为了规范主机文件监测产品的开发与应用，保障公共信息网络安全，根据公安部公共信息网络安全监察局的要求，本规范对主机文件监测产品提出了安全功能要求和保证要求，作为对其进行检测的依据。

本规范由中华人民共和国公安部公共信息网络安全监察局提出。
本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。
公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。

信息技术-主机文件监测产品安全检验规范
1.范围
本规范规定了信息技术-主机文件监测产品的安全功能要求和保证要求。
本规范适用于信息技术-主机文件监测产品的生产及检测。

2.术语和定义
2.1 主机文件监测
通过文件完整性检查等手段对主机文件的修改行为作出监测。
2.2 文件监测安全策略
包括监测文件的范围设定，以及对修改行为的响应策略。
3.信息技术-主机文件监测产品的安全功能
3.1 安全策略定制
1)产品应提供可有效对主机主要文件（如系统文件）进行文件监测的默认策略；
2)产品应对管理员提供策略增加、修改、删除与应用功能。
3.2 文件监测
1)产品应提供对安全策略中指定文件进行监测的功能；
2)产品宜提供对注册表的键值进行监测的功能。
3.3 报表
1)产品应对安全策略中指定文件增加、删除与修改作出明细报表；
2)产品宜对安全策略中注册表键值的增加、删除与修改作出明细报表。
3.4 产品自身安全
1)提供策略下达与主机端报表的集中控制管理功能；
2)产品对管理端与主机端的使用至少应提供强度不低于口令保护的功能。
4.主机文件监测产品的保证要求
4.1 交付和运行
4.1.1 交付过程
4.1.1.1 开发者行为元素：
a)开发者应将把主机文件监测产品及其部分交付给用户的程序文档化；
b)开发者应使用交付程序。
4.1.1.2 证据元素的内容和表示
交付文档应描述，在给用户方分配主机文件监测产品的版本时，用以维护安全所必需的所有程序。
4.1.2 安装、生成和启动程序
4.1.2.1 开发者行为元素
开发者应将主机文件监测产品安全地安装、生成和启动所必需的程序文档化。
4.1.2.2 证据元素的内容和表示
文档应描述主机文件监测产品安全地安装、生成和启动所必要的步骤。
4.2 指导性文档
4.2.1 管理员指南
4.2.1.1 开发者行为元素
开发者应当提供针对系统管理员的管理员指南。
4.2.1.2 证据的内容和形式元素：
a)管理员指南应当描述主机文件监测产品管理员可使用的管理功能和接口；
b)管理员指南应当描述如何以安全的方式管理主机文件监测产品；
c)管理员指南应当包含在安全处理环境中必须进行控制的功能和权限的警告；
d)管理员指南应当描述所有与主机文件监测产品的安全运行有关的用户行为的假设；
e)管理员指南应当描述所有受管理员控制的安全参数，合适时，应指明安全值；
f)管理员指南应当描述每一种与需要执行的管理功能有关的安全相关事件，包括改变TSF所控制的实体的安全特性；
g)管理员指南应当与为评估而提供的其他所有文档保持一致；
h)管理员指南应当描述与管理员有关的IT环境的所有安全要求。
4.2.2 用户指南
4.2.2.1 开发者行为元素
开发者应当提供用户指南。
4.2.2.2 证据的内容和形式元素：
a)用户指南应该描述主机文件监测产品的非管理用户可用的功能和接口；
b)用户指南应该描述主机文件监测产品提供的用户可访问的安全功能的用法；
c)用户指南应该包含受安全处理环境中所控制的用户可访问的功能和权限的警告；
d)用户指南应该清晰地阐述主机文件监测产品安全运行中用户所必须负的职责，包括有关在主机文件监测产品安全环境阐述中找得到的用户行为的假设；
e)用户指南应该与为评估而提供的其它所有文档保持一致；
f)用户指南应该描述与用户有关的IT环境的所有安全要求。