GB/T 20945-2023 英文版 信息安全技术　网络安全审计产品技术规

GB/T 20945-2023 英文版 信息安全技术　网络安全审计产品技术规范

标准翻译网提供更多标准英文版。

前言
本文件按照 GB/T 1.1-2020《标准化工作导则 第 1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替 GB/T 20945-2013《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》,与 GB/T 20945一2013 相比，除结构调整和编辑性改动外，主要技术变化如下:更改了术语和定义“事件”“安全审计”“审计记录”“产品日志”“审计中心”“审计探针”见 3.3、3.4_3.6_3,7、3.8,3,9,2013 年版的 3,1,3,2,3,4,3,5,3,6,3.7)更改了概述(见第 5 章,2013 年版的第 5 章):
更改了“审计内容”(见 6.1.2,2013 年版的 6,1.1.2.1、6.2.1.2.1);
一删除了“扩展分析接口”(见 2013 年版的 6.2.1.2.2.5);
一增加了“自定义事件”(见 6.1.6.4):
增加了“产品升级”(见 6.1.6.5):
一更改了“身份标识与鉴别”(见 6.2.1,2013 年版的 6.1.2.1、6.2.2.1);
增加了“用户信息安全”(见 6.2.5);
增加了“支撑系统安全”(见 6.2.9);
一增加了“环境适应性要求”(见 6.3):
一增加了“性能要求”(见 6.4);
一更改了“安全保障要求”(见 6.5,2013 年版的 6.1.3、6.2.3);
一增加了规范性附录“审计产品基本级和增强级技术要求和测评方法最小集合”(见附录 B)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。

1 范围
本文件规定了网络安全审计产品的技术要求并描述了测评方法。
本文件适用于网络安全审计产品的设计、开发、测试和评价。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.1--2015信息技术安全技术信息技术安全评估准则 第 1 部分:简介和一般
模型
GB/T 18336.3-2015 信息技术 安全技术信息技木安全评估准则 第 3 部分:安全保障组件
GB/T 25069-2022 信息安全技术 术语
GB/T 35273--020信息安全技术个人信官安全规范
3术语和定义
GB/T 18336.1-2015,GB/T 18336.3-2015 和 GB/T 25069-2022 界定的以及下列术语和定义适用于本文件。
3.1
网络安全 network security
对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。来源:GB/T 25069-2022.3.616]
3.2
异常 abnormal
从文档、操作或监测观察到偏离以前验证过的条件、状态或行为。
3.3
注:通常异常涉及的主体可能是人、设备、应用程序、服务/进程、数据等,因识别到的异常指向的主体不同,又分为用户行为异常、设备运行异常、程序执行异常、服务运行异常、数据异常等多种[来源:GB/T 32422一2015,3.1,有修改]
3.4事件 incident
试图改变目标状态,并造成或可能造成异常或损害行为的发生。
来源:GB/T 25069一2022,3.552,有修改]

5概述
网络安全审计产品(以下简称:审计产品)根据审计目标和内容的不同,可分为主机审计产品、网络审计产品、数据库审计产品、应用审计产品和综合审计产品。其中主机审计产品部署于主机上,针对主机操作系统的启动/关闭、用户登求/登出、进程启/停、文件操作等进行审计;网络审计产品部署于网络边界处,针对网络通信中协议和应用访问、网络流量等进行审计;数据库审计产品部署于数据库服务器或网络边界处,针对数据库的用户授权、数据的增加/删除/修改/查询等进行审计:应用审计产品部署于特定应用的运行环境中,针对应用的用户登录/登出、重要操作等进行审计:综合审计产品是具备主机审计、网络审计、数据库审计、应用审计中两种或两种以上功能的审计产品。各类审计产品的部署方式见附录 A。
技术要求分为安全功能要求、自身安全保护要求、环境适应性要求、性能要求和安全保障要求五个部分。其中，安全功能要求包括数据采集、审计内容、审计记录生成、审计数据分析统计、审计数据展示和管理控制要求;自身安全保护要求包括身份标识与鉴别、管理权限安全、管理方式安全、审计探针安全、用户信息安全、传输安全、存储安全、自身管理审计和支撑系统安全要求;环境适应性要求包括 IPv6支持和虚拟化支持要求;性能要求包括数据采集速度和事件记录速度要求;安全保障要求包括开发、指导性文档、生命周期支持、测试和脆弱性评定要求。测评方法对测试环境,以及技术要求的测试方法、预期结果和判定方法进行了说明。等级划分对审计产品基本级、增强级的划分做出了说明。

6技术要求
6.1安全功能要求
6.1.1 数据采集
审计产品应具备数据采集功能,并能够根据审计目标、审计内容等设置采集策略6.1.2 审计内容
6.1.2.1 主机审计内容
主机审计产品应能够对主机事件进行审计。内容包括但不限于:
a) 启动和关闭:
用户鉴别成功和失败;b)
c) 用户登录和登出;
重龛沁试剔蕾航擢咳丕诮衅袜奠踢妇菡骗置文件变更;d
e)用户增加、删除和修改:
0文件新建、修改、权限变更和删除:
中国标准出版社
8进程或服务的启停;
b)软件安装和卸载:
操作系统更新;
系统时间变更;0
硬件配置变更;k)
1外设及接口使用;
m)网络连接。
网络审计内容6.1.2.2
网络审计产品应能够对网络事件进行审计，内容包括但不限于:a) 通信协议审计:
1) HTTP 通信:2) FTP 通信;
TELNET 通信;3)
4)NETBIOS 通信:
5)SMTP 通信;
6)POP3 通信;
7IMAP 通信;
8SYSLOG 通信;
9)DNS 通信:

6.2自身安全保护要求
6,2.1身份标识与鉴别
审计产品应具备用户身份标识与鉴别功能,包括但不限于:
a)对用户身份进行标识和鉴别,身份标识具有唯一性:
支持静态口令鉴别的审计产品，能够对用户设置口令的长度、复杂度进行检查;b)
支持静态口令鉴别的审计产品，能够设置口令的使用期限，并在口令到达使用期限时提示用户c)更换;
d)支持静态口令鉴别的审计产品，当存在默认口令时，能够提示用户对默认口令进行修改;
采取安全措施对鉴别信息的存储和传输进行安全保护:
6具备鉴别失败处理功能能够限制连续鉴别失败尝试的次数:
g具备登录超时处理功能，登录连接超时后能够自动断开:
支持采用两种或两种以上组合的鉴别技术进行身份鉴别。
6.2.2管理权限安全
审计产品应具有安全的管理权限，包括但不限于:
a) 授权用户能够查看、修改相关安全属性和安全策略:
准出版社
6能够区分用户角色和权限:
c)支持用户权限分离。
6.2.3 管理方式安全
审计产品应具有安全的管理方式,包括但不限于:a)支持远程管理的审计产品,能够限制允许远程管理的 IP 或 MAC 地址范围b) 支持管理接口与业务接口分离。
6.2.4 审计探针安全
6.2.4.1 探针识别
分布式部署的审计产品,审计中心应能够对审计探针进行识别,防止审计探针仿冒,注，分布式部署指审计中心和审计探针分开部署，详见附录 A。
6.2.4.2 探针状态监测
分布式部署的审计产品,审计中心应能够监测审计探针的运行状态

6.3 环境适应性要求
6.3.1 IPv6 支持
6.3.1.1 IPv6 应用环境
支持 IPv6 的审计产品，应能够在 IPv6 网络环境下正常工作实现审计功能

6.4性能要求
6.4.1数据采集速度
通过流量采集方式获取审计数据的硬件审计产品，数据采集速度应能够满足以下要求:在流量采集接口速率 30%的背景流量下不漏审:a]
在流量采集接口速率 50%的背景流量下不漏审。
6.4.2事件记录速度
通过流量采集方式获取审计数据的硬件审计产品,事件记录速度应达到:
a) 每秒 5 000条:
b) 每秒 10 000 条
6.5安全保障要求
6.5.1 开发
6.5.1.1 安全架构
开发者应提供审计产品安全功能的安全架构描述。安全架构描述应满足以下要求:
a)与审计产品设计文档中对安全功能的描述范围相一致:
充分描述审计产品采取的自我保护、不可旁路的安全机制。b)
6.5.1.2 功能规范
开发者应提供完备的功能规范说明。功能规范说明应满足以下要求
a)清晰描述 6.1.6.2 中定义的安全功能:
b)标识和描述审计产品所有安全功能接口的目的、使用方法及相关参数:
c)描述安全功能实施过程中，与安全功能接口相关的所有行为:d描述可能由安全功能接口的调用而引起的所有直接错误消息。
6.5.1.3 产品设计

7 测评方法
7.1 测试环境
审计产品功能(包括安全功能要求、自身安全保护要求和环境适应性要求)测试的典型环境参考附录A 中审计产品部署方式,测试设备主要包括:终端、服务器、交换机或引流设备/平台等。性能测试的典型环境参考图 1,测试设备主要包括:性能测试仪、交换机、测试仪控制台、产品管理主机等。

7.3 自身安全保护测试
7.3.1 身份识别与鉴别
身份识别与鉴别的测试方法、预期结果和结果判定如下。a) 测试方法:
1) 检测审计产品的用户是否仅在身份鉴别成功后才能使用安全功能,检测用户身份标识是否唯一;
2)检测审计产品是否能够对用户设置口令的长度和复杂度进行检查，是否不允许设置弱口令，例如:空口令、纯数字等;
检测审计产品是否能够设置口令复杂度，口令到达使用期限时是否提示用户更换;30审计产品存在默认口令时,检测是否提示用户对默认口令进行修改;4
5检测审计产品是否采取措施对鉴别信息的存储和传输进行安全保护;
连续多次鉴别失败,检测是否触发审计产品的鉴别失败处理功能,检测是否采取一定措施6)防止用户进一步鉴别的尝试:
2用户登录后,在预置的超时时间内不做任何操作,检测登录连接是否自动断开;
8)
检测审计产品是否支持采用两种或两种以上组合的鉴别技术进行身份鉴别，例如:除静态
口令外.还具备动态口令、USB 智能密码钥匙或指纹等鉴别方式。

7.4 环境适应性测试7.4.1 IP6 支持7.4.1.1 IPv6 应用环境
IPv6 应用环境的测试方法、预期结果和结果判定如下a) 测试方法:
1) 搭建 IPv6 网络环境:
检测审计产品安全功能是否能够在 IPv6 网络环境下正常工作2)

7.5 性能测试
7.5.1 数据采集速度
数据采集速度的测试方法、预期结果和结果判定如下。
测试方法:
a)10使用仪器产生包含流量采集接口速率 30%大小的背景流量和少量特定可审计事件的混合流量，检测审计产品是否能够审计所有特定可审计事件;使用仪器产生包含流量采集接口速率 50%大小的背景流量和少量特定可审计事件的混2)合流量，检测审计产品是否能够审计所有特定可审计事件。预期结果:
1) 审计产品在流量采集接口速率 30%的背景流量下不漏审
2) 审计产品在流量采集接口速率 50%的背景流量下不漏审。结果判定:6
实际结果与相关预期结果一致则判定为符合，其他情况判定为不符合。
7.5.2 事件记录速度
事件记录速率的测试方法、预期结果和结果判定如下。
a) 测试方法:
1) 使用仪器产生每秒 5 000 条的特定可审计事件流量,检测审计产品是否能够审计所有特定可审计事件;
20使用仪器产生每秒 10 000 条的特定可审计事件流量,检测审计产品是否能够审计所有特定可审计事件。

7.6安全保障测评
7.6.1 开发
7.6.1.1 安全架构
安全架构的测评方法、预期结果和结果判定如下。
测评方法:a)
检查开发者提供的安全架构证据,并检查开发者提供的信息是否满足证据的内容和形式的所
有要求:
1) 与审计产品设计文档中对安全功能的描述范围是否相一致:
2) 是否充分描述审计产品采取的自我保护、不可旁路的安全机制。预期结果:60
开发者提供的信息应满足 6.5.1.1 中所述的要求
结果判定:c)
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。
7.6.1.2 功能规范
功能规范的测评方法、预期结果和结果判定如下。

8等级划分
根据审计产品安全功能、自身安全性的强弱以及安全保障要求的高低，将其安全等级划分为基本级和增强级。各类、各安全等级审计产品的技术要求和测评方法最小集合按附录 B 执行。