

c）集中审计中心能够对审计分中心下发数据采集策略； d）集中审计中心能够收集审计分中心上传的审计记录，记录中包括审计分中心标识 e）集中审计中心能够对上传的各审计分中心采集的数据进行集中统计分析

6.2.2.2.7时间同步

信息系统安全审计产品若由多个组件组成，应提供各组件与审计中心或时钟服务器时间同步 能

6.2.2.3数据存储安全

6.2.2.3.1存储介质

6.2.2.3.2数据库支持

6.2.2.3.3备份与恢复

信息系统安全审计产品应提供审计记录的备份恢复功能，并满足以下要求： a 能够对指定时间段的数据进行备份； b）备份出的数据文件采取保护措施，防止被未授权查看； C）能够根据备份文件恢复数据

6.2.2.3.4数据删除

信息系统安全审计产品应提供审计记录和自身审计日志的删除功能，并满足以下要求： a）不应提供有选择性地手动删除审计记录和自身审计日志的功能； b）能够设置审计记录和自身审计日志的保存时限，自动删除超过保存时限的数据： C）若产品为软件，卸载时能够删除审计记录利自身审计日志或提醒用户除

6.2.2.3.5存储空间耗尽处理

信息系统安全计产品应提供数 当剩余存储空间低于阅值时进行售警 在存储空间耗尽前，能够采用自动转储等方 备份到基他荐储空间

6.2.2.3.6数据存储完整性

信息系统安全审计产品不应提供对数据进行添加、修改、删除的功能或接口，防止审计记录和自 计日志被算改。

6.2.2.4审计且志

信息系统安全审计产品应能够生成自身审计日志，包括以下事件： a）身份鉴别，包括成功和失败； b)[ 因鉴别失败次数超过了阈值而采取的禁止进一步尝试的措施： c) 用户的增加、删除、修改； d）审计策略的增加、珊除、修改； e）时间围步：

f）软件审计代理的卸载； g) 超过保存时限的审计记录和自身审计日志的自动删除 h) 审计日志和审计记录的备份与恢复； i） 存储空间达到阅值报警； ）其他事件。 自身审计日志内容应包括日期时间、事件主体、事件客体、事

6.2.3安全保证要求

6.2.3.1配置管理

6.2.3.1.1配置管理能力

6.2.3.1.1.1版本号

开发者应为产品的不同版本提供唯一的标识，

发者应为产品的不同版本提供唯一的标识。

6.2.3.1.1.2配置项

开发者应使用配暨管理系统并提供配置管理文档。 配置管理文档应包括一个配置清单，配置清单应唯一标识组成产品的所有配置项并对配置项进行 描述，还应描述对配置项给出难标识的方法，并提供所有的配置项得到有效维护的证据。 6.2.3.1.1.3授权控制 开发者据供的配置管理文档应包括一个配置管理计划配置管理计划应描述如何使用配置管理系

6.2.3.1.1.3授权控制 开发者提供的配置管理文档应包括一个配置管理计划，配置管理计划应描述如何使用配置管理系 统。实施的配置管理应与配置管理计划相一致。 开发者应提供所有的配置项得到有效地维护的证据，并应保证只有经过授权才能修改配置项

6.2.3.1.1.3授权控制

6.2.3.1.2配置管理覆盖

配置管理范围至少应包括产品交付与运行文档、开发文档、指导性文档、生命周期支持文档、测试文 档、脆弱性分析文档和配置管理文档，从而确保它们的修改是在一个正确授权的可控方式下进行的。 配置管理文档至少应能跟踪上述内容，并描述配暨管理系统是如何跟踪这些配置项的，

6.2.3.2交付与运行

6.23.2.1交付程序

开发者应使用一定的交付程序交付产品，并将交付过程文档化。 交付文档应描述在给用户方交付产品的各版本时，为维护安全所必需的所有程序。

6.2.3.2.2安装、生成和启动程序

6.2.3.3.1非形式化功能规范

b）是内在一致的； c）描述所有外部接口的用途与使用方法，适当时提供效果、例外情况和错误消息的细节 d）完备地表示产品安全功能。

6.2.3.3.2高层设计

6.2.3.3.2.1描述性高层设计

开发者应提供产品安全功能的高层设计，高层设计应满足以下要求： a）表示是非形式化的； b）是内在一致的； c 按子系统描述安全功能的结构； d）描述每个安全功能子系统所提供的安全功能性； c） 标识安全功能所要求的任何基础性的硬件、固件或软件，以及在这些硬件、固件或软件中实现 的支持性保护机制所提供功能的一个表示； f) 标识安全功能子系统的所有接口； g）标识安全功能子系统的哪些接口是外部可见的。 6.2.3.3.2.2 2安全加强的高层设计 开发者提供的安全加强的高层设计应满足以下要求： a）描述产品的功能子系统所有接口的用途与使用方法，适当时提供效果、例外情况和错误消息的 细节； b）把产品分成安全策略实施和其他子系统来描述。 6.2.3.3.3非形式化对应性证实 开发者应在产品安全功能表示的所有相邻对之间提供对应性分析。 对于产品安全功能所表示的每个相邻对螺栓标准，分析应阐明，较为抽象的安全功能表示的所有相关安全功 能在较具体的安全功能表示中得到正确且完备地细化

6.2.3.4指导性文档

6.2.3.4.1管理员指南

管理员指南应说明以下内容： a) 管理员可使用的管理功能和接口； b) 怎样安全地管理产品； c) 在安全处理环境中应被控制的功能和权限； d) 所有对与产品的安全操作有关的用户行为的假设； c) 所有受管理员控制的安全参数，如果可能，指明安全值； f) 每一种与管理功能有关的安全相关事件，包括对安全功能所控制实体的安全特性进行的改变 ）所有与管理员有关的IT环境安全要求。

6.2.3.4.2用户指南

城市轨道标准规范范本用户指南应说明以下内容： a）产品的非管理员用户可使用的安全功能和接口； b）产品提供给用户的安全功能和接口的使用方法； c）用户可获取但受安全处理环境所控制的所有功能和权限； d）产品安全操作中用户所应承担的职责； e）与用户有关的IT环境的所有安全要求

6.2.3.5生命周期支持

开发者应提供开发安全文档。 开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的保密性和完整性所必需的所 有物理的、程序的、人员的和其他方面的安全措施，并应提供在产品的开发和维护过程中执行安全措施 的证据。