8.1　功能要求

8.1.1　系統管理要求

8.1.1.1　用戶身份管理

用戶身份管理應滿足以下要求：

a)能夠對被管理對象環境中的主體進行標識；

b)能夠采用兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，并且身份鑒別信息至少有一種是不可偽造的并采用密碼技術來實現；

c)能夠對被管理對象的系統管理員進行身份鑒別，并對身份標識及鑒別信息進行復雜度檢查；

d)在物聯網系統中，應通過被管理對象的系統管理員對感知設備、感知層網關等進行統一身份標識管理。

8.1.1.2　數據保護

8.1.1.2.1　數據保密性

數據保密性應滿足以下要求：

a)在安全管理中心與被管理對象之間建立連接之前，應利用密碼技術進行會話初始化驗證；

b)使用密碼技術對安全管理中心與被管理對象之間通信過程中的整個報文或會話過程進行機密性保護；

c)采用加密或其他保護措施實現被管理對象的鑒別信息、配置管理數據的存儲保密性；

d)應使用經國家密碼管理主管部門批準的硬件密碼設備進行密碼運算和密鑰管理；

e)對重要通信提供專用通信協議或安全通信協議服務，避免來自基于通用協議的攻擊破壞數據保密性。

8.1.1.2.2　數據完整性

數據完整性應滿足以下要求：

a)能夠檢測到被管理對象的鑒別信息、配置管理數據在傳輸過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；

b)能夠檢測到被管理對象的鑒別信息、配置管理數據在存儲過程中完整性受到破壞，并在檢測到完整性錯誤時采取必要的恢復措施；

c)對重要通信提供專用通信協議或安全通信協議服務，避免來自基于通用通信協議的攻擊破壞數據完整性。

8.1.1.2.3　數據備份與恢復

數據備份與恢復應滿足以下要求：

a)提供數據本地備份與恢復功能，完全數據備份至少每天一次，備份介質場外存放；

b)備份數據應至少包含安全管理中心采集的原始數據、主/客身份標識數據、主/客體安全標記數據、主/客體配置管理數據、安全管理中心自身審計數據等；

c)提供異地實時備份功能，利用通信網絡將數據實時備份至災難備份中心；

d)在云計算平臺中，應提供查詢云服務客戶數據及備份存儲位置的方式，云計算平臺的運維應在中華人民共和國境內，禁止從境外對境內云計算平臺的運維。

8.1.1.2.4　可信路徑

可信路徑應滿足以下要求：

a)在對主體進行身份鑒別時，應能夠建立一條安全的信息傳輸路徑；

b)在主體對客體進行訪問時，應保證在被訪問的客體與主體之間應能夠建立一條安全的信息傳輸路徑。

8.1.1.2.5　剩余信息保護

剩余信息保護應保證主體和客體的鑒別信息所在的存儲空間被釋放或再分配給其他主體前得到完全清除，無論這些信息是存放在硬盤上還是在內存中。

8.1.1.3　安全事件管理

8.1.1.3.1　安全事件采集

安全事件采集應滿足以下要求：

a)支持安全事件監測采集功能，及時發現和采集發生的安全事件；

b)能夠提供與第三方系統的數據采集接口，發送或接收安全事件；

c)能夠對安全事件進行歸一化處理，將不同來源、不同格式、不同內容組成的原始事件轉換成標準的事件格式；

d)安全事件的內容應包括日期、時間、主體標識、客體標識、類

e)安全事件采集的范圍應涵蓋主機設備、網絡設備、數據庫、安全設備、各類中間件、機房環境控制系統等；

f)能夠對采集的安全事件原始數據的集中存儲。

注：安全事件的屬性可參考附錄C。

8.1.1.3.2　安全事件告警

安全事件告警應滿足以下要求：

a)具備告警功能，在發現異常時可根據預先設定的閾值產生告警；

b)在產生告警時，應能夠觸發預先設定的事件分析規則，執行預定義的告警響應動作，如：控制臺對話框告警、控制臺告警音、電子郵件告警、手機短信告警、創建工單、通過Syslog或SNMP Trap向第三方系統轉發告警事件等；

c)具有對高頻度發生的相同安全事件進行合并告警，避免出現告警風暴的能力。

8.1.1.3.3　安全事件響應

安全事件響應應滿足以下要求：

a)能夠提供工單管理的功能，支持基于告警響應動作創建工單的

b)能夠提供安全通告功能，可以創建或導入安全風險通告，通告

c)能夠根據通告提示的安全風險影響的操作系統，提供受影響的被保護資產列表；

d)支持向第三方系統發送和接收工單信息、安全告警、安全預警、綜合風險、資產信息、安全通告等數據。

8.1.1.3.4　事件關聯分析

事件關聯分析應滿足以下要求：

a)支持將來自不同事件源的事件在一個分析規則中進行分析，從而能從海量事件中過濾出有邏輯關系的事件序列，據此給出相應的告警；

b)針對常見的攻擊行為和違規訪問提供相應的關聯分析規則，如針對主機掃描、端口掃描、DDoS攻擊、蠕蟲、口令猜測、跳板攻擊等的關聯分析規則；

c)提供多事件源事件關聯、時序關聯、統計關聯以及針對長時間窗口的關聯分析功能，并能夠提供告警；

d)提供自定義關聯規則編輯功能。

8.1.1.3.5　統計分析報表

統計分析報表應滿足以下要求：

a)能夠按照時間、事件類型等條件對安全事件進行查詢；

b)能夠提供統計分析和報表生成功能。

8.1.1.4　風險管理

8.1.1.4.1　資產管理

資產管理應滿足以下要求：

a)實現對被管理對象資產的管理，以安全域等方式組織資產，提供資產的添加、修改、刪除、查詢與統計功能；

b)資產管理信息應包含資產名稱、資產IP地址、資產類型、資產責任人、資產業務價值以及資產的機密性、完整性、可用性賦值等資產屬性；

c)支持資產屬性的自定義；

d)支持手工錄入資產記錄或基于指定模板的批量資產導入；

e)支持對資產的自動發現，并能夠將其自動添加到資產庫中。

8.1.1.4.2　資產業務價值評估

資產業務價值評估應支持自定義資產業務價值評估模型，能夠依據資產類型、資產重要性、損壞后造成的影響、涉及的范圍等參數形成資產業務價值等級。

8.1.1.4.3　威脅管理

威脅管理應滿足以下要求：

a)具備預定義的安全威脅分類；

b)支持自定義安全威脅分類，如將已發生的安全事件對應的威脅設置為資產面臨的威脅。

8.1.1.4.4　脆弱性管理

脆弱性管理應滿足以下要求：

a)允許創建并維護資產脆弱性列表，支持脆弱性列表的合并及更新；

b)支持導入特定代理程序或掃描器獲取的相關設備或系統的脆弱

c)能夠根據脆弱性信息，自動生成所涉及的信息資產清單。

8.1.1.4.5　風險分析

風險分析應滿足以下要求：

a)能夠根據資產的業務價值、資產當前的脆弱性及資產面臨的安全威脅，計算目標資產的安全風險和資產所在整個安全域的安全風險；

b)安全風險的計算周期和計算公式能夠根據部署環境的實際需要通過修改配置的方式進行相應調整；

c)安全管理系統能夠以圖形化的方式展現當前資產和安全域的風險級別、當前風險的排名統計等。

8.1.1.5　資源監控

8.1.1.5.1　可用性監測

可用性監測應滿足以下要求：

a)支持通過監測網絡設備、安全設備、主機操作系統、數據庫、中間件、應用系統等重要性能指標，實時了解其可用性狀態；

b)支持對關鍵指標（如：CPU使用率、內存使用率、磁盤使用率、進程占用資源、交換分區、網絡流量等方面）設置閾值，觸發閾值時產生告警，執行預定義的響應動作；

c)在物聯網系統平臺，應通過系統管理員對感知設備狀態（電力供應情況、是否在線、位置等）進行統一監測和處理；

d)在工業控制系統中，應能夠對工業控制系統設備的可用性和安全性進行實時監控，可以對監控指標設置告警閾值，觸發告警并記錄。

8.1.1.5.2　網絡拓撲監測

網絡拓撲監測應滿足以下要求：

a)支持對網絡拓撲圖進行在線編輯，允許手工添加或刪除監測節點或鏈路；

b)能夠展現當前網絡環境中關鍵設備（包括網絡設備、安全設備、服務器主機等）和鏈路的運行狀態，如網絡流量、網絡協議

c)在網絡運行出現異常時，能夠展現在當前網絡拓撲圖中并產生告警；

d)能夠發現并阻斷非授權設備的外聯及接入；

e)支持在指定網絡范圍內進行拓撲發現并自動生成網絡拓撲圖

8.1.2　安全管理要求

8.1.2.1　安全標記

安全標記應滿足以下要求：

a)能夠對主/客體的安全標記統一管理，主體標記范圍包括用戶、代理進程、終端等，客體標記范圍包括設備等；

b)安全標記應具備唯一性，能夠準確反映主/客體在定級系統中的安全屬性，并且具有防止篡改和刪除的能力；

c)標記屬性應包括安全級別、安全范圍等信息，安全級別應可排序進行高低判斷，安全范圍應可進行是否包含判斷；

d)能夠實現對不同安全級別的系統中安全標記與安全屬性的單一映射關系；

e)能夠實現安全標記的自定義。

8.1.2.2　授權管理

授權管理應滿足以下要求：

a)實現對每一個標記所能訪問范圍的統一管理；

b)實現主體對客體訪問權限的統一管理，包括主機訪問權限管理、網絡訪問權限管理、應用訪問權限管理；

c)實現根據主體標記和客體標記安全級別的不同，制定訪問控制策略，控制主體對客體的訪問，針對不同安全層次、不同標記的主/客體間的訪問策略進行統一管理；

d)在進行物聯網系統平臺，應通過系統管理員對下載到感知設備上的應用軟件進行授權。

8.1.2.3　設備策略管理

8.1.2.3.1　設備管理

設備管理應滿足以下要求：

a)實現對主機操作系統、數據庫系統、網絡設備、安全設備的安全配置策略的統一查詢；

b)實現對主機操作系統、數據庫系統、網絡設備、安全設備等安全配置策略的統一制定和下發。

8.1.2.3.2　入侵防御

入侵防御應滿足以下要求：

a)提供統一接口，實現對網絡入侵防御和主機入侵防御的事件采集、接收和指令下發；

b)提供安全域內統一的操作系統、服務組件補丁更新服務；

c)實現對主機操作系統、數據庫、網絡設備、安全設備入侵防御措施的聯動和管理；

d)在云計算平臺，云計算安全管理應具有對攻擊行為回溯分析以及對網絡安全事件進行預測和預警的能力；應具有對網絡安全態勢進行感知、預測和預判的能力；

e)在工業控制系統中，安全管理員能夠結合工業控制系統設備的資產信息、威脅信息、脆弱性信息分析工業控制設備以及工業控制系統面臨的安全風險和安全態勢。

8.1.2.3.3　惡意代碼防范

惡意代碼防范應滿足以下要求：

a)對惡意代碼防范產品統一升級進行監控和管理；

b)對惡意代碼防范情況的數據采集與上報。

8.1.2.4　密碼保障

密碼保障應為被管理對象的密碼技術、產品、服務的正確性、合規性、有效性提供保障。在物聯網系統平臺，應通過安全管理員對系統中所使用的密鑰進行統一管理，包括密鑰的生成、分發、更新、存儲、備份、銷毀等，并采取必要措施保證密鑰安全。

8.1.3　審計管理要求

8.1.3.1　審計策略集中管理

審計策略集中管理應滿足以下要求：

a)能夠查看主機操作系統、數據庫系統、網絡設備、安全設備的審計策略配置情況，包括策略是否開啟、參數設施是否符合安全策略等；

b)能夠實現對主機操作系統、數據庫系統、網絡設備、安全設備的審計策略的統一配置管理。

8.1.3.2　審計數據集中管理

8.1.3.2.1　審計數據采集

審計數據采集應滿足以下要求：

a)能夠實現審計數據的歸一化處理，內容應涵蓋日期、時間、主體標識、客體標識、類型、結果、IP地址、端口等信息；

b)支持設定查詢條件進行審計數據查詢；

c)嚴格限制審計數據的訪問控制權限，限制管理用戶對審計數據的訪問，實現管理用戶和審計用戶的權限分離，避免非授權的刪除、修改或覆蓋；

d)支持對各種審計數據按規則進行過濾處理；

e)支持對數據采集信息按照特定規則進行合并；

f)能夠并根據設定的報表模版生成相應的審計報告。

8.1.3.2.2　審計數據采集對象

審計數據采集對象應滿足以下要求：

a)支持對網絡設備（如交換機、路由器、流量管理、負載均衡等

b)支持對主機設備（如服務器操作系統等應用支撐平臺和桌面電腦、筆記本電腦、手持終端等終端用戶訪問信息系統所使用的設備）的審計數據采集；

c)支持對數據庫（如Oracle、My SQL、MSSQL Server等）的審

d)支持對安全設備（如防火墻、入侵監測系統、抗拒絕服務攻擊設備、防病毒系統、應用安全審計系統、訪問控制系統等與信息系統安全防護相關的各種系統和設備）的審計數據采集；

e)支持對各類中間件的審計數據采集；

f)支持對機房環境控制系統（如空調、溫度、濕度控制、消防設備、門禁系統等）的審計數據采集；

g)支持對其他應用系統或相關平臺的審計數據采集。

h)在云計算平臺中，應對云服務器、云數據庫、云存儲等云服務的創建、刪除等操作行為進行審計，應通過運維審計系統對管理員的運維行為進行安全審計；應通過租戶隔離機制，確保審計數據隔離的有效性；

i)在工業控制系統中，應對工業控制現場控制設備、網絡安全設備、網絡設備、服務器、操作站等設備的網絡安全監控和報警、網絡安全日志信息進行集中管理。

8.1.3.2.3　審計數據采集方式

審計數據采集方式應滿足以下要求：

a)支持通過如Syslog、SNMP等協議采集各種系統或設備上的審計數據；

b)通過統一接口，接收被管理對象的安全審計數據；

c)支持通過部署軟件代理的方式采集特定系統的審計數據。

8.1.3.2.4　數據采集組件要求

數據采集組件應支持本地緩存和斷點續傳，在網絡通信發生故障時，能夠在數據采集組件對數據進行本地緩存，當網絡連通恢復以后，信息采集組件重新恢復向安全管理中心上報斷網期間采集的數據。

8.1.3.2.5　審計數據關聯分析

審計數據關聯分析應滿足以下要求：

a)應支持將來自不同采集對象的審計數據在一個分析規則中進行分析；

b)應提供審計關聯規則自定義功能；

c)在工業控制系統中，系統通過各設備安全日志信息的關聯分析提取出少量的、或者是概括性的重要安全事件或發掘隱藏的攻擊規律，進行重點報警和分析，并對全局存在類似風險的系統進行安全預警。