ICS35.030 GB CCS L 80 中华人民共和国国家标准 GB/T20945—2023 代替GB/T20945—2013 信息安全技术 网络安全审计产品技术规范 Information security technology- Technical specification for network security audit products 2023-12-01实施 2023-05-23发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 20945—2023 目 次 前言 II 范围 1 规范性引用文件 2 3 术语和定义 缩略语 5 概述 技术要求 6 6.1 安全功能要求 6.2 自身安全保护要求 6.3 环境适应性要求 6.4 性能要求 10 6.5 安全保障要求 10 测评方法 7 13 7.1 测试环境 13 7.2 安全功能测试 13 7.3 自身安全保护测试 22 7.4 环境适应性测试 26 7.5 性能测试 7.6安全保障测评 28 8等级划分· 34 附录A（资料性） 审计产品部署方式 附录B（规范性）审计产品基本级和增强级技术要求和测评方法最小集合 37 参考文献 GB/T20945—2023 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替GB/T20945—2013《信息安全技术 信息系统安全审计产品技术要求和测试评价方 法》，与GB/T20945一2013相比，除结构调整和编辑性改动外，主要技术变化如下： 3.4、3.6、3.7、3.8、3.9,2013年版的3.1、3.2、3.4、3.5、3.6、3.7)； 更改了概述（见第5章，2013年版的第5章）； —一更改了“审计内容”（见6.1.2,2013年版的6.1.1.2.1、6.2.1.2.1)； 删除了“扩展分析接口”（见2013年版的6.2.1.2.2.5）； 一增加了“自定义事件”（见6.1.6.4）； 一增加了“产品升级”（见6.1.6.5）； 更改了“身份标识与鉴别”（见6.2.1,2013年版的6.1.2.1、6.2.2.1)； —一增加了“用户信息安全”（见6.2.5）； 一增加了“支撑系统安全”（见6.2.9）； -增加了“环境适应性要求”（见6.3)； 增加了“性能要求”（见6.4）； -增加了规范性附录“审计产品基本级和增强级技术要求和测评方法最小集合”（见附录B)。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：公安部第三研究所、北京神州绿盟科技有限公司、北京天融信网络安全技术有限 公司、奇安信网神信息技术（北京）股份有限公司、启明星辰信息技术集团股份有限公司、西安交大捷普 网络科技有限公司、中国科学院信息工程研究所、杭州美创科技有限公司、深信服科技股份有限公司、上 海市信息安全测评认证中心、蓝盾信息安全技术股份有限公司、华信咨询设计研究院有限公司、长春吉 大正元信息技术股份有限公司、中国网络安全审查技术与认证中心、公安部第一研究所、中国电力科学 研究院有限公司、北京山石网科信息技术有限公司、北京市政务信息安全保障中心（北京信息安全测评 中心）、北京百度网讯科技有限公司、长扬科技（北京）股份有限公司、远江盛邦（北京）网络安全科技股份 有限公司。 本文件主要起草人：王志佳、沈亮、陆臻、宋好好、顾健、俞优、胡维娜、邓琦、肖颖、白霜、刘岩、张伟锋、 何建锋、安高峰、韩冬旭、周杰、叶润国、徐佟海、孙小平、刘强、邹毅、申永波、赵华、杨骋昊、姚盛颖、周兆栋、 贾玲、李俊佐、董平。 本文件及其所代替文件的历次版本发布情况为： 一本次为第二次修订。 II GB/T20945—2023 信息安全技术 网络安全审计产品技术规范 1范围 本文件规定了网络安全审计产品的技术要求并描述了测评方法。 本文件适用于网络安全审计产品的设计、开发、测试和评价。 2规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T18336.1—2015 信息技术 安全技术 信息技术安全评估准则 」第1部分：简介和一般 模型 GB/T18336.3—2015信息技术安全技术1 信息技术安全评估准则第3部分：安全保障组件 GB/T25069—20221 信息安全技术术语 GB/T35273—2020 信息安全技术个人信息安全规范 3术语和定义 GB/T18336.1—2015、GB/T18336.3—2015和GB/T25069—2022界定的以及下列术语和定义适 用于本文件。 3.1 network security 网络安全 对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保持。 ［来源：GB/T25069—2022,3.616] 3.2 异常abnormal 从文档、操作或监测观察到偏离以前验证过的条件、状态或行为。 注：通常异常涉及的主体可能是人、设备、应用程序、服务/进程、数据等，因识别到的异常指向的主体不同，又分为 用户行为异常、设备运行异常、程序执行异常、服务运行异常、数据异常等多种。 ［来源：GB/T32422—2015，3.1，有修改］ 3.3 事件 incident 试图改变目标状态，并造成或可能造成异常或损害行为的发生。 ［来源：GB/T25069—2022，3.552，有修改］ 3.4 安全审计 security audit 对网络、信息系统及其组件的记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对 1 GB/T20945—2023 于既定安全策略和运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。 ［来源：GB/T25069—2022，3.24，有修改 3.5 网络安全审计产品networksecurityauditproduct 采集网络、信息系统及其组件的记录与活动数据，并对这些数据进行存储和分析，以实现事件追溯、 发现安全违规或异常的产品。 注：网络安全审计产品是一类产品，根据审计目标和内容的不同，可分为主机审计产品、网络审计产品、数据库审计 产品、应用审计产品和综合审计产品。 3.6 审计记录auditrecordation 审计产品采集审计目标的记录与活动数据所生成的信息。 3.7 产品日志productlog 审计产品记录自身的操作和安全事件所生成的信息。 3.8 审计中心auditcenter 审计产品中集中存储、分析、处理审计数据的功能部件。 3.9 审计探针auditprobe 审计产品中通过感知、监测等方式采集审计数据的功能部件。 3.10 用户信息userinformation 个人、法人或其他组织在安装、使用网络安全审计产品过程中收集、存储、传输、处理和产生的电子 方式记录的信息。 注：用户信息包括鉴别信息、网络流量信息、安全状态信息、安全配置数据、生成的审计记录等信息，也包括个人 信息。 ［来源：GB/T25069—2022，3.737，有修改］ 3.11 个人信息personalinformation 以电子或者其他方式记录的能够单独或者与其他信息结合来识别特定自然人身份或者反映其活动 情况的各种信息。 注1：个人信息包括姓名、出生日期、公民身份证号码、个人生物特征信息、住址、联系方式、通信记录和内容、账号 密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 注2：个人信息控制者通过个人信息或其他加工处理后形成的信息，例如，用户画像特征标签，能够单独或者与其 他信息结合识别特定自然人身份或者反映特定自然人活动情况的，也属于个人信息。 ［来源:GB/T25069—2022,3.196] 3.12 网络安全漏洞cybersecurityvulnerability 网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中，无意或有意产生的、有可 能被利用的缺陷或薄弱点。 ［来源：GB/T28458—2020,3.1] 3.13 攻击潜力attackpotential 当攻击发起时感知到的，以攻击者的专业水平、资源和动机来体现成功攻击的潜力。 GB/T20945—2023 ［来源：GB/T25069—2022,3.219] 4缩略语 下列缩略语适用于本文件。 DNS：域名系统（domainnamesystem) FTP：文件传输协议（filetransferprotocol) HTTP：超文本传输协议（hypertexttransferprotocol) IMAP：交互邮件访问协议(internetmailaccessprotocol) IP：互联网协议(internetprotocol) IPv6：互联网协议第6版（internetprotocolversion6) MAC：介质访问控制（mediaaccesscontrol) NETBIOS：网上基本输人输出系统（networkbasicinput/outputsystem） NTP：网络时间协议（networktimeprotocol) POP3：邮局协议第三版（postofficeprotocol3） SMTP：简单邮件传输协议（simplemailtransferprotocol) SNMP：简单网络管理协议（simplenetworkmanagementprotocol) SYSLOG：系统日志（systemlog) TE