GA∕T 1557-2019 信息安全技术 基于IPv6的高性能网络审计系统产品安全技术要求(公共安全).pdf

1、 ICS 35.240 A90 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXXXXXX 信息安全技术 基于 IPv6 的高性能网络审计系统产品安全技术要求 Information security technology Security technical requirements for IPv6-based high-performance network audit system products （报批稿） XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发 布 GA I 目 次 前言 . II 1 范围 .

2、 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 IPv6 网络审计产品描述 . 2 5 总体说明 . 3 5.1 安全技术要求分类 . 3 5.2 安全等级划分 . 3 6 安全功能要求 . 3 6.1 信息采集 . 3 6.2 数据还原 . 3 6.3 审计记录统计 . 4 6.4 审计记录分析处理 . 5 6.5 管理控制要求 . 6 6.6 标识与鉴别 . 6 6.7 审计日志 . 7 6.8 安全管理 . 7 6.9 数据存储 . 8 7 环境适应性要求 . 9 7.1 接入方式 . 9 7.2 IPv6 协议一致性 . 9 7.3 IPv6 应用环境适应性 . 9 7.

3、4 IPv6 管理环境适应性 . 9 8 性能要求 . 9 8.1 处理能力 . 9 8.2 网络影响 . 9 9 安全保障要求 . 9 9.1 开发 . 9 9.2 指导性文档 . 10 9.3 生命周期支持 . 11 9.4 测试 . 11 9.5 脆弱性评定 . 12 10 等级划分要求 . 12 10.1 概述 . 错误错误! !未定义书签。未定义书签。 10.2 安全功能要求等级划分 . 12 10.3 安全保障要求等级划分 . 错误错误! !未定义书签。未定义书签。 GA/T XXXXXXXX II 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由公安部网络安

4、全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部网络安全保卫局。 本标准主要起草人：唐迪、王志佳、马海燕、范春玲、俞优、邹春明、顾健。 GA/T XXXXXXXX 1 信息安全技术 基于 IPV6 的高性能网络审计系统产品安全技术要求 1 范围 本标准规定了基于 IPv6 的高性能网络审计系统产品的安全功能要求、 环境适应性要求、 性能要求、安全保障要求和等级划分要求。 本标准适用于基于 IPv6 的高性能网络审计系统产品的设计、开发及测试。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注

5、日期的引用文件， 仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分：安全保障组件 GB/T 20945-2013 信息安全技术 信息系统安全审计产品技术要求和测试评价方法 GB/T 25069-2010 信息安全技术 术语 GA/T 695-2014 信息安全技术 网络通信审计产品技术要求 3 术语和定义 GB/T 18336.3-2015、GB/T 20945-2013、GB/T 25069-2010和GA/T 695-2014界定的以及下列术语和定义适用于

6、本文件。 3.1 基于IPv6的高性能网络审计系统产品 IPv6-based high performance network audit system product 对网络通信进行记录和分析，并针对特定事件采用相应的动作，同时支持IPv4协议、IPv6协议及过度技术，并具有高性能的产品。 3.2 IPv6 过渡技术 IPv6 transition technology 用于IPv4向IPv6演进的过渡期内，保证业务共存和互操作的技术。 3.3 IPv4/IPv6 隧道技术 IPv4/IPv6 tunneling technology 基于IPv4隧道来传送IPv6数据报文的隧道技术。 3.

7、4 双协议栈技术 dual protocol stack technology 在一台设备上同时启用IPv4协议栈和IPv6协议栈。 GA/T XXXXXXXX 2 3.5 IPv4/IPv6 网络地址转换 IPv4/IPv6 network address translation 通过对数据包的转换实现了在网络过渡期IPv4节点和IPv6节点之间的互相访问。 4 IPv6 网络审计产品描述 IPv6网络审计产品通过采集和分析网络通讯数据，对审计目标网络内用户网络行为（如网页浏览、FTP和TELNET通讯、收发邮件、IM上下线等）、网络流量、网络攻击等行为进行记录和分析。IPv6网络审计产品能

8、够帮助使用者记录被审计网络内的用户行为及网络状态，能够追溯违反安全策略要求的用户。IPv6网络审计产品能够适用于IPv4及IPv6两种网络环境。此外，基IPv6网络审计产品还能保护产品自身及其内部重要数据的安全。 网络通讯审计产品按照部署模式划分，可分为串联部署和并联部署两种。在串联部署模式下，IPv6网络审计产品在访问客户端与网络服务端之间。 在旁路部署模式下， IPv6网络审计产品并联在访问客户端交换机上，通过镜像口获取网络通讯数据。 图1为IPv6网络审计产品串联部署的典型运行环境。 图1 IPv6 网络审计产品串接部署运行环境 图2为IPv6网络审计产品并联部署的典型运行环境。 图2

9、IPv6 网络审计产品并联部署运行环境 GA/T XXXXXXXX 3 5 总体说明 5.1 安全技术要求分类 本标准将IPv6网络审计产品安全技术要求分为安全功能和安全保障要求两大类。 其中， 安全功能要求是对IPv6网络审计产品应具备的安全功能提出具体要求，包括接入方式、信息采集、数据还原、审计记录统计、审计记录分析、管理控制要求等；安全保障要求针对IPv6网络审计产品的生命周期过程提出具体的要求，例如开发、指导性文档、生命周期支持和测试等。 5.2 安全等级划分 IPv6网络审计产品的安全等级按照其安全功能要求和安全保障要求的强度划分为基本级和增强级，其中安全保障要求参考了GB/T 18

10、336.32015。 6 安全功能要求 6.1 信息采集 IPv6网络审计产品应能够根据审计目标设置网络数据采集策略，应在以下项目至少包含一种： a) 采集目标的 IP 地址类型； b) 采集目标的IP地址或IP地址段策略； c) 采集网络协议应用策略； d) 采集传输协议策略； e) 采集应用协议策略； f) 采集时间段策略； g) 其他。 6.2 数据还原 6.2.1 网络基本信息还原 IPv6网络审计产品应能够还原目标网络内网络信息，其中应包括： a) 源端口、源IP地址、源MAC地址； b) 目标IP地址、目的端口； c) 网络层协议类型； d) 传输层协议类型； e) 应用层协议类型

11、； f) 支持IPv6地址采集； g) 支持基于IPv6过渡技术处理的IP地址采集，其中包括隧道技术、双协议栈技术、网络地址转换技术。 6.2.2 会话内容的还原 IPv6网络审计产品应能还原会话，信息内容的基本项应包括：会话起始时间、源地址、目标地址。 6.2.3 服务信息还原基本要求 IPv6网络审计产品应能够还原网络信息及事件，至少包括以下五种： GA/T XXXXXXXX 4 a) FTP协议，除基本项以外还应包括：使用的账号、输入命令； b) TELNET协议，除基本项以外还应包括：使用的账号、输入命令； c) HTTP协议，除基本项以外还应包括：目标URL； d) E-mail协议

12、，除基本项以外还应包括：发件人地址、收件人地址。 e) RLOGIN协议，除基本项外应包括：使用用户、输入命令； f) DNS协议，除基本项外应包括：报文协议内容； g) IM信息，除基本项以外还应包括：IM软件名称及账号信息； h) 数据库远程管理与操作，除基本项外应包括：使用的账号、输入操作命令； i) 股票软件通信信息，除基本项以外还应包括：股票软件名称； j) 网络下载通信信息，除基本项以外还应包括：下载软件或协议名称和下载文件名称； k) 网络游戏通信信息，除基本项以外还应包括：网络游戏名称； l) 论坛、博客及微博通信信息，论坛、博客或微博的名称和账号； m) 搜索引擎通信信息，搜

13、索引擎名称和搜索关键字； n) 其他网络通信信息。 6.2.4 服务信息还原扩展要求 IPv6网络审计产品应能够还原网络信息及事件，至少包括以下两种： a) FTP通信信息，除满足基本要求以外还应包括：传输的文件名及文件内容； b) TELNET通信信息，除满足基本要求以外还应包括：反馈信息； c) HTTP通信信息，除满足基本要求以外还应包括：恢复网页所需的文件及传输文件内容； d) E-mail通信信息，除满足基本项以外还应包括：主题。 6.2.5 网络攻击识别 IPv6网络审计产品应能够识别网络攻击事件，至少包括以下一种： a) DoS攻击； b) 口令暴力猜测攻击； c) 端口扫描攻击

14、； d) 其他网络攻击。 还原内容应包括：日期、事件、源IP地址、目的IP地址、源端口、目的端口、攻击类型。 6.2.6 基于应用类型还原 IPv6网络审计产品应能够根据应用类型特征还原非标准端口事件或动态端口网络通信事件。 6.3 审计记录统计 6.3.1 事件统计 IPv6网络审计产品应能够对网络事件进行统计，应至少包括以下一种： a) 网络通信事件总数； b) 一种或多种特定类型网络通信事件数量统计； c) 其他事件统计。 6.3.2 流量统计 IPv6网络审计产品应能够对网络流量进行统计，应至少包括以下一种： GA/T XXXXXXXX 5 a) TCP协议流量； b) UDP协议流量

15、； c) 网络应用流量； d) 其他网络流量。 6.4 审计记录分析处理 6.4.1 分析 6.4.1.1 关联分析 IPv6网络审计产品应能够对相互关联的事件进行关联及分析，至少支持以下一种； a) 基本信息关联，包括基于时间、事件、源IP地址、源端口地址、目的IP地址、服务类型、网络协议等采集信息； b) 统计关联，利用数据发掘算法等方法统计不同网络事件间的进行关联分析。 6.4.1.2 异常分析 IPv6网络审计产品应能提供异常分析功能，异常事件发生时能触发警告，其功能包括以下： a) 能够预定义异常事件， 能够对某个时间段内发生的次数或频域达到某个阈值或某种流量达到阈值时触发报警； b

16、) 能够基于关联分析功能的结果定义异常行为，对系统的异常行为触发报警； c) 其他异常情况。 6.4.1.3 分类分级 IPv6网络审计产品应能够提供事件分类分级功能， 用户能够根据策略划分不同的类别， 同时用户能够根据重要程度对审计事件进行分级，分类策略策略应包括至少以下一种： a) 根据审计目标； b) 根据时间范围； c) 根据审计事件类型； d) 根据网络流量； e) 根据通信协议； f) 根据审计分析结果，包括关联分析或异常分析中的至少一项； g) 自定义。 6.4.2 处理 6.4.2.1 响应告警 IPv6网络审计产品能设置策略定义告警事件， 并在告警事件发生时触发警告， 告警功

17、能满足以下要求： a) 产品应支持策略设置触发告警； b) 应能记录告警，内容应包括：日期、时间、事件主体、事件课题、事件的级别、事件描述、告警次数、事件结果； c) 告警方式应至少支持邮件告警、SNMP trap告警、声光电告警、短信告警等方式中的一种。 6.4.2.2 处理措施 GA/T XXXXXXXX 6 IPv6网络审计产品应能对网络事件采取处理措施， 保证网络及自身安全， 措施应至少包括以下一种： a) 支持设置策略，对网络事件进行阻断，策略应至少包括其中一项：事件级别、事件分析结果及自定义； b) 支持调用授权管理员预定义操作或应用程序； c) 与其他网络产品联动。 6.4.2.

18、3 碎片包处理 IPv6网络审计产品应能够对用于逃避监测的通信方式（如碎片包通信方式）进行审计。 6.4.3 审计结果 6.4.3.1 审计记录 IPv6网络审计产品应能够把采集信息及还原信息的审计结果生成审计记录。 6.4.3.2 审计查阅 IPv6网络审计产品能够提供审计结果查阅功能，满足以下要求： a) 仅授权用户能够访问审计结果； b) 应提供审计结果查阅工具； c) 应提供基于时间范围进行查询； d) 应提供基于应用类型进行查询； e) 应提供基于记录时间、源IP地址、源端口、目的IP地址、目的端口或协议类型等条件，对审计记录进行查询和排序的工具； f) 应提供基于日期和时间、主体身

19、份、事件类型、相关事件成功或失败等条件，对审计日志进行查询和排序的工具。 6.4.3.3 统计报表 IPv6网络审计产品能够生成统计报表，报表应包括以下功能： a) 应支持根据条件生成统计报表，生成条件应包括：关键字、模块功能、事件级别、自定义格式等生成方式； b) 应支持文字、图像化信息两种描述方式； c) 支持报表导出，至少支持HTML、PDF、WORD、EXCEL格式中的一种。 6.5 管理控制要求 6.5.1 图形界面 IPv6网络审计产品应提供对配置进行管理的图形界面。 6.5.2 开发接口 IPv6网络审计产品应至少提供一个标准的、 开放的接口， 能按照该接口的规范为其它信息安全产

20、品编写相应的程序模块，以便共享信息或规范化联动。 6.6 标识与鉴别 6.6.1 用户标识 GA/T XXXXXXXX 7 6.6.1.1 唯一标识 IPv6网络审计产品应能保证任何用户都具有全局唯一标识。 6.6.1.2 属性定义 IPv6网络审计产品应为每个角色规定与之相关的安全属性。 6.6.1.3 属性初始化 IPv6网络审计产品应提供使用默认值对创建的每个角色的属性进行初始化的能力。 6.6.2 身份鉴别 6.6.2.1 基本鉴别 IPv6网络审计产品应在执行任何与授权用户相关功能之前鉴别用户的身份。 6.6.2.2 鉴别数据保护 IPv6网络审计产品应保证鉴别数据不被未授权查阅或修

21、改。 6.6.2.3 鉴别失败的基本处理 IPv6网络审计产品应能在鉴别尝试达到最大失败次数后，终止用户建立会话的过程。 6.6.2.4 超时锁定或注销 产品应具有登录超时锁定或注销功能， 在设定的时间段内没有任何操作的情况下， 能锁定或终止会话，需要再次进行身份鉴别才能重新操作，最大超时时间仅由授权管理员设定。 6.7 审计日志 6.7.1 审计日志生成 IPv6网络审计产品对以下事件生成审计日志： a) 管理员的登录事件，包括成功和失败； b) 对安全策略进行更改的操作； c) 对日志记录的备份和删除； d) 对安全角色进行增加，删除和属性修改的操作； e) 管理员的其它操作； f) 应在

22、每一条审计日志中记录事件发生的日期、时间、用户标识、事件描述和结果。若 IPv6 网络审计产品提供远程管理功能，还应记录远程登录主机的地址。 6.7.2 日志管理 IPv6网络审计产品能够提供日志管理功能，满足以下要求： a) 仅允许授权用户访问日志； b) 应提供条件查询查询功能，查询条件应包括日期、时间、事件主体等。 6.8 安全管理 6.8.1 时间一致性 GA/T XXXXXXXX 8 IPv6 网络审计产品应保持各组件之间记录时间的一致性。 6.8.2 集中管理 IPv6网络审计产品若为分布式部署应能够集中定制采集策略，并分发应用到相应的采集探针上。 6.8.3 状态监测 IPv6网

23、络审计产品应能够检测自身运行状态，包括：CPU、内存、存储空间等。若产品由多个组件组成，应能检测各组件的运行状态。 6.8.4 保密传输 IPv6网络审计产品能够保证数据在传输过程的保密性，满足如下要求： a) 产品若采用远程管理方式，应保证远程管理数据加密传输； b) 产品若由多个组件组成，应保证组件间传输的网络审计记录和自身审计日志加密传输； c) 产品若由多个组件组成，应保证各组件之间各个组件间增加身份认证功能。 6.9 数据存储 6.9.1 存储介质 IPv6网络审计产品应将审计记录储存于掉电非逸失性存储介质中。 6.9.2 数据删除 IPv6网络审计产品应能够根据用户权限提供审计信息

24、的删除功能，并满足以下要求： a） 应能够记录删除行为的基本信息，包括时间日期、操作人、删除内容描述； b） 能够设置策略自动删除超过保存时限的数据。 6.9.3 备份与恢复 IPv6网络审计产品应提供审计记录备份与恢复功能。 6.9.4 存储空间耗尽处理 IPv6网络审计产品提供数据存储空间耗尽处理功能，满足以下要求： a） 应能够制定某种策略，具体处理当审计存储接近最大存储空间时的情况。 （例如：至少提供阈值报警信息通知用户） ； b） 应能够提供硬件支持并制定某种策略，保证数据存储时间不少于 6 个月； c） 应能够在空间耗尽前采取一定的措施（如：回滚、转储、删除最早记录等）防止更新的审

25、计记录丢失。 6.9.5 数据库支持 IPv6网络审计产品应将审计记录与自身审计日志分别存储在数据库中。 6.9.6 数据完整性鉴别 IPv6网络审计产品应能够提供存储数据完整性保护功能，防止存储的审计记录被篡改。 6.9.7 安全存储 GA/T XXXXXXXX 9 IPv6网络产品应对审计日志保密存储。 7 环境适应性要求 7.1 接入方式 IPv6网络审计产品应能支持多种部署，包括以串联或并联方式接入网络。 7.2 IPv6 协议一致性 IPv6网络审计产品应根据IPv6标准设计、开发网络协议栈。 7.3 IPv6 应用环境适应性 IPv6网络审计产品应至少支持纯IPv6、IPv6/IP

26、v4双栈、IPv6/IPv4过渡等多种IPv6应用环境中一种环境。 7.4 IPv6 管理环境适应性 IPv6网络审计产品应至少能在纯IPv6、IPv6/IPv4双栈、IPv6/IPv4过渡等多种IPv6环境中的一种环境下进行管理。 8 性能要求 8.1 处理能力 IPv6网络审计产品应支持万兆网络环境，支持不小于20Gbps负荷量。 8.2 网络影响 IPv6网络审计产品在运行过程中不应对网络正常通信产生明显影响。 9 安全保障要求 9.1 开发 9.1.1 安全架构 开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求： a) 与产品设计文档中对安全功能实施抽象描述的级别一致

27、； b) 描述与安全功能要求一致的产品安全功能的安全域； c) 描述产品安全功能初始化过程为何是安全的； d) 证实产品安全功能能够防止被破坏； e) 证实产品安全功能能够防止安全特性被旁路。 9.1.2 功能规范 开发者应提供完备的功能规范说明，功能规范说明应满足以下要求： a) 完全描述产品的安全功能； b) 描述所有安全功能接口的目的与使用方法； GA/T XXXXXXXX 10 c) 标识和描述每个安全功能接口相关的所有参数； d) 描述安全功能接口相关的安全功能实施行为； e) 描述由安全功能实施行为处理而引起的直接错误消息； f) 证实安全功能要求到安全功能接口的追溯； g) 描述

28、安全功能实施过程中，与安全功能接口相关的所有行为； h) 描述可能由安全功能接口的调用而引起的所有直接错误消息。 9.1.3 实现表示 开发者应提供全部安全功能的实现表示，实现表示应满足以下要求： a) 提供产品设计描述与实现表示实例之间的映射，并证明其一致性； a) 按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度； b) 以开发人员使用的形式提供。 9.1.4 产品设计 开发者应提供产品设计文档，产品设计文档应满足以下要求： a) 根据子系统描述产品结构； b) 标识和描述产品安全功能的所有子系统； c) 描述安全功能所有子系统间的相互作用； d) 提供的映射关

29、系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口； e) 根据模块描述安全功能； f) 提供安全功能子系统到模块间的映射关系； g) 描述所有安全功能实现模块，包括其目的及与其它模块间的相互作用； h) 描述所有实现模块的安全功能要求相关接口、 其它接口的返回值、 与其它模块间的相互作用及调用的接口； i) 描述所有安全功能的支撑或相关模块，包括其目的及与其它模块间的相互作用。 9.2 指导性文档 9.2.1 操作用户指南 开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应满足以下要求： a) 描述在安全处理环境中被控制

30、的用户可访问的功能和特权，包含适当的警示信息； b) 描述如何以安全的方式使用产品提供的可用接口； c) 描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值； d) 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件， 包括改变安全功能所控制实体的安全特性； e) 标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系； f) 充分实现安全目的所必需执行的安全策略。 9.2.2 准备程序 开发者应提供产品及其准备程序，准备程序描述应满足以下要求： a) 描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤；

31、GA/T XXXXXXXX 11 b) 描述安全安装产品及其运行环境必需的所有步骤。 9.3 生命周期支持 9.3.1 配置管理能力 开发者的配置管理能力应满足以下要求： a) 为产品的不同版本提供唯一的标识； b) 使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项； c) 提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法； d) 配置管理系统提供一种自动方式来支持产品的生成， 通过该方式确保只能对产品的实现表示进行已授权的改变； e) 配置管理文档包括一个配置管理计划， 配置管理计划描述如何使用配置管理系统开发产品。 实施的配置管理与配置管理计划相一致； f) 配置

32、管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。 9.3.2 配置管理范围 开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容： a) 产品、安全保障要求的评估证据和产品的组成部分； b) 实现表示、安全缺陷报告及其解决状态。 9.3.3 交付程序 开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时，交付文档应描述为维护安全所必需的所有程序。 9.3.4 开发安全 开发者应提供开发安全文档。 开发安全文档应描述在产品的开发环境中， 为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全

33、措施。 9.3.5 生命周期定义 开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制， 并提供生命周期定义文档描述用于开发和维护产品的模型。 9.3.6 工具和技术 开发者应明确定义用于开发产品的工具， 并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。 9.4 测试 9.4.1 测试覆盖 开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求： a) 表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性； b) 表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。 9.4.2 测试深度 GA/T XXXXXXXX 1

34、2 开发者应提供测试深度的分析。测试深度分析描述应满足以下要求： a) 证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性； b) 证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。 9.4.3 功能测试 开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容： a) 测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其它测试结果的任何顺序依赖性； b) 预期的测试结果，表明测试成功后的预期输出； c) 实际测试结果和预期的一致性。 9.4.4 独立测试 开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的

35、抽样测试。 9.5 脆弱性评定 基于已标识的潜在脆弱性，产品能够抵抗以下攻击行为： a) 具有基本攻击潜力的攻击者的攻击； b) 具有增强型基本攻击潜力的攻击者的攻击。 10 不同安全等级要求 10.1 安全功能要求 不同安全等级的IPv6网络审计系统产品的安全功能要求如表1所示。 表1 不同安全等级的 IPv6 网络审计系统产品的安全功能要求 安全功能要求 基本级 增强级 信息采集 6.1 6.1 数据还原 网络基本信息还原 6.2.1 6.2.1 会话内容还原 6.2.2 a) d) 6.2.2 a)g) 服务信息还原基本要求 6.2.3 6.2.3 服务信息还原扩展要求 6.2.4 网络

36、攻击识别 6.2.5 基于应用类型还原 6.2.6 审计记录统计 事件统计 6.3.1 6.3.1 流量统计 6.3.2 审计记录分析处理 分析 关联分析 6.4.1.1 异常分析 6.4.1.2 分类分级 6.4.1.3 处理 响应告警 6.4.2.1 a) b) 6.4.2.1 GA/T XXXXXXXX 13 表 1（续） 安全功能要求 基本级 增强级 处理措施 6.4.2.2 碎片包处理 6.4.2.3 审计结果 审计记录 6.4.3.1 6.4.3.1 审计查阅 6.4.3.2 6.4.3.2 统计报表 6.4.3.3 a) b) 6.4.3.3 管理控制要求 图形界面 6.5.1

37、6.5.1 开发接口 6.5.2 标识与鉴别 用户标识 唯一标识 6.6.1.1 6.6.1.1 属性定义 6.6.1.2 6.6.1.2 属性初始化 6.6.1.3 6.6.1.3 身份鉴别 基本鉴别 6.6.2.1 6.6.2.1 鉴别数据保护 6.6.2.2 6.6.2.2 鉴别失败处理 6.6.2.3 超时锁定或注销 6.6.2.4 审计日志 审计日志生成 6.7.1 6.7.1 日志管理 6.7.2 6.7.2 安全管理 时间一致性 6.8.1 6.8.1 集中管理 6.8.2 6.8.2 状态监测 6.8.3 保密传输 6.8.4 数据存储 存储介质 6.9.1 6.9.1 数据删

38、除 6.9.2 6.9.2 备份与恢复 6.9.3 存储空间耗尽处理 6.9.4 数据库支持 6.9.5 数据完整性鉴别 6.9.6 安全存储 6.9.7 10.2 安全保障要求 不同安全等级的IPv6网络审计系统产品的安全保障要求如表2所示。 表2 不同安全等级的 IPv6 网络审计系统产品的安全保障要求 安全功能要求 基本级 增强级 开发 安全架构 9.1.1 9.1.1 功能规范 9.1.2 a) f) 9.1.2 实现标示 9.1.3 产品设计 9.1.4 a) d) 9.1.4 GA/T XXXXXXXX 14 表 2（续） 安全功能要求 基本级 增强级 指导性文档 用户操作指南 9.2.1 9.2.1 准备程序 9.2.2 9.2.2 生命周期支持 配置管理能力 9.3.1 a) c) 9.3.1 配置管理范围 9.3.2 a) 9.3.2 交付程序 9.3.3 9.3.3 开发安全 9.3.4 生命周期定义 9.3.5 工具和技术 9.3.6 测试覆盖 9.4.1a) 9.4.1 测试深度 9.4.2 功能测试 9.4.3 9.4.3 独立测试 9.4.4 9.4.4 脆弱性评定 9.5 a) _