【GA公共安全标准】 信息安全技术网络通信审计产品技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T695—2014
代替GA/T695-2007
信息安全技术
网络通信审计产品技术要求
Information security technologyTechnical requirements for audit products of network communication2014-05-23发布
中华人民共和国公安部
2014-05-23实施
规范性引用文件
术语和定义
缩路语
网络通信审计产品描述
........
安全环境
安全目的
安全功能要求
安全保证要求
技术要求基本原理
等级划分要求
GA/T695—2014
本标准按照GB/T1.12009给出的规则起草。本标准代替GA/T695—2007《信息安全技术GA/T6952007相比主要技术变化如下：GA/T695-2014
网络通讯安全审计数据留存功能要求》，与标准名称改为《信息安全技术网络通信审计产品技术要求》（见封面，2007年版的封面）；增加了缩略语（见第4章）：
增加了网络通信审计产品指述（见第5章）：增加了安全环境，包括假设、威胁和组织安全策略（见第6章）：增加了安全目的，包括产品安全目的和环境安全日的（见第7章）；增加了数据采集要求（见8.1)：修改了数据还原要求（见8.2，2007年版的4.2)；增加了统计要求（见8.3）；
增加了分析处理要求（见8.4）：增加了统计报表要求（见8.5.2)；修改了标识与鉴别要求（见8.6，2007年版的4.3和4.4）：修改了数据传输安全要求（见8.7.2007年版的4.6）：修改了数据存储安全要求（见8.8，2007年版的4.6）；修改了安全保证要求（见第9章，2007年版的第5章）：增加了技术要求基本原理，包括安全功能要求基本原理和安全保证要求基本原理（见第10章）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所、深圳市深信服电子科技有限公司、蓝盾信息安全技术股份有限公司。本标准主要起草人：王志佳、顾玮、李毅、顾健、沈亮、张武健、方卫东。本标准所代替标准的历次版本发布情况为：GA/T6952007.
GA/T695-2014
本标准详细描述了与网络通信审计产品安全环境相关的假设、威胁和组织安全策略，定义了网络通信审计产品及其支择环境的安全目的，规定了网络通信审计产品的安全功能要求和安全保证要求，通过基本原理论证安全功能要求能够追溯并覆盖产品安全目的，安全目的能够追溯并覆盖安全环境相关的假设、威协和组织安全策略
本标准基本级参照了GB/T18336.3-2008中规定的EAL2级安全保证要求，增强级在EAL4级安全保证要求的基础上，将髓弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击。本标准仅给出了网络通信审计产品应满足的安全技术要求，但对网络通信审计产品的具体技术实现方式方法等不做要求。
iiKacaQiaiKAca-
1范围
信息安全技术
网络通信审计产品技术要求
GA/T 695—2014
本标准规定了网络通信审计产品的安全功能要求、安全保证要求及等级划分要求。本标准适用于网络通信审计产品的设计、开发及测试，2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB178591999计算机信息系统安全保护等级划分准则GB/T18336.118336.32008信息技术安全技术信息技术安全性评估准测GB/T25069--2010信息安全技术术语3术语和定义
GB178591999.GB/T18336.1~18336.3-2008和GB/T25069—2010界定的以及下列术语和定义适用于本文件。
网络通信审计auditof network communication对网络通信进行记录和分析，并针对特定事件采取相应的动作。3.2
审计记录
auditrecordation
审计产品对网络通信进行记录和分析得到的信息。3.3
日志log
审计产品对自身事件进行记录和分析得到的信息。3.4
审计中心
auditcenter
审计产品中记录、分析、处理网络通信数据的功能部件。3.5
审计代理
anditagent
审计产品中采集网络通信数据并发送给审计中心的功能部件。4缩略语
下列缩略语适用于本文件
CPU：中央处理器（CentralProcessingUnit）DOS：拒绝服务（DenialofService）1
GA/T695—2014
FTP：文件传输协议(FileTransferProtocol)HTML：超文本置标语言（HypertextMarkupLanguage)HTTP超文本传输协议（HypertextTransferProtocoD)IM：即时通信（InstantMessenger)IP：因特网协议（InternerProtocol)IT：信息技术（InformationTechnology）PDF：可移植文档格式（PortableDocumentFormat）POP3：邮局协议第三版（PostOfficeProtocol3）SMTP：简单邮件传输协议（SimpleMailTransferProtocol)SNMP：简单网络管理协议（SimpleNetworkManagementProtocol)TCP：传输控制协议(TransmissionControlProtocol)TELNET.远程登录（TelecommunicationNetwork）UDP：用户数据报协议（UserDatagramProtocol)URL，统一资源定位符（UniversalResourceLocator）5网络通信审计产品描述
网络通信审计产品通过采集和分析网络通信数据，对审计目标网络内用户网络行为（如网页浏览。FTP和TELNET通信、收发邮件、IM上下线等）、网络流量、网络攻击等行为进行记录和分析。网络通信审计产品能够帮助使用者记录被审计网络内网络通信行为，追潮违反安全策略要求的用户责任。此外，网络通信审计产品还负责保护产品自身及其内部重要数据的安全。网络通信审计产品按照部署模式划分，可分为串联部署和旁路部署两种。在串联部署模式下，网络通信市计产品串联在访间客户端与网络服务端之间。在旁路部署模式下，网络通信审计产品并联在访问客户端交换机上，通过镜像口获取网络通信数据（两种模式下，网络通信审计产品均记录和分析访问客户端的网络通信行为）
图1为网络通信审计产品串联部署的典型运行环境，图2为网络通信审计产品旁路部署的典型运行环境，
主机！
主机L2
网络通信
事计产品
服务器！
服务器2
服务器#
图1网络通信审计产品串接部署运行环境iKacaOiaiKAca
6安全环境
主机！
主机2
网路通信
审计产品
服务器！
服务器2
服务器中
网络通信审计产品旁路部署运行环境图2
网络通信审计产品安全环境相关的假设见表1。表1假设
假设名称
物理访间
人员能力
连接性
安全维护
假设描述
CA/T695—2014
所有产品处理的资源都应被限定在受控的访间设备内，以防止非投权的物理访间：所有与实施产品安全策略相关的硬件和软件都应受到保护，以防止非授权的物理更改授权用户应是无恶意的，训练有素的，并遵循管理员指南产品应部暑在访间客户端所在网络的出口处，能够获取到访问客户端与网络服务器之间的通信数据
当产品的应用环境发生变化时，应立即反映在产品的安全策略中并保持其安全功能有效网络通信审计产品安全环境相关的威胁见表2。表2威胁
威勋名称
记录失败
非授权访同
威胁描述
产品可能未成功记录相关审计记录和日志，导致记录失败：非授权用户可能通过耗尽审计数据存储空间等方法，导致事件记录失败或丢失；非投权用户可能通过使存储介质掉电等方法，导致存储的数据丢失非授权用户可能试图访间和使用产品提供的安全功能，导致产品功能被非授权使用GA/T695—2014
威胁名称
信息泄漏
持续鉴别尝试
时间失效
组织安全策略
表2《续）
威胁描述
非授权用户可能测览产品传输和存储的数据，导致信息泄露非授权用户可能通过反复精测签别数据的方法，获取鉴别信息，从面获取产品管理员权限产品生成记录的时间可能与标准时间不特，导致记录失效网络通信审计产品安全环境相关的组织安全策略见表3。表3组织安全策略
组织安全策略名称
网络通信审计
自身日志
安全管理
7安全目的
产品安全目的
组织安全策略描述
为道踪安全策路要求的网络通信行为的责任，与网络通信相关的行为应记录，保存和审查为追踪安全策略婴求的自身安全行为的责任，与自身安全相关的行为应记录，保存和市查产品应为授权用户提供管理手段，使其以安全的方式进行管理表4定义了产品的安全目的。这些安全目的旨在对应已标识的威胁或组织安全策略。表4产品安全目的
产晶安全日的名称
记录防丢失
身份认证
数帮保密
鉴别失败处理
时间同步
网络通信审计
自身日惠
安全管理
环境安全目的
产品安全首的描述
产品应提供基本的弱止事件记录丢失或失败的措施产品在允许用户访间其功能之前，应对用户进行身份鉴别产品应保证其传验和存储的数据的保密性产品应具备安全机制以防止非授权用户反复精测整别数据产品应提供时间同步功能，弱止记录的时间与标准时间不符，导致记录失效
产品应记录安全策略要求的网络通信行为，以便追踪相关网络通信行为的责任，记录应具有精确的日期、时间和事件描产品应记录安全策略要求的自身安全行为，以便追踪相关自身安全行为的责任，记录应具有精确的日期，时间和事件描述产品应向授权管理员提供以安全方式进行管理的有效手段对应的威勘或
组织安全策略
记录失败
非授权讨问
信息世漏
持续鉴别尝试
时间失效
网络通信审计
自身日志
安全管理
表5定义了非技术或程序方法进行处理的安全目的。6.1确定的假设被包含在环境安全目的中。iiKacadiaiKAca
环境安全目的名称
物理访间
人员能力
连接性
安全维护
安全功能要求
数据采集
表5环境安全目的
环境安全目的描述
所有产品处理的资源都应被限定在受控的访问设备内，以防止非授权的物理访间，所有与实施产品安全策略相关的硬件和软件都应受到保护，以防止非授权的物理更改授权用户应是无恶意的，训练有素的，并遵循管理员指南产品应部署在访间客户端所在网络的出口处，能够获取到访客产端与网络服务器之间的通信数据当产品的应用环境发生变化时，应立即反映在产品的安全策略中并保持其安全功能有效
网络通信审计产品应能够定制网络通信数据采集策略，至少包括以下一种：采集目标的IP地址或IP地址段策略：a
b）采集网络协议或应用类型策略：采集时间段策略：
d）其他策略。
8.2数据还原
网络协设和应用还原
网络通信审计产品应能够还原网络通信事件，至少包括以下四种：HTTP通信：目标URL：
b）FTP通信：使用的账号、输入命令；TELNET通信：使用的账号、输入命令；d)
SMTP和POP3通信：源邮箱、目的邮箱；IMI通信：IM软件名称和账号：
股票软件通信：股票软件名称：网络下载通信：下载软件或协议名称和下载文件名称：网络游戏通信：网络游戏名称；论坛、博客或微博通信：论坛、博客或微博的名称和账号：WEB邮件通信：邮箱名称和邮箱账号：搜索引擎通信：搜索引擎名称和搜索关键字k)
GA/T695-2014
对应的假设或威胁
物理访间
人员能力
连接性
安全维护
其他网络通信：网络通信类型。还原内容除上述要求外，还应包括日期、时间、源IP地址、目的IP地址、源端口、目的端口、事件类型等信息。
8.2.2网络攻击还原
网络通信审计产品应能够还原网络攻击事件，至少包括以下一种：5
GA/T695-2014
a)DOS攻击：
b）口令暴力猜测攻击：
e）端口扫描攻击：
d）其他网络攻击。
还原内容应包括：日期、时间、源IP地址、目的IP地址、源端口，目的端口、攻击类型等。8.2.3非标准端口事件还原
网络通信审计产品应能够还原非标准端口网络通信事件。8.3统计
8.3.1事件统计
网络通信审计产品应能够统计网络通信事件，至少包括以下一种：a）网络通信事件总数统计+
b）某种类型网络通信事件数量统计：某个特定网络通信事件数量统计：）
其他事件统计：
流量统计
网络通信审计产品应能够统计网络通信流量，至少包括以下一种：a）TCP协议流量：
UDP协议流量：
网络应用流量：
其他网络流量。
8.4分析处理
事件分级
网络通信审计产品应提供事件分级功能，根据策略将事件划分不同的安全级别，方便用户查看。8.4.2
事件告警
网络通信审计产品应能够定义告警事件，并在告警事件发生时触发告警。8.4.3
异常分析
网络通信审计产品应提供异常分析功能，当预定义的异常发生时触发告警，异常情况至少支持以下一种：
某种事件发生的次数或频率达到某个阅值：a）
b）某种流量达到某个國值：
c）其他异常情况。
8.4.4响应告警
网络通信审计产品应能够响应告箐包括以下功能a)bZxz.net
记录告警，内容包括：日期、时间、告警描述等b）
告警方式至少支持邮件告警、SNMPtrap告警、声光电告警、短信告警等方式中的一种。6
iiKacaQiaiKAca-
8.5审计结果
8.5.1审计记录
网络通信审计产品应能够把事件还原结果生成审计记录。8.5.2统计报表
网络通信审计产品应能够把统计结果生成报表，报表包括以下功能：包括文字和图像信息：
b）至少支持以HTML、PDF、WORD、EXCEL格式中的一种导出。8.5.3审计查阅
网络通信审计产品应提供审计结果查阅功能，满足以下要求：a）保证只有授权用户才能访问审计结果；b）提供审计结果查阅工具；
GA/T695-2014
支持按一定条件查询审计记录，条件包括：日期、时间、源IP地址、目的IP地址、源端口、目的c
端口等。
8.6标识与鉴别
8.6.1用户标识
网络通信审计产品应保证任何用户都具备全局唯一的标识。8.6.2管理角色
网络通信审计产品应将用户角色进行划分，不同角色的用户具备不同的权限。8.6.3身份鉴别
网络通信审计产品应保证任何用户在执行产品的安全功能之前都要进行身份鉴别。若产品采用网络远程方式管理，还应对管理1P地址进行限制。8.6.4鉴别失败处理
网络通信审计产品应提供鉴别失败处理功能，当用户连续鉴别失败达到预定义的次数时阻止用户进一步的鉴别请求。
8.6.5超时锁定或注销
网络通信审计产品应提供用户登录超时锁定或注销功能，当用户超过预定义的时间仍没有任何操作时终止该用户当前的管理会话，需要再次进行身份鉴别才能重新进行管理操作8.6.6鉴别数据保护
网络通信审计产品应保证鉴别数据以非明文形式存储，不被未授权查阅或修改，8.7数据传输安全
8.7.1远程管理保密
网络通信审计产品若来用远程方式管理，应保证远程管理数据保密传输，7
GA/T-695-—2014
8.7.2数据传输保密
网络通信审计产品若由多个组件组成，应保证控制命令，传输数据等信息在组件间保密传输8.7.3状态监测
网络通信审计产品应能够监测自身运行状态，包括：CPU、内存、存储空间等。若产品由多个组件组成，还应监测各组件的运行状态。8.7.4审计代理安全
网络通信审计产品若包括软件审计代理组件，软件审计代理应能够保护自身安全，包括以下功能：a》能够在审计目标操作系统启动时自动加载，并防止被取消自动加载；b）进程具备保护措施，防止被强制终止：提供专用卸载工具，卸载时至少提供口令保护；c
能够检查程序完整性，防止程序文件被算改。8.7.5时间同步
网络通信审计产品若由多个组件组成，应能够同步各组件时间。8.8数据存储安全
8.8.1存储介质
网络通信审计产品应将审计记录存储于掉电非易失性存储介质中2备份与恢复
网络通信审计产品应提供审计记录的备份和恢复功能。8.8.3数据保存时限
网络通信审计产品应提供审计记录保存时限设置功能，自动删除超过保存时限的审计记录。8.8.4存储空间耗尽处理
网络通信审计产品应提供数据存储空间耗尽处理功能，满足以下要求：a）当剩余存储空间达到预定义的阔值时触发告警：在存储空间耗尽前采取一定的措施（如：回凌、转储、按比例删除最早记录等）防止新近审计记b2
录丢失，
数据完整性
网络通信审计产品应保证存储数据的完整性，防止存储的审计记录被篡改。8.9日志
8.9.1日志生成
网络通信审计产品应对以下事件生成日志：a）
用户鉴别，包括成功和失败；
b）！数据采集策略的更改：
iiKacaQaiKAca
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。