信息技術日志分析产品安全检验规范.docVIP

出处：公安部计算机信息系统安全产品质量监督检验中心??作者：佚名??时间：2006-06-11??网址： ? 本规范由中华人民共和国公安部公共信息网络安全监察局提出。本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。 信息技术日志分析产品安全检验规范1.范围本规范规定了日志分析产品的安全功能要求和保证要求。本规范适用于日志分析产品的生产及安全功能检测。2.术语和定义2.1 审计信息泛指被审计产品作为审计处理对象的各种数据信息，包括日志以及各种安全设备产生的安全事件报告信息。2.2?审计数据源用以产生审计信息的软件系统或硬件设备。2.3?审计中心用于完成审计信息的分析处理功能的软件程序。2.4?审计代理为获取特定设备上的审计信息而运行在该设备上的软件程序。3.日志分析产品的安全功能3.1?日志收集3.1.1?数据源控制审计系统应该提供对审计数据源的授权控制机制，只有授权的审计数据源发送的审计信息才能被审计系统分析处理。3.1.2? 获取syslog日志审计系统应支持在标准端口（udp:514）接收标准syslog日志。3.1.3?基于代理的日志获取审计系统应提供代理机制获取其审计信息，如操作系统日志，安全设备报警信息等。 3.1.4 数据源范围数据源至少包括：常见操作系统的系统日志；路由器，交换机日志；常见服务器日志（如FTP、WEB服务器）。3.1.5 日志格式的统一安全审计系统应能对多种日志进行集中分析和处理，审计系统应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格式时不能造成字段丢失。3.1.6 日志数据的预处理审计系统应提供基于一定策略对原始日志数据进行筛选等预处理功能，预处理工作应该在将原始日志存入数据库前完成3.1.7 防止数据丢失当与审计中心连接出现故障时，要有一定的措施防止审计数据丢失。确保该时段内的各项审计日志在连接正常之后传输到审计中心。3.2?日志分析管理3.2.1?日志实时监视审计系统应能够对部分或者全部数据源所产生的日志进行实时监视。3.2.2?审计代理状态监视审计系统应能够监视审计代理的状态，运行是否正常等。3.2.3?条件查询审计系统应提供基于时间、源地址、目的地址、协议类型、危险级别等字段的组合查询。3.2.4?统计报表审计系统应能够手动或自动生成统计报表。至少能按各数据源生成报表。3.2.5?报表格式报表应至少支持一种常用的文件格式（如HTML、XLS等），如使用专有报表格式，必须提供报表浏览工具。3.2.6 数据库支持审计数据存储应支持一个常用的数据库（如MySQL，Oracle等）。3.2.7?审计数据管理应能够对审计数据进行备份/删除。3.3?安全功能3.3.1?管理员身份鉴别应保证只有授权管理员和可信主机才有权使用产品的管理功能，对授权管理员和可信主机应进行身份鉴别。3.3.2?管理员权限：a)管理员属性修改（更改密码等）；b)启动、关闭全部或部分监测功能；c)修改日志分析产品其它安全策略。3.4?审计功能3.4.1?审计数据生成应至少能对下列事件生成日志：a)日志分析产品的启动和关闭；b)鉴别成功和失败；c)其它重要操作，如增加、删除管理员，存档、删除、清空日志等。应在每一个日志记录中记录事件发生的日期和时间、事件描述。3.4.2? 审计管理应提供下列日志管理功能：a)只允许授权管理员访问日志记录；b)提供对日志记录的查询功能；c)授权管理员能存档、删除和清空日志记录。4.日志分析产品的保证要求4.1 交付和运行4.1.1交付过程 开发者行为元素：a)开发者应将把日志分析产品及其部分交付给用户的程序文档化；b)开发者应使用交付程序。 证据元素的内容和表示交付文档应描述，在给用户方分配日志分析产品的版本时，用以维护安全所必需的所有程序。 4.1.2 安装、生成和启动程序 开发者行为元素开发者应将日志分析产品安全地安装、生成和启动所必需的程序文档化。 证据元素的内容和表示文档应描述日志分析产品安全地安装、生成和启动所必要的步骤。4.2 指导性文档4.2.1 管理员指南 开发者行为元素开发者应当提供针对系统管理员的管理员指南。? 证据的内容和形式元素：a)管理员指南应当描述日志分析产品管理员可使用的管理功能和接口；b)管理员指南应当描述如何以安全的方式管理日志分析产品；