Ｉ ＣＳ ３５‘２４０ Ａ ９０ ６Ａ 中 华 人 民 共 和 国公 共 安 全 行 业 标 准 ＧＡ／Ｔ ６９５一 ２００７ 信息 安全技 术 网络 通讯 安全 审计 数据 留存 功 能要 求 Ｉ ｎｆ ｏｒ ｍａ ｔ ｉ ｏｎｓ ｅ ｃ ｕｒ ｉ ｔ ｙｔ ｅ ｃ ｈｎｏｌ ｏｇ ｙ 一Ｓ ｕｂｓ ｉ ｓ ｔ ｅ ｎｃ ｅｆ ｕ ｎｃ ｔ ｉ ｏ ｎｒ ｅ ｑｕｉ ｒ ｅｍｅ ｎｔ ｓｆ Ｏｒｓ ｅ ｃ ｕ ｒ ｉ ｔ ｙ ａｕｄｉ 　　　　　　　　　　　　　　　　　　　　　　　　　　 ｔｄａｔ ａ ｏｆｎｅｔｗｏｒ ｋ ｃｏｍｍ ｕｎｉ ｃａｔｉ ｏｎｓ ２０ ０７ 一 ０ ５一 １ ４发布 ２００７一 ０７一 ０１实 施 中华人民共和国公安部 发 布 ＧＡ／Ｔ６９５一 ２００７ 月Ｉ Ｊ 言 本标准 由公安部公共信息网络安全监察局提出 。 本标准 由公安部信息系统安全标准化技术委员会归 口。 本标准起草单位 ： 公安部计算 机信息 系统 安全产品质量监督 检验 中心。 本 标 准 主要 起 草 人 ： 沈 亮 、张 奕 、陆臻 、顾 玮 、赵 婷 、张 岚 、 顾 健。 ＧＡ／Ｔ ６９５一 ２００７ 信息安全技术 网络通讯安全审计 数据 留存功能要求 范围 本标准规定 ｒ网络通讯安 全审 计数据 留存相 关产品 的 自身安全功 能要求 、 　　　　 安全功 能要求 和保 认 要求。 本标准适用于网络通讯安全审计数据留存相关产品的生产及检测 　　　　 ２ 规范性 引用文件 下列文件 中的条款通过本标准的引用而成为本标准 的条款。凡是注 ！ 　　　　 ｛ 期 的引用文件 ， 其随后所 有 的修改单（不包括勘 误的内容 ） 或修订版均不适用于本标准 ， 然 而， 鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版木 凡是不注 门期的引用文件 其最 新版 木适 用于本标 礁． ＧＢ／Ｔ １ 　　　　 ８ ３３ ６． ３ ２ ｏ０ １ 信息技术 安全技术 信息技术安全性评估准则 第 ３部分 ： 安 全保１ １要 求 （ｉ ｄｔＩ ＳＯ／Ｉ ＥＣ １５４ＯＳ一 ３：１９９９） ３ 术语 和定义 下列术语和定义适用十本标准 。 　　　　 ３．１ 网络通讯安全审计数据留存相关产品 ｓ 　　　　 ｅ ｃｕ ｒ ｉ ｔ ｙａ ｕ ｄｉ ｔｄａ ｔ ａｓ ｕ ｂ ｓ ｉ ｓ ｅｎｃ ｔ ｅｃ Ｏｒ ｅｌ ｒ ａｔ ｉ ｏ ｎｐｒ ｏ ｄ肚 ｃ ｔ ｓｏ ｆ ｎｅｔ ｗｏｒｋ ｃ ｏｍｍ ｕｎｉ ｃａｔｉ ｏｎｓ 网络通讯安全审计数据 留存相关产品（以下简称安全审计 产品） 　　　　 是对 网络或指定 系统的使用状态进 行跟踪并记录的产品 ３．２ 审计 日志 　　　　 ａ ｕｄ ｉ ｔＩ ０ ｇ 安全审计产 品自身审计产生的信息 。 　　　　 ３．３ 审计记录 ａ 　　　　 ｕｄ ｉ ｔｒ ｅｃ ｏｒ ｄ ａｔ ｉ ｏ ｎ 跟踪网络或指定 系统的使用状态产生的信息 。 　　　　 ３．４ 审计倍息 ａ 　　　　 ｕｄ ｉ ｔｉ ｎｆ ｏｒ ｍａ ｔ ｉ ｏｎ 所有 的审计 日志和审计记 录的总称 　　　　 ４ 网络通讯安全审计数据留存相关产品的安全功能要求 ４ ．１ 信息采集 ４．１．１ 审 计 记 录 记 录网络 中数据包的相 关信息 ，记录内 容至少应 包括 ： 　　　　 记 录时问 、 源 印 地址 、 源 Ｍ八Ｃ地址 、 源端 口、目标 Ｉ Ｐ 地址 、 源 ＭＡＣ地址 、目的端 口、 协１ 义类 型 、 数据包 长度 ４，１．２ 审 计 日志 记 录安全 审计产 品自身 的审计 ，记录内容至少应包括 ： 　　　　 ＧＡ／Ｔ ６９５一 ２００７ ａ 、， 、 ＬＵ 审计记 录和审计 日志功能 的启动 和关闭 ； 符合表 １中的所有 可审计事件 ； ， Ｃ 事件 日期与时问 、 事件类型 、 主体身份和事件结果 （ 成功或失败）； ， ｄ 表 １细 竹一栏中指定的附加信息 。 表 １ 基 本 可 审计 事 件 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 事 件 所有对审 计记 录或审 计口志的删除或清空 细 节 记录时ｌ ］ ｂ 从审计记 录或 审计日志中读 取信 息 在信息采 集功能运 行时所有对审计 配置的修改 所有 鉴别 机制的使用 位置 对用 户的修 改 修改后的用户身份 安 全审计 系统组 件的启 动 与关 闭 ４．２ 会 话 还 原 ４ ．２ ．飞 会话 内容的甚本项 会话信息 内容的基本项应包括 ： 　　　　 会话起始时 间、 源地址、目标地址 。 ４ ．２ ．２ 服务信 息收 集的基本要 求 ＦＴＰ通讯信息 ： 　　　　 除基本项以外还应包括 ： 使用的账号 、 输 人命令 　　　　 Ｔ ＥＩ 洲ＥＴ通讯信息 除基本项 以外还应包括 ： 使用的账号、 输人命令 ＷＷＷ 通讯信息 ： 　　　　 除基本项 以外还应包括 ：目标 ＵＩ 舰。 Ｒ一 　　　　 ｍａ ｌ 通 讯信息 ： ｉ 除基本项以外还应包括 ： 源信箱地址 、目的信箱地址 。 ４２ ．３ 服务倍息收 集的扩展要求 ＦＴＰ通讯信息 ： 　　　　 除满足基本要求以外还应包括； 传输的文件 内容 ＴＥ 　　　　 Ｉ入ＥＴ通讯信息： 除满足基本要求 以外还应包括 ： 反馈信 息。 　　　　 ｗＷＷ 通讯信 息： 除满 足基本要求以外还应包括 ： 恢 复网页所需 的文件 Ｅｍａ 　　　　 ｉｌ通讯信息 ： 除满 足基本项以外还应包 括： 邮件 内容 、 附件 ４．３ 自 主访 问控 制 ４．３．１ 属性 定 义 安全审计产品应为每个角色规定 与之相关的安全属性。 　　　　 ４． ３． ２ 属性初始化 安全审计产品应 提供使用默认值对创 建的每个角色的属性进 行初始化的能 力ｐ 　　　　 ４．４ 身 份鉴 别 ４．４．１ 基本 鉴 别 安全审计产品应在执行任何与授权用户相关功能之前鉴别用 户的身份 　　　　 ４．４．２ 鉴 别 失 败 的基 本 处 理 安全审计产品应能在鉴别尝试达到最人失败次数后 ， 　　　　 终止用户建立会 话的过程们 ４．５ 审 计 ４ ５ １ 审计 查 阅 ） 应 向授权用户提供查 询审计 记录的功能 ： ａ 　　　　 ） 应 向授权用户提供杳询审计信息的功能。 ’ ｌ 　　　　 ４ ．５２ 可理解的格式 应 使 审 宝｛结 果 为 人 所 理 解 　　　　 ＧＡ／Ｔ ６９５一 ２００７ ４ ． ５． ３ 可选择查 阅审计 ａ 　　　　 ） 应提供基于记 录时间、 源Ｉ Ｐ 地址 、 源端 口、目标 Ｉ Ｐ 地址 、口的端 口或协议类 型等条件 ， 对 审计 记 录进行查询和排序 的工具 ； 　　　　　　　　 　　　　 ） １ 应提供基于 日期和时间 、 主体 身份 、 事件类 型、 相 关事件成 功或失 败等条件 ， 对审计 日志进行 查询 和排序 的工具 。 　　　　　　　　 ４ ．５ ．４ 防止审计数据丢失 安全审 计产品应将 生成的审计内容储存于一个 掉电非逸 失性 存储介质中。 　　　　 安全审计产品应能够制定某种策略 ， 　　　　 具体处理当审计存 储接近最大 存储空间时 的情况（例如 ： 至少 提供阀值报警信息通知用户）。 ４．６ 数 据 安全 性 ４．６ １ 可 信 数 据 安全审计产品应提供在各种使用情况下， 　　　　 保证本地数 据以及远程可 信组件间传送 的所有数 据完整 性的功能 ： ） 应提供防止对 审计 记录内容修 改或手工添加 的功能 ； ａ 　　　　 ） 应提供 防止远程传送的审计记录被篡改的功能 ； ｂ 　　　　 　　　　 ｃ ） 应提供防止未授权 的删除本地存储的审计记 录的功能 ； ） 应提供防止对审 计日志内容修改或手工添加的功能 ； ｄ 　　　　 ） 应提供防止远程 传送 的审计 日志被篡 改的功能； ｅ 　　　　 于 　　　　 ） 应提供防止未授权的删除本地存储的审计 日志的功能。 ４． ６． ２ 保 密传输 与远程可信组件的传送过程中 ， 　　　　 安全审计产 品应提供 保护已还原 的会话数据和 审计 日志 内容不被 泄漏的功能 ４． ６． ３ 保 密存储 安全审计产品应提供对已还原的会话数据和审计 日志的保密存储功能。 　　　　 ４， ６． ４ 时间一致性 安全审计产品应保持各组件之问记录时间的 一致性 　　　　 ５ 网络通讯安全审计数据留存相关产 品的保证要求 保证要求按 ＧＢ／Ｔ １ 　　　　 ８ ３３ ６． ３一２ ００ １ 第二级执行 ６ 网络通讯安全审计数据留存相关产品的安全等级划分 依据信息安全技术 网络通讯安全审计数据 留存相关产品 的开发 、 　　　　 生产现状及实际应用情况 ， 对 网络 通讯安 全审计数据 留存相 关产 品的安全功能要求划分成两个等级 网络通 讯安全审计数据 留存相关产 品的安全等级划分如表 ２所示 　　　　 表 ２ 信息安全技术网络通讯安全审计数据留存相关产品安全等级划分衰 　　　　　　　　　　　　　　 安 全 功 能类 ４．１．１审计记 录 ４．１信息采集 ４．２会话还原 基本要求 丫 增强要求“ 丫 丫 ４１．２审计 日志 ４．２．１会话 内容的基本项 丫 丫 ４．２２服务信 息收集的基本要求 了 丫 ４．２．３服务信息收集的扩展要求 丫 ＧＡ／Ｔ ６９５一 ２００７ 表 ２ （续 ） 安全功能类 ４．３自土访问控制 　　 ４．月身份鉴别 　　　　 基本要求 增强要求’ ４．３ ．１属性定 义 了 丫 ４ ３２属性初始化 丫 了 刁．刁 １基本鉴别 了 丫 ４ ．４．２鉴别失败的基本处理 了 丫 书．５ ．１审计查阅 ａ） ｊ污审计 　　　　　　 礴 ．汤 ．２可理解的格式 了 丫 ４．５．３可选择查阅市计 们 丫 丫 了 １５３可选择查阅审 亡 卜ｂ） 飞（ 　　　　 ；数据安全性 丫 了 ４．５．１审计查阅 １ ） ， ４ ．５４防止审计数据丢失 了 丫 斗 ．６ ．１可信数据 ａ） ｌ） ｃ） 丫 　　　　　　　　　　　　 了 吐．６．１可信数据 ｄ） 曰「） 了 ４ 　　 ．６ ．２保密传输 了 ４．６ 　　 ．３保密存储 丫 斗 ６． 　　 布时间 一 致」 性 了 了 　　　　　　　　　　　　 丫 ５保证要求 了 　　　　　　　　　　　　 草本要求 ：为网络通讯安 全市计 数据 留存相 关产品的最底 安全级 别要 求 　　　　　　 ｂ 增强要求 为进 － 　　 步提升产品安全功能的附加要求