ICS 35.240 A90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXX—XXXX 代替GA/T 910 -2010 信息安全技术 内网主机监测产品安全技术 要求 Information security technology Security technical requirements for intranet -host monitoring products （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国公安部 发布 GA/T XXXX —XXXX I 目 次 前言 ................................ ................................ ................ II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 安全功能要求 ................................ ................................ ....... 1 4.1 安全监测功能 ................................ ................................ ... 1 4.2 安全控制功能 ................................ ................................ ... 3 4.3 组件安全 ................................ ................................ ....... 4 4.4 受控主机管理 ................................ ................................ ... 4 4.5 安全管理 ................................ ................................ ....... 5 4.6 审计功能 ................................ ................................ ....... 6 5 安全保障要求 ................................ ................................ ....... 6 5.1 开发 ................................ ................................ ........... 6 5.2 指导性文档 ................................ ................................ ..... 7 5.3 生命周期支持 ................................ ................................ ... 8 5.4 测试 ................................ ................................ ........... 8 5.5 脆弱性评定 ................................ ................................ ..... 9 6 等级划分要求 ................................ ................................ ....... 9 6.1 划分概述 ................................ ................................ ....... 9 6.2 安全功能要求等级划分 ................................ ........................... 9 6.3 安全保障要求等级划分 ................................ .......................... 10 GA/T XXXX—XXXX II 前 言 本标准按照 GB/T 1.1 -2009给出的规则起草。 本标准代替 GA/T 910 -2010 《信息安全技术 内网主机监测产品安全技术要求》， 与GA/T 910 -2010 相比主要技术变化如下： ——修改了等级划分要求，将等级划分为基本级和增强级两级 （见第6章，2010年版的第7章）； ——修改了安全功能 要求，将监测功能和控制功能分开 （见4.1、4.2，2010年版的第4章）； ——修改了安全保障要求 （见第5章，2010年版的第5章）； ——增加了打印监测 （见4.1.7）； ——增加了主机安全策略监测和加固 （见4.1.11、4.2.7）； ——增加了受控主机管理要求 （见4.4）。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心。 本标准主要起草人：邹春明、田原、刘瑞、俞优、 陆臻、沈亮。 本标准的历次版本发布情 况为： ——GA/T 910 -2010。 GA/T XXXX —XXXX 1 信息安全技术 内网主机监测产品安全技术要求 1 范围 本标准规定了内网主机监测产品的安全功能要求、安全保障要求和等级划分要求。 本标准适用于内网主机监测产品的设计、开发及检测。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件 。 GB/T 18336.3 -2015 信息技术 安全技术 信息技术安全评估准则 第3部分：安全保障 组件 GB/T 25069-2010 信息安全技术 术语 3 术语和定义 GB/T 18336.3 -2015和GB/T 25069-2010界定的以及下列术语和定义适用于本 文件。 3.1 受控主机 controlled host 接受监控的内网主机。 3.2 内网主机监测产品 intranet -host monitoring product 对受控主机上的各项活动进行监测和 /或控制的产品。 3.3 非授权外联 non-authorized internet connection 内网主机未授权访问外部网络的行为。 3.4 外围接口 external inte rface 计算机与外界进行数据交互的各种接口。 4 安全功能要求 4.1 安全监测功能 4.1.1 在线状态监测 GA/T XXXX—XXXX 2 产品应能对内网主机的以下状态进行监测： a） 受控主机的在线状态、代理运行状态； b） 设定 IP地址范围内在线主机的代理安装情况。 4.1.2 系统资源监测 产品能对受控主机的以下资源进行监测： a） 硬件配置情况，如 CPU（型号和主频） 、硬盘（型号和容量） 、网络适配器、主板、声卡、显卡 等； b） 操作系统基本情况：操作系统类型版本、磁盘分区、共享文件及目录等； c） 系统资源的使用情况，如 CPU、内存、硬盘、网络流量等； d） 当CPU、内存、网络流量、磁盘已用 空间等超过阈值时，应采取适当方式进行报警。 4.1.3 软件情况监测 产品能对受控主机的软件安装、使用情况进行监测： a） 应用软件安装情况； b） 系统补丁安装情况； c） 软件安装、卸载情况，并对监测结果进行记录，记录内容至少包括时间、动作（安装或卸载） 、 软件名称及版本； d） 软件使用情况，如最近使用时间、使用频率等； e） 当受控主机未安装杀毒软件或病毒库长时间未更新时，应采取适当方式进行报警。 4.1.4 进程监测 产品能对受控主机的进程进行监控： a） 监测系统的可见进程（任务管理器中可见） ； b） 监测系统的隐藏进程； c） 当设定进程的状态违反安全策略时，应采取 适当方式进行报警。 4.1.5 系统服务监测 产品能对受控主机的系统服务进行监控： a） 监测系统服务的状态（启动、停止、启动方式等） ； b） 当设定系统服务的状态违反安全策略时，应采取适当方式进行报警。 4.1.6 网络端口监测