標準編號:	GA/T 911-2019
中文名稱:	信息安全技術 日志分析產(chǎn)品安全技術要求
英文名稱:	Information security technology Security technical requirements for log analysis products
中標分類:	A90    社會公共安全綜合
行業(yè)分類:	GA    公共安全行業(yè)標準
ICS分類:	35.240 35.240    信息技術應用 35.240
發(fā)布機構:	中華人民共和國公安部
發(fā)布日期:	2019-03-19
實施日期:	2019-3-19
標準狀態(tài):	valid
替代舊標準:	GA/T 911-2010 信息安全技術　日志分析產(chǎn)品安全技術要求
翻譯語言:	英文
文件格式:	PDF
中文字符數(shù):	17000 字
翻譯價格(元):	1190.0
交付時間:	付款后 1 個工作日

Codeofchina.com is in charge of this English translation. In case of any doubt about the English translation, the Chinese original shall be considered authoritative. This standard is developed in accordance with the rules given in GB/T 1.1-2009. This standard replaces GA/T 911-2010 Information security technology—Security technology requirements for log analysis products and has the following main changes with respect to GA/T 911-2010: ——Requirements of "grading" are modified to basic level and enhanced level (see Chapter 8; 7.2, 7.3 and 7.4 of Edition 2010); ——"Standard protocol reception" is deleted (see 4.1.2.1 of Edition 2010); ——"Collection of agent mode" is deleted (see 4.1.2.2 of Edition 2010); ——Requirements for "Log file import” are deleted (see 4.1.2.3 of Edition 2010); ——Requirements for "Data collection" are added (see 5.1.2.1); ——Requirements for "Audit record backup" are modified (see 5.1.6; 4.2.3 of Edition 2010); ——Requirements for "self-protection ability of software agent" are deleted (see 5.1.1.1 of Edition 2010); ——Requirements for "Data transmission control" are deleted (see 5.1.1.3 of Edition 2010); ——Requirements for "Data resumption" are deleted (see 5.1.1.4 of Edition 2010); ——Requirements for "Multi-level deployment" are added (see 6.1.1); ——Requirements for "Multiple authentications" are added (see 6.2.1.3). ——Requirements for "Locking after timeout" are added (see 6.2.1.4); ——Requirements for "Audit record storage" are deleted (see 5.3.2 of Edition 2010); ——Requirements for "Audit management" are deleted (see 5.3.3 of Edition 2010); ——Requirements for "Data storage security" are added (see 6.3.3); This standard was proposed by the Network Security Bureau, Ministry of Public Security. This standard is under the jurisdiction of the Information Security Standardization Technical Committee of the Ministry of Public Security. The previous edition of this standard is as follows: ——GA/T 911-2010. Information security technology— Security technical requirements for log analysis products 1 Scope This standard specifies the security function requirements, self-security function requirements and security assurance requirements of log analysis products as well as grading requirements. This standard is applicable to the design, development and testing of log analysis products. 2 Normative references The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced documents (including any amendment) applies. GB/T 18336.3-2015 Information technology—Security techniques—Evaluation criteria for IT security—Part 3: Security assurance components GB/T 25069-2010 Information security technology—Glossary 3 Terms and definitions For the purposes of this document, the terms and definitions given in GB/T 18336.3-2015 and GB/T 25069-2010 and the following apply. 3.1 log analysis product security product that collects log data in information system by means of log agent, standard protocol and file import, and stores and analyzes it centrally 3.2 log data source original source from which the log data is generated 3.3 log administration center functional module for centralized processing, storage and analysis of collected log data 3.4 audit log log analysis generated due to audit of the log analysis product 3.5 log record log data which is generated based on specific rules and stored in the log administration center after preprocessing the collected original log data 3.6 authorized administrator users who have administration authority for log analysis products in terms of the system configuration, security policies and log data 4 General information 4.1 Classification of security technical requirements This standard covers three security technical requirements of log analysis products, i.e. security function, self-security function and security assurance. The security function requirements are specific requirements for the security functions of log analysis products, including log collection and storage, log record processing, log presentation and alarm, and development interface, etc.; self-security functions are specific requirements for self-security functions of log analysis products, including component security, security management, self-audit function and system alarm, etc.; security assurance specifies specific requirements for the life cycle process of log analysis products, such as development, guidance documents, life cycle support, test and vulnerability assessment. 4.2 Security grading The log analysis products are classified into two security grades, i.e. basic level and enhanced level according to the rigorous level of its security function, self-security function and security assurance requirements. The security assurance requirement refers to GB/T 18336.3-2015. 5 Security function requirements 5.1 Log collection and storage 5.1.1 Log data source Log analysis products shall be able to add, modify and delete log data sources. The log data sources shall include at least the following types: a) Network equipment, e.g. switches, routers, firewall; b) Operating system; c) Database system; d) Other application systems. 5.1.2 Log data collection 5.1.2.1 Data collection Log analysis products shall be able to collect log data from log data sources by at least one of the following methods: a) Log agent; b) Standard protocols; c) File import; d) Others. 5.1.2.2 Timeliness of log collection Log analysis products shall be able to collect log data from log data sources in time. 5.1.3 Preprocessing of log data 5.1.3.1 Data screening Log analysis products shall be able to screen the collected log data based on established policies and selectively generate log records. 5.1.3.2 Data conversion Log analysis products shall be able to convert the original log data in different formats into a unified data format while protecting key data items from loss and damage. 5.1.4 Log record generation The log analysis product shall generate log records after preprocessing and event analysis of the collected log data. The log records shall be understandable to the administrator and contain the following information: a) Event date and time; b) Subject of the event; c) Object of the event; d) Description of the event; e) Type of the event; f) Event level; g) IP address, MAC, or name of the log data source. 5.1.5 Log record storage 5.1.5.1 Security protection Log analysis products shall be provided with security mechanisms to protect log records from unauthorized reading, deletion, or modification. 5.1.5.2 Protection against loss of log records Log analysis products shall be provided with the following measures to prevent log records from being lost: a) Log records shall be stored in non-volatile storage media in case of power off; b) Alarm will be given when capacity of the log records reaches the threshold; c) The earlier log records will be converted to other devices automatically before they run out of storage space. 5.1.6 Log record backup Log analysis products shall be provided with the following log record backup functions: a) Supporting customizable automated backup functions and strategies; b) Converting log records in an automatic way to realize remote backup.

Foreword i 1 Scope 2 Normative references 3 Terms and definitions 4 General information 4.1 Classification of security technical requirements 4.2 Security grading 5 Security function requirements 5.1 Log collection and storage 5.2 Log analysis and processing 5.3 Log presentation and alarm 5.4 Development interface 6 Self-security function requirements 6.1 Component security 6.2 Security management 6.3 Self-audit function 6.4 System alarm 7 Security assurance requirements 7.1 Development 7.2 Guidance documents 7.3 Life cycle support 7.4 Tests 7.5 Vulnerability assessment 8 Requirements of security at different levels 8.1 Security function requirements 8.2 Self-security function requirements 8.3 Security assurance requirements

ICS 35.240 A 90 GA 中華人民共和國公共安全行業(yè)標準 GA／T 911-2019 代普GA／T 911-2010 信息安全技術 日志分析產(chǎn)品安全技術要求 Information security technology—Security technical requirements for log analysis products 2019-03-19發(fā)布 2019-03-19實施 中華人民共和國公安部 發(fā)布 前言 本標準按照GB／T 1.1-2009給出的規(guī)則起草。 本標準代替GA／T 911-2010《信息安全技術 日志分析產(chǎn)品安全技術要求》，與GA／T 911-2010相比主要變化如下： ——修改了“等級劃分”的要求，將等級劃分為基本級和增強級兩級(見第8章，2010年版的7.2、7.3和7.4)； ——刪除了“標準協(xié)議接收”的要求(見2010年版的4.1.2.1)； ——刪除了“代理方式采集”的要求(見2010年版的4.1.2.2)； ——刪除了“日志文件導入”的要求(見2010年版的4.1.2.3)； ——增加了“數(shù)據(jù)采集”的要求(見5.1.2.1)； ——修改了“審計記錄備份”的要求(見5.1.6，2010年版的4.2.3)； ——刪除了“軟件代理的自保護能力”的要求(見2010年版的5.1.1.1)； ——刪除了“數(shù)據(jù)傳輸控制”的要求(見2010年版的5.1.1.3)； ——刪除了“數(shù)據(jù)續(xù)傳”的要求(見2010年版的5.1.1.4)； ——增加了“多級部署”的要求(見6.1.1)； ——增加了“多重鑒別”的要求(見6.2.1.3)； ——增加了“超時鎖定”的要求(見6.2.1.4)； ——刪除了“審計記錄存儲”的要求(見2010年版的5.3.2)； ——刪除了“審計管理”的要求(見2010年版的5.3.3)； ——增加了“數(shù)據(jù)存儲安全”的要求(見6.3.3)。 本標準由公安部網(wǎng)絡安全保衛(wèi)局提出。 本標準由公安部信息系統(tǒng)安全標準化技術委員會歸口。 本標準的歷次版本發(fā)布情況為： ——GA／T 911-2010。 信息安全技術 日志分析產(chǎn)品安全技術要求 1 范圍 本標準規(guī)定了日志分析產(chǎn)品的安全功能要求、自身安全功能要求、安全保障要求及等級劃分要求。 本標準適用于日志分析產(chǎn)品的設計、開發(fā)及檢測。 2 規(guī)范性引用文件 下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。 GB／T 18336，3-2015 信息技術 安全技術 信息技術安全評估準則 第3部分：安全保障組件 GB／T 25069-2010 信息安全技術 術語 3 術語和定義 GB／T 18336.3-2015和GB／T 25069-2010界定的以及下列術語和定義適用于本文件。3.1 日志分析產(chǎn)品 log analysis product 通過日志代理、標準協(xié)議、文件導入等方式采集信息系統(tǒng)中的日志數(shù)據(jù)，并進行集中存儲和分析的安全產(chǎn)品。 3.2 日志數(shù)據(jù)源 log data source 產(chǎn)生日志數(shù)據(jù)的原始來源。 3.3 日志管理中心 log administration center 對采集到的日志數(shù)據(jù)進行集中處理、存儲、分析的功能模塊。 3.4 審計日志 audit log 日志分析產(chǎn)品自身審計產(chǎn)生的日志數(shù)據(jù)。 3.5 日志記錄 log record 對采集到的原始日志數(shù)據(jù)進行預處理之后，根據(jù)一定規(guī)則生成并保存在日志管理中心的日志數(shù)據(jù)。 3.6 授權管理員 authorized administrator 具有日志分析產(chǎn)品管理權限的用戶，負責對日志分析產(chǎn)品的系統(tǒng)配置、安全策略和日志數(shù)據(jù)進行管理。 4 總體說明 4.1 安全技術要求分類 本標準將日志分析產(chǎn)品安全技術要求分為安全功能、自身安全功能和安全保障要求三大類。其中，安全功能要求是對日志分析產(chǎn)品應具備的安全功能提出具體要求，包括日志采集和存儲、日志記錄處理、日志呈現(xiàn)和報警以及開發(fā)接口等；自身安全功能是對日志分析產(chǎn)品應具備的自身安全功能提出具體要求，包括組件安全、安全管理、自身審計功能和系統(tǒng)報警等；安全保障要求針對日志分析產(chǎn)品的生命周期過程提出具體的要求，例如開發(fā)、指導性文檔、生命周期支持、測試和脆弱性評定等。 4.2 安全等級劃分 日志分析產(chǎn)品的安全等級按照其安全功能要求、自身安全功能要求和安全保障要求的強度劃分為基本級和增強級，其中安全保障要求參考了GB／T 18336.3-2015。 5 安全功能要求 5.1 日志采集和存儲 5.1.1 日志數(shù)據(jù)源 日志分析產(chǎn)品應能對日志數(shù)據(jù)源進行添加、修改和刪除等管理操作，并且日志數(shù)據(jù)源的類型應至少包含以下范圍： a) 網(wǎng)絡設備，如交換機、路由器、防火墻； b) 操作系統(tǒng)； c) 數(shù)據(jù)庫系統(tǒng)； d) 其他應用系統(tǒng)。 5.1.2 日志數(shù)據(jù)采集 5.1.2.1 數(shù)據(jù)采集 日志分析產(chǎn)品應能通過一定的方式采集日志數(shù)據(jù)源的日志數(shù)據(jù)，至少包括以下一種采集方式： a) 日志代理； b) 標準協(xié)議； c) 文件導入； d) 其他。 5.1.2.2 日志采集及時性 日志分析產(chǎn)品應能及時采集日志數(shù)據(jù)源的日志數(shù)據(jù)。 5.1.3 日志數(shù)據(jù)的預處理 5.1.3.1 數(shù)據(jù)篩選 日志分析產(chǎn)品應能基于既定策略對采集的日志數(shù)據(jù)進行過濾，有選擇地生成日志記錄。 5.1.3.2 數(shù)據(jù)轉換 日志分析產(chǎn)品應能將各種不同格式的原始日志數(shù)據(jù)轉換為統(tǒng)一的數(shù)據(jù)格式，且轉換時不能造成關鍵數(shù)據(jù)項丟失和損壞。 5.1.4 日志記錄生成 日志分析產(chǎn)品應在對采集的日志數(shù)據(jù)進行預處理和事件分析之后，生成相應的日志記錄，日志記錄內容應為管理員可理解，并且包含以下信息： a) 事件發(fā)生的日期和時間； b) 事件主體； c) 事件客體； d) 事件描述； e) 事件類型； f) 事件級別； g) 日志數(shù)據(jù)源的IP地址、MAC或名稱。 5.1.5 日志記錄存儲 5.1.5.1 安全保護 日志分析產(chǎn)品應采取安全機制，保護日志記錄免遭未經(jīng)授權的讀取、刪除或修改。 5.1.5.2 防止日志記錄丟失 日志分析產(chǎn)品應提供以下措施防止日志記錄丟失： a) 日志記錄應存儲于掉電非易失性存儲介質中； b) 當日志記錄的存儲容量達到閾值時，發(fā)出報警信息； c) 在日志記錄的存儲空間耗盡前自動將較早日志記錄轉存到其他設備上。 5.1.6 日志記錄備份 日志分析產(chǎn)品應提供以下日志記錄備份功能： a) 支持可定制的自動化備份功能及策略； b) 通過自動方式對日志記錄進行轉存，實現(xiàn)異地備份。 5.2 日志分析和處理 5.2.1 日志記錄處理 5.2.1.1 數(shù)據(jù)整合 日志分析產(chǎn)品應能檢查日志記錄是否重復或無效，并進行數(shù)據(jù)的整合。 5.2.1.2 數(shù)據(jù)拆分 若日志記錄的單一字段包含多種信息并且這多種信息間具有分隔符，日志分析產(chǎn)品應能將此單一字段拆分成便于分析的若干字段存儲。 5.2.2 日志記錄分析 5.2.2.1 事件辨別 日志分析產(chǎn)品應能動態(tài)地維護一個事件庫，對網(wǎng)絡中的各種事件根據(jù)一定的特征進行分類，并且應能對采集的日志數(shù)據(jù)進行分析，判斷日志數(shù)據(jù)所屬的事件類型。 5.2.2.2 事件定級 日志分析產(chǎn)品應為不同類型的事件設定級別，以表明事件的性質或揭示此類事件的發(fā)生給信息系統(tǒng)所帶來危險程度。 5.2.2.3 事件統(tǒng)計 日志分析產(chǎn)品應能夠根據(jù)事件的以下屬性進行統(tǒng)計： a) 事件主體； b) 事件客體； c) 事件類型； d) 事件級別； e) 事件發(fā)生的日期和時間； f) 日志數(shù)據(jù)源的IP地址或名稱； g) 事件的其他屬性或屬性的組合。 5.2.2.4 潛在危害分析 日志分析產(chǎn)品應能設定單類事件累計發(fā)生次數(shù)或發(fā)生頻率的閾值，當統(tǒng)計分析表明此類事件超出閾值時則表明信息系統(tǒng)出現(xiàn)了潛在的危害。 5.2.2.5 異常行為分析 日志分析產(chǎn)品應維護一個與信息系統(tǒng)相關的合法用戶的正常行為集合，以此區(qū)分入侵者的行為和合法用戶的異常行為。 5.2.2.6 關聯(lián)事件分析 日志分析產(chǎn)品應提供以下關聯(lián)分析功能： a) 根據(jù)事件的級別、事件的累計發(fā)生次數(shù)等指標進行綜合分析，從而對信息系統(tǒng)或信息系統(tǒng)中單個資源的風險等級進行評估； b) 通過對多個日志數(shù)據(jù)源進行關聯(lián)事件分析應能分析到多步訪問行為，并能根據(jù)已知的事件序列以圖示方法模擬出完整的訪問路徑。 5.2.2.7 日志記錄數(shù)據(jù)挖掘 日志分析產(chǎn)品應能夠從大量的日志數(shù)據(jù)中提取隱含的、事先未知的、具有潛在價值的有用信息和知識，具體要求如下： a) 提取同一類型的事件的共同性質，如事件頻繁發(fā)生的時間段等； b) 提取單個事件和其他事件之間依賴或關聯(lián)的知識，如事件發(fā)生的因果關系等； c) 提取反映同類事件共同性質的特征和不同事件之間的差異型特征，揭示隱含事件的發(fā)生； d) 發(fā)現(xiàn)其他類型的知識，揭示偏離常規(guī)的異常現(xiàn)象； e) 根據(jù)數(shù)據(jù)的時間序列，由歷史的和當前的數(shù)據(jù)去推測未來的數(shù)據(jù)，比如分析某一目標系統(tǒng)的用戶訪問日志，從中尋找用戶普遍訪問的規(guī)律。 5.3 日志呈現(xiàn)和報警 5.3.1 日志查詢 日志分析產(chǎn)品應能夠根據(jù)事件的以下屬性進行日志記錄查詢： a) 事件主體； b) 事件客體； c) 事件類型； d) 事件級別； e) 事件發(fā)生的日期和時間； f) 日志數(shù)據(jù)源的IP地址或名稱； g) 事件的其他屬性或屬性的組合。 5.3.2 統(tǒng)計報表 日志分析產(chǎn)品應能夠根據(jù)事件統(tǒng)計結果生成統(tǒng)計報表，并能以通用格式輸出。 5.3.3 分析報告 日志分析產(chǎn)品應能根據(jù)日志記錄分析結果生成分析報告，并能夠以通用格式輸出，分析報告應包含以下內容： a) 日志記錄分析結果； b) 對信息系統(tǒng)或信息系統(tǒng)中單個資源的風險等級提供評估結果； c) 對日志記錄分析結果提供補救建議； d) 根據(jù)日志數(shù)據(jù)挖掘收集到的知識，提供預測性的信息。 5.3.4 報警機制 日志分析產(chǎn)品應能針對以下事件，進行報警： a) 用戶指定的事件，如高危險級別的事件等； b) 潛在危害分析結果表明信息系統(tǒng)存在潛在危害； c) 異常行為分析結果表明信息系統(tǒng)存在入侵者的行為或合法用戶的異常行為； d) 日志記錄分析結果表明信息系統(tǒng)或信息系統(tǒng)中某一資源存在風險。 5.4 開發(fā)接口 日志分析產(chǎn)品應至少提供一個標準的，開放的接口，能按照該接口的規(guī)范為其他信息安全產(chǎn)品編寫相應的程序模塊，以便共享信息或規(guī)范化聯(lián)動。 6 自身安全功能要求 6.1 組件安全 6.1.1 日志代理狀態(tài)監(jiān)測 日志分析產(chǎn)品應能監(jiān)測日志代理的在線狀態(tài)。 6.1.2 多級部署 日志分析產(chǎn)品應支持分布式多級方式部署。 6.1.3 集中管理 日志分析產(chǎn)品應能夠集中定制日志采集策略，并分發(fā)應用到相應的日志代理上。 6.1.4 數(shù)據(jù)傳輸安全 若日志分析產(chǎn)品組件間通過網(wǎng)絡進行通訊，日志分析產(chǎn)品應對組件間相互傳輸?shù)臄?shù)據(jù)進行保護，保證數(shù)據(jù)在傳送過程中的完整性和保密性。 6.1.5 時間同步 日志分析產(chǎn)品應提供時間同步功能，保證日志分析產(chǎn)品組件之間時間的一致性。 6.2 安全管理 6.2.1 標識和鑒別 6.2.1.1 唯一性標識 日志分析產(chǎn)品應為用戶提供唯一標識，同時將用戶的身份標識與該用戶的所有可審計事件相關聯(lián)。 6.2.1.2 身份鑒別 日志分析產(chǎn)品應在執(zhí)行任何與安全功能相關的操作之前對用戶進行鑒別。 6.2.1.3 多重鑒別 日志分析產(chǎn)品應能向管理角色提供除口令身份鑒別機制以外的其他身份鑒別機制。 6.2.1.4 超時鎖定 日志分析產(chǎn)品應具有登錄超時鎖定或注銷功能。在設定的時間段內沒有任何操作的情況下，終止會話，需要再次進行身份鑒別才能夠重新操作。最大超時時間僅由授權管理員設定。 6.2.1.5 鑒別數(shù)據(jù)保護 日志分析產(chǎn)品應保證鑒別數(shù)據(jù)不被未授權查閱或修改。 6.2.1.6 鑒別失敗處理 當用戶鑒別失敗的次數(shù)達到設定值時，日志分析產(chǎn)品應按以下措施處理： a) 終止會話； b) 鎖定用戶賬號或遠程登錄主機的地址； c) 產(chǎn)生系統(tǒng)報警消息，通知授權管理員。 6.2.2 安全功能管理 日志分析產(chǎn)品應為授權管理員提供以下管理功能： a) 查看和修改各種安全屬性； b) 定制和修改各種安全策略。 6.2.3 區(qū)分安全角色管理 日志分析產(chǎn)品應能通過對授權管理員給以不同的角色配置，賦予授權管理員不同的管理權限 6.2.4 遠程管理 若日志分析產(chǎn)品提供遠程管理功能，應采取以下措施保證遠程管理安全： a) 對遠程管理信息進行保密傳輸； b) 對遠程登錄主機的地址進行限制。 6.3 自身審計功能 6.3.1 審計日志生成 日志分析產(chǎn)品應對以下事件生成審計日志： a) 管理員的登錄事件，包括成功和失敗； b) 對安全策略進行更改的操作； c) 因鑒別嘗試不成功的次數(shù)達到設定值，導致的會話連接終止； d) 對日志記錄的備份和刪除； e) 日志代理狀態(tài)的變更； f) 對安全角色進行增加，刪除和屬性修改的操作； g) 管理員的其他操作。 應在每一條審計日志中記錄事件發(fā)生的日期，時間、用戶標識，事件描述和結果。若日志分析產(chǎn)品提供遠程管理功能，還應記錄遠程登錄主機的地址。 6.3.2 數(shù)據(jù)存儲安全 日志分析產(chǎn)品應防止審計數(shù)據(jù)被刪除或篡改，保證存儲數(shù)據(jù)的完整性。 6.4 系統(tǒng)報警 6.4.1 報警事件類型 日志分析產(chǎn)品應能對以下系統(tǒng)事件進行報警： a) 日志記錄的存儲空間達到設定值； b) 用戶鑒別失敗的次數(shù)達到設定值； c) 授權管理員自定義的其他系統(tǒng)事件。 6.4.2 報警消息 日志分析產(chǎn)品的報警消息內容應滿足以下要求： a) 為管理員可理解； b) 至少包括事件發(fā)生的日期、時間、事件主體和事件描述。 6.4.3 報警方式 日志分析產(chǎn)品的報警方式應包含以下方式中的一種或多種： a) 彈出報警窗口； b) 發(fā)送報警郵件； c) 發(fā)送Snmp trap消息； d) 發(fā)送聲光電信號； e) 發(fā)送SMS短消息。 7 安全保障要求 7.1 開發(fā) 7.1.1 安全架構 開發(fā)者應提供產(chǎn)品安全功能的安全架構描述，安全架構描述應滿足以下要求： a) 與產(chǎn)品設計文檔中對安全功能實施抽象描述的級別一致； b) 描述與安全功能要求一致的產(chǎn)品安全功能的安全域； c) 描述產(chǎn)品安全功能初始化過程為何是安全的； d) 證實產(chǎn)品安全功能能夠防止被破壞； e) 證實產(chǎn)品安全功能能夠防止安全特性被旁路。 7.1.2 功能規(guī)范 開發(fā)者應提供完備的功能規(guī)范說明，功能規(guī)范說明應滿足以下要求： a) 完全描述產(chǎn)品的安全功能； b) 描述所有安全功能接口的目的與使用方法； c) 標識和描述每個安全功能接口相關的所有參數(shù)； d) 描述安全功能接口相關的安全功能實施行為； e) 描述由安全功能實施行為處理而引起的直接錯誤消息； f) 證實安全功能要求到安全功能接口的追溯； g) 描述安全功能實施過程中，與安全功能接口相關的所有行為； h) 描述可能由安全功能接口的調用而引起的所有直接錯誤消息。 7.1.3 實現(xiàn)表示 開發(fā)者應提供全部安全功能的實現(xiàn)表示，實現(xiàn)表示應滿足以下要求： a) 提供產(chǎn)品設計描述與實現(xiàn)表示實例之間的映射，并證明其一致性； b) 按詳細級別定義產(chǎn)品安全功能，詳細程度達到無須進一步設計就能生成安全功能的程度； c) 以開發(fā)人員使用的形式提供。 7.1.4 產(chǎn)品設計 開發(fā)者應提供產(chǎn)品設計文檔，產(chǎn)品設計文檔應滿足以下要求： a) 根據(jù)子系統(tǒng)描述產(chǎn)品結構； b) 標識和描述產(chǎn)品安全功能的所有子系統(tǒng)； c) 描述安全功能所有子系統(tǒng)間的相互作用； d) 提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能接口； e) 根據(jù)模塊描述安全功能； f) 提供安全功能子系統(tǒng)到模塊間的映射關系； g) 描述所有安全功能實現(xiàn)模塊，包括其目的及與其他模塊間的相互作用； h) 描述所有實現(xiàn)模塊的安全功能要求相關接口，其他接口的返回值、與其他模塊間的相互作用及調用的接口； i) 描述所有安全功能的支撐或相關模塊，包括其目的及與其他模塊間的相互作用。 7.2 指導性文檔 7.2.1 操作用戶指南 開發(fā)者應提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應滿足以下要求： a) 描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權，包含適當?shù)木拘畔ⅲ? b) 描述如何以安全的方式使用產(chǎn)品提供的可用接口； c) 描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時指明安全值； d) 明確說明與需要執(zhí)行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能所控制實體的安全特性； e) 標識產(chǎn)品運行的所有可能狀態(tài)(包括操作導致的失敗或者操作性錯誤)，以及它們與維持安全運行之間的因果關系和聯(lián)系； f) 充分實現(xiàn)安全目的所必須執(zhí)行的安全策略。 7.2.2 準備程序 開發(fā)者應提供產(chǎn)品及其準備程序，準備程序描述應滿足以下要求： a) 描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟； b) 描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。 7.3 生命周期支持 7.3.1 配置管理能力 開發(fā)者的配置管理能力應滿足以下要求： a) 為產(chǎn)品的不同版本提供唯一的標識。 b) 使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護，并唯一標識配置項。 c) 提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法。 d) 配置管理系統(tǒng)提供一種自動方式來支持產(chǎn)品的生成，通過該方式確保只能對產(chǎn)品的實現(xiàn)表示進行已授權的改變。 e) 配置管理文檔包括一個配置管理計劃，配置管理計劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品實施的配置管理與配置管理計劃相一致。 f) 配置管理計劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。 7.3.2 配置管理范圍 開發(fā)者應提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表應包含以下內容： a) 產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分； b) 實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。 7.3.3 交付程序 開發(fā)者應使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，交付文檔應描述為維護安全所必需的所有程序。 7.3.4 開發(fā)安全 開發(fā)者應提供開發(fā)安全文檔。開發(fā)安全文檔應描述在產(chǎn)品的開發(fā)環(huán)境中，為保護產(chǎn)品設計和實現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。 7.3.5 生命周期定義 開發(fā)者應建立一個生命周期模型對產(chǎn)品的開發(fā)和維護進行必要的控制，并提供生命周期定義文檔描述用于開發(fā)和維護產(chǎn)品的模型。 7.3.6 工具和技術 開發(fā)者應明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含義和所有依賴于實現(xiàn)的選項的含義。 7.4 測試 7.4.1 測試覆蓋 開發(fā)者應提供測試覆蓋文檔，測試覆蓋描述應滿足以下要求： a) 表明測試文檔中所標識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應性； b) 表明上述對應性是完備的，并證實功能規(guī)范中的所有安全功能接口都進行了測試。7.4.2 測試深度 開發(fā)者應提供測試深度的分析。測試深度分析描述應滿足以下要求： a) 證實測試文檔中的測試與產(chǎn)品設計中的安全功能子系統(tǒng)和實現(xiàn)模塊之間的一致性； b) 證實產(chǎn)品設計中的所有安全功能子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進行過測試。 7.4.3 功能測試 開發(fā)者應測試產(chǎn)品安全功能，將結果文檔化并提供測試文檔。測試文檔應包括以下內容： a) 測試計劃，標識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其他測試結果的任何順序依賴性； b) 預期的測試結果，表明測試成功后的預期輸出； c) 實際測試結果和預期的一致性。 7.4.4 獨立測試 開發(fā)者應提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。 7.5 脆弱性評定 基于已標識的潛在脆弱性，產(chǎn)品能夠抵抗以下攻擊行為： a) 具有基本攻擊潛力的攻擊者的攻擊； b) 具有增強型基本攻擊潛力的攻擊者的攻擊。 8 不同安全等級的要求 8.1 安全功能要求 不同安全等級的日志分析產(chǎn)品的安全功能要求如表1所示。 表1 不同安全等級的日志分析產(chǎn)品的安全功能要求 安全功能要求 基本級 增強級 日志采集和存儲 日志數(shù)據(jù)源 5.1.1a)～c) 5.1.1 日志數(shù)據(jù)采集 數(shù)據(jù)采集 5.1.2.1 5.1.2.1 日志采集及時性 5.1.2.2 5.1.2.2 日志數(shù)據(jù)的預處理 數(shù)據(jù)篩選 5.1.3.1 5.1.3.1 數(shù)據(jù)轉換 5.1.3.2 5.1.3.2 日志記錄生成 5.1.4 5.1.4 日志記錄存儲 安全保護 5.1.5.1 5.1.5.1 防止日志記錄丟失 5.1.5.2a)、b) 5.1.5.2 日志記錄備份 5.1.6a) 5.1.6 日志處理和分析 日志記錄處理 數(shù)據(jù)整合 — 5.2.1.1 數(shù)據(jù)拆分 — 5.2.1.2 日志記錄分析 事件辨別 5.2.2.1 5.2.2.1 事件定級 5.2.2.2 5.2.2.2 事件統(tǒng)計 5.2.2.3a)～f) 5.2.2.3 潛在危害分析 5.2.2.4 5.2.2.4 異常行為分析 — 5.2.2.5 關聯(lián)事件分析 — 5.2.2.6 日志記錄數(shù)據(jù)挖掘 — 5.2.2.7 日志呈現(xiàn)和報警 日志查詢 5.3.1a)～f) 5.3.1 統(tǒng)計報表 5.3.2 5.3.2 分析報告 — 5.3.3 報警機制 5.3.4a).b) 5.3.4 開發(fā)接口 — 5.4 8.2 自身安全功能要求 不同安全等級的日志分析產(chǎn)品的自身安全功能要求如表2所示。 表2 不同安全等級的日志分析產(chǎn)品的自身安全功能要求 自身安全功能要求 基本級 增強級 組件安全 日志代理狀態(tài)監(jiān)測 6.1.1 6.1.1 多級部署 — 6.1.2 集中管理 — 6.1.3 數(shù)據(jù)傳輸安全 — 6.1.4 時間同步 — 6.1.5 安全管理 標識和鑒別 唯一性標識 6.2.1.1 6.2.1.1 身份鑒別 6.2.1.2 6.2.1.2 多重鑒別 — 6.2.1.3 超時鎖定 6.2.1.4 6.2.1.4 鑒別數(shù)據(jù)保護 6.2.1.5 6.2.1.5 鑒別失敗處理 — 6.2.1.6 安全功能管理 6.2.2 6.2.2 區(qū)分安全角色管理 — 6.2.3 遠程管理 — 6.2.4 自身審計功能 審計日志生成 6.3.1a)～e) 6.3.1 數(shù)據(jù)存儲安全 — 6.3.2 系統(tǒng)報警 報警事件類型 6.4.la)、b) 6.4.1 報警消息 6.4.2 6.4.2 報警方式 6.4.3 6.4.3 8.3 安全保障要求 不同安全等級的日志分析產(chǎn)品的安全保障要求如表3所示。 表3 不同安全等級的日志分析產(chǎn)品的安全保障要求 安全保障要求 基本級 增強級 開發(fā) 安全架構 7.1.1 7.1.1 功能規(guī)范 7.1.2a)～f) 7.1.2 實現(xiàn)表示 — 7.1.3 產(chǎn)品設計 7.1.4a)～d) 7.1.4 指導性文檔 操作用戶指南 7.2.1 7.2.1 準備程序 7.2.2 7.2.2 生命周期支持 配置管理能力 7.3.1a)～c) 7.3.1 配置管理范圍 7.3.2a) 7.3.2 交付程序 7.3.3 7.3.3 開發(fā)安全 — 7.3.4 生命周期定義 — 7.3.5 工具和技術 — 7.3.6 測試 覆蓋 7.4.1a) 7.4.1 深度 — 7.4.2 功能測試 7.4.3 7.4.3 獨立測試 7.4.4 7.4.4 脆弱性評定 7.5a) 7.5b)