信息技术非授权外联监测产品安全检验规范

本规范由中华人民共和国公安部公共信息网络安全监察局提出。

本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。

公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。

信息技术非授权外联监测产品安全检验规范

1.范围

本规范规定了非授权外联监测产品的安全功能要求和保证要求。

本规范适用于非授权外联监测产品的生产及安全功能检测。

2.术语和定义

2.1 非授权外联监测unauthorized outward connection monitor

主要监视受保护网络内部主机在安全策略允许之外通过modem、无线设备（如CDMA、GSM，Wireless LAN等）等非授权途径与外部网络进行连接的产品。

3.非授权外联监测产品的安全功能

3.1 非授权外联监测

3.1.1 内部在线主机扫描

应提供对局域网内部不同网段的所有主机进行扫描的功能，以查询所有在线主机，扫描结果至少应包括主机名、IP地址。

3.1.2 监测范围

受监控的主机应包括扫描到的所有主机，并且由管理员任意添加主机和网段。

3.1.3 监测非授权外联

能够完全、准确地探测出受监测的内部主机未经授权而联接到外部网络的行为。

3.1.4 报警

当监测到有非授权外联行为的主机时，能够通过一定的方式进行报警（比如消息、email等），至少包括日志记录。

3.1.5 实时性

所有报警要具有实时性。

3.1.6 日志

对所有非授权外联情况进行记录，至少包括以下内容：

a)主机名

b)主机IP

c)外联方式

d)非授权外联的起始和终止时间

3.1.7 阻断

宜提供阻断功能，当监测到内部主机有非授权外联行为时，阻断其与局域网其它主机间的所有通信。

3.2 安全功能

3.2.1 主机型非授权外联监测产品自身保护功能：

有防止非授权人员删除和卸载该产品的措施。

如果采用的是C/S模式：

a)应采取防止非授权用户强行终止非授权外联监测产品运行的措施；

b)应采取防止非授权用户强制取消非授权外联监测产品在系统启动时自动加载的措施；

c)服务端应对客户端进行鉴别。

3.2.2 管理员身份鉴别

应保证只有授权管理员和可信主机才有权使用产品的管理功能，对授权管理员和可信主机应进行身份鉴别。

3.2.3 管理员权限：

a)管理员属性修改（更改密码等）；

b)启动、关闭全部或部分监测功能；

c)修改非授权外联监测产品其它安全策略。

3.3 审计功能

3.3.1 审计数据生成

应至少能对下列事件生成日志：

a)非授权外联监测产品的启动和关闭；

b)鉴别成功和失败；

c)其它重要操作，如增加、删除管理员，存档、删除、清空日志等。

应在每一个日志记录中记录事件发生的日期和时间、事件描述。

3.3.2 审计管理

应提供下列日志管理功能：

a)只允许授权管理员访问日志记录；

b)提供对日志记录的查询功能；

c)授权管理员能存档、删除和清空日志记录。

4.非授权外联监测产品的保证要求

4.1 交付和运行

4.1.1交付过程

4.1.1.1 开发者行为元素：

a)开发者应将把非授权外联监测产品及其部分交付给用户的程序文档化；

b)开发者应使用交付程序。
4.1.1.2 证据元素的内容和表示

交付文档应描述，在给用户方分配非授权外联监测产品的版本时，用以维护安全所必需的所有程序。

4.1.2 安装、生成和启动程序

4.1.2.1 开发者行为元素

开发者应将非授权外联监测产品安全地安装、生成和启动所必需的程序文档化。

4.1.2.2 证据元素的内容和表示

文档应描述非授权外联监测产品安全地安装、生成和启动所必要的步骤。

4.2 指导性文档

4.2.1 管理员指南

4.2.1.1 开发者行为元素

开发者应当提供针对系统管理员的管理员指南。

4.2.1.2 证据的内容和形式元素：

a)管理员指南应当描述非授权外联监测产品管理员可使用的管理功能和接口；

b)管理员指南应当描述如何以安全的方式管理非授权外联监测产品；

c)管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告；

d)管理员指南应当描述所有与非授权外联监测产品的安全运行有关的用户行为的假设；

e)管理员指南应当描述所有受管理员控制的安全参数，合适时，应指明安全值；

f)管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件，包括改变TSF所控制的实体的安全特性；

g)管理员指南应当与为评估而提供的其他所有文档保持一致；

h)管理员指南应当描述与管理员有关的IT环境的所有安全要求。

4.2.2 用户指南

4.2.2.1 开发者行为元素

开发者应当提供用户指南。

4.2.2.2 证据的内容和形式元素：

a)用户指南应该描述非授权外联监测产品的非管理用户可用的功能和接口；

b)用户指南应该描述非授权外联监测产品提供的用户可访问的安全功能的用法；

c)用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告；

d)用户指南应该清晰地阐述非授权外联监测产品安全运行中用户所必须负的职责，包括有关在非授权外联监测产品安全环境阐述中找得到的用户行为的假设；

e)用户指南应该与为评估而提供的其它所有文档保持一致；

f)用户指南应该描述与用户有关的IT环境的所有安全要求。