7.1基本級要求

7.1.1　審計數據采集

7.1.1.1　采集策略

產品應支持基于策略的數據采集：

a) 支持基于網絡層要素的數據采集策略：至少包括源目的MAC或源目的IP、傳輸層協議、目的端口；

b) 支持基于工業控制協議的數據采集策略。

7.1.1.2　審計數據生成

產品應在實際的系統環境和網絡帶寬下及時生成審計數據。

7.1.2　審計數據還原

7.1.2.1　網絡層通信協議還原

產品應支持對網絡層通信協議的數據進行還原，至少包括源目的MAC、源目的IP、傳輸層協議、源目的端口、應用層協議。

7.1.2.2　應用協議還原

產品應支持對HTTP、FTP、TELNET協議的應用數據還原：

a) HTTP通信：目標URL；

b) FTP通信：使用的賬號、輸入命令；

c) TELNET通信：使用的賬號、輸入命令。

7.1.2.3　工業控制協議還原

產品應支持對工業控制協議應用數據進行分析和還原，支持至少一種工業控制協議。至少支持：

a) 組態變更，包括上裝、下裝；

b) 指令變更，包括寫指令及相關參數，如控制點位地址、控制值等。

7.1.3　審計事件識別和分析

7.1.3.1　基于白名單規則分析

7.1.3.1.1　白名單規則定義

產品應支持白名單規則的定義：

a) 網絡層通信白名單：支持基于IP或MAC識別網絡中的異常資產；

b) 工業控制協議通信白名單：支持基于控制命令、控制點位、控制值等要素進行規則定義。

7.1.3.1.2　白名單方式識別

產品應支持基于白名單機制對審計信息的識別，白名單之外的事件均為異常事件。

7.1.3.2　異常事件識別

產品應支持對以下異常事件的識別：

a) 網絡中出現IP或MAC白名單之外的設備；

b) 工業控制協議通信出現異常的控制命令、控制點位、控制值。

7.1.4　審計記錄

7.1.4.1　記錄內容

產品應按照事件的分類和級別，生成包含以下內容的審計記錄：

a) 事件主體；

b) 事件客體；

c) 事件發生的日期和時間；

d) 事件類型；

e) 事件的級別；

f) 審計源身份（分布式產品）；

g) 事件的描述

h) 工業控制協議的深度解析內容，至少包括控制命令、控制點位、控制值。

7.1.4.2　事件分類

產品應對事件按用戶可理解的方式進行分類，方便用戶瀏覽和策略定制。如按事件的潛在風險分類，正常事件、異常事件；按協議類型分類等。

7.1.4.3　事件分級

產品應將異常事件可能的潛在危害程度劃分為不同的級別，對不同級別的事件采取不同的處理方式。

7.1.4.4　數據庫支持

產品應支持一種數據庫管理軟件，用于存儲審計記錄，方便用戶查閱、檢索和統計分析。

7.1.5　事件響應和報警

7.1.5.1　事件告警

產品應能對于系統安全策略定義的不同等級的事件采取不同方式進行告警。

7.1.5.2　告警方式

產品應產生報警，響應報警方式至少包含以下方式中的一種：

a) 管理界面告警；

b) 向網管中心發送SNMP Trap報警消息；

c) 向聲光電發生裝置發送啟動信號；

d) 向網管人員發送SMS報警短消息。

7.1.6　審計查閱和報表

7.1.6.1　常規查閱

產品應提供查閱審計記錄的工具，查閱的結果應以用戶易于理解的方式和格式提供，并且能支持導出及打印。

7.1.6.2　有限查閱

產品應確保除授權管理員之外，其他用戶無權對審計記錄進行查閱。

7.1.6.3　可選查閱

產品應為授權管理員提供將審計記錄按一定的條件進行選擇、搜索、分類和排序的功能，所得結果應以用戶友好的、便于理解的形式提供報告或打印。

7.1.6.4　審計報表

報表生成器將審計分析器傳來的分析結果進行數據匯總報表輸出，對報表至少有以下要求：

a) 產品應提供審計報表模板，能夠基于模板生成審計報表；

b) 報告內容應至少支持文字、圖像兩種描述方式；

c) 審計數據報告生成格式應至少支持txt、html、doc、xls、pdf等通用文件格式中的一種。

7.1.7　審計記錄存儲

7.1.7.1　存儲安全

產品應提供安全機制保護審計記錄數據免遭未經授權的刪除或修改，如采取嚴格的身份鑒別機制和適合的文件讀寫權限等。任何對審計記錄數據的刪除或修改都應生成系統自身安全審計記錄。應對審計記錄進行完整性保護。

7.1.7.2　存儲空間耗盡處理

產品應提供數據存儲空間耗盡處理功能，當剩余存儲空間達到預定義的閾值時進行告警。

7.1.8　自身安全功能要求

7.1.8.1　標識和鑒別

7.1.8.1.1　唯一性標識

產品應保證任何用戶都具有全局唯一的標識。

7.1.8.1.2　管理員屬性定義

產品應為每個管理員規定與之相關的安全屬性，如管理員標識、鑒別信息、隸屬組、權限等，并提供使用默認值對創建的每個管理員的屬性進行初始化的功能。

7.1.8.1.3　管理員角色

產品應為管理角色進行分級，使不同級別的管理角色具有不同的管理權限。

7.1.8.1.4　基本鑒別

產品應保證任何用戶在執行安全功能前都要進行身份鑒別。若采用口令方式鑒別，應支持對口令強度進行檢查，如口令長度、是否需包含數字、字母、特殊字符等。

7.1.8.1.5　超時鎖定或注銷

當已通過身份鑒別的管理角色空閑操作的時間超過規定值時，在該管理角色執行管理功能前，產品應對該管理角色的身份重新進行鑒別。

7.1.8.1.6　鑒別失敗處理

產品應為管理員登錄設定一個授權管理員可修改的鑒別嘗試閾值，當管理員的不成功登錄嘗試超過閾值時，系統應通過技術手段阻止管理員的進一步鑒別請求。

7.1.8.1.7　鑒別數據保護

產品應保證管理員鑒別數據以非明文形式存儲，不被未授權查看或修改。

7.1.8.2　安全管理

7.1.8.2.1　接口及管理安全

產品應保證業務接口、管理接口、管理界面的安全：

a) 業務接口和管理接口應采用不同的網絡接口；

b) 業務接口應采取被動收包方式工作，不得外發數據包；

c) 管理接口及管理界面應不存在中高風險安全漏洞。

7.1.8.2.2　管理信息傳輸安全

產品需要通過網絡進行管理時，產品應能對管理信息進行保密傳輸。

7.1.8.2.3　安全狀態監測

產品應能夠監測產品自身及組件狀態，包括對產品CPU、內存、存儲空間等系統資源使用狀態進行監測。

7.1.8.3　時間同步

產品及組件應支持時間同步功能：

a) 若由多個組件組成，各組件應支持與審計中心進行時間同步；

b) 審計中心應支持與外部時間服務器進行時間同步。

7.1.8.4　審計日志

7.1.8.4.1　審計日志生成

產品應對與自身安全相關的以下事件生成審計日志：

a) 身份鑒別，包括成功和失敗；

b) 因鑒別失敗次數超過了閾值而采取的禁止進一步嘗試的措施；

c) 審計策略的增加、刪除、修改；

7.1.8.4.2　審計日志內容

審計日志內容至少應包括日期、時間、事件主體、事件客體、事件描述等。

7.1.8.4.3　審計日志存儲

產品應將審計日志與審計記錄分開保存到不同的記錄文件或數據庫（或同一數據庫的不同表）中，方便用戶查閱和分析。應保證審計日志存儲的最短期限不少于6個月。