GB/T20945-2013
信息安全技术信息系统安全审计产品技术要求和测试评价方法
Informationsecuritytechnology—Technicalrequirements,testingandevaluationapproachesforinformationsystemsecurityauditproduct
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2014-07-15
- 文件格式PDF
- 文本页数48页
- 文件大小768.03KB
以图片形式预览信息安全技术信息系统安全审计产品技术要求和测试评价方法
信息安全技术信息系统安全审计产品技术要求和测试评价方法
国家标准 CB/T20945一2013 代替G20945二007 信息安全技术信息系统安全审计产品 技术要求和测试评价方法 nformationseeuritytechnoogy一Iechmiealrquirements testingandevaluationapproachesforinformationsystemsecurityaudiproduct 2013-12-31发布 2014-07-15实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T20945一2013 目 次 前言 范围 规范性引用文件 术语和定义 缩略语 产品等级划分 5.1 等级划分说明 5.2等级划分表 技术要求 6.1 基本级技术要求 6.2增强级技术要求 测试评价方法 18 基本级测试评价方法 7.1 7.2增强级测试评价方法 26 参考文献 45
GB/T20945一2013 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准代替GB/T20945一2007《信息安全技术信息系统安全审计产品技术要求和测试评价方 法》,本标准与GB/T20945一2007的主要差异如下: 修改了“审计事件生成”功能(见2007版的5.1.1); 修改了“统计分析”功能; 删除了“联动”(见2007版的5.1.4.3)功能 删除了“缺省策略”和“策略模板”和“策略定制”功能(见2007版的5.1.7.2.5.1.7.3和5.1.7.4); 删除了“升级”功能; -删除了“监管要求”功能(见2007版的5.6) 了“数据备份与恢复”功能; 删除了“性能要求”见2007版的第7章)
本标准由全同信息安全标准化技术委员会(S.AC/Tc200)堪出并归口 本文件某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、深信服科技有限公司、蓝盾 信息安全技术股份有限公司、厦门市美亚柏科信息股份有限公司
本标准主要起草人:王志佳,沈亮、,顾健、,顾玮,邹春明、顾建新,赵云,胡维娜
GB/T20945一2013 信息安全技术信息系统安全审计产品 技术要求和测试评价方法 范围 本标准规定了信息系统安全审计产品的技术要求和测试评价方法,技术要求包括安全功能要求、自 身安全功能要求和安全保证要求,并提出了信息系统安全审计产品的分级要求 本标准适用于信息系统安全审计产品的设计、开发、测试和评价
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
计算机信息系统安全保护等级划分准则 GB178591999 GB/T25069-2010信息安全技术术语 术语和定义 GB178591999和GB/T25069-2010界定的以及下列术语和定义适用于本文件
3.1 事件 incident 试图改变目标状态,并造成或可能造成损害的行为的发生
3.2 安全审计 securityaudit 对事件进行记录和分析,并针对特定事件采取相应比较的动作
3.3 信息系统安全审计产品informationsystemseeurityauditprodet 对信息系统的事件进行记录和分析,并针对特定事件采取相应比较动作的产品
3.4 审计记录aditreeordationm 审计产品记录审计目标事件得到的信息
3.5 审计日志aditlog 审计产品记录自身事件得到的信息
3.6 审计中心audcenter 审计产品中记录、分析、处理审计代理发送的事件的功能部件
审计代理al agent 审计产品中采集事件并发送给审计中心的功能部件
GB/T20945一2013 缩略语 下列缩略语适用于本文件
Unit CPU;中央处理器CentralProcessing DoS:拒绝服务DenialofServiee' FTP:文件传输协议(FileTransferProtocol HTML超文本置标语言(HyperTextMarkup L .anguage textTransferProtocol HrTP;超文本传输协议(Hyperw IM:即时通讯InstantMessenger IP:因特网协议InternetProtocol IT:信息技术InformationTechnolog gy PDF:可移植文档格式(PortableDocumentFormat POP3;邮局协议第三版PostOfficeProtocol3) SMTP:简单邮件传输协议SimpleMailTransferProtocol SNMP:简单网络管理协议SimpleNetworkManagementProtocol SQL:结构化查询语言(StructuredQueryLanguage rCP;传输控制协议TransmissionControlProtocol TELNET:远程登录TelecommunicationNetwork UDP;用户数据报协议UserDatagramProtocol URL;统一资源定位符(UniversalResourceL.ocator) 产品等级划分 5.1等级划分说明 根据信息系统安全审计产品应提供的安全功能要求、自身安全功能要求和安全保证要求的强弱,将 产品分为基本级和增强级
基本级规定了产品应提供的基本安全功能要求;自身安全功能要求依据 GB17859一1999第二级;系统审计保护级相关要求
增强级规定了产品除具备基本级要求以外还应增 强的安全功能要求;自身安全功能要求依据GB17859一1999第三级;安全标记保护级相关要求
信息系统安全审计产品的等级划分如表1、表2和表3所示
对产品的等级评定是依据这三个表 格的综合评定得出的,基本级产品应满足表1,表2,表3中所标明的基本级应满足的所有项目;增强级 产品应满足表1,表2,表3中所标明的增强级应满足的所有项目
5.2等级划分表 5.2.1安全功能要求等级划分 信息系统安全审计产品安全功能要求等级划分如表1所示
GB/T20945一2013 表1安全功能要求等级划分表 安全功能要求 基本级 增强级 数据采集 主机事件审计 网络事件审计 事件审计 数据库事件审计 应用系统事件审计 审计分析 统计 关联分析 统计分析 潜在危害分析 异常事件分析 扩展分析接口 审计记录 审计结果 统计报表 审计查阅 图形界面 管理控制 事件分级 事件告警 注;“
”表示要求该功能;“”表示要求该功能并有增强要求;“-"表示不要求该功能
本标准中将基本级和 增强级的技术要求和测试评价方法分别进行描述,其中“加粗字体”表示增强级较基本级增加的内容
5.2.2自身安全功能要求等级划分 信息系统安全审计产品自身安全功能要求等级划分如表2所示
表2自身安全功能要求等级划分表 自身安全要求 基本级 增强级 -性标识 唯一 属性定义 用户角色 基本鉴别 用户与鉴别 多重鉴别机制 超时锁定或注销 鉴别失败处理 鉴别数据保护
GB/T20945一2013 表2(续 增强级 自身安全要求 基本级 远程管理保密 数据传输保密 数据传输完整性 安全状态监测 数据传输安全 审计代理安全 分布式部署 时间同步 存储介质 数据库支持 备份与恢复 数据存储安全 数据删除 存储空间耗尽处理 数据存储完整性 审计日志 注 ”表示要求该功能;“"表示要求该功能并有增强要求;"-”表示不要求该功能
本标准中将基本级和 增强级的技术要求和测试评价方法分别进行描述,其中"加粗字体”表示增强级较基本级增加的内容
5.2.3安全保证要求等级划分 信息系统安全审计产品安全保证要求等级划分如表3所示
表3安全保证要求等级划分表 安全保证要求 基本级 增强级 版本号 配置管理能力 配置项 配置管理 授权控制 配置管理覆盖 交付程序 交付与运行 安装、生成和启动程序 非形式化功能规范 描述性高层设计 开发 高层设计 安全加强的高层设计 非形式化对应性证实 管理员指南 指导性文档 用户指南
GB/T20945一2013 b HTTP通讯 SMTP/POP3通讯 c d) TELNET通讯; 其他网络协议或应用通讯
6.1.1.2.1.3数据库事件审计 数据库审计型信息系统安全审计产品应能够审计以下事件; a)数据库用户操作,包括用户登录鉴别、切换用户、,用户授权等; b)数据库数据操作,包括数据的增加、删除、修改、查询等 数据库结构操作,包括新建、删除数据库或数据表等
6.1.1.2.1.4应用系统事件审计 应用系统审计型信息系统安全审计产品应至少能够审计以下事件中的两种 用户登录、注销 a 用户访问应用系统提供的服务 b 用户管理应用系统 c 应用系统出现系统资源超负荷或服务瘫痪等异常; 应用系统遭到Dos,sQL注人、跨站脚本等攻击 e 其他应用系统事件 6.1.1.2.2统计 信息系统安全审计产品应能够以目标标识和事件类型等条件统计审计事件
6.1.1.3审计结果 6.1.1.3.1审计记录 信息系统安全审计产品应能够把事件审计结果生成审计记录,内容要求如下: a)主机事件审计记录包括:日期时间主机标识、事件主体、事件客体、事件描述等
b) 网络事件审计记录除日期时间、源IP、目的IP外,还包括 FTP,TELNET通讯的用户名、操作命令等 1) 2)HTTP通讯的目标URL等 3)SMTP/POP3通讯的发件邮箱,收件邮箱,邮件主题等; 4)其他网络协议或应用通讯的名称等
数据库事件审计记录包括;日期时间,客户端标识,数据库标识,操作命令等
应用系统事件审计记录包括;日期时间、应用系统标识、事件主体、事件客体、事件描述等
d 6.1.1.3.2统计报表 信息系统安全审计产品应能够把统计结果生成报表,并满足以下要求 报表包括文字和图像信息; a b)报表可导出,至少支持HTML、PDF、wORD,EXCEL等文件格式中的一种 6.1.13.3审计查阅 信息系统安全审计产品应提供审计结果查阅功能,并满足以下要求
GB/T20945一2013 a仅授权用户能访问审计结果; b)提供审计结果查看工具; c 提供按一定的条件查询、组合查询和排序审计记录的功能 6.1.1.4管理控制 6.1.1.4.1 图形界面 信息系统安全审计产品应为用户提供配置管理的图形界面
6.1.1.4.2事件分级 信息系统安全审计产品应能够设置事件分级策略以区分事件的安全级别,审计记录应包含事件分 级信息 6.1.2自身安全功能要求 6.1.2.1用户与鉴别 6.1.2.1.1唯一性标识 信息系统安全审计产品应保证任何用户都具有全局唯一的标识
6.1.2.1.2属性定义 信息系统安全审计产品应为每个用户规定与之相关的安全属性,包括:用户标识、鉴别信息、权 限等
6.1.2.1.3基本鉴别 信息系统安全审计产品应保证任何用户在执行产品的安全功能前都要进行身份鉴别
若其采用网 络远程方式管理,还应对管理地址进行识别
6.1.2.1.4鉴别失败处理 信息系统安全审计产品应提供鉴别失败处理功能
用户连续鉴别失败达到最大失败次数后,阻止 用户进一步的鉴别请求
最大失败次数仅由授权用户设定
6.1.2.1.5鉴别数据保护 信息系统安全审计产品应保证用户鉴别数据以非明文形式存储,不被未授权查看或修改
6.1.2.2数据传输安全 6.1.2.2.1远程管理保密 信息系统安全审计产品若采用网络远程方式管理,应保证管理数据保密传输
6.1.2.2.2时间同步 信息系统安全审计产品若由多个组件组成,应提供各组件与审计中心或时钟服务器时间同步的 功能
GB/T20945一2013 6.1.2.3数据存储安全 6.1.2.3.1存储介质 信息系统安全审计产品应将审计记录和自身审计日志存储于掉电非易失性存储介质中
6.1.2.3.2数据库支持 信息系统安全审计产品应将审计记录与自身审计日志存储于数据库中
6.1.2.3.3存储空间耗尽处理 信息系统安全审计产品应提供数据存储空间耗尽处理功能,当剩余存储空间低于闵值时进行告警 6.1.2.3.4数据存储完整性 信息系统安全审计产品不应提供对数据进行添加、,修改、删除的功能或接口,防止审计记录和自身 审计日志被篡改
6.1.2.4审计日志 信息系统安全审计产品应能够生成自身审计日志,包括以下事件 a)身份鉴别,包括成功和失败; b) 因鉴别失败次数超过了阔值而采取的禁止进一步尝试的措施; 用户的增加、删除、修改 e) d)审计策略的增加、,删除、修改; 时间同步 存储空间达到值报警; f g)其他事件
自身审计日志内容应包括;日期时间、事件主体,事件客体,事件描述等
6.1.3安全保证要求 6.1.3.1版本号 开发者应为产品的不同版本提供唯一的标识
6.1.3.2安装,生成和启动程序 开发者应提供文档说明产品的安装、生成和启动的过程 6.1.3.3开发 6.1.3.3.1非形式化功能规范 开发者应提供一个功能规范,功能规范应满足以下要求: a)使用非形式化风格来描述产品安全功能及其外部接口; b 是内在一致的; 描述所有外部接口的用途与使用方法,适当时提供效果、例外情况和错误消息的细节; c d)完备地表示产品安全功能
GB/T20945一2013 6.1.3.3.2非形式化对应性证实 开发者应在产品安全功能表示的所有相邻对之间提供对应性分析
对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功 能在较具体的安全功能表示中得到正确且完备地细化
6.1.3.4指导性文档 6.1.3.4.1管理员指南 开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致
管理员指南应说明以下内容 管理员可使用的管理功能和接口 a 怎样安全地管理产品, b 在安全处理环境中应被控制的功能和权限; 所有对与产品的安全操作有关的用户行为的假设 所有受管理员控制的安全参数,如果可能,指明安全值; 每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变; 所有与管理员有关的IT环境安全要求
6.1.3.4.2用户指南 开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致 用户指南应说明以下内容 a)产品的非管理员用户可使用的安全功能和接口; b)产品提供给用户的安全功能和接口的使用方法 用户可获取但受安全处理环境所控制的所有功能和权限 d)产品安全操作中用户所应承担的职责, 与用户有关的IT环境的所有安全要求
e 6.1.3.5测试 6.1.3.5.1覆盖证据 开发者应提供测试覆盖的证据
在测试覆盖证据中,应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对 应的
6.1.3.5.2 -致性 开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致
6.2增强级技术要求 6.2.1安全功能要求 6.2.1.1数据采集 信息系统安全审计产品应至少能够根据审计目标设置数据采集策略
GB/T20945一2013 6.2.1.2审计分析 6.2.1.2.1事件审计 6.2.1.2.1.1 主机事件审计 主机审计型信息系统安全审计产品应至少能够审计以下事件中的两种 主机启动和关闭; a) b) 操作系统日志 网络连接 o' d 软硬件配置变更 e) 外围设备使用 文件使用 f g其他事件
6.2.1.2.1.2网络事件审计 网络审计型信息系统安全审计产品应能够审计以下事件 网络协议或应用审计,包括 FTP通讯, 2) HTTP通讯, 3)sMTP/P(oP3通讯; TELNET通讯; 4 5)其他网络协议或应用通讯
网络攻击审计,至少包括以下一种, b lD0S攻击 2 端口扫描攻击; 其他网络攻击
3) 6.2.1.2.1.3数据库事件审计 数据库审计型信息系统安全审计产品应能够审计以下事件 a)数据库用户操作,包括用户登录鉴别、切换用户,用户授权等; 数据库数据操作,包括数据的增加、删除、修改、查询等; b 数据库结构操作,包括新建、删除数据库或数据表等; c d 数据库操作结果,包括数据库返回内容,操作成功或失败等
6.2.1.2.1.4应用系统事件审计 应用系统审计型信息系统安全审计产品应至少能够审计以下事件中的两种 a)用户登录、注销; b用户访问应用系统提供的服务; 用户管理应用系统 c d)应用系统出现系统资源超负荷或服务瘫痪等异常; 应用系统遭到DoS,sQL注人,跨站脚本等攻击 其他应用系统事件 10o
GB/T20945一2013 6.2.1.2.2统计分析 6.2.1.2.2.1 统计 信息系统安全审计产品应提供统计功能,要求如下 a 事件统计;以目标标识和事件类型等条件统计审计事件; 流量统计,网络审计型产晶至少统计TcP协议.UDP协议,网络应用等流量中的一种
b 6.2.1.2.2.2关联分析 信息系统安全审计产品应能够对相互关联的事件进行综合分析
6.2.1.2.2.3潜在危害分析 信息系统安全审计产晶应提供猎在危害分析功能,设置某一事件累积发生的次数或频率超过阅值 的情况为潜在危害事件
6.2.1.2.2.4异常事件分析 信息系统安全审计产品应至少能够分析以下异常事件中的一种 用户活动异常 a b系统资源滥用或耗尽 c)网络应用服务超负荷; d)网络通讯连接数剧增 其他异常事件 e) 6.2.1.2.2.5扩展分析接口 信息系统安全审计产品应提供扩展分析接口,用户可通过该接口利用扩展事件分析模块分析自身 无法分析的事件
6.2.1.3审计结果 6.2.1.3.1审计记录 信息系统安全审计产品应能够把事件审计结果生成审计记录,内容要求如下 a)主机事件审计记录包括:日期时间,主机标识事件主体、事件客体、事件描述等
b 网络事件审计记录除日期时间、源IP,目的IP外,还包括 1) F:TP,TELNET通讯的用户名、操作命令等; 2) HTTP通讯的目标URL等; 3) SMTP/POP3通讯的发件邮箱、收件邮箱、邮件主题等; 网络攻击的类型等; 4 5 其他网络协议或应用通讯的名称等
数据库事件审计记录包括:日期时间、客户端标识、数据库标识,操作命令,操作结果等
d)应用系统事件审计记录包括:日期时间、应用系统标识,事件主体、事件客体,事件描述等
6.2.1.3.2统计报表 信息系统安全审计产品应能够把统计结果生成报表,并满足以下要求 报表包括文字和图像信息 a 11
GB/T20945一2013 b报表可导出,至少支持HTML、PDF,wORD,EXCEL等文件格式中的一种
6.2.1.3.3审计查阅 信息系统安全审计产品应提供审计结果查阅功能,并满足以下要求 a)仅授权用户能访问审计结果: b) 提供审计结果查看工具; e提供按一定的条件查询、组合查询和排序审计记录的功能 6.2.1.4管理控制 6.2.1.4.1图形界面 信息系统安全审计产品应为用户提供配置管理的图形界面
6.2.1.4.2事件分级 信息系统安全审计产品应能够设置事件分级策略以区分事件的安全级别,审计记录应包含事件分 级信息
6.2.1.4.3事件告警 信息系统安全审计产品应提供事件报警功能,并满足以下要求 a)至少支持屏幕报警、邮件告警.SNMIPtrap告警、声光电告警、短信告警等方式中的一种; b)能够对高频发生的相同告警事件进行合并告警,避免出现告警风暴 能够记录告警事件,内容包括日期时间,告警事件描述,告警发生次数等
6.2.2自身安全功能要求 6.2.2.1用户与鉴别 6.2.2.1.1唯一性标识 信息系统安全审计产品应保证任何用户都具有全局唯一的标识 6.2.2.1.2属性定义 信息系统安全审计产品应为每个用户规定与之相关的安全属性,包括用户标识,鉴别信息、权限等
6.2.2.1.3用户角色 信息系统安全审计产品应设置多个用户角色并规定与之相关的权限,同时保证任何角色都具有全 局唯一的标识
6.2.2.1.4基本鉴别 信息系统安全审计产品应保证任何用户在执行产品的安全功能前都要进行身份鉴别
若其采用网 络远程方式管理,还应对管理地址进行识别
6.2.2.1.5多重鉴别机制 信息系统安全审计产品应向用户提供除口令以外的其他身份鉴别机制,至少包括以下- 一种 电子签名或证书鉴别 a 12
GB/T20945一2013 智能IC卡鉴别; b 指纹鉴别; c 虹膜鉴别 d) 其他鉴别机制
6.2.2.1.6超时锁定或注销 信息系统安全审计产品应提供用户登录超时锁定或注销功能,终止超过最大超时时间仍没有任何 操作用户的管理会话.需要再次进行身份鉴别才能继续管理操作
最大超时时间仅由授权用户设定 6.2.2.1.7鉴别失败处理 信息系统安全审计产品应提供鉴别失败处理功能
用户连续鉴别失败达到最大失败次数后,阻止 用户进一步的鉴别请求
最大失败次数仅由授权用户设定
6.2.2.1.8鉴别数据保护 信息系统安全审计产品应保证用户鉴别数据以非明文形式存储,不被未授权查看或修改
6.2.2.2数据传输安全 6.2.2.2.1远程管理保密 信息系统安全审计产品若采用网络远程方式管理,应保证管理数据保密传输
6.2.2.2.2数据传输保密 信息系统安全审计产品若由多个组件组成,应保证控制命令,采集数据等在组件间保密传输
6.2.2.2.3数据传输完整性 信息系统安全审计产品若由多个组件组成,应提供一定的技术手段防止组件间传输的数据被篡改 6.2.2.2.4安全状态监测 信息系统安全审计产品应能够监测组件状态,包括 a)能监测自身CPU,内存、存储空间等状态 b) 产品若由多个组件组成,审计中心能够监测各组件的运行状态
审计代理安全 6.2.2.2.5 信息系统安全审计产品若包括软件审计代理组件,软件审计代理应能够保护自身安全,包括 a)进程具备自动加载措施,在审计目标操作系统启动时自动加载,并防止被取消自动加载; b)进程具备保护措施,防止被强制终止 e程序具备防卸载措施,卸载时至少提供口令保护; d程序具备完整性检查措施.防止程序文件被篡改
6.2.2.2.6分布式部署 信息系统安全审计产品应支持多级分布式部署模式,并满足以下要求 a 能够设置集中审计中心和审计分中心 b)某一审计分中心异常不影响集中审计中心和其他审计分中心正常运行 13
GB/T20945一2013 集中审计中心能够对审计分中心下发数据采集策略; c d) 集中审计中心能够收集审计分中心上传的审计记录,记录中包括审计分中心标识 e 集中审计中心能够对上传的各审计分中心采集的数据进行集中统计分析
6.2.2.2.7时间同步 信息系统安全审计产品若由多个组件组成,应提供各组件与审计中心或时钟服务器时间同步的 功能 6.2.2.3数据存储安全 6.2.2.3.1存储介质 信息系统安全审计产品应将审计记录和自身审计日志存储于掉电非易失性存储介质中
6.2.2.3.2数据库支持 信息系统安全审计产品应将审计记录与自身审计日志存储于数据库中
备份与恢复 6.2.2.3.3 信息系统安全审计产品应提供审计记录的备份恢复功能,并满足以下要求 能够对指定时间段的数据进行备份; a b)备份出的数据文件采取保护措施,防止被未授权查看; 能够根据备份文件恢复数据
6.2.2.3.4数据删除 信息系统安全审计产品应提供审计记录和自身审计日志的删除功能,并满足以下要求 a)不应提供有选择性地手动删除审计记录和自身审计日志的功能; b 能够设置审计记录和自身审计日志的保存时限,自动删除超过保存时限的数据; 若产品为软件,卸载时能够删除审计记录和自身审计日志或提醒用户删除
6.2.2.3.5存储空间耗尽处理 信息系统安全审计产品应提供数据存储空间耗尽处理功能,当剩余存储空间低于阔值时进行告警
在存储空间耗尽前,能够采用自动转储等方式将数据备份到其他存储空间
6.2.2.3.6数据存储完整性 信息系统安全审计产品不应提供对数据进行添加、修改、删除的功能或接口,防止审计记录和自身 审计日志被篡改
6.2.2.4审计日志 信息系统安全审计产品应能够生成自身审计日志,包括以下事件 身份鉴别,包括成功和失败; a b)因鉴别失败次数超过了闵值而采取的禁止进一步尝试的措施 用户的增加,删除、修改; c d 审计策略的增加,删除,修改 时间同步; e 14
GB/I20g45一2013 f 软件审计代理的卸载; g超过保存时限的审计记录和自身审计日志的自动删除 审计日志和审计记录的备份与恢复 h 存储空间达到阔值报警; 其他事件 j 自身审计日志内容应包括日期时间、事件主体、事件客体、事件描述等
6.2.3安全保证要求 6.2.3.1配置管理 6.2.3.1.1配置管理能力 6.2.3.1.1.1版本号 开发者应为产品的不同版本提供唯一的标识
6.2.3.1.1.2配置项 开发者应使用配置管理系统并提供配置管理文档
配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行 描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据 6.2.3.1.1.3授权控制 开发者提供的配置管理文档应包括一个配置管理计划,配置管理计划应措述如何使用配置管理系 统
实施的配置管理应与配置管理计划相一致
开发者应提供所有的配置项得到有效地维护的证据,并应保证只有经过授权才能修改配置项
6.2.3.1.2配置管理覆盖 配置管理范围至少应包括产品交付与运行文档,开发文档、指导性文档,生命周期支持文档、测试文 档、脆弱性分析文档和配置管理文档,从而确保它们的修改是在一个正确授权的可控方式下进行的
配置管理文档至少应能跟踪上述内容,并描述配置管理系统是如何跟踪这些配置项的
6.2.3.2交付与运行 6.2.3.2.1交付程序 开发者应使用一定的交付程序交付产品,并将交付过程文档化
交付文档应描述在给用户方交付产品的各版本时,为维护安全所必需的所有程序 安装,生成和启动程序 6.2.3.2.2 开发者应提供文档说明产品的安装、生成和启动的过程
6.2.3.3开发 6.2.3.3.1 非形式化功能规范 开发者应提供一个功能规范,功能规范应满足以下要求 使用非形式化风格来措述产品安全功能及其外部接口; a 15
GB/T20945一2013 是内在一致的; b c)描述所有外部接口的用途与使用方法,适当时提供效果、例外情况和错误消息的细节; d)完备地表示产品安全功能
6.2.3.3.2高层设计 6.2.3.3.2.1描述性高层设计 开发者应提供产品安全功能的高层设计,高层设计应满足以下要求 a)表示是非形式化的 b 是内在一致的 按子系统描述安全功能的结构; c) d)描述每个安全功能子系统所提供的安全功能性 标识安全功能所要求的任何基础性的硬件、固件或软件,以及在这些硬件、固件或软件中实现 的支持性保护机制所提供功能的一个表示 标识安全功能子系统的所有接口 标识安全功能子系统的哪些接口是外部可见的 6.2.3.3.2.2安全加强的高层设计 开发者提供的安全加强的高层设计应满足以下要求 a 描述产品的功能子系统所有接口的用途与使用方法,适当时提供效果、例外情况和错误消息的 细节; b)把产品分成安全策略实施和其他子系统来描述
6.2.3.3.3非形式化对应性证实 开发者应在产品安全功能表示的所有相邻对之间提供对应性分析
对于产品安全功能所表示的每个相邻对,分析应阐明,较为抽象的安全功能表示的所有相关安全功 能在较具体的安全功能表示中得到正确且完备地细化 6.2.3.4指导性文档 6.2.3.4.1管理员指南 开发者应提供管理员指南,管理员指南应与为评估而提供的其他所有文档保持一致
管理员指南应说明以下内容 a)管理员可使用的管理功能和接口; 怎样安全地管理产品; b 在安全处理环境中应被控制的功能和权限; 所有对与产品的安全操作有关的用户行为的假设; dD 所有受管理员控制的安全参数,如果可能,指明安全值; 每一种与管理功能有关的安全相关事件,包括对安全功能所控制实体的安全特性进行的改变; 所有与管理员有关的IT环境安全要求
g 6.2.3.4.2用户指南 开发者应提供用户指南,用户指南应与为评估而提供的其他所有文档保持一致
16
GB/T20945一2013 用户指南应说明以下内容: a)产品的非管理员用户可使用的安全功能和接口; b产品提供给用户的安全功能和接口的使用方法 用户可获取但受安全处理环境所控制的所有功能和权限; c d)产品安全操作中用户所应承担的职责; 与用户有关的IT环境的所有安全要求
e 6.2.3.5生命周期支持 开发者应提供开发安全文档
开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所 有物理的、程序的、人员的和其他方面的安全措施,并应提供在产品的开发和维护过程中执行安全措施 的证据 6.2.3.6测试 6.2.3.6.1测试覆盖 6.2.3.6.1.1 覆盖证据 开发者应提供测试覆盖的证据
在测试覆盖证据中,应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能是对 应的
6.2.3.6.1.2覆盖分析 开发者应提供测试覆盖的分析
测试覆盖分析应表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能之间的对应 性是完备的
6.2.3.6.2测试深度 开发者应提供测试深度的分析
测试深度分析应证实测试文档中所标识的测试足以证实该产品的功能是依照其高层设计运行的
6.2.3.6.3功能测试 开发者应测试安全功能,将结果文档化并提供测试文档
测试文档应包括以下内容 a测试计划,标识要测试的安全功能,并措述测试的目标 b测试过程,标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对于其他测试 结果的顺序依赖性; 预期的测试结果,表明测试成功后的预期输出 c d)实际测试结果,表明每个被测试的安全功能按照规定进行运作
6.2.3.6.4独立测试 6.2.3.6.4.1 -致性 开发者应提供适合测试的产品,提供的测试集合应与其自测产品功能时使用的测试集合相一致
17
GB/T20945一2013 6.2.3.6.4.2抽样 开发者应提供一组相当的资源,用于安全功能的抽样测试 6.2.3.7脆弱性分析保证 6.2.3.7.1指南审查 开发者应提供指导性文档,指导性文档应满足以下要求: 标识所有可能的产品运行模式(包括失败或操作失误后的运行它们的后果以及对于保持安 a 全运行的意义 b是完备的、清晰的、一致的、合理的 列出关于预期使用环境的所有假设 c d)列出对外部安全措施(包括外部程序的、物理的或人员的控制)的所有要求
6.2.3.7.2产品安全功能强度评估 开发者应对指导性文档中所标识的每个具有安全功能强度声明的安全机制进行安全功能强度分 析,并说明安全机制达到或超过定义的最低强度级别或特定功能强度的度量 6.2.3.7.3开发者脆弱性分析 开发者应执行脆弱性分析,并提供脆弱性分析文档
开发者应从用户可能破坏安全策略的明显途径出发,对产品的各种功能进行分析并提供文档
对 被确定的脆弱性,开发者应明确记录采取的措施
对每一条脆弱性,应有证据显示在使用产品的环境中,该脆弱性不能被利用
在文档中,还需证明 经过标识脆弱性的产品可以抵御明显的穿透性攻击
测试评价方法 7.1基本级测试评价方法 7.1.1安全功能测试评价方法 7.1.1.1数据采集 信息系统安全审计产品的数据采集功能的测试评价方法和预期结果如下 测试评价方法 1) 根据审计目标设置产品的采集策略; 2)在该审计目标进行可审计事件操作; 3)查看产品对以上事件的审计记录
预期结果;产品能够根据审计目标设置数据采集策略
7.1.1.2 审计分析 7.1.1.2.1事件审计 7.1.1.2.1.1主机事件审计 信息系统安全审计产品的主机事件审计功能的测试评价方法和预期结果如下 18
GB/T20945一2013 测试评价方法: a 1) 设置产品的采集策略; 启动和关闭目标主机 2) 37 在目标主机进行操作系统操作,生成操作系统日志 在目标主机进行网络连接操作; 更改目标主机的软硬件配置; 使用目标主机的外围设备; 在目标主机进行文件的添加、修改、删除等操作; 在目标主机进行其他可审计事件操作; 查看产品对以上主机事件的审计记录
预期结果:主机审计型产品至少能够审计以上两种主机事件
7.1.1.2.1.2网络事件审计 信息系统安全审计产品的网络事件审计功能的测试评价方法和预期结果如下 测试评价方法 设置产品的采集策略; 2) 在目标主机或网络登录某个FTP服务器并做文件操作; 3)在目标主机或网络访问某个HTTP网页 在目标主机或网络通过SMTP/P(OP3发收邮件; 在目标主机或网络登录某个TELNET服务器并做远程操作; 5 在目标主机或网络进行其他网络协议或应用通讯操作; 6 查看产品对以上网络协议或应用事件的审计记
预期结果;网络审计型产品能够审计以上网络协议或应用事件
7.1.1.2.1.3数据库事件审计 信息系统安全审计产品的数据库事件审计功能的测试评价方法和预期结果如下 a)测试评价方法; 设置产品的采集策略; 23 在目标数据库服务器进行用户登录鉴别、切换用户用户授权等数据库用户操作; 3y 在目标数据库服务器进行数据的增加,删除、修改、查询等数据库数据操作; 在目标数据库服务器进个 建、删除数据库或数据表等数据库结构操作; 4 行 新 5)查看产品对以上数据库操作的审计记录
预期结果;数据库审计型产品能够审计以上数据库操作事件
7.1.1.2.1.4应用系统事件审计 信息系统安全审计产品的应用系统事件审计功能的测试评价方法和预期结果如下 测试评价方法: a 设置产品的采集策略 1) 2 登录,注销目标应用系统; 3)访问目标应用系统提供的服务 4管理目标应用系统 5在目标应用系统模拟系统资源超负荷或服务瘫痪等异常; 6)采用DossQL注人,跨站脚本等方式攻击目标应用系统 19
GB/T20945一2013 在目标应用系统进行其他可审计事件操作; 7 8)查看产品对以上应用系统事件的审计记录
b预期结果;应用系统审计型产品至少能够审计以上两种应用系统事件
7.1.1.2.2统计 信息系统安全审计产品的统计功能的测试评价方法和预期结果如下 a)测试评价方法: 设置产品的采集策略 1 2)在多个审计目标进行可审计事件操作; 3)在审计目标进行多种类型可审计事件操作 4)分别查看产品以目标标识和事件类型等条件统计审计事件的结果 5)重复以上事件操作; 6)查看以上统计结果的变化 预期结果;产品能够以目标标识和事件类型等条件统计审计事件
7.1.1.3审计结果 审计记录 7.1.1.3.1 信息系统安全审计产品的审计记录功能的测试评价方法和预期结果如下 a 测试评价方法: 查看主机事件审计记录的日期时间、主机标识、事件主体、事件客体、事件描述等信息 2)查看网络事件审计记录的日期时间、源IP,目的IP等信息,此外查看FTP,TELNET通 讯的用户名、操作命令等信息,HTTP通讯的目标URL等信息,SMTP/POP3通讯的发 件邮箱、收件邮箱,邮件主题等信息,其他网络协议或应用通讯的名称等信息 3)查看数据库事件审计记录的日期时间,客户端标识,数据库标识,操作命令等信息; 查看应用系统事件审计记的日期时间应用系统标识,事件主体、事件客体、事件描述等 4 信息
b 预期结果:产品能够把事件审计结果生成审计记录,相应审计记录内容包括以上信息
7.1.1.3.2统计报表 信息系统安全审计产品的统计报表功能的测试评价方法和预期结果如下 a)测试评价方法: 1查看产品的统计结果并生成报表; 2)查看报表的文字和图像信息 3)以HTML,PDF、wORD,ExCEL等格式导出报表并查看导出的报表
预期结果 b 1产品能够把统计结果生成报表; 统计报表包括文字和图像信息 2 报表可导出,至少支持HTML,PDF、,woRD,ExCEL等文件格式中的一种
3 7.1.1.3.3 审计查阅 信息系统安全审计产品的审计查阅功能的测试评价方法和预期结果如下 测试评价方法 a 2o0
GB/I20g45一2013 分别尝试以非授权用户和授权用户查看产品的审计结果; 1) 2) 以 一定的条件对审计记录进行查询、组合查询和排序 b 预期结果 仅授权用户能够访问产品的审计结果 1D 提供审计结果查看工具; 2 提供按一定的条件查询、组合查询和排序审计记录的功能
3 7.1.1.4管理控制 7.1.1.4.1图形界面 信息系统安全审计产品的图形界面功能的测试评价方法和预期结果如下 测试评价方法 a 1)登录产品图形界面并设置产品的采集策略; 在审计目标进行可审计事件操作 2 3)在产品图形界面进行审计结果查看等操作
预期结果;产品能够为用户提供配置管理的图形界面
b 7.1.1.4.2事件分级 信息系统安全审计产品的事件分级功能的测试评价方法和预期结果如下 测试评价方法: 设置产品的采集策略和事件分级策略; 2) 在审计目标进行不同级别审计事件操作; 3)查看产品不同级别的审计记录
预期结果 b 产品能够设置事件分级策略; 审计记录包含事件分级信息
2 7.1.2自身安全测试评价方法 7.1.2.1用户与鉴别 7.1.2.1.1唯一性标识 信息系统安全审计产品的唯一性标识功能的测试评价方法和预期结果如下 a)测试评价方法 1)查看产品的用户信息; 2)尝试新建一个相同用户标识的用户 预期结果;产品不能建立相同用户标识的用户,任何用户标识全局唯一 O 7.1.2.1.2属性定义 信息系统安全审计产品的属性定义功能的测试评价方法和预期结果如下 测试评价方法 a 1查看产品用户的用户标识,鉴别信息、权限等信息; 以用户标识、鉴别信息、权限等信息新建用户 2 b)预期结果:产品能够为每个用户规定与之相关的安全属性,包括用户标识、鉴别信息、权限等
21
GB/T20945一2013 7.1.2.1.3基本鉴别 信息系统安全审计产品的基本鉴别功能的测试评价方法和预期结果如下 测试评价方法: a 1 尝试在未鉴别的情况下使用产品功能 2) 尝试以非授权用户鉴别并使用产品功能 3) 设置产品的远程管理地址限制功能; 4)分别以授权和非授权的地址尝试鉴别并登录产品
预期结果 b 任何用户在执行产品的安全功能前都要进行身份鉴别 1 能够对网络远程管理地址进行识别
2 7.1.2.1.4鉴别失败处理 信息系统安全审计产品的鉴别失败处理功能的测试评价方法和预期结果如下 测试评价方法 a 设置产品的最大鉴别失败次数 以错误的鉴别信息尝试鉴别,重复操作达到最大鉴别失败次数 2 该用户以正确的鉴别信息尝试鉴别 3 以非授权用户尝试设置最大失败次数 4 b 预期结果: 产品提供鉴别失败处理功能; 2 最大失败次数仅由授权用户设定
7.1.2.1.5鉴别数据保护 信息系统安全审计产品的鉴别数据保护功能的测试评价方法和预期结果如下 测试评价方法 1登录后台数据库查看产品的用户鉴别数据; 2) 分别以非授权和授权用户尝试查看或修改用户鉴别数据
b预期结果 产品的用户鉴别数据以非明文形式存储; 1 用户鉴别数据不被未授权查看或修改
2 7.1.2.2数据传输安全 7.1.2.2.1远程管理保密 信息系统安全审计产品的远程管理保密功能的测试评价方法和预期结果如下 测试评价方法 a 1鉴别登录产品并进行配置管理操作 2)截获鉴别和管理的通讯数据并查看数据内容
b预期结果;产品远程管理数据保密
7.1.2.2.2时间同步 信息系统安全审计产品的时间同步功能的测试评价方法和预期结果如下 22
GB/T20945一2013 测试评价方法 a 1 在审计中心对各组件下发与审计中心或时钟服务器时间同步的命令 各组件设置与审计中心或时钟服务器时间同步的策略 2) 3)在各组件查看同步后的时间
预期结果:;产品能够同步各组件与审计中心或时钟服务器的时间
b 7.1.2.3数据存储安全 7.1.2.3.1数据存储介质 信息系统安全审计产品的数据存储介质功能的测试评价方法和预期结果如下 a)测试评价方法 1) 在产品进行各种配置管理操作,生成自身审计日志; 在审计目标进行可审计事件操作,生成审计记录 2) 3关闭产品电源后重新启动; 4查看审计记录和自身审计日志
预期结果;产品将审计记录和自身审计日志存储于掉电非易失性存储介质中
7.1.2.3.2数据库支持 信息系统安全审计产品的数据库支持功能的测试评价方法和预期结果如下 测试评价方法: 1登录产品后台数据库; 2)查看数据库类型版本,审计记录和自身审计日志
预期结果:产品将审计记录与自身审计日志存储于数据库中
7.1.2.3.3存储空间耗尽处理 信息系统安全审计产品的存储空间耗尽处理功能的测试评价方法和预期结果如下 测试评价方法: a 设置产品存储空间报警闵值; 1 2) 在审计目标进行大量可审计事件操作或直接拷贝大文件填充存储空间直至达到报警 值 查看报警
预期结果;产品在剩余存储空间低于闵值时能够进行告警
b 7.1.2.3.4数据完整性 信息系统安全审计产品的数据完整性功能的测试评价方法和预期结果如下 测试评价方法 a 以授权用户尝试对数据进行添加、修改和删除; 1) 以非授权用户尝试对数据进行添加、修改和删除
2 预期结果;产品不提供对数据进行添加、修改、删除的功能或接口
7.1.2.4审计日志 信息系统安全审计产品的审计日志功能的测试评价方达和预期结果如下 测试评价方法 a 23
GB/T20945一2013 以错误的鉴别信息连续鉴别失败达到最大鉴别失败次数; 1) 2) 以正确的身份鉴别信息进行鉴别 进行用户和角色的增加、删除、修改操作; 37 4) 进行审计策略的增加、删除、修改操作; s 进行时间同步操作 6)设置存储空间报警闵值,填充存储空间直至存储空间达到闵值报警; 7 进行其他操作; 查看以上操作的审计日志,查看审计日志的目期时间、事件主体、事件客体、事件描述等 8 信息 b 预期结果 产品能够审计以上事件 1 审计日志包括日期时间、事件主体,事件客体、事件描述等信息
2 7.1.3安全保证测试评价方法 7.1.3.1版本号 信息系统安全审计产品的版本号的测试评价方法和预期结果如下 a)测试评价方法;评价者审查开发者提供的配置管理支持文件是否包含以下内容;版本号,要求 开发者所使用的版本号与所表示的产品样本完全对应,没有歧义
预期结果;审查记录以及最后结果符合测试评价方法要求,开发者提供唯一版本号
b 7.1.3.2安装,生成和启动程序 信息系统安全审计产品的安装,生成和启动程序的测试评价方法和预期结果如下 a)测试评价方法;评价者审查开发者是否提供了文档说明系统的安装、生成、启动和使用的过程 用户是否通过此文档了解安装、生成、启动和使用过程
b预期结果;审查记录以及最后结果符合测试评价方法要求,评价者审查内容应说明系统的安 装、生成、启动和使用的过程符合测试评价方法要求
7.1.3.3开发 7.1.3.3.1非形式化功能规范 信息系统安全审计产品的非形式化功能规范的测试评价方法和预期结果如下 a)测试评价方法 评价者审查开发者所提供的信息是否满足如下要求 1 功能设计使用非形式化风格来描述产品安全功能与其外部接口; 2 功能设计是内在一致的; 3)功能设计描述使用所有外部产品安全功能接口的目的与方法,适当的时候,提供结果影响 例外情况和出错信息的细节; 功能设计完整地表示产品安全功能
预期结果:审查记录以及最后结果符合测试评价方法要求,评价者审查内容至少包括测试评 价方法中的四个方面
开发者提供的内容精确和完整
7.1.3.3.2非形式化对应性证实 信息系统安全审计产品的非形式化对应性证实的测试评价方法和预期结果如下 24
GB/T20945一2013 测试评价方法;评价者审查开发者是否在产品安全功能表示的所有相邻对之间提供对应性分 析
其中,系统各种安全功能表示(如系统功能设计,高层设计,低层设计,实现表示)之间的对 应性是所提供的抽象产品安全功能表示要求的精确而完整的示例
产品安全功能在功能设计 中进行细化,并且较为抽象的产品安全功能表示的所有相关安全功能部分,在较具体的产品安 全功能表示中进行细化
b)预期结果:审查记录以及最后结果符合测试评价方法要求,评价者审查内容至少包括功能设 计、高层设计底层设计,实现表示这四项
开发者提供的内容精确和完整,并互相对应
7.1.3.4指导性文档 7.1.3.4.1管理员指南 信息系统安全审计产品的管理员指南的测试评价方法和预期结果如下 测试评价方达;评价者审查开发者是否提供了供授权管理员使用的管理员指南,并且此管理员 a 指南是否包括如下内容 产品可以使用的管理功能和接口 怎样安全地管理产品 2) 在安全处理环境中应进行控制的功能和权限; 3 所有对与产品的安全操作有关的用户行为的假设 N 5)所有受管理员控制的安全参数,如果可能,指明安全值 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行 6 的改变; 7所有与授权管理员有关的IT环境的安全要求
预期结果;审查记录以及最后结果符合测试评价方法要求,评价者审查内容至少包括测试评 b 价方法中的七方面
开发者提供的管理员指南完整
7.1.3.4.2用户指南 信息系统安全审计产品的用户指南的测试评价方法和预期结果如下 a)测试评价方法;评价者审查开发者是否提供了供系统用户使用的用户指南,并且此用户指南是 否包括如下内容 1 产品的非管理用户可使用的安全功能和接口 2)产品提供给用户的安全功能和接口的用法 3) 用户可获取但受安全处理环境控制的所有功能和权限; 4)产品安全操作中用户所应承担的职责; 5)与用户有关的IT环境的所有安全要求
预期结果;审查记录以及最后结果符合测试评价方法要求,评价者审查内容至少包括测试评 价方法中的五方面
开发者提供的用户指南完整
7.1.3.5测试 7.1.3.5.1覆盖证据 信息系统安全审计产品的覆盖证据的测试评价方法和预期结果如下 测试评价方法:评价者审查开发者提供的测试覆盖证据,在测试覆盖证据中是否表明测试文档 中所标识的测试与功能规范中所描述的系统的安全功能是对应的
b)预期结果:审查记录以及最后结果符合测试评价方法要求,开发者提供的测试覆盖证据表明 25
GB/T20945一2013 测试文档中所标识的测试与功能规范中所描述的系统的安全功能是对应的
7.1.3.5.2 -致性 信息系统安全审计产品的一致性的测试评价方法和预期结果如下: 测试评价方法;评价者评价开发者提供的测试产品,提供的测试集合是否与其自测系统功能时 使用的测试集合相一致
b)预期结果:审查记录以及最后结果符合测试评价方法要求,开发者提供适合测试的产品,提供 的测试集合、执行的测试及其结果与其自测系统功能时使用的测试集合、执行的测试及其结 果相一致
7.2增强级测试评价方法 7.2.1安全功能测试评价方法 7.2.1.1数据采集 信息系统安全审计产品的数据采集功能的测试评价方法和预期结果如下 测试评价方法 a 根据审计目标设置产品的采集策略 2) 在该审计目标进行可审计事件操作 3)查看产品对以上事件的审计记录
b预期结果;产品能够根据审计目标设置数据采集策略
7.2.1.2审计分析 7.2.1.2.1事件审计 7.2.1.2.1.1主机事件审计 信息系统安全审计产品的主机事件审计功能的测试评价方法和预期结果如下 a)测试评价方法; 设置产品的采集策略; 1 27 启动和关闭目标主机 3 在目标主机进行操作系统操作,生成操作系统日志 在目标主机进行网络连接操作; 5 更改目标主机的软硬件配置; 使用目标主机的外围设备 在目标主机进行文件的添加、修改,删除等操作; 在目标主机进行其他可审计事件操作; 8 查看产品对以上主机事件的审计记录
9 预期结果;主机审计型产品至少能够审计以上两种主机事件
7.2.1.2.1.2网络事件审计 信息系统安全审计产品的网络事件审计功能的测试评价方法和预期结果如下 测试评价方法 网络协议或应用审计 设置产品的采集策略; 26
GB/T20945-2013信息系统安全审计产品技术要求和测试评价方法
随着信息化建设的进一步发展,信息系统在企业中的应用越来越广泛。而信息系统自身的安全问题也日益受到关注。为了更好地保护信息系统的安全,需要使用信息安全技术以及信息系统安全审计产品技术。
信息安全技术是指保证计算机系统、网络数据传输和存储过程中信息的保密性、完整性和可用性的技术。目前常见的信息安全技术包括身份认证技术、加密技术、防火墙技术、入侵检测和防范技术等。
信息系统安全审计产品技术则是基于信息安全技术,对信息系统的安全状态进行全面评估和监测。信息系统安全审计产品技术要求包括:
GB/T20945-2013是指导信息系统安全审计产品技术要求和测试评价方法的标准,该标准针对信息系统安全审计产品的开发、测试和实施提供了详细的技术要求和测试评价方法。具体包括以下方面:
- 信息系统安全审计产品的基本要求: 包括适用范围、定义、缩写、术语和定义、分类以及信息系统安全审计产品的基本要求。
- 信息系统安全审计产品的功能要求: 包括安全事件管理、数据收集和分析、策略和规则管理、自动化审计等多个方面的功能要求。
- 信息系统安全审计产品的技术要求: 包括数据采集、数据存储、数据分析、风险评估、管理界面等多个方面的技术要求。
- 信息系统安全审计产品的测试评价方法: 包括功能测试、性能测试、稳定性测试、安全测试、易用性测试等多个方面的测试评价方法。
总之,信息安全技术与信息系统安全审计产品技术是保障信息系统安全的两个基本方面。而GB/T20945-2013则是指导信息系统安全审计产品技术要求和测试评价方法的重要标准,为信息系统安全的保障提供了科学可靠的技术支持和指导。
