7.2 增強級要求

7.2.1　審計數據采集

7.2.1.1　采集策略

產品應支持基于策略的數據采集：

a) 支持基于網絡層要素的數據采集策略：至少包括源目的MAC或源目的IP、傳輸層協議、目的端口；

b) 支持基于工業控制協議的數據采集策略；

c) 支持全流量報文的采集。

7.2.1.2　網絡流量監測

產品應能根據源目的MAC或IP地址、協議類型、日期時間段等對流量進行監測，并以統計報表的形式輸出。

7.2.1.3　審計數據生成

產品應在實際的系統環境和網絡帶寬下及時生成審計數據。

7.2.2　審計數據還原

7.2.2.1　網絡層通信協議還原

產品應支持對網絡層通信協議的數據進行還原，至少包括源目的MAC、源目的IP、傳輸層協議、源目的端口、應用層協議類型。

7.2.2.2　通用應用協議還原

產品應支持對HTTP、FTP、TELNET協議的應用數據還原：

a) HTTP通信：目標URL；

b) FTP通信：使用的賬號、輸入命令；

c) TELNET通信：使用的賬號、輸入命令。

7.2.2.3　工業控制協議還原

產品應支持對工業控制協議應用數據進行分析和還原，支持至少三種工業控制協議。至少支持：

a) 組態變更，包括上裝、下裝；

b) 指令變更，包括寫指令及相關參數，如控制點位地址、控制值等；

c) **負載變更。**

7.2.3　審計事件識別和分析

7.2.3.1　事件辨別擴展接口

產品應提供一個功能接口，對自身無法辨別的工業控制協議和安全事件，用戶可通過該接口，將擴展的事件辨別模塊以插件的形式接入事件辨別器。

7.2.3.2　基于白名單規則分析

7.2.3.2.1　白名單規則定義

產品應支持白名單規則的定義：

a) 網絡層通信白名單：支持基于**源目的MAC或源目的IP、傳輸層協議、目的端口等要素進行規則定義；**

b) 工業控制協議通信白名單：支持基于協議格式規約、控制命令、控制點位、控制值等要素進行規則定義。

7.2.3.2.2　白名單方式識別

產品應支持基于白名單機制對審計信息的識別，白名單之外的事件均為異常事件。

7.2.3.2.3　學習模式

產品應支持學習模式，對網絡流量進行學習，自動生成推薦性規則，至少包括網絡層規則和工業控制協議應用層規則。

7.2.3.3　異常事件

7.2.3.3.1　異常事件識別

產品應支持對以下異常事件的識別：

a) 網絡層通信異常：不合規的通信鏈路，包括源IP、源MAC、目的IP、目的MAC、目的端口等；

b) 工業控制協議通信出現異常的控制命令、控制點位、控制值；

c) **不符合協議規約規定格式的工業控制協議報文；**

d) **端口報文異常：端口報文速率突變、超過閾值、長時間無報文；**

e) **工業控制協議應用層斷鏈及斷鏈后重連等。**

7.2.3.3.2　自定義識別規則

產品應維護一個與被審計信息系統相關的惡意事件集合，可結合控制系統的實際生產工藝進行定義，當這些事件發生時表明信息系統受到了攻擊。惡意事件集合應可定制。

7.2.3.3.3　基于規則事件生成

產品支持基于黑名單規則對異常事件進行分析，識別并生成惡意事件。

7.2.3.4　基于統計的分析

產品應提供基于統計方式對審計事件進行分析，單個審計事件累計發生次數或單個審計事件發生頻率超過閾值時，分析生成新的事件。

7.2.3.5　關聯分析

產品應支持事件的關聯分析，并進行以下操作：

a) 對相互關聯的事件進行綜合分析和判斷；

b) 向授權用戶提供自定義匹配模式。

7.2.4　審計記錄

7.2.4.1　記錄內容

產品應按照事件的分類和級別，生成包含以下內容的審計記錄：

a) 事件主體；

b) 事件客體；

c) 事件發生的日期和時間；

d) 事件類型；

e) 事件級別；

f) 審計源身份（分布式產品）；

g) 事件的描述；

h) 工業控制協議的深度解析內容，至少包括控制命令、控制點位、控制值。

7.2.4.2　事件分類

產品應對事件按用戶可理解的方式進行分類，方便用戶瀏覽和策略定制。如按事件的潛在風險分類，正常事件、異常事件；按協議類型分類等。

7.2.4.3　事件分級

產品應將異常事件可能的潛在危害程度劃分為不同的級別，對不同級別的事件采取不同的處理方式。

7.2.4.4　數據庫支持

產品應支持一種數據庫管理軟件，用于存儲審計記錄，方便用戶查閱、檢索和統計分析。

7.2.5　事件響應和報警

7.2.5.1　事件響應

對異常事件，應支持全報文審計，以利于事后分析。

7.2.5.2　事件告警

產品應能對于系統安全策略定義的不同等級的事件采取不同方式進行告警。

7.2.5.3　告警方式

產品應產生報警，響應報警方式至少包含以下方式中的兩種：

a) 管理界面告警；

b) 向網管中心發送SNMP Trap報警消息；

c) 向聲光電發生裝置發送啟動信號；

d) 向網管人員發送SMS報警短消息。

7.2.6　審計查閱和報表

7.2.6.1　常規查閱

產品應提供查閱審計記錄的工具，查閱的結果應以用戶易于理解的方式和格式提供，并且能支持導出及打印。

7.2.6.2　有限查閱

產品應確保除授權管理員之外，其他用戶無權對審計記錄進行查閱。

7.2.6.3　可選查閱

產品應為授權管理員提供將審計記錄按一定的條件進行選擇、搜索、分類和排序的功能，所得結果應以用戶友好的、便于理解的形式提供報告或打印。

7.2.6.4　審計報表

報表生成器將審計分析器傳來的分析結果進行數據匯總報表輸出，對報表至少有以下要求：

a) 產品應提供審計報表模板，能夠基于模板生成審計報表；

b) **應支持按時間段、源目的IP、事件級別等條件生成自定義審計報表；**

c) 報告內容應至少支持文字、圖像兩種描述方式；

d) 審計數據報告生成格式應至少支持txt、html、doc、xls、pdf等通用文件格式中的一種。

7.2.7　審計記錄存儲

7.2.7.1　審計數據外發

產品應提供標準接口將審計數據外發至其他系統，以作進一步的分析處理。

7.2.7.2　存儲安全

產品應提供安全機制保護審計記錄數據免遭未經授權的刪除或修改，如采取嚴格的身份鑒別機制和適合的文件讀寫權限等。任何對審計記錄數據的刪除或修改都應生成系統自身安全審計記錄。應對審計記錄進行完整性保護。

7.2.7.3　存儲空間耗盡處理

產品應提供數據存儲空間耗盡處理功能：

a) 當剩余存儲空間達到預定義的閾值時進行告警；

b) 在存儲空間耗盡前采取一定的措施（如：轉儲等）防止新近審計記錄丟失。

7.2.8　自身安全功能要求

7.2.8.1　標識和鑒別

7.2.8.1.1　唯一性標識

產品應保證任何用戶都具有全局唯一的標識。

7.2.8.1.2　管理員屬性定義

產品應為每個管理員規定與之相關的安全屬性，如管理員標識、鑒別信息、隸屬組、權限等，并提供使用默認值對創建的每個管理員的屬性進行初始化的功能。

7.2.8.1.3　管理員角色

產品應為管理角色進行分級，使不同級別的管理角色具有不同的管理權限。各管理角色的權限應形成互相制約關系。

7.2.8.1.4　基本鑒別

產品應保證任何用戶在執行安全功能前都要進行身份鑒別。若采用口令方式鑒別，應支持對口令強度進行檢查，如口令長度、是否需包含數字、字母、特殊字符等。若其采用網絡遠程方式管理，還應對管理地址進行識別。

7.2.8.1.5　多鑒別

產品應能向管理角色提供除口令身份鑒別機制以外的其他身份鑒別機制（如證書、智能IC卡、指紋、視網膜等鑒別機制）。

7.2.8.1.6　超時鎖定或注銷

當已通過身份鑒別的管理角色空閑操作的時間超過規定值時，在該管理角色執行管理功能前，產品應對該管理角色的身份重新進行鑒別。

7.2.8.1.7　鑒別失敗處理

產品應為管理員登錄設定一個授權管理員可修改的鑒別嘗試閾值，當管理員的不成功登錄嘗試超過閾值時，系統應通過技術手段阻止管理員的進一步鑒別請求。

7.2.8.1.8　鑒別數據保護

產品應保證管理員鑒別數據以非明文形式存儲，不被未授權查看或修改。

7.2.8.2　安全管理

7.2.8.2.1　接口及管理安全

產品應保證業務接口、管理接口、管理界面的安全：

a) 業務接口和管理接口應采用不同的網絡接口；

b) 業務接口應采取被動收包方式工作，不得外發數據包；

c) 管理接口及管理界面應不存在中高風險安全漏洞；

7.2.8.2.2　管理信息傳輸安全

產品需要通過網絡進行管理時，產品應能對管理信息進行保密傳輸。

7.2.8.2.3　安全狀態監測

產品應能夠監測產品自身及組件狀態，包括：

a) 對產品CPU、內存、存儲空間等系統資源使用狀態進行監測；

b) 對產品的主要功能模塊運行狀態進行監測；

c) 產品若由多個組件組成，審計中心能夠對各組件的運行狀態進行監測。

7.2.8.2.4　分布式部署

產品應支持分布式部署模式，審計中心能夠對多個采集器所采集的數據進行集中分析處理。

7.2.8.3　時間同步

產品及組件應支持時間同步功能：

a) 若由多個組件組成，各組件應支持與審計中心進行時間同步；

b) 審計中心應支持與外部時間服務器進行時間同步。

7.2.8.4　審計日志

7.2.8.4.1　審計日志生成

產品應對與自身安全相關的以下事件生成審計日志：

a) 身份鑒別，包括成功和失敗；

b) 因鑒別失敗次數超過了閾值而采取的禁止進一步嘗試的措施；

c) 管理員的增加、刪除、修改；

d) 審計策略的增加、刪除、修改；

e) **時間同步；**

f) **超過保存時限的審計記錄和自身審計日志的自動刪除；**

g) **審計日志和審計記錄的備份與恢復；**

h) **存儲空間達到閾值報警；**

i) **其他事件。**

7.2.8.4.2　審計日志內容

審計日志內容至少應包括日期、時間、事件主體、事件客體、事件描述等。

7.2.8.4.3　審計日志存儲

產品應將審計日志與審計記錄分開保存到不同的記錄文件或數據庫（或同一數據庫的不同表）中，方便用戶查閱和分析。應保證審計日志存儲的最短期限不少于6個月。