信息技术日志分析产品安全检验规范

本规范由中华人民共和国公安部公共信息网络安全监察局提出。

本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。

公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。

信息技术日志分析产品安全检验规范

1.范围

本规范规定了日志分析产品的安全功能要求和保证要求。

本规范适用于日志分析产品的生产及安全功能检测。

2.术语和定义

2.1 审计信息

泛指被审计产品作为审计处理对象的各种数据信息，包括日志以及各种安全设备产生的安全事件报告信息。

2.2 审计数据源

用以产生审计信息的软件系统或硬件设备。

2.3 审计中心

用于完成审计信息的分析处理功能的软件程序。

2.4 审计代理

为获取特定设备上的审计信息而运行在该设备上的软件程序。

3.日志分析产品的安全功能

3.1 日志收集

3.1.1 数据源控制

审计系统应该提供对审计数据源的授权控制机制，只有授权的审计数据源发送的审计信息才能被审计系统分析处理。

3.1.2  获取syslog日志

审计系统应支持在标准端口（udp:514）接收标准syslog日志。

3.1.3 基于代理的日志获取

审计系统应提供代理机制获取其审计信息，如操作系统日志，安全设备报警信息等。

3.1.4 数据源范围

数据源至少包括：常见操作系统的系统日志；路由器，交换机日志；常见服务器日志（如FTP、WEB服务器）。

3.1.5 日志格式的统一

安全审计系统应能对多种日志进行集中分析和处理，审计系统应该能够将各种不同的日志格式表示为统一的日志数据格式。且统一格式时不能造成字段丢失。

3.1.6 日志数据的预处理

审计系统应提供基于一定策略对原始日志数据进行筛选等预处理功能，预处理工作应该在将原始日志存入数据库前完成

3.1.7 防止数据丢失

当与审计中心连接出现故障时，要有一定的措施防止审计数据丢失。确保该时段内的各项审计日志在连接正常之后传输到审计中心。

3.2 日志分析管理

3.2.1 日志实时监视

审计系统应能够对部分或者全部数据源所产生的日志进行实时监视。

3.2.2 审计代理状态监视

审计系统应能够监视审计代理的状态，运行是否正常等。

3.2.3 条件查询

审计系统应提供基于时间、源地址、目的地址、协议类型、危险级别等字段的组合查询。

3.2.4 统计报表

审计系统应能够手动或自动生成统计报表。至少能按各数据源生成报表。

3.2.5 报表格式

报表应至少支持一种常用的文件格式（如HTML、XLS等），如使用专有报表格式，必须提供报表浏览工具。

3.2.6 数据库支持

审计数据存储应支持一个常用的数据库（如MySQL，Oracle等）。

3.2.7 审计数据管理

应能够对审计数据进行备份/删除。
3.3 安全功能

3.3.1 管理员身份鉴别

应保证只有授权管理员和可信主机才有权使用产品的管理功能，对授权管理员和可信主机应进行身份鉴别。

3.3.2 管理员权限：

a)管理员属性修改（更改密码等）；

b)启动、关闭全部或部分监测功能；

c)修改日志分析产品其它安全策略。

3.4 审计功能

3.4.1 审计数据生成

应至少能对下列事件生成日志：

a)日志分析产品的启动和关闭；

b)鉴别成功和失败；

c)其它重要操作，如增加、删除管理员，存档、删除、清空日志等。

应在每一个日志记录中记录事件发生的日期和时间、事件描述。

3.4.2  审计管理

应提供下列日志管理功能：

a)只允许授权管理员访问日志记录；

b)提供对日志记录的查询功能；

c)授权管理员能存档、删除和清空日志记录。

4.日志分析产品的保证要求

4.1 交付和运行

4.1.1交付过程

4.1.1.1 开发者行为元素：

a)开发者应将把日志分析产品及其部分交付给用户的程序文档化；

b)开发者应使用交付程序。

4.1.1.2 证据元素的内容和表示

交付文档应描述，在给用户方分配日志分析产品的版本时，用以维护安全所必需的所有程序。

4.1.2 安装、生成和启动程序

4.1.2.1 开发者行为元素

开发者应将日志分析产品安全地安装、生成和启动所必需的程序文档化。

4.1.2.2 证据元素的内容和表示

文档应描述日志分析产品安全地安装、生成和启动所必要的步骤。

4.2 指导性文档

4.2.1 管理员指南

4.2.1.1 开发者行为元素

开发者应当提供针对系统管理员的管理员指南。

4.2.1.2  证据的内容和形式元素：

a)管理员指南应当描述日志分析产品管理员可使用的管理功能和接口；

b)管理员指南应当描述如何以安全的方式管理日志分析产品；

c)管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告；

d)管理员指南应当描述所有与日志分析产品的安全运行有关的用户行为的假设；

e)管理员指南应当描述所有受管理员控制的安全参数，合适时，应指明安全值；

f)管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件，包括改变TSF所控制的实体的安全特性；

g)管理员指南应当与为评估而提供的其他所有文档保持一致；

h)管理员指南应当描述与管理员有关的IT环境的所有安全要求。

4.2.2 用户指南

4.2.2.1 开发者行为元素

开发者应当提供用户指南。

4.2.2.2 证据的内容和形式元素：

a)用户指南应该描述日志分析产品的非管理用户可用的功能和接口；

b)用户指南应该描述日志分析产品提供的用户可访问的安全功能的用法；

c)用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告；

d)用户指南应该清晰地阐述日志分析产品安全运行中用户所必须负的职责，包括有关在日志分析产品安全环境阐述中找得到的用户行为的假设；

e)用户指南应该与为评估而提供的其它所有文档保持一致；

f)用户指南应该描述与用户有关的IT环境的所有安全要求。