【GA公共安全标准】 信息安全技术非授权外联监测产品安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T1144-—2014
信息安全技术
非授权外联监测产品安全技术要求Information security technology-Security technical requirements forunauthorized external connection monitoring products2014-03-14发布
中华人民共和国公安部
2014-03-14实施
规范性引用文件
术语和定义
非授权外联监测产品描述
安全环境
组织安全策略
安全目的
产品安全目的
环境安全目的
安全功能要求
受控主机管理
非授权外联监测
响应处理
组件安全
安全管理
审计功能
安全保证要求
配置管理
交付与运行
指导性文档
生命周期支持
测试·
脆弱性评定
技术要求基本原理
安全功能要求基本原理
安全保证要求基本原理
等级划分要求
安全功能要求等级划分
安全保证要求等级划分
GA/T1144—2014
本标准按照GB/T1.1—2009给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1144—2014
本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部网络安全保卫局、厦门市美亚柏科信息股份有限公司、公安部第三研究所。本标准主要起草人：邹春明、俞优、陆磊、吴其聪、陆臻、顾健、陈奋、张永光。GA/T1144—2014
本标准详细描述了与非授权外联监测产品安全环境相关的假设、威胁和组织安全策略，定义了非授权外联监测产品及其支撑环境的安全目的，论证了安全功能要求能够追溯并覆盖产品安全目的，安全目的能够追溯并覆盖安全环境相关的假设、威胁和组织安全策略。本标准基本级参照了GB/T18336.3-2008中规定的EAL2级安全保证要求，增强级在EAL4级安全保证要求的基础上，将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击。本标准仅给出了非授权外联监测产品应满足的安全技术要求，但对非授权外联监测产品的具体技术实现方式、方法等不做要求。1范围
信息安全技术
非授权外联监测产品安全技术要求GA/T1144--2014
本标准规定了非授权外联监测产品的安全功能要求、安全保证要求和等级划分要求本标准适用于非授权外联监测产品的设计、开发及检测。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB17859—1999计算机信息系统安全保护等级划分准则GB/T18336—2008（所有部分）信息技术安全技术信息技术安全性评估准则GB/T25069-—2010信息安全技术术语3术语和定义
GB17859—1999、GB/T18336—2008（所有部分）和GB/T25069—2010界定的以及下列术语和定义适用于本文件。
非授权外联
unauthorized external connection受保护的网络内部主机在安全策略允许之外与非授权网络的互联行为，连接方式包括但不限于双网卡，modem、ADSL、无线网卡等。3.2
代理agent
软件程序，能够接受服务器管控，实现对主机的非授权外联行为的监控。3.3
controlled host
受控主机
安装了代理，能够接受服务器管控的主机。4非授权外联监测产品描述
非授权外联监测产品通常以C/S方式部署，包括服务器和代理两部分。可通过服务器对受控主机下发策略，监测或阻断受控主机在安全策略允许之外联接非授权网络的行为，并且能够对其及时定位，代理能够将监测结果以及告警信息发送到服务器。非授权外联监测产品工作的网络环境主要有两类：一类为孤立网络，该网络与其他网络物理隔离，通常认为该网络内主机若通过一定的途径联接到其他网络即为非授权外联；第二类为受控网络，该网络与其他网络逻辑上可访问，但对其他网络的访问行为是受控和/或可审计的，若该网络内的主机通过安1
GA/T1144—2014
全策略允许之外的途径访问其他网络，通常认为是非授权外联。非授权外联监测产品通过代理执行安全功能。其保护的对象是内网的边界，此外非授权外联监测产品本身及其内部的重要数据也是受保护的资产。图1和图2是非授权外联监测产品的两种典型运行环境。不可信网络
代理主机I
代理主机2
代理主机n
非授权外联
监测服务器
管理控制台
非授权外联监测产品典型运行环境（一）不可信网络
代理主机1
代理主机2
代理主机
非授权外联
监测服务器
管理控制台
非授权外联监测产品典型运行环境（二）5安全环境
5.1假设
非授权外联监测产品安全环境相关的假设如表1所示。2
假设名称
物理访问
管理员能力
人员能力
安全维护
表1假设
假设描述
GA/T1144—2014
产品服务器的处理资源应限定在受控的访问设备内，以防止未授权的物理访间授权管理员是无恶意的，训练有素的，并遵循管理员指南受控主机的用户为普通人员，仅具有基本的计算机技术能力当产品的应用环境发生变化时，应立即反映在产品的安全策略中并保持其安全功能有效非授权外联监测产品安全环境相关的威胁如表2所示。表2威胁
威胁名称
非授权外联
事件记录失败
非授权访问
逃避监测
信息泄漏
暴力认证
漏洞攻击
组织安全策略
威胁描述
非授权外联行为，可能导致攻击者通过外联的途径人侵受保护的网络，或使得保护内部网络的安全策略被旁路
产品可能未成功记录相关安全事件，恶意用户可能通过耗尽审计数据存储空间的方法，导致事件记录的丢失或失败。从而掩盖攻击行为恶意用户可能企图访问和使用产品提供的安全功能用户可能通过断开受控主机与服务器的连接，或者尝试停止、卸载、修改、删除代理及更改、取消代理的开机自启动等方式，再联接外部网络，从而逃避监测恶意用户可能浏览远程授权管理员和产品之间发送的安全相关信息恶意用户可能通过反复猜测鉴别数据的方法，从而获取管理员权限恶意用户可能利用产品自身的安全机制进行攻击，导致产品权限丢失或功能故障非授权外联监测产品安全环境相关的组织安全策略如表3所示。表3组织安全策略
组织安全策略名称
安全管理
组织安全策略描述
为追踪所有与安全相关活动的责任，与安全相关的事件应记录、保存和审查产品应为授权管理员提供管理手段，使其以安全的方式进行管理当受控主机发生非授权外联行为时，能够及时准确的定位到该受控主机的物理位置及责任人3
GA/T1144—2014
6安全目的
6.1产品安全目的
表4定义了产品的安全目的。这些安全目的旨在对应已标识的威胁或组织安全策略。表4产品安全目的
产品安全目的名称
非授权外联监控
审计防丢失
身份认证
安全管理
信息保密
鉴别失败处理
代理自身安全保护
环境安全目的
产品安全目的描述
当受控主机发生外联行为时，产品能够及时发现并进行告警或阻断响应
且产品应提供基本的防止事件记录丢失或失败的措施在充许用户访问产品功能之前，产品应对用户身份进行唯一的标识和鉴别
产品应向授权管理员提供以安全方式进行管理的有效手段如果产品允许通过相连网络对其进行远程管理，那么它应保证远程管理信息的保密性
产品应具备安全机制防止恶意用户反复猜测鉴别数据当受控主机发生非授权外联行为时，能够及时准确的定位到该受控主机的物理位置及责任人
产品需提供相应的措施防止用户停止、卸载、修改、删除代理及更改或取消代理的开机自启动
产品应记录非授权外联行为、自身安全相关的事件，记录应具有精确的日期和时间，以便追踪安全相关行为的责任，并应提供方法审查所记录的数据
对应的威胁或组织
安全策略
非授权外联
事件记录失败
非授权访向
安全管理
信息泄漏
暴力认证
逃避监测
表5定义了非技术或程序方法进行处理的安全目的。5.1确定的假设被包含在环境安全目的中。表5环境安全目的
环境安全目的名称
物理访问
管理员能力
人员能力
安全维护
环境安全目的描述
产品服务器的处理资源应限定在受控的访问设备内，以防止未授权的物理访问
管理员是无恶意的，训练有素的，并遵循管理员指南受控主机的用户为普通人员，仅具有基本的计算机技术能力当产品的应用环境发生变化时，应立即反应在产品的安全策略中并保持其安全功能有效
对应的假设或威胁
物理访间
管理员能力
人员能力
安全维护
安全功能要求
受控主机管理
在线主机扫描
产品应能对局域网内主机进行扫描：获取指定网段或IP范围内主机的在线状态；a）
获取在线主机的代理安装情况；b）
发现未安装代理的主机时进行告警。2主机唯一性标识
产品应能获取主机的标识：
获取的主机标识应唯一，如MAC地址、硬件序列号等；a）
应采取措施防止对受控主机标识进行篡改。7.1.3
主机属性管理
产品应能对主机属性进行设置：责任人及联系方式；
所属部门或物理位置。
7.1.4集中分组管理
产品应能对受控主机进行集中分组管理：GA/T1144—2014
对受控主机进行集中统一管理，提供主机监控策略的集中定制，并分发应用到相应的受控主a
机上：
b）对受控主机进行分组管理。
7.2非授权外联监测
监测范围
产品应能监测指定网段或IP范围内的主机。7.2.2
监测非授权外联
产品应能监测到内部主机未经授权而联接到外部网络的行为。7.2.3
离线策略
产品应能设置离线策略，当受控主机与服务器连接断开时，代理应能够监测或阻断其与外部网络的外联行为，并记录日志。下载标准就来标准下载网
7.3响应处理
7.3.1告警
当监测到内部主机发生非授权外联行为时，能够进行告警：至少支持一种告警方式：页面消息、邮件、短信、声音等：a)
GA/T1144—2014
告警内容至少包括：外联主机的唯一性标识、责任人及外联时间；b）
告警应具有及时性。
7.3.2阻断
当监测到内部主机有非授权外联行为时，应及时进行阻断。7.3.3事件记录
对非授权外联行为进行审计，至少包括以下内容：a）非授权外联的日期时间；
主机的唯一性标识：
主机的关联属性：责任人、所属部门或物理位置；d)
外联方式。
组件安全
代理的自身保护
产品应能对代理提供保护措施：a)
防止非授权用户强行终止代理的运行；防止非授权用户强制取消代理在操作系统启动时的自动加载：具有基本的措施防止非授权用户卸载、删除代理；代理应能在授权的情况下被完全卸载；具有较强的措施防止非授权用户卸载，删除或修改代理；代理应能够兼容主流的杀毒软件。防止非授权监控
产品应通过技术手段保证受控主机只接受授权服务器的监控。7.4.3
远程保密传输
产品应对受控主机和服务器之间传输的数据进行加密。7.4.4审计数据续传
当受控主机与服务器之间的连接断开时，应确保代理在该时段内所产生的审计数据和报警信息不会丢失，当连接恢复后，再传输到服务器。7.5安全管理
7.5.1标识与鉴别
7.5.1.1唯一性标识
产品应为用户提供唯一的身份标识，同时将用户的身份标识与该用户的所有可审计事件相关联。7.5.1.2
身份鉴别
产品应在执行任何与安全功能相关的操作之前对用户身份进行鉴别。6
7.5.1.3鉴别数据保护
产品应保证存储的鉴别数据不被未授权查阅和修改。7.5.1.4
鉴别失败处理
当对用户鉴别失败的次数达到设定值后，产品应能按以下方式进行处理：a）终止会话；
b）锁定账号或IP，锁定一定的时间后自动解锁或者直至授权管理员解锁；c）产生系统报警消息，通知授权管理员。7.5.2安全管理功能
产品应为授权管理员提供以下管理功能：a）查询、修改各项安全属性；
b）启动、关闭全部或部分监控功能；制定、修改各项安全策略。
3安全管理角色
产品应对管理员角色进行区分：a）具有至少两种不同权限的管理员角色，如操作员、审计员等；b）应根据不同的功能模块，定义各种不同权限角色，并对管理员分配角色。7.5.4远程管理
如果提供远程管理功能，则需要保证远程管理的安全性：对远程管理信息进行保密传输；a
b）对可远程管理的主机地址进行限制。7.6审计功能
7.6.1审计日志生成
应对以下事件进行审计：
服务器的启动和关闭；
管理员鉴别事件，包括成功、失败；b)
管理员的重要操作，如增加、删除管理员，存档、删除、清空日志等；c
安全功能要求中所定义的可审计事件；d)
代理的启动和关闭；
f）其他一般操作，如日志查阅、对受控主机的监控操作等。每一条审计日志应至少包括事件发生的日期、时间、用户标识、事件描述和结果。7.6.2审计日志存储
应提供措施防止审计日志丢失：a）审计日志应存储于掉电非易失性存储介质中；b)
GA/T1144—2014
当存储空间将要耗尽时，应采取适当方式进行报警，并具有一定的措施（如：回滚、按比例删除最早记录等)防止新近的审计数据丢失。7
GA/T 1144—2014
3审计日志管理
应提供以下日志管理功能：
a）只允许授权管理员访问审计日志；b）按日期、时间、用户标识等条件对审计日志进行组合查询；对审计日志进行存档、删除和清空。8安全保证要求
8.1配置管理
8.1.1部分配置管理自动化
配置管理系统应提供一种自动方式来支持产品的生成，通过该方式确保只能对产品的实现表示进行已授权的改变。
配置管理计划应描述在配置管理系统中所使用的自动工具，并描述在配置管理系统中如何使用自动工具。
8.1.2配置管理能力
8.1.2.1版本号
开发者应为产品的不同版本提供唯一的标识。8.1.2.2
配置项
开发者应使用配置管理系统并提供配置管理文档，配置管理文档应包括一个配置清单，配置清单应唯一标识组成产品的所有配置项并对配置项进行描述，还应描述对配置项给出唯一标识的方法，并提供所有的配置项得到有效维护的证据。8.1.2.3
授权控制
开发者提供的配置管理文档应包括一个配置管理计划，配置管理计划应描述如何使用配置管理系统。实施的配置管理应与配置管理计划相一致开发者应提供所有的配置项得到有效地维护的证据，并应保证只有经过授权才能修改配置项。8.1.2.4产生支持和接受程序
开发者提供的配置管理文档应包括一个接受计划，接受计划应描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。配置管理系统应支持产品的生成。8.1.3配置管理范围
8.1.3.1配置管理覆盖
配置管理范围至少应包括产品实现表示、设计文档、测试文档、指导性文档、配置管理文档，从而确保它们的修改是在一个正确授权的可控方式下进行的。配置管理文档至少应能跟踪上述内容，并描述配置管理系统是如何跟踪这些配置项的8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。