信息系统安全审计产品分类及安全技术要求等级划分、测评方法等级划分

附录A（规范性）信息系统安全审计产品分类及安全技术要求等级划分概述和增强级安全技术要求的最小集合。主机审计产品表A.1列出了主机审计产品安全技术要求的等级划分。安全功能要求安全功能要求审计结果自身安全要求性要求安全技术要求基本级对应章条号增强级对应章条号数据采集6.1.16.1.1主机事件审计6.1.2.16.1.2.1事件审计网络事件审计应用事件审计统计关联分析————————6.1.3.1a)、b）————————6.1.2.56.1.3.1a)、b）6.1.3.2统计分析异常事件分析——6.1.3.3a)、b）事件分级6.1.3.46.1.3.4事件告警——6.1.3.5主机审计记录网络审计记录6.1.4.1.1——6.1.4.1.1——审计记录数据库审计记录————应用审计记录————统计报表6.1.4.26.1.4.2审计查阅6.1.4.36.1.4.3身份标识与鉴别6.2.1a)～f)6.2.1管理能力6.2.2a)～c)6.2.2管理方式6.2.3a)～b)6.2.3审计探针安全6.2.4a)6.2.4敏感信息保护——6.2.5管理审计6.2.66.2.6存储安全6.2.76.2.7传输安全6.2.86.2.8安全支撑系统6.2.96.2.9IPv6应用环境适用性6.3.16.3.1IPv6管理环境适用性6.3.26.3.2安全架构6.5.1.16.5.1.1功能规范6.5.1.26.5.1.2产品设计6.5.1.3a)、b)6.5.1.3实现表示——6.5.1.4操作用户指南6.5.2.16.5.2.1准备程序6.5.2.26.5.2.2配置管理能力6.5.3.1.1a)～c)6.5.3.1.1配置管理配置管理范围6.5.3.1.2a)6.5.3.1.2生命周期支交付程序6.5.3.26.5.3.2持开发安全——6.5.3.3生命周期定义——6.5.3.4工具和技术——6.5.3.5测试覆盖6.5.4.1a)6.5.4.1测试深度——6.5.4.2性能测试要求性能测试要求双协议栈数据采集速度事件记录速度6.3.3————6.3.3————开发指导性文档安全保障要求安全保障要求测试功能测试独立测试脆弱性评定6.5.4.36.5.4.46.5.5a)6.5.4.36.5.4.46.5.5b)“——”表示不适用。表A.2列出了网络审计产品安全技术要求的等级划分。表A.2网络审计产品安全技术要求等级划分表安全技术要求基本级对应章条号增强级对应章条号数据采集6.1.16.1.1主机事件审计————网络事件审计6.1.2.2a)～g)6.1.2.2事件审计数据库事件审计————应用事件审计————自定义事件审计——6.1.2.5统计6.1.3.16.1.3.1安全功能关联分析——6.1.3.2要求统计分析异常事件分析——6.1.3.3c)、d）事件分级6.1.3.46.1.3.4事件告警——6.1.3.5主机审计记录————审计结果网络审计记录审计记录数据库审计记录6.1.4.1.2a)～e)——6.1.4.1.2——应用审计记录————统计报表6.1.4.26.1.4.2审计探针安全6.2.4a)6.2.4敏感信息保护——6.2.5管理审计6.2.66.2.6存储安全6.2.76.2.7传输安全6.2.86.2.8安全支撑系统6.2.96.2.9IPv6应用环境适用性6.3.16.3.1IPv6管理环境适用性6.3.26.3.2双协议栈6.3.36.3.3数据采集速度6.4.16.4.1事件记录速度6.4.26.4.2安全架构6.5.1.16.5.1.1功能规范6.5.1.26.5.1.2产品设计6.5.1.3a)、b)6.5.1.3实现表示——6.5.1.4操作用户指南6.5.2.16.5.2.1准备程序6.5.2.26.5.2.2配置管理能力6.5.3.1.1a)～c)6.5.3.1.1配置管理配置管理范围6.5.3.1.2a)6.5.3.1.2生命周期支交付程序6.5.3.26.5.3.2持开发安全——6.5.3.3生命周期定义——6.5.3.4工具和技术——6.5.3.5测试覆盖6.5.4.1a)6.5.4.1测试深度——6.5.4.2审计查阅审计查阅管理能力管理方式6.1.4.36.2.1a)～f)6.2.2a)～c)6.2.3a)～b)6.1.4.36.2.16.2.26.2.3自身安全要求性要求性能测试要求开发指导性文档安全保障要求安全保障要求测试功能测试独立测试脆弱性评定6.5.4.36.5.4.46.5.5a)6.5.4.36.5.4.46.5.5b)“——”表示不适用。表A.3列出了数据库审计产品安全技术要求的等级划分。表A.3数据库审计产品安全技术要求等级划分表安全技术要求基本级对应章条号增强级对应章条号数据采集6.1.16.1.1安全功能要求事件审计主机事件审计网络事件审计————————数据库事件审计6.1.2.3a)～c)6.1.2.3应用事件审计统计关联分析统计分析 异常事件分事件分级事件告警

————6.1.3.1a)、b)、d)————6.1.3.4——————

——6.1.2.56.1.3.1a)、b)、6.1.3.26.1.3.36.1.3.46.1.3.5————审计结果

审计记录

数据库审计记录应用审计记录统计报表审计查阅

6.1.4.1.3a)、b)——6.1.4.26.1.4.3

6.1.4.1.3——6.1.4.26.1.4.3自身安全要求环境适应性要求要求要求要求

开发指导性文档生命周期支持测试

管理能力管理方式管理审计安全支撑系统IPv6应用环境适用性IPv6管理环境适用性双协议栈准备程序配置管理能力配置管理配置管理范围工具和技术测试覆盖测试深度功能测试独立测试

6.2.1a)～f)6.2.2a)～c)6.2.3a)～b)6.2.4a)——6.2.66.2.76.2.86.2.96.3.16.3.26.3.36.4.16.4.26.5.1.16.5.1.26.5.1.3a)、b)——6.5.2.16.5.2.26.5.3.1.1a)～c)6.5.3.1.2a)6.5.3.2——————6.5.4.1a)——6.5.4.36.5.4.4

6.2.16.2.26.2.36.2.46.2.56.2.66.2.76.2.86.2.96.3.16.3.26.3.36.4.16.4.26.5.1.16.5.1.26.5.1.36.5.1.46.5.2.16.5.2.26.5.3.1.16.5.3.1.26.5.3.26.5.3.36.5.3.46.5.3.56.5.4.16.5.4.26.5.4.36.5.4.4脆弱性评定脆弱性评定注：“——”表示不适用。6.5.5a)6.5.5b)应用审计产品表A.4列出了应用审计产品安全技术要求的等级划分。表A.4应用审计产品安全技术要求等级划分表要求要求环境适应性要求要求要求

审计结果安全技术要求基本级对应章条号安全技术要求基本级对应章条号增强级对应章条号事件审计数据采集主机事件审计网络事件审计应用事件审计6.1.1——————6.1.2.46.1.1——————6.1.2.4自定义事件审计——6.1.2.5统计分析统计关联分析异常事件分析事件分级6.1.3.1a)、b)————6.1.3.46.1.3.1a)、b)6.1.3.26.1.3.3e）6.1.3.4事件告警主机审计记录————6.1.3.5——网络审计记录————审计记录数据库审计记录————应用审计记录6.1.4.1.46.1.4.1.4统计报表6.1.4.26.1.4.2审计查阅6.1.4.36.1.4.3身份标识与鉴别6.2.1a)～f)6.2.1管理能力6.2.2a)～c)6.2.2管理方式6.2.3a)～b)6.2.3审计探针安全6.2.4a)6.2.4敏感信息保护——6.2.5管理审计6.2.66.2.6存储安全6.2.76.2.7传输安全6.2.86.2.8安全支撑系统6.2.96.2.9IPv6应用环境适用性6.3.16.3.1IPv6管理环境适用性6.3.26.3.2双协议栈6.3.36.3.3数据采集速度6.4.16.4.1事件记录速度6.4.26.4.2安全架构6.5.1.16.5.1.1功能规范6.5.1.26.5.1.2产品设计6.5.1.3a)、b)6.5.1.3实现表示——6.5.1.4配置管理范围6.5.3.1.2a)6.5.3.1.2生命周期支交付程序6.5.3.26.5.3.2持开发安全——6.5.3.3生命周期定义——6.5.3.4工具和技术——6.5.3.5测试覆盖6.5.4.1a)6.5.4.1测试深度——6.5.4.2指导性文档操作用户指南指导性文档操作用户指南准备程序配置管理能力配置管理6.5.2.16.5.2.26.5.3.1.1a)～c)6.5.2.16.5.2.26.5.3.1.1安全保障要求测试功能测试独立测试脆弱性评定6.5.4.36.5.4.46.5.5a)6.5.4.36.5.4.46.5.5b)“——”表示不适用。综合审计产品安全技术要求的等级划分A.2A.3A.4、A.5。附录B（规范性）信息系统安全审计产品分类及测评方法等级划分概述按照附录A中主机审计产品、网络审计产品、数据库审计产品、应用审计产品、综合审计产品的安全技术要求，分别列出了对应测评方法的条款。主机审计产品表B.1列出了主机审计产品测评方法的等级划分。测评方法基本级对应章条号测评方法基本级对应章条号增强级对应章条号事件审计安全功能要求统计分析数据采集主机事件审计网络事件审计应用事件审计统计关联分析异常事件分析7.2.1a)7.2.2.1a)————————7.2.3.1a)1)、2）————7.2.1a)7.2.2.1a)——————7.2.2.5a)7.2.3.1a)1)、2）7.2.3.2a)7.2.3.3a)1)、2）审计记录审计结果自身安全要求身份标识与鉴别管理能力管理方式审计探针安全敏感信息保护7.3.1a)1)～6)7.3.2a)1)～3)7.3.3a)12)7.3.4a)1)——a)a)a)a)a)性要求事件分级事件告警主机审计记录网络审计记录7.2.3.4——7.2.4.1.1————a)a)a)a)7.2.4.1.1a)————应用审计记录————统计报表7.2.4.2a)7.2.4.2a)审计查阅7.2.4.3a)7.2.4.3a)管理审计7.3.6a)7.3.6a)存储安全7.3.7a)7.3.7a)传输安全7.3.8a)7.3.8a)安全支撑系统7.3.9a)7.3.9a)IPv6应用环境适用性7.4.1a)7.4.1a)IPv6管理环境适用性7.4.2a)7.4.2a)双协议栈7.4.3a)7.4.3a)性能测试要求数据采集速度事件记录速度————————安全架构7.6.1.1a)7.6.1.1a)功能规范7.6.1.2a)7.6.1.2a)开发产品设计7.6.1.3a)1)、2)7.6.1.3a)实现表示——7.6.1.4a)操作用户指南7.6.2.1a)7.6.2.1a)安全保障 准备程序7.6.2.2a)7.6.2.2a)要求 配置管理能力配置管理配置管理范围7.6.3.1.1a)1)～3)7.6.3.1.2a)1)a)a)生命周期支交付程序7.6.3.2a)7.6.3.2a)持开发安全——7.6.3.3a)生命周期定义——7.6.3.4a)工具和技术——7.6.3.5a)测试覆盖7.6.4.1a)1)7.6.4.1a)指导性文档安全保障指导性文档安全保障要求测试测试深度脆弱性评定——a)a)7.6.5a)1)、2)a)a)a)7.6.5a)1)、3）“——”表示不适用。表B.2列出了网络审计产品测评方法的等级划分。表B.2网络审计产品测评方法等级划分表测评方法基本级对应章条号增强级对应章条号数据采集7.2.1a)7.2.1a)主机事件审计————网络事件审计7.2.2.2a)1)～7)7.2.2.2a)事件审计数据库事件审计————应用事件审计————自定义事件审计——7.2.2.5a)统计7.2.3.1a)7.2.3.1a)安全功能关联分析——7.2.3.2a)要求统计分析异常事件分析——7.2.3.3a)3)、4）事件分级7.2.3.4a)7.2.3.4a)事件告警——7.2.3.5a)主机审计记录————网络审计记录7.2.4.1.2a)1)～6)7.2.4.1.2a)审计记录审计结果数据库审计记录————应用审计记录————统计报表7.2.4.2a)7.2.4.2a)自身安全自身安全要求性要求要求开发指导性文档安全保障要求生命周期支持安全保障要求测试审计查阅管理能力管理方式管理审计安全支撑系统IPv6应用环境适用性IPv6管理环境适用性双协议栈准备程序配置管理能力配置管理配置管理范围工具和技术测试覆盖测试深度功能测试独立测试脆弱性评定7.2.4.3a)7.3.1a)1)～6)7.3.2a)1)～3)7.3.3a)1)、2)7.3.4a)1)——a)a)a)a)a)a)a)————a)a)7.6.1.3a)1)、2)——a)a)7.6.3.1.1a)1)～3)7.6.3.1.2a)1)7.6.3.2a)——————7.6.4.1a)1)——a)a)7.6.5a)1)、2)7.2.4.3a)a)a)a)a)a)a)a)a)a)a)a)a)————a)a)a)a)a)a)a)a)a)a)a)a)a)a)a)a)7.6.5a)1)、3）数据库审计产品表B.3列出了数据库审计产品测评方法的等级划分。表B.3数据库审计产品测评方法等级划分表测评方法测评方法基本级对应章条号增强级对应章条号安全功能要求事件审计数据采集主机事件审计网络事件审计7.2.1a)————7.2.1a)————应用事件审计统计关联分析统计分析 异常事件分事件分级事件告警

7.2.2.3a)1)～3)————7.2.3.1a)————7.2.3.4a)——————

7.2.2.3a)——7.2.2.5a)a)a)7.2.3.3a)4）a)a)————审计结果

审计记录

数据库审计记录应用审计记录统计报表审计查阅

7.2.4.1.3a)1)、2)——a)a)

7.2.4.1.3a)——a)a)自身安全要求环境适应性要求要求要求安全保障

开发指导性文档生命周期支持

管理能力管理方式管理审计安全支撑系统IPv6应用环境适用性IPv6管理环境适用性双协议栈准备程序配置管理能力配置管理配置管理范围工具和技术测试覆盖

7.3.1a)1)～6)7.3.2a)1)～3)7.3.3a)12)7.3.4a)1)——a)a)a)a)a)a)a)————a)a)7.6.1.3a)1)、2)——a)a)7.6.3.1.1a)1)～3)7.6.3.1.2a)1)7.6.3.2a)——————7.6.4.1a)1)

a)a)a)a)a)a)a)a)a)a)a)a)————a)a)a)a)a)a)a)a)a)a)a)a)7.6.4.1a)测试 测试深度要求功能测试

——7.6.4.3a)

a)a)独立测试独立测试脆弱性评定注：“——”表示不适用。7.6.4.4a)7.6.5a)1)、2)7.6.4.4a)7.6.5a)1)、3）应用审计产品表B.4列出了应用审计产品测评方法的等级划分。表B.4应用审计产品测评方法等级划分表测评方法基本级对应章条号增强级对应章条号测评方法基本级对应章条号增强级对应章条号事件审计数据采集主机事件审计网络事件审计7.2.1a)——————7.2.1a)——————统计分析应用事件审计统计关联分析异常事件分析7.2.2.4a)——7.2.3.1a)1)、2）————a)a)7.2.3.1a)1)、2）7.2.3.2a)7.2.3.3a)5）事件分级7.2.3.4a)7.2.3.4a)事件告警主机审计记录网络审计记录审计记录数据库审