GA_T 1557-2019信息安全技术 基于IPv6的高性能网络审计系统产品安全技术要求.pdf

ICS 35.240A 90GA中华人民共和国公共安全行业标准GA/T 1557—2019信息安全技术基于IPv6的高性能网络审计系统产品安全技术要求Information security technologySecurity technical requirements for IPv6-basedhigh-performance network audit system products2019-04-16发布2019-04-16实施中华人民共和国公安部发布 GA/T 1557—2019目次前言范围2规范性引用文件3术语和定义IPv6网络审计产品捕述总体说明5.1安全技术要求分类5.2安全等级划分安全功能要求6.1信息采集6.2数据还原6.3审计记录统计6.4审计记录分析处理6.5管理控制要求6.6标识与鉴别6.7审计日志6.8安全管理6.9数据存储环境适应性要求7,1接人方式7.2IPv6协议一致性7.3IPv6应用环境适应性7.4IPv6管理环境适应性性能要求8.1处理能力8.2网络影响安全保障要求9.1开发26指导性文档6生合周期支持9.4测试9.5晚弱性评定1210不同安全等级要求1210.1安全功能要求1210,2安全保障要求 GA/T 1557—20196.8.2集中管理IPv6网络审计产品若为分布式部署应能够集中定制采集策略，并分发应用到相应的采集探针上。6.8.3状态监测IPv6网络审计产品应能够检测自身运行状态，包括CPU、内存、存储空间等。若产品由多个组件组成，应能检测各组件的运行状态。6.8.4保密传输IPv6网络审计产品能够保证数据在传输过程的保密性，满足如下要求：a)产品若采用远程管理方式，应保证运程管理数据加密传输；b)产品若由多个组件组成，应保证组件间传输的网络审计记录和自身审计日志加密传输；c)产品若由多个组件组成，应保证各组件之间各个组件间增加身份认证功能。69数据存储6.9.1存储介质6.9.2数据删除IPv6网络审计产品应能够根据用户权限提供审计信息的剩除功能，并满足以下要求；a）应能够记录副除行为的基本信息，包括时间日期、操作人、删除内容捕述；b) 能够设置策略自动删除超过保存时限的数据，669备份与恢复IPv6网络审计产品应提供审计记录备份与恢复功能，6.9.4存储空间耗尽处理IPv6网络审计产品提供数据存储空间耗尽处理功能，满足以下要求：a)应能够制定某种策略，其体处理当审计存储接近最大存储空间时的情况（例如：至少提供阔值报警信总通知用户）；b)应能够提供硬件支持并制定某种策略，保证数据存储时间不少于6个月；c)丢失。6.9.5数掘库支持IPv6网络审计产品应将审计记录与自身审计日志分别存储在数据库中。969数据完整性监别6.9.7安全存储IPv6网络产品应对审计日志保密存储。 GA/T 1557—20197环境适应性要求7.1接入方式IPv6网络审计产品应能支持多种部署，包括以申联或并联方式接入网络。7.22IPv6协议一致性IPv6网络审计产品应根据IPv6标准设计、开发网络协议。7.3IPv6应用环境适应性IPv6网络审计产品应至少支持纯IPv6、IPv6/IPv4双栈、IPv6/IPv4过疫等多种IPv6应用环境中一种环境。7.44IPv6管理环境适应性IPv6网络审计产品应至少能在纯IPv6、IPv6/IPv4双栈、IPv6/IPv4过疫等多种IPv6环境中的一种环境下进行管理，8性能要求8.1处理能力IPv6网络审计产品应支持万兆网络环境，支持不小于20Gbps负荷量，8.2网络影响IPv6网络审计产品在运行过程中不应对网络正常通信产生明显影响。9安全保障要求9.1开发9.1.1安全架构开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求：a)与产品设计文档中对安全功能实施抽象描述的级别一致；b)描述与安全功能要求一致的产品安全功能的安全域；c)措连产品安全功能初始化过程为何是安全的；d)证实产品安全功能能够防止被破坏；e)证实产品安全功能能够防止安全特性发旁路。9.1.2功能规范开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a)完全描述产品的安全功能：6)描述所有安全功能接口的目的与使用方法；c)标识和描述每个全功能接口相关的所有参数；9 GA/T 1557—2019捐述安全功能接口相关的安全功能实施行为；e)捕述由安全功能实施行为处理而引起的直接错误消息；D)证实安全功能要求到安全功能接口的追翻；捕述安全功能实施过程中，与安全功能接口相关的所有行为；h)措述可能由安全功能接口的调用而引起的所有直接错误消息。9.1.3实现表示开发者应提供全部安全功能的实现表示，实现表示应满足以下要求：a)提供产品设计描述与实现表示实例之闻的映射