【GA公共安全标准】 信息安全技术入侵检测产品安全技术要求第1部分:网络型产品

ICS35.240
中华人民共和国公共安全行业标准GA/T403.1—2014
代替GA/T403.1-2002
信息安全技术
入侵检测产品安全技术要求
第1部分：网络型产品
Information security technology-Security technical requirements for intrusiondetectionproducts-Part1:Network-based products2014-03-24发布
中华人民共和国公安部
2014-03-24实施
规范性引用文件
术语和定义
缩略语
网络型人侵检测产品描述
安全环境
组织安全策略
7安全目的
产品安全自的
7.2环境安全目的
安全功能要求
数据探测功能要求
人侵分析功能要求
人侵响应功能要求
管理控制功能要求
检测结果处理要求
产品灵活性要求
身份鉴别
管理员管理
安全审计
事件数据安全
通信安全
产品自身安全
安全保证要求
配置管理
交付与运行wwW.bzxz.Net
指导性文档
生命周期支持
9.6测试-
脆弱性评定
10技术要求基本原理
GA/T403.1—2014
GA/T 403.1—2014
10.1安全功能要求基本原理
10.2安全保证要求基本原理
11等级划分要求
安全功能要求等级划分
安全保证要求等级划分
GA/T403信息安全技术入授检测产品安全技术要求》分为两个部分：第1部分：网络型产品；
第2部分：主机型产品。
本部分为GA/T403的第1部分。
本部分按照GB/T1.12009给出的规则起草GA/T403.1—2014
本部分代替GA/T403.1-20028信息技术人侵检测产品安全技术要求第1部分：网络型产品》，与GA/T403.1-2002相比主要技术变化如下：标准名称修改为《信息安全技术人侵检测产品安全技术要求第1部分：网络型产品》：增加了网络型人侵检测产品描述（见第5章）：增加了安全环境，包括假设、威勘和组织安全策略（见第6章）；一增加了安全日的，包括产品安全目的和环境安全目的（见第7章）；削除了对阿络型入侵检测产品的性能要求（见2002年版的第7章）：剧除了数据库支持（见2002年版的6.1.5.5)；修改了安全功能要求的内容（见第8章，2G02年版的第8章）：增加了技术要求基本原理，包括安全功能要求基本原理和安全保证要求基本原理（见第10章）。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本部分由公安部网络安全保卫局提出。本部分由公安部信息系统安全标准化技术委员会归口本部分起草单位：公安部计算机信息系统安全产品质量监督检验中心，蓝盾信息安全技术股份有限公司、公安部第三研究所。
本部分主要起草人，宋好好、昊其聪、李毅、顾健、胡维娜、赵云、杨辰钟。本部分所代替标准的历次版本发布情况为：GA/T403.1-2002.
-iiKacaQiaiKAca
GA/T403.1—2014
GA/T403的本部分详细描述了与网络型入侵检测产品安全环境相关的假设、威胁和组织安全策略，定义了网络型入侵检测产品及其支撑环境的安全目的，通过基本原理论证安全功能要求能够追溯并覆盖产品安全目的，安全目的能够追溯并覆盖安全环境相关的假设、威胁和组织安全策略。本部分基本级参照了GB/T18336.3-2008中规定的EAL2级安全保证要求，增强级在EAL4级安全保证要求的基础上，将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击。本部分仅给出了网络型人侵检测产品应满足的安全技术要求，但对网络型入侵检测产品的具体技术实现方式、方法等不做要求。1范围
信息安全技术
入侵检测产品安全技术要求
第1部分：网络型产品
GA/T403.1-2014
GA/T403的本部分规定了网络型人侵检测产品的安全功能要求、安全保证要求及等级划分要求。本部分适用于网络型入侵检测产品的设计、开发及检测。2规范性引用文件
下列文对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB17859一1999计算机信息系统安全保护等级划分准则GB/T18336一2008（所有部分）信息技术安全技术信息技术安全性评估准则GB/T25069—2010信息安全技术术语3术语和定义
GB17859-1999、GB/T18336-2008（所有部分）和GB/T25069—2010界定的以及下列术语和定义适用于本文件。
入侵intrusion
任何企图危害资源完整性、保密性或可用性的行为。3.2
探测器
sensor
用于收集可能指示出人慢行为或者滥用信息系统资源的实时事件，并对收集到的信息进行初步分析的网络型人侵检测产品组件。安装在网络的关键节点处，监听流经网络的数据。3.3
managementconsole
控制台
用于探测器管理、策略配置、数据管理、告警管理、事件响应、升级事件库以及其他管理工作，并对人侵行为进行深层次分析的人侵检测系统组件。一个控制台可以管理多个操测器。3.4
攻击特征attacksignature
人侵检测系统预先定义好的能够发现一次攻击正在发生的特定信息。3.5
告警alert
当攻击或人侵发生时，人侵检测系统向授权管理员发出的紧急通知。iiKacaQiaiKAca
GA/T403.1-2014
响应response
当攻击或入侵发生时，针对信息系统及存储的数据采取的保护并恢复正常运行环境的行为。3.7
强力攻击
bruteforce
一种利用合法字符的各种组合序列，通过应用程序反复尝试各种可能的组合来试图破解加密信息（如密码、密钥的方祛。强力攻击通过穷举法而非智能策略来达到目的，是一种有效而耗时的攻击手法。
4缩略语
下列缩略语适用于本文件。
ARP：地址解析协议（AddressResolutionProtocol）DNS：域名系统（DomainName System）FTP：文件传输协议（FileTransferProtocol）HTML：超文本标记语言（HypertextMarkupLanguage）HTTP：超文本传送协议（HypertextTransferProtocol)ICMP：网际控制报文协议(InternetControlMessageProtocol)IDS：人侵检测系统（Intrusion DetectionSystem）IMAP：因特网消息访间协议（InternetMessageAccessProtocal）IP：网际协议（InternetProtocol）NFS：网络文件系统（NetworkFileSystem）NNTP：网络新陶传送协议（NetworkNewsTransferProtocol)POP：邮局协议（PostOfficeProtacol)RIP：路由选择信息协议（RoutingInformationProtocol)RPC：远程过程调用（RemoteProcedureCall）SMTP：简单邮件传送协议（SimpleMailTransferProtocol）SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）TCP：传输控制协议（TransportControlProtocol)TELNET：远程登陆(Telnet)
TFTP：普通文件传送协议（TrivialFileTransferProtocol)UDP：用户数据报协议（UserDatagramProtocol）5网络型入侵检测产品描述
网络型入侵检测产品以网络上的数据包作为数据源，监听所保护网络内的所有数据包并进行分析，从而发现异常行为并报警。
网络型人侵检测产品采用旁路模式接入目标网络。在旁路模式下，网络型入侵检测产品旁路连接在目标网络中，网络型人侵检测产品通过采集交换机镜像口网络通讯数据工作，图1为网络型入侵检测产品旁路模式的一个典型运行环境。2
扫描主机
6安全环境
6.1假设
夏击工具集
鼓改击主机1
交赖机
攻击源主程
被攻击主机
入导检系练控制台
协议分
图1网络型入侵检测产品典型运行环境网络型入侵检测产品安全环境相关的假设如表1所示。表1假设
假设名称
物理访问
人员能力
连接性
安全维护
假设描述
GA/T403.1—2014
网络型IDS保测器
（1台或台）
产品的处理资源应限定在受控的访间设备内，以防止未投权的物理访间，所有实施产品安全策略相关的硬件和软件应受到保护，以免受非授权的物理更改役权管理员是无恶意的，训练有素的，并遵循管理员指南产品应部署在受监测网络的出口处，能够获取到受监测网络中的所有通讯数据当产品的应用环境发生变化时，应立即反映在产品的安全策略中并保持其安全功能有效
网络型人侵检测产品安全环境相关的威胁如表2所示。表2威胁
威协名称
人侵攻击
事件记录失败
非投权访间
威胁描述
网络中有可能存在未被发现的端口扫蜡、强力攻击、木马后门政击、拒绝服务攻击、缓冲区举出攻击、IP碎片攻击、网络频虫攻击等攻击行为产品可能未成功记录相关安全事件，恶意用户可能通过耗尽市计数据存储空间的方法，导致事件记录的丢失成失败，从而掩盖改击行为要意用户可能试图访间和使用产品提供的安全功能KacadiaikAca
GA/T403.1—2014
威胁名称
信息泄漏
暴力认证
漏润攻击
6.3组织安全策略
表2（续）
威胁摧述
恶意用户可能测览远程授权管理员和产品之间发送的安全相关信息惠意用户可能通过反复猜测鉴别数据的方法，从面获取管理员权限惠意用户可能利用产品自身的安全机制进行攻击，导致产品权限丢失或功能故障
网络型人侵检测产品安全环境相关的组织安全策略如表3所示。表3组织安全策略
组织安全策略名称
安全管理
7安全目的
7.1产品安全目的
组织安全策略描述
为追踪所有与安全相关括动的责任，与安全相关的事件应记录、保存和审查产品应为授权管理员提供管理手段，使其以安全的方式进行管理表4定义了产品的安全目的。这些安全目的旨在对应已标识的威胁或组织安全策略。表4产品安全目的
产品安全目的名称
人受检测
事件记录
身份认证
安全管理
信息保密
鉴别失败处理
操作系统加固
产品安全日的描述
产品应通过数据收集、协议分析对日标网络中的网络数据进行分析，检测出入侵攻击
产品应记录和统计攻击行为，记录应具有精确的日期和时间：且产品应提供基本的防止事件记录丢失或失败的措施在允许用户访间产品功能之前，产品应对用户身份进行唯一的标识和鉴别
产品应向投权管理员提供以安全方式进行管理的有效手段
如果产品允许通过相连网络对其进行远程管理，那么它应保证远程管理信息的保密性
产品应具备安全机制防止恶意用户反复猜测鉴别数据为更好地防范产品自身的漏洞，产品应确保底层支撑系统的可靠性和稳定性
产品应记录自身安全相关的事件，以便追踪安全相关行为的责任，并应提供方法审查所记录的数据对应的威胁或组织安全策路
人侵攻击
事件记录失败
非投权访间
安全管理
信息泄漏
暴力认证
蒲洞攻击
7.2环境安全目的
GA/T 403.1-2014
表5定义了非技术或程序方法进行处理的安全自的。6.1确定的假设被包含在环境安全目的中，表5环境安全目的
环境安全目的名称
物理访间
人员能力
连接性
安全维护
安全功能要求
环境安全目的描述
产品的处理资源应限定在受控的访问设备内，以防止未授权的物理访同。所有实施产品安全策略柑关的硬件和软件应受到保护，以免受非投权的物理更改管理员是无惠意的，训练有素的，并遵循管理员指南产品应能够果集目标网络中所有的网络道讯数据当产品的应用环境发生变化时，应立睡反应在产品的安全策略中并保持其安全功能有效
数据探测功能要求
8.1.1数据收集
产品应具有实时获取受保护网段内的数据包的能力用手检测分析。8.1.2协议分析
对应的假设或威胁
物理访间
人员能力
连接性
安全维护
产品至少应监视基于以下协议的事件：IP、ICMP、ARP、RIP、TCP、UDP、RPC、HTTP、FTP、TFTP.IMAP,SNMP.TELNET,DNS,SMTP.POP3.NETBIOS.NFS.NNTP等8.1.3行为监测
产品至少应监视以下攻击行为：端口扫措、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络螨虫攻击等。8.1.4流量监测
产品应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量8.2入侵分析功能要求
8.2.1数据分析
产品应对收集的数据包进行分析，发现攻击事性。8.2.2分析方式
产品应以模式匹配、协议分析、人工智能等一种或多种方式进行人侵分析，8.2.3防避能力
产品应能发现躲避或欺骗检测的行为，如IP碎片重组，TCP流重组，协议端口重定位，URL字符5
KacadiaiKAca
GA/T403.1—2014
串变形，shell代码变形等。
8.2.4事件合并
产品应具有对高频度发生的相同安全事件进行合并告警，避免出现告警风暴的能力：8.2.5事件关联
产品应具有把不同的事件关联起来，发现低危害事件中隐含的高危害攻击的能力8.3入侵响应功能要求
8.3.1安全告警
当产品检测到入侵时，应自动采取相应动作以发出安全警告。8.3.2告警方式
产品应能通过屏幕实时提示、E-mail、声音等方式告警。8.3.3排除响应
产品应允许管理员定义对被检测网段中指定的目标主机或特定的事件不予告警，降低误报8.3.4定制响应
产品应允许管理员对被检测网段中指定的目标主机或特定的事件定制不同的响应方式，以对特定的事件突出告警。
8.3.5防火墙联动
产品应具有与防火墙进行联动的能力，可按照设定的联动策略自动调整防火墙配置8.3.6全局预警
产品应具有全局预警功能，通过控制台可在设定全局预警的策略后，将局部出现的重大安全事件道知其上级控制台或者下级控制台。8.3.7入侵管理
产品应具有全局安全事件的管理能力，可与安全管理中心或网络管理中心进行联动。8.3.8其他设备联动
产品应具有与其他网络设备和网络安全部件（如漏洞扫描，交换机）按照设定的策略进行联动的能力。
8.4管理控制功能要求
8.4.1图形界面
产品应提供图形化的管理界面用于管理、配置产品。管理配置界面应包含配置和管理产品所需的所有功能。
8.4.2事件数据库
产品的事件数据库应包括事件定义和分析、详细的漏洞修补方案，可采取的对策等。6
8.4.3事件分级
产品应按照事件的严重程度将事件分级。8.4.4策略配置
产品应提供产品策略配置方法和手段8.4.5产品升级
产品应具有更新、升级产品和事件库的能力。8.4.6统一升级
产品应提供由控制台对各探测器的事件库进行统一升级的功能，8.4.7分布式部署
产品应具有本地或异地分布式部署、远程管理的能力8.4.8集中管理
GA/T_403.1—2014
产品应设置集中管理中心，对分布式、多级部署的人侵检测产品进行统一集中管理，形成多级管理结构。
同台管理
对同一个厂家生产的产品，如果同时具有网络型入侵检测产品和主机型入侵检测产品，二者可被同一个控制台统一进行管理。
8.4.10端口分离
产品的探测器应配备不同的端口分别用于产品管理和网络数据监所8.4.11双机热备
如果产品为硬件，应提供硬件失效处理机制，具备双机热备能力。8.4.12多级管理
产品应具有多级管理的能力。
8.5检测结果处理要求
8.5.1事件记录
产品应记录并保存检测到的人侵事件人侵事件信息应至少包含以下内容：事件发生时间、源地址、目的地址、危害等级，事件详细描述以及解决方案建议等。
8.5.2事件可视化
管理员应能通过管理界面实时清晰地查看人使事件。iiKacaQiaiKAca-
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。