GAT 695-2007信息安全技术 网络通讯安全审计数据留存功能要求.pdf

ICS 35.240GAA 90中华人民共和国公共安全行业标准GA/T 695—2007信息安全技术网络通讯安全审计数据留存功能要求Information security technology-Subsistence function reguirements for securityaudit data of network communications2007-05-14 发布2007-07-01 实施中华人民共和国公安部发布 中华人民共和国公共安全行业标准信息安全技术网络通讯安全审计数据留存功能要求GA/T 695—2007*中国标准出版社出版发行北京复兴门外三里河北街16号邮政编码：100045网址 www.spc. 电话：6852394668517548中国标准出版社秦皇岛印刷厂印刷各地新华书店经销*开本 880×12301/16印张 0.5字数 ９千字2007年8月第一版2007年8月第一次印刷*书号：155066·2-18032如有印装差错由本社发行中心调换版权专有侵权必究举报电话：（010 GA/T 695—2007前本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人：沈亮、张奕、陆臻、顾玮、赵婷、张岚、顾健。 GA/T 695--2007信息安全技术网络通讯安全审计数据留存功能要求1范围本标准规定了网络通讯安全审计数据留存相关产品的自身安全功能要求、安全功能要求和保证要求。本标准适用于网络通讯安全审计数据留存相关产品的生产及检测。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的必威体育精装版版本。凡是不注日期的引用文件，其必威体育精装版版本适用于本标准。GB/T18336.3--2001信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求(idt ISO/IEC 15408-3:1999)3术语和定义下列术语和定义适用于本标准。3.1网络通讯安全审计数据留存相关产品 security audit data subsistence correlation products of network communications行跟踪并记录的产品。3.2audit log审计日志安全审计产品自身审计产生的信息。3.3审计记录audit recordation跟踪网络或指定系统的使用状态产生的信息。3.4审计信息audit information所有的审计日志和审计记录的总称。4网络通讯安全审计数据留存相关产品的安全功能要求4.1信息采集4.1.1审计记录记录网络中数据包的相关信息，记录内容至少应包括：记录时间、源IP地址、源MAC地址、源端口、目标IP地址、源MAC地址、目的端口、协议类型、数据包长度。4.1.2　审计日志记录安全审计产品自身的审计，记录内容至少应包括：1 GA/T 695--2007a）审计记录和审计日志功能的启动和关闭；b）符合表1中的所有可审计事件；c）事件日期与时间、事件类型、主体身份和事件结果（成功或失败）；d）表1细节一栏中指定的附加信息。表１基本可审计事件件细节所有对审计记录或审计日志的删除或清空记录时间从审计记录或审计日志中读取信息在信息采集功能运行时所有对审计配置的修改所有鉴别机制的使用位置对用户的修改修改后的用户身份安全审计系统组件的启动与关闭4.2会话还原4.2.1会话内容的基本项会话信息内容的基本项应包括：会话起始时间、源地址、目标地址。4.2.2服务信息收集的基本要求FTP通讯信息：除基本项以外还应包括：使用的账号、输入命令。TELNET通讯信息：除基本项以外还应包括：使用的账号、输入命令。WWW通讯信息：除基本项以外还应包括：目标URL。E-mail通讯信息：除基本项以外还应包括：源信箱地址、目的信箱地址。4.2.3服务信息收集的扩展要求FTP通讯信息：除满足基本要求以外还应包括；传输的文件内容。TELNET通讯信息：除满足基本要求以外还应包括：反馈信息。WWW通讯信息：除满足基本要求以外还应包括：恢复网页所需的文件。E-mail 通讯信息：除满足基本项以外还应包括：邮件内容、附件。4.3自主访问控制4.3.1属性定义安全审计产品应为每个角色规定与之相关的安全属性。4.3.2属性初始化安全审计产品应提供使用默认值对创建的每个角色的属性进行初始化的能力。4.4身份鉴别4.4.1基本鉴别安全审计产品应在执行任何与授权用户相关功能之前鉴别用户的身份。4.4.2鉴别失败的基本处理安全审计产