【GA公共安全标准】 信息安全技术主机文件监测产品安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T1392—2017
信息安全技术
主机文件监测产品
安全技术要求
Information security technology--Security technical requirements forhosts file monitoring products2017-04-19发布
中华人民共和国公安部
2017-04-19实施
1范围
2规范性引用文件
3术语和定义
主机文件监测产品描述
5总体说明
安全技术要求分类
安全等级划分
6安全功能要求
安全策略定制
文件监测
操作系统支持
报警功能
自动恢复
行为审计
安全管理
自身保护
审计日志·
远程管理加密
集中分组管理
系统告警
安全保障要求
指导性文档
生命周期支持
脆弱性评定
8等级划分要求
安全功能要求等级划分
安全保障要求等级划分
.电电电电：
电电量电电天话
GA/T1392—2017
HiiKAoNiKAca
本标准按照GB/T1.1一2009给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1392—2017
本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所。本标准主要起草人：张艳、郭运尧、陆臻、张笑笑、俞优、邹春明。Hii KAoNhi KAca
HiiKAoNhiKAca
1范围bZxz.net
信息安全技术主机文件监测产品安全技术要求
GA/T1392-—2017
本标准规定了主机文件监测产品的安全功能要求、安全保障要求及等级划分要求。本标准适用于主机文件监测产品的设计、开发与测试。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T25069-2010信息安全技术术语3术语和定义
GB/T18336.3一2015和GB/T25069一2010界定的以及下列术语和定义适用于本文件。3.1
主机文件hostsfile
存放在计算机主机上的重要系统文件、配置文件及预定义的其他文件。3.2
主机文件监测hosts filemonitoring通过文件完整性检查、文件属性检查、关键字检查等手段对主机文件的修改行为进行监测。3.3
用户user
能够接触主机文件的人，并且此人不具有能影响主机文件监测安全策略执行的权限。3.4
文件监测安全策略securitypolicyof filemonitoring对主机文件的检测范围，以及对修改行为的响应措施进行设定的策略。3.5
授权管理员authorizedadministrator具备主机文件监测产品管理权限的用户，负责对产品中的系统配置、安全策略以及审计日志等进行管理。
4主机文件监测产品描述
主机文件监测产品依据预先定义的安全策略，通过文件完整性检查、文件属性检查、关键字检查等手段对主机文件（包括存放在主机上的重要系统文件、配置文件，以及预定义的其他文件）的状态修改行为等作出监测并报警，从而保证主机上的文件资源不被未授权访问和操作。1
HiKAoNhi KAca
GA/T1392—2017
主机文件监测产品通常由客户端和服务器端组成，并由服务器端下发安全策略到客户端。其保护的资产是被监测主机上的文件资源，此外主机文件监测产品本身及其内部的重要数据也是受保护的资产。
5总体说明
5.1安全技术要求分类
主机文件监测产品安全技术要求分为安全功能、安全保障要求两类。其中，安全功能要求是对主机文件监测应具备的安全功能提出具体要求，包括安全策略定制、文件监测、监测文件管理、报表、操作系统支持、报警功能、自动恢复、行为审计、安全管理、自身保护、审计日志、远程管理加密、集中分组管理和系统告警：安全保障要求针对主机文件监测产品的开发和使用文档的内容提出具体的要求，包括开发，指导性文档、生命周期支持、测试和脆弱性评定。5.2安全等级划分
按照主机文件监测产品安全功能的强度划分安全功能要求的级别，按照GB/T18336.32015划分安全保障要求的级别。安全等级突出安全特性，分为基本级和增强级，安全功能强弱和安全保障要求高低是等级划分的具体依据。
安全功能要求
6.1安全策略定制
产品应提供以下安全策略的定制功能，包括增加、修改，查看、删除与应用：a）指定被监测的主机文件
b）若采用定期扫描的监测机制，用户应能够设置监测时间间隔。6.2文件监测
产品应提供以下文件监测功能，并记录对文件的增加、修改、删除和访问等操作行为：a）重要主机文件（如系统文件、配置文件）；b）安全策略中指定的主机文件；c）Windows系统的注册表的键值6.3报表
产品应提供以下报表功能：
a）安全策略中指定文件的增加、删除与修改；b）安全策略中注册表键值的增加、删除与修改。6.4操作系统支持
产品应至少支持对以下操作系统上的主机文件进行监测：a）Windows;
b)Linux。
6.5报警功能
产品应提供以下报警功能：
HiiKAoNiKAca
GA/T1392—2017
a）对主机文件或Windows注册表键值的未授权增加、删除、修改提供实时报警；b）采取适当的方式进行报警（如声音、消息、email、弹出对话框等），至少包括日志记录；c）设置报警策略。
6.6自动恢复
产品应对主机文件的完整性进行检测，并在检测到未授权增加，册除，修改（包括属性修改，重命名移动）等完整性受到破坏后，提供主机文件的自动恢复措施，6.7行为审计
产品应将所有用户对主机文件进行访问的行为进行审计，包括合法访问和非法访问，从而保证对主机文件的安全管理和监督。
6.8安全管理
6.8.1安全策略集中管理
产品应提供策略下发与客户端报表的集中控制管理功能。6.8.2身份鉴别
产品应在执行任何与安全功能相关的操作之前进行如下身份鉴别：a）对服务器端与客户端的使用至少提供强度不低于口令保护的身份鉴别功能：b）对受监测保护的主机文件进行访问（包括远程上传/下载）时，需进行身份鉴别。6.8.3身份鉴别失败处理
产品应提供如下身份鉴别失败处理功能a）在经过一定次数的鉴别失败以后，锁定该用户操作权限；b）最大鉴别失败次数仅由授权管理员设定。6.8.4用户管理
产品应具有用户管理功能，包括用户的增加、删除和修改。6.8.5管理角色
产品应划分不同的安全管理角色，从而实现基于不同角色的主机文件安全管理限制。6.8.6管理员权限
产品应允许授权管理员对产品进行以下管理：a）管理员属性修改（更改口令等)；b）启动、关闭监测服务；
c）增加或撤销对主机文件的监测；d）修改主机文件监测产品其他安全策略。6.9自身保护
产品应对被监测客户端模块提供自我保护功能，有防止非授权人员删除和卸载该产品的措施，以防止安全功能被旁路。
GA/T1392—2017
若产品采用C/S模式，则应采取以下措施：防止非授权用户强行终止主机文件监测产品运行；a)
防止非授权用户强行取消主机文件监测产品在系统启动时自动加载；b)
防止非授权用户强行卸载，删除或修改主机文件监测产品。6.10审计日志
6.10.1审计数据生成
产品应对以下事件生成审计日志：a）所有对安全策略进行更改的操作：b）管理员鉴别机制的使用，包括鉴别成功和失败；c）其他重要操作，如增加、删除管理员用户，以及存档、删除、清空日志等。审计功能生成的每一条审计记录至少应记录以下信息：事件日期、时间、主体身份、事件描述和事件结果（成功或失败）。
审计数据管理
产品应提供下列审计日志管理功能：只允许授权管理员访问审计日志；a)
审计日志的查询；
c）保存及导出审计日志。
审计数据可用性保证
产品应提供如下功能保证审计日志的可用性保护存储的审计日志，避免未授权的删除；a)
b）当审计日志的存储空间达到阈值时，能通知授权管理员：c）审计日志备份功能。
6.11远程管理加密
若提供远程管理功能，应保证网络传输数据的保密性与完整性。6.12集中分组管理
若系统采用C/S模式，产品应能提供以下管理功能：a）对主机进行集中统一管理，提供安全策略的集中定制，并分发应用到相应的主机上；b）对主机进行分组管理。
6.13系统告警
告警事件
产品应能对以下事件进行告警：a）违反安全策略的事件；
b）用户鉴别失败的次数达到或超过某一给定值；审计日志存储空间的耗尽；
d）授权管理员自定义的其他系统事件。4
6.13.2告警消息
告消息内容应至少包括事件发生的日期，时间，主体身份，事件描述。6.13.3告警方式
告警方式应包含以下方式中的一种或多种：弹出告警窗口；
b）发送告警邮件：
发送SNMP、Trap消息：
发送声光电信号：
发送SMS短消息。
7安全保障要求
7.1开发
7.1.1安全架构
开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a）与产品设计文档中对安全功能实施抽象描述的级别一致；b)
描述与安全功能要求一致的产品安全功能的安全域：c
描述产品安全功能初始化过程为何是安全的：d）证实产品安全功能能够防止被破坏；e)
证实产品安全功能能够防止安全特性被旁路。7.1.2功能规范
开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：完全描述产品的安全功能；
描述所有安全功能接口的目的与使用方法；b）
标识和描述每个安全功能接口相关的所有参数；d）描述安全功能接口相关的安全功能实施行为；描述由安全功能实施行为处理而引起的直接错误消息；e)
证实安全功能要求到安全功能接口的追溯：D
描述安全功能实施过程中，与安全功能接口相关的所有行为；g）
h）描述可能由安全功能接口的调用而引起的所有直接错误消息。7.1.3实现表示
开发者应提供全部安全功能的实现表示，实现表示应满足以下要求：提供产品设计描述与实现表示实例之间的映射，并证明其一致性；a)
GA/T1392—2017
b）按详细级别定义产品安全功能，详细程度达到无需进一步设计就能生成安全功能的程度；c）以开发人员使用的形式提供。7.1.4产品设计
开发者应提供产品设计文档，产品设计文档应满足以下要求：5
GA/T1392—2017
a）根据子系统描述产品结构；
b）标识和描述产品安全功能的所有子系统；c）描述安全功能所有子系统间的相互作用：d）提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；e）根据模块描述安全功能；
f）提供安全功能子系统到模块间的映射关系；g）描述所有安全功能实现模块，包括其目的及与其他模块间的相互作用；h）描述所有实现模块的安全功能要求相关接口、其他接口的返回值，与其他模块间的相互作用及调用的接口；
i）描述所有安全功能的支撑或相关模块，包括其目的及与其他模块间的相互作用。7.2指导性文档
操作用户指南
开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求：a）描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b）描述如何以安全的方式使用产品提供的可用接口；c）描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控d
制实体的安全特性；
标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全e)
运行之间的因果关系和联系：
f）充分实现安全目的所必须执行的安全策略。7.2.2准备程序
开发者应提供产品及其准备程序，准备程序描述应满足以下要求：a）描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；b）描述安全安装产品及其运行环境必需的所有步骤。7.3生命周期支持
7.3.1配置管理能力
开发者的配置管理能力应满足以下要求：a
为产品的不同版本提供唯一的标识。b）使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项。提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法。d)
配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进行已授权的改变。
配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。e
实施的配置管理与配置管理计划相一致。f
配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。