GA T 910-2020 信息安全技术 内网主机监测产品安全技术要求.pdf

1、ICS 35.240 A90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXX XXXX 代替 GA/T 910-2010 信息安全技术 内网主机监测产品安全技术 要求 Information security technology Security technical requirements for intranet-host monitoring products （报批稿） XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发布 GA/T XXXX XXXX I 目 次 前言 . II 1 范围 . 1 2

2、 规范性引用文件 . 1 3 术语和定义 . 1 4 安全功能要求 . 1 4.1 安全监测功能 . 1 4.2 安全控制功能 . 3 4.3 组件安全 . 4 4.4 受控主机管理 . 4 4.5 安全管理 . 5 4.6 审计功能 . 6 5 安全保障要求 . 6 5.1 开发 . 6 5.2 指导性文档 . 7 5.3 生命周期支持 . 8 5.4 测试 . 8 5.5 脆弱性评定 . 9 6 等级划分要求 . 9 6.1 划分概述 . 9 6.2 安全功能要求等级划分 . 9 6.3 安全保障要求等级划分 . 10 GA/T XXXX XXXX II 前 言 本标准按照 GB/T 1.

3、1-2009给出的规则起草。 本标准代替 GA/T 910-2010 信息安全技术 内网主机监测产品安全技术要求， 与 GA/T 910-2010 相比主要技术变化如下： 修改了等级划分要求，将等级划分为基本级和增强级两级 （ 见 第 6章， 2010年版 的 第 7章 ） ； 修改了安全功能 要求，将监测功能和控制功能分开 （见 4.1、 4.2， 2010年版的 第 4章 ） ； 修改了安全保障要求 （见第 5章， 2010年版的 第 5章 ） ； 增加了打印监测 （ 见 4.1.7） ； 增加了主机安全策略监测和加固 （ 见 4.1.11、 4.2.7） ； 增加了受控主机管理要求 （见

4、 4.4）。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。 本标准主要起草人：邹春明、田原、刘瑞、俞优、 陆臻 、 沈亮 。 本标准的历次版本发布情 况为： GA/T 910-2010。 GA/T XXXX XXXX 1 信息安全技术 内网主机监测产品安全技术要求 1 范围 本标准规定了内网主机监测产品的安全功能要求、安全保障要求和等级划分要求。 本标准适用于内网主机监测产品的设计、开发及检测。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适

5、用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件 。 GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第 3部分：安全保障 组件 GB/T 25069-2010 信息安全技术 术语 3 术语和定义 GB/T 18336.3-2015 和 GB/T 25069-2010 界定 的以及下列术语和定义适用于本 文件 。 3.1 受控主机 controlled host 接受监控的内网主机。 3.2 内网主机监测产品 intranet-host monitoring product 对受控主机上的各项活动进行监测和 /或控制的产品。 3.3

6、 非授权外联 non-authorized internet connection 内网主机未授权访问外部网络的行为。 3.4 外围接口 external interface 计算机与外界进行数据交互的各种接口。 4 安全功能要求 4.1 安全监测功能 4.1.1 在线状态监测 GA/T XXXX XXXX 2 产品应能对内网主机的以下状态进行监测： a） 受控主机的在线状态、代理运行状态； b） 设定 IP 地址范围内在线主机的代理安装情况。 4.1.2 系统资源监测 产品 能对受控主机的以下资源进行监测： a） 硬件配置情况，如 CPU（型号和主频）、硬盘（型号和容量）、网络适配器、主板、

7、声卡、显卡 等； b） 操作系统基本情况：操作系统类型版本、磁盘分区、共享文件及目录等； c） 系统资源的使用情况，如 CPU、内存、硬盘、网络流量等； d） 当 CPU、内存、网络流量、磁盘已用 空间等超过阈值时，应采取适当方式进行报警。 4.1.3 软件情况监测 产品 能对受控主机的软件安装、使用情况进行监测： a） 应用软件安装情况； b） 系统补丁安装情况； c） 软件安装、卸载情况，并对监测结果进行记录，记录内容至少包括时间、动作（安装或卸载）、 软件名称及版本； d） 软件使用情况，如最近使用时间、使用频率等； e） 当受控主机未安装杀毒软件或病毒库长时间未更新时，应采取适当方式进

8、行报警。 4.1.4 进程监测 产品 能对受控主机的进程进行监控： a） 监测系统的可见进程（任务管理器中可见）； b） 监测系统的隐藏进程； c） 当设定进程的状态违反安全策略时，应采取 适当方式进行报警。 4.1.5 系统服务监测 产品 能对受控主机的系统服务进行监控： a） 监测系统服务的状态（启动、停止、启动方式等）； b） 当设定系统服务的状态违反安全策略时，应采取适当方式进行报警。 4.1.6 网络端口监测 产品 能对受控主机的网络端口进行监控 ： a） 监测系统所开放的 TCP/UDP 端口； b） 当设定端口的状态违反安全策略时，应采取适当方式进行报警。 4.1.7 打印监测

9、应能对受控主机的文件打印情况进行监测，并对监测结果进行记录，记录内容至少包括时间、文 件 名称、份数和页数。 4.1.8 上网情况监测 产品 能对受控主机的上网活动进行监测，并对监测结果进行 记录： GA/T XXXX XXXX 3 a） 至少一种上网活动（如： HTTP、电子邮件、即时通讯等）； b） 一般上网活动（至少包括 HTTP、电子邮件、 FTP、 TELNET、即时通讯等）； c） 对所监测的上网服务情况，应记录如下数据项： HTTP：访问时间，源 IP 或主机名，目标 URL； 邮件：访问时间，源 IP 或主机名，收件人地址，发件人地址，邮件主题； FTP：访问时间，源 IP 或

10、主机名，服务器 IP 或 URL； TELNET：访问时间，源 IP 或主机名，服务器 IP 或 URL； 即时通讯：源 IP 或主机名，账号，上线时间，下线时间。 4.1.9 非授权外联监 测 产品应能对受控主机的非授权外联行为进行监控： a） 监测非授权外联行为，并对监测结果进行记录，记录内容至少包括时间，外联主机的 IP 或主 机名等； b） 对非授权外联行为以适当的方式进行报警。 4.1.10 文件监测 产品 能对受控主机的文件操作进行监测： a） 对策略设定的文件、目录进行监测，记录新建、修改、删除和读取等操作行为； b） 对于 windows 操作系统，应对设定的注册表项进行监测，

11、记录对其进行的添加、修改、删除等 操作行为； c） 当监测到设定的文件或注册表键值 违反 安全策略时，采取适当的方式进行报警。 4.1.11 主机安全策略监测 产品 能对受控主机的安 全策略进行监测： a） 帐户策略：如密码策略、帐户锁定策略； b） 本地策略：如审核策略、安全选项策略等； c） 受控主机的安全策略违反设定的规则时，应采取适当方式进行报警。 4.1.12 远程桌面监测 产品应能对受控主机的桌面活动进行监控，如定 时 截屏、录屏或实时查看。 4.2 安全控制功能 4.2.1 接入控制 产品应能阻止非受控主机访问内网。 4.2.2 软件安装控制 产品应能对受控主机的软件安装进行控制

12、： a） 支持黑名单方式进行控制，禁止安装黑名单列表中的软件； b） 支持白名单方式进行控制，仅允许安装白名单列表中的软件。 4.2.3 进程控制 产品应能对受控主机的进程进行控制，如开启 /关闭进程、设置进程黑名单等。 GA/T XXXX XXXX 4 4.2.4 系统服务控制 产品应能对受控主机的系统服务进行控制：启动、停止、改变启动方式等。 4.2.5 移动存储介质控制 产品应能对移动存储介质（包括光盘、 U 盘、移动硬盘、闪存等）的使用进行控制，控制动作应包 括允许、只读、禁止。 4.2.6 外围接口控制 产品应能对受控主机以下外围接口的使用进行监测或控制（允许、禁止）： a） USB

13、 接口、串口、并口； b） 红外、蓝牙、 PCMCIA、 1394 等。 4.2.7 主机安全策略加固 应能设定安全策略模板，对受控主机的安全策略进行加固。 4.2.8 远程桌面控制 应能对受控主机进行远程桌面控制，可采取 受控主机授权方式或强制方式。 4.3 组件安全 4.3.1 代理的自身保护功能 产品能对客户端代理提供保护措施： a) 防止非授权用户强行终止代理的运行； b) 防止非授权用户强制取消代理在系统启动时的自动加载； c) 具有基本的措施防止非授权用户卸载、删除代理，如通过操作系统的程序管理器卸载、通过资 源管理器删除代理相关程序等； d) 具有较强的措施防止非授权用户卸载、删

14、除或修改代理程序，如通过安全模式、常用工具等进 行操作； e) 代理应能在授权的情况下被完全卸载； f) 代理应能兼容主流的杀毒软件。 4.3.2 防止非授权监控 应通过技术手段保证客户端代理只接受授权服务器 的监控。 4.3.3 远程保密传输 应对客户端代理和管理服务器之间传输的所有数据进行加密。 4.3.4 审计数据续传 当客户端代理跟服务器之间的连接意外断开时，应确保代理在该时段内所产生的审计数据和报警信 息不会丢失，当连接恢复后，再传输到控制台。 4.4 受控主机管理 4.4.1 受控 主机标识唯一 性 GA/T XXXX XXXX 5 产品应为受控主机提供唯一性标识 ， 同时将 该

15、标识与 受控主机所生成的可审计事件 相关联 。 4.4.2 受控 主机 属性 管理 产品应能对主机属性进行设置： a) 责任人及联系方式； b) 所属部门或物理位置等。 4.4.3 集中分组管理 产品应能对受控主机进行集中分组管理： a） 对受控主机进行集中统一管理，提供主机监控策略的集中定制， 并分发应用到相应的受控主机 上； b） 对受控主机进行分组管理。 4.5 安全管理 4.5.1 标识与鉴别 4.5.1.1 管理员身份标识唯一 性 产品应为管理员提供唯一的身份标识 ， 同时将 管理员的身份 标识与 其所有可审计事件 相关联 。 4.5.1.2 身份鉴别 产品应在执行任何与安全功能相关

16、的操作之前对用户身份进行鉴别 。 4.5.1.3 鉴别数据保护 产品应保证鉴别数据不被未授权查阅和修改。 4.5.1.4 鉴别失败处理 当对用户鉴别失败的次数达到 设定值后，产品 应 能按以下方式进行处理： a) 终止会话； b) 锁定账号或 IP，锁定一定的时间后自动解锁或者直至授 权管理员解锁 。 4.5.2 安全 管理功能 产品应为授权管理员提供以下管理功能 ： a) 查 询、修改各项 安全属性； b) 启动、关闭全部或部分监控功能； c) 制定、修改各项安全策略。 4.5.3 区分安全管理角色 产品 对管理员角色进行区分： a) 具有至少两种不同权限的管理员角色，如操作员、审计员等；

17、b) 应根据不同的功能模块，定义各种不同权限角色，并对管理员分配角色。 4.5.4 远程管理 如果产品提供远程管理功能，则需要保证远程管理安全： GA/T XXXX XXXX 6 a) 对远程管理信息进行保密传输； b) 对可远程管理的主机地址进行限制。 4.6 审计功能 4.6.1 审计日志生成 产品应对以下事件进行审计： a) 服务器的启动和 关闭； b) 代理的启动和关闭； c) 管理员鉴别事件，包括成功、失败； d) 管理员的重要操作，如增加、删除管理员，存档、删除、清空日志等； e) 其他 一般操作，如日志查阅、对受控主机的监控操作等； f) 安全功能要求中所定义的可审计事件。 每一

18、条审计 日志应至少包括事件发生的日期、时间、用户标识 /受控主机标识、事件描述和结果 。 4.6.2 审计日志存储 产品 提供措施防止审计日志丢失： a） 审计日志应存储于掉电非易失性存储介质中； b） 当存储空间将要耗尽 前 ，应采取适当方式进行报警，并具有一定的措施（如：回滚、按比例删 除最早记录等）防止新近的审计数据丢失， 保 证日志存储的最短期限不少于 180天。 4.6.3 审计日志管理 产品应提供以下日志管理功能： a) 只允许授权管理员访问审计日志； b) 按日期、时间、用户标识等条件对审计日志进行组合查询； c) 对审计日志进行存档、删除和清空。 5 安全保障要求 5.1 开发

19、 5.1.1 安全架构 开发者应提供产品安全功能的安全架构描述，安全架构描述 应满足以下要求： a) 与产品设计文档中对安全功能实施抽象描述的级别一致； b) 描述与安全功能要求一致的产品安全功能的安全域； c) 描述产品安全功能初始化过程为何是安全的； d) 证实产品安全功能能够防止被破坏； e) 证实产品安全功能能够防止安全特性被 旁路。 5.1.2 功能规范 开发者应提供完备的功能规范说明，功能规范说明应满足以下要求： a) 完全描述产品的安全功能； b) 描述所有安全功能接口的目的与使用方法； c) 标识和描述每个安全功能接口相关的所有参数； GA/T XXXX XXXX 7 d) 描

20、述安全功能接口相关的安全功能实施行为； e) 描述由安全功能实施行为处理而引起的直接错误消息； f) 证实安全功能要求到安全功能接口的追溯； g) 描述安全功能实施过程中，与安全功能接口相关的所有行为； h) 描述可能由安全功能接口的调用而引起的所有直接错误消息。 5.1.3 实现表示 开发者应提供全部安全功能的实现表示，实现表示 应满足以下要求： a) 提供产 品设计描述与实现表示实例之间的映射，并证明其一致性； b) 按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度； c) 以开发人员使用的形式提供。 5.1.4 产品设计 开发者应提供产品设计文档，产品设计文档

21、 应满足以下要求： a) 根据子系统描述产品结构； b) 标识和描述产品安全功能的所有子系统； c) 描述安全功能所有子系统间的相互作用； d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口； e) 根据模块描述安全功能； f) 提供安全功能子系统到模块间的映射关系； g) 描述所有安全功能实现模块，包括其目的及与 其他 模块间的相互作用； h) 描述所有实现模块的安全功能要求相关接口、 其他 接口的返回值、与 其他 模块间的相互作用及 调用的接口； i) 描述所有安全功能的支撑或相关模块，包括其目的及与 其他 模块间的相互作用。 5.2 指导性文档 5.2.1 操

22、作用户指南 开发者应提供 明确和合理的 操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一 致， 对每一种用户角色的描述应 满足以下要求： a) 描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息； b) 描述如何以安全的方式使用产品提供的可用接口； c) 描述可用功能和接口，尤其是受用户控制的所有安全 参数，适当时指明安全值； d) 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制 实体的安全特性； e) 标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全 运行之间的因果关系和联系； f) 充分实

23、现安全目的所必需 执行的安全策略。 5.2.2 准备程序 开发者应提供产品及其准备程序，准备程序描述应满足以下要求： a) 描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤； b) 描述安全安装产品及其运行环境必需的所有步骤。 GA/T XXXX XXXX 8 5.3 生命周期支持 5.3.1 配置管理能力 开发者的配置管理能力 应满足以 下要求： a) 为产品的不同版本提供唯一的标识； b) 使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项； c) 提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法； d) 配置管理系统提供一种自动方式来支持产品的生成，通

24、过该方式确保只能对产品的实现表示进 行已授权的改变； e) 配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。实 施的配置管理与配置管理计划相一致； f) 配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。 5.3.2 配置管理范围 开发者应提供产品配置项列表，并说 明配置项的开发者。配置项列表 应包含以下内容： a) 产品、安全保障要求的评估证据和产品的组成部分； b) 实现表示、安全缺陷报告及其解决状态。 5.3.3 交付程序 开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时， 交付文档应描述为维护安全

25、所必需的所有程序。 5.3.4 开发安全 开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中，为保护产品设计和实现的 保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。 5.3.5 生命周期定义 开发者应建立一个生命周期模型对产品的开发和维护进行的必要控 制，并提供生命周期定义文档描 述用于开发和维护产品的模型。 5.3.6 工具和技术 开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的含义 和所有依赖于实现的选项的含义。 5.4 测试 5.4.1 测试覆盖 开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求： a) 表明测试文

26、档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性； b) 表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。 5.4.2 测试深度 开发者应提供测试深度的分析。测试深度分析描述 应满足以下要求： GA/T XXXX XXXX 9 a) 证实测试文档中的测试与产品设计中 的安全功能子系统和实现模块之间的一致性； b) 证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。 5.4.3 功能测试 开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容： a) 测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于 其他

27、 测试结果 的任何顺序依赖性； b) 预期的测试结果，表明测试成功后的预期输出； c) 实际测试结果和预期的一致性。 5.4.4 独立测试 开发者应提供一组与其自测安全功能时使用的同等资源，以 用于安全功能的抽样测试。 5.5 脆弱性评定 基于已标识的潜在脆弱性，产品能够抵抗以下 攻击行为： a) 具有基本攻击潜力的攻击者的攻击； b) 具有增强 攻击潜力的攻击者的攻击。 6 安全 等级 划分及 要求 6.1 等级 划分 内网主机监测产品 的 安全 等级按照其安全功能要求 和安全保障要求的强度划分为基本级和增强级， 其中安全保障要求 参考了 GB/T 18336.3 2015。 6.2 安全功

28、能要求 不同 安全 等级的 内网主机监测产品的安全功能要求 如表 1 所示。 表 1 不同 安全 等级的 内网主机监测产品 的 安全功能要求 安全功能要求 基本级 增强级 安全监测功能 在线状态监测 4.1.1 a) 4.1.1 系统资源监测 4.1.2 a)、 b） 4.1.2 软件情况监测 4.1.3 a)、 b） 4.1.3 进程监 测 4.1.4 a) 4.1.4 系统服务监 测 4.1.5 a) 4.1.5 网络端口监 测 4.1.6 a) 4.1.6 打印监测 4.1.7 4.1.7 上网情况监测 4.1.8.1 a)、 c) 4.1.8.1 b)、 c) 非授权外联监 测 4.1

29、.9 a) 4.1.9 文件监测 4.1.10 a)、 b) 4.1.10 主机安全策略监测 4.1.11 a)、 b) 4.1.11 远程桌面控 测 4.1.12 4.1.12 安全控制功能 接入控制 4.2.1 4.2.1 软件安装控制 4.2.2 a) 4.2.2 GA/T XXXX XXXX 10 表 1 （续） 安全功能要求 基本级 增强级 安全控制功能 进程控制 4.2.3 4.2.3 系统服务控制 4.2.4 4.2.4 移动存储介质控制 4.2.5 4.2.5 外围接口控制 4.2.6 a) 4.2.6 主机安全策略加固 4.2.7 4.2.7 远程桌面控制 4.2.8 4.2

30、.8 组件安全 代理的自身保护功能 4.3.1 a)、 b)、 c)、 e)、 f） 4.3.1 a)、 b)、 d)、 e)、 f） 防 止非授权监控 4.3.2 4.3.2 远程保密传输 4.3.3 4.3.3 审计数据续传 4.3.5 受控主机管理 受控主机标识唯一性 4.4.1 4.4.1 受控主机属性管理 4.4.2 4.4.2 集中分组管理 4.4.3 4.4.3 安全管理 标识与 鉴别 管理员身份唯一性标识 4.5.1.1 4.5.1.1 身份鉴别 4.5.1.2 4.5.1.2 鉴别数据保护 4.5.1.3 4.5.1.3 鉴别失败处理 4.5.1.4 4.5.1.4 安全管理

31、功能 4.5.2 4.5.2 区分安全管理角色 4.5.3 a) 4.5.3 b) 远程管理 4.5.4 a） 4.5.4 审计功能 审计日志生成 4.6.1 a)、 c)、 d)、 f) 4.6.1 审计日志存储 4.6.2 a) 4.6.2 审计日志管理 4.6.3 a)、 b) 4.6.3 注 ： 基本级应至少具备 4.1.14.1.4 和 4.1.54.12 项中的 2 项；增强级应至少具备 4.1.14.1.4， 4.1.54.12 项中的 4 项， 4.2.14.2.8 项中的 4 项；且每个级别下，需满足对应级 别下的子项要求。 6.3 安全保障要求 不同 安全 等级的 内网主机

32、监测产品的安全保障 要求 如表 2 所示。 表 2 不同 安全 等级的 内网主机监测产品 的 安全保障 要求 安全保障要求 基本级 增强级 开发 安全架构 5.1.1 5.1.1 功能规范 5.1.2 a) f) 5.1.2 实现表示 5.1.3 GA/T XXXX XXXX 11 表 2 （续） 安全保障要求 基本级 增强级 开发 产品设计 5.1.4 a) d) 5.1.4 指导性文档 操作用户指南 5.2.1 5.2.1 准备程 序 5.2.2 5.2.2 生命 周期支持 配置管理能力 5.3.1 a) c) 5.3.1 配置管理范围 5.3.2 a) 5.3.2 交付程序 5.3.3 5.3.3 开发安全 5.3.4 生命周期定义 5.3.5 工具和技术 5.3.6 测试 覆盖 5.4.1a) 5.4.1 深度 5.4.2 功能测试 5.4.3 5.4.3 独立测试 5.4.4 5.4.4 脆弱性评定 5.5 a) 5.5 b)