GAT695-2007信息安全技术网络通讯安全审计数据留存功能要求.pdf 6页

'ICS35‘240A906A中华人民共和国公共安全行业标准GA/T695一2007信息安全技术网络通讯安全审计数据留存功能要求Informationsecuritytechnology一SubsistencefunctionrequirementsfOrsecurityauditdataofnetworkcommunications2007一05一14发布2007一07一01实施中华人民共和国公安部发布 GA/T695一2007月IJ言本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人:沈亮、张奕、陆臻、顾玮、赵婷、张岚、顾健。标准分享网www.bzfxw.com免费下载 GA/T695一2007信息安全技术网络通讯安全审计数据留存功能要求范围本标准规定r网络通讯安全审计数据留存相关产品的自身安全功能要求、安全功能要求和保认要求。本标准适用于网络通讯安全审计数据留存相关产品的生产及检测2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注!{期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版木凡是不注门期的引用文件其最新版木适用于本标礁.GB/T18336.32o01信息技术安全技术信息技术安全性评估准则第3部分:安全保1要求(idtISO/IEC154OS一3:1999)3术语和定义下列术语和定义适用十本标准。3.1网络通讯安全审计数据留存相关产品securityauditdatasubsistencecOrrelationprod肚ctsofnetworkcommunications网络通讯安全审计数据留存相关产品(以下简称安全审计产品)是对网络或指定系统的使用状态进行跟踪并记录的产品3.2审计日志auditI0g安全审计产品自身审计产生的信息。3.3审计记录auditrecordation跟踪网络或指定系统的使用状态产生的信息。3.4审计倍息auditinformation所有的审计日志和审计记录的总称4网络通讯安全审计数据留存相关产品的安全功能要求4.1信息采集4.1.1审计记录记录网络中数据包的相关信息，记录内容至少应包括:记录时问、源印地址、源M八C地址、源端口、目标IP地址、源MAC地址、目的端口、协1义类型、数据包长度4，1.2审计日志记录安全审计产品自身的审计，记录内容至少应包括: GA/T695一2007，，、、，dLUCa审计记录和审计日志功能的启动和关闭;符合表1中的所有可审计事件;事件日期与时问、事件类型、主体身份和事件结果(成功或失败);表1细竹一栏中指定的附加信息。表1基本可审计事件事件细节所有对审计记录或审计口志的删除或清空记录时lb]从审计记录或审计日志中读取信息在信息采集功能运行时所有对审计配置的修改所有鉴别机制的使用位置对用户的修改修改后的用户身份安全审计系统组件的启动与关闭4.2会话还原4.2.飞会话内容的甚本项会话信息内容的基本项应包括:会话起始时间、源地址、目标地址。4.2.2服务信息收集的基本要求FTP通讯信息:除基本项以外还应包括:使用的账号、输人命令TEI洲ET通讯信息除基本项以外还应包括:使用的账号、输人命令WWW通讯信息:除基本项以外还应包括:目标UI舰。R一mail通讯信息:除基本项以外还应包括:源信箱地址、目的信箱地址。42.3服务倍息收集的扩展要求FTP通讯信息:除满足基本要求以外还应包括;传输的文件内容TEI入ET通讯信息:除满足基本要求以外还应包括:反馈信息。wWW通讯信息:除满足基本要求以外还应包括:恢复网页所需的文件Email通讯信息:除满足基本项以外还应包括:邮件内容、附件4.3自主访问控制4.3.1属性定义安全审计产品应为每个角色规定与之相关的安全属性。4.3.2属性初始化安全审计产品应提供使用默认值对创建的每个角色的属性进行初始化的能力p4.4身份鉴别4.4.1基本鉴别安全审计产品应在执行任何与授权用户相关功能之前鉴别用户的身份4.4.2鉴别失败的基本处理安全审计产品应能在鉴别尝试达到最人失败次数后，终止用户建立会话的过程们4.5审计451审计查阅a)应向授权用户提供查询审计记录的功能:l’)应向授权用户提供杳询审计信息的功能。4.52可理解的格式应使审宝{结果为人所理解标准分享网www.bzfxw.com免费下载 GA/T695一20074.5.3可选择查阅审计a)应提供基于记录时间、源IP地址、源端口、目标IP地址、口的端口或协议类型等条件，对审计记录进行查询和排序的工具;1)应提供基于日期和时间、主体身份、事件类型、相关事件成功或失败等条件，对审计日志进行查询和排序的工具。4.5.4防止审计数据丢失安全审计产品应将生成的审计内容储存于一个掉电非逸失性存储介质中。安全审计产品应能够制定某种策略，具体处理当审计存储接近最大存储空间时的情况(例如:至少提供阀值报警信息通知用户)。4.6数据安全性4.61可信数据安全审计产品应提供在各种使用情况下，保证本地数据以及远程可信组件间传送的所有数据完整性的功能:a)应提供防止对审计记录内容修改或手工添加的功能;b)应提供防止远程传送的审计记录被篡改的功能;c)应提供防止未授权的删除本地存储的审计记录的功能;d)应提供防止对审计日志内容修改或手工添加的功能;e)应提供防止远程传送的审计日志被篡改的功能;于)应提供防止未授权的删除本地存储的审计日志的功能。4.6.2保密传输与远程可信组件的传送过程中，安全审计产品应提供保护已还原的会话数据和审计日志内容不被泄漏的功能4.6.3保密存储安全审计产品应提供对已还原的会话数据和审计日志的保密存储功能。4，6.4时间一致性安全审计产品应保持各组件之问记录时间的一致性5网络通讯安全审计数据留存相关产品的保证要求保证要求按GB/T18336.3一2001第二级执行6网络通讯安全审计数据留存相关产品的安全等级划分依据信息安全技术网络通讯安全审计数据留存相关产品的开发、生产现状及实际应用情况，对网络通讯安全审计数据留存相关产品的安全功能要求划分成两个等级网络通讯安全审计数据留存相关产品的安全等级划分如表2所示表2信息安全技术网络通讯安全审计数据留存相关产品安全等级划分衰安全功能类基本要求增强要求“4.1.1审计记录丫丫4.1信息采集41.2审计日志丫4.2.1会话内容的基本项丫丫4.2会话还原4.22服务信息收集的基本要求了丫4.2.3服务信息收集的扩展要求丫 GA/T695一2007表2(续)安全功能类基本要求增强要求’4.3.1属性定义了丫4.3自土访问控制432属性初始化丫了刁.刁1基本鉴别了丫4.月身份鉴别4.4.2鉴别失败的基本处理了书.5.1审计查阅a)丫丫4.5.1审计查阅1，)了礴.汤.2可理解的格式了丫j污审计4.5.3可选择查阅市计们丫丫153可选择查阅审亡卜b)了4.54防止审计数据丢失了丫斗.6.1可信数据a)l))c)丫了吐.6.1可信数据d)曰「)了飞(;数据安全性4.6.2保密传输了4.6.3保密存储丫斗6.布时间一致」性了了5保证要求了丫草本要求:为网络通讯安全市计数据留存相关产品的最底安全级别要求b增强要求为进-步提升产品安全功能的附加要求。标准分享网www.bzfxw.com免费下载'