信息安全技术网络通讯安全审计
数据 留存功能要求
范 围
本标准规定 r网络通讯安全审计数据留存相关产品的自身安全功能要求、安全功能要求和保认
要求。
本标准适用于网络通讯安全审计数据留存相关产品的生产及检测
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注!{期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版木
凡是不注门期的引用文件 其最新版木适用于本标礁.
GB/T18336.3 2o0
1 信息技术
安全技术 信息技术安全性评估准则 第 3部分:安全保
1要
求(idtISO/IEC154OS一3:1999)
3 术语 和定义
下列术语和定义适用十本标准。
3.1
网络通讯安全审计数据留存相关产品 securityauditdatasubsist
encecOrr
elationprod肚ctsof
network comm unications
网络通讯安全审计数据留存相关产品(以下简称安全审计产品)是对网络或指定系统的使用状态进
行跟踪并记录的产品
3.2审计日志
安全审计产品自身审计产生的信息跟踪网络或指定系统的使用状态产生的信息。
3.4
审计倍息 所有的审计日志和审计记录的总称
4 网络通讯安全审计数据留存相关产品的安全功能要求
4.1 信息采集
4.1.1 审计记录
记录网络中数据包的相关信息,记录内容至少应包括:记录时问、源 印 地址、源 M八C地址、源端口、目标
IP地址、源 MAC地址、目的端口、协1义类型、数据包长度
4,1.2 审计 日志
记录安全审计产品自身的审计,记录内容至少应包括:GA/T 695一 2007
审计记录和审计 日志功能的启动和关闭;
符合表 1中的所有可审计事件;
事件 日期与时问、事件类型、主体身份和事件结果(成功或失败);
表 1细竹一栏中指定的附加信息。
表 1 基 本 可 审计 事 件事 件细 节所有对审 计记 录或审 计口志的删除或清空记 录 时从审计记 录或 审计日志中读 取信 息在信息采 集功能运 行时所有对审计 配置的修改位 置修改后的用户身份所有 鉴别 机制的使用对用 户的修 改安 全审计 系统组 件的启 动 与关 闭
4.2 会 话 还 原
4.2.飞 会话内容的甚本项会话信息内容的基本项应包括:会话起始时间、源地址、目标地址。
4.2.2 服务信息收集的基本要求
FTP通讯信息:除基本项以外还应包括:使用的账号、输人命令
TEI洲ET通讯信息 除基本项以外还应包括:使用的账号、输人命令
W 通讯信息:除基本项以外还应包括:目标 UI舰。
R一mail 通讯信息:除基本项以外还应包括:源信箱地址、目的信箱地址。
42.3 服务倍息收集的扩展要求
FTP通讯信息:除满足基本要求以外还应包括;传输的文件内容
入ET通讯信息:除满足基本要求以外还应包括:反馈信息。
通讯信息:除满足基本要求以外还应包括:恢复网页所需的文件
mail通讯信息:除满足基本项以外还应包括:邮件内容、附件
4.3 自 主访 问控 制
4.3.1 属性 定 义安全审计产品应为每个角色规定与之相关的安全属性。
4.3.2 属性初始化安全审计产品应提供使用默认值对创建的每个角色的属性进行初始化的能力p
4.4 身 份鉴 别
4.4.1 基本 鉴 别安全审计产品应在执行任何与授权用户相关功能之前鉴别用户的身份
4.4.2 鉴 别 失 败 的基 本 处 理安
全审计产品应能在鉴别尝试达到最人失败次数后,终止用户建立会话的过程们
4.5 审 计
4 5 1 审计 查 阅
a) 应向授权用户提供查询审计记录的功能:
l’) 应向授权用户提供杳询审计信息的功能。
4.52 可理解的格式
应 使 审 宝{结 果 为 人 所 理 解
aL UCdGA/T695一2007
4.5.3 可选择查阅审计
a) 应提供基于记录时间、源
IP地址、源端口、目标
IP地址、口的端 口或协议类型等条件,对审计
记录进行查询和排序的工具;
1)应提供基于日期和时间、主体身份、事件类型、相关事件成功或失败等条件,对审计 日志进行
查询和排序的工具。
4.5.4 防止审计数据丢失
安全审计产品应将生成的审计内容储存于一个掉电非逸失性存储介质中。
安全审计产品应能够制定某种策略,具体处理当审计存储接近最大存储空间时的情况(例如:至少
提供阀值报警信息通知用户)。
4.6 数据安全性
4.6 1 可信数据
安全审计产品应提供在各种使用情况下,保证本地数据以及远程可信组件间传送的所有数据完整
性的功能:
a) 应提供防止对审计记录内容修改或手工添加的功能;
b)应提供防止远程传送的审计记录被篡改的功能;
c) 应提供防止未授权的删除本地存储的审计记录的功能;
d)应提供防止对审计日志内容修改或手工添加的功能;
e)应提供防止远程传送的审计 日志被篡改的功能;
于) 应提供防止未授权的删除本地存储的审计日志的功能。
4.6.2 保密传输
与远程可信组件的传送过程中,安全审计产品应提供保护已还原的会话数据和审计日志内容不被
泄漏的功能
4.6.3 保密存储
安全审计产品应提供对已还原的会话数据和审计日志的保密存储功能。
4,6.4 时间一致性
安全审计产品应保持各组件之问记录时间的一致性
5 网络通讯安全审计数据留存相关产品的保证要求
保证要求按 GB/T18336.3一200
1 第二级执行
6 网络通讯安全审计数据留存相关产品的安全等级划分
依据信息安全技术网络通讯安全审计数据留存相关产品的开发、生产现状及实际应用情况,对网络
通讯安全审计数据留存相关产品的安全功能要求划分成两个等级
网络通讯安全审计数据留存相关产品的安全等级划分如表 2所示
表 2 信息安全技术网络通讯安全审计数据留存相关产品安全等级划分衰
GA/T 695一2007 信息安全技术 网络通讯安全审计 数据 留存功能要求
