信息安全技術(shù) 安全運維系統(tǒng)技術(shù)規(guī)范

ICS35.040

CCSL80

中華人民共和國國家標準

GB/TXXXXX—XXXX

信息安全技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范

Informationsecuritytechnology-Technicalspecificationforsecurityoperationand

maintenancesystem

（點擊此處添加與國際標準一致性程度的標識）

（征求意見稿）

（本稿完成日期：2023-7-5）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

國家市場監(jiān)督管理總局

發(fā)布

國家標準化管理委員會

GB/TXXXXX—XXXX

前??言

本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。

本文件由全國信息安全標準化技術(shù)委員會（SAC/TC260）提出并歸口。

本文件起草單位：上海辰銳信息科技公司、公安部第三研究所、中國科學院軟件研究所、華為技術(shù)

有限公司、中國網(wǎng)絡安全審查技術(shù)與認證中心、國家工業(yè)信息安全發(fā)展研究中心、浙江齊治科技股份有

限公司、北京天融信網(wǎng)絡安全技術(shù)有限公司、奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司、北京神州綠

盟科技有限公司、西安交大捷普網(wǎng)絡科技有限公司、杭州中爾網(wǎng)絡科技有限公司、北京藍象標準咨詢服

務有限公司、長楊科技（北京)股份有限公司、杭州安恒信息技術(shù)股份有限公司、北京時代新威信息技

術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、上海三零衛(wèi)士信息安全有限公司、成都衛(wèi)士通信息

產(chǎn)業(yè)股份有限公司、上海觀安信息技術(shù)股份有限公司、廣東安創(chuàng)信息科技開發(fā)有限公司、北京神州綠盟

科技有限公司、遠江盛邦（北京）網(wǎng)絡安全科技股份有限公司、藍盾信息安全技術(shù)股份有限公司、北京

智游網(wǎng)安科技有限公司、深信服科技股份有限公司、陜西省網(wǎng)絡與信息安全測評中心、北京信安世紀科

技股份有限公司、河南中科安永科技有限公司、國網(wǎng)區(qū)塊鏈科技（北京）有限公司、廣東省信息安全測

評中心、國網(wǎng)新疆電力有限公司電力科學研究院、廣電計量檢測集團股份有限公司。

本文件主要起草人：張艷、鄒春明、胡津銘、沈亮、晏敏、王峰、申永波、王沖華、于遨洋、安高

峰、楊春鵬、周進、何建鋒、葛方雋、張德保、趙華、田麗丹、俞政臣、周瑞群、劉彪、鄢昱恒、謝江、

鐘英南、周進、劉強、韓云、劉晨、馮燕飛、付軍、郭軍武、石竹玉、葉勁宏、加依達爾.金格斯、唐

迪。

II

GB/TXXXXX—XXXX

信息安全技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范

1范圍

本文件規(guī)定了網(wǎng)絡運維訪問控制、運維審計、安全管理等安全運維系統(tǒng)安全功能要求、自身安全要

求、安全保障要求及測試評價方法。

本文件適用于安全運維系統(tǒng)的設計、開發(fā)、測試與評價。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T18336.1-xxxx信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則第1部分：簡介和一般模型

GB/T18336.3-xxxx信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則第3部分：安全保障組件

GB/T25069-2022信息安全技術(shù)術(shù)語

GB/T36626-2018信息安全技術(shù)信息系統(tǒng)安全運維管理指南

GB/T39837-2021信息技術(shù)遠程運維技術(shù)參考模型

GB42250-2022信息安全技術(shù)網(wǎng)絡安全專用產(chǎn)品安全技術(shù)要求

3術(shù)語和定義

GB/T18336.1-xxxx、GB/T25069-2022界定的以及下列術(shù)語和定義適用于本文件。

3.1

安全運維系統(tǒng)securityoperationandmaintenancesystem

為運維用戶提供統(tǒng)一資源訪問入口，對運維對象、運維用戶進行集中管理，并實現(xiàn)網(wǎng)絡運維過程統(tǒng)

一訪問控制、安全審計、違規(guī)操作行報警或阻斷的產(chǎn)品。

3.2

運維對象operationandmaintenanceobject

受安全運維系統(tǒng)保護的，具有標準協(xié)議遠程方式運維管理的信息資產(chǎn)，如服務器、網(wǎng)絡設備、安全

設備、數(shù)據(jù)庫等。

3.3

運維用戶operationandmaintenanceuser

通過安全運維系統(tǒng)對運維對象進行網(wǎng)絡運行維護的用戶。

3.4

1

GB/TXXXXX—XXXX

授權(quán)管理員authorizedadministrator

能訪問、實施、修改安全運維系統(tǒng)各類安全策略的管理員，其職責僅限定于對安全運維系統(tǒng)的管理。

3.5

運維服務協(xié)議operationandmaintenanceserviceprotocol

支持對目標資產(chǎn)進行運維操作和管理的網(wǎng)絡應用協(xié)議，包括但不限于TELNET、SSH、RDP、VNC等。

4縮略語

下列縮略語適用于本文件。

CPU：中央處理單元（CentralProcessingUnit）

EAL：評估保證等級（EvaluationAssuranceLevel）

ICMP：網(wǎng)間控制報文協(xié)議（InternetControlMessageProtocol）

IP：網(wǎng)際協(xié)議（InternetProtocol）

KVM：基于內(nèi)核的虛擬機（Kernel-basedVirtualMachine）

NDP：鄰居發(fā)現(xiàn)協(xié)議（NeighborDiscoveryProtocol）

RDP：遠程桌面協(xié)議（RemoteDesktopProtocol）

SNMP：簡單網(wǎng)絡管理協(xié)議(SimpleNetworkManagementProtocol)

SSH：安全外殼協(xié)議（SecureShell）

TELNET：遠程登陸系統(tǒng)（TeletypeNetwork）

VNC：虛擬網(wǎng)絡控制臺（VirtualNetworkConsole）

5概述

安全運維系統(tǒng)為運維用戶提供統(tǒng)一資源訪問入口，借助身份認證接口實現(xiàn)對運維用戶的身份鑒別，

對資產(chǎn)及其賬戶等進行集中管理和授權(quán)，監(jiān)控和審計運維操作過程，并對違規(guī)操作行為進行報警、阻斷。

該類產(chǎn)品保護的對象是服務器、虛擬機、網(wǎng)絡設備、安全產(chǎn)品、數(shù)據(jù)庫、云平臺等信息系統(tǒng)重要資產(chǎn)。

此外，安全運維系統(tǒng)本身及其內(nèi)部的重要數(shù)據(jù)也是受保護的對象。

本文件將安全運維系統(tǒng)的安全技術(shù)要求分為安全功能要求、自身安全要求、安全保障要求三類。其

中，安全功能要求是對安全運維系統(tǒng)應具備的安全功能提出具體要求，包括運維用戶管理、運維對象管

理、運維服務協(xié)議支持、運維訪問控制、告警、遠程訪問加密、運維審計、運維會話管理、高可用性、

設備虛擬化、IPv6支持等；自身安全要求是對安全運維系統(tǒng)的自身安全保護提出具體要求，包括標識與

鑒別、安全管理、審計日志等；安全保障要求針對安全運維系統(tǒng)的開發(fā)和使用文檔的內(nèi)容提出具體的要

求，例如開發(fā)、指導性文檔、生命周期支持、測試和脆弱性評定等。此外，本文件針對安全運維系統(tǒng)的

安全技術(shù)要求提出對應的測試評價方法，為使用本文件的人員提供一個測試評價安全運維系統(tǒng)的技術(shù)準

則。

本文件將安全運維系統(tǒng)的安全功能要求、自身安全要求和安全保障要求分為基本級和增強級，安全

功能與自身安全的強弱、以及安全保障要求的高低是等級劃分的具體依據(jù)，等級突出安全特性。其中，

基本級產(chǎn)品的安全保障要求內(nèi)容滿足GB/T18336.3-xxxx的EAL2級，增強級產(chǎn)品的安全保障要求內(nèi)容滿

足GB/T18336.3-xxxx的EAL4級。與基本級內(nèi)容相比，增強級中要求有所增加或變更的內(nèi)容在正文中通

過“宋體加粗”表示。

安全運維系統(tǒng)的安全功能要求、自身安全要求、安全保障要求應符合GB42250-2022《信息安全技

術(shù)網(wǎng)絡安全專用產(chǎn)品安全技術(shù)要求》的相關(guān)要求。

2

GB/TXXXXX—XXXX

表1角色描述表

角色角色描述

通過安全運維系統(tǒng)對信息資產(chǎn)進行運行維護和管理的用戶（人員或自動化運維工

運維用戶

具），通常以賬號作為用戶標識，賬號由安全運維系統(tǒng)進行管理

受安全運維系統(tǒng)保護的信息資產(chǎn)的各類管理賬戶，該賬戶由受保護的信息資產(chǎn)進行

管理賬戶

維護，運維用戶登錄安全運維系統(tǒng)后通過該賬戶對受保護的信息資產(chǎn)進行運維和管

（運維對象）

理

對安全運維系統(tǒng)進行維護和管理的用戶角色，包括操作員、安全員、審計員或其他

管理員

自定義角色，通常不具備受保護資產(chǎn)的運維管理權(quán)限

管理員角色的一種，具有系統(tǒng)配置管理權(quán)限，如產(chǎn)品IP地址、運維用戶、運維對象

操作員

管理等

安全員管理員角色的一種，具有安全管理權(quán)限，如訪問控制策略管理等

審計員管理員角色的一種，具有審計管理權(quán)限，如審計日志的查閱、分析、管理等

6安全技術(shù)要求

6.1基本級安全技術(shù)要求

6.1.1安全功能要求

6.1.1.1運維用戶管理

產(chǎn)品應支持對運維用戶進行管理：

a)運維用戶賬戶增加、刪除；

b)運維用戶安全屬性定義，包括但不限于賬戶、用戶姓名、聯(lián)系電話、口令等；

c)支持本地運維用戶賬戶分組管理。

6.1.1.2運維對象管理

產(chǎn)品應支持對運維對象進行管理：

a)運維對象增加、刪除、修改；

b)運維對象安全屬性定義，包括但不限于運維對象資產(chǎn)類別、IP地址、運維服務協(xié)議、運維對象

賬戶及口令等；

c)支持運維對象分類管理。

6.1.1.3網(wǎng)絡通信協(xié)議支持

產(chǎn)品應至少支持以下運維服務協(xié)議對運維對象進行網(wǎng)絡運維：

a)TELNET、SSH；

b)RDP、VNC。

6.1.1.4運維訪問控制

6.1.1.4.1用戶登錄策略

產(chǎn)品應提供統(tǒng)一的身份鑒別功能，實現(xiàn)運維用戶的單點登錄，運維用戶需經(jīng)過產(chǎn)品的身份鑒別后，

方可訪問授權(quán)范圍內(nèi)的資產(chǎn)。

3

GB/TXXXXX—XXXX

6.1.1.4.2訪問控制策略

產(chǎn)品應支持以下條件對運維過程實施訪問控制，且默認禁止：

a)運維用戶、源地址等；

b)運維對象及其管理賬戶等；

c)運維服務協(xié)議；

d)操作命令。

6.1.1.4.3違規(guī)操作控制

產(chǎn)品應依據(jù)安全策略，對違規(guī)操作進行告警、阻斷（操作命令或會話阻斷），確保運維用戶訪問過

程的合規(guī)性。

6.1.1.5告警

6.1.1.5.1告警內(nèi)容

產(chǎn)品應依據(jù)告警策略對運維用戶的違規(guī)操作進行告警，告警信息應至少包括：

a)操作時間；

b)運維用戶；

c)源地址；

d)運維對象；

e)運維服務協(xié)議；

f)事件描述；

g)觸發(fā)的策略等。

6.1.1.5.2告警方式

產(chǎn)品應支持屏幕告警、短信或郵件告警方式進行告警。

6.1.1.6遠程訪問加密

應采取措施保證網(wǎng)絡運維通道的數(shù)據(jù)傳輸保密性和完整性。

6.1.1.7運維審計

6.1.1.7.1運維審計記錄

產(chǎn)品應對運維用戶的運維操作進行審計，生成審計記錄，應至少包括：

a)操作日期和時間；

b)運維用戶、登錄IP地址；

c)運維對象名稱、IP地址及賬戶；

d)運維服務協(xié)議；

e)命令行方式運維服務協(xié)議：至少包括操作命令、返回內(nèi)容；

f)圖形界面方式運維服務協(xié)議：通用視頻格式文件錄屏，并保證清晰度。

6.1.1.7.2運維審計查閱

產(chǎn)品應僅允許授權(quán)管理員查閱審計記錄，支持條件查詢并以通用格式導出，查詢條件應至少包括：

a)操作日期和時間段；

4

GB/TXXXXX—XXXX

b)運維用戶、登錄IP地址；

c)運維對象名稱、IP地址及賬戶；

d)運維服務協(xié)議。

6.1.1.7.3審計報表

產(chǎn)品應支持基于時間段、運維用戶、運維對象等條件生成審計報表，并支持一種或者多種通用文本

格式，支持自定義報表內(nèi)容。

6.1.1.8運維會話管理

6.1.1.8.1會話回放

產(chǎn)品應提供如下會話回放功能：

a)對運維會話過程的回放；

b)按操作命令或時間進行定位回放。

6.1.1.9設備虛擬化（可選）

6.1.1.9.1虛擬系統(tǒng)

若產(chǎn)品支持在邏輯上劃分為多個虛擬子系統(tǒng)，虛擬子系統(tǒng)間應支持隔離和獨立管理，包括但不限于：

a)對虛擬子系統(tǒng)分別設置管理員，實現(xiàn)針對虛擬子系統(tǒng)的管理配置；

b)虛擬子系統(tǒng)能分別維護安全策略和日志系統(tǒng)；

c)對虛擬子系統(tǒng)的資源使用配額進行限制；

d)限制虛擬子系統(tǒng)之間的相互訪問。

6.1.1.9.2虛擬化部署

若產(chǎn)品為虛擬化形態(tài)，應支持部署于虛擬化平臺，并接受平臺統(tǒng)一管理，包括但不限于：

a)支持部署于一種或一種以上類型的虛擬化平臺；

b)結(jié)合虛擬化平臺實現(xiàn)產(chǎn)品資源彈性伸縮，根據(jù)虛擬化產(chǎn)品的負載情況動態(tài)調(diào)整資源；

c)實現(xiàn)故障遷移，當虛擬化產(chǎn)品出現(xiàn)故障時能實現(xiàn)自動更新、替換。

6.1.1.10IPv6支持（可選）

產(chǎn)品應支持在IPv6網(wǎng)絡環(huán)境下正常工作，有效運行其安全功能和自身安全功能：

a)支持IPv6方式網(wǎng)絡運維和訪問運維對象資產(chǎn)；

b)支持IPv6方式遠程管理；

c)支持IPv4、IPv6雙協(xié)議棧工作模式。

6.1.2自身安全要求

6.1.2.1標識與鑒別

6.1.2.1.1身份標識

產(chǎn)品應為管理員和運維用戶提供唯一的身份標識，并將標識與其所有可審計事件相關(guān)聯(lián)。

6.1.2.1.2基本鑒別

5

GB/TXXXXX—XXXX

產(chǎn)品應在執(zhí)行任何與安全功能相關(guān)操作之前鑒別管理員/運維用戶的身份，若采用靜態(tài)口令方式鑒

別，應提供口令復雜度檢查和定期更換提醒功能。

6.1.2.1.3鑒別失敗處理

當對管理員/運維用戶鑒別嘗試連續(xù)失敗達到設定的次數(shù)后，產(chǎn)品應阻止管理員/運維用戶進一步的

鑒別請求；鑒別失敗嘗試次數(shù)及限制登錄時間僅由授權(quán)管理員設定。

6.1.2.1.4超時鎖定或注銷

產(chǎn)品應具有登錄連接超時鎖定或注銷功能，在設定的時間段內(nèi)沒有任何操作的情況下，終止會話，

需要再次進行身份鑒別才能夠重新操作，最大超時時間僅由授權(quán)管理員設定。

6.1.2.1.5鑒別數(shù)據(jù)保護

產(chǎn)品應保證管理員、運維用戶和運維對象的管理賬戶等鑒別數(shù)據(jù)加密存儲，不被非授權(quán)查閱或修改。

6.1.2.2安全管理

6.1.2.2.1安全功能管理

產(chǎn)品應允許授權(quán)管理員對產(chǎn)品進行以下管理：

a)查閱和修改安全屬性；

b)制定和修改各種安全策略。

6.1.2.2.2管理員角色管理

產(chǎn)品應對管理員角色進行區(qū)分，具有至少三種不同權(quán)限的角色，例如操作員、安全員、審計員等。

6.1.2.2.3遠程管理安全

若產(chǎn)品提供遠程管理功能，應保障遠程管理安全：

a)采取措施保障遠程管理數(shù)據(jù)的傳輸保密性；

b)支持對可遠程管理的主機地址進行限制；

c)若產(chǎn)品形態(tài)為硬件，支持以SNMP等標準協(xié)議方式對產(chǎn)品的CPU、內(nèi)存、存儲的資源使用情

況進行監(jiān)測。

6.1.2.2.4配置備份與恢復

產(chǎn)品應支持配置文件的本地備份與恢復，并支持備份文件的導入導出。

6.1.2.2.5時鐘同步

產(chǎn)品應具備時鐘同步功能，保證產(chǎn)品系統(tǒng)時間與時鐘服務器的一致性。

6.1.2.2.6產(chǎn)品升級

產(chǎn)品應具備升級功能，并采取措施保證升級包的完整性、真實性，以及升級過程安全。

6.1.2.3審計日志

6.1.2.3.1審計日志生成

產(chǎn)品應對產(chǎn)品自身管理相關(guān)事件生成審計日志：

6

GB/TXXXXX—XXXX

a)管理員/運維用戶的鑒別事件，包括成功和失敗，鑒別失敗處理；

b)安全策略的增加、刪除和修改操作；

c)用戶/角色的增加、刪除和屬性修改操作；

d)配置備份與恢復、安全升級等重要操作。

6.1.2.3.2審計日志內(nèi)容

審計日志內(nèi)容至少應包括事件發(fā)生的日期、時間、主體標識、事件描述和結(jié)果等。

6.1.2.3.3審計日志管理

產(chǎn)品應提供下列審計日志管理功能：

a)僅允許授權(quán)管理員訪問審計日志；

b)對審計日志的條件查詢功能，查詢條件至少包括日期時間范圍、主體標識、事件描述關(guān)鍵詞等。

6.1.2.3.4審計數(shù)據(jù)存儲

產(chǎn)品應提供以下功能對運維審計記錄、審計日志進行安全存儲:

a)存儲于掉電非易失性存儲介質(zhì)中，存儲時間不少于6個月；

b)支持以syslog等標準格式將審計數(shù)據(jù)外發(fā)到日志服務器；

c)當存儲空間達到閾值時，能通知授權(quán)管理員。

6.1.3安全保障要求

6.1.3.1開發(fā)

6.1.3.1.1安全架構(gòu)

開發(fā)者應提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應滿足以下要求：

a)與產(chǎn)品設計文檔中對安全功能實施抽象描述的級別一致；

b)描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

c)描述產(chǎn)品安全功能初始化過程為何是安全的；

d)證實產(chǎn)品安全功能能夠防止被破壞；

e)證實產(chǎn)品安全功能能夠防止安全特性被旁路。

6.1.3.1.2功能規(guī)范

開發(fā)者應提供完備的功能規(guī)范說明，功能規(guī)范說明應滿足以下要求：

a)完全描述產(chǎn)品的安全功能；

b)描述所有安全功能接口的目的與使用方法；

c)標識和描述每個安全功能接口相關(guān)的所有參數(shù)；

d)描述安全功能接口相關(guān)的安全功能實施行為；

e)描述由安全功能實施行為處理而引起的直接錯誤消息；

f)證實安全功能要求到安全功能接口的追溯。

6.1.3.1.3產(chǎn)品設計

開發(fā)者應提供產(chǎn)品設計文檔，產(chǎn)品設計文檔應滿足以下要求：

a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

b)標識和描述產(chǎn)品安全功能的所有子系統(tǒng)；

7

GB/TXXXXX—XXXX

c)描述安全功能所有子系統(tǒng)間的相互作用；

d)提供的映射關(guān)系能夠證實設計中描述的所有行為能夠映射到調(diào)用它的安全功能接口。

6.1.3.2指導性文檔

6.1.3.2.1操作用戶指南

開發(fā)者應提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一

致，對每一種用戶角色的描述應滿足以下要求：

a)描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當?shù)木拘畔ⅲ?/p>

b)描述如何以安全的方式使用產(chǎn)品提供的可用接口；

c)描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時指明安全值；

d)明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制

實體的安全特性；

e)標識產(chǎn)品運行的所有可能狀態(tài)（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全

運行之間的因果關(guān)系和聯(lián)系；

f)充分實現(xiàn)安全目的所必須執(zhí)行的安全策略。

6.1.3.2.2準備程序

開發(fā)者應提供產(chǎn)品及其準備程序，準備程序描述應滿足以下要求：

a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；

b)描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。

6.1.3.3生命周期支持

6.1.3.3.1配置管理能力

開發(fā)者的配置管理能力應滿足以下要求：

a)為產(chǎn)品的不同版本提供唯一的標識；

b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護，并唯一標識配置項；

c)提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法。

6.1.3.3.2配置管理范圍

開發(fā)者應提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表應包含產(chǎn)品、安全保障要求的

評估證據(jù)和產(chǎn)品的組成部分。

6.1.3.3.3交付程序

開發(fā)者應使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，

交付文檔應描述為維護安全所必需的所有程序。

6.1.3.4測試

6.1.3.4.1測試覆蓋

開發(fā)者應提供測試覆蓋文檔，測試覆蓋描述應表明測試文檔中所標識的測試與功能規(guī)范中所描述的

產(chǎn)品的安全功能間的對應性。

6.1.3.4.2功能測試

8

GB/TXXXXX—XXXX

開發(fā)者應測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應包括以下內(nèi)容：

a)測試計劃，標識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其它測試結(jié)果

的任何順序依賴性；

b)預期的測試結(jié)果，表明測試成功后的預期輸出；

c)實際測試結(jié)果和預期的一致性。

6.1.3.4.3獨立測試

開發(fā)者應提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。

6.1.3.5脆弱性評定

基于已標識的潛在脆弱性，產(chǎn)品能夠抵抗具有基本攻擊潛力的攻擊者的攻擊。

6.2增強級安全技術(shù)要求

6.2.1安全功能要求

6.2.1.1運維用戶管理

產(chǎn)品應支持對運維用戶進行管理：

a)運維用戶賬戶增加、刪除；

b)運維用戶安全屬性定義，包括但不限于賬戶、用戶姓名、聯(lián)系電話、口令等；

c)支持本地運維用戶賬戶分組管理；

d)支持第三方認證系統(tǒng)對接，如LDAP、RADIUS等。

6.2.1.2運維對象管理

產(chǎn)品應支持對運維對象進行管理：

a)運維對象增加、刪除、修改；

b)運維對象安全屬性定義，包括但不限于運維對象資產(chǎn)類別、IP地址、運維服務協(xié)議、運維對象

賬戶及口令等；

c)支持運維對象分類管理；

d)支持運維對象連通性測試。

6.2.1.3運維服務協(xié)議支持

產(chǎn)品應至少支持以下運維服務協(xié)議對運維對象進行網(wǎng)絡運維：

a)TELNET、SSH；

b)RDP、VNC。

6.2.1.4運維訪問控制

6.2.1.4.1用戶登錄策略

產(chǎn)品應提供統(tǒng)一的身份鑒別功能，實現(xiàn)運維用戶的單點登錄，運維用戶需經(jīng)過產(chǎn)品的身份鑒別后，

方可訪問授權(quán)范圍內(nèi)的資產(chǎn)。

6.2.1.4.2訪問控制策略

產(chǎn)品應支持以下條件對運維過程實施訪問控制，且默認禁止：

9

GB/TXXXXX—XXXX

a)主體：運維用戶、運維用戶組、源地址等；

b)客體：運維對象類別、運維對象及其賬戶等；

c)運維服務協(xié)議；

d)操作命令；

e)運維時間段。

6.2.1.4.3違規(guī)操作控制

產(chǎn)品應依據(jù)安全策略，對違規(guī)操作進行告警、阻斷（操作命令或會話阻斷），確保運維用戶訪問過

程的合規(guī)性。

6.2.1.4.4敏感操作提示

產(chǎn)品應支持敏感操作定義，依據(jù)安全策略對敏感操作提請授權(quán)人員進行二次確認，確認后才能夠

繼續(xù)進行運維操作。

6.2.1.5告警

6.2.1.5.1告警內(nèi)容

產(chǎn)品應依據(jù)告警策略對運維用戶的違規(guī)操作進行告警，告警信息應至少包括：

a)操作時間；

b)運維用戶；

c)源地址；

d)運維對象；

e)運維服務協(xié)議；

f)事件描述；

g)觸發(fā)的策略等。

6.2.1.5.2告警方式

產(chǎn)品應支持以下方式進行告警：

a)屏幕告警、短信或郵件告警；

b)即時通訊方式告警。

6.2.1.6遠程訪問加密

應采取措施保證網(wǎng)絡運維通道的數(shù)據(jù)傳輸保密性和完整性，采取的加密算法應符合國家密碼管理

主管部門的要求。

6.2.1.7運維審計

6.2.1.7.1運維審計記錄

產(chǎn)品應對運維用戶的運維操作進行審計，生成審計記錄，應至少包括：

a)操作日期和時間；

b)運維用戶、登錄IP地址；

c)運維對象名稱、IP地址及賬戶；

d)運維服務協(xié)議；

e)命令行方式運維服務協(xié)議：至少包括操作命令、返回內(nèi)容；

10

GB/TXXXXX—XXXX

f)圖形界面方式運維服務協(xié)議：通用視頻格式文件錄屏，并保證清晰度。

6.2.1.7.2運維審計查閱

產(chǎn)品應僅允許授權(quán)管理員查閱審計記錄，支持條件查詢并以通用格式導出，查詢條件應至少包括：

a)操作日期和時間段；

b)運維用戶、登錄IP地址；

c)運維對象名稱、IP地址及賬戶；

d)運維服務協(xié)議；

e)操作命令等。

6.2.1.7.3審計報表

產(chǎn)品應支持基于時間段、運維用戶、運維對象等條件生成審計報表，并支持一種或者多種通用文本

格式，支持自定義報表內(nèi)容。

6.2.1.8運維會話管理

6.2.1.8.1會話分享

產(chǎn)品應提供協(xié)同運維場景下的會話分享功能：

a)支持在線會話遠程求助功能；

b)運維過程支持會話協(xié)同碼分享，便于多方對會話進行協(xié)同控制。

6.2.1.8.2會話監(jiān)視

產(chǎn)品應支持授權(quán)人員對運維會話過程的圖形化實時監(jiān)視功能。

6.2.1.8.3會話回放

產(chǎn)品應提供如下會話回放功能：

a)對運維會話過程的回放；

b)按操作命令或時間進行定位回放。

6.2.1.9高可用性

產(chǎn)品應支持雙機或集群方式部署，并保持產(chǎn)品間配置的同步，保證產(chǎn)品的高可用性。

6.2.1.10設備虛擬化（可選）

6.2.1.10.1虛擬系統(tǒng)

若產(chǎn)品支持在邏輯上劃分為多個虛擬子系統(tǒng)，虛擬子系統(tǒng)間應支持隔離和獨立管理，包括但不限于：

a)對虛擬子系統(tǒng)分別設置管理員，實現(xiàn)針對虛擬子系統(tǒng)的管理配置；

b)虛擬子系統(tǒng)能分別維護安全策略和日志系統(tǒng)；

c)對虛擬子系統(tǒng)的資源使用配額進行限制；

d)限制虛擬子系統(tǒng)之間的相互訪問。

6.2.1.10.2虛擬化部署

若產(chǎn)品為虛擬化形態(tài)，應支持部署于虛擬化平臺，并接受平臺統(tǒng)一管理，包括但不限于：

a)支持部署于一種或一種以上類型的虛擬化平臺；

11

GB/TXXXXX—XXXX

b)結(jié)合虛擬化平臺實現(xiàn)產(chǎn)品資源彈性伸縮，根據(jù)虛擬化產(chǎn)品的負載情況動態(tài)調(diào)整資源；

c)實現(xiàn)故障遷移，當虛擬化產(chǎn)品出現(xiàn)故障時能實現(xiàn)自動更新、替換。

6.2.1.11IPv6支持（可選）

產(chǎn)品應支持在IPv6網(wǎng)絡環(huán)境下正常工作，有效運行其安全功能和自身安全功能：

a)支持IPv6方式網(wǎng)絡運維和訪問運維對象資產(chǎn)；

b)支持IPv6方式遠程管理；

c)支持IPv4、IPv6雙協(xié)議棧工作模式。

6.2.2自身安全要求

6.2.2.1標識與鑒別

6.2.2.1.1身份標識

產(chǎn)品應為管理員和運維用戶提供唯一的身份標識，并將標識與其所有可審計事件相關(guān)聯(lián)。

6.2.2.1.2基本鑒別

產(chǎn)品應在執(zhí)行任何與安全功能相關(guān)操作之前鑒別管理員/運維用戶的身份，并符合以下要求：

a)若采用靜態(tài)口令方式鑒別，應提供口令復雜度檢查和定期更換提醒功能；

b)支持兩種及兩種以上身份鑒別方式，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn)。

6.2.2.1.3鑒別失敗處理

當對管理員/運維用戶鑒別嘗試連續(xù)失敗達到設定的次數(shù)后，產(chǎn)品應阻止管理員/運維用戶進一步的

鑒別請求；鑒別失敗嘗試次數(shù)及限制登錄時間僅由授權(quán)管理員設定。

6.2.2.1.4超時鎖定或注銷

產(chǎn)品應具有登錄連接超時鎖定或注銷功能，在設定的時間段內(nèi)沒有任何操作的情況下，終止會話，

需要再次進行身份鑒別才能夠重新操作，最大超時時間僅由授權(quán)管理員設定。

6.2.2.1.5鑒別數(shù)據(jù)保護

產(chǎn)品應保證管理員、運維用戶和運維對象的管理賬戶等鑒別數(shù)據(jù)加密存儲，不被非授權(quán)查閱或修改。

采取的加密算法應符合國家密碼管理主管部門的要求。

6.2.2.2安全管理

6.2.2.2.1安全功能管理

產(chǎn)品應允許授權(quán)管理員對產(chǎn)品進行以下管理：

a)查閱和修改安全屬性；

b)制定和修改各種安全策略。

6.2.2.2.2管理員角色管理

產(chǎn)品應對管理員角色進行區(qū)分：

a)具有至少三種不同權(quán)限的管理員角色，例如操作員、安全員、審計員等；

b)根據(jù)不同的功能模塊，自定義各種不同權(quán)限角色，并可對管理員分配角色。

12

GB/TXXXXX—XXXX

6.2.2.2.3遠程管理安全

若產(chǎn)品提供遠程管理功能，應保障遠程管理安全：

a)采取措施保障遠程管理數(shù)據(jù)的傳輸保密性；

b)支持對可遠程管理的主機地址進行限制；

c)若產(chǎn)品形態(tài)為硬件，支持以SNMP等標準協(xié)議方式對產(chǎn)品的CPU、內(nèi)存、存儲的資源使用情

況進行監(jiān)測；

d)支持獨立的管理接口，實現(xiàn)運維業(yè)務接口與管理接口的分離。

6.2.2.2.4配置備份與恢復

產(chǎn)品應支持配置文件的備份與恢復：

a)支持配置文件的本地備份與恢復，并支持備份文件的導入導出；

b)支持自定義備份周期，并支持對配置文件的完整性進行檢查。

6.2.2.2.5時鐘同步

產(chǎn)品應具備時鐘同步功能，保證產(chǎn)品系統(tǒng)時間與時鐘服務器的一致性。

6.2.2.2.6產(chǎn)品升級

產(chǎn)品應具備升級功能，并采取措施保證升級包的完整性、真實性，以及升級過程安全。

6.2.2.3審計日志

6.2.2.3.1審計日志生成

產(chǎn)品應對產(chǎn)品自身管理相關(guān)事件生成審計日志：

a)管理員/運維用戶的鑒別事件，包括成功和失敗，鑒別失敗處理；

b)安全策略的增加、刪除和修改操作；

c)用戶/角色的增加、刪除和屬性修改操作；

d)配置備份與恢復、安全升級等重要操作；

e)管理員的其他操作。

6.2.2.3.2審計日志內(nèi)容

審計日志內(nèi)容至少應包括事件發(fā)生的日期、時間、主體標識、事件描述和結(jié)果等。

6.2.2.3.3審計日志管理

產(chǎn)品應提供下列審計日志管理功能：

a)僅允許授權(quán)管理員訪問審計日志；

b)對審計日志的條件查詢功能，查詢條件至少包括日期時間范圍、主體標識、事件描述關(guān)鍵詞等。

6.2.2.3.4審計數(shù)據(jù)存儲

產(chǎn)品應提供以下功能對運維審計記錄、審計日志進行安全存儲:

a)存儲于掉電非易失性存儲介質(zhì)中，存儲時間不少于6個月；

b)支持以syslog等標準格式將審計數(shù)據(jù)外發(fā)到日志服務器；

c)當存儲空間達到閾值時，能通知授權(quán)管理員；

d)當存儲空間達到閾值時，采取相應的防止審計日志丟失的技術(shù)措施；

13

GB/TXXXXX—XXXX

e)支持對審計數(shù)據(jù)進行備份；

f)提供審計數(shù)據(jù)完整性保護措施。

6.2.3安全保障要求

6.2.3.1開發(fā)

6.2.3.1.1安全架構(gòu)

開發(fā)者應提供產(chǎn)品安全功能的安全架構(gòu)描述，安全架構(gòu)描述應滿足以下要求：

a)與產(chǎn)品設計文檔中對安全功能實施抽象描述的級別一致；

b)描述與安全功能要求一致的產(chǎn)品安全功能的安全域；

c)描述產(chǎn)品安全功能初始化過程為何是安全的；

d)證實產(chǎn)品安全功能能夠防止被破壞；

e)證實產(chǎn)品安全功能能夠防止安全特性被旁路。

6.2.3.1.2功能規(guī)范

開發(fā)者應提供完備的功能規(guī)范說明，功能規(guī)范說明應滿足以下要求：

a)完全描述產(chǎn)品的安全功能；

b)描述所有安全功能接口的目的與使用方法；

c)標識和描述每個安全功能接口相關(guān)的所有參數(shù)；

d)描述安全功能接口相關(guān)的安全功能實施行為；

e)描述由安全功能實施行為處理而引起的直接錯誤消息；

f)證實安全功能要求到安全功能接口的追溯；

g)描述安全功能實施過程中，與安全功能接口相關(guān)的所有行為；

h)描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。

6.2.3.1.3實現(xiàn)表示

開發(fā)者應提供全部安全功能的實現(xiàn)表示，實現(xiàn)表示應滿足以下要求：

a)提供產(chǎn)品設計描述與實現(xiàn)表示實例之間的映射，并證明其一致性；

b)按詳細級別定義產(chǎn)品安全功能，詳細程度達到無須進一步設計就能生成安全功能的程度；

c)以開發(fā)人員使用的形式提供。

6.2.3.1.4產(chǎn)品設計

開發(fā)者應提供產(chǎn)品設計文檔，產(chǎn)品設計文檔應滿足以下要求：

a)根據(jù)子系統(tǒng)描述產(chǎn)品結(jié)構(gòu)；

b)標識和描述產(chǎn)品安全功能的所有子系統(tǒng)；

c)描述安全功能所有子系統(tǒng)間的相互作用；

d)提供的映射關(guān)系能夠證實設計中描述的所有行為能夠映射到調(diào)用它的安全功能接口；

e)根據(jù)模塊描述安全功能；

f)提供安全功能子系統(tǒng)到模塊間的映射關(guān)系；

g)描述所有安全功能實現(xiàn)模塊，包括其目的及與其它模塊間的相互作用；

h)描述所有實現(xiàn)模塊的安全功能要求相關(guān)接口、其它接口的返回值、與其它模塊間的相互作用及

調(diào)用的接口；

i)描述所有安全功能的支撐或相關(guān)模塊，包括其目的及與其它模塊間的相互作用。

14

GB/TXXXXX—XXXX

6.2.3.2指導性文檔

6.2.3.2.1操作用戶指南

開發(fā)者應提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一

致，對每一種用戶角色的描述應滿足以下要求：

a)描述在安全處理環(huán)境中被控制的用戶可訪問的功能和特權(quán)，包含適當?shù)木拘畔ⅲ?/p>

b)描述如何以安全的方式使用產(chǎn)品提供的可用接口；

c)描述可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當時指明安全值；

d)明確說明與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變安全功能所控制

實體的安全特性；

e)標識產(chǎn)品運行的所有可能狀態(tài)（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全

運行之間的因果關(guān)系和聯(lián)系；

f)充分實現(xiàn)安全目的所必須執(zhí)行的安全策略。

6.2.3.2.2準備程序

開發(fā)者應提供產(chǎn)品及其準備程序，準備程序描述應滿足以下要求：

a)描述與開發(fā)者交付程序相一致的安全接收所交付產(chǎn)品必需的所有步驟；

b)描述安全安裝產(chǎn)品及其運行環(huán)境必需的所有步驟。

6.2.3.3生命周期支持

6.2.3.3.1配置管理能力

開發(fā)者的配置管理能力應滿足以下要求：

a)為產(chǎn)品的不同版本提供唯一的標識；

b)使用配置管理系統(tǒng)對組成產(chǎn)品的所有配置項進行維護，并唯一標識配置項；

c)提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法；

d)配置管理系統(tǒng)提供一種自動方式來支持產(chǎn)品的生成，通過該方式確保只能對產(chǎn)品的實現(xiàn)表示進

行已授權(quán)的改變；

e)配置管理文檔包括一個配置管理計劃，配置管理計劃描述如何使用配置管理系統(tǒng)開發(fā)產(chǎn)品。實

施的配置管理與配置管理計劃相一致；

f)配置管理計劃描述用來接受修改過的或新建的作為產(chǎn)品組成部分的配置項的程序。

6.2.3.3.2配置管理范圍

開發(fā)者應提供產(chǎn)品配置項列表，并說明配置項的開發(fā)者。配置項列表應包含以下內(nèi)容：

a)產(chǎn)品、安全保障要求的評估證據(jù)和產(chǎn)品的組成部分；

b)實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。

6.2.3.3.3交付程序

開發(fā)者應使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化。在給用戶方交付產(chǎn)品的各版本時，

交付文檔應描述為維護安全所必需的所有程序。

6.2.3.3.4開發(fā)安全

開發(fā)者應提供開發(fā)安全文檔。開發(fā)安全文檔應描述在產(chǎn)品的開發(fā)環(huán)境中，為保護產(chǎn)品設計和實現(xiàn)

15

GB/TXXXXX—XXXX

的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。

6.2.3.3.5生命周期定義

開發(fā)者應建立一個生命周期模型對產(chǎn)品的開發(fā)和維護進行的必要控制，并提供生命周期定義文檔

描述用于開發(fā)和維護產(chǎn)品的模型。

6.2.3.3.6工具和技術(shù)

開發(fā)者應明確定義用于開發(fā)產(chǎn)品的工具，并提供開發(fā)工具文檔無歧義地定義實現(xiàn)中每個語句的含

義和所有依賴于實現(xiàn)的選項的含義。

6.2.3.4測試

6.2.3.4.1測試覆蓋

開發(fā)者應提供測試覆蓋文檔，測試覆蓋描述應滿足以下要求：

a)表明測試文檔中所標識的測試與功能規(guī)范中所描述的產(chǎn)品的安全功能間的對應性；

b)表明上述對應性是完備的，并證實功能規(guī)范中的所有安全功能接口都進行了測試。

6.2.3.4.2測試深度

開發(fā)者應提供測試深度的分析。測試深度分析描述應滿足以下要求：

a)證實測試文檔中的測試與產(chǎn)品設計中的安全功能子系統(tǒng)和實現(xiàn)模塊之間的一致性；

b)證實產(chǎn)品設計中的所有安全功能子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進行過測試。

6.2.3.4.3功能測試

開發(fā)者應測試產(chǎn)品安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應包括以下內(nèi)容：

a)測試計劃，標識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其它測試結(jié)果

的任何順序依賴性；

b)預期的測試結(jié)果，表明測試成功后的預期輸出；

c)實際測試結(jié)果和預期的一致性。

6.2.3.4.4獨立測試

開發(fā)者應提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。

6.2.3.5脆弱性評定

基于已標識的潛在脆弱性，產(chǎn)品能夠抵抗具有增強型攻擊潛力的攻擊者的攻擊。

7測試評價方法

7.1總體說明

測評方法與安全技術(shù)要求一一對應，它給出的具體測評方法來驗證安全運維系統(tǒng)是否達到安全技術(shù)

要求中所提出的要求，它主要由測試方法、預期結(jié)果和結(jié)果判定構(gòu)成。

7.2基本級測試評價方法

7.2.1安全功能測評

16

GB/TXXXXX—XXXX

7.2.1.1運維用戶管理

運維用戶管理的測試評價方法與預期結(jié)果如下：

a)測試方法：

1)嘗試增加、刪除運維用戶賬戶；

2)檢查新增運維用戶賬號時，檢查其安全屬性項目情況；

3)檢查產(chǎn)品是否支持本地用戶賬戶分組管理。

b)預期結(jié)果：

1)能夠增加、刪除運維用戶賬戶；

2)運維用戶安全屬性至少包括：賬戶、用戶姓名、聯(lián)系電話、口令；

3)支持本地用戶賬戶分組管理。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.2運維對象管理

運維對象管理的測試評價方法與預期結(jié)果如下：

a)測試方法：

1)嘗試增加、刪除、修改運維對象；

2)檢查新增運維對象時，檢查其安全屬性項目情況；

3)檢查產(chǎn)品是否支持運維對象管理。

b)預期結(jié)果：

1)能夠增加、刪除、修改運維對象；

2)運維對象安全屬性至少包括：資產(chǎn)類別、IP地址、運維服務協(xié)議、運維對象賬戶及口令；

3)支持運維對象分類管理，如Windows主機、Linux主機、網(wǎng)絡設備等。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.3運維服務協(xié)議支持

運維服務協(xié)議支持的測試評價方法與預期結(jié)果如下：

a)測試方法：

1)增加運維對象資產(chǎn)，如Linux操作系統(tǒng)，開放TELNET、SSH、VNC運維協(xié)議；

2)增加Windows操作系統(tǒng)運維對象資產(chǎn)，開放遠程桌面運維服務；

3)配置對應的允許運維用戶的訪問控制策略；

4)嘗試通過該產(chǎn)品采用TELNET、SSH、VNC對Linux操作系統(tǒng)進行網(wǎng)絡運維；

5)嘗試通過RDP協(xié)議對Windows操作系統(tǒng)進行網(wǎng)絡運維。

b)預期結(jié)果：

1)能夠增加、刪除、修改運維對象；

2)運維用戶能夠通過該產(chǎn)品采用TELNET、SSH、VNC對Linux操作系統(tǒng)進行網(wǎng)絡運維；

3)運維用戶能夠通過RDP協(xié)議對Windows操作系統(tǒng)進行網(wǎng)絡運維。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.4運維訪問控制

17

GB/TXXXXX—XXXX

7.2.1.4.1用戶登錄策略

用戶登錄策略的測試評價方法與預期結(jié)果如下：

a)測試方法：

1)產(chǎn)品以旁路方式部署，通過配置訪問控制策略，檢查產(chǎn)品是否為運維用戶提供統(tǒng)一的身份

認證接口；

2)檢查運維用戶經(jīng)過產(chǎn)品的身份鑒別后，是否可訪問授權(quán)范圍內(nèi)的資產(chǎn)，如網(wǎng)絡設備、安全

產(chǎn)品、服務器、數(shù)據(jù)庫、應用系統(tǒng)等。

b)預期結(jié)果：

1)產(chǎn)品為運維用戶提供統(tǒng)一的身份認證接口；

2)通過產(chǎn)品身份鑒別后，運維用戶可訪問授權(quán)范圍內(nèi)的資產(chǎn)。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.4.2訪問控制策略

訪問控制策略的測試評價方法與預期結(jié)果如下：

a)測試方法：

1)授權(quán)管理員根據(jù)主體（運維用戶、源地址等）、客體（運維對象及其賬戶等）、運維方式

（SSH、TELNET、RDP、VNC等）、操作命令等設置訪問控制策略；

2)以主體身份訪問被授權(quán)的客體資源，檢查訪問控制策略是否正常生效。

b)預期結(jié)果：

1)可根據(jù)主體、客體、運維方式等配置訪問控制策略；

2)訪問控制策略生效。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.4.3違規(guī)操作阻斷

違規(guī)操作阻斷的測試方法與預期結(jié)果如下：

a)測試方法：

1)以授權(quán)管理員身份登錄產(chǎn)品，配置訪問控制策略，并對違規(guī)操作設置告警策略；

2)運維用戶執(zhí)行違規(guī)操作，檢查是否自動阻斷違規(guī)操作。

b)預期結(jié)果：

1)授權(quán)管理員可以設置違規(guī)操作告警策略；

2)運維用戶執(zhí)行違規(guī)操作，可自動阻斷違規(guī)操作。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.5告警

7.2.1.5.1告警內(nèi)容

告警內(nèi)容的測試方法與預期結(jié)果如下：

a)測試方法：

1)以授權(quán)管理員身份登錄產(chǎn)品，配置訪問控制策略，并對違規(guī)操作設置告警策略；

18

GB/TXXXXX—XXXX

2)運維用戶執(zhí)行違規(guī)操作，檢查是否記錄告警信息，并且告警信息至少包括操作時間、運維

用戶、源地址、運維對象、運維方式、事件描述、觸發(fā)的策略等。

b)預期結(jié)果：

1)產(chǎn)品支持依據(jù)告警策略對運維用戶的違規(guī)操作進行告警；

2)告警信息至少包含操作時間、運維用戶、源地址、運維對象、運維方式、事件描述、觸發(fā)

的策略等。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.5.2告警方式

告警方式的測試方法與預期結(jié)果如下：

a)測試方法：

1)分別配置屏幕告警、短信或郵件告警；

2)配置告警策略，并執(zhí)行相應運維操作，觸發(fā)告警策略。

b)預期結(jié)果：

1)產(chǎn)品支持屏幕告警、短信或郵件告警；

2)觸發(fā)告警操作時，能夠及時以對應的方式進行告警。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.6遠程訪問加密

遠程訪問加密的測試方法與預期結(jié)果如下：

a)測試方法：

1)若產(chǎn)品采用網(wǎng)絡遠程方式管理，利用網(wǎng)絡抓包工具，截獲產(chǎn)品網(wǎng)絡管理數(shù)據(jù)，檢查管理數(shù)

據(jù)是否非明文傳輸；

2)使用產(chǎn)品進行網(wǎng)絡運維操作，利用網(wǎng)絡抓包工具，截獲運維操作數(shù)據(jù)，檢查是否加密傳輸。

b)預期結(jié)果：

1)管理數(shù)據(jù)非明文傳輸；

2)網(wǎng)絡運維操作數(shù)據(jù)，采取的加密算法符合國家密碼管理主管部門的要求。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.7運維審計

7.2.1.7.1運維審計記錄

運維審計記錄的測試方法與預期結(jié)果如下：

a)測試方法：

1)授權(quán)管理員根據(jù)主體、客體、運維方式等設置訪問控制策略；

2)運維用戶依據(jù)訪問控制策略訪問受保護的客體資源，并執(zhí)行運維管理操作；

3)以授權(quán)管理員身份登錄產(chǎn)品，查閱審計記錄，檢查審計記錄是否包括操作時間、運維用戶、

源地址、運維對象、運維方式、操作內(nèi)容、操作結(jié)果等信息。

b)預期結(jié)果：

1)支持對運維用戶的操作進行審計；

19

GB/TXXXXX—XXXX

2)審計記錄包括：操作日期和時間、運維用戶、源地址、運維對象、運維方式、操作內(nèi)容、

操作結(jié)果等信息。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.7.2運維審計查閱

運維審計查閱的測試方法與預期結(jié)果如下：

a)測試方法：

1)運維用戶依據(jù)訪問控制策略訪問受保護的客體資源，并執(zhí)行運維管理操作，產(chǎn)生各種審計

記錄；

2)檢查是否存在非授權(quán)查閱審計記錄的路徑；并以授權(quán)管理員身份登錄產(chǎn)品，查閱審計記錄，

檢查是否支持根據(jù)操作日期和時間、運維用戶、源地址、運維對象、運維賬戶等條件查詢

審計記錄；

3)檢查審計記錄是否支持導出操作，導出格式為通用格式。

b)預期結(jié)果：

1)僅授權(quán)用戶可以查看審計記錄；

2)審計記錄可按操作日期和時間、運維用戶、源地址、運維對象、運維賬戶、操作命令等進

行查詢；

3)支持審計記錄導出功能。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.7.3審計報表

審計報表的測試方法與預期結(jié)果如下：

a)測試方法：

1)運維用戶依據(jù)訪問控制策略訪問受保護的客體資源，并執(zhí)行運維管理操作，產(chǎn)生各種審計

記錄；

2)以授權(quán)管理員身份登錄產(chǎn)品，檢查是否提供自定義審計記錄報表功能；

3)生成審計記錄報表，檢查是否支持報表導出，并記錄導出格式。

b)預期結(jié)果：

1)支持自定義報表內(nèi)容；

2)支持DOC、PDF、XLS、WPS、UOF中的一種或者多種格式生成審計記錄報表。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.8運維會話管理

7.2.1.8.1會話回放

會話回放的測試方法與預期結(jié)果如下：

a)測試方法：

1)運維用戶依據(jù)訪問控制策略訪問受保護的客體資源，并執(zhí)行運維管理操作；

2)以授權(quán)管理員身份登錄產(chǎn)品，檢查是否提供對訪問運維對象會話過程的回放功能和按操作

命令或時間進行定位回放的功能。

20

GB/TXXXXX—XXXX

b)預期結(jié)果：

1)支持會話回放功能；

2)僅允許授權(quán)管理員進行回放操作；

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.9高可用性

高可用性的測試方法與預期結(jié)果如下：

a)測試方法：

在產(chǎn)品因CPU、內(nèi)存等資源消耗過高或者斷電、網(wǎng)絡中斷時，檢查是否支持通過冗余方式保證

產(chǎn)品的高可用性。

b)預期結(jié)果：

在產(chǎn)品因CPU、內(nèi)存等資源消耗過高或者斷電、網(wǎng)絡中斷時，支持通過冗余方式保證產(chǎn)品的高

可用性。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.10設備虛擬化（可選）

7.2.1.10.1虛擬系統(tǒng)

虛擬系統(tǒng)的測評方法如下：

a)測評方法：

1)在產(chǎn)品設置多個子系統(tǒng)，并為各子系統(tǒng)分別設置管理員，驗證管理員是否僅能對各自所屬

的子系統(tǒng)進行管理，不能對其他的子系統(tǒng)進行管理；

2)為各子系統(tǒng)設置安全策略、生成日志，驗證各子系統(tǒng)是否獨立維護各自安全策略、日志系

統(tǒng)；

3)為各子系統(tǒng)設置資源使用配額，驗證子系統(tǒng)是否不能使用超過配額的資源；

4)嘗試進行子系統(tǒng)之間的相互訪問。

b)預期結(jié)果：

1)虛擬子系統(tǒng)能設置各自的管理員，實現(xiàn)針對本子系統(tǒng)的管理配置，不能配置管理其他子系

統(tǒng)；

2)虛擬子系統(tǒng)獨立工作，各自維護安全策略、日志系統(tǒng)；

3)能對虛擬子系統(tǒng)分配資源使用配額；

4)能對虛擬子系統(tǒng)之間的相互訪問進行限制。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.10.2虛擬化部署

虛擬化部署的測評方法如下：

a)測評方法：

1)分別嘗試在虛擬化平臺部署產(chǎn)品；

2)增加網(wǎng)絡流量、網(wǎng)絡連接數(shù)等負載，驗證虛擬化平臺是否能根據(jù)產(chǎn)品負載情況動態(tài)調(diào)整虛

擬化產(chǎn)品數(shù)量；

21

GB/TXXXXX—XXXX

3)模擬虛擬化產(chǎn)品發(fā)生故障，驗證其是否能自動更新、替換。

b)預期結(jié)果：

1)支持部署于虛擬化平臺中，支持VMwareESXi、KVM、CitrixXenServer、Docker或Hyper-V

等虛擬化平臺中的一種；

2)能在虛擬化平臺上實現(xiàn)彈性伸縮，根據(jù)虛擬化產(chǎn)品的負載情況動態(tài)調(diào)整虛擬化產(chǎn)品數(shù)量；

3)能實現(xiàn)故障遷移，當虛擬化產(chǎn)品出現(xiàn)故障時實現(xiàn)自動更新、替換。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.1.11IPv6支持（可選）

支持純IPv6網(wǎng)絡環(huán)境的測評方法如下：

a)測評方法：

1)模擬IPv6網(wǎng)絡環(huán)境，驗證產(chǎn)品及其安全功能是否能在IPv6網(wǎng)絡環(huán)境下正常工作；

2)模擬IPv6網(wǎng)絡環(huán)境，驗證產(chǎn)品是否支持在IPv6網(wǎng)絡環(huán)境下實現(xiàn)自身管理；

3)檢測產(chǎn)品是否支持IPv4、IPv6雙棧方式工作。

b)預期結(jié)果：

1)產(chǎn)品支持在純IPv6網(wǎng)絡環(huán)境下正常工作；

2)產(chǎn)品支持在IPv6網(wǎng)絡環(huán)境下實現(xiàn)自身管理；

3)產(chǎn)品能夠支持IPv4、IPv6雙棧方式工作。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.2自身安全測評

7.2.2.1標識與鑒別

7.2.2.1.1身份標識

身份標識的測試方法與預期結(jié)果如下：

a)測試方法：

1)以授權(quán)管理員身份登錄產(chǎn)品，嘗試新增相同身份標識的管理員，檢查是否執(zhí)行成功；

2)以授權(quán)管理員身份登錄產(chǎn)品，嘗試新增相同身份標識的運維用戶，檢查是否執(zhí)行成功；

3)檢查審計日志信息，相關(guān)審計事件是否具有管理員和運維用戶標識。

b)預期結(jié)果：

1)無法新增相同身份標識的管理員；

2)無法新增相同身份標識的運維用戶；

3)相關(guān)審計事件具有管理員和運維用戶的身份標識。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.2基本鑒別

基本鑒別的測試方法與預期結(jié)果如下：

a)測試方法：

1)檢查產(chǎn)品在執(zhí)行任何與安全功能相關(guān)操作之前，是否鑒別管理員/運維用戶的身份；

22

GB/TXXXXX—XXXX

2)若采用靜態(tài)口令方式鑒別，檢查產(chǎn)品是否提供口令復雜度檢查或要求，是否具有定期更換

周期檢查功能；

b)預期結(jié)果：

1)產(chǎn)品在執(zhí)行任何與安全功能相關(guān)操作之前，需鑒別管理員/運維用戶的身份；

2)若采用靜態(tài)口令，應支持強制口令復雜度要求和定期更換周期要求；

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.3鑒別失敗處理

基本鑒別的測試方法與預期結(jié)果如下：

a)測試方法：

1)管理員/運維用戶鑒別嘗試連續(xù)失敗達到設定的次數(shù)后，檢查產(chǎn)品是否阻止管理員/運維用

戶進一步的鑒別請求，如：鎖定IP或者賬戶一段時間等；

2)以授權(quán)管理員登錄產(chǎn)品，檢查是否支持設置鑒別失敗嘗試。

b)預期結(jié)果：

1)對管理員/運維用戶鑒別嘗試連續(xù)失敗達到設定的次數(shù)后，產(chǎn)品應阻止管理員/運維用戶進

一步的鑒別請求；

2)僅授權(quán)管理員可設置鑒別失敗嘗試。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.4超時鎖定或注銷

超時鎖定或注銷的測試方法與預期結(jié)果如下：

a)測試方法：

1)檢查產(chǎn)品是否具備登錄連接超時鎖定或注銷功能，并在設定的時間段內(nèi)沒有任何操作的情

況下，檢查產(chǎn)品是否終止會話，需要再次進行身份鑒別才能夠重新操作；

2)以授權(quán)管理員身份登錄產(chǎn)品，嘗試設置最大超時時間，檢查是否執(zhí)行成功。

b)預期結(jié)果：

1)產(chǎn)品具備登錄連接超時鎖定或注銷功能；

2)超時鎖定后需要再次進行身份鑒別才能夠重新操作；

3)最大超時時間僅由授權(quán)管理員設定。

c)結(jié)果判定：

實際測評結(jié)果與相關(guān)預期結(jié)果一致則判定為符合，其他情況判定為不符合。

7.2.2.1.5鑒別數(shù)據(jù)保護

鑒別數(shù)據(jù)保護的測試方法與預期結(jié)果如下：

a)