GA/T 911-2019
基本信息
标准号: GA/T 911-2019
中文名称:信息安全技术日志分析产品安全技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:2080403
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 911-2019.Information security technology-Security technical requirements for log analysis products.
1范围
GA/T 911规定了日志分析产品的安全功能要求、自身安全功能要求、安全保障要求及等级划分要求。
GA/T 911适用于日志分析产品的设计.开发及检测。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3- 2015 信息技术安全技术 信息技术安 全评估准则第 3部分:安全保障组件
GB/T 25069- -2010 信息安全技术 术 语
3术语和定义
GB/T 18336.3- -2015 和GB/T 25069- 2010 界定的以及下列术语和定义适用于本文件。
3.1日志分析产品log analysis product
通过日志代理、标准协议、文件导人等方式采集信息系统中的日志数据,并进行集中存储和分析的安全产品。
3.2日志数据源log data source
产生日志数据的原始来源。
3.3日志管理中心log administration center
对采集到的日志数据进行集中处理.存储.分析的功能模块。
3.4审计日志audit log
日志分析产品自身审计产生的日志数据。
3.5日志记录log record
对采集到的原始日志数据进行预处理之后,根据一定规则生成并保存在日志管理中心的日志数据。
3.6授权管理员authorized administrator
具有日志分析产品管理权限的用户,负责对日志分析产品的系统配置、安全策略和日志数据进行管理。
1范围
GA/T 911规定了日志分析产品的安全功能要求、自身安全功能要求、安全保障要求及等级划分要求。
GA/T 911适用于日志分析产品的设计.开发及检测。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3- 2015 信息技术安全技术 信息技术安 全评估准则第 3部分:安全保障组件
GB/T 25069- -2010 信息安全技术 术 语
3术语和定义
GB/T 18336.3- -2015 和GB/T 25069- 2010 界定的以及下列术语和定义适用于本文件。
3.1日志分析产品log analysis product
通过日志代理、标准协议、文件导人等方式采集信息系统中的日志数据,并进行集中存储和分析的安全产品。
3.2日志数据源log data source
产生日志数据的原始来源。
3.3日志管理中心log administration center
对采集到的日志数据进行集中处理.存储.分析的功能模块。
3.4审计日志audit log
日志分析产品自身审计产生的日志数据。
3.5日志记录log record
对采集到的原始日志数据进行预处理之后,根据一定规则生成并保存在日志管理中心的日志数据。
3.6授权管理员authorized administrator
具有日志分析产品管理权限的用户,负责对日志分析产品的系统配置、安全策略和日志数据进行管理。
标准图片预览
标准内容
ICS35.240
中华人民共和国公共安全行业标准GA/T911—2019
代替GA/T911-2010
信息安全技术
日志分析产品安全技术要求
Information security technology-Security technical requirements forlog analysis products
2019-03-19发布
中华人民共和国公安部
2019-03-19实施
规范性引用文件
3术语和定义
总体说明
安全技术要求分类
安全等级划分
5安全功能要求
日志采集和存储
日志分析和处理
日志呈现和报警
开发接口
自身安全功能要求
组件安全
安全管理
自身审计功能
系统报警
安全保障要求
指导性文档
7.3生命周期支持
脆弱性评定
8不同安全等级的要求
安全功能要求
自身安全功能要求
安全保障要求
GA/T 911—2019
本标准按照GB/T1.12009给出的规则起草。GA/T911—2019
日志分析产品安全技术要求》,与GA/T911—2010本标准代替GA/T911一2010信息安全技术相比主要变化如下:
修改了“等级划分\的要求,将等级划分为基本级和增强级两级(见第8章,2010年版的7.2、7.3和7.4):
删除了“标准协议接收\的要求(见2010年版的4.1.2.1);删除了“代理方式采集\的要求(见2010年版的4.1.2.2);册除了“日志文件导人\的要求(见2010年版的4.1.2.3);增加了“数据采集”的要求(见5.1.2.1);修改了“审计记录备份”的要求(见5.1.6,2010年版的4.2.3);删除了“软件代理的自保护能力”的要求(见2010年版的5.1.1.1);删除了“数据传输控制\的要求(见2010年版的5.1.1.3);册除了“数据续传”的要求(见2010年版的5.1.1.4);增加了“多级部署”的要求(见6.1.1):增加了“多重鉴别”的要求(见6.2.1.3);增加了“超时锁定”的要求(见6.2.1.4);删除了“审计记录存储\的要求(见2010年版的5.3.2);删除了“审计管理的要求(见2010年版的5.3.3):增加了“数据存储安全\的要求(见6.3.3)。本标准山公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心,杭州安恒信息技术有限公司、华为技术有限公司。
本标准主要起京人:陈卓、张笑笑、陆臻、唐迪、俞优、沈亮、吴其聪。本标准的历次版本发布情况为:GA/T 911—2010。
1范围
信息安全技术
日志分析产品安全技术要求
GA/T911—2019
本标准规定了日志分析产品的安全功能要求,自身安全功能要求、安全保障要求及等级划分要求。本标准适用于日志分析产品的设计、开发及检测。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.32015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T25C69—2010信息安全技术术语3术语和定义
GB/T18336.3一2015和GB/T25069一2010界定的以及下列术语和定义适用于本文件。3.1
日志分析产品loganalysisproduct通过日志代理、标准协议、文件导入等方式采集信息系统中的日志数据,并进行集中存储和分析的安全产品。
日志数据源logdatasource
产生志数据的原始来源
日志管理中心logadministrationcenter对采集到的日志数据进行集中处理、存储、分析的功能模块。3.4
审计日志
audit log
日志分析产品自身审计产生的日志数据。3.5
日志记录logrecord
对采集到的原始日志数据进行预处理之后,根据一定规则生成并保存在日志管理中心的日志数据。3.6
授权管理员
authorized administrator
具有日志分析产品管理权限的用户,负责对日志分析产品的系统配置、安全策略和日志数据进行管理。
GA/T 911—2019
4总体说明
安全技术要求分类
本标准将日志分析产品安全技术要求分为安全功能、自身安全功能和安全保障要求三大类。其中,安全功能要求是对日志分析产品应具备的安全功能提出具体要求,包括日志采集和存储,日志记录处理,日志呈现和报警以及开发接口等,自身安全功能是对日志分析产品应具备的自身安全功能提出具体要求,包括红件安全、安全管理、白身审计功能和系统报等:安全保障要求针对日志分析产品的生命周期过程提出具体的要求,例如开发,指导性文档、生命周期支持、测试和脆弱性评定等。4.2
安全等级划分
日志分析产品的安全等级按照其安全功能要求、自身安全功能要求和安全保障要求的强度划分为基本级和增强级,其中安全保障要求参考了GB/T18336.3—2015。安全功能要求
日志采集和存储
日志数据源
口志分析产品应能对口志数据源进行添加,修改和谢除等管理操作,并且口志数据源的类型应至少包含以下范围:
网络设备,如交换机、路由器、防火墙;a)
操作系统;
数据库系统:
其他应用系统。
日志数据采集
数据采集
日志分析产品应能通过一定的方式采集日志数据源的日志数据,至少包括以下一种采集方式:a
日志代理;
b)标准协议;
)文件导入;
d)其他。
日志采集及时性
日志分析产品应能及时采集日志数据源的日志数据。日志数据的预处理
5.1.3.1数据筛选
日志分析产品应能基于既定策略对采集的日志数据进行过滤,有选择地生成日志记录。2
数据转换
GA/T 911—2019
日志分析产品应能将各种不同格式的原始日志数据转换为统一的数据格式,Ⅱ转换时不能造成关键数据项丢失和损坏。
5.1.4日志记录生成
日志分析产品应在对采集的日志数据行预处理和事件分析之后,生成相应的日志记录,日志记录内容应为管理员可理解,并且包含以下信息:a)事件发生的日期和时间;
b)事件主休;
事件客体;
事件描述;
事件类型;
事件级别;
日志数据源的IP地址、MAC或名称。日志记录存储
5.1.5.1安全保护
日志分析产品应采取安全机制,保扩日志记录免遭未经授权的读取、删除或修改。5.1.5.2
防止日志记录丢失
日志分析产品应提供以下措施防止日志记录丢失:a)日志记录应存储于掉电非易失性存储介质中;b)
日志记录的存储容量达到阅值时,发出报警信息;在日志记录的存储空间耗尽前自动将较早日志记录转存到其他设备上。c)
日志记录备份
日志分析产品应提供以下日志记录备份功能:a)支持可定制的自动化备份功能及策略b)通过自动方式对日志记录进行转存,实现异地备份。5.2日志分析和处理
日志记录处理
数据整合
日志分析产品应能检查日志记录是否重复或无效,并进行数据的整合。5.2.1.2
数据拆分
若日志记录的单一字段包含多种信息并且这多种信息问具有分隔符,日志分析产品应能将此单一字段拆分成便于分析的若干字段存储。3
GA/T 911—2019
5.2.2日志记录分析
5.2.2.1事件辨别
日志分析产品应能动态地维护一个事件库,对网络中的各种事件根据一定的特征进行分类,并且应能对采集的日志数据进行分析,判断日志数据所属的事件类型。5.2.2.2事件定级
日志分析产品应为不同类型的事件设定级别,以表明事件的性质或揭示此类事件的发生给信息系统所带来危险程度。
5.2.2.3事件统计
日志分析产品应能够根据事件的以下属性进行统计:a)
事件主体;
b)事件客体;
c)事件类型;
事件级别;
事件发生的日期和时间;
日志数据源的IP地址或名称;
事件的其他属性或属性的组合。g)
5.2.2.4潜在危害分析
日志分析产品应能设定单类事件累计发生次数或发生频率的值,当统计分析表明此类事件超出阅值时则表明信息系统出现了潜在的危害。5.2.2.5异常行为分析
日志分析产品应维护二个与信息系统相关的合法用户的正常行为集合,以此区分人侵者的行为和合法用户的异常行为。
5.2.2.6关联事件分析
日志分析产品应提供以下关联分析功能:a)根据事件的级别、事件的累计发生次数等指标进行综合分析,从而对信息系统或信息系统中单个资源的风险等级进行评估:
通过对多个日志数据源进行关联事件分析应能分析到多步访问行为,并能根据已知的事件序b
列以图示方法模拟出完整的访问路径。日志记录数据挖掘
日志分析产品应能够从人量的日志数据中提取隐含的、事先未知的、具有潜在价值的有用信息和知识,具体要求如下:
a)提取同一类型的事件的共同性质,如事件频繁发生的时间段等;h)提取单个事件和其他事件之间依赖或关联的知识,如事件发生的因果关系等;c
提取反映同类事件共同性质的特征和不同事件之间的差异型特征,揭示隐含事件的发生;d
发现其他类型的知识,揭示偏离带规的异常带现象;4
GA/T911—2019
根据数据的时间序列,由历史的和当前的数据去推测未来的数据,比如分析某一目标系统的用e):
户访问日志,从中导找用户普遍访问的规律。日志呈现和报警
日志查询
日志分析产品应能够根据事件的以下属性进行日志记录查询:a)事件主体;
b)事件客体;
事件类型;
事件级别;
事件发生的日期和时间;
日志数据源的IP地址或名称;
事件的其他属性或属性的组合。5.3.2统计报表
日志分析产品应能够根据事件统计结果生成统计报表,并能以通用格式输出。5.3.3分析报告
日志分析产品应能根据日志记录分析结果生成分析报告,并能够以通用格式输出,分析报告应包含以下内容
a)日志记录分析结果;
b)对信息系统或信息系统中单个资源的风险等级提供评估结果;对日志记录分析结果提供补救建议;e)
根据日志数据挖掘收集到的知识,提供预测性的信息d)
5.3.4报警机制
日志分析产品应能针对以下事件,进行报警:a)用户指定的事件,如高危险级别的事件等;b)潜在危害分析结果表明信息系统存在潜在危害:异常行为分析结果表明信息系统存在入侵者的行为或合法用户的异常行为;c)
口志记录分析结果表明信息系统或信息系统中某一资源存在风险。5.4开发接口
日志分析产品应至少提供一个标准的、开放的接,能按照该接口的规范为其他信息安全产品编写相应的程序模块,以便共享信息或规范化联动。自身安全功能要求
组件安全
日志代理状态监测
日志分析产品应能监测日志代理的在线状态5
GA/T911—2019
6.1.2多级部署
日志分析产品应支持分布式多级方式部署。6.1.3集中管理
口志分析产品应能够集中定制口志采集策略,并分发应用到相应的口志代理上。6.1.4数据传输安全此内容来自标准下载网
若日志分析产品组件间通过网络进行通讯,日志分析产品应对组件间相互传输的数据进行保护,保证数据在传送过程中的完整性和保密性。6.1.5时间同步
口志分析产品应提供时间同步功能,保证口志分析产品组件之间时间的一致性。6.2安全管理
6.2.1标识和鉴别
6.2.1.1唯一性标识
日志分析产品应为用户提供唯一标识,同时将用户的身份标识与该用户的所有可审计事件相关联。6.2.1.2身份鉴别
日志分析产品应在执行任何与安全功能相关的操作之前对用户进行鉴别6.2.1.3多重鉴别
日志分析产品应能向管理角色提供除口令身份鉴别机制以外的其他身份鉴别机制。6.2.1.4超时锁定
日志分析产品应具有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。6.2.1.5鉴别数据保护
日志分析产品应保证鉴别数据不被未授权查阅或修改,6.2.1.6鉴别失败处理
当用户鉴别失败的次数达到设定值时,日志分析产品应按以下措施处理:a)终止会话:
b)锁定用户账号或远程登录主机的地址;c)产生系统报警消息,通知授权管理员。6.2.2安全功能管理
日志分析产品应为授权管理员提供以下管理功能a)查看和修改各种安全属性:
b)定制和修改各种安全策略。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T911—2019
代替GA/T911-2010
信息安全技术
日志分析产品安全技术要求
Information security technology-Security technical requirements forlog analysis products
2019-03-19发布
中华人民共和国公安部
2019-03-19实施
规范性引用文件
3术语和定义
总体说明
安全技术要求分类
安全等级划分
5安全功能要求
日志采集和存储
日志分析和处理
日志呈现和报警
开发接口
自身安全功能要求
组件安全
安全管理
自身审计功能
系统报警
安全保障要求
指导性文档
7.3生命周期支持
脆弱性评定
8不同安全等级的要求
安全功能要求
自身安全功能要求
安全保障要求
GA/T 911—2019
本标准按照GB/T1.12009给出的规则起草。GA/T911—2019
日志分析产品安全技术要求》,与GA/T911—2010本标准代替GA/T911一2010信息安全技术相比主要变化如下:
修改了“等级划分\的要求,将等级划分为基本级和增强级两级(见第8章,2010年版的7.2、7.3和7.4):
删除了“标准协议接收\的要求(见2010年版的4.1.2.1);删除了“代理方式采集\的要求(见2010年版的4.1.2.2);册除了“日志文件导人\的要求(见2010年版的4.1.2.3);增加了“数据采集”的要求(见5.1.2.1);修改了“审计记录备份”的要求(见5.1.6,2010年版的4.2.3);删除了“软件代理的自保护能力”的要求(见2010年版的5.1.1.1);删除了“数据传输控制\的要求(见2010年版的5.1.1.3);册除了“数据续传”的要求(见2010年版的5.1.1.4);增加了“多级部署”的要求(见6.1.1):增加了“多重鉴别”的要求(见6.2.1.3);增加了“超时锁定”的要求(见6.2.1.4);删除了“审计记录存储\的要求(见2010年版的5.3.2);删除了“审计管理的要求(见2010年版的5.3.3):增加了“数据存储安全\的要求(见6.3.3)。本标准山公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心,杭州安恒信息技术有限公司、华为技术有限公司。
本标准主要起京人:陈卓、张笑笑、陆臻、唐迪、俞优、沈亮、吴其聪。本标准的历次版本发布情况为:GA/T 911—2010。
1范围
信息安全技术
日志分析产品安全技术要求
GA/T911—2019
本标准规定了日志分析产品的安全功能要求,自身安全功能要求、安全保障要求及等级划分要求。本标准适用于日志分析产品的设计、开发及检测。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.32015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T25C69—2010信息安全技术术语3术语和定义
GB/T18336.3一2015和GB/T25069一2010界定的以及下列术语和定义适用于本文件。3.1
日志分析产品loganalysisproduct通过日志代理、标准协议、文件导入等方式采集信息系统中的日志数据,并进行集中存储和分析的安全产品。
日志数据源logdatasource
产生志数据的原始来源
日志管理中心logadministrationcenter对采集到的日志数据进行集中处理、存储、分析的功能模块。3.4
审计日志
audit log
日志分析产品自身审计产生的日志数据。3.5
日志记录logrecord
对采集到的原始日志数据进行预处理之后,根据一定规则生成并保存在日志管理中心的日志数据。3.6
授权管理员
authorized administrator
具有日志分析产品管理权限的用户,负责对日志分析产品的系统配置、安全策略和日志数据进行管理。
GA/T 911—2019
4总体说明
安全技术要求分类
本标准将日志分析产品安全技术要求分为安全功能、自身安全功能和安全保障要求三大类。其中,安全功能要求是对日志分析产品应具备的安全功能提出具体要求,包括日志采集和存储,日志记录处理,日志呈现和报警以及开发接口等,自身安全功能是对日志分析产品应具备的自身安全功能提出具体要求,包括红件安全、安全管理、白身审计功能和系统报等:安全保障要求针对日志分析产品的生命周期过程提出具体的要求,例如开发,指导性文档、生命周期支持、测试和脆弱性评定等。4.2
安全等级划分
日志分析产品的安全等级按照其安全功能要求、自身安全功能要求和安全保障要求的强度划分为基本级和增强级,其中安全保障要求参考了GB/T18336.3—2015。安全功能要求
日志采集和存储
日志数据源
口志分析产品应能对口志数据源进行添加,修改和谢除等管理操作,并且口志数据源的类型应至少包含以下范围:
网络设备,如交换机、路由器、防火墙;a)
操作系统;
数据库系统:
其他应用系统。
日志数据采集
数据采集
日志分析产品应能通过一定的方式采集日志数据源的日志数据,至少包括以下一种采集方式:a
日志代理;
b)标准协议;
)文件导入;
d)其他。
日志采集及时性
日志分析产品应能及时采集日志数据源的日志数据。日志数据的预处理
5.1.3.1数据筛选
日志分析产品应能基于既定策略对采集的日志数据进行过滤,有选择地生成日志记录。2
数据转换
GA/T 911—2019
日志分析产品应能将各种不同格式的原始日志数据转换为统一的数据格式,Ⅱ转换时不能造成关键数据项丢失和损坏。
5.1.4日志记录生成
日志分析产品应在对采集的日志数据行预处理和事件分析之后,生成相应的日志记录,日志记录内容应为管理员可理解,并且包含以下信息:a)事件发生的日期和时间;
b)事件主休;
事件客体;
事件描述;
事件类型;
事件级别;
日志数据源的IP地址、MAC或名称。日志记录存储
5.1.5.1安全保护
日志分析产品应采取安全机制,保扩日志记录免遭未经授权的读取、删除或修改。5.1.5.2
防止日志记录丢失
日志分析产品应提供以下措施防止日志记录丢失:a)日志记录应存储于掉电非易失性存储介质中;b)
日志记录的存储容量达到阅值时,发出报警信息;在日志记录的存储空间耗尽前自动将较早日志记录转存到其他设备上。c)
日志记录备份
日志分析产品应提供以下日志记录备份功能:a)支持可定制的自动化备份功能及策略b)通过自动方式对日志记录进行转存,实现异地备份。5.2日志分析和处理
日志记录处理
数据整合
日志分析产品应能检查日志记录是否重复或无效,并进行数据的整合。5.2.1.2
数据拆分
若日志记录的单一字段包含多种信息并且这多种信息问具有分隔符,日志分析产品应能将此单一字段拆分成便于分析的若干字段存储。3
GA/T 911—2019
5.2.2日志记录分析
5.2.2.1事件辨别
日志分析产品应能动态地维护一个事件库,对网络中的各种事件根据一定的特征进行分类,并且应能对采集的日志数据进行分析,判断日志数据所属的事件类型。5.2.2.2事件定级
日志分析产品应为不同类型的事件设定级别,以表明事件的性质或揭示此类事件的发生给信息系统所带来危险程度。
5.2.2.3事件统计
日志分析产品应能够根据事件的以下属性进行统计:a)
事件主体;
b)事件客体;
c)事件类型;
事件级别;
事件发生的日期和时间;
日志数据源的IP地址或名称;
事件的其他属性或属性的组合。g)
5.2.2.4潜在危害分析
日志分析产品应能设定单类事件累计发生次数或发生频率的值,当统计分析表明此类事件超出阅值时则表明信息系统出现了潜在的危害。5.2.2.5异常行为分析
日志分析产品应维护二个与信息系统相关的合法用户的正常行为集合,以此区分人侵者的行为和合法用户的异常行为。
5.2.2.6关联事件分析
日志分析产品应提供以下关联分析功能:a)根据事件的级别、事件的累计发生次数等指标进行综合分析,从而对信息系统或信息系统中单个资源的风险等级进行评估:
通过对多个日志数据源进行关联事件分析应能分析到多步访问行为,并能根据已知的事件序b
列以图示方法模拟出完整的访问路径。日志记录数据挖掘
日志分析产品应能够从人量的日志数据中提取隐含的、事先未知的、具有潜在价值的有用信息和知识,具体要求如下:
a)提取同一类型的事件的共同性质,如事件频繁发生的时间段等;h)提取单个事件和其他事件之间依赖或关联的知识,如事件发生的因果关系等;c
提取反映同类事件共同性质的特征和不同事件之间的差异型特征,揭示隐含事件的发生;d
发现其他类型的知识,揭示偏离带规的异常带现象;4
GA/T911—2019
根据数据的时间序列,由历史的和当前的数据去推测未来的数据,比如分析某一目标系统的用e):
户访问日志,从中导找用户普遍访问的规律。日志呈现和报警
日志查询
日志分析产品应能够根据事件的以下属性进行日志记录查询:a)事件主体;
b)事件客体;
事件类型;
事件级别;
事件发生的日期和时间;
日志数据源的IP地址或名称;
事件的其他属性或属性的组合。5.3.2统计报表
日志分析产品应能够根据事件统计结果生成统计报表,并能以通用格式输出。5.3.3分析报告
日志分析产品应能根据日志记录分析结果生成分析报告,并能够以通用格式输出,分析报告应包含以下内容
a)日志记录分析结果;
b)对信息系统或信息系统中单个资源的风险等级提供评估结果;对日志记录分析结果提供补救建议;e)
根据日志数据挖掘收集到的知识,提供预测性的信息d)
5.3.4报警机制
日志分析产品应能针对以下事件,进行报警:a)用户指定的事件,如高危险级别的事件等;b)潜在危害分析结果表明信息系统存在潜在危害:异常行为分析结果表明信息系统存在入侵者的行为或合法用户的异常行为;c)
口志记录分析结果表明信息系统或信息系统中某一资源存在风险。5.4开发接口
日志分析产品应至少提供一个标准的、开放的接,能按照该接口的规范为其他信息安全产品编写相应的程序模块,以便共享信息或规范化联动。自身安全功能要求
组件安全
日志代理状态监测
日志分析产品应能监测日志代理的在线状态5
GA/T911—2019
6.1.2多级部署
日志分析产品应支持分布式多级方式部署。6.1.3集中管理
口志分析产品应能够集中定制口志采集策略,并分发应用到相应的口志代理上。6.1.4数据传输安全此内容来自标准下载网
若日志分析产品组件间通过网络进行通讯,日志分析产品应对组件间相互传输的数据进行保护,保证数据在传送过程中的完整性和保密性。6.1.5时间同步
口志分析产品应提供时间同步功能,保证口志分析产品组件之间时间的一致性。6.2安全管理
6.2.1标识和鉴别
6.2.1.1唯一性标识
日志分析产品应为用户提供唯一标识,同时将用户的身份标识与该用户的所有可审计事件相关联。6.2.1.2身份鉴别
日志分析产品应在执行任何与安全功能相关的操作之前对用户进行鉴别6.2.1.3多重鉴别
日志分析产品应能向管理角色提供除口令身份鉴别机制以外的其他身份鉴别机制。6.2.1.4超时锁定
日志分析产品应具有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。6.2.1.5鉴别数据保护
日志分析产品应保证鉴别数据不被未授权查阅或修改,6.2.1.6鉴别失败处理
当用户鉴别失败的次数达到设定值时,日志分析产品应按以下措施处理:a)终止会话:
b)锁定用户账号或远程登录主机的地址;c)产生系统报警消息,通知授权管理员。6.2.2安全功能管理
日志分析产品应为授权管理员提供以下管理功能a)查看和修改各种安全属性:
b)定制和修改各种安全策略。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。