A.5 安全管理支持(E)

A.5.1 綜合審計(E1)

安全審計(E101)

本類產品的安全功能可主要歸納為五個方面：

a)主機安全審計，針對主機進程調用、文件使用等事件進行審計；

b)網絡安全審計，針對網絡通信事件進行審計；

c)數據庫安全審計，針對數據庫活動進行審計；

d)應用系統安全審計，針對用戶訪問、管理應用系統或應用系統服務異常等事件進行審計；

e)日志分析，針對指定審計數據的數據分析與挖掘。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(E101)。

A.5.2 應急響應支持(E2)

應急響應輔助系統(E201)

本類產品為應急響應提供計算機輔助，目的是實現應急響應的半自動化支持。

本類產品的安全功能可主要歸納為三個方面：

a)緊急事件或安全事件發生時的影響分析；

b)應急響應的概要設計或詳細制定；

c)應急響應的測試與完善。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(E201)。

A.5.3 密碼管理(E3)

A.5.3.1密碼設備(E301)

本類產品提供密碼信息存儲并執行密碼算法運算，目的是為保障信息的保密性提供基礎設施支持，如商用加密機、加密卡等。相關要求均應遵照國家有關密碼政策執行。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(E301)。

A.5.3.2 公鑰基礎設施(E302)

本類產品支持公鑰管理體制的基礎設施，提供鑒別、加密、完整性和不可否認服務。組件一般包括認證機構CA、注冊機構RA、密鑰管理中心KMC、證書目錄服務等關鍵組件。

任何提供以上功能或組件的產品，均可歸入本類(E302)。

A.5.4 風險評估與處置(E4)

A.5.4.1 系統風險評估(E401)

本類產品提供對系統進行半自動或自動的風險評估，目的是提高系統安全性。

本類產品的安全功能可主要歸納為三個方面：

a)系統設計前的風險評估，通過分析業務系統固有的脆弱性，旨在發現系統設計前潛在的安全隱患；

b)系統試運行前的風險評估，根據系統試運行期的運行狀態和結果，分析系統的潛在安全隱患，旨在發現系統設計的安全漏洞；

c)系統運行期的風險評估，提供系統運行記錄，跟蹤系統狀態的變化，分析系統運行期的安全隱患，旨在發現系統運行期的安全漏洞。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(E401)。

A.5.4.2 安全性檢測分析(E402)

本類產品針對系統特定對象進行安全性檢測分析，該分析過程一般包括脆弱性掃描、分析與建議三個過程，目的是提高系統安全性。

本類產品的安全功能可主要歸納為七個方面：

a)操作系統安全性檢測分析；

b)數據庫及數據庫管理系統安全性檢測分析；

c)傳輸、網絡系統安全性檢測分析；

d)應用系統安全性檢測分析；

e)硬件系統安全性檢測分析；

f)軟件源代碼安全性檢測分析；

g)攻擊性和滲透性檢測分析。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(E402)。

A.5.4.3 配置核查(E403)

本類產品基于安全配置要求實現對資產(如服務器、網絡設備、安全產品、操作系統、數據庫、應用系統等)的安全配置檢測和合規性分析，生成安全配置建議和合規性報告，目的是發現并指導消除資產中因安全配置不當導致的安全隱患。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(E403)。

A.5.4.4 漏洞挖掘(E404)

本類產品針對系統或單個產品進行安全性檢測分析，通過自動化構造的測試用例，檢測分析系統的源碼、目的代碼、運行內存和通信狀態等，發現系統或產品的未知安全漏洞，并能給出初步分析，從而幫助提高系統或產品的安全性。

本類產品的安全功能可主要歸納為五個方面：

a)操作系統漏洞挖掘分析；

b)數據存儲相關系統漏洞挖掘分析；

c)網絡通信系統漏洞挖掘分析；

d)應用系統漏洞挖掘分析；

e)硬件系統漏洞挖掘分析。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(E404)。

A.5.4.5 態勢感知(E405)

本類產品通過采集網絡環境要素(如網絡流量、計算環境、業務應用、資產、審計日志、運行狀況、脆弱性、安全事件和威脅情報等)，利用大數據技術和機器學習技術，分析網絡當前狀態和變化趨勢，獲取、理解、回溯、顯示能夠引起網絡態勢變化的安全要素，預測網絡安全態勢發展趨勢，對網絡整體安全進行監測、分析和預警。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(E405)。

A.5.4.6 高級持續威脅檢測(E406)

本類產品針對網絡中的文件進行深度、智能、持續性的分析，識別各類已知、未知的安全威脅，對可能用于APT攻擊的文件進行行為揭示， 并通過文件分析報告呈現鑒定分析結果。目的是幫助用戶掌握網絡威脅狀況，提高網絡安全威脅檢測和響應能力。

本類產品所提供的安全功能可主要歸納為五個方面：

a)靜態檢測， 如格式識別解析、Shellcode發現、堆噴射檢測、字符串信息提取以及漏洞檢測等；

b)動態檢測，如將未知文件投放到虛擬執行環境中運行，利用系統監控和網絡監控等手段，監控記錄其運行的本地行為， 或通過對代碼結構及API調用指令等信息的分析提取潛在行為；

c)病毒特征庫檢測，基于病毒特征庫，對已知威脅進行識別；

d)關聯分析，基于文件結構包含或行為后果關聯關系(如文件釋放、壓縮包包含、資源節包含等關系)對關聯文件進行分析判定；

e)對發現的安全威脅提供識別結果， 如相關的文件、域名、IP、URL、互斥量等具備實際響應操作支撐作用的信息。

任何提供以上全部功能，且該功能為主導性功能的產品，均可歸入本類(E406)。

A.5.4.7 輿情分析(E407)

本類產品基于采集的海量網絡輿情信息，對某個特定問題的輿情進行監測、匯總和分析，識別其中的關鍵信息，形成輿情報表或報告，目的是得到輿情相關的結論。

本類產品的安全功能可主要歸納為三個方面：

a)輿情監測；

b)輿情分析；

c)輿情預測、預警。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(E407)。

A.5.5 安全管理(E5)

A.5.5.1 安全管理平臺(E501)

本類產品是一個信息交換、存儲和處理平臺，能夠對安全信息進行控制管理，目的是對信息安全資產進行統一管理，增強資產管理的時效性、可控性和全面性。

本類產品的安全功能可主要歸納為七個方面：

a)安全產品管理，該平臺允許授權主體對安全屬性(訪問控制列表、能力表等)進行查看或修改；提供對角色的統一管理；對日志信息進行統一收集和處理；

b)補丁管理，對操作系統和安全軟件的補丁安裝情況設置統一的策略，進行統一的管理；

c)升級管理，對操作系統和安全軟件的版本升級情況設置統一的策略，進行統一的管理；

d)對資產(包括網絡設備、安全設備和服務器等)進行監控；

e)對安全設備進行配置、管理，監測網絡上的數據通信；

f)對安全系統的整體狀態進行監測；

g)其他信息安全相關的資產管理。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(E501)。

A.5.5.2 安全監控(E502)

本類產品針對系統信息流進行安全性監測和控制，目的是發現和阻止系統和網絡資源的非授權使用。

本類產品的安全功能可主要歸納為三個方面：

a)遠程或本地監測，對受控主機的在線狀態、系統資源、軟件安裝、服務、進程、外設使用、上網等情況進行實時監測；

b)非授權外聯監控，對受保護網絡內部主機在安全策略允許之外通過調制解調器、多網卡、無線設備等非授權途徑與外部網絡進行連接的情況加以監測、報警及阻斷；

c)違規內聯檢查，在安全策略允許之外通過無線AP、隨身Wi-Fi等非授權途徑進入受保護網絡內部進行連接的情況進行檢測、報警與阻斷。

任何提供以上一種或數種功能，且該功能為主導性功能的產品，均可歸入本類(E502)。

A.5.5.3 運維安全管理(E503)

本類產品針對系統重要資產的維護過程實現單點登錄、集中授權、集中管理和審計，運維安全管理產品為運維用戶提供統一的身份認證接口、多種遠程運維管理方式，對資產及其賬號等進行集中管理和授權，監控和審計運維操作過程，并對違規操作行為進行報警、阻斷。該類產品保護的對象是服務器、網絡設備、安全產品、數據庫等系統重要資產。

任何提供以上功能，且該功能為主導性功能的產品，均可歸入本類(E503)。

A.5.5.4 統一身份鑒別與授權(E504)

本類產品針對應用系統進行集中管理，目的是實現一次登錄后就可訪問所有有權限訪問的應用系統。

本類產品所提供的安全功能可主要歸納為兩個方面：

a)鑒別管理，通過構建統一用戶信息數據庫，實現對服務、組織、人員、組、策略以及其他資源的集中、分層、分組管理；

b)授權管理，可授權指定的應用系統給指定的人員訪問或使用，并可針對其訪問權限進行時間、網段等策略級別控制。

任何提供以上兩種功能，且該功能為主導性功能的產品，均可歸入本類(E504)。

A.5.6 安全管理支持其他(EX)

不能歸為上述5類的信息安全產品暫歸為其他類(X)。