收藏
下载资源 加入VIP免费专享

信息安全技术要求和测试评价方法.docx

上传人:牧羊曲112 文档编号:1666663 上传时间:2022-12-13 格式:DOCX 页数:38 大小:103.15KB
返回 下载 相关 举报
信息安全技术要求和测试评价方法.docx_第1页
第1页 / 共38页
信息安全技术要求和测试评价方法.docx_第2页
第2页 / 共38页
信息安全技术要求和测试评价方法.docx_第3页
第3页 / 共38页
信息安全技术要求和测试评价方法.docx_第4页
第4页 / 共38页
信息安全技术要求和测试评价方法.docx_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《信息安全技术要求和测试评价方法.docx》由会员分享,可在线阅读,更多相关《信息安全技术要求和测试评价方法.docx(38页珍藏版)》请在三一办公上搜索。

1、GB国家质量监督检验检疫总局发布-实施-发布信息安全技术信息系统安全审计产品技术要求和测试评价方法Technical requirements and testing and evaluation techniques for information system security audit products(征求意见稿)GB/T 中华人民共和国国家标准ICS beijing目 次前 言II引 言III1 范围12 规范性引用文件13 术语和定义及记法13.1 术语和定义13.2 记法24 安全审计产品分级24.1 基本型24.2 增强型25 功能要求25.1 安全功能要求25.2 自身安全

2、要求76 性能要求76.1 稳定性86.2 资源占用86.3 网络影响86.4 吞吐量87 保证要求87.1 配置管理保证87.2 交付与运行保证87.3 指导性文档87.4 测试保证87.5 脆弱性分析保证97.6 生命周期支持98 测评方法98.1 产品功能98.2 自身安全198.3 产品性能208.4 保证要求20附录A24A.1 安全审计流程24A.2 审计跟踪涵盖的阶段24A.2.1 事件采集阶段24A.2.2 事件处理阶段24A.2.3 事件响应阶段24前 言本标准由公安部提出。本标准由全国信息安全标准化技术委员会归口。本标准由公安部十一局、北京中科网威信息技术有限公司、中华人民

3、共和国公安部第三研究所、上海汉邦京泰数码技术有限公司负责起草。本标准主要起草人:肖江、叶小列、刘宝旭、王晓箴、朱建平、沈亮、陆中威、王贤蔚、王鸣。本标准委托中华人民共和国公安部第三研究所负责解释。本标准的附录A是资料性附录。引 言安全审计产品能为信息系统风险评估、安全策略的制定提供强有力的数据支撑,针对信息系统的违规行为进行监测并提供事件追溯的依据。安全审计产品不仅能对信息系统各组成要素进行事件采集;还可将采集数据进行系统分析,并形成可自定义的报告,降低网络安全管理成本,保障信息系统的正常运行。本标准规定了安全审计产品的基本技术要求和扩展技术要求,提出了该类产品应达到的安全目标,并给出了该类产

4、品的基本功能、增强功能和安全保证要求。本标准规定了安全审计产品的测评方法,包括安全审计产品测评的内容,测评功能目标及测试环境,给出了产品基本功能、增强功能和安全保证要求必须达到的具体目标。本标准的目的是指导设计者如何设计和实现安全审计产品,并为安全审计产品的测评和应用提供技术支持和指导。信息安全技术 信息系统 安全审计产品技术要求和测试评价方法1 范围本标准规定了安全审计产品技术要求和测评方法。本标准适用于对信息系统各客体进行审计事件采集、处理、分析,并提供审计报告、报警、响应及审计数据记录、备份的安全产品的开发、测评和应用。2 规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款

5、。凡是注日期的引用文件,其随后所有的修改单(不包含勘误的内容)或者修订版均不适合于本标准,但鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 5271.82001 信息系统 词汇 第8部分:安全GB/T 18336(所有部分) 信息技术 安全技术 信息技术安全性评估准则3 术语和定义及记法GB 17859-1999、GB/T 5271.82001和GB/T 18336-2001确立的及以下术语和定义适用于本标准。 3.1 术语和定义 3.1.1安全审计 secur

6、ity audit对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应响应动作。3.1.2事件辨别器 event discriminator提供事件最初的识别并决定是否向审计记录器传送该事件消息和产生审计报警的功能部件。3.1.3审计记录器 audit recorder产生审计记录并将记录保存在本地或远程系统的功能部件。3.1.4审计分析器 audit analyzer检查审计记录,以确认是否需要产生审计报警及采取相应行动的功能部件,对分析结果进行数据汇总,发送至报表生成器。3.1.5报表生成器 report processor根据数据分析结论,进行报告处理,生成相关

7、报告的功能部件。3.1.6报警处理器 alarm processor 接受审计报警请求并产生响应动作的功能部件。3.1.7审计跟踪检阅器 audit trail examiner用来检阅审计记录并产生分析报告的功能部件。3.1.8审计备份器 audit archiver根据授权管理员的要求将审计记录的全部或部分备份到安全存储介质的功能部件。3.1.9审计代理 audit agent安全审计系统中完成审计数据采集、鉴别并向审计跟踪记录中心发送审计消息的功能部件,包括软件代理和硬件代理。3.1.10审计跟踪记录中心 audit trail center安全审计系统中负责接收各审计代理发送的审计消息

8、并对消息进行记录、分析、报警、生成报告和备份的功能部件。3.1.11授权管理员 authorized administrator可管理安全审计产品组件的授权用户。3.1.12嗅探 sniffing对网络线路上传送的数据包进行捕获以获得信息的行为。3.1.13入侵 intrusion 任何企图危害资源保密性、完整性或可用性的行为。3.2 记法本标准中所用记法,采用符号【】内加文字表示,区别不同级别的产品,用【基本型】和【增强型】表示安全审计产品的2个级别。未标注【基本型】或【增强型】的要求及方法适用于全部安全审计产品。 4 安全审计产品分级4.1 基本型对主机、服务器、网络、数据库管理系统、应用

9、系统等客体采集对象进行审计,并对审计事件进行分析和响应的安全审计产品。4.2 增强型对主机、服务器、网络、数据库管理系统、应用系统中至少两类客体采集对象进行审计,并对审计事件进行关联分析与响应的安全审计产品。5 功能要求5.1 安全功能要求5.1.1 审计跟踪5.1.1.1 审计事件生成5.1.1.1.1 审计数据采集【基本型】产品至少应包括以下一类采集范围,【增强型】产品至少应包括以下两类采集范围:a) 主机、服务器审计数据采集:1) 目标主机的启动和关闭;2) 目标主机的日志;3) 目标主机的软、硬件信息;4) 目标主机的外围设备使用;5) 目标主机的文件使用;6) 目标主机网络连接。b)

10、 网络审计数据采集:1) 网络协议;2) 入侵行为;3) 网络流量。c) 数据库管理系统审计数据采集:1) 数据库数据操作;2) 数据库结构操作;3) 数据库用户更改。d) 应用系统审计数据采集:1) 目标应用系统日志;2) 目标应用系统操作。e) 其它审计数据采集:1) 网络设备日志;2) 其它系统审计记录。5.1.1.1.2 用户身份关联产品应将可审计的事件与引起该事件的用户身份相关联。5.1.1.1.3 紧急事件报警对于系统安全策略定义的紧急事件,产品应直接向报警处理器发送报警消息。5.1.1.1.4 审计数据生成效率产品应在实际的系统环境和网络带宽下实时的进行审计数据生成。5.1.1.

11、1.5 事件鉴别扩展接口【增强型】产品应提供一个功能接口,对其自身无法鉴别的安全事件,用户可通过该接口,将扩展的事件鉴别模块以插件的形式接入事件辨别器。5.1.1.2 审计记录5.1.1.2.1 可理解的格式产品应按照事件的分类和级别,采用可理解的格式生成包含以下内容的审计记录:a) 事件ID;b) 事件主体;c) 事件客体;d) 事件发生的日期和时间;e) 事件类型;f) 事件的级别;g) 主体身份;h) 事件的结果(成功或失败)。产品应通过采用通用的、标准的审计数据格式,将不同应用系统产生的审计数据按照统一的标准化格式进行组织和存储。5.1.1.2.2 数据库支持产品应支持至少一种主流数据

12、库,将审计记录存放到数据库中,方便用户查阅、检索和统计分析。5.1.1.2.3 数据安全存储产品应对产生的审计记录数据进行保护,防止其被泄漏或篡改。5.1.1.3 审计分析5.1.1.3.1 潜在危害产品应提供一个审计事件集合。当这些事件的发生、累计发生次数或发生频率超过设定的阈值时,表明信息系统出现了可能的潜在危害。针对这些事件集合,应有一个固定的规则集,利用该规则集对信息系统的潜在危害进行分析。审计事件集合应可定制。5.1.1.3.2 异常事件和行为产品应维护一个与被审计信息系统相关的异常事件集合。当这些异常事件发生时表明被审计信息系统产生了潜在或实际的危害与攻击。异常事件集合应可定制。产

13、品应对异常事件和行为进行分析处理,例如:a) 用户活动异常;b) 系统资源滥用或耗尽;c) 网络应用服务超负荷;d) 网络通信连接数剧增。5.1.1.3.3 复杂行为产品应对复杂行为进行以下操作:a) 【基本型】:1) 对不规则或频繁出现的事件进行统计分析;2) 对相互关联的事件进行综合分析和判断;3) 向授权用户提供自定义匹配模式。b) 【增强型】:1) 满足【基本型】的要求;2) 多审计功能协作审计;3) 各审计功能关联分析。5.1.1.3.4 审计分析接口【增强型】产品应提供审计分析接口,便于用户开发或选择不同的审计分析模块以增强自身的审计分析能力。5.1.1.3.5 系统报警消息当审计

14、分析器的分析表明信息系统出现潜在危害、异常事件以及攻击行为时,产品应向报警处理器发送报警消息或者生成特殊的审计记录。报警消息应具有可理解的格式并包含下列内容:a) 事件ID;b) 事件主体;c) 事件客体;d) 事件发生时间;e) 事件危险级别;f) 事件描述;g) 事件结果(成功或失败)。5.1.1.3.6 审计分析报告a) 产品应至少支持按关键字生成、按模块功能生成、按危害等级生成、按自定义格式生成等分析报告生成方式;b) 报告内容应至少支持文字、图象两种描述方式;c) 审计数据报告生成格式应至少支持txt、html、doc、xls等文件格式。5.1.1.4 事件响应安全审计产品可对事件辨

15、别器和审计分析器发送的报警消息采取相应的响应动作。5.1.1.4.1 产生报警产品应产生报警,报警方式至少包含以下方式中的两种:a) 向中央控制台发送报警消息;b) 向系统管理员发送报警邮件;c) 向网管中心发送SNMP、Trap消息;d) 向声光电发生装置发送声光电信号;e) 向网管人员发送SMS短消息。5.1.1.4.2 响应方式产品应采取相应响应方式,以保证信息系统以及自身的安全。应采取下列至少一种形式的响应方式:a) 对策略中标记为阻断的攻击进行阻断;b) 调用授权管理员预定义的操作或应用程序;c) 向其它网络产品发送互动信号,进行联合行动的协商和执行。5.1.1.5 审计查阅5.1.

16、1.5.1 常规查阅产品应为授权管理员提供查阅审计记录的功能,查阅的结果应以用户易于理解的方式和格式提供,并且能生成报告和进行打印。5.1.1.5.2 有限查阅产品应确保除授权管理员之外,其他用户无权对审计记录进行查阅。5.1.1.5.3 可选查阅产品应为授权管理员提供将审计记录按一定的条件进行选择、搜索、分类和排序的功能,所得结果应以用户友好的、便于理解的形式提供报告或打印。5.1.1.6 审计记录存储5.1.1.6.1 安全保护产品应至少采取一种安全机制,保护审计记录数据免遭未经授权的删除或修改,如采取严格的身份鉴别机制和适合的文件读写权限等。任何对审计记录数据的删除或修改都应生成系统自身

17、安全审计记录。5.1.1.6.2 可用性保证在审计存储空间耗尽、遭受攻击等异常情况下,产品应采取相应措施保证已存储的审计记录数据的可用性。5.1.1.6.3 保存时限产品应提供设置审计记录保存时限的最低值功能,用户可根据自身需要设定记录保存时间。产品应设定缺省保存时间,至少为两个月。5.1.1.7 审计策略5.1.1.7.1 事件分类和分级产品应对可审计跟踪的事件按用户可理解的方式进行分类,方便用户浏览和策略定制。同时应将可审计事件的重要程度划分为不同的级别,对不同级别的事件采取不同的处理方式。5.1.1.7.2 缺省策略产品应设置系统缺省策略,对可审计事件进行审计。5.1.1.7.3 策略模

18、板产品应为用户提供多套策略模板,使用户可根据具体的信息系统要求选择最适宜的审计策略,对可审计事件进行审计。5.1.1.7.4 策略定制产品应使用户可自主定制适合本地实际环境的审计策略。5.1.2 审计数据保护5.1.2.1 数据传输控制审计代理与审计跟踪记录中心相互传输审计记录数据及配置和控制信息时,产品应确保只有授权管理员能决定数据传输的启动或终止。5.1.2.2 数据传输安全【增强型】产品在审计代理与审计跟踪记录中心相互传输审计记录数据及配置和控制信息时,应保证传输的数据不被泄漏或篡改,保证传输错误或异常中断的情况下能重发数据。5.1.3 安全管理5.1.3.1 管理角色产品应为管理角色进

19、行分级,使不同级别的管理角色具有不同的管理权限。管理角色应至少分为以下三种:a) 管理员管理员身份用户可对审计产品本身进行管理、下发审计策略、处理实时报警信息。b) 日志查看员可对具体日志进行查看、分析、处理,并可使用审计分析器及报告生成器。c) 审计日志查看员可对管理员用户及日志查看员用户对审计系统的操作进行审计。5.1.3.2 操作审计产品应对不同管理角色在管理期间的全部活动生成相应的审计记录。这些记录用来在系统遭到破坏时进行事故分析,并为行为的追溯提供依据。5.1.3.3 安全状态监测 管理员能实时获取网络安全状态信息,监测产品的运行情况,并对其产生的日志和报警信息进行汇总和统一分析。5

20、.1.4 标识和鉴别5.1.4.1 管理角色属性产品应为每个管理角色规定与之相关的安全属性,如管理角色标识、鉴别信息、隶属组、权限等,并提供使用默认值对创建的每个管理角色的属性进行初始化的功能。5.1.4.2 身份鉴别5.1.4.2.1 用户鉴别在某个管理角色需要执行管理功能之前,产品应对该管理角色的身份进行鉴别。5.1.4.2.2 多重鉴别产品应根据不同管理角色的管理职责和权限采用不同的身份鉴别机制。5.1.4.2.3 重鉴别当已通过身份鉴别的管理角色空闲操作的时间超过规定值,在该管理角色需要执行管理功能前,产品应对该管理角色的身份重新进行鉴别。5.1.4.3 鉴别数据保护产品应保证鉴别数据

21、不被未授权查阅或修改。5.1.4.4 鉴别失败处理产品应为管理员登录设定一个授权管理员可修改的鉴别尝试阈值,当管理员的不成功登录尝试超过阈值,系统应通过技术手段阻止管理员的进一步鉴别请求,如帐号失效一段时间,锁定该管理员帐号直至超级管理员恢复该管理员的被鉴别能力等。5.1.5 产品升级5.1.5.1 手动升级授权管理员能定期对产品进行手动的升级,如更新匹配规则库、策略文件以及服务程序等。授权管理员取得升级包后,能按照升级说明文件的要求,对系统进行升级。5.1.5.2 自动升级产品应定期检查相关升级网站,自动下载系统升级包,下载完毕后自动运行升级程序进行升级。升级过程中可暂时终止系统服务程序的运

22、行,升级完成后应重新启动服务程序,按照原有的策略继续运行。自动升级应采取身份验证、数字签名等手段避免得到错误或伪造的系统升级包。5.1.5.3 审计代理升级分布式审计所包含的各审计代理应支持自动检测审计中心版本,自动下载升级包,进行升级。5.1.5.4 升级日志记录产品应自动审计记录升级日志。升级日志至少应包含时间、目标、目的、内容、版本等信息。5.1.6 联动要求5.1.6.1 联动支持【增强型】产品应与当前主流的其它类型的安全产品以相互确认的协议或通讯方式交流审计信息,采取联合行动以加固或保护被审计信息系统。5.1.6.2 联动接口【增强型】产品应至少提供一个标准的、开放的接口,能按照该接

23、口规范为其它类型安全产品编写相应的程序模块,达到与其联动的目的。5.1.7 监管要求【增强型】产品可兼具监管功能。部分安全事件可通过使用监管功能进行管理。5.2 自身安全要求5.2.1 自身审计数据生成产品应对与自身安全相关的以下事件生成审计记录:a) 对产品进行操作的尝试,如关闭审计功能或子系统;b) 产品管理员的登录和注销;c) 对安全策略进行更改的操作;d) 对鉴别机制的使用;e) 读取、修改、破坏审计跟踪数据的尝试;f) 因鉴别尝试不成功的次数超出了设定的限值,导致的会话连接终止;g) 对管理角色进行增加,删除和属性修改的操作;h) 对安全功能配置参数的修改(设置和更新),无论成功与否

24、。5.2.2 自身安全审计记录独立存放产品应将自身安全审计记录与被审计的目标信息系统的审计记录分开保存到不同的记录文件或数据库(或同一数据库的不同表)中,方便用户查阅和分析。5.2.3 审计代理安全a) 硬件代理应具备抗病毒、入侵攻击的能力。b) 软件代理应具备自保护能力,使用专用卸载程序对软件代理进行卸载时应提供密码保护,除专用卸载程序外用户不可手工删除、停用。c) 审计跟踪记录中心应提供检测信息系统是否已安装软件代理的功能。若未安装软件代理,将产生报警。5.2.4 产品卸载安全卸载产品时,应采用相关技术对产品中保存的审计数据进行删除,或提醒用户删除。5.2.5 系统时间安全产品应提供同步审

25、计代理与审计跟踪记录中心时间的功能,并应同时自动记录审计代理与审计跟踪记录中心的时间。5.2.6 系统部署安全【增强型】产品应支持多级分布式部署模式,保证安全审计系统某分中心遭受攻击、通讯异常等问题时产品正常运行。6 性能要求6.1 稳定性软件代理在宿主操作系统上应工作稳定,不应造成宿主机崩溃情况。硬件代理产品在与产品设计相适应的网络带宽下应运行稳定。6.2 资源占用软件代理的运行对宿主机资源,如CPU、内存空间和存储空间的占用,不应超过宿主机的承受能力。不应影响对宿主机合法的用户登录和资源访问。6.3 网络影响产品的运行不应对原网络正常通讯产生明显影响。6.4 吞吐量产品应有足够的吞吐量,保

26、证对被审计信息系统接受和发送的海量数据的控制。在大流量的情况下,产品应通过自身调节做到动态负载均衡。7 保证要求7.1 配置管理保证7.1.1 开发商应使用配置管理系统,为产品的不同版本提供唯一的标识。7.1.2 开发者应针对不同用户提供唯一的授权标识。7.1.3 要求配置项应有唯一标识。7.1.4 开发商应提供配置管理文档。7.2 交付与运行保证7.2.1 开发商应确保产品的交付、安装、配置和使用是可控的。7.2.2 开发商应以文件方式说明产品的安装,配置和启动的过程。7.2.3 用户手册应详尽描述产品的安装,配置和启动运行所必需的基本步骤。7.2.4 上述过程中不应向非产品使用者提供网络拓

27、扑信息。7.3 指导性文档7.3.1 管理员指南a) 开发商应提供针对产品管理员的管理员指南。b) 管理员指南应描述管理员可使用的管理功能和接口。c) 管理员指南应描述怎样以安全的方式管理产品。d) 对于在安全处理环境中必须进行控制的功能和特权,管理员指南应提出相应的警告。e) 管理员指南应描述所有受管理员控制的安全参数,并给出合适的参数值。f) 管理员指南应包含安全功能如何相互作用的指导。g) 管理员指南应包含怎样安全配置产品的指令。h) 管理员指南应描述在产品的安全安装过程中可能要使用的所有配置选项。i) 管理员指南应充分描述与安全管理相关的详细过程。j) 管理员指南应能指导用户在产品的安

28、装过程中产生一个安全的配置。7.3.2 用户指南a) 开发商应提供用户指南。b) 用户指南应描述非管理员用户可用的功能和接口。c) 用户指南应包含使用产品提供的安全功能和指导。d) 用户指南应清晰地阐述产品安全运行中用户所必须负的职责,包含产品在安全使用环境中对用户行为的假设。7.4 测试保证7.4.1 功能测试a) 开发商应测试产品的功能,并记录结果。b) 开发商在提供产品时应同时提供该产品的测试文档。c) 测试文档应由测试计划、测试过程描述和测试结果组成。d) 测试文档应确定将要测试的产品功能,并描述将要达到的测试目标。e) 测试过程的描述应确定将要进行的测试,并描述测试每一安全功能的实际

29、情况。f) 测试文档的测试结果应给出每一项测试的预期结果。g) 开发商的测试结果应证明每一项安全功能和设计目标相符。7.4.2 测试覆盖面分析报告a) 开发商应提供对产品测试覆盖范围的分析报告。b) 测试覆盖面分析报告应证明测试文件中确定的测试项目可覆盖产品的所有安全功能。7.4.3 测试深度分析报告a) 开发商应提供对产品的测试深度的分析报告。b) 测试深度分析报告应证明测试文件中确定的测试能充分表明产品的运行符合安全功能规范。7.4.4 独立性测试开发商应提供用于适合测试的部件,且提供的测试集合应与其自测产品功能时使用的测试集合相一致。7.5 脆弱性分析保证7.5.1 指南检查a) 开发者

30、应提供指南性文档。b) 在指南性文档中,应确定对产品的所有可能的操作方式(包含失败和操作 失误后的操作)、它们的后果以及对于保持安全操作的意义。指南性文档中还应列出所有目标环境的假设以及所有外部安全措施(包含外部程序的、物理的或人员的控制)的要求。指南性文档应是完整的、清晰的、一致的、合理的。7.5.2 脆弱性分析a) 开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档。对被确定的脆弱性,开发者应明确记录采取的措施。b) 对每一条脆弱性,应有证据显示在使用产品的环境中该脆弱性不能被利用。在文档中,还需证明经过标识脆弱性的产品可以抵御明显的穿透性攻击。c) 脆弱性分

31、析文档应明确指出产品已知的安全隐患、能够侵犯产品的已知方法以及如何避免这些隐患被利用。7.6 生命周期支持a) 开发者应提供开发安全文件。b) 开发安全文件应描述在产品的开发环境中,为保护产品设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施。开发安全文件还应提供在产品的开发和维护过程中执行安全措施的证据。8 测评方法8.1 产品功能8.1.1 安全功能8.1.1.1 审计跟踪8.1.1.1.1 审计事件生成8.1.1.1.1.1 审计数据生成a) 评价内容:见5.1.1.1.1的内容;b) 测试评价方法:1) 主机、服务器审计测试:启动和关闭目标主机,审

32、查审计记录;审查目标主机的日志审计记录;审查目标主机的软、硬件信息审计记录;模拟使用目标主机的外围设备,审查审计记录;模拟使用目标主机文件,审查审计记录;从目标主机进行网络连接,审查审计记录。2) 网络审计测试:从目标主机发起服务请求,审查审计记录;模拟网络入侵行为,进行审计记录;向网络上发送大量畸形数据包造成网络流量加大,审查审计记录。3) 数据库管理系统审计测试:模拟进行数据库数据操作,审查审计记录;模拟更改数据库结构,审查审计记录;模拟更改数据库用户,审查审计记录。4) 应用系统审计测试:审查目标应用系统日志审计记录;进行目标应用系统操作,审查审计记录。5) 其它审计测试:审查网络设备日

33、志审计记录;审查其它系统审计记录;c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:1) 【基本型】至少符合以上五类其中一项测试要求,【增强型】至少符合其中两项测试要求;2) 对每一个测试都产生正确的审计记录;3) 产生的审计记录与事件存在明确的对应关系。8.1.1.1.1.2 用户身份关联a) 评价内容:见5.1.1.1.2的内容;b) 测试评价方法:1) 用不同用户身份登录系统进行操作;2) 检查审计记录。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断。审计记录应能区别不同用户行为。8.1.1.1.1.3 紧急事件报警a) 评价

34、内容:见5.1.1.1.3的内容;b) 测试评价方法:1) 检查系统配置是否支持紧急事件定义;2) 生成紧急事件;3) 检查审计记录;4) 检查报警处理器是否收到报警信息。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:1) 系统配置应支持紧急事件定义;2) 审计记录应能准确记录紧急事件;3) 报警处理器应能收到并处理紧急事件。8.1.1.1.1.4 审计数据生成效率a) 评价内容:见5.1.1.1.4的内容;b) 测试评价方法:1) 将产品部署在测试环境;2) 生成约占网络带宽70%左右的背景流量;3) 检查审计跟踪检验器。c) 测试评价结果:记录审查结果

35、并对该结果是否符合测试评价方法要求作出判断。审计数据应能实时生成。8.1.1.1.1.5 事件鉴别扩展接口a) 评价内容:见5.1.1.1.5的内容;b) 测试评价方法:1) 检查事件定义模块;2) 自定义安全事件模块。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:1) 产品支持自定义的安全事件;2) 产品能检测自定义的安全事件。8.1.1.1.2 审计记录8.1.1.1.2.1 审计记录格式a) 评价内容:见5.1.1.2.1的内容;b) 测试评价方法:评价者应审查审计记录中是否包含事件ID、事件发生的日期和时间、事件类型、事件级别、事件主体和事件结果;

36、c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,审计记录应详细、完整、容易理解。8.1.1.1.2.2 数据库支持a) 评价内容:见5.1.1.2.2的内容;b) 测试评价方法:评价者应审查产品是否支持产品说明手册声称支持的数据库类型,支持的数据库类型至少包含一种主流数据库,如SQL Server、Oracle等;c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断。产品支持的数据库类型至少包含一种主流数据库。8.1.1.1.2.3 审计记录数据安全存储a) 评价内容:见5.1.1.2.3的内容;b) 测试评价方法: 种功能进行了确定了以 1)

37、评价者应审查产品说明手册声称的审计记录安全措施;2) 对声称的措施进行核实。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断。产品应对产生的审计记录数据进行保护。8.1.1.1.3 审计分析8.1.1.1.3.1 潜在危害a) 评价内容:见5.1.1.3.1的内容;b) 测试评价方法:1) 评价者应检查审计事件集合;2) 评价者应检查事件报警触发条件。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:1) 审计事件集合分类清晰;2) 事件报警触发条件合理;3) 审计事件及报警触发条件可订制。8.1.1.1.3.2 异常事件和行为a)评

38、价内容:见5.1.1.3.2的内容;b) 测试评价方法:1) 用户越权访问,审查审计记录;2) 耗尽系统资源,审查审计记录;3) 网络应用服务超负荷,审查审计记录;4) 建立大量网络通信连接,审查审计记录。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:1) 对每一个测试产生正确的审计记录;2) 产生的审计记录与事件存在明确的对应关系。8.1.1.1.3.3 复杂行为a) 评价内容:见5.1.1.3.3的内容;b) 测试评价方法:1) 【基本型】测试评价:评价者应审查产品手册产品是否具有概率统计分析能力并验证;评价者应审查产品手册产品是否具有关联分析能力并验

39、证;评价者应审查产品手册产品是否提供自定义匹配模式并验证。2) 【增强型】测试评价:进行与【基本型】相同的测试;评价者应审查多审计功能协作审计的能力;评价者应审查各审计功能是否可关联分析。c) 测试评价结果:1) 【基本型】测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:产品对不规则或频繁出现的事件能进行统计分析;产品对相互关联的事件能利用关联分析相关技术进行综合分析和判断;产品能向授权用户提供自定义匹配模式。2) 【增强型】测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:产品满足【基本型】相应的要求;各审计功能之间可协同工作;可进行

40、关联分析形成最终报表。8.1.1.1.3.4 审计分析接口a) 评价内容:见5.1.1.3.4的内容;b) 测试评价方法: 1) 查看产品说明手册是否包含提供审计分析接口的说明;2) 对审计分析接口进行测试,是否可选择不同的审计分析模块。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:1) 产品应提供审计分析接口;2) 审计分析接口设计灵活,使用户可选择不同的审计分析模块。8.1.1.1.3.5 审计报警信息a) 评价内容:见5.1.1.3.5的内容;b) 测试评价方法:1) 评价者应审查产品的报警信息是否详细、完整、容易理解;2) 评价者应审查产品的报警信

41、息是否包含以下内容:事件ID、事件主体、事件客体、事件发生时间、事件危险级别及事件描述。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,评价者审查内容应包含以上两方面。8.1.1.1.3.6 审计分析报告a) 评价内容:见5.1.1.3.6的内容;b) 测试评价方法:1) 产品的生成报告是否详细、完整、容易理解;2) 评价者应审查产品是否能支持按关键字生成、按模块功能生成、按危害等级生成、按自定义格式生成等方式生成审计分析报告;3) 评价者应审查产品是否能支持文字、图象两种描述方式;4) 评价者应审查审计数据报告是否能支持txt、html、doc、xls等系统格式。

42、c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,评价者审查内容应包含以上四方面。8.1.1.1.4 事件响应8.1.1.1.4.1 报警形式a) 评价内容:见5.1.1.4.1的内容;b) 测试评价方法:1) 评价者应审查产品说明手册对支持报警方式的描述;2) 验证报警方式是否准确、有效。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:1) 产品提供至少两种报警方式;2) 报警方式准确、有效。8.1.1.1.4.2 响应方式a) 评价内容:见5.1.1.4.2的内容;b) 测试评价方法:评价者应审查产品说明手册是否包含产品对支持的

43、响应方式的描述,并且测试响应机制是否准确、有效;c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断。8.1.1.1.5 审计查阅8.1.1.1.5.1 常规查阅a) 评价内容:见5.1.1.5.1的内容;b) 测试评价方法:1) 打开审计跟踪检阅器;2) 查阅审计记录,生成报告,打印报告。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:1) 提供审计查阅功能;2) 审计查阅以用户易理解的方式和格式提供;3) 提供生成报告并打印的功能。8.1.1.1.5.2 有限查阅a) 评价内容:见5.1.1.5.2的内容;b) 测试评价方法:1)

44、评价者以不具有审计查阅权限的用户身份登录系统;2) 查阅审计记录,生成报告,打印报告;3) 进入审计记录存储的目录,检查是否可以查看审计记录。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:1) 只有经过授权的用户能查阅审计记录;2) 审计记录以不可理解的格式进行存储。8.1.1.1.5.3 可选查阅a) 评价内容:见5.1.1.5.3的内容;b) 测试评价方法:1) 进入审计跟踪检阅器;2) 进行选择、搜索、分类、排序操作。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:1) 具有针对审计记录选择、搜索、分类、排序的能力;2) 处理时具有友好的用户界面,提供便于理解的处理结果。8.1.1.1.6 审计记录存储8.1.1.1.6.1 安全保护a) 评价内容:见5.1.1.6.1的内容;b) 测试评价方法:1) 评价者应审查产品说明手册是否包含对审计记录保护机制的描述; 2) 对保护机制进行核实;3) 对审计记录数据进行删除或修改。c) 测试评价结果:记录审查结果并对该结果是否符合测试评价方法要求作出判断,应符合:1) 产品具有有效机制保护审计记录免遭未授权的删除或修改;2) 针对审计记录数据的删除或修改生成系统自身安全审计记录。8.1.1.1.6.2 可用性a) 评价内容:见5.1.1.6.2

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号