安全审计产品.pdf

编号：编号： 安全审计产品 安全审计产品 强制性认证实施规则 强制性认证实施规则 （讨论稿）（讨论稿） 2007-xx-xx发布 2007-xx-xx实施2007-xx-xx发布 2007-xx-xx实施 中国国家认证认可监督管理委员会发布中国国家认证认可监督管理委员会发布 目 录 目 录 1适用范围适用范围. 3 2认证模式认证模式. 3 3. 认证的基本环节认证的基本环节. 3 3.1 认证委托及受理认证委托及受理.3 3.2 型式试验委托及实施型式试验委托及实施.3 3.3 初始工厂审查初始工厂审查.3 3.4 认证结果评价与批准认证结果评价与批准.3 3.5 获证后监督获证后监督.3 4.认证实施认证实施. 3 4.1 认证程序认证程序.3 4.2 认证委托及受理认证委托及受理.3 4.3 型式试验委托及实施型式试验委托及实施.4 4.4 工厂审查工厂审查.5 4.5 认证结果评价与批准认证结果评价与批准.6 4.6 获证后监督获证后监督.6 5认证证书认证证书. 7 5.1 认证证书的保持认证证书的保持.7 5.2 认证证书覆盖产品的扩展认证证书覆盖产品的扩展.8 5.3 认证证书的暂停、注销和撤消认证证书的暂停、注销和撤消.8 6强制性产品认证标志的使用强制性产品认证标志的使用. 8 6.1 准许使用的标志样式准许使用的标志样式.8 6.2 变形认证标志的使用变形认证标志的使用.9 6.3 加施方式加施方式.9 6.4 标志位置标志位置 .9 7. 收费收费. 9 附件附件 1：单元划分原则：单元划分原则. 1 附件附件 2：关键安全功能清单：关键安全功能清单. 2 系统时间同步系统时间同步.3 系统部署安全系统部署安全.3 附件附件 3：工厂质量保证能力要求：工厂质量保证能力要求. 4 2 1适用范围适用范围 信息系统安全审计产品为信息系统的风险评估和安全策略制定提供审 计数据支撑。本规则主要适用于软件产品或产品软件部分。安全审计产品 对信息系统各组成要素进行事件采集，将采集数据进行系统分析，从而降 低网络安全管理成本，保障信息系统的正常运行。本规则适用的产品范围 为： （1）专用型：对主机、服务器、网络、数据库管理系统、其它应用系 统等客体采集对象其中一类进行审计，并对审计事件进行分析和响应的安 全审计产品； （2）综合型：对主机、服务器、网络、数据库管理系统、其 它应用系统中至少两类客体采集对象进行审计，并对审计事件进行统一分 析与响应的安全审计产品。 2认证模式认证模式 型式试验 + 工厂的审查 + 获证后监督 3. 认证的基本环节认证的基本环节 3.1 认证委托及受理 3.2 型式试验委托及实施 3.3 初始工厂审查 3.4 认证结果评价与批准 3.5 获证后监督 4.认证实施认证实施 4.1 认证程序 委托人向指定的认证机构委托认证， 认证机构对委托人的申请资料审查 后，由委托人按要求将样品送到指定的实验室进行型式试验；型式试验合 格后，认证机构审查有关资料，并进行初始工厂检查（如适用） ；认证机构 对型式试验、工厂检查结果（如适用）进行综合评价，评价合格后向委托 人颁发认证证书；认证机构组织对获证后的产品进行定期的监督。 4.2 认证委托及受理 3 4.2.1 委托时需提交的文件资料 1) 向指定认证机构提交正式委托，并随附以下文件： 2) 系统规格说明书和概要设计说明书，包括系统框图等； 3) 维护手册和中文使用说明书； 4) 中文铭牌和警告标记； 5) 同一认证单元内各个型号产品之间的差异说明； 6) 软件著作权登记复印件； 7) 指定认证机构需要的其他文件。 4.3 型式试验委托及实施 4.3.1 认证的单元划分 4.3.1.1 原则上按产品型号委托认证。 认证时具体产品认证单元划分说明见附件 1 4.3.1.2 同一制造商、 同一型号但生产厂不同的产品应分为不同的认证单元, 但型式试验仅在一个工厂的样品上进行，试验报告可覆盖上述其他认证单 元的样品。 4.3.2 委托型式试验时需提交的文件资料 1）系统规格说明书和概要设计说明书，包括系统框图等； 2)维护手册和中文使用说明书； 3）中文铭牌和警告标记； 4）同一认证单元内各个型号产品之间的差异说明； 5）指定检测机构需要的其他文件。 4.3.3 型式试验的送样 4.3.3.1 型式试验送样的原则 认证单元中只有一个型号的，送本型号的样品。 以多于一个型号的产品为同一认证单元委托认证时，应从中选取具有 代表性的型号。 4 4.3.3.2 送样数量 型式试验的样品由委托人负责按检测机构的要求选送,并对选送样品 负责。产品的送样量见附件 1。 4.3.3.3 型式试验样品及相关资料的处置 型式试验后，应以适当的方式处置已经确认合格的样品和/或相关资料。 4.3.4 检测标准、项目及方法 4.3.4.1 检测标准及检测项目 1专用型产品适用的检测标准及检测项目： 信息系统安全审计产品技术要求和测试评价方法（国标草案） 细化到安全功能。 2综合型产品适用的检测标准及检测项目： 信息系统安全审计产品技术要求和测试评价方法（国标草案） 细化到安全功能。 4.3.4.2 检测方法 依据相关产品标准的规定以及其引用的检测方法和/或标准进行检测。 4.3.5 型式试验的时限 一般为整机 30 个工作日（因检测项目不合格，企业进行整改和复试的 时间不计算在内） 。 4.4 工厂审查 4.4.1 审查内容 审查的内容为工厂质量保证能力和产品一致性检查。 4.4.1.1 质量保证能力审查 由认证机构派审查员对提供商进行质量保证能力的审查。 4.4.1.2 产品一致性检查 审查时，应在现场对委托认证的产品进行一致性检查。若认证涉及多 系列产品，则一致性检查应每系列产品至少抽取一个规格型号。 5 4.4.1.3 质量保证能力审查和产品一致性检查应覆盖委托认证产品的所有 提供商。 4.4.2 审查时间 一般情况下,认证机构对 4.3.1 中的资料进行审查并合格后，再进行初 始审查。特殊情况时,型式试验和审查也可以同时进行。 审查时间根据所认证产品的单元数量确定， 一般每个提供商为1至4 个 人日。 4.5 认证结果评价与批准 4.5.1 认证结果评价与批准 认证机构负责对型式试验、提供商审查结果（如适用）进行综合评价， 评价合格的，由认证机构对委托人颁发认证证书(每一个认证单元颁发一个 认证证书)。认证证书的使用应符合强制性产品认证管理规定的要求。 4.5.2 认证时限 认证时限是指自受理认证之日起至颁发认证证书时止所实际发生的工 作日，其中包括工厂审查后提交报告时间、认证结论评定和批准时间以及 证书制作时间。 提供商审查后提交报告时间一般为 5 个工作日，以检查员员完成现场 审查，收到并确认提供商递交的不合格纠正措施报告之日起计算。 认证结论评定、批准时间以及证书制作时间一般不超过 5 个工作日。 4.6 获证后监督 4.6.1 监督的频次 4.6.1.1 无需进行初始提供商审查的产品从获证后第 6 个月起进行第一次 获证后监督，此后每 12 个月进行一次获证后监督；需进行初始提供商审查 的产品从获证后第 12 个月起进行第一次获证后监督，此后每 12 个月进行 一次获证后监督。 4.6.1.2 若发生下述情况之一可增加监督频次： 6 1)获证产品出现严重质量问题,或者用户提出投诉并经查实为持证人 责任的； 2)认证机构有足够理由对获证产品与本规则中规定的标准要求的符合 性提出质疑时； 3)有足够信息表明制造商、提供商因变更组织机构、生产条件、质量 管理体系等，从而可能影响产品符合性或一致性时。 4.6.2 监督的内容 获证后监督的方式采用提供商产品质量保证能力的复查+认证产品一 致性检查。必要时可以抽取样品送检测机构检测，需要进行抽样检测时， 抽样检测的样品应在提供商的样品中(包括生产线、仓库、市场)随机抽取。 同类产品抽样检测的数量为 1 台。认证型式试验采用的标准所规定检测项 目均可作为监督检测项目，认证机构可针对不同产品的不同情况进行部分 或全部项目的检测。对抽取样品的检测由认证机构指定的检测机构在 20 个 工作日内完成检测。 由认证机构根据提供商质量保证能力要求，对提供商进行监督复查。 提供商监督审查时间根据获证产品的单元数量确定，一般为 1 至 2 个人日。 4.6.3 获证后监督结果的评价 监督复查合格后，可以继续保持认证资格、使用认证标志。对监督复 查时发现的不符合项应在 3 个月内完成纠正措施。逾期将撤销认证证书、 停止使用认证标志，并对外公告。 5认证证书认证证书 5.1 认证证书的保持 5.1.1 证书的有效性 本规则覆盖产品的认证证书不规定截止日期。证书的有效性依赖认证 机构定期的监督获得保持。 5.1.2 认证产品的变更 7 5.1.2.1 变更的申请 本规则中的产品，获证后如果其产品中属于附件 2、附件 3 或附件 4 的 关键模块、功能添加和修改时，证书持有者应向认证机构提出变更申请。 向认证机构提交变更正式申请时，应随附指定检测机构出具的产品变 更审核结论和检测报告（如适用） ，以及认证机构需要的其他文件。 5.1.2.2 变更申请的评价与批准 认证机构对委托人提交的相关资料进行评价，对符合要求的变更申请 给予批准。并将变更资料/结果纳入该产品获证后监督管理文档中。 5.2 认证证书覆盖产品的扩展 5.2.1 认证证书覆盖产品扩展申请的评价与批准 认证证书持有者需要增加与已经获得认证产品为同一认证单元内的产 品认证范围时，应向认证机构提出扩展申请。 向认证机构提交认证证书覆盖产品扩展申请时，并随附指定检测机构 出具的产品扩展审核结论和检测报告（如适用） ，以及认证机构需要的其他 文件。 5.2.2 认证证书覆盖产品扩展申请的评价与批准 认证机构对委托人提交的相关资料进行评价，对符合要求的扩展申请 给予批准，认证机构可根据认证证书持有者的要求单独颁发认证证书或换 发认证证书。认证机构应将扩展资料/结果纳入该产品获证后监督管理文档 中。 5.3 认证证书的暂停、注销和撤消 按强制性产品认证管理规定的要求执行。在认证证书暂停期间及 认证证书注销和撤消后，产品不得出厂、进口。 6强制性产品认证标志的使用强制性产品认证标志的使用 证书持有者必须遵守强制性产品认证标志管理办法的规定。 6.1 准许使用的标志样式 8 合法加施本标志的产品表示该产品满足了国家对该产品的信息安全的 强制性产品认证规范和要求。某一产品如果满足了国家对该产品的信息安 全的强制性产品认证规范和要求，应加施本标志，而不应再加施任何其他 的强制性产品认证标志，如 CCCS标志或 CCCS&E标志。 6.2 变形认证标志的使用 本规则覆盖的产品不允许使用任何形式的变形认证标志。 6.3 加施方式 可以采用国家统一印制的标准规格标志、 模压或铭牌印刷三种方式中的 任何一种。 采用模压或铭牌印刷时， 其使用方案应报国家认监委批准的强制性产品 认证标志发放与管理机构核准。 6.4 标志位置 产品应在其包装/载体上加施认证标志， 如该产品不使用包装/载体， 则 应在使用的许可协议中的显著位置明确该产品已获 CCC 认证。 7. 收费收费 收费由认证、检测机构按国家有关规定统一收取。 9 附件 1：单元划分原则 序号 产品类型 单元划分原则 认证依据 标准 主送样品 的数量 1 专用型 审计对象包括主机、服务器、网络、数据库管理 和应用系统等。审计对象均相同的不同型号的产 品一般作为一个单元委托认证。上述任何一项不 同者，一般应分开委托。 GB 17859-1999 GB/T 20945-2007 信息安全技术 信 息系统安全审计 产品技术要求和 评价方法 2 套（台） 2 综合型 审计对象包括主机、服务器、网络、数据库 管理和应用系统等。审计对象均相同的不同型号 的产品一般作为一个单元委托认证。上述任何一 项不同者，一般应分开委托。 GB 17859-1999 GB/T 20945-2007 信息安全技术 信 息系统安全审计 产品技术要求和 评价方法 2 套（台） 附件 2：关键安全功能清单 产品类型 关键安全功能 审计踪迹 审计事件生成*（专用型产品应包括以下一类采集范围，综合型 产品应至少包括以下两类：主机、服务器审计数据采集、网络 审计数据采集、数据库管理系统审计数据采集、其它应用系统 审计数据采集）、紧急事件报警、审计数据生成、事件辨别扩 展接口 审计记录 记录内容事件分类和分级、数据库支持、数据安全存储 审计统计分析 潜在危害、异常事件和行为、关联行为、审计分析接口、 系统报警记录、审计分析报表 事件响应 响应报警、响应措施、联动 审计查阅 常规查阅、有限查阅、可选查阅 审计记录存储 安全保护、可用性、保存时限 审计策略 事件分类和分级、缺省策略、策略模板、策略定制 审计数据保护 数据传输控制、数据传输安全 安全管理 管理角色、操作审计、安全状态监测 标识和鉴别 管理角色属性、身份鉴别（用户鉴别、多鉴别、重鉴别） 、鉴别 数据保护、鉴别失败处理 产品升级 手动升级、自动升级、审计代理升级、升级日志记录、 监管要求 兼具监管功能 产品卸载安全 卸载产品时，应对产品中保存的审计数据进行删除，或提醒用 户删除。进行产品删除操作的用户应该具有相应的权限 自身审计数据生 成 产品应对与自身安全相关的事件生成审计记录 专用型/综合型 自身安全审计记 录独立存放 产品应将自身安全审计记录与被审计的目标信息系统的审计记 录分开保存到不同的记录文件或数据库（或同一数据库的不同 表）中，方便用户查阅和分析。 审计代理安全 产品提供的软件代理应具备自保护能力，应提供检测信息系统 是否已安装软件代理的功能 系统时间同步 产品应提供同步审计代理与审计跟踪记录中心时间的功 能，并应同时自动记录审计代理与审计跟踪记录中心的时间。 系统部署安全 产品应支持多级分布式部署模式，保证安全审计系统某分 中心遭受攻击、通讯异常等问题时产品正常运行。 管理信息传输安 全 安全审计产品需要通过网络进行管理时，安全审计产品应能对 管理信息进行保密传输。 审计数据安全 安全审计产品应对本地审计数据保密存储。 附件 3：工厂质量保证能力要求 为保证批量生产的认证产品与已获型式试验合格的样品的一致性，应满足 本文件规定的产品质量保证能力要求。 1. 职责和资源 1.1 职责 应规定与质量活动有关的各类人员职责及相互关系，且应在组织内指定一 名质量负责人，无论该成员在其他方面的职责如何，应具有以下方面的职责和 权限： a)负责建立满足本文件要求的质量体系，并确保其实施和保持； b)确保加贴强制性认证标志的产品符合认证标准的要求； c)建立文件化的程序，确保认证标志的妥善保管和使用； d)建立文件化的程序，确保不合格品和获证产品变更后未经认证机构确认， 不加贴强制性认证标志。 质量负责人应具有充分的能力胜任本职工作。 1.2 资源 应配备必须的生产设备和检测工具以满足稳定生产符合本规则中规定的标 准要求的产品；应配备相应的人力资源，确保从事对产品质量有影响工作的人 员具备必要的能力；建立并保持适宜产品生产、 、试验、储存等必备的环境。 2.文件和记录 2.1 工厂应建立、保持文件化的认证产品的质量计划或类似文件，以及为确保产 品质量的相关过程有效运作和控制需要的文件。质量计划应包括产品设计目标、 实现过程、检测及有关资源的规定，以及产品获证后对获证产品的变更（标准、 工艺、关键件等） 、标志的使用管理等的规定。 产品设计标准或规范应是质量计划的一个内容,其要求应不低于实施规则中 规定的标准要求。 2.2工厂应建立并保持文件化的程序以对本文件要求的文件和资料进行有效的控 制。这些控制应确保： a)文件发布前和更改应由授权人批准，以确保其适宜性； b)文件的更改和修订状态得到识别，防止作废文件的非预期使用； c)确保在使用处可获得相应文件的有效版本。 2.3 工厂应建立并保持质量记录的标识、储存、保管和处理的文件化程序，质量 记录应清晰、完整以作为产品符合规定要求的证据。 质量记录应有适当的保存期限。 3.采购和进货 3.1 供应商的控制 工厂应制定对关键元器件和材料的供应商的选择、评定和日常管理的程序， 以确保供应商具有保证生产关键元器件和材料满足要求的能力。 工厂应保存对供应商的选择评价和日常管理记录。 3.2 关键元器件和材料的/验证 工厂应建立并保持对供应商提供的关键元器件和材料的或验证的程序及定 期确认的程序，以确保关键元器件和材料满足认证所规定的要求。 关键元器件和材料的可由工厂进行，也可以由供应商完成。当由供应商时, 工厂应对供应商提出明确的要求。 工厂应保存关键件或验证记录、 确认记录及供应商提供的合格证明及有关数 据等。 4. 生产过程控制和过程 4.1 工厂应对关键生产工序进行识别，关键工序操作人员应具备相应的能力，如 果该工序没有文件规定就不能保证产品质量时，则应制定相应的工艺作业指导 书，使生产过程受控。 4.2 产品生产过程中如对环境条件有要求,工厂应保证工作环境满足规定的要求。 4.3 可行时,工厂应对适宜的过程参数和产品特性进行监控。 4.4 工厂应建立并保持对生产设备进行维护保养的制度。 4.5工厂应在生产的适当阶段对产品进行， 以确保产品及零部件与认证样品一致。 5. 例行和确认 工厂应制定并保持文件化的例行和确认程序，以验证产品满足规定的要求。 程序中应包括项目、内容、方法、判定等。并应保存记录。具体的例行和确认 要求应满足相应产品的认证实施规则的要求执行。 例行是在生产的最终阶段对生产线上的产品进行的 100%，通常后，除包装 和加贴标签外，不再进一步加工。