GA/T 911-2019 信息安全技术 日志分析产品安全技术要求

ICS35240

A90.

中华人民共和国公共安全行业标准

GA/T911—2019

代替

GA/T911—2010

信息安全技术

日志分析产品安全技术要求

Informationsecuritytechnology—Securitytechnicalrequirementsfor

loganalysisproducts

2019-03-19发布2019-03-19实施

中华人民共和国公安部发布

GA/T911—2019

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

总体说明

4…………………2

安全技术要求分类

4.1…………………2

安全等级划分

4.2………………………2

安全功能要求

5……………2

日志采集和存储

5.1……………………2

日志分析和处理

5.2……………………3

日志呈现和报警

5.3……………………5

开发接口

5.4……………5

自身安全功能要求

6………………………5

组件安全

6.1……………5

安全管理

6.2……………6

自身审计功能

6.3………………………7

系统报警

6.4……………7

安全保障要求

7……………8

开发

7.1…………………8

指导性文档

7.2…………………………9

生命周期支持

7.3………………………9

测试

7.4…………………10

脆弱性评定

7.5…………………………10

不同安全等级的要求

8……………………10

安全功能要求

8.1………………………10

自身安全功能要求

8.2…………………11

安全保障要求

8.3………………………12

Ⅰ

GA/T911—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术日志分析产品安全技术要求与

GA/T911—2010《》,GA/T911—2010

相比主要变化如下

:

修改了等级划分的要求将等级划分为基本级和增强级两级见第章年版的

———“”,(8,20107.2、7.3

和

7.4);

删除了标准协议接收的要求见年版的

———“”(20104.1.2.1);

删除了代理方式采集的要求见年版的

———“”(20104.1.2.2);

删除了日志文件导入的要求见年版的

———“”(20104.1.2.3);

增加了数据采集的要求见

———“”(5.1.2.1);

修改了审计记录备份的要求见年版的

———“”(5.1.6,20104.2.3);

删除了软件代理的自保护能力的要求见年版的

———“”(20105.1.1.1);

删除了数据传输控制的要求见年版的

———“”(20105.1.1.3);

删除了数据续传的要求见年版的

———“”(20105.1.1.4);

增加了多级部署的要求见

———“”(6.1.1);

增加了多重鉴别的要求见

———“”(6.2.1.3);

增加了超时锁定的要求见

———“”(6.2.1.4);

删除了审计记录存储的要求见年版的

———“”(20105.3.2);

删除了审计管理的要求见年版的

———“”(20105.3.3);

增加了数据存储安全的要求见

———“”(6.3.3)。

本标准由公安部网络安全保卫局提出

。

本标准由公安部信息系统安全标准化技术委员会归口

。

本标准起草单位公安部计算机信息系统安全产品质量监督检验中心杭州安恒信息技术有限公

:、

司华为技术有限公司

、。

本标准主要起草人陈卓张笑笑陆臻唐迪俞优沈亮吴其聪

:、、、、、、。

本标准的历次版本发布情况为

:

———GA/T911—2010。

Ⅲ

GA/T911—2019

信息安全技术

日志分析产品安全技术要求

1范围

本标准规定了日志分析产品的安全功能要求自身安全功能要求安全保障要求及等级划分要求

、、。

本标准适用于日志分析产品的设计开发及检测

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息技术安全评估准则第部分安全保障组件

GB/T18336.3—20153:

信息安全技术术语

GB/T25069—2010

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T18336.3—2015GB/T25069—2010。

31

.

日志分析产品loganalysisproduct

通过日志代理标准协议文件导入等方式采集信息系统中的日志数据并进行集中存储和分析的

、、,

安全产品

。

32

.

日志数据源logdatasource

产生日志数据的原始来源

。

33

.

日志管理中心logadministrationcenter

对采集到的日志数据进行集中处理存储分析的功能模块

、、。

34

.

审计日志auditlog

日志分析产品自身审计产生的日志数据

。

35

.

日志记录logrecord

对采集到的原始日志数据进行预处理之后根据一定规则生成并保存在日志管理中心的日志数据

,。

36

.

授权管理员authorizedadministrator

具有日志分析产品管理权限的用户负责对日志分析产品的系统配置安全策略和日志数据进行

,、

管理

。

1

GA/T911—2019

4总体说明

41安全技术要求分类

.

本标准将日志分析产品安全技术要求分为安全功能自身安全功能和安全保障要求三大类其中

、。,

安全功能要求是对日志分析产品应具备的安全功能提出具体要求包括日志采集和存储日志记录处

,、

理日志呈现和报警以及开发接口等自身安全功能是对日志分析产品应具备的自身安全功能提出具体

、;

要求包括组件安全安全管理自身审计功能和系统报警等安全保障要求针对日志分析产品的生命周

,、、;

期过程提出具体的要求例如开发指导性文档生命周期支持测试和脆弱性评定等

,、、、。

42安全等级划分

.

日志分析产品的安全等级按照其安全功能要求自身安全功能要求和安全保障要求的强度划分为

、

基本级和增强级其中安全保障要求参考了

,GB/T18336.3—2015。

5安全功能要求

51日志采集和存储

.

511日志数据源

..

日志分析产品应能对日志数据源进行添加修改和删除等管理操作并且日志数据源的类型应至少

、,

包含以下范围

:

网络设备如交换机路由器防火墙

a),、、;

操作系统

b);

数据库系统

c);

其他应用系统

d)。

512日志数据采集

..

5121数据采集

...

日志分析产品应能通过一定的方式采集日志数据源的日志数据至少包括以下一种采集方式

,:

日志代理

a);

标准协议

b);

文件导入

c);

其他

d)。

5122日志采集及时性

...

日志分析产品应能及时采集日志数据源的日志数据

。

513日志数据的预处理

..

5131数据筛选

...

日志分析产品应能基于既定策略对采集的日志数据进行过滤有选择地生成日志记录

,。

2

GA/T911—2019

5132数据转换

...

日志分析产品应能将各种不同格式的原始日志数据转换为统一的数据格式且转换时不能造成关

,

键数据项丢失和损坏

。

514日志记录生成

..

日志分析产品应在对采集的日志数据进行预处理和事件分析之后生成相应的日志记录日志记录

,,

内容应为管理员可理解并且包含以下信息

,:

事件发生的日期和时间

a);

事件主体

b);

事件客体

c);

事件描述

d);

事件类型

e);

事件级别

f);

日志数据源的地址或名称

g)IP、MAC。

515日志记录存储

..

5151安全保护

...

日志分析产品应采取安全机制保护日志记录免遭未经授权的读取删除或修改

,、。

5152防止日志记录丢失

...

日志分析产品应提供以下措施防止日志记录丢失

:

日志记录应存储于掉电非易失性存储介质中

a);

当日志记录的存储容量达到阈值时发出报警信息

b),;

在日志记录的存储空间耗尽前自动将较早日志记录转存到其他设备上

c)。

516日志记录备份

..

日志分析产品应提供以下日志记录备份功能

:

支持可定制的自动化备份功能及策略

a);