信息安全技術(shù) 安全運(yùn)維系統(tǒng)技術(shù)規(guī)范

ICS35.040

CCSL80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)安全運(yùn)維系統(tǒng)技術(shù)規(guī)范

Informationsecuritytechnology-Technicalspecificationforsecurityoperationand

maintenancesystem

（點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)）

（征求意見(jiàn)稿）

（本稿完成日期：2023-7-5）

在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專(zhuān)利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局

發(fā)布

國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/TXXXXX—XXXX

前??言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。

本文件由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口。

本文件起草單位：上海辰銳信息科技公司、公安部第三研究所、中國(guó)科學(xué)院軟件研究所、華為技術(shù)

有限公司、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、國(guó)家工業(yè)信息安全發(fā)展研究中心、浙江齊治科技股份有

限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司、北京神州綠

盟科技有限公司、西安交大捷普網(wǎng)絡(luò)科技有限公司、杭州中爾網(wǎng)絡(luò)科技有限公司、北京藍(lán)象標(biāo)準(zhǔn)咨詢(xún)服

務(wù)有限公司、長(zhǎng)楊科技（北京)股份有限公司、杭州安恒信息技術(shù)股份有限公司、北京時(shí)代新威信息技

術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、上海三零衛(wèi)士信息安全有限公司、成都衛(wèi)士通信息

產(chǎn)業(yè)股份有限公司、上海觀安信息技術(shù)股份有限公司、廣東安創(chuàng)信息科技開(kāi)發(fā)有限公司、北京神州綠盟

科技有限公司、遠(yuǎn)江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司、藍(lán)盾信息安全技術(shù)股份有限公司、北京

智游網(wǎng)安科技有限公司、深信服科技股份有限公司、陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心、北京信安世紀(jì)科

技股份有限公司、河南中科安永科技有限公司、國(guó)網(wǎng)區(qū)塊鏈科技（北京）有限公司、廣東省信息安全測(cè)

評(píng)中心、國(guó)網(wǎng)新疆電力有限公司電力科學(xué)研究院、廣電計(jì)量檢測(cè)集團(tuán)股份有限公司。

本文件主要起草人：張艷、鄒春明、胡津銘、沈亮、晏敏、王峰、申永波、王沖華、于遨洋、安高

峰、楊春鵬、周進(jìn)、何建鋒、葛方雋、張德保、趙華、田麗丹、俞政臣、周瑞群、劉彪、鄢昱恒、謝江、

鐘英南、周進(jìn)、劉強(qiáng)、韓云、劉晨、馮燕飛、付軍、郭軍武、石竹玉、葉勁宏、加依達(dá)爾.金格斯、唐

迪。

II

GB/TXXXXX—XXXX

信息安全技術(shù)安全運(yùn)維系統(tǒng)技術(shù)規(guī)范

1范圍

本文件規(guī)定了網(wǎng)絡(luò)運(yùn)維訪問(wèn)控制、運(yùn)維審計(jì)、安全管理等安全運(yùn)維系統(tǒng)安全功能要求、自身安全要

求、安全保障要求及測(cè)試評(píng)價(jià)方法。

本文件適用于安全運(yùn)維系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試與評(píng)價(jià)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T18336.1-xxxx信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型

GB/T18336.3-xxxx信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第3部分：安全保障組件

GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)

GB/T36626-2018信息安全技術(shù)信息系統(tǒng)安全運(yùn)維管理指南

GB/T39837-2021信息技術(shù)遠(yuǎn)程運(yùn)維技術(shù)參考模型

GB42250-2022信息安全技術(shù)網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品安全技術(shù)要求

3術(shù)語(yǔ)和定義

GB/T18336.1-xxxx、GB/T25069-2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

安全運(yùn)維系統(tǒng)securityoperationandmaintenancesystem

為運(yùn)維用戶(hù)提供統(tǒng)一資源訪問(wèn)入口，對(duì)運(yùn)維對(duì)象、運(yùn)維用戶(hù)進(jìn)行集中管理，并實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)維過(guò)程統(tǒng)

一訪問(wèn)控制、安全審計(jì)、違規(guī)操作行報(bào)警或阻斷的產(chǎn)品。

3.2

運(yùn)維對(duì)象operationandmaintenanceobject

受安全運(yùn)維系統(tǒng)保護(hù)的，具有標(biāo)準(zhǔn)協(xié)議遠(yuǎn)程方式運(yùn)維管理的信息資產(chǎn)，如服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全

設(shè)備、數(shù)據(jù)庫(kù)等。

3.3

運(yùn)維用戶(hù)operationandmaintenanceuser

通過(guò)安全運(yùn)維系統(tǒng)對(duì)運(yùn)維對(duì)象進(jìn)行網(wǎng)絡(luò)運(yùn)行維護(hù)的用戶(hù)。

3.4

1

GB/TXXXXX—XXXX

授權(quán)管理員authorizedadministrator

能訪問(wèn)、實(shí)施、修改安全運(yùn)維系統(tǒng)各類(lèi)安全策略的管理員，其職責(zé)僅限定于對(duì)安全運(yùn)維系統(tǒng)的管理。

3.5

運(yùn)維服務(wù)協(xié)議operationandmaintenanceserviceprotocol

支持對(duì)目標(biāo)資產(chǎn)進(jìn)行運(yùn)維操作和管理的網(wǎng)絡(luò)應(yīng)用協(xié)議，包括但不限于TELNET、SSH、RDP、VNC等。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

CPU：中央處理單元（CentralProcessingUnit）

EAL：評(píng)估保證等級(jí)（EvaluationAssuranceLevel）

ICMP：網(wǎng)間控制報(bào)文協(xié)議（InternetControlMessageProtocol）

IP：網(wǎng)際協(xié)議（InternetProtocol）

KVM：基于內(nèi)核的虛擬機(jī)（Kernel-basedVirtualMachine）

NDP：鄰居發(fā)現(xiàn)協(xié)議（NeighborDiscoveryProtocol）

RDP：遠(yuǎn)程桌面協(xié)議（RemoteDesktopProtocol）

SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)

SSH：安全外殼協(xié)議（SecureShell）

TELNET：遠(yuǎn)程登陸系統(tǒng)（TeletypeNetwork）

VNC：虛擬網(wǎng)絡(luò)控制臺(tái)（VirtualNetworkConsole）

5概述

安全運(yùn)維系統(tǒng)為運(yùn)維用戶(hù)提供統(tǒng)一資源訪問(wèn)入口，借助身份認(rèn)證接口實(shí)現(xiàn)對(duì)運(yùn)維用戶(hù)的身份鑒別，

對(duì)資產(chǎn)及其賬戶(hù)等進(jìn)行集中管理和授權(quán)，監(jiān)控和審計(jì)運(yùn)維操作過(guò)程，并對(duì)違規(guī)操作行為進(jìn)行報(bào)警、阻斷。

該類(lèi)產(chǎn)品保護(hù)的對(duì)象是服務(wù)器、虛擬機(jī)、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、數(shù)據(jù)庫(kù)、云平臺(tái)等信息系統(tǒng)重要資產(chǎn)。

此外，安全運(yùn)維系統(tǒng)本身及其內(nèi)部的重要數(shù)據(jù)也是受保護(hù)的對(duì)象。

本文件將安全運(yùn)維系統(tǒng)的安全技術(shù)要求分為安全功能要求、自身安全要求、安全保障要求三類(lèi)。其

中，安全功能要求是對(duì)安全運(yùn)維系統(tǒng)應(yīng)具備的安全功能提出具體要求，包括運(yùn)維用戶(hù)管理、運(yùn)維對(duì)象管

理、運(yùn)維服務(wù)協(xié)議支持、運(yùn)維訪問(wèn)控制、告警、遠(yuǎn)程訪問(wèn)加密、運(yùn)維審計(jì)、運(yùn)維會(huì)話(huà)管理、高可用性、

設(shè)備虛擬化、IPv6支持等；自身安全要求是對(duì)安全運(yùn)維系統(tǒng)的自身安全保護(hù)提出具體要求，包括標(biāo)識(shí)與

鑒別、安全管理、審計(jì)日志等；安全保障要求針對(duì)安全運(yùn)維系統(tǒng)的開(kāi)發(fā)和使用文檔的內(nèi)容提出具體的要

求，例如開(kāi)發(fā)、指導(dǎo)性文檔、生命周期支持、測(cè)試和脆弱性評(píng)定等。此外，本文件針對(duì)安全運(yùn)維系統(tǒng)的

安全技術(shù)要求提出對(duì)應(yīng)的測(cè)試評(píng)價(jià)方法，為使用本文件的人員提供一個(gè)測(cè)試評(píng)價(jià)安全運(yùn)維系統(tǒng)的技術(shù)準(zhǔn)

則。

本文件將安全運(yùn)維系統(tǒng)的安全功能要求、自身安全要求和安全保障要求分為基本級(jí)和增強(qiáng)級(jí)，安全

功能與自身安全的強(qiáng)弱、以及安全保障要求的高低是等級(jí)劃分的具體依據(jù)，等級(jí)突出安全特性。其中，

基本級(jí)產(chǎn)品的安全保障要求內(nèi)容滿(mǎn)足GB/T18336.3-xxxx的EAL2級(jí)，增強(qiáng)級(jí)產(chǎn)品的安全保障要求內(nèi)容滿(mǎn)

足GB/T18336.3-xxxx的EAL4級(jí)。與基本級(jí)內(nèi)容相比，增強(qiáng)級(jí)中要求有所增加或變更的內(nèi)容在正文中通

過(guò)“宋體加粗”表示。

安全運(yùn)維系統(tǒng)的安全功能要求、自身安全要求、安全保障要求應(yīng)符合GB42250-2022《信息安全技

術(shù)網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品安全技術(shù)要求》的相關(guān)要求。

2

GB/TXXXXX—XXXX

表1角色描述表

角色角色描述

通過(guò)安全運(yùn)維系統(tǒng)對(duì)信息資產(chǎn)進(jìn)行運(yùn)行維護(hù)和管理的用戶(hù)（人員或自動(dòng)化運(yùn)維工

運(yùn)維用戶(hù)

具），通常以賬號(hào)作為用戶(hù)標(biāo)識(shí)，賬號(hào)由安全運(yùn)維系統(tǒng)進(jìn)行管理

受安全運(yùn)維系統(tǒng)保護(hù)的信息資產(chǎn)的各類(lèi)管理賬戶(hù)，該賬戶(hù)由受保護(hù)的信息資產(chǎn)進(jìn)行

管理賬戶(hù)

維護(hù)，運(yùn)維用戶(hù)登錄安全運(yùn)維系統(tǒng)后通過(guò)該賬戶(hù)對(duì)受保護(hù)的信息資產(chǎn)進(jìn)行運(yùn)維和管

（運(yùn)維對(duì)象）

理

對(duì)安全運(yùn)維系統(tǒng)進(jìn)行維護(hù)和管理的用戶(hù)角色，包括操作員、安全員、審計(jì)員或其他

管理員

自定義角色，通常不具備受保護(hù)資產(chǎn)的運(yùn)維管理權(quán)限

管理員角色的一種，具有系統(tǒng)配置管理權(quán)限，如產(chǎn)品IP地址、運(yùn)維用戶(hù)、運(yùn)維對(duì)象

操作員

管理等

安全員管理員角色的一種，具有安全管理權(quán)限，如訪問(wèn)控制策略管理等

審計(jì)員管理員角色的一種，具有審計(jì)管理權(quán)限，如審計(jì)日志的查閱、分析、管理等

6安全技術(shù)要求

6.1基本級(jí)安全技術(shù)要求

6.1.1安全功能要求

6.1.1.1運(yùn)維用戶(hù)管理

產(chǎn)品應(yīng)支持對(duì)運(yùn)維用戶(hù)進(jìn)行管理：

a)運(yùn)維用戶(hù)賬戶(hù)增加、刪除；

b)運(yùn)維用戶(hù)安全屬性定義，包括但不限于賬戶(hù)、用戶(hù)姓名、聯(lián)系電話(huà)、口令等；

c)支持本地運(yùn)維用戶(hù)賬戶(hù)分組管理。

6.1.1.2運(yùn)維對(duì)象管理

產(chǎn)品應(yīng)支持對(duì)運(yùn)維對(duì)象進(jìn)行管理：

a)運(yùn)維對(duì)象增加、刪除、修改；

b)運(yùn)維對(duì)象安全屬性定義，包括但不限于運(yùn)維對(duì)象資產(chǎn)類(lèi)別、IP地址、運(yùn)維服務(wù)協(xié)議、運(yùn)維對(duì)象

賬戶(hù)及口令等；

c)支持運(yùn)維對(duì)象分類(lèi)管理。

6.1.1.3網(wǎng)絡(luò)通信協(xié)議支持

產(chǎn)品應(yīng)至少支持以下運(yùn)維服務(wù)協(xié)議對(duì)運(yùn)維對(duì)象進(jìn)行網(wǎng)絡(luò)運(yùn)維：

a)TELNET、SSH；

b)RDP、VNC。

6.1.1.4運(yùn)維訪問(wèn)控制

6.1.1.4.1用戶(hù)登錄策略

產(chǎn)品應(yīng)提供統(tǒng)一的身份鑒別功能，實(shí)現(xiàn)運(yùn)維用戶(hù)的單點(diǎn)登錄，運(yùn)維用戶(hù)需經(jīng)過(guò)產(chǎn)品的身份鑒別后，

方可訪問(wèn)授權(quán)范圍內(nèi)的資產(chǎn)。

3

GB/TXXXXX—XXXX

6.1.1.4.2訪問(wèn)控制策略

產(chǎn)品應(yīng)支持以下條件對(duì)運(yùn)維過(guò)程實(shí)施訪問(wèn)控制，且默認(rèn)禁止：

a)運(yùn)維用戶(hù)、源地址等；

b)運(yùn)維對(duì)象及其管理賬戶(hù)等；

c)運(yùn)維服務(wù)協(xié)議；

d)操作命令。

6.1.1.4.3違規(guī)操作控制

產(chǎn)品應(yīng)依據(jù)安全策略，對(duì)違規(guī)操作進(jìn)行告警、阻斷（操作命令或會(huì)話(huà)阻斷），確保運(yùn)維用戶(hù)訪問(wèn)過(guò)

程的合規(guī)性。

6.1.1.5告警

6.1.1.5.1告警內(nèi)容

產(chǎn)品應(yīng)依據(jù)告警策略對(duì)運(yùn)維用戶(hù)的違規(guī)操作進(jìn)行告警，告警信息應(yīng)至少包括：

a)操作時(shí)間；

b)運(yùn)維用戶(hù)；

c)源地址；

d)運(yùn)維對(duì)象；

e)運(yùn)維服務(wù)協(xié)議；

f)事件描述；

g)觸發(fā)的策略等。

6.1.1.5.2告警方式

產(chǎn)品應(yīng)支持屏幕告警、短信或郵件告警方式進(jìn)行告警。

6.1.1.6遠(yuǎn)程訪問(wèn)加密

應(yīng)采取措施保證網(wǎng)絡(luò)運(yùn)維通道的數(shù)據(jù)傳輸保密性和完整性。

6.1.1.7運(yùn)維審計(jì)

6.1.1.7.1運(yùn)維審計(jì)記錄

產(chǎn)品應(yīng)對(duì)運(yùn)維用戶(hù)的運(yùn)維操作進(jìn)行審計(jì)，生成審計(jì)記錄，應(yīng)至少包括：

a)操作日期和時(shí)間；

b)運(yùn)維用戶(hù)、登錄IP地址；

c)運(yùn)維對(duì)象名稱(chēng)、IP地址及賬戶(hù)；

d)運(yùn)維服務(wù)協(xié)議；

e)命令行方式運(yùn)維服務(wù)協(xié)議：至少包括操作命令、返回內(nèi)容；

f)圖形界面方式運(yùn)維服務(wù)協(xié)議：通用視頻格式文件錄屏，并保證清晰度。

6.1.1.7.2運(yùn)維審計(jì)查閱

產(chǎn)品應(yīng)僅允許授權(quán)管理員查閱審計(jì)記錄，支持條件查詢(xún)并以通用格式導(dǎo)出，查詢(xún)條件應(yīng)至少包括：

a)操作日期和時(shí)間段；

4

GB/TXXXXX—XXXX

b)運(yùn)維用戶(hù)、登錄IP地址；

c)運(yùn)維對(duì)象名稱(chēng)、IP地址及賬戶(hù)；

d)運(yùn)維服務(wù)協(xié)議。

6.1.1.7.3審計(jì)報(bào)表

產(chǎn)品應(yīng)支持基于時(shí)間段、運(yùn)維用戶(hù)、運(yùn)維對(duì)象等條件生成審計(jì)報(bào)表，并支持一種或者多種通用文本

格式，支持自定義報(bào)表內(nèi)容。

6.1.1.8運(yùn)維會(huì)話(huà)管理

6.1.1.8.1會(huì)話(huà)回放

產(chǎn)品應(yīng)提供如下會(huì)話(huà)回放功能：

a)對(duì)運(yùn)維會(huì)話(huà)過(guò)程的回放；

b)按操作命令或時(shí)間進(jìn)行定位回放。

6.1.1.9設(shè)備虛擬化（可選）

6.1.1.9.1虛擬系統(tǒng)

若產(chǎn)品支持在邏輯上劃分為多個(gè)虛擬子系統(tǒng)，虛擬子系統(tǒng)間應(yīng)支持隔離和獨(dú)立管理，包括但不限于：

a)對(duì)虛擬子系統(tǒng)分別設(shè)置管理員，實(shí)現(xiàn)針對(duì)虛擬子系統(tǒng)的管理配置；

b)虛擬子系統(tǒng)能分別維護(hù)安全策略和日志系統(tǒng)；

c)對(duì)虛擬子系統(tǒng)的資源使用配額進(jìn)行限制；

d)限制虛擬子系統(tǒng)之間的相互訪問(wèn)。

6.1.1.9.2虛擬化部署

若產(chǎn)品為虛擬化形態(tài)，應(yīng)支持部署于虛擬化平臺(tái)，并接受平臺(tái)統(tǒng)一管理，包括但不限于：

a)支持部署于一種或一種以上類(lèi)型的虛擬化平臺(tái)；

b)結(jié)合虛擬化平臺(tái)實(shí)現(xiàn)產(chǎn)品資源彈性伸縮，根據(jù)虛擬化產(chǎn)品的負(fù)載情況動(dòng)態(tài)調(diào)整資源；

c)實(shí)現(xiàn)故障遷移，當(dāng)虛擬化產(chǎn)品出現(xiàn)故障時(shí)能實(shí)現(xiàn)自動(dòng)更新、替換。

6.1.1.10IPv6支持（可選）

產(chǎn)品應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下正常工作，有效運(yùn)行其安全功能和自身安全功能：

a)支持IPv6方式網(wǎng)絡(luò)運(yùn)維和訪問(wèn)運(yùn)維對(duì)象資產(chǎn)；

b)支持IPv6方式遠(yuǎn)程管理；

c)支持IPv4、IPv6雙協(xié)議棧工作模式。

6.1.2自身安全要求

6.1.2.1標(biāo)識(shí)與鑒別

6.1.2.1.1身份標(biāo)識(shí)

產(chǎn)品應(yīng)為管理員和運(yùn)維用戶(hù)提供唯一的身份標(biāo)識(shí)，并將標(biāo)識(shí)與其所有可審計(jì)事件相關(guān)聯(lián)。

6.1.2.1.2基本鑒別

5

GB/TXXXXX—XXXX

產(chǎn)品應(yīng)在執(zhí)行任何與安全功能相關(guān)操作之前鑒別管理員/運(yùn)維用戶(hù)的身份，若采用靜態(tài)口令方式鑒

別，應(yīng)提供口令復(fù)雜度檢查和定期更換提醒功能。

6.1.2.1.3鑒別失敗處理

當(dāng)對(duì)管理員/運(yùn)維用戶(hù)鑒別嘗試連續(xù)失敗達(dá)到設(shè)定的次數(shù)后，產(chǎn)品應(yīng)阻止管理員/運(yùn)維用戶(hù)進(jìn)一步的

鑒別請(qǐng)求；鑒別失敗嘗試次數(shù)及限制登錄時(shí)間僅由授權(quán)管理員設(shè)定。

6.1.2.1.4超時(shí)鎖定或注銷(xiāo)

產(chǎn)品應(yīng)具有登錄連接超時(shí)鎖定或注銷(xiāo)功能，在設(shè)定的時(shí)間段內(nèi)沒(méi)有任何操作的情況下，終止會(huì)話(huà)，

需要再次進(jìn)行身份鑒別才能夠重新操作，最大超時(shí)時(shí)間僅由授權(quán)管理員設(shè)定。

6.1.2.1.5鑒別數(shù)據(jù)保護(hù)

產(chǎn)品應(yīng)保證管理員、運(yùn)維用戶(hù)和運(yùn)維對(duì)象的管理賬戶(hù)等鑒別數(shù)據(jù)加密存儲(chǔ)，不被非授權(quán)查閱或修改。

6.1.2.2安全管理

6.1.2.2.1安全功能管理

產(chǎn)品應(yīng)允許授權(quán)管理員對(duì)產(chǎn)品進(jìn)行以下管理：

a)查閱和修改安全屬性；

b)制定和修改各種安全策略。

6.1.2.2.2管理員角色管理

產(chǎn)品應(yīng)對(duì)管理員角色進(jìn)行區(qū)分，具有至少三種不同權(quán)限的角色，例如操作員、安全員、審計(jì)員等。

6.1.2.2.3遠(yuǎn)程管理安全

若產(chǎn)品提供遠(yuǎn)程管理功能，應(yīng)保障遠(yuǎn)程管理安全：

a)采取措施保障遠(yuǎn)程管理數(shù)據(jù)的傳輸保密性；

b)支持對(duì)可遠(yuǎn)程管理的主機(jī)地址進(jìn)行限制；

c)若產(chǎn)品形態(tài)為硬件，支持以SNMP等標(biāo)準(zhǔn)協(xié)議方式對(duì)產(chǎn)品的CPU、內(nèi)存、存儲(chǔ)的資源使用情

況進(jìn)行監(jiān)測(cè)。

6.1.2.2.4配置備份與恢復(fù)

產(chǎn)品應(yīng)支持配置文件的本地備份與恢復(fù)，并支持備份文件的導(dǎo)入導(dǎo)出。

6.1.2.2.5時(shí)鐘同步

產(chǎn)品應(yīng)具備時(shí)鐘同步功能，保證產(chǎn)品系統(tǒng)時(shí)間與時(shí)鐘服務(wù)器的一致性。

6.1.2.2.6產(chǎn)品升級(jí)

產(chǎn)品應(yīng)具備升級(jí)功能，并采取措施保證升級(jí)包的完整性、真實(shí)性，以及升級(jí)過(guò)程安全。

6.1.2.3審計(jì)日志

6.1.2.3.1審計(jì)日志生成

產(chǎn)品應(yīng)對(duì)產(chǎn)品自身管理相關(guān)事件生成審計(jì)日志：

6

GB/TXXXXX—XXXX

a)管理員/運(yùn)維用戶(hù)的鑒別事件，包括成功和失敗，鑒別失敗處理；

b)安全策略的增加、刪除和修改操作；

c)用戶(hù)/角色的增加、刪除和屬性修改操作；

d)配置備份與恢復(fù)、安全升級(jí)等重要操作。

6.1.2.3.2審計(jì)日志內(nèi)容

審計(jì)日志內(nèi)容至少應(yīng)包括事件發(fā)生的日期、時(shí)間、主體標(biāo)識(shí)、事件描述和結(jié)果等。

6.1.2.3.3審計(jì)日志管理

產(chǎn)品應(yīng)提供下列審計(jì)日志管理功能：

a)僅允許授權(quán)管理員訪問(wèn)審計(jì)日志；

b)對(duì)審計(jì)日志的條件查詢(xún)功能，查詢(xún)條件至少包括日期時(shí)間范圍、主體標(biāo)識(shí)、事件描述關(guān)鍵詞等。

6.1.2.3.4審計(jì)數(shù)據(jù)存儲(chǔ)

產(chǎn)品應(yīng)提供以下功能對(duì)運(yùn)維審計(jì)記錄、審計(jì)日志進(jìn)行安全存儲(chǔ):

a)存儲(chǔ)于掉電非易失性存儲(chǔ)介質(zhì)中，存儲(chǔ)時(shí)間不少于6個(gè)月；

b)支持以syslog等標(biāo)準(zhǔn)格式將審計(jì)數(shù)據(jù)外發(fā)到日志服務(wù)器；

c)當(dāng)存儲(chǔ)空間達(dá)到閾值時(shí)，能通知授權(quán)管理員。

6.1.3安全保障要求

6.1.3.1開(kāi)發(fā)

6.1.3.1.1安全架構(gòu)

開(kāi)發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿(mǎn)足以下要求：

a)與產(chǎn)品設(shè)計(jì)文檔中對(duì)安全功能實(shí)施抽象描述的級(jí)別一致；

b)描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

c)描述產(chǎn)品安全功能初始化過(guò)程為何是安全的；

d)證實(shí)產(chǎn)品安全功能能夠防止被破壞；

e)證實(shí)產(chǎn)品安全功能能夠防止安全特性被旁路。

6.1.3.1.2功能規(guī)范

開(kāi)發(fā)者應(yīng)提供完備的功能規(guī)范說(shuō)明，功能規(guī)范說(shuō)明應(yīng)滿(mǎn)足以下要求：

a)完全描述產(chǎn)品的安全功能；

b)描述所有安全功能接口的目的與使用方法；

c)標(biāo)識(shí)和描述每個(gè)安全功能接口相關(guān)的所有參數(shù)；

d)描述安全功能接口相關(guān)的安全功能實(shí)施行為；

e)描述由安全功能實(shí)施行為處理而引起的直接錯(cuò)誤消息；

f)證實(shí)安全功能要求到安全功能接口的追溯。

6.1.3.1.3產(chǎn)品設(shè)計(jì)

開(kāi)發(fā)者應(yīng)提供產(chǎn)品設(shè)計(jì)文檔，產(chǎn)品設(shè)計(jì)文檔應(yīng)滿(mǎn)足以下要求：

a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

b)標(biāo)識(shí)和描述產(chǎn)品安全功能的所有子系統(tǒng)；

7

GB/TXXXXX—XXXX

c)描述安全功能所有子系統(tǒng)間的相互作用；

d)提供的映射關(guān)系能夠證實(shí)設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的安全功能接口。

6.1.3.2指導(dǎo)性文檔

6.1.3.2.1操作用戶(hù)指南

開(kāi)發(fā)者應(yīng)提供明確和合理的操作用戶(hù)指南，操作用戶(hù)指南與為評(píng)估而提供的其他所有文檔保持一

致，對(duì)每一種用戶(hù)角色的描述應(yīng)滿(mǎn)足以下要求：

a)描述在安全處理環(huán)境中被控制的用戶(hù)可訪問(wèn)的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?/p>

b)描述如何以安全的方式使用產(chǎn)品提供的可用接口；

c)描述可用功能和接口，尤其是受用戶(hù)控制的所有安全參數(shù)，適當(dāng)時(shí)指明安全值；

d)明確說(shuō)明與需要執(zhí)行的用戶(hù)可訪問(wèn)功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制

實(shí)體的安全特性；

e)標(biāo)識(shí)產(chǎn)品運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤），以及它們與維持安全

運(yùn)行之間的因果關(guān)系和聯(lián)系；

f)充分實(shí)現(xiàn)安全目的所必須執(zhí)行的安全策略。

6.1.3.2.2準(zhǔn)備程序

開(kāi)發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿(mǎn)足以下要求：

a)描述與開(kāi)發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；

b)描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。

6.1.3.3生命周期支持

6.1.3.3.1配置管理能力

開(kāi)發(fā)者的配置管理能力應(yīng)滿(mǎn)足以下要求：

a)為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)；

b)使用配置管理系統(tǒng)對(duì)組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維護(hù)，并唯一標(biāo)識(shí)配置項(xiàng)；

c)提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法。

6.1.3.3.2配置管理范圍

開(kāi)發(fā)者應(yīng)提供產(chǎn)品配置項(xiàng)列表，并說(shuō)明配置項(xiàng)的開(kāi)發(fā)者。配置項(xiàng)列表應(yīng)包含產(chǎn)品、安全保障要求的

評(píng)估證據(jù)和產(chǎn)品的組成部分。

6.1.3.3.3交付程序

開(kāi)發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過(guò)程文檔化。在給用戶(hù)方交付產(chǎn)品的各版本時(shí)，

交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。

6.1.3.4測(cè)試

6.1.3.4.1測(cè)試覆蓋

開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋描述應(yīng)表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的

產(chǎn)品的安全功能間的對(duì)應(yīng)性。

6.1.3.4.2功能測(cè)試

8

GB/TXXXXX—XXXX

開(kāi)發(fā)者應(yīng)測(cè)試產(chǎn)品安全功能，將結(jié)果文檔化并提供測(cè)試文檔。測(cè)試文檔應(yīng)包括以下內(nèi)容：

a)測(cè)試計(jì)劃，標(biāo)識(shí)要執(zhí)行的測(cè)試，并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案包括對(duì)于其它測(cè)試結(jié)果

的任何順序依賴(lài)性；

b)預(yù)期的測(cè)試結(jié)果，表明測(cè)試成功后的預(yù)期輸出；

c)實(shí)際測(cè)試結(jié)果和預(yù)期的一致性。

6.1.3.4.3獨(dú)立測(cè)試

開(kāi)發(fā)者應(yīng)提供一組與其自測(cè)安全功能時(shí)使用的同等資源，以用于安全功能的抽樣測(cè)試。

6.1.3.5脆弱性評(píng)定

基于已標(biāo)識(shí)的潛在脆弱性，產(chǎn)品能夠抵抗具有基本攻擊潛力的攻擊者的攻擊。

6.2增強(qiáng)級(jí)安全技術(shù)要求

6.2.1安全功能要求

6.2.1.1運(yùn)維用戶(hù)管理

產(chǎn)品應(yīng)支持對(duì)運(yùn)維用戶(hù)進(jìn)行管理：

a)運(yùn)維用戶(hù)賬戶(hù)增加、刪除；

b)運(yùn)維用戶(hù)安全屬性定義，包括但不限于賬戶(hù)、用戶(hù)姓名、聯(lián)系電話(huà)、口令等；

c)支持本地運(yùn)維用戶(hù)賬戶(hù)分組管理；

d)支持第三方認(rèn)證系統(tǒng)對(duì)接，如LDAP、RADIUS等。

6.2.1.2運(yùn)維對(duì)象管理

產(chǎn)品應(yīng)支持對(duì)運(yùn)維對(duì)象進(jìn)行管理：

a)運(yùn)維對(duì)象增加、刪除、修改；

b)運(yùn)維對(duì)象安全屬性定義，包括但不限于運(yùn)維對(duì)象資產(chǎn)類(lèi)別、IP地址、運(yùn)維服務(wù)協(xié)議、運(yùn)維對(duì)象

賬戶(hù)及口令等；

c)支持運(yùn)維對(duì)象分類(lèi)管理；

d)支持運(yùn)維對(duì)象連通性測(cè)試。

6.2.1.3運(yùn)維服務(wù)協(xié)議支持

產(chǎn)品應(yīng)至少支持以下運(yùn)維服務(wù)協(xié)議對(duì)運(yùn)維對(duì)象進(jìn)行網(wǎng)絡(luò)運(yùn)維：

a)TELNET、SSH；

b)RDP、VNC。

6.2.1.4運(yùn)維訪問(wèn)控制

6.2.1.4.1用戶(hù)登錄策略

產(chǎn)品應(yīng)提供統(tǒng)一的身份鑒別功能，實(shí)現(xiàn)運(yùn)維用戶(hù)的單點(diǎn)登錄，運(yùn)維用戶(hù)需經(jīng)過(guò)產(chǎn)品的身份鑒別后，

方可訪問(wèn)授權(quán)范圍內(nèi)的資產(chǎn)。

6.2.1.4.2訪問(wèn)控制策略

產(chǎn)品應(yīng)支持以下條件對(duì)運(yùn)維過(guò)程實(shí)施訪問(wèn)控制，且默認(rèn)禁止：

9

GB/TXXXXX—XXXX

a)主體：運(yùn)維用戶(hù)、運(yùn)維用戶(hù)組、源地址等；

b)客體：運(yùn)維對(duì)象類(lèi)別、運(yùn)維對(duì)象及其賬戶(hù)等；

c)運(yùn)維服務(wù)協(xié)議；

d)操作命令；

e)運(yùn)維時(shí)間段。

6.2.1.4.3違規(guī)操作控制

產(chǎn)品應(yīng)依據(jù)安全策略，對(duì)違規(guī)操作進(jìn)行告警、阻斷（操作命令或會(huì)話(huà)阻斷），確保運(yùn)維用戶(hù)訪問(wèn)過(guò)

程的合規(guī)性。

6.2.1.4.4敏感操作提示

產(chǎn)品應(yīng)支持敏感操作定義，依據(jù)安全策略對(duì)敏感操作提請(qǐng)授權(quán)人員進(jìn)行二次確認(rèn)，確認(rèn)后才能夠

繼續(xù)進(jìn)行運(yùn)維操作。

6.2.1.5告警

6.2.1.5.1告警內(nèi)容

產(chǎn)品應(yīng)依據(jù)告警策略對(duì)運(yùn)維用戶(hù)的違規(guī)操作進(jìn)行告警，告警信息應(yīng)至少包括：

a)操作時(shí)間；

b)運(yùn)維用戶(hù)；

c)源地址；

d)運(yùn)維對(duì)象；

e)運(yùn)維服務(wù)協(xié)議；

f)事件描述；

g)觸發(fā)的策略等。

6.2.1.5.2告警方式

產(chǎn)品應(yīng)支持以下方式進(jìn)行告警：

a)屏幕告警、短信或郵件告警；

b)即時(shí)通訊方式告警。

6.2.1.6遠(yuǎn)程訪問(wèn)加密

應(yīng)采取措施保證網(wǎng)絡(luò)運(yùn)維通道的數(shù)據(jù)傳輸保密性和完整性，采取的加密算法應(yīng)符合國(guó)家密碼管理

主管部門(mén)的要求。

6.2.1.7運(yùn)維審計(jì)

6.2.1.7.1運(yùn)維審計(jì)記錄

產(chǎn)品應(yīng)對(duì)運(yùn)維用戶(hù)的運(yùn)維操作進(jìn)行審計(jì)，生成審計(jì)記錄，應(yīng)至少包括：

a)操作日期和時(shí)間；

b)運(yùn)維用戶(hù)、登錄IP地址；

c)運(yùn)維對(duì)象名稱(chēng)、IP地址及賬戶(hù)；

d)運(yùn)維服務(wù)協(xié)議；

e)命令行方式運(yùn)維服務(wù)協(xié)議：至少包括操作命令、返回內(nèi)容；

10

GB/TXXXXX—XXXX

f)圖形界面方式運(yùn)維服務(wù)協(xié)議：通用視頻格式文件錄屏，并保證清晰度。

6.2.1.7.2運(yùn)維審計(jì)查閱

產(chǎn)品應(yīng)僅允許授權(quán)管理員查閱審計(jì)記錄，支持條件查詢(xún)并以通用格式導(dǎo)出，查詢(xún)條件應(yīng)至少包括：

a)操作日期和時(shí)間段；

b)運(yùn)維用戶(hù)、登錄IP地址；

c)運(yùn)維對(duì)象名稱(chēng)、IP地址及賬戶(hù)；

d)運(yùn)維服務(wù)協(xié)議；

e)操作命令等。

6.2.1.7.3審計(jì)報(bào)表

產(chǎn)品應(yīng)支持基于時(shí)間段、運(yùn)維用戶(hù)、運(yùn)維對(duì)象等條件生成審計(jì)報(bào)表，并支持一種或者多種通用文本

格式，支持自定義報(bào)表內(nèi)容。

6.2.1.8運(yùn)維會(huì)話(huà)管理

6.2.1.8.1會(huì)話(huà)分享

產(chǎn)品應(yīng)提供協(xié)同運(yùn)維場(chǎng)景下的會(huì)話(huà)分享功能：

a)支持在線會(huì)話(huà)遠(yuǎn)程求助功能；

b)運(yùn)維過(guò)程支持會(huì)話(huà)協(xié)同碼分享，便于多方對(duì)會(huì)話(huà)進(jìn)行協(xié)同控制。

6.2.1.8.2會(huì)話(huà)監(jiān)視

產(chǎn)品應(yīng)支持授權(quán)人員對(duì)運(yùn)維會(huì)話(huà)過(guò)程的圖形化實(shí)時(shí)監(jiān)視功能。

6.2.1.8.3會(huì)話(huà)回放

產(chǎn)品應(yīng)提供如下會(huì)話(huà)回放功能：

a)對(duì)運(yùn)維會(huì)話(huà)過(guò)程的回放；

b)按操作命令或時(shí)間進(jìn)行定位回放。

6.2.1.9高可用性

產(chǎn)品應(yīng)支持雙機(jī)或集群方式部署，并保持產(chǎn)品間配置的同步，保證產(chǎn)品的高可用性。

6.2.1.10設(shè)備虛擬化（可選）

6.2.1.10.1虛擬系統(tǒng)

若產(chǎn)品支持在邏輯上劃分為多個(gè)虛擬子系統(tǒng)，虛擬子系統(tǒng)間應(yīng)支持隔離和獨(dú)立管理，包括但不限于：

a)對(duì)虛擬子系統(tǒng)分別設(shè)置管理員，實(shí)現(xiàn)針對(duì)虛擬子系統(tǒng)的管理配置；

b)虛擬子系統(tǒng)能分別維護(hù)安全策略和日志系統(tǒng)；

c)對(duì)虛擬子系統(tǒng)的資源使用配額進(jìn)行限制；

d)限制虛擬子系統(tǒng)之間的相互訪問(wèn)。

6.2.1.10.2虛擬化部署

若產(chǎn)品為虛擬化形態(tài)，應(yīng)支持部署于虛擬化平臺(tái)，并接受平臺(tái)統(tǒng)一管理，包括但不限于：

a)支持部署于一種或一種以上類(lèi)型的虛擬化平臺(tái)；

11

GB/TXXXXX—XXXX

b)結(jié)合虛擬化平臺(tái)實(shí)現(xiàn)產(chǎn)品資源彈性伸縮，根據(jù)虛擬化產(chǎn)品的負(fù)載情況動(dòng)態(tài)調(diào)整資源；

c)實(shí)現(xiàn)故障遷移，當(dāng)虛擬化產(chǎn)品出現(xiàn)故障時(shí)能實(shí)現(xiàn)自動(dòng)更新、替換。

6.2.1.11IPv6支持（可選）

產(chǎn)品應(yīng)支持在IPv6網(wǎng)絡(luò)環(huán)境下正常工作，有效運(yùn)行其安全功能和自身安全功能：

a)支持IPv6方式網(wǎng)絡(luò)運(yùn)維和訪問(wèn)運(yùn)維對(duì)象資產(chǎn)；

b)支持IPv6方式遠(yuǎn)程管理；

c)支持IPv4、IPv6雙協(xié)議棧工作模式。

6.2.2自身安全要求

6.2.2.1標(biāo)識(shí)與鑒別

6.2.2.1.1身份標(biāo)識(shí)

產(chǎn)品應(yīng)為管理員和運(yùn)維用戶(hù)提供唯一的身份標(biāo)識(shí)，并將標(biāo)識(shí)與其所有可審計(jì)事件相關(guān)聯(lián)。

6.2.2.1.2基本鑒別

產(chǎn)品應(yīng)在執(zhí)行任何與安全功能相關(guān)操作之前鑒別管理員/運(yùn)維用戶(hù)的身份，并符合以下要求：

a)若采用靜態(tài)口令方式鑒別，應(yīng)提供口令復(fù)雜度檢查和定期更換提醒功能；

b)支持兩種及兩種以上身份鑒別方式，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。

6.2.2.1.3鑒別失敗處理

當(dāng)對(duì)管理員/運(yùn)維用戶(hù)鑒別嘗試連續(xù)失敗達(dá)到設(shè)定的次數(shù)后，產(chǎn)品應(yīng)阻止管理員/運(yùn)維用戶(hù)進(jìn)一步的

鑒別請(qǐng)求；鑒別失敗嘗試次數(shù)及限制登錄時(shí)間僅由授權(quán)管理員設(shè)定。

6.2.2.1.4超時(shí)鎖定或注銷(xiāo)

產(chǎn)品應(yīng)具有登錄連接超時(shí)鎖定或注銷(xiāo)功能，在設(shè)定的時(shí)間段內(nèi)沒(méi)有任何操作的情況下，終止會(huì)話(huà)，

需要再次進(jìn)行身份鑒別才能夠重新操作，最大超時(shí)時(shí)間僅由授權(quán)管理員設(shè)定。

6.2.2.1.5鑒別數(shù)據(jù)保護(hù)

產(chǎn)品應(yīng)保證管理員、運(yùn)維用戶(hù)和運(yùn)維對(duì)象的管理賬戶(hù)等鑒別數(shù)據(jù)加密存儲(chǔ)，不被非授權(quán)查閱或修改。

采取的加密算法應(yīng)符合國(guó)家密碼管理主管部門(mén)的要求。

6.2.2.2安全管理

6.2.2.2.1安全功能管理

產(chǎn)品應(yīng)允許授權(quán)管理員對(duì)產(chǎn)品進(jìn)行以下管理：

a)查閱和修改安全屬性；

b)制定和修改各種安全策略。

6.2.2.2.2管理員角色管理

產(chǎn)品應(yīng)對(duì)管理員角色進(jìn)行區(qū)分：

a)具有至少三種不同權(quán)限的管理員角色，例如操作員、安全員、審計(jì)員等；

b)根據(jù)不同的功能模塊，自定義各種不同權(quán)限角色，并可對(duì)管理員分配角色。

12

GB/TXXXXX—XXXX

6.2.2.2.3遠(yuǎn)程管理安全

若產(chǎn)品提供遠(yuǎn)程管理功能，應(yīng)保障遠(yuǎn)程管理安全：

a)采取措施保障遠(yuǎn)程管理數(shù)據(jù)的傳輸保密性；

b)支持對(duì)可遠(yuǎn)程管理的主機(jī)地址進(jìn)行限制；

c)若產(chǎn)品形態(tài)為硬件，支持以SNMP等標(biāo)準(zhǔn)協(xié)議方式對(duì)產(chǎn)品的CPU、內(nèi)存、存儲(chǔ)的資源使用情

況進(jìn)行監(jiān)測(cè)；

d)支持獨(dú)立的管理接口，實(shí)現(xiàn)運(yùn)維業(yè)務(wù)接口與管理接口的分離。

6.2.2.2.4配置備份與恢復(fù)

產(chǎn)品應(yīng)支持配置文件的備份與恢復(fù)：

a)支持配置文件的本地備份與恢復(fù)，并支持備份文件的導(dǎo)入導(dǎo)出；

b)支持自定義備份周期，并支持對(duì)配置文件的完整性進(jìn)行檢查。

6.2.2.2.5時(shí)鐘同步

產(chǎn)品應(yīng)具備時(shí)鐘同步功能，保證產(chǎn)品系統(tǒng)時(shí)間與時(shí)鐘服務(wù)器的一致性。

6.2.2.2.6產(chǎn)品升級(jí)

產(chǎn)品應(yīng)具備升級(jí)功能，并采取措施保證升級(jí)包的完整性、真實(shí)性，以及升級(jí)過(guò)程安全。

6.2.2.3審計(jì)日志

6.2.2.3.1審計(jì)日志生成

產(chǎn)品應(yīng)對(duì)產(chǎn)品自身管理相關(guān)事件生成審計(jì)日志：

a)管理員/運(yùn)維用戶(hù)的鑒別事件，包括成功和失敗，鑒別失敗處理；

b)安全策略的增加、刪除和修改操作；

c)用戶(hù)/角色的增加、刪除和屬性修改操作；

d)配置備份與恢復(fù)、安全升級(jí)等重要操作；

e)管理員的其他操作。

6.2.2.3.2審計(jì)日志內(nèi)容

審計(jì)日志內(nèi)容至少應(yīng)包括事件發(fā)生的日期、時(shí)間、主體標(biāo)識(shí)、事件描述和結(jié)果等。

6.2.2.3.3審計(jì)日志管理

產(chǎn)品應(yīng)提供下列審計(jì)日志管理功能：

a)僅允許授權(quán)管理員訪問(wèn)審計(jì)日志；

b)對(duì)審計(jì)日志的條件查詢(xún)功能，查詢(xún)條件至少包括日期時(shí)間范圍、主體標(biāo)識(shí)、事件描述關(guān)鍵詞等。

6.2.2.3.4審計(jì)數(shù)據(jù)存儲(chǔ)

產(chǎn)品應(yīng)提供以下功能對(duì)運(yùn)維審計(jì)記錄、審計(jì)日志進(jìn)行安全存儲(chǔ):

a)存儲(chǔ)于掉電非易失性存儲(chǔ)介質(zhì)中，存儲(chǔ)時(shí)間不少于6個(gè)月；

b)支持以syslog等標(biāo)準(zhǔn)格式將審計(jì)數(shù)據(jù)外發(fā)到日志服務(wù)器；

c)當(dāng)存儲(chǔ)空間達(dá)到閾值時(shí)，能通知授權(quán)管理員；

d)當(dāng)存儲(chǔ)空間達(dá)到閾值時(shí)，采取相應(yīng)的防止審計(jì)日志丟失的技術(shù)措施；

13

GB/TXXXXX—XXXX

e)支持對(duì)審計(jì)數(shù)據(jù)進(jìn)行備份；

f)提供審計(jì)數(shù)據(jù)完整性保護(hù)措施。

6.2.3安全保障要求

6.2.3.1開(kāi)發(fā)

6.2.3.1.1安全架構(gòu)

開(kāi)發(fā)者應(yīng)提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿(mǎn)足以下要求：

a)與產(chǎn)品設(shè)計(jì)文檔中對(duì)安全功能實(shí)施抽象描述的級(jí)別一致；

b)描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

c)描述產(chǎn)品安全功能初始化過(guò)程為何是安全的；

d)證實(shí)產(chǎn)品安全功能能夠防止被破壞；

e)證實(shí)產(chǎn)品安全功能能夠防止安全特性被旁路。

6.2.3.1.2功能規(guī)范

開(kāi)發(fā)者應(yīng)提供完備的功能規(guī)范說(shuō)明，功能規(guī)范說(shuō)明應(yīng)滿(mǎn)足以下要求：

a)完全描述產(chǎn)品的安全功能；

b)描述所有安全功能接口的目的與使用方法；

c)標(biāo)識(shí)和描述每個(gè)安全功能接口相關(guān)的所有參數(shù)；

d)描述安全功能接口相關(guān)的安全功能實(shí)施行為；

e)描述由安全功能實(shí)施行為處理而引起的直接錯(cuò)誤消息；

f)證實(shí)安全功能要求到安全功能接口的追溯；

g)描述安全功能實(shí)施過(guò)程中，與安全功能接口相關(guān)的所有行為；

h)描述可能由安全功能接口的調(diào)用而引起的所有直接錯(cuò)誤消息。

6.2.3.1.3實(shí)現(xiàn)表示

開(kāi)發(fā)者應(yīng)提供全部安全功能的實(shí)現(xiàn)表示，實(shí)現(xiàn)表示應(yīng)滿(mǎn)足以下要求：

a)提供產(chǎn)品設(shè)計(jì)描述與實(shí)現(xiàn)表示實(shí)例之間的映射，并證明其一致性；

b)按詳細(xì)級(jí)別定義產(chǎn)品安全功能，詳細(xì)程度達(dá)到無(wú)須進(jìn)一步設(shè)計(jì)就能生成安全功能的程度；

c)以開(kāi)發(fā)人員使用的形式提供。

6.2.3.1.4產(chǎn)品設(shè)計(jì)

開(kāi)發(fā)者應(yīng)提供產(chǎn)品設(shè)計(jì)文檔，產(chǎn)品設(shè)計(jì)文檔應(yīng)滿(mǎn)足以下要求：

a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

b)標(biāo)識(shí)和描述產(chǎn)品安全功能的所有子系統(tǒng)；

c)描述安全功能所有子系統(tǒng)間的相互作用；

d)提供的映射關(guān)系能夠證實(shí)設(shè)計(jì)中描述的所有行為能夠映射到調(diào)用它的安全功能接口；

e)根據(jù)模塊描述安全功能；

f)提供安全功能子系統(tǒng)到模塊間的映射關(guān)系；

g)描述所有安全功能實(shí)現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；

h)描述所有實(shí)現(xiàn)模塊的安全功能要求相關(guān)接口、其它接口的返回值、與其它模塊間的相互作用及

調(diào)用的接口；

i)描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其它模塊間的相互作用。

14

GB/TXXXXX—XXXX

6.2.3.2指導(dǎo)性文檔

6.2.3.2.1操作用戶(hù)指南

開(kāi)發(fā)者應(yīng)提供明確和合理的操作用戶(hù)指南，操作用戶(hù)指南與為評(píng)估而提供的其他所有文檔保持一

致，對(duì)每一種用戶(hù)角色的描述應(yīng)滿(mǎn)足以下要求：

a)描述在安全處理環(huán)境中被控制的用戶(hù)可訪問(wèn)的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?/p>

b)描述如何以安全的方式使用產(chǎn)品提供的可用接口；

c)描述可用功能和接口，尤其是受用戶(hù)控制的所有安全參數(shù)，適當(dāng)時(shí)指明安全值；

d)明確說(shuō)明與需要執(zhí)行的用戶(hù)可訪問(wèn)功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制

實(shí)體的安全特性；

e)標(biāo)識(shí)產(chǎn)品運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤），以及它們與維持安全

運(yùn)行之間的因果關(guān)系和聯(lián)系；

f)充分實(shí)現(xiàn)安全目的所必須執(zhí)行的安全策略。

6.2.3.2.2準(zhǔn)備程序

開(kāi)發(fā)者應(yīng)提供產(chǎn)品及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿(mǎn)足以下要求：

a)描述與開(kāi)發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；

b)描述安全安裝產(chǎn)品及其運(yùn)行環(huán)境必需的所有步驟。

6.2.3.3生命周期支持

6.2.3.3.1配置管理能力

開(kāi)發(fā)者的配置管理能力應(yīng)滿(mǎn)足以下要求：

a)為產(chǎn)品的不同版本提供唯一的標(biāo)識(shí)；

b)使用配置管理系統(tǒng)對(duì)組成產(chǎn)品的所有配置項(xiàng)進(jìn)行維護(hù)，并唯一標(biāo)識(shí)配置項(xiàng)；

c)提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法；

d)配置管理系統(tǒng)提供一種自動(dòng)方式來(lái)支持產(chǎn)品的生成，通過(guò)該方式確保只能對(duì)產(chǎn)品的實(shí)現(xiàn)表示進(jìn)

行已授權(quán)的改變；

e)配置管理文檔包括一個(gè)配置管理計(jì)劃，配置管理計(jì)劃描述如何使用配置管理系統(tǒng)開(kāi)發(fā)產(chǎn)品。實(shí)

施的配置管理與配置管理計(jì)劃相一致；

f)配置管理計(jì)劃描述用來(lái)接受修改過(guò)的或新建的作為產(chǎn)品組成部分的配置項(xiàng)的程序。

6.2.3.3.2配置管理范圍

開(kāi)發(fā)者應(yīng)提供產(chǎn)品配置項(xiàng)列表，并說(shuō)明配置項(xiàng)的開(kāi)發(fā)者。配置項(xiàng)列表應(yīng)包含以下內(nèi)容：

a)產(chǎn)品、安全保障要求的評(píng)估證據(jù)和產(chǎn)品的組成部分；

b)實(shí)現(xiàn)表示、安全缺陷報(bào)告及其解決狀態(tài)。

6.2.3.3.3交付程序

開(kāi)發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過(guò)程文檔化。在給用戶(hù)方交付產(chǎn)品的各版本時(shí)，

交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。

6.2.3.3.4開(kāi)發(fā)安全

開(kāi)發(fā)者應(yīng)提供開(kāi)發(fā)安全文檔。開(kāi)發(fā)安全文檔應(yīng)描述在產(chǎn)品的開(kāi)發(fā)環(huán)境中，為保護(hù)產(chǎn)品設(shè)計(jì)和實(shí)現(xiàn)

15

GB/TXXXXX—XXXX

的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。

6.2.3.3.5生命周期定義

開(kāi)發(fā)者應(yīng)建立一個(gè)生命周期模型對(duì)產(chǎn)品的開(kāi)發(fā)和維護(hù)進(jìn)行的必要控制，并提供生命周期定義文檔

描述用于開(kāi)發(fā)和維護(hù)產(chǎn)品的模型。

6.2.3.3.6工具和技術(shù)

開(kāi)發(fā)者應(yīng)明確定義用于開(kāi)發(fā)產(chǎn)品的工具，并提供開(kāi)發(fā)工具文檔無(wú)歧義地定義實(shí)現(xiàn)中每個(gè)語(yǔ)句的含

義和所有依賴(lài)于實(shí)現(xiàn)的選項(xiàng)的含義。

6.2.3.4測(cè)試

6.2.3.4.1測(cè)試覆蓋

開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋描述應(yīng)滿(mǎn)足以下要求：

a)表明測(cè)試文檔中所標(biāo)識(shí)的測(cè)試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對(duì)應(yīng)性；

b)表明上述對(duì)應(yīng)性是完備的，并證實(shí)功能規(guī)范中的所有安全功能接口都進(jìn)行了測(cè)試。

6.2.3.4.2測(cè)試深度

開(kāi)發(fā)者應(yīng)提供測(cè)試深度的分析。測(cè)試深度分析描述應(yīng)滿(mǎn)足以下要求：

a)證實(shí)測(cè)試文檔中的測(cè)試與產(chǎn)品設(shè)計(jì)中的安全功能子系統(tǒng)和實(shí)現(xiàn)模塊之間的一致性；

b)證實(shí)產(chǎn)品設(shè)計(jì)中的所有安全功能子系統(tǒng)、實(shí)現(xiàn)模塊都已經(jīng)進(jìn)行過(guò)測(cè)試。

6.2.3.4.3功能測(cè)試

開(kāi)發(fā)者應(yīng)測(cè)試產(chǎn)品安全功能，將結(jié)果文檔化并提供測(cè)試文檔。測(cè)試文檔應(yīng)包括以下內(nèi)容：

a)測(cè)試計(jì)劃，標(biāo)識(shí)要執(zhí)行的測(cè)試，并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案包括對(duì)于其它測(cè)試結(jié)果

的任何順序依賴(lài)性；

b)預(yù)期的測(cè)試結(jié)果，表明測(cè)試成功后的預(yù)期輸出；

c)實(shí)際測(cè)試結(jié)果和預(yù)期的一致性。

6.2.3.4.4獨(dú)立測(cè)試

開(kāi)發(fā)者應(yīng)提供一組與其自測(cè)安全功能時(shí)使用的同等資源，以用于安全功能的抽樣測(cè)試。

6.2.3.5脆弱性評(píng)定

基于已標(biāo)識(shí)的潛在脆弱性，產(chǎn)品能夠抵抗具有增強(qiáng)型攻擊潛力的攻擊者的攻擊。

7測(cè)試評(píng)價(jià)方法

7.1總體說(shuō)明

測(cè)評(píng)方法與安全技術(shù)要求一一對(duì)應(yīng)，它給出的具體測(cè)評(píng)方法來(lái)驗(yàn)證安全運(yùn)維系統(tǒng)是否達(dá)到安全技術(shù)

要求中所提出的要求，它主要由測(cè)試方法、預(yù)期結(jié)果和結(jié)果判定構(gòu)成。

7.2基本級(jí)測(cè)試評(píng)價(jià)方法

7.2.1安全功能測(cè)評(píng)

16

GB/TXXXXX—XXXX

7.2.1.1運(yùn)維用戶(hù)管理

運(yùn)維用戶(hù)管理的測(cè)試評(píng)價(jià)方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)嘗試增加、刪除運(yùn)維用戶(hù)賬戶(hù)；

2)檢查新增運(yùn)維用戶(hù)賬號(hào)時(shí)，檢查其安全屬性項(xiàng)目情況；

3)檢查產(chǎn)品是否支持本地用戶(hù)賬戶(hù)分組管理。

b)預(yù)期結(jié)果：

1)能夠增加、刪除運(yùn)維用戶(hù)賬戶(hù)；

2)運(yùn)維用戶(hù)安全屬性至少包括：賬戶(hù)、用戶(hù)姓名、聯(lián)系電話(huà)、口令；

3)支持本地用戶(hù)賬戶(hù)分組管理。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.2運(yùn)維對(duì)象管理

運(yùn)維對(duì)象管理的測(cè)試評(píng)價(jià)方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)嘗試增加、刪除、修改運(yùn)維對(duì)象；

2)檢查新增運(yùn)維對(duì)象時(shí)，檢查其安全屬性項(xiàng)目情況；

3)檢查產(chǎn)品是否支持運(yùn)維對(duì)象管理。

b)預(yù)期結(jié)果：

1)能夠增加、刪除、修改運(yùn)維對(duì)象；

2)運(yùn)維對(duì)象安全屬性至少包括：資產(chǎn)類(lèi)別、IP地址、運(yùn)維服務(wù)協(xié)議、運(yùn)維對(duì)象賬戶(hù)及口令；

3)支持運(yùn)維對(duì)象分類(lèi)管理，如Windows主機(jī)、Linux主機(jī)、網(wǎng)絡(luò)設(shè)備等。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.3運(yùn)維服務(wù)協(xié)議支持

運(yùn)維服務(wù)協(xié)議支持的測(cè)試評(píng)價(jià)方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)增加運(yùn)維對(duì)象資產(chǎn)，如Linux操作系統(tǒng)，開(kāi)放TELNET、SSH、VNC運(yùn)維協(xié)議；

2)增加Windows操作系統(tǒng)運(yùn)維對(duì)象資產(chǎn)，開(kāi)放遠(yuǎn)程桌面運(yùn)維服務(wù)；

3)配置對(duì)應(yīng)的允許運(yùn)維用戶(hù)的訪問(wèn)控制策略；

4)嘗試通過(guò)該產(chǎn)品采用TELNET、SSH、VNC對(duì)Linux操作系統(tǒng)進(jìn)行網(wǎng)絡(luò)運(yùn)維；

5)嘗試通過(guò)RDP協(xié)議對(duì)Windows操作系統(tǒng)進(jìn)行網(wǎng)絡(luò)運(yùn)維。

b)預(yù)期結(jié)果：

1)能夠增加、刪除、修改運(yùn)維對(duì)象；

2)運(yùn)維用戶(hù)能夠通過(guò)該產(chǎn)品采用TELNET、SSH、VNC對(duì)Linux操作系統(tǒng)進(jìn)行網(wǎng)絡(luò)運(yùn)維；

3)運(yùn)維用戶(hù)能夠通過(guò)RDP協(xié)議對(duì)Windows操作系統(tǒng)進(jìn)行網(wǎng)絡(luò)運(yùn)維。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.4運(yùn)維訪問(wèn)控制

17

GB/TXXXXX—XXXX

7.2.1.4.1用戶(hù)登錄策略

用戶(hù)登錄策略的測(cè)試評(píng)價(jià)方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)產(chǎn)品以旁路方式部署，通過(guò)配置訪問(wèn)控制策略，檢查產(chǎn)品是否為運(yùn)維用戶(hù)提供統(tǒng)一的身份

認(rèn)證接口；

2)檢查運(yùn)維用戶(hù)經(jīng)過(guò)產(chǎn)品的身份鑒別后，是否可訪問(wèn)授權(quán)范圍內(nèi)的資產(chǎn)，如網(wǎng)絡(luò)設(shè)備、安全

產(chǎn)品、服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等。

b)預(yù)期結(jié)果：

1)產(chǎn)品為運(yùn)維用戶(hù)提供統(tǒng)一的身份認(rèn)證接口；

2)通過(guò)產(chǎn)品身份鑒別后，運(yùn)維用戶(hù)可訪問(wèn)授權(quán)范圍內(nèi)的資產(chǎn)。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.4.2訪問(wèn)控制策略

訪問(wèn)控制策略的測(cè)試評(píng)價(jià)方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)授權(quán)管理員根據(jù)主體（運(yùn)維用戶(hù)、源地址等）、客體（運(yùn)維對(duì)象及其賬戶(hù)等）、運(yùn)維方式

（SSH、TELNET、RDP、VNC等）、操作命令等設(shè)置訪問(wèn)控制策略；

2)以主體身份訪問(wèn)被授權(quán)的客體資源，檢查訪問(wèn)控制策略是否正常生效。

b)預(yù)期結(jié)果：

1)可根據(jù)主體、客體、運(yùn)維方式等配置訪問(wèn)控制策略；

2)訪問(wèn)控制策略生效。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.4.3違規(guī)操作阻斷

違規(guī)操作阻斷的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)以授權(quán)管理員身份登錄產(chǎn)品，配置訪問(wèn)控制策略，并對(duì)違規(guī)操作設(shè)置告警策略；

2)運(yùn)維用戶(hù)執(zhí)行違規(guī)操作，檢查是否自動(dòng)阻斷違規(guī)操作。

b)預(yù)期結(jié)果：

1)授權(quán)管理員可以設(shè)置違規(guī)操作告警策略；

2)運(yùn)維用戶(hù)執(zhí)行違規(guī)操作，可自動(dòng)阻斷違規(guī)操作。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.5告警

7.2.1.5.1告警內(nèi)容

告警內(nèi)容的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)以授權(quán)管理員身份登錄產(chǎn)品，配置訪問(wèn)控制策略，并對(duì)違規(guī)操作設(shè)置告警策略；

18

GB/TXXXXX—XXXX

2)運(yùn)維用戶(hù)執(zhí)行違規(guī)操作，檢查是否記錄告警信息，并且告警信息至少包括操作時(shí)間、運(yùn)維

用戶(hù)、源地址、運(yùn)維對(duì)象、運(yùn)維方式、事件描述、觸發(fā)的策略等。

b)預(yù)期結(jié)果：

1)產(chǎn)品支持依據(jù)告警策略對(duì)運(yùn)維用戶(hù)的違規(guī)操作進(jìn)行告警；

2)告警信息至少包含操作時(shí)間、運(yùn)維用戶(hù)、源地址、運(yùn)維對(duì)象、運(yùn)維方式、事件描述、觸發(fā)

的策略等。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.5.2告警方式

告警方式的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)分別配置屏幕告警、短信或郵件告警；

2)配置告警策略，并執(zhí)行相應(yīng)運(yùn)維操作，觸發(fā)告警策略。

b)預(yù)期結(jié)果：

1)產(chǎn)品支持屏幕告警、短信或郵件告警；

2)觸發(fā)告警操作時(shí)，能夠及時(shí)以對(duì)應(yīng)的方式進(jìn)行告警。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.6遠(yuǎn)程訪問(wèn)加密

遠(yuǎn)程訪問(wèn)加密的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)若產(chǎn)品采用網(wǎng)絡(luò)遠(yuǎn)程方式管理，利用網(wǎng)絡(luò)抓包工具，截獲產(chǎn)品網(wǎng)絡(luò)管理數(shù)據(jù)，檢查管理數(shù)

據(jù)是否非明文傳輸；

2)使用產(chǎn)品進(jìn)行網(wǎng)絡(luò)運(yùn)維操作，利用網(wǎng)絡(luò)抓包工具，截獲運(yùn)維操作數(shù)據(jù)，檢查是否加密傳輸。

b)預(yù)期結(jié)果：

1)管理數(shù)據(jù)非明文傳輸；

2)網(wǎng)絡(luò)運(yùn)維操作數(shù)據(jù)，采取的加密算法符合國(guó)家密碼管理主管部門(mén)的要求。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.7運(yùn)維審計(jì)

7.2.1.7.1運(yùn)維審計(jì)記錄

運(yùn)維審計(jì)記錄的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)授權(quán)管理員根據(jù)主體、客體、運(yùn)維方式等設(shè)置訪問(wèn)控制策略；

2)運(yùn)維用戶(hù)依據(jù)訪問(wèn)控制策略訪問(wèn)受保護(hù)的客體資源，并執(zhí)行運(yùn)維管理操作；

3)以授權(quán)管理員身份登錄產(chǎn)品，查閱審計(jì)記錄，檢查審計(jì)記錄是否包括操作時(shí)間、運(yùn)維用戶(hù)、

源地址、運(yùn)維對(duì)象、運(yùn)維方式、操作內(nèi)容、操作結(jié)果等信息。

b)預(yù)期結(jié)果：

1)支持對(duì)運(yùn)維用戶(hù)的操作進(jìn)行審計(jì)；

19

GB/TXXXXX—XXXX

2)審計(jì)記錄包括：操作日期和時(shí)間、運(yùn)維用戶(hù)、源地址、運(yùn)維對(duì)象、運(yùn)維方式、操作內(nèi)容、

操作結(jié)果等信息。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.7.2運(yùn)維審計(jì)查閱

運(yùn)維審計(jì)查閱的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)運(yùn)維用戶(hù)依據(jù)訪問(wèn)控制策略訪問(wèn)受保護(hù)的客體資源，并執(zhí)行運(yùn)維管理操作，產(chǎn)生各種審計(jì)

記錄；

2)檢查是否存在非授權(quán)查閱審計(jì)記錄的路徑；并以授權(quán)管理員身份登錄產(chǎn)品，查閱審計(jì)記錄，

檢查是否支持根據(jù)操作日期和時(shí)間、運(yùn)維用戶(hù)、源地址、運(yùn)維對(duì)象、運(yùn)維賬戶(hù)等條件查詢(xún)

審計(jì)記錄；

3)檢查審計(jì)記錄是否支持導(dǎo)出操作，導(dǎo)出格式為通用格式。

b)預(yù)期結(jié)果：

1)僅授權(quán)用戶(hù)可以查看審計(jì)記錄；

2)審計(jì)記錄可按操作日期和時(shí)間、運(yùn)維用戶(hù)、源地址、運(yùn)維對(duì)象、運(yùn)維賬戶(hù)、操作命令等進(jìn)

行查詢(xún)；

3)支持審計(jì)記錄導(dǎo)出功能。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.7.3審計(jì)報(bào)表

審計(jì)報(bào)表的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)運(yùn)維用戶(hù)依據(jù)訪問(wèn)控制策略訪問(wèn)受保護(hù)的客體資源，并執(zhí)行運(yùn)維管理操作，產(chǎn)生各種審計(jì)

記錄；

2)以授權(quán)管理員身份登錄產(chǎn)品，檢查是否提供自定義審計(jì)記錄報(bào)表功能；

3)生成審計(jì)記錄報(bào)表，檢查是否支持報(bào)表導(dǎo)出，并記錄導(dǎo)出格式。

b)預(yù)期結(jié)果：

1)支持自定義報(bào)表內(nèi)容；

2)支持DOC、PDF、XLS、WPS、UOF中的一種或者多種格式生成審計(jì)記錄報(bào)表。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.8運(yùn)維會(huì)話(huà)管理

7.2.1.8.1會(huì)話(huà)回放

會(huì)話(huà)回放的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)運(yùn)維用戶(hù)依據(jù)訪問(wèn)控制策略訪問(wèn)受保護(hù)的客體資源，并執(zhí)行運(yùn)維管理操作；

2)以授權(quán)管理員身份登錄產(chǎn)品，檢查是否提供對(duì)訪問(wèn)運(yùn)維對(duì)象會(huì)話(huà)過(guò)程的回放功能和按操作

命令或時(shí)間進(jìn)行定位回放的功能。

20

GB/TXXXXX—XXXX

b)預(yù)期結(jié)果：

1)支持會(huì)話(huà)回放功能；

2)僅允許授權(quán)管理員進(jìn)行回放操作；

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.9高可用性

高可用性的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

在產(chǎn)品因CPU、內(nèi)存等資源消耗過(guò)高或者斷電、網(wǎng)絡(luò)中斷時(shí)，檢查是否支持通過(guò)冗余方式保證

產(chǎn)品的高可用性。

b)預(yù)期結(jié)果：

在產(chǎn)品因CPU、內(nèi)存等資源消耗過(guò)高或者斷電、網(wǎng)絡(luò)中斷時(shí)，支持通過(guò)冗余方式保證產(chǎn)品的高

可用性。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.10設(shè)備虛擬化（可選）

7.2.1.10.1虛擬系統(tǒng)

虛擬系統(tǒng)的測(cè)評(píng)方法如下：

a)測(cè)評(píng)方法：

1)在產(chǎn)品設(shè)置多個(gè)子系統(tǒng)，并為各子系統(tǒng)分別設(shè)置管理員，驗(yàn)證管理員是否僅能對(duì)各自所屬

的子系統(tǒng)進(jìn)行管理，不能對(duì)其他的子系統(tǒng)進(jìn)行管理；

2)為各子系統(tǒng)設(shè)置安全策略、生成日志，驗(yàn)證各子系統(tǒng)是否獨(dú)立維護(hù)各自安全策略、日志系

統(tǒng)；

3)為各子系統(tǒng)設(shè)置資源使用配額，驗(yàn)證子系統(tǒng)是否不能使用超過(guò)配額的資源；

4)嘗試進(jìn)行子系統(tǒng)之間的相互訪問(wèn)。

b)預(yù)期結(jié)果：

1)虛擬子系統(tǒng)能設(shè)置各自的管理員，實(shí)現(xiàn)針對(duì)本子系統(tǒng)的管理配置，不能配置管理其他子系

統(tǒng)；

2)虛擬子系統(tǒng)獨(dú)立工作，各自維護(hù)安全策略、日志系統(tǒng)；

3)能對(duì)虛擬子系統(tǒng)分配資源使用配額；

4)能對(duì)虛擬子系統(tǒng)之間的相互訪問(wèn)進(jìn)行限制。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.10.2虛擬化部署

虛擬化部署的測(cè)評(píng)方法如下：

a)測(cè)評(píng)方法：

1)分別嘗試在虛擬化平臺(tái)部署產(chǎn)品；

2)增加網(wǎng)絡(luò)流量、網(wǎng)絡(luò)連接數(shù)等負(fù)載，驗(yàn)證虛擬化平臺(tái)是否能根據(jù)產(chǎn)品負(fù)載情況動(dòng)態(tài)調(diào)整虛

擬化產(chǎn)品數(shù)量；

21

GB/TXXXXX—XXXX

3)模擬虛擬化產(chǎn)品發(fā)生故障，驗(yàn)證其是否能自動(dòng)更新、替換。

b)預(yù)期結(jié)果：

1)支持部署于虛擬化平臺(tái)中，支持VMwareESXi、KVM、CitrixXenServer、Docker或Hyper-V

等虛擬化平臺(tái)中的一種；

2)能在虛擬化平臺(tái)上實(shí)現(xiàn)彈性伸縮，根據(jù)虛擬化產(chǎn)品的負(fù)載情況動(dòng)態(tài)調(diào)整虛擬化產(chǎn)品數(shù)量；

3)能實(shí)現(xiàn)故障遷移，當(dāng)虛擬化產(chǎn)品出現(xiàn)故障時(shí)實(shí)現(xiàn)自動(dòng)更新、替換。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.11IPv6支持（可選）

支持純IPv6網(wǎng)絡(luò)環(huán)境的測(cè)評(píng)方法如下：

a)測(cè)評(píng)方法：

1)模擬IPv6網(wǎng)絡(luò)環(huán)境，驗(yàn)證產(chǎn)品及其安全功能是否能在IPv6網(wǎng)絡(luò)環(huán)境下正常工作；

2)模擬IPv6網(wǎng)絡(luò)環(huán)境，驗(yàn)證產(chǎn)品是否支持在IPv6網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)自身管理；

3)檢測(cè)產(chǎn)品是否支持IPv4、IPv6雙棧方式工作。

b)預(yù)期結(jié)果：

1)產(chǎn)品支持在純IPv6網(wǎng)絡(luò)環(huán)境下正常工作；

2)產(chǎn)品支持在IPv6網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)自身管理；

3)產(chǎn)品能夠支持IPv4、IPv6雙棧方式工作。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.2自身安全測(cè)評(píng)

7.2.2.1標(biāo)識(shí)與鑒別

7.2.2.1.1身份標(biāo)識(shí)

身份標(biāo)識(shí)的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)以授權(quán)管理員身份登錄產(chǎn)品，嘗試新增相同身份標(biāo)識(shí)的管理員，檢查是否執(zhí)行成功；

2)以授權(quán)管理員身份登錄產(chǎn)品，嘗試新增相同身份標(biāo)識(shí)的運(yùn)維用戶(hù)，檢查是否執(zhí)行成功；

3)檢查審計(jì)日志信息，相關(guān)審計(jì)事件是否具有管理員和運(yùn)維用戶(hù)標(biāo)識(shí)。

b)預(yù)期結(jié)果：

1)無(wú)法新增相同身份標(biāo)識(shí)的管理員；

2)無(wú)法新增相同身份標(biāo)識(shí)的運(yùn)維用戶(hù)；

3)相關(guān)審計(jì)事件具有管理員和運(yùn)維用戶(hù)的身份標(biāo)識(shí)。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.2基本鑒別

基本鑒別的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)檢查產(chǎn)品在執(zhí)行任何與安全功能相關(guān)操作之前，是否鑒別管理員/運(yùn)維用戶(hù)的身份；

22

GB/TXXXXX—XXXX

2)若采用靜態(tài)口令方式鑒別，檢查產(chǎn)品是否提供口令復(fù)雜度檢查或要求，是否具有定期更換

周期檢查功能；

b)預(yù)期結(jié)果：

1)產(chǎn)品在執(zhí)行任何與安全功能相關(guān)操作之前，需鑒別管理員/運(yùn)維用戶(hù)的身份；

2)若采用靜態(tài)口令，應(yīng)支持強(qiáng)制口令復(fù)雜度要求和定期更換周期要求；

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.3鑒別失敗處理

基本鑒別的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)管理員/運(yùn)維用戶(hù)鑒別嘗試連續(xù)失敗達(dá)到設(shè)定的次數(shù)后，檢查產(chǎn)品是否阻止管理員/運(yùn)維用

戶(hù)進(jìn)一步的鑒別請(qǐng)求，如：鎖定IP或者賬戶(hù)一段時(shí)間等；

2)以授權(quán)管理員登錄產(chǎn)品，檢查是否支持設(shè)置鑒別失敗嘗試。

b)預(yù)期結(jié)果：

1)對(duì)管理員/運(yùn)維用戶(hù)鑒別嘗試連續(xù)失敗達(dá)到設(shè)定的次數(shù)后，產(chǎn)品應(yīng)阻止管理員/運(yùn)維用戶(hù)進(jìn)

一步的鑒別請(qǐng)求；

2)僅授權(quán)管理員可設(shè)置鑒別失敗嘗試。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.4超時(shí)鎖定或注銷(xiāo)

超時(shí)鎖定或注銷(xiāo)的測(cè)試方法與預(yù)期結(jié)果如下：

a)測(cè)試方法：

1)檢查產(chǎn)品是否具備登錄連接超時(shí)鎖定或注銷(xiāo)功能，并在設(shè)定的時(shí)間段內(nèi)沒(méi)有任何操作的情

況下，檢查產(chǎn)品是否終止會(huì)話(huà)，需要再次進(jìn)行身份鑒別才能夠重新操作；

2)以授權(quán)管理員身份登錄產(chǎn)品，嘗試設(shè)置最大超時(shí)時(shí)間，檢查是否執(zhí)行成功。

b)預(yù)期結(jié)果：

1)產(chǎn)品具備登錄連接超時(shí)鎖定或注銷(xiāo)功能；

2)超時(shí)鎖定后需要再次進(jìn)行身份鑒別才能夠重新操作；

3)最大超時(shí)時(shí)間僅由授權(quán)管理員設(shè)定。

c)結(jié)果判定：

實(shí)際測(cè)評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.5鑒別數(shù)據(jù)保護(hù)

鑒別數(shù)據(jù)保護(hù)的測(cè)試方法與預(yù)期結(jié)果如下：

a)