信息技术远程主机监测产品安全检验规范

本规范由中华人民共和国公安部公共信息网络安全监察局提出。

本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。

公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。

信息技术远程主机监测产品安全检验规范

1.范围

本规范规定了远程主机监测产品的安全功能要求和保证要求。

本规范适用于远程主机监测产品的生产及安全功能检测。

2.术语和定义

2.1 远程主机监测

采用agent(引擎)/console(控制台)结构，在远程主机上安装agent,通过console端对远程主机上的活动进行监测的产品。

3.远程主机监测产品的安全功能

3.1 远程主机监测功能

远程主机监测产品必须具备下述3.1.1、3.1.8、3.1.9的功能，同时可在下述3.1.2到3.1.7的监测功能中酌情选择。

3.1.1 在线状态监测

应提供对远程主机在线状态、agent运行状态监测的功能。

3.1.2  系统资源情况监测

提供对远程主机CPU、内存、硬盘、文件等系统资源进行监测的功能。

3.1.3 进程监测

提供对远程主机的进程进行监测的功能。

3.1.4 上网情况监测

提供对远程主机的上网活动如：HTTP、POP3、SMTP、FTP、TELNET等进行监测的功能，并能对监测结果进行记录。

3.1.5 非授权外联监测

提供对远程主机在策略允许之外通过modem、无线设备等非授权途径与外部网络进行连接的活动进行监测的功能。

3.1.6 屏幕截取

提供对远程主机进行屏幕截取的功能。
3.1.7 键盘记录

提供对远程主机的键盘活动进行监测的功能，并能对监测结果进行记录。

3.1.8 集中管理

应提供对多台远程主机进行集中统一管理的能力，能提供主机策略的集中定制，并可以分发并应用到相应主机上。

3.1.9 远程保密传输

应对从agent到console传输的所有信息采取保密措施。

3.2 安全功能

3.2.1 agent的自身保护功能：

a)应采取防止非授权用户强行终止agent程序运行的措施；

b)应采取防止非授权用户强制取消agent程序在系统启动时自动加载的措施；

c)应采取防止非授权用户强行卸载、删除或修改agent程序的措施。

3.2.2 管理员身份鉴别

应保证只有授权管理员和可信主机才有权使用产品的管理功能，对授权管理员和可信主机应进行身份鉴别。

3.2.3 管理员权限：

a)管理员属性修改（更改密码等）；

b)启动、关闭全部或部分监测功能；

c)修改远程主机监测产品其它安全策略。

3.3 审计功能

3.3.1 审计数据生成

应至少能对下列事件生成日志：

a)远程主机监测产品的启动和关闭；

b)管理员鉴别成功和失败；

c)其它重要操作，如增加、删除管理员，存档、删除、清空日志等。

应在每一个日志记录中记录事件发生的日期和时间、事件描述。

3.3.2 审计管理

应提供下列日志管理功能：

a)只允许授权管理员访问日志记录；

b)提供对日志记录的查询功能；

c)授权管理员能存档、删除和清空日志记录。