6.2.4服务信息还原扩展要求

6.2.5网络攻击识别

IPv6网络审计产品应能够识别网络攻击事件，至少包括以下一种： a）DoS攻击； b) 口令暴力猜测攻击； c) 端口扫描攻击； d）其他网络攻击。 还原内容应包括：日期、事件、源IP地址、目的IP地址、源端口、目的端口、攻击类型

土地标准6. 2. 6 基于应用类型还原

IPv6网络审计产品应能够根据应用类型特征还原非标准端口事件或动态端口网络通信

6. 3. 1事件统计

IPv6网络审计产品应能够对网络事件进行统计，应至少包括以下一种： a）网络通信事件总数； b）一种或多种特定类型网络通信事件数量统计； c其他事件统计

6. 3. 2流量统评

审计产品应能够对网络流量进行统计，应至少包

6.4审计记录分析处理

6.4.1.1关联分析

GA/T XXXXXXXX

IPv6网络审计产品应能够对相互关联的事件进行关联及分析，至少支持以下一种： a）基本信息关联，包括基于时间、事件、源IP地址、源端口地址、目的IP地址、服务类型、 协议等米集信息： b）统计关联，利用数据发掘算法等方法统计不同网络事件间的进行关联分析

6.4.1.2异常分析

1Pv6网络审计产品应能提供异常分析功能，异常事件发生时能触发警告，其功能包括以下： a） 能够预定义异常事件，能够对某个时间段内发生的次数或频域达到某个阈值或某种流量达到阈 值时触发报警； b） 能够基于关联分析功能的结果定义异常行为，对系统的异常行为触发报警； c）其他异常情况

6. 4. 1. 3 分类分级

IPv6网络审计产品应能够提供事件分类分级功能，用户能够根据策略划分不同的类别，同时用户能 够根据重要程度对审计事件进行分级，分类策略策略应包括至少以下一种： a) 根据审计目标； b) 根据时间范围： c) 根据审计事件类型； d) 根据网络流量； e 根据通信协议； f) 根据审计分析结果，包括关联分析或异常分析中的至少一项； g) 自定义。

6. 4. 2. 1响应告警

6.4.2.2处理措施

GA/I XXXXXXXX

IPv6网络审计产品应能对网络事件采取处理措施，保证网络及自身安全，措施应至少包括以下一种： a）支持设置策略，对网络事件进行阻断，策略应至少包括其中一项：事件级别、事件分析结果及 自定义； 支持调用授权管理员预定义操作或应用程序； c）与其他网络产品联动。

6.4. 2.3碎片包处理

6.4.3.1审计记录

息的审计结果生成审计记录。

IPv6网络审计产品应能够把采集信息及还原信息的审计结果生成审计记

6.4.3.2审计查阅

IPv6网络审计产品能够提供审计结果查阅功能，满足以下要求： a 仅授权用户能够访问审计结果； b) 应提供审计结果查阅工具； c) 应提供基于时间范围进行查询； 应提供基于应用类型进行查询； e) 应提供基于记录时间、源IP地址、源端口、目的IP地址、目的端口或协议类型等条件，对审计 记录进行查询和排序的工具； f) 应提供基于日期和时间、主体身份、事件类型、相关事件成功或失败等条件，对审计日志进行 查询和排序的工具。

6. 4. 3. 3 统计报表

IPv6网络审计产品能够生成统计报表，报表应包括以下功能： a) 应支持根据条件生成统计报表，生成条件应包括：关键字、模块功能、事件级别、自定义格式 等生成方式； b) 应支持文字、图像化信息两种描述方式： c 支持报表导出，至少支持HTML、PDF、WORD、EXCEL格式中的一种。

IPv6网络审计产品应提供对配置进行管理的图

6. 5. 2 开发接口

IPv6网络审计产品应至少提供一个标准的、开放的接口，能按照该接口的规范为其它信息安全 写相应的程序模块，以便共享信息或规范化联动

6.6.1.1唯一标识

网络审计产品应能保证任何用户都具有全局唯 一

6. 6. 1. 2属性定义

v6网络审计产品应为每个角色规定与之相关的安

6. 6. 1.3属性初始化

GA/T XXXXXXXX

IPv6网络审计产品应提供使用默认值对创建的每个角色的属性进行初始化的能力。

6. 6.2.1基本鉴别

IPv6网络审计产品应在执行任何与授权用户相关功能之前鉴别用户的身份。

6. 6. 2. 2鉴别数据保护

6.6.2.3鉴别失败的基本处理

IPv6网络审计产品应能在鉴别尝试达到最大失败次数后，终止用户建立会话的过程。

6.2.4超时锁定或注销

有任何操作的情况下，能锁定或终止会 话，需要再次进行身份鉴别才能重新操作，最大超时时间仅由授权管理员设定

6.7.1审计且志生成

IPv6网络审计产品对以下事件生成审计日志： 管理员的登录事件，包括成功和失败； b) 对安全策略进行更改的操作； c) 对日志记录的备份和删除； d) 对安全角色进行增加，删除和属性修改的操作： 管理员的其它操作； f) 应在每一条审计日志中记录事件发生的日期、时问、用户标识、事件描述和结果。若IPv6网 络审计产品提供远程管理功能，还应记录远程登录主机的地址

6. 7. 2日志管理

IPv6网络审计产品能够提供日志管理功能，满足以下要求： a）仅允许授权用户访问日志； b）应提供条件查询查询功能，查询条件应包括日期、时间、事件主体等。

GA/I XXXXXXXX

IPv6网络审计产品应保持各组件之间记录时间的一致性。

6. 8. 2 集中管理

IPv6网络审计产品若为分布式部署应能够集中定制采集策略，并分发应用到相应的采集探针

6. 8. 4 保密传输

IPv6网络审计产品能够保证数据在传输过程的保密性，满足如下要求： a）产品若采用远程管理方式，应保证远程管理数据加密传输； b) ）产品若由多个组件组成，应保证组件间传输的网络审计记录和自身审计日志加密传输； c）产品若由多个组件组成，应保证各组件之间各个组件间增加身份认证功能

十产品应将审计记录储存于掉电非逸失性存储介

IPv6网络审计产品应能够根据用户权限提供审计信息的删除功能，并满足以下要求： a）应能够记录删除行为的基本信息，包括时间日期、操作人、删除内容描述； b）能够设置策略自动删除超过保存时限的数据，

网络审计产品应提供审计记录备份与恢复功能

6.9.4存储空间耗尽处理

IPv6网络审计产品提供数据存储空间耗尽处理功能，满足以下要求： a）应能够制定某种策略，具体处理当审计存储接近最大存储空间时的情况。（例如：至少提供阈 值报警信息通知用户）； 不 b）应能够提供硬件支持并制定某种策略，保证数据存储时间不少于6个月； c）应能够在空间耗尽前采取一定的措施（如：回滚、转储、删除最早记录等）防止更新的审计记 录丢失。

6.9.6数据完整性鉴别

Pv6网络审计产品应能够提供存储数据完整性保护功能，防止存储的审计记录被篡改，

IPv6网络产品应对审计日志保密存储。

IPv6网络审计产品应能支持多种部署，包括以串联或并联方式接入网络

7.2IPv6 协议一致性

IPv6网络审计产品应根据IPv6标准设计、开发网络协议

7.3IPv6应用环境适应性

GA/T XXXXXXXX

IPv6网络审计产品应至少支持纯IPv6、IPv6/IPv4双栈、IPv6/IPv4过渡等多种IPv6应用环境中一种 环境

7.4IPv6管理环境适应性

IPv6网络审计产品应至少能在纯IPv6、IPv6/IPv4双栈、IPv6/IPv4过渡等多种IPv6环境中的 下进行管理。

冈络审计产品应支持万兆网络环境，支持不小于

IPv6网络审计产品在运行过程中不应对网络正常通信产生明显影响。

开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求： a）与产品设计文档中对安全功能实施抽象描述的级别一致： C 描述产品安全功能初始化过程为何是安全的； d）证实产品安全功能能够防止被破坏； e）证实产品安全功能能够防止安全特性被旁路

9. 1. 2 功能规范

开发者应提供完备的功能规范说明，功能规范说明应满足以下要求： a）完全描述产品的安全功能： b）描述所有安全功能接口的目的与使用方法：

GA/I XXXXXXXX

标识和描述每个安全功能接口相关的所有参数： 描述安全功能接口相关的安全功能实施行为； 描述由安全功能实施行为处理而引起的直接错误消息； f）证实安全功能要求到安全功能接口的追溯； 描述安全功能实施过程中，与安全功能接口相关的所有行为 h）描述可能由安全功能接口的调用而引起的所有直接错误消息

开发者应提供全部安全功能的实现表示，实现表示应满足以下要求： a）提供产品设计描述与实现表示实例之间的映射，并证明其一致性； a）按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度： b）以开发人员使用的形式提供。

开发者应提供产品设计文档，产品设计文档应满足以下要求： a) 根据子系统描述产品结构； b) 标识和描述产品安全功能的所有子系统； c) 描述安全功能所有子系统间的相互作用； d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口； e) 根据模块描述安全功能： f) 提供安全功能子系统到模块间的映射关系； g) 描述所有安全功能实现模块，包括其目的及与其它模块间的相互作用； h) 描述所有实现模块的安全功能要求相关接口、其它接口的返回值、与其它模块间的相互作用及 调用的接口； i) 描述所有安全功能的支撑或相关模块，包括其目的及与其它模块间的相互作用

9.2.1操作用户指南

开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持 致，对每一种用户角色的描述应满足以下要求： a) 描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息； b) 描述如何以安全的方式使用产品提供的可用接口； c) 描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值： d) 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制 实体的安全特性； e) 标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全 运行之间的因果关系和联系； 充分实现安全目的所必需执行的安全策略

9. 2. 2 准备程序

共产品及其准备程序，准备程序描述应满足以下 开发者交付程序相一致的安全接收所交付产品必

b）描述安全安装产品及其运行环境必需的所有步骤

9.3.1配置管理能力

GA/T XXXXXXXX

开发者的配置管理能力应满足以下要求： a）为产品的不同版本提供唯一的标识； b 使用配置管理系统对组成产品的所有配置项进行维护，并唯一标识配置项 提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法； d 配置管理系统提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进 行已授权的改变； e) 配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发产品。实 施的配置管理与配置管理计划相一致； f 配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序

9.3.2配置管理范围

开发者应提供产品配置项列表，并说明配置项的开发者。配置项列表应包含以下内容： a）产品、安全保障要求的评估证据和产品的组成部分； b）实现表示、安全缺陷报告及其解决状态。

9. 3. 3交付程序

开发者应使用一定的交付程序交付产品，并将交付过程文档化。在给用户方交付产品的各版本时！ 交付文档应描述为维护安全所必需的所有程序

开发者应提供开发安全文档。开发安全文档应描述在 品的开发环境中，为保护产品设计和实现的 保密性和完整性所必需的所有物理的、程序的、 人员的和其他方面的安全措施

9.3.5生命周期定义

开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制，并提供生命周期定义文 用于开发和维护产品的模型。

9. 3. 6工具和技术

开发者应明确定义用于开发产品的工具，并提供开发工具文档无歧义地定义实现中每个语句的 所有依赖于实现的选项的含义

描还应满定以下要求： a）表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性； b）表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。

GA/I XXXXXXXX

a）证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性； b）证实产品设计中的所有 实现模块都已经进行过测试

9. 4. 3 功能测试

开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容： a）测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其它测试结果 的任何顺序依赖性； b）预期的测试结果，表明测试成功后的预期输出； c）实际测试结果和预期的一致性。

开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试

基于已标识的潜在脆弱性，产品能够抵抗以下攻击行为： a）具有基本攻击潜力的攻击者的攻击； b）具有增强型基本攻击潜力的攻击者的攻击

10. 1 安全功能要求

不同安全等级的IPv6网络审计系统产品的安全功能要求如表1所示。

生活垃圾标准规范范本不同安全等级的IPv6网络审计系统产品的安

GA/T XXXXXXXX

下同安全等级的IPv6网络审计系统产品的安全保障要求如表2所示。

下同安全等级的IPv6网络审计系统产品的安全保障要求如表2所示。

工程造价标准规范范本不同安全等级的IPv6网络审计系统产品的安

GA/I XXXXXXXX