信息安全技术 信息系统安全审计产品技术要求和测试评价方法-编制说明

工作简况1任务来源

1.1年，经中国国家标准化管理委员会批准，全国信息安全标准化技术委员会2010主任办公会讨论通过，研究修订信息安全技术信息系统SAC/TC260GB/T20945-2007安全审计产品技术要求和测试评价方法国家标准，国标计划号该项20101498-T-469o目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由公安部计算机信息系统安全产品质量监督检验中心负责主办协作单位

1.2在接到修订信息安全技术信息系统安全审计产品技术要求和测试GB/T20945-2007评价方法国家标准的任务后，公安部计算机信息系统安全产品质量监督检验中心立即与安全审计产品厂商进行沟通，并得到了多家业内知名厂商的积极参与的反馈经过层层筛选之后，最后确定由深信服科技有限公司、蓝盾信息安全技术股份有限公司、厦门市美亚柏科信息股份有限公司、北京中科网威信息技术有限公司、上海汉邦京泰数码技术有限公司五家公司作为标准修订参编单位主要工作过程

1.3前期调研

1.

3.1在申请信息安全技术信息系统安全审计产品技术要求和测试评GB/T20945-2007价方法国家标准修订任务之前，标准修订组就已经开始了前期调研工作参考资料

1.

3.

1.1在前期调研过程中，标准修订组主要参考了以下标准、产品和相关资料计算机信息系统安全保护划分准则

1.GB/T17859-1999信息技术安全技术信息技术安全性评估准则

2.GB/T18336-2008信息安全技术信息系统通用安全技术要求

3.GB/T20271-2006信息安全技术信息系统安全等级保护基本要求

4.GB/T22239-2008信息安全技术网络通讯安全审计数据留存功能要求

5.GA/T695-2007信息安全技术数据库安全审计产品安全技术要求

6.GA/T931-2010安全保证要求基本级增强级指南审瓷—*脆弱性分析保证产品安全功能强度评估—*开发者脆弱性分析—*等级划分表

2.

2.

2.4根据信息系统安全审计产品应提供的安全功能要求、自身安全功能要求和安全保证要求的强弱，将信息系统安全审计产品分为基本级和增强级基本级规定了信息系统安全审计产品应提供的基本安全功能要求；自身安全功能要求参考计算GB17859-1999机信息系统安全保护划分准则第二级系统审计保护级相关要求安全保证要求参考了中规定的级要求增强级规定了信息系统安全审计产品除具GB/T

18336.3-2008EAL1备基本级要求以外还应增强的安全功能要求;自身安全功能要求计算GB17859—1999机信息系统安全保护划分准则第三级:安全标记保护级相关要求安全保证要求参考了中规定的级要求GB/T

18336.3-2008EAL3信息系统安全审计产品的等级划分如表、表和表所示对信息系统安全审123计产品的等级评定是依据下面三个表格的综合评定得出的，符合基本级的信息系统安全审计产品应满足表、表、表中所标明的基本级应满足的所有项目；符合增强级的123信息系统安全审计产品应满足表、表、表中所标明的增强级应满足的所有项目123测试评价方法

2.

2.

2.5测试评价方法部分针对信息系统安全审计产品技术要求中的每个要求，均给出了一个测试评价方法，为使用本标准的人员提供了一个测试评价信息系统安全审计产品的技术准则新旧国家标准对比

2.3本标准代替信息安全技术信息系统安全审计产品技术要求和测GB/T20945-2007试评价方法，本标准与的主要差异如下GB/T20945-2007对的结构进行调整，把安全功能要求分为数据采集、

1.GB/T20945-2007审计分析、审计结果和管理控制几部分；把自身安全要求分为用户与鉴另h数据传输安全、数据存储安全和审计日志几部分；更改了中的“审计数据采集”功能，增加了审计事件；

2.GB/T20945-2007更改了“数据采集策略”功能，增加了采集策略和原始数据保留功能;

3.更改了中的“统计分析”功能，细化了统计分析内容；

4.GB/T20945-2007删除了中的“审计分析接口”功能；

5.GB/T20945-2007删除了中的“联动”功能；

6.GB/T20945-2007删除了中的“缺省策略”和“策略模板”和“策略定制”功

7.GB/T20945-2007能；删除了中的“升级”功能；

8.GB/T20945-2007删除了中的“监管要求”功能；

9.GB/T20945-

2007.增加了数据备份与恢复功能；10删除了中的“性能要求”

11.GB/T20945-2007标准验证分析与论证3修订的背景和意义

3.1目前，安全审计类产品相关标准有信息安全技术信息系统安全GB/T20945-2007审计产品技术要求和测试评价方法、信息安全技术网络通讯安全审计数GA/T695-2007据留存功能要求和信息安全技术数据库安全审计产品安全技术要求GA/T931-2010于年正式应用于销售许可证测试与强制性认证测试从年GB/T20945-200720082008到标准使用期间，发现标准存在如下问题2011

一、基本级要求过高GB/T20945-2007潜在危害分析此项功能要求在普通报警的基础上增加了对特征事件出现的次数

1.或频率进行统计的功能，不应作为基本级要求异常事件和行为分析此项功能要求安全审计产品能够分析用户活动异常、系统

2.资源滥用或耗尽、网络应用服务超负荷和网络通信连接数剧增等事件此功能要求已经涉及到入侵防御层面上，而且没有把主机型、网络型、数据库型和应用系统型分开，不应作为基本级要求关联行为分析此项功能是在基本分析的基础上做数据库多个表的分析,而且也

3.没具体的定义关联分析内容，不应作为基本级要求

二、结构不清GB/T20945-2007“审计事件生成”中的“审计数据生成”要求在实际的系统环境和网络带宽下

1.及时生成数据，实际是一个性能要求，不应旧为安全功能要求中审计数据保护、安全管理、标识与鉴别、产品升级等功能应归为自身安全要求中，

2.不应归为安全功能要求中

三、中对很多重要的要求没有细化测试指标GB/T20945-2007审计事件要求不具体网络审计中只要求审计网络协议、网络流量、网络行为，

1.简单的个字，对于最重要的一种安全审计产品类型的主要功能来说不够具12体分析统计要求不具体此项功能只要求对审计事件发生的总数、单个审计事件发

2.生的次数或频率进行统计，要求太模糊

四、中有很多要求应该删除GB/T20945-

2007.性能要求其中“及时性”没有量化具体的响应时间指标另外根据长期以来的1测试积累发现，安全审计产品只要支持审计的内容，立即就能记录，除非不支持审计此内容，所以此指标没有实际意义“资源占用与网络影响”在标准中没有量化指标，测试中也无法量化因为无法定影何种情况算作对资源和网络有影响“吞吐量”，产品一般采用旁路接入或安装软件代理方式部署，实际接入是只有吞入量，没有吐出量，所以此指标也不合理联动安全审计产品应侧重在信息采集与事后分析，而不是报警后的响应另外，

2.安全审计产品要实现联动，首先要有被联动的信息安全产品，如防火墙、IDS等，其次，这些产品要能开放管理策略配置接口给安全审计产品对于有不同系列信息安全产品的大厂家来说，此条要求不难实现但对于一些小厂家来说，不可能为了安全审计产品还去开发新的产品以配合其测试同时，此功能应该是被联动的产品开放接口的功能,而不是安全审计产品的功能审计分析接口此功能要求安全审计产品提供审计分析接口，由用户选择不同的

3.审计分析模块以增强自身审计能力根据长期以来的测试积累发现，一般的安全审计产品都是把所有分析功能都集成在一起，由用户选择分析什么、怎么分析，而不会开发多种审计模块升级功能安全审计产品不像、等网络安全产品需要经常更新事件辨别

4.IDS IPS库，所以升级功能对于安全审计产品来说并不能算作是一项安全功能另外，元标准的自动升级需要自己架设升级服务器，而且下载升级包时还要做身份校验，签名验证的保证下载安装包的未被篡改，要求过高响应方式中，要求有对特定事件的阻断、调用特定的程序或联动联动功能在前

5.面已经分析过，也不应是安全审计产品应具备的功能调用特定的程序没有细化要求，没有要求的必要，只要系统能做出告警就行了绝大多数安全审计产品在部署中都是采用旁路接入的方式侦听数据包,而不是在审计目标主机安装审计代理，以免对审计目标操作系统造成影响但是旁路接入中阻断的实现一般都是发包，这种方式可靠性很低审计产品注重的应该是事后分析，而RST不是事件发生时候的响应，所以应删除此功能综上所述，对修订的框架为使标准结构更加清晰规范,与其他GB/T20945-2007信息安全产品标准的编写结构保持一致；增加审计记录内容要求和统计分析功能；删除性能要求、联动、审计分析接口、升级、响应方式功能；对潜在危害分析、异常事件和行为分析、关联行为分析等在分级上做调整对于产品的自身安全功能要求和安全保证要求，充分参考了计算机信息系统安全保护划分准则和GB17859—1999GB/T信息技术安全技术信息技术安全性评估准则，也对其进行了一定的修改

18336.3—2008修订的目的

3.2在对修订过程中，坚持以国内外产品发展的动向为研究基础，对G B/T20945-2007安全审计产品的安全技术要求提出规范化的要求，并结合系统等级保护中产品的使用，制定切实可行的产品标准标准可用于该类产品的研制、开发、测试、评估和产品的采购，有利于规范化、统一化同时我们还能有效地为正在开展等级保护工作服务能借此按照标准的流程对产品的现状、技术等相关领域展开系统的、全面的调研工作，使得标准更符合产品实际情况，对安全审计类产品有推进作用为公安部对信息安全产品的监管提供技术依据国内外标准对比情况4目前，安全审计类产品相关标准有信息安全技术信息系统安全GB/T20945-2007审计产品技术要求和测试评价方法、信息安全技术网络通讯安全审计数GA/T695-2007据留存功能要求和信息安全技术数据库安全审计产品安全技术要求GA/T931-2010是通用型安全审计产品国标，其适用于主机审计型安全审计产品、GB/T20945-2007网络审计型安全审计产品、数据库审计型安全审计产品和应用系统审计型安全审计产品四类，涵盖信息系统所有安全审计产品类型同时，其还是用于综合型安全审计产品，包括以上四类中两种或两种以上审计类型的产品是网络通讯审计产品专用行标，该标准只适用于网络通讯安全审计GA/T695-2007产品是数据库审计产品专用行标，该标准只适用于数据审计产品GA/T931-2010由此可见，是通用型安全审计产品国标，涵盖了信息系统所有安GB/T20945-2007全审计产品类型但正如标准修订论证分析中说明的一样，该标准存在严重的问题，修订势在必行GB/T20945-2007与有关的现行法律法规和强制性国家标准的关系5本标准为修订推荐性国标，修订后建议沿用原标准为推荐性国标不触犯国家现行法律法规，不与强制性国标相冲突重大分歧意见的处理经过和依据6本标准修订制过程中，如标准修订组内部出现重大意见分歧，由标准修订组组长组织召开内部调解会解决如标准修订单位之间出现重大意见分歧，由标准修订承担单位公安部计算机信息系统安全产品质量监督检验中心组织召开参编单位调解会解决如征求意见过程中，各厂家，特别是各部委意见与标准编制组之间出现重大意见分歧，由全国信息安全标准化技术委员会组织召开协调会解决国家标准作为强制性国家标准或推荐性国家标准的建议7本标准是对信息安全技术信息系统安全审计产品技术要求和测试GB/T20945-2007评价方法的修订，建议沿用原标准为推荐性国标贯彻国家标准的要求和措施建议8安全审计产品能够对主机、网络、数据库、应用系统信息和事件进行审计、分析，并对违反安全策略的事件进行报警，是信息系统中重要的一个保障单元建议本标准作为国标推荐实施废止现行有关标准的建议9本标准是对信息安全技术信息系统安全审计产品技术要求和测试GB/T20945-2007评价方法的修订，建议本标准发布后废止原标准GB/T20945-2007o信息安全技术信息系统GB/T20945-2007安全审计产品技术要求和测试评价方法修订说明信息安全技术信息系统GB/T20945-2007安全审计产品技术要求和测试评价方法修订说明信息安全技术信息系统GB/T20945-2007安全审计产品技术要求和测试评价方法修订说明信息安全技术日志分析产品检验规范

7.MSTL_JGF_04-018近两年到本检测中心所送检的该类产品及其技术资料

8.现状研究

1.

3.

1.2同时，标准修订组队安全审计相关标准现状进行研究目前，安全审计类产品相关标准有信息安全技术信息系统安全审计产品技术要求和测试评价方GB/T20945-2007法、信息安全技术网络通讯安全审计数据留存功能要求和GA/T695-2007GA/T931-2010信息安全技术数据库安全审计产品安全技术要求国标基本级要求过高、结构不清楚，很多重要的技术要求没有细GB/T20945-2007化测试指标，很多要求不合适应该删除得出一致结论一一应修订国标GB/T20945-2007o修订组成立在接到信息安全技术信息系统安全审计产品技术要求和测试评价GB/T20945-2007方法国家标准修订任务之后，年月，公安部计算机信息系统安全产品质量监督201011检验中心成立了由王志佳作为组长具体负责的标准修订组制定工作计划

1.

3.

2.1修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工作情况确定修订内容

1.

3.

2.2经标准修订小组研究决定，以安全审计产品发展的动向为研究基础，以等级保护相关标准为标准框架，对信息安全技术信息系统安全审计产品技术要求GB/T20945-2007和测试评价方法的内容进行修订修订工作简要过程按照修订进度要求，修订组人员首先对所参阅的产品、文档以及标准进行反复阅读与理解，并查阅有关资料，编写修订提纲在对提纲进行交流和修改的基础上，开始具体标准的修订工作草稿（原稿）

1.

3.

3.1年月至年月，对国内外安全审计系统，相关技术文档以及有关标20101020111准进行前期基础调研在调研期间，我们主要对我中心历年检测产品的记录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内安全审计系统发展动向进行了研究，以及进行了对国内外相关产品的技术文档和标准分析理解等工作年月至月进行草稿的编写工作以我修订组人员收集的资料为基础，依201113据编写提纲，在不断的讨论和研究中，完善内容，对原标准的内容进行了第一次的修订，最终形成了本标准的草稿（原稿）草稿（第一稿）

1.

3.

3.2年月至月，我们收集了国内相关产品的主要生产厂家信息，以邮件形式201135向他们征求意见厂家中兴网安回复邮件，由于主要生产网络型安全审计产品，多以针对网络审计提出意见，提出了在数据过滤筛选时应保留原始数据,保留对未知行为的分析追溯的能力年月，单位内部组织第一次标准讨论会，由标准修订组成员汇报标准的修20115订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改最终形成草稿（第一稿）草稿（第二稿）

1.

3.

3.3年月底，修订组以邮件形式对草稿（第一稿）征求厂家意见厂商深信服20117科技有限公司、蓝盾信息安全技术股份有限公司、厦门市美亚柏科信息股份有限公司、北京天融信网络安全技术有限公司等对该稿提出了宝贵的意见与建议年月日，单位内部组织第二次标准讨论会，由标准修订组成员汇报标准2011810的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容进行了修改，最终形成草稿（第二稿）本次修改的主要内容如下保证要求和自身安全方面要按照等级保护要求来对应；

1.对网络型安全年审计产品审计内容做调整，选择主流协议和操作；

2.对数据库型安全审计产品审计内容做调整，参考数据库安全审计行标,加强一下

3.对数据库类型的要求；删除审计日志独立存放功能

4.草稿（第三稿）

1.

3.

3.4年月初，在草稿（第二稿）的基础上，修订组继续征集深信服科技有限公201110司、蓝盾信息安全技术股份有限公司、厦门市美亚柏科信息股份有限公司、北京天融信网络安全技术有限公司等厂商的意见月中旬，又进行了一次单位内部讨论，得到修改意见若干在草稿（第二稿）的10基础上进行修改，形成草稿（第三稿）本次修改的主要内容如下细化事件分析功能和统计分析功能；

1.对自身安全功能进行增强；

2.使标准结构更加清晰

3.草稿（第四稿）

1.

3.

3.5年月日，修订组要求工作组专家赴上海公安部第三研究所对征求2011123WG5意见第三稿进行现场评审与会专家有崔书昆、赵战生、景乾元、吉增瑞、杨建军、许玉娜会上，各位专家提出了宝贵意见，经反复推敲修改，形成草稿（第四稿）本次修改的主要内容如下修改前言归口单位为给出的规则起草由全国信息安全标准化技术

1.GB/T

1.1-2009委员会提出并归口；修改规范性引用文件；

2.增加系统运行状态监测，如、内存、存储状态监测；

3.CPU草稿（第五稿）

1.

3.

3.6年月日，公安部第三研究所检测中心对征求意见第四稿进行内部评审，2012719由修订组和经验丰富的检测员出席经过反复推敲修改，最终形成征求意见（第五稿）本次修改的主要内容如下在前言中添加与原标准差异；

1.添加缩略语；

2.删除缺省策略、策略模板，只保留策略制定；

3.删除联动要求；

4.增加要求，数据不允许手动删除，只能到期自动删除；

5.删除性能要求；

6.把原来分的三级改为两级

7.征求意见稿（第一稿）

1.

3.

3.7年月日，专家组在北京对标准草稿再次做评审，与会专家包括赵2012726WG5战生、王立福、崔书昆、冯惠、袁文恭、肖京华、杨建军、罗锋盈、卿斯汉等专家组对标准草稿（第五稿）提出来若干意见，并一致同意生成征求意见稿第一稿本次修改的主要内容包括标准封面、目录、前言若干描述修改；

1.标准排版修改；

2.规范性引用文件中引用词汇标准更新；

3.标准中定义的修改；

4.意见汇总对意见采纳情况的重新订正；

5.编制说明中标准编制改为标准修订

6.征求意见稿（第二稿）

1.

3.

3.8征求意见稿第一稿提交到全国信息安全标准化技术委员会后，委员会将标准公布在网站上，征求各个厂家意见年月日，委员会将征求意见汇总返回2012918此次征求意见共有五个单位发表意见包括中国信息安全认证中心、公安部第三研究所、北京江南天安科技有限公司、北京中科网威信息技术有限公司、上海三零卫士信息安全有限公司、解放军信息安全测评认证中心、浙江维尔科技股份有限公司其中中国信息安全认证中心、北京江南天安科技有限公司、北京中科网威信息技术有限公司提出了若干意见，其他单位表示一致通过针对三级单位提出的修改意见，进行分析讨论，继续修改标准，得到标准征求意见稿第二稿本次修改的主要内容包括修改“数据删除功能”；

1.对标准中增强级新增功能加粗，能够容易看出区别

2.送审稿（第一稿）

1.

3.

3.9年月日，全国信息安全标准化技术委员会在北京召开标准格式审查会，201316与会专家冯惠老师在会上详细讲解了标准编写过程中，特别是格式上容易遇见的问题，并对本标准了提出了宝贵的意见同时，安标委秘书处汇总了征求意见稿（第二稿）在各大部委征求的意见,国家保密局、中国信息安全测评中心和国家密码管理局均给出了宝贵意见经过仔细推敲与修改，最终形成送审稿（第一稿）本次修改的主要内容有删除了前言中专利免责声明

1.规范术语与定义、缩略语、产品等级划分中的写法

2.修改了标准中标点、笔误等错误

3.修改了标准中容易造成误解和上下文不一致的写法

4.多重鉴别机制中添加电子签名或证书鉴别

5.安全保证要求及其测试评价方法修订

6.起草人及其工作

1.4信息安全技术信息系统安全审计产品技术要求和测试评价方法国GB/T20945-2007家标准修订组以王志佳为组长，组员包括沈亮、顾健、顾玮、邹春明、顾建新、赵云、胡维娜王志佳作为组长总体负责标准编制，包括制定工作计划、确定修订内容沈亮、顾健主要负责标准的前期调研、对标准现状分析、参考标准文献资料以及标准编制过程中的技术支持顾玮、邹春明、顾建新主要负责标准各个版本的修订、意见汇总的处理、编制说明的编写等工作赵云、胡维娜主要负责向厂商征求意见与反馈、商务支持、会务支持、标准装订等工作标准主要内容2修订原则

2.1为了使安全审计国标一开始就与现有国家标准保持一致，本标准的修订参考了国家有关标准，主要有、和GB17859-1999GB/T20271-2006GB/T22239-2008第

二、三部分GB/T18336本标准符合我国的实际情况，遵从我国有关法律、法规的规定具体原则与要求如下实用性原则

1.标准必须是可用的，才有实际意义，本标准在修订过程中严格按照流程对产品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关产品生产单位的交流，使得标准更贴近产品实际情况，保证操作性先进性原则

2.标准是先进经验的总结，同时也是技术的发展趋势要制定出先进的行业标准，必须广泛了解市场上主流产品的功能，吸收其精华，制定出具有先进水平的标准本标准的编写始终遵循这一原则兼容性原则

3.本标准与我国现有的政策、法规、标准、规范等相一致修订组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规标准内容

2.2标准结构

2.

2.1本标准的编写格式和方法依照标准化工作导则第一部分标准的结GB/T

1.1-2009构和编写规则本标准主要结构包括如下内容范围

1.规范性引用文件

2.术语与定义

3.缩略语

4.产品等级划分

5.技术要求

6..测评方法7主要内容产品安全功能要求

2.

2.

2.1产品安全功能要求主要对产品实现的功能进行了要求主要包括数据采集、审计分析、审计结果、管理控制四个部分具体内容如表所示1表安全功能要求1安全功能要求基本级增强级采集策略**数据采集原始数据保留—*主机事件审计**网络事件审计***事件审计数据库事件审计***审计分析应用系统事件审计**事件统计***统计分析关联分析—*潜在危害分析—*异常事件分析—*扩展分析接口—*审计记录**统计报表**审计结果常规查阅**审计查阅有限查阅**可选查阅**图形界面**管理控制事件分级**事件告警—*自身安全功能要求

2.

2.

2.2自身安全功能要求主要对产品自身安全进行了要求，包括用户与鉴别、数据传输安全、数据存储安全、审计日志四个部分具体内容如表所示2表自身安全功能要求2自身安全要求基本级增强级唯一性标识**属性定义**用户角色—*用户与鉴别基本鉴别**多重鉴别—*超时锁定或注销—*鉴别失败处理**用户与鉴别鉴别数据保护**远程管理保密**数据传输保密—*数据传输安全数据传输完整性—*安全状态监测—*审计代理安全—*自身安全要求基本级增强级分布式部署—*时间同步**存储介质**数据库支持**备份与恢复—*数据存储安全数据删除—*存储空间耗尽处理**数据存储完整性**审计日志**安全保证要求

2.2,

2.3安全保证要求主要对产品的开发和使用文档的内容进行了要求，包括配置管理、交付与运行、开发、指导性文档、生命周期支持、测试保证和脆弱性分析保证具体内容如表所示3表安全保证要求3安全保证要求基本级增强级版本号**配置管理能力配置项—*配置管理授权控制—*配置管理覆盖—*交付程序—*交付与运行安装、生成和启动程序**非形式化功能规范**描述性高层设计—*开发高层设计安全加强的高层设计—*非形式化对应性证实**管理员指南**指导性文档用户指南**生命周期支持—*覆盖证据**测试覆盖覆盖分析—*测试深度—*测试功能测试—*故性**独立测试抽样—*。