《信息安全技术 信息系统安全审计产品技术要求和测试评价方法》编制说明

1工作简况

1.1任务来源

2010年，经中国国家标准化管理委员会批准，全国信息安全标准化技术委

员会（SAC/TC260）主任办公会讨论通过，研究修订GB/T20945-2007信息安全技

术信息系统安全审计产品技术要求和测试评价方法国家标准，国标计划号：

20101498-T-469。该项目由全国信息安全标准化技术委员会提出，全国信息安全

标准化技术委员会归口，由公安部计算机信息系统安全产品质量监督检验中心负

责主办。

1.2协作单位

在接到修订GB/T20945-2007信息安全技术信息系统安全审计产品技术要

求和测试评价方法国家标准的任务后，公安部计算机信息系统安全产品质量监督

检验中心立即与安全审计产品厂商进行沟通，并得到了多家业内知名厂商的积极

参与的反馈。经过层层筛选之后，最后确定由深信服科技有限公司、蓝盾信息安

全技术股份有限公司、厦门市美亚柏科信息股份有限公司、北京中科网威信息技

术有限公司、上海汉邦京泰数码技术有限公司五家公司作为标准修订参编单位。

1.3主要工作过程

1.3.1前期调研

在申请GB/T20945-2007信息安全技术信息系统安全审计产品技术要求和

测试评价方法国家标准修订任务之前，标准修订组就已经开始了前期调研工作。

1.3.1.1参考资料

在前期调研过程中，标准修订组主要参考了以下标准、产品和相关资料。

1.GB/T17859-1999计算机信息系统安全保护划分准则

2.GB/T18336-2008信息技术安全技术信息技术安全性评估准则

3.GB/T20271-2006信息安全技术信息系统通用安全技术要求

4.GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

5.GA/T695-2007信息安全技术网络通讯安全审计数据留存功能要求

6.GA/T931-2010信息安全技术数据库安全审计产品安全技术要求

1

7.MSTL_JGF_04-018信息安全技术日志分析产品检验规范

8.近两年到本检测中心所送检的该类产品及其技术资料

1.3.1.2现状研究

同时，标准修订组队安全审计相关标准现状进行研究。目前，安全审计类产

品相关标准有：GB/T20945-2007信息安全技术信息系统安全审计产品技术要

求和测试评价方法、GA/T695-2007信息安全技术网络通讯安全审计数据留存

功能要求和GA/T931-2010信息安全技术数据库安全审计产品安全技术要求。

国标GB/T20945-2007基本级要求过高、结构不清楚，很多重要的技术要求

没有细化测试指标，很多要求不合适应该删除。得出一致结论——应修订国标

GB/T20945-2007。

1.3.2修订组成立

在接到GB/T20945-2007信息安全技术信息系统安全审计产品技术要求和

测试评价方法国家标准修订任务之后，2010年11月，公安部计算机信息系统安

全产品质量监督检验中心成立了由王志佳作为组长具体负责的标准修订组。

1.3.2.1制定工作计划

修订组首先制定了修订工作计划，并确定了修订组人员例会及时沟通交流工

作情况。

1.3.2.2确定修订内容

经标准修订小组研究决定，以安全审计产品发展的动向为研究基础，以等级

保护相关标准为标准框架，对GB/T20945-2007信息安全技术信息系统安全审

计产品技术要求和测试评价方法的内容进行修订。

1.3.3修订工作简要过程

按照修订进度要求，修订组人员首先对所参阅的产品、文档以及标准进行反

复阅读与理解，并查阅有关资料，编写修订提纲。在对提纲进行交流和修改的基

础上，开始具体标准的修订工作。

1.3.3.1草稿（原稿）

2010年10月至2011年1月，对国内外安全审计系统，相关技术文档以及

2

有关标准进行前期基础调研。在调研期间，我们主要对我中心历年检测产品的记

录、报告以及各产品的技术文档材料进行了筛选、汇总、分析，对国内安全审计

系统发展动向进行了研究，以及进行了对国内外相关产品的技术文档和标准分析

理解等工作。

2011年1月至3月进行草稿的编写工作。以我修订组人员收集的资料为基

础，依据编写提纲，在不断的讨论和研究中，完善内容，对原标准的内容进行了

第一次的修订，最终形成了本标准的草稿（原稿）。

1.3.3.2草稿（第一稿）

2011年3月至5月，我们收集了国内相关产品的主要生产厂家信息，以邮

件形式向他们征求意见。厂家中兴网安回复邮件，由于主要生产网络型安全审计

产品，多以针对网络审计提出意见，提出了在数据过滤筛选时应保留原始数据，

保留对未知行为的分析追溯的能力。

2011年5月，单位内部组织第一次标准讨论会，由标准修订组成员汇报标

准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准内容

进行了修改。最终形成草稿（第一稿）。

1.3.3.3草稿（第二稿）

2011年7月底，修订组以邮件形式对草稿（第一稿）征求厂家意见。厂商

深信服科技有限公司、蓝盾信息安全技术股份有限公司、厦门市美亚柏科信息股

份有限公司、北京天融信网络安全技术有限公司等对该稿提出了宝贵的意见与建

议。

2011年8月10日，单位内部组织第二次标准讨论会，由标准修订组成员汇

报标准的修订情况并接受其他同事的质询，会后根据本次讨论会的意见，对标准

内容进行了修改，最终形成草稿（第二稿）。

本次修改的主要内容如下：

1.保证要求和自身安全方面要按照等级保护要求来对应；

2.对网络型安全年审计产品审计内容做调整，选择主流协议和操作；

3.对数据库型安全审计产品审计内容做调整，参考数据库安全审计行标，

加强一下对数据库类型的要求；

4.删除审计日志独立存放功能。

3

1.3.3.4草稿（第三稿）

2011年10月初，在草稿（第二稿）的基础上，修订组继续征集深信服科技

有限公司、蓝盾信息安全技术股份有限公司、厦门市美亚柏科信息股份有限公司、

北京天融信网络安全技术有限公司等厂商的意见。

10月中旬，又进行了一次单位内部讨论，得到修改意见若干。在草稿（第

二稿）的基础上进行修改，形成草稿（第三稿）。

本次修改的主要内容如下：

1.细化事件分析功能和统计分析功能；

2.对自身安全功能进行增强；

3.使标准结构更加清晰。

1.3.3.5草稿（第四稿）

2011年12月3日，修订组要求WG5工作组专家赴上海公安部第三研究所

对征求意见第三稿进行现场评审。与会专家有：崔书昆、赵战生、景乾元、吉增

瑞、杨建军、许玉娜。会上，各位专家提出了宝贵意见，经反复推敲修改，形成

草稿（第四稿）。

本次修改的主要内容如下：

1.修改前言归口单位为GB/T1.1-2009给出的规则起草由全国信息安全标

准化技术委员会提出并归口；

2.修改规范性引用文件；

3.增加系统运行状态监测，如CPU、内存、存储状态监测；

1.3.3.6草稿（第五稿）

2012年7月19日，公安部第三研究所检测中心对征求意见第四稿进行内部

评审，由修订组和经验丰富的检测员出席。经过反复推敲修改，最终形成征求意

见（第五稿）。

本次修改的主要内容如下：

1.在前言中添加与原标准差异；

2.添加缩略语；

3.删除缺省策略、策略模板，只保留策略制定；

4.删除联动要求；

4

5.增加要求，数据不允许手动删除，只能到期自动删除；

6.删除性能要求；

7.把原来分的三级改为两级。

1.3.3.7征求意见稿（第一稿）

2012年7月26日，WG5专家组在北京对标准草稿再次做评审，与会专家

包括赵战生、王立福、崔书昆、冯惠、袁文恭、肖京华、杨建军、罗锋盈、卿斯

汉等。专家组对标准草稿（第五稿）提出来若干意见，并一致同意生成征求意见

稿第一稿。

本次修改的主要内容包括：

1.标准封面、目录、前言若干描述修改；

2.标准排版修改；

3.规范性引用文件中引用词汇标准更新；

4.标准中定义的修改；

5.意见汇总对意见采纳情况的重新订正；

6.编制说明中标准编制改为标准修订。

1.3.3.8征求意见稿（第二稿）

征求意见稿第一稿提交到全国信息安全标准化技术委员会后，委员会将标准

公布在网站上，征求各个厂家意见。2012年9月18日，委员会将征求意见汇总

返回。

此次征求意见共有五个单位发表意见包括：中国信息安全认证中心、公安部

第三研究所、北京江南天安科技有限公司、北京中科网威信息技术有限公司、上

海三零卫士信息安全有限公司、解放军信息安全测评认证中心、浙江维尔科技股

份有限公司。

其中中国信息安全认证中心、北京江南天安科技有限公司、北京中科网威信

息技术有限公司提出了若干意见，其他单位表示一致通过。针对三级单位提出的

修改意见，进行分析讨论，继续修改标准，得到标准征求意见稿第二稿。

本次修改的主要内容包括：

1.修改“数据删除功能”；

2.对标准中增强级新增功能加粗，能够容易看出区别。

5

1.3.3.9送审稿（第一稿）

2013年1月6日，全国信息安全标准化技术委员会在北京召开标准格式审

查会，与会专家冯惠老师在会上详细讲解了标准编写过程中，特别是格式上容易

遇见的问题，并对本标准了提出了宝贵的意见。

同时，安标委秘书处汇总了征求意见稿（第二稿）在各大部委征求的意见，

国家保密局、中国信息安全测评中心和国家密码管理局均给出了宝贵意见。经过

仔细推敲与修改，最终形成送审稿（第一稿）。

本次修改的主要内容有：

1.删除了前言中专利免责声明

2.规范术语与定义、缩略语、产品等级划分中的写法

3.修改了标准中标点、笔误等错误

4.修改了标准中容易造成误解和上下文不一致的写法

5.多重鉴别机制中添加电子签名或证书鉴别

6.安全保证要求及其测试评价方法修订

1.4起草人及其工作

GB/T20945-2007信息安全技术信息系统安全审计产品技术要求和测试评

价方法国家标准修订组以王志佳为组长，组员包括沈亮、顾健、顾玮、邹春明、

顾建新、赵云、胡维娜。

王志佳作为组长总体负责标准编制，包括制定工作计划、确定修订内容。沈

亮、顾健主要负责标准的前期调研、对标准现状分析、参考标准文献资料以及标

准编制过程中的技术支持。顾玮、邹春明、顾建新主要负责标准各个版本的修订、

意见汇总的处理、编制说明的编写等工作。赵云、胡维娜主要负责向厂商征求意

见与反馈、商务支持、会务支持、标准装订等工作。

2标准主要内容

2.1修订原则

为了使安全审计国标一开始就与现有国家标准保持一致，本标准的修订参考

了国家有关标准，主要有GB17859-1999、GB/T20271-2006、GB/T22239-2008和

GB/T18336第二、三部分。

6

本标准符合我国的实际情况，遵从我国有关法律、法规的规定。具体原则与

要求如下：

1.实用性原则

标准必须是可用的，才有实际意义，本标准在修订过程中严格按照流程对产

品的现状、技术等相关领域展开系统的、全面的调研工作，注重与相关产品生产

单位的交流，使得标准更贴近产品实际情况，保证操作性。

2.先进性原则

标准是先进经验的总结，同时也是技术的发展趋势。要制定出先进的行业标

准，必须广泛了解市场上主流产品的功能，吸收其精华，制定出具有先进水平的

标准。本标准的编写始终遵循这一原则。

3.兼容性原则

本标准与我国现有的政策、法规、标准、规范等相一致。修订组在对标准起

草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。

2.2标准内容

2.2.1标准结构

本标准的编写格式和方法依照GB/T1.1-2009标准化工作导则第一部分：标

准的结构和编写规则。

本标准主要结构包括如下内容：

1.范围

2.规范性引用文件

3.术语与定义

4.缩略语

5.产品等级划分

6.技术要求

7.测评方法

2.2.2主要内容

2.2.2.1产品安全功能要求

产品安全功能要求主要对产品实现的功能进行了要求。主要包括数据采集、

审计分析、审计结果、管理控制四个部分。具体内容如表1所示：

7

表1安全功能要求

安全功能要求基本级增强级

采集策略**

数据采集

原始数据保留—*

主机事件审计**

网络事件审计***

事件审计

数据库事件审计***

应用系统事件审计**

审计分析事件统计***

关联分析—*

统计分析潜在危害分析—*

异常事件分析—*

扩展分析接口—*

审计记录**

统计报表**

审计结果常规查阅**

审计查阅有限查阅**

可选查阅**

图形界面**

管理控制事件分级**

事件告警—*

2.2.2.2自身安全功能要求

自身安全功能要求主要对产品自身安全进行了要求，包括用户与鉴别、数据

传输安全、数据存储安全、审计日志四个部分。具体内容如表2所示：

表2自身安全功能要求

自身安全要求基本级增强级

唯一性标识**

属性定义**

用户角色—*

用户与鉴别

基本鉴别**

多重鉴别—*

超时锁定或注销—*

鉴别失败处理**

用户与鉴别

鉴别数据保护**

远程管理保密**

数据传输保密—*

数据传输安全数据传输完整性—*

安全状态监测—*

审计代理安全—*

8

自身安全要求基本级增强级

分布式部署—*

时间同步**

存储介质**

数据库支持**

备份与恢复—*

数据存储安全

数据删除—*

存储空间耗尽处理**

数据存储完整性**

审计日志**

2.2.2.3安全保证要求

安全保证要求主要对产品的开发和使用文档的内容进行了要求，包括配置管

理、交付与运行、开发、指导性文档、生命周期支持、测试保证和脆弱性分析保

证。具体内容如表3所示：

表3安全保证要求

安全保证要求基本级增强级

版本号**

配置管理能力配置项—*

配置管理

授权控制—*

配置管理覆盖—*

交付程序—*

交付与运行

安装、生成和启动程序**

非形式化功能规范**

描述性高层设计—*

开发高层设计

安全加强的高层设计—*

非形式化对应性证实**

管理员指南**

指导性文档

用户指南**

生命周期支持—*

覆盖证据**

测试覆盖

覆盖分析—*

测试深度—*

测试

功能测试—*

一致性**

独立测试

抽样—*

脆弱性分析保证指南审查—*

9

安全保证要求基本级增强级

产品安全功能强度评估—*

开发者脆弱性分析—*

2.2.2.4等级划分表

根据信息系统安全审计产品应提供的安全功能要求、自身安全功能要求和安

全保证要求的强弱，将信息系统安全审计产品分为基本级和增强级。基本级规定

了信息系统安全审计产品应提供的基本安全功能要求；自身安全功能要求参考

GB17859—1999计算机信息系统安全保护划分准则第二级：系统审计保护级相

关要求。安全保证要求参考了GB/T18336.3-2008中规定的EAL1级要求。增强级

规定了信息系统安全审计产品除具备基本级要求以外还应增强的安全功能要求；

自身安全功能要求GB17859—1999计算机信息系统安全保护划分准则第三级：

安全标记保护级相关要求。安全保证要求参考了GB/T18336.3-2008中规定的

EAL3级要求。

信息系统安全审计产品的等级划分如表1、表2和表3所示。对信息系统安

全审计产品的等级评定是依据下面三个表格的综合评定得出的，符合基本级的信

息系统安全审计产品应满足表1、表2、表3中所标明的基本级应满足的所有项

目；符合增强级的信息系统安全审计产品应满足表1、表2、表3中所标明的增

强级应满足的所有项目。

2.2.2.5测试评价方法

测试评价方法部分针对信息系统安全审计产品技术要求中的每个要求，均给

出了一个测试评价方法，为使用本标准的人员提供了一个测试评价信息系统安全

审计产品的技术准则。

2.3新旧国家标准对比

本标准代替GB/T20945—2007信息安全技术信息系统安全审计产品技术

要求和测试评价方法，本标准与GB/T20945—2007的主要差异如下：

1.对GB/T20945—2007的结构进行调整，把安全功能要求分为数据采集、

审计分析、审计结果和管理控制几部分；把自身安全要求分为用户与鉴

别、数据传输安全、数据存储安全和审计日志几部分；

10

2.更改了GB/T20945—2007中的“审计数据采集”功能，增加了审计事件；

3.更改了“数据采集策略”功能，增加了采集策略和原始数据保留功能；

4.更改了GB/T20945—2007中的“统计分析”功能，细化了统计分析内容；

5.删除了GB/T20945—2007中的“审计分析接口”功能；

6.删除了GB/T20945—2007中的“联动”功能；

7.删除了GB/T20945—2007中的“缺省策略”和“策略模板”和“策略定

制”功能；

8.删除了GB/T20945—2007中的“升级”功能；

9.删除了GB/T20945—2007中的“监管要求”功能；

10.增加了数据备份与恢复功能；

11.删除了GB/T20945—2007中的“性能要求”。

3标准验证、分析与论证

3.1修订的背景和意义

目前，安全审计类产品相关标准有：GB/T20945-2007信息安全技术信息系

统安全审计产品技术要求和测试评价方法、GA/T695-2007信息安全技术网络

通讯安全审计数据留存功能要求和GA/T931-2010信息安全技术数据库安全审

计产品安全技术要求。GB/T20945-2007于2008年正式应用于销售许可证测试与

强制性认证测试。从2008年到2011标准使用期间，发现标准存在如下问题：

一、GB/T20945-2007基本级要求过高

1.潜在危害分析。此项功能要求在普通报警的基础上增加了对特征事件出

现的次数或频率进行统计的功能，不应作为基本级要求。

2.异常事件和行为分析。此项功能要求安全审计产品能够分析用户活动异

常、系统资源滥用或耗尽、网络应用服务超负荷和网络通信连接数剧增

等事件。此功能要求已经涉及到入侵防御层面上，而且没有把主机型、

网络型、数据库型和应用系统型分开，不应作为基本级要求。

3.关联行为分析。此项功能是在基本分析的基础上做数据库多个表的分析，

而且也没具体的定义关联分析内容，不应作为基本级要求。

11

二、GB/T20945-2007结构不清

1.“审计事件生成”中的“审计数据生成”要求在实际的系统环境和网络

带宽下及时生成数据，实际是一个性能要求，不应归为安全功能要求中。

2.审计数据保护、安全管理、标识与鉴别、产品升级等功能应归为自身安

全要求中，不应归为安全功能要求中。

三、GB/T20945-2007中对很多重要的要求没有细化测试指标

1.审计事件要求不具体。网络审计中只要求审计网络协议、网络流量、网

络行为，简单的12个字，对于最重要的一种安全审计产品类型的主要

功能来说不够具体。

2.分析统计要求不具体。此项功能只要求对审计事件发生的总数、单个审

计事件发生的次数或频率进行统计，要求太模糊。

四、GB/T20945-2007中有很多要求应该删除

1.性能要求。其中“及时性”没有量化具体的响应时间指标。另外根据长

期以来的测试积累发现，安全审计产品只要支持审计的内容，立即就能

记录，除非不支持审计此内容，所以此指标没有实际意义。“资源占用

与网络影响”在标准中没有量化指标，测试中也无法量化。因为无法定

影何种情况算作对资源和网络有影响。“吞吐量”，产品一般采用旁路接

入或安装软件代理方式部署，实际接入是只有吞入量，没有吐出量，所

以此指标也不合理。

2.联动。安全审计产品应侧重在信息采集与事后分析，而不是报警后的响

应。另外，安全审计产品要实现联动，首先要有被联动的信息安全产品，

如防火墙、IDS等，其次，这些产品要能开放管理策略配置接口给安全

审计产品。对于有不同系列信息安全产品的大厂家来说，此条要求不难

实现。但对于一些小厂家来说，不可能为了安全审计产品还去开发新的

产品以配合其测试。同时，此功能应该是被联动的产品开放接口的功能，

而不是安全审计产品的功能。

3.审计分析接口。此功能要求安全审计产品提供审计分析接口，由用户选

择不同的审计分析模块以增强自身审计能力。根据长期以来的测试积累

发现，一般的安全审计产品都是把所有分析功能都集成在一起，由用户

12

选择分析什么、怎么分析，而不会开发多种审计模块。

4.升级功能。安全审计产品不像IDS、IPS等网络安全产品需要经常更新事

件辨别库，所以升级功能对于安全审计产品来说并不能算作是一项安全

功能。另外，元标准的自动升级需要自己架设升级服务器，而且下载升

级包时还要做身份校验，签名验证的保证下载安装包的未被篡改，要求

过高。

5.响应方式中，要求有对特定事件的阻断、调用特定的程序或联动。联动

功能在前面已经分析过，也不应是安全审计产品应具备的功能。调用特

定的程序没有细化要求，没有要求的必要，只要系统能做出告警就行了。

绝大多数安全审计产品在部署中都是采用旁路接入的方式侦听数据包，

而不是在审计目标主机安装审计代理，以免对审计目标操作系统造成影

响。但是旁路接入中阻断的实现一般都是发RST包，这种方式可靠性很

低。审计产品注重的应该是事后分析，而不是事件发生时候的响应，所

以应删除此功能。

综上所述，对GB/T20945-2007修订的框架为：使标准结构更加清晰规范，

与其他信息安全产品标准的编写结构保持一致；增加审计记录内容要求和统计分

析功能；删除性能要求、联动、审计分析接口、升级、响应方式功能；对潜在危

害分析、异常事件和行为分析、关联行为分析等在分级上做调整。对于产品的自

身安全功能要求和安全保证要求，充分参考了GB17859—1999