GA／T 911-2019标准规范下载简介

GA／T 911-2019 信息安全技术 日志分析产品安全技术要求简介：

GA/T 911-2019 是中国信息安全技术的一项标准，全称为《信息安全技术 日志分析产品安全技术要求》。该标准主要针对日志分析产品提出了一系列的安全技术要求，目的是为了确保这类产品的设计、开发和使用过程中能够满足信息安全的防护需求，以防止或减少信息安全事件的发生，提升系统的安全性。

以下是该标准可能包含的一些关键点：

1. 数据安全：日志分析产品需要确保收集、存储和处理的日志数据在安全的环境中进行，包括数据加密、访问控制、数据完整性保护等。

2. 安全架构：产品应采用安全的架构设计，如采用安全通信协议，防止数据在传输过程中被窃取或篡改。

3. 安全审计：产品需要具备自我监控和审计功能，能记录和报告任何可能的安全事件，以便进行事后分析和追踪。

4. 用户权限管理：对用户访问和操作日志数据进行严格的权限控制，确保只有授权的人员才能访问相关日志信息。

5. 隐私保护：尊重用户隐私，不得无授权收集、使用、泄露个人信息。

6. 安全更新与维护：产品需定期更新以修复安全漏洞，提供及时的技术支持和维护。

7. 安全合规性：产品应满足国家和行业的信息安全法规要求，如GDPR、HIPAA等。

总之，GA/T 911-2019 是为了规范日志分析产品的信息安全，确保其在满足功能需求的同时，能够有效保护用户数据和系统安全。

GA／T 911-2019 信息安全技术 日志分析产品安全技术要求部分内容预览：

GB/T18336.3一2015和GB/T25069一2010界定的以及下列术语和定义适用于本文件。 3.1 日志分析产品loganalysisproduct 通过日志代理、标准协议、文件导入等方式采集信息系统中的志数据，并进行集中存储和分析的 安全产品。 3.2 日志数据源logdatasource 产生日志数据的原始来源。 3.3 日志管理中心logadministrationcenter 对采集到的日志数据进行集中处理、存储、分析的功能模块。 3.4 审计日志 auditlog 日志分析产品自身审计产生的日志数据。 3.5 日志记录logrecord 对采集到的原始日志数据进行预处理之后，根据一定规则生成并保存在日志管理中心的日志数据， 3.6 授权管理员 authorized administrator 具有日志分析产品管理权限的用户，负责对日志分析产品的系统配置、安全策略和日志数据进行 管理。

4.1安全技术要求分类

本标准将日志分析产品安全技术要求分为安全功能、自身安全功能和安全保障要求三大类。其中， 安全功能要求是对日志分析产品应具备的安全功能提出具体要求，包括日志采集和存储、日志记录处 理、日志呈现和报警以及开发接口等；自身安全功能是对日志分析产品应具备的自身安全功能提出具体 要求GB 5845.1-1986 城市公共交通标志 公共交通总标志，包括组件安全、安全管理、自身审计功能和系统报警等；安全保障要求针对日志分析产品的生命周 期过程提出具体的要求，例如开发、指导性文档、生命周期支持、测试和脆弱性评定等

日志分析产品的安全等级接照其安全功能要求、自身安全功能要求和安全保障要求的强度划分 本级和增强级，其中安全保障要求参考了GB/T18336.3一2015

日志分析产品应能对日志数据源进行添加、修改和删除等管理操作，并且日志数据源的类型应至少 包含以下范围： 网络设备，如交换机、路由器、防火墙； 6) 操作系统； 数据库系统： 其他应用系统

5.1.2日志数据采集

5.1.2.1数据采集

日志分析产品应能通过一定的方式采集日志数据源的日志数据，至少包括以下一种采集方式： a 日志代理； b） 标准协议； ）文件导人； d)其他。

5.1.2.2日志采集及时性

日志分析产品应能及时采集日志数据源的日志数据。

5.1.3日志数据的预处理

5.1.3.1数据筛选

日志分析产品应能基于既定策略对采集的日志数据进行过滤，有选择地生成日志记录。

5.1.3.2数据转换

5.1.4日志记录生成

5.1.5日志记录存储

5.1.5.1安全保护

日志分析产品应采取安全机制，保护日志记录免遭未经授权的读取、删除或修改。

日志分析产品应采取安全机制，保护日志记录免遭未经授权的读取、删除或修改。

5.1.5.2防止日志记录丢失

）日志记录应存储于掉电非易失性存储介质中： b）当日志记录的存储容量达到阈值时，发出报警信息；

5.1.6日志记录备份

日志分析产品应提供以下日志记录备份功能： a）支持可定制的自动化备份功能及策略； b）通过自动方式对日志记录进行转存，实现异地备份

5.2.1日志记录处理

5.2.1.1数据整合

5.2.1.2数据拆分

若日志记录的单一字段包含多种信息并且这多种信息间具有分隔符，日志分析产品应能将此单 字段拆分成便于分析的若干字段存储

5.2.2且志记录分析

5.2.2.4潜在危害分析

5.2.2.5 异常行为分析

日志分析产品应维护一个与信息系统相关的合法用户的正常行为集合，以此区分人侵者的行为和 合法用户的异常行为

5.2.2.7日志记录数据控掘

根据数据的时间序列，由历史的和当前的数据去推测未来的数据，比如分析某一目标系统的用 户访问日志，从中寻找用户普遍访问的规律

以下内容： a）日志记录分析结果； b） 对信息系统或信息系统中单个资源的风险等级提供评估结果； C 对日志记录分析结果提供补救建议； d）根据日志数据挖掘收集到的知识，提供预测性的信息

日志分析产品应至少提供一个标准的、开放的接口，能按照该接口的规范为其他信息安全产品编写 相应的程序模块，以便共享信息或规范化联动

6.1.1日志代理状态监测

日志分析产品应能监测日志代理的在线状态

日志分析产品应支持分布式多级方式部署

6.1.4数据传输安全

若日志分析产品组件间通过网络进行通讯，日志分析产品应对组件间相互传输的数据进行保护，保 证数据在传送过程中的完整性和保密性

6. 1.5 时间同步

日志分析产品应提供时间同步功能，保证日志分析产品组件之间时间的一致性。

6.2.1.1唯一性标识

6.2.1.2身份鉴别

析产品应在执行任何与安全功能相关的操作之直

6.2. 1.3多重鉴别

6.2.1.4超时锁定

日志分析产品应具有登录超时锁定或注销功能。在设定的时间段内没有任何操作的情况下，终 舌，需要再次进行身份鉴别才能够重新操作。最大超时时间仅由授权管理员设定。

6.2.1.5鉴别数据保护

日志分析产品应保证鉴别数据不被未授权查阅或

6.2.1.6鉴别失败处理

当用户鉴别失败的次数达到设定值时《高压穿墙瓷套管 GB/T 12944-2011》，目志分析产 品应按以下措施处理： a）终止会话； b）锁定用户账号或远程登录主机的地址； c）产生系统报警消息，通知授权管理员

6.2.2安全功能管理

日志分析产品应为授权管理员提供以下管理功能： a）查看和修改各种安全属性； b）定制和修改各种安全策略。

6.2.3区分安全角色管理

若日志分析产品提供远程管理功能GY／T 5202-2019标准下载，应采取以下措施保证远程管理安全： a）对远程管理信息进行保密传输； b）对远程登录主机的地址进行限制

6.3.1审计日志生成