【GA公共安全标准】 信息安全技术运维安全管理产品安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T1394—2017
信息安全技术
运维安全管理产品
安全技术要求
Information security technology--Security technical requirements forsecurity operation and maintenance management products2017-04-19发布
中华人民共和国公安部
2017-04-19实施
1范围
2规范性引用文件
3术语和定义
运维安全管理产品描述
5总体说明
安全技术要求分类
安全等级划分
6安全功能要求
6.1单点登录
访问控制
操作审计
会话监视免费标准bzxz.net
会话回放
违规操作阻断
高可用性
标识与鉴别
安全管理·
审计日志
安全保障要求
指导性文档
生命周期支持
脆弱性评定
8等级划分要求
安全功能要求等级划分
安全保障要求等级划分
GA/T1394—2017
iiKAoiKAca
本标准按照GB/T1.1一2009给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1394—2017
本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心，公安部第三研究所。本标准主要起草人：张艳、张笑笑、邹春明、赵婷、沈亮、李毅。m
Hii KAoi KAca
iiKAoiKAca
1范围
信息安全技术运维安全管理产品安全技术要求
GA/T1394—2017
本标准规定了运维安全管理产品的安全功能要求、安全保障要求及等级划分要求。本标准适用于运维安全管理产品的设计、开发与测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T25069—2010信息安全技术术语3术语和定义
GB/T18336.3—2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。3.1
运维用户operation andmaintenanceuser对服务器、网络设备和数据库等信息系统的重要资产进行运行维护的人员。3.2
运维安全管理产品security operation and maintenance management product对信息系统重要资产的维护过程实现单点登录，集中授权，集中管理和审计的产品3.3
运维对象operation and maintenance object受运维安全管理产品保护的资产。运维安全管理产品播述
运维安全管理产品为运维用户提供统一的身份认证接口、多种远程运维管理方式，对资产及其账号等进行集中管理和授权，监控和审计运维操作过程，并对违规操作行为进行报警、阻断。该类产品保护的对象是服务器、网络设备、安全产品、数据库、应用系统等信息系统重要资产。此外，运维安全管理产品本身及其内部的重要数据也是受保护的对象。运维安全管理产品通常以旁路方式部署。运维安全管理产品的典型运行环境见图1。1
HiiKAoiKAca
GA/T1394—2017
运维用户
运维用户
5总体说明
5.1安全技术要求分类
运维安全管理产品
内部维护区
运维安全管理产品的典型运行环境服务器区
运维安全管理产品技术要求分为安全功能，安全保障要求两类。其中，安全功能要求是对运维安全管理产品应具备的安全功能提出具体要求，包括单点登录、访问权限控制、行为审计、身份鉴别、安全管理，审计日志等；安全保障要求针对运维安全管理产品的开发和使用文档的内容提出具体的要求，例如开发、指导性文档、生命周期支持、测试和脆弱性评定等。5.2安全等级划分
按照运维安全管理产品安全功能要求强度划分安全功能要求的级别，按照GB/T18336.3一2015划分安全保障要求的级别。安全等级突出安全特性，分为基本级和增强级，安全功能强弱和安全保障要求高低是等级划分的具体依据。6安全功能要求
6.1单点登录
产品应提供统一的身份鉴别功能，实现运维用户的单点登录，运维用户仅需经过产品的身份鉴别后，即可访问授权范围内的资产。6.2访问控制
产品应根据以下条件对运维用户实施访问控制：a）主体：运维用户、源地址等：2
HiiKAoNiKAca
客体：运维对象及其账户等；
管理方式；
操作命令、操作时间等。
3操作审计
审计记录
产品应对运维用户的操作进行审计，生成审计记录，应至少包括：a)
操作时间；
运维用户；
源地址；
运维对象；
管理方式；
操作内容；
操作结果等其他信息。
审计查阅
GA/T1394—2017
产品应仅允许授权管理员查阅审计记录，支持条件查询并以通用格式导出，查询条件包括：操作时间；
运维用户；
源地址：
d）运维对象；
操作命令等。
6.4会话监视
产品应提供对访问运维对象会话过程的图形化实时监视功能。6.5会话回放
产品应提供如下会话回放功能：a）对访问运维对象会话过程的回放：b）按操作命令或时间进行定位回放。6.6告餐
产品应依据告警策略对运维用户的违规操作进行告警，告警信息应至少包括：操作时间；
b）运维用户；
源地址；
d）运维对象；
管理方式；
事件描述；
触发的策略等。
6.7违规操作阻断
产品应依据安全策略，自动阻断违规操作，确保运维用户访问过程的合规性。3
GA/T1394—2017
6.8高可用性
当产品发生故障时，通过完余或bypass等方式保证产品的高可用性。6.9标识与鉴别
6.9.1身份标识
产品应为管理员和运维用户提供唯一的身份标识。6.9.2基本鉴别
产品应在执行任何与安全功能相关操作之前鉴别管理员/运维用户的身份，并符合以下要求：a）若采用静态口令方式，口令有复杂度要求并定期更换：b）支持两种及两种以上身份鉴别方式。6.9.3鉴别失败处理
当对管理员/运维用户鉴别尝试连续失败达到设定的次数后，产品应阻止管理员/运维用户进一步的鉴别请求；最大失败次数仅由授权管理员设定。6.9.4超时锁定或注销
产品应具有登录超时锁定或注销功能，在设定的时间段内没有任何操作的情况下，终止会话，需要再次进行身份鉴别才能够重新操作，最大超时时间仅由授权管理员设定。6.10安全管理
安全功能管理
产品应允许授权管理员对产品进行以下管理：查看和修改安全属性；
制定和修改各种安全策略。
6.10.2管理员角色
产品应对管理员角色进行区分：具有至少两种不同权限的管理员角色，例如操作员、安全员、审计员等；a)
b）根据不同的功能模块，自定义各种不同权限角色，并可对管理员分配角色。6.10.3远程管理加密
若产品采用网络远程方式管理，应保证管理数据保密传输。6.10.4远程管理主机
若产品提供远程管理功能，应对可远程管理的主机地址进行限制。6.10.5鉴别数据保护
产品应保证管理员、运维用户和运维对象的管理账号等鉴别数据以非明文形式存储，不被未授权查阅或修改。
6.11审计日志
审计日志生成
GA/T1394—2017
产品应对下列事件生成审计日志，审计日志的内容至少应包括事件发生的日期、时间、主体标识，事件描述和结果：
管理员/运维用户的鉴别成功和失败；a)
对安全策略进行更改的操作：
对角色进行增加、删除和属性修改的操作；c
对审计日志的备份：
管理员的其他操作。
审计日志存储
产品应提供以下功能对审计日志进行存储：存储于掉电非易失性存储介质中：a)
当存储空间达到凰值时，能通知授权管理员当存储空间将要耗尽时，采取相应的防止审计日志丢失的技术措施。6.11.3审计日志管理
产品应提供下列审计日志管理功能：只允许授权管理员访问审计日志；a)
b）对审计日志的条件查询功能
对审计日志的备份功能
7安全保障要求
7.1开发
7.1.1安全架构
开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a）与产品设计文档中对安全功能实施抽象描述的级别一致；b)
描述与安全功能要求一致的产品安全功能的安全域c）描述产品安全功能初始化过程为何是安全的；d）证实产品安全功能能够防止被破坏：e)
证实产品安全功能能够防止安全特性被旁路。7.1.2功能规范
开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a）完全描述产品的安全功能；
b）描述所有安全功能接口的目的与使用方法；c）标识和描述每个安全功能接口相关的所有参数：d）描述安全功能接口相关的安全功能实施行为；e）描述由安全功能实施行为处理而引起的直接错误消息；证实安全功能要求到安全功能接口的追溯；f
GA/T1394—2017
g）描述安全功能实施过程中，与安全功能接口相关的所有行为：h）描述可能由安全功能接口的调用而引起的所有直接错误消息。7.1.3实现表示
开发者应提供全部安全功能的实现表示，实现表示应满足以下要求：a）提供产品设计描述与实现表示实例之间的映射，并证明其一致性；b）按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；c）以开发人员使用的形式提供。7.1.4产品设计
开发者应提供产品设计文档，产品设计文档应满足以下要求：根据子系统描述产品结构：
标识和描述产品安全功能的所有子系统：b）村
描述安全功能所有子系统间的相互作用：c）
提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；d)
根据模块描述安全功能；
提供安全功能子系统到模块间的映射关系；f
描述所有安全功能实现模块，包括其目的及与其他模块间的相互作用：g)
描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口；
描述所有安全功能的支撑或相关模块，包括其目的及与其他模块间的相互作用。7.2指导性文档
7.2.1操作用户指南
开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：a）描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b)
描述如何以安全的方式使用产品提供的可用接口：c
描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值d
明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；
标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系：
充分实现安全目的所必须执行的安全策略。7.2.2准备程序
开发者应提供产品及其准备程序，准备程序描述应满足以下要求：a）描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；描述安全安装产品及其运行环境必需的所有步骤。b)
7.3生命周期支持
7.3.1配置管理能力
开发者的配置管理能力应满足以下要求：6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。