2003-信息技术网络通讯安全审计产品检验规范.pdf

编号：MSCTC-GFJ-07 信 息 技 术 网 络 通 讯 安 全 审 计 产 品 检 验 规 范 公安部计算机信息系统安全产品质量监督检验中心 第一版 第 0 次修订 2003 年 11 月 01 日颁布 2003 年 12 月 01 日实施 GAXXX-2003 I 前 言 为了规范全国网络通讯安全审计产品的开发与应用，保障公共信息网络安全，根据公安部公共信息网络安全监察局的要求，本规范对网络通讯安全审计产品提出了自身安全功能要求、安全功能要求和保证要求，作为对其进行检测的依据。本规范由中华人民共和国公安部公共信息网络安全监察局提出。本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。GAXXX-2003 II 引 言 本规范规定了网络通讯安全审计产品的技术要求，提出了该类产品应具备的功能要求和安全保证要求。并根据功能和保证要求的不同将网络通讯安全审计产品进行了分级。本规范的目的是为网络通讯安全审计产品的研制、开发、测评和采购提供技术支持和指导。使用符合本规范的网络通讯安全审计产品可对网络进行隐蔽监视，能对事后发现的安全事件进行会话恢复，为网络通讯取证提供有效的工具。本规范不涉及在加密网络中使用的网络通讯安全审计产品。GAXXX-2003 1 信息技术网络通讯安全审计产品检验规范 1 范围 本规范规定了在网络通讯中使用的安全审计产品的自身安全功能要求、安全功能要求和保证要求。本规范适用于安全审计产品的生产及检测。2 术语和定义 下列术语和定义适用于本规范：2.1 安全审计 Security Audit 安全审计产品是对网络或指定系统的使用状态进行跟踪并记录的产品。2.2 审计日志 Audit Log 审计日志是指安全审计产品自身审计产生的信息。2.3 审计记录 Audit Recordation 审计记录是指跟踪网络或指定系统的使用状态产生的信息。2.4 审计信息 Audit Information 审计信息是指所有的审计日志和审计记录的总称。3 安全审计等级划分规范 3.1 第一级：用户自主保护级 3.1.1 自身安全功能要求 3.1.1.1 自主访问控制 3.1.1.1.1 属性定义 安全审计产品应为每个管理角色规定与之相关的安全属性，例如管理角色标识、鉴别信息、隶属组、权限等。安全审计产品应为每个管理角色规定与之相关的安全属性，例如管理角色标识、鉴别信息、隶属组、权限等。3.1.1.1.2 属性初始化 安全审计产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。安全审计产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。3.1.1.2 身份鉴别 3.1.1.2.1 基本鉴别 安全审计产品应在执行任何与授权管理员或用户相关功能之前鉴别授权管理员或用户的身份。安全审计产品应在执行任何与授权管理员或用户相关功能之前鉴别授权管理员或用户的身份。3.1.1.3 数据完整性 3.1.1.3.1 可信数据 安全审计产品应提供在各种使用情况下，保证本地数据以及远程可信组件间传送的所有数据完整性的功能：安全审计产品应提供在各种使用情况下，保证本地数据以及远程可信组件间传送的所有数据完整性的功能：a)应提供防止对审计记录内容修改或手工添加的功能；应提供防止对审计记录内容修改或手工添加的功能；b)应提供防止远程传送的审计记录被篡改的功能；应提供防止远程传送的审计记录被篡改的功能；c)应提供防止未授权的删除本地存储的审计记录的功能。应提供防止未授权的删除本地存储的审计记录的功能。3.1.2 安全功能要求 3.1.2.1 信息采集 3.1.2.1.1 审计记录 记录网络中数据包的相关信息，内容至少应包括：记录时间、源地址（记录网络中数据包的相关信息，内容至少应包括：记录时间、源地址（IP 和和 MAC 地址）、源端口、目标地址（地址）、源端口、目标地址（IP 和和 MAC 地址）、目的端口、协议类型。地址）、目的端口、协议类型。3.1.2.2 会话储存和还原 GAXXX-2003 2 3.1.2.2.1 会话的储存 所有的信息应以会话为单位存储。所有的信息应以会话为单位存储。3.1.2.2.2 会话内容的基本项 会话信息内容的基本项应包括：会话起始时间、源地址、目标地址。会话信息内容的基本项应包括：会话起始时间、源地址、目标地址。3.1.2.2.3 服务信息收集的基本要求 FTP 通讯信息：除基本项以外还应包括：使用的账号、输入命令；TELNET 通讯信息：除基本项以外还应包括：使用的账号、输入命令；WWW 通讯信息：除基本项以外还应包括：目标 URL；E-mail 通讯信息：除基本项以外还应包括：源信箱地址、目的信箱地址。FTP 通讯信息：除基本项以外还应包括：使用的账号、输入命令；TELNET 通讯信息：除基本项以外还应包括：使用的账号、输入命令；WWW 通讯信息：除基本项以外还应包括：目标 URL；E-mail 通讯信息：除基本项以外还应包括：源信箱地址、目的信箱地址。3.1.3 安全保证要求 3.1.3.1 配置管理 3.1.3.1.1 能力 开发者提供的配置管理文档应以版本号做标签，为安全审计产品提供引用，使一个版本号对应安全审计产品的唯一版本。开发者提供的配置管理文档应以版本号做标签，为安全审计产品提供引用，使一个版本号对应安全审计产品的唯一版本。3.1.3.2 安全功能开发过程 3.1.3.2.1 功能规约 开发者提供的安全审计产品安全功能的功能规约应描述安全功能及与其外部的接口。开发者提供的安全审计产品安全功能的功能规约应描述安全功能及与其外部的接口。3.1.3.3 测试 3.1.3.3.1 功能测试 开发者提供的测试文档应包含测试计划、测试过程描述、预期的测试结果和实际测试结果，其中的测试计划应标识要测试的安全功能、描述要执行的测试目标，测试过程描述应标识要执行的测试、测试概况。开发者提供的测试文档应包含测试计划、测试过程描述、预期的测试结果和实际测试结果，其中的测试计划应标识要测试的安全功能、描述要执行的测试目标，测试过程描述应标识要执行的测试、测试概况。3.1.3.3.2 覆盖分析 开发者提供的测试覆盖的证据应表明测试文档中所标识的测试和功能规约中所描述的安全功能之间的对应性。开发者提供的测试覆盖的证据应表明测试文档中所标识的测试和功能规约中所描述的安全功能之间的对应性。3.1.3.4 指导性文档 3.1.3.4.1 管理员指南 开发者提供的管理员指南应描述对于授权安全管理角色可使用的管理功能和接口、安全管理安全审计产品的方式、受控制的安全参数以及与安全操作有关的用户行为的假设，并描述与为评估而提供的其他所有文件的一致性。开发者提供的管理员指南应描述对于授权安全管理角色可使用的管理功能和接口、安全管理安全审计产品的方式、受控制的安全参数以及与安全操作有关的用户行为的假设，并描述与为评估而提供的其他所有文件的一致性。3.1.3.4.2 用户指南 开发者提供的用户指南应描述用户可获取的安全功能和接口的用法，安全操作中用户的职责（包括：用户行为假设）。同时，应描述与为评估而提供的其它所有文件的一致性。开发者提供的用户指南应描述用户可获取的安全功能和接口的用法，安全操作中用户的职责（包括：用户行为假设）。同时，应描述与为评估而提供的其它所有文件的一致性。3.1.3.5 交付和运行 3.1.3.5.1 安装生成 开发者提供的安装过程的文档应说明用于安全审计产品的安全安装、生成和启动的过程所应的步骤。并应描述一个起动程序，它包含了用以生成安全审计产品的选项，从而能决定安全审计产品是如何以及何时产生的。开发者提供的安装过程的文档应说明用于安全审计产品的安全安装、生成和启动的过程所应的步骤。并应描述一个起动程序，它包含了用以生成安全审计产品的选项，从而能决定安全审计产品是如何以及何时产生的。3.2 第二级：系统审计保护级 3.2.1 自身安全功能要求 3.2.1.1 自主访问控制 3.2.1.1.1 属性定义 安全审计产品应为每个管理角色规定与之相关的安全属性，例如管理角色标识、鉴别信息、隶属组、权限等。3.2.1.1.2 属性初始化 GAXXX-2003 3 安全审计产品应提供使用默认值对创建的每个管理角色的属性进行初始化的能力。3.2.1.2 身份鉴别 3.2.1.2.1 基本鉴别 安全审计产品应在执行任何与授权管理员或用户相关功能之前鉴别授权管理员或用户的身份。3.2.1.2.2 鉴别失败的基本处理 安全审计产品应能在鉴别尝试达到最大失败次数后，终止用户建立会话的过程。安全审计产品应能在鉴别尝试达到最大失败次数后，终止用户建立会话的过程。3.2.1.3 客体重用 客体是指存放信息的介质，如内存、外存（主要指磁盘）、软盘、可擦写光盘等。当产品为特定信息动态分配客体资源时，应确保曾在该资源中存放过的信息不因动态分配而泄漏。在向一个主体初始转让、分配或重分配客体之前或回收客体资源之后，应确保其残留信息全部被清除。（例如:在某个管理角色通过身份鉴别后，安全审计产品应确保不提供前一次注销的管理角色的任何信息，包括鉴别信息、审计日志等）。客体是指存放信息的介质，如内存、外存（主要指磁盘）、软盘、可擦写光盘等。当产品为特定信息动态分配客体资源时，应确保曾在该资源中存放过的信息不因动态分配而泄漏。在向一个主体初始转让、分配或重分配客体之前或回收客体资源之后，应确保其残留信息全部被清除。（例如:在某个管理角色通过身份鉴别后，安全审计产品应确保不提供前一次注销的管理角色的任何信息，包括鉴别信息、审计日志等）。3.2.1.4 审计 3.2.1.4.1 审计查阅 应向授权用户提供查询审计记录或审计日志的功能。应向授权用户提供查询审计记录或审计日志的功能。3.2.1.4.2 可理解的格式 应使审计结果为人所理解。应使审计结果为人所理解。3.2.1.4.3 可选择查阅审计 应提供基于日期和时间、主体身份、事件类型、相关事件成功或失败等组合条件，对审计日志进行查询和排序的工具。应提供基于记录时间、源地址、源端口、目标地址、目的端口或协议类型等组合条件，对审计记录进行查询和排序的工具。应提供基于日期和时间、主体身份、事件类型、相关事件成功或失败等组合条件，对审计日志进行查询和排序的工具。应提供基于记录时间、源地址、源端口、目标地址、目的端口或协议类型等组合条件，对审计记录进行查询和排序的工具。3.2.1.4.4 防止审计数据丢失 安全审计产品应将生成的审计记录和审计日志储存于一个永久性的介质中。当审计存储耗尽/失败/受攻击情况发生时，安全审计产品应确保审计记录和审计日志不被破坏。安全审计产品应能够制定某种策略，具体处理当审计存储接近最大存储空间时的情况。（例如：安全审计产品可“忽略可审计事件”或“覆盖所存储的最早的审计记录”或“阻止产生所有可审计事件（除有特权的授权用户外）”，并发送一个告警信息。）安全审计产品应将生成的审计记录和审计日志储存于一个永久性的介质中。当审计存储耗尽/失败/受攻击情况发生时，安全审计产品应确保审计记录和审计日志不被破坏。安全审计产品应能够制定某种策略，具体处理当审计存储接近最大存储空间时的情况。（例如：安全审计产品可“忽略可审计事件”或“覆盖所存储的最早的审计记录”或“阻止产生所有可审计事件（除有特权的授权用户外）”，并发送一个告警信息。）3.2.1.5 数据完整性 3.2.1.5.1 可信数据 安全审计产品应提供在各种使用情况下，保证本地数据以及远程可信组件间传送的所有数据完整性的功能：a)应提供防止对审计记录或审计日志内容或审计日志内容修改或手工添加的功能；b)应提供防止远程传送的审计记录或审计日志或审计日志被篡改的功能；c)应提供防止未授权的删除本地存储的审计记录或审计日志或审计日志的功能。3.2.1.5.2 保密传输 与远程可信组件的传送过程中与远程可信组件的传送过程中,安全审计产品应提供保护所有的信息数据不被泄漏的功能。安全审计产品应提供保护所有的信息数据不被泄漏的功能。3.2.1.5.3 保密存储 安全审计产品应提供审计记录和审计日志保密存储的功能。安全审计产品应提供审计记录和审计日志保密存储的功能。3.2.1.5.4 可信时间戳 安全审计产品应能为自身的应用提供可信的时间戳，以保持各组件之间的一致性以及记录时间的可信性。安全审计产品应能为自身的应用提供可信的时间戳，以保持各组件之间的一致性以及记录时间的可信性。3.2.2 安全功能要求 GAXXX-2003 4 3.2.2.1 信息采集 3.2.2.1.1 审计记录 记录网络中数据包的相关信息，记录内容至少应包括：记录时间、源地址（IP 和 MAC 地址）、源端口、目标地址（IP 和 MAC 地址）、目的端口、协议类型。3.2.2.1.2 审计日志 记录安全审计产品自身的审计，记录内容至少应包括：记录安全审计产品自身的审计，记录内容至少应包括：表 1 基本可审计事件 事件 细节 所有对审计记录或审计日志的删除或清空记录时间 从审计记录或审计日志中读取信息 在信息采集功能运行时所有对审计配置的修改 所有鉴别机制的使用 位置 对角色中用户组的修改 修改后的用户身份 安全审计系统组件的启动与关闭 3.2.2.2 会话储存和还原 3.2.2.2.1 会话的储存 所有的信息应以会话为单位存储。3.2.2.2.2 会话内容的基本项 会话信息内容的基本项应包括：会话起始时间、源地址、目标地址。3.2.2.2.3 服务信息收集的基本要求：FTP 通讯信息：除基本项以外还应包括：使用的账号、输入命令；TELNET 通讯信息：除基本项以外还应包括：使用的账号、输入命令；WWW 通讯信息：除基本项以外还应包括：目标 URL；E-mail 通讯信息：除基本项以外还应包括：源信箱地址、目的信箱地址。3.2.2.2.4 服务信息收集的扩展要求 FTP 通讯信息：除满足基本要求以外还应包括：传输的文件内容。TELNET 通讯信息：除满足基本要求以外还应包括：反馈信息。WWW 通讯信息：除满足基本要求以外还应包括：恢复网页所需的文件。FTP 通讯信息：除满足基本要求以外还应包括：传输的文件内容。TELNET 通讯信息：除满足基本要求以外还应包括：反馈信息。WWW 通讯信息：除满足基本要求以外还应包括：恢复网页所需的文件。3.2.3 安全保证要求 3.2.3.1 配置管理 3.2.3.1.1 能力 开发者提供的配置管理文档应以版本号做标签，为安全审计产品提供引用，使一个版本号对应安全审计产品的唯一版本。3.2.3.2 安全功能开发过程 3.2.3.2.1 功能规约 开发者提供的安全审计产品安全功能的功能规约应描述安全功能及与其外部的接口。3.2.3.2.2 高层设计 开发者提供的安全审计产品安全功能的高层设计应按子系统方式描述安全功能及其结构，并标识安全功能子系统的所有接口。开发者提供的安全审计产品安全功能的高层设计应按子系统方式描述安全功能及其结构，并标识安全功能子系统的所有接口。GAXXX-2003 5 3.2.3.2.3 表示对应性 开发者提供的相邻两阶段开发文档之间提供其对应性分析对于所提供的安全策略表示的每个相邻对，应阐明上一阶段的安全策略表示的在下一阶段文档中得到正确而完备地细化。开发者提供的相邻两阶段开发文档之间提供其对应性分析对于所提供的安全策略表示的每个相邻对，应阐明上一阶段的安全策略表示的在下一阶段文档中得到正确而完备地细化。3.2.3.3 测试 3.2.3.3.1 功能测试 开发者提供的测试文档应包含测试计划、测试过程描述、预期的测试结果和实际测试结果，其中的测试计划应标识要测试的安全功能、描述要执行的测试目标，测试过程描述应标识要执行的测试、测试概况。3.2.3.3.2 覆盖分析 开发者提供的测试覆盖的证据应表明测试文档中所标识的测试和功能规约中所描述的安全功能之间的对应性。开发者提供的测试覆盖的证据应阐明测试文档所标识的测试和功能规约中所描述的安全功能之间的对应性是完备的。开发者提供的测试覆盖的证据应阐明测试文档所标识的测试和功能规约中所描述的安全功能之间的对应性是完备的。3.2.3.4 指导性文档 3.2.3.4.1 管理员指南 开发者提供的管理员指南应描述对于授权安全管理角色可使用的管理功能和接口、安全管理安全审计产品的方式、受控制的安全参数以及与安全操作有关的用户行为的假设，并描述与为评估而提供的其他所有文件的一致性。3.2.3.4.2 用户指南 开发者提供的用户指南应描述用户可获取的安全功能和接口的用法，安全操作中用户的职责（包括：用户行为假设）。同时，应描述与为评估而提供的其它所有文件的一致性。3.2.3.5 交付和运行 3.2.3.5.1 安装生成 开发者提供的安装过程的文档应说明用于安全审计产品的安全安装、生成和启动的过程所应的步骤。并应描述一个起动程序，它包含了用以生成安全审计产品的选项，从而能决定安全审计产品是如何以及何时产生的。3.2.3.5.2 交付 开发者提供的交付文档应向用户说明这一维护安全所应的交付程序。开发者提供的交付文档应向用户说明这一维护安全所应的交付程序。