【GA公共安全标准】 信息安全技术入侵检测产品安全技术要求第2部分:主机型产品

ICS35.240
中华人民共和国公共安全行业标准GA/T403.2—2014
代替GA/T403.22002
信息安全技术
入侵检测产品安全技术要求
第2部分：主机型产品
InformationsecuritytechnologySecurity technical requirements for intrusion detection products-Part 2:Host-based products
2014-03-24发布
中华人民共和国公安部
2014-03-24实施
中华人民共和国公共安全
行业标准
信息安全技术
入侵检测产品安全技术要求
第2部分：主机型产品
GA/T403.2—2014
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号（100029）北京市西城区三里河北街16号（100045）网址spe.net.cn
总编室：（010)64275323
发行中心：（010）1780235
读者服务部：（010）68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×12301/16印张1.5字数38千字2014年5月第一版2011年5月第一次印刷书5号：155066-2-27090定价24.00元如有印装差错由本社发行中心调换版权专有便权必究
举报电话：（010）68510107
规范性引用文件
术语和定义
主机型人侵检测产品描述
5安全环境
组织安全策略
6安全目的
产品安全目的
环境安全目的
7安全功能要求
数据探测功能要求
人侵分析功能要求
入侵响应功能要求
管理控制功能要求
检测结果处理要求
产品灵活性要求
身份鉴别
管理员管理
安全审计
事件数据安全
通信安全
自我保护
自我监测
安全保证要求
配置管理
交付与运行
指导性文档
生命周期支持
脆弱性评
GA/T403.2—2014
GA/T403.2—2014
技术要求基本原理
9.1安全功能要求基本原理
9.2安全保证要求基本原理
10等级划分要求
......
10.2安全功能要求等级划分
10,3安全保证要求等级划分
i...i....
-rKacadiaiKAca
GA/T403《信息安全技术人侵检测产品安全技术要求》分为两个部分：第1部分：网络型产品：
第2部分：主机型产品。
本部分为GA/T403的第2部分。
本部分按照GB/T1.1-2009给出的规则起草。GA/T 403.2-2014
本部分代替GA/T403.2—2002《信息技术人侵检测产品安全技术要求第2部分：主机型产品》，与GA/T403.22002相比主要技术变化如下：标准名称修改为《信息安全技术人侵检测产品安全技术要求第2部分：主机型产品》；
增加了主机型入侵检测产品描述（见第4章）：增加了安全环境，包括假设、威胁和组织安全策略（见第5章）：增加了安全目的，包括产品安全目的和环境安全目的（见第6章）：一删除了主机型入侵检测产品的性能要求（见2002年版的第7章）：删除了数据库支持（见2002年版的6.1.5.5）；修改了安全功能要求的内容（见第7章，2002年版的第8章）；增加了技术要求基本原理，包括安全功能要求基本原理和安全保证要求基本原理（见第9章）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本部分由公安部网络安全保卫局提出。本部分由公安部信息系统安全标准化技术委员会归口。本部分起草单位：公安部计算机信息系统安全产品质量监督检验中心、蓝盾信息安全技术股份有限公司、公安部第三研究所。
本部分主要起草人：宋好好、吴其聪、李毅、顾健、胡维娜、赵云、杨辰钟。本部分所代替标准的历次版本发布情况为：GA/T403.2—2002.
GA/T403.22014
GA/T403的本部分详细描述了与主机型人侵检测产品安全环境相关的假设、胁和组织安全策略，定义了主机型人侵检测产品及其支撑环境的安全目的，通过基本原理论证安全功能要求能够追溯并覆盖产品安全目的，安全目的能够追溯并覆蓝安全环境相关的假设、威胁和组织安全策略。本部分基本级参照了GB/T18336.3-2008中规定的EAL2级安全保证要求，增强级在EALA级安全保证要求的基础上，将髓竭性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击，本部分仅给出了主机型入侵检测产品应满足的安全技术要求，但对主机型人侵检测产品的具体技术实现方式、方法等不做要求。-iiKacaQiaikAca=
1范围
信息安全技术
入侵检测产品安全技术要求
第2部分：主机型产品
GA/T403.22014
GA/T403的本部分规定了主机型人侵检测产品的安全功能要求、安全保证要求及等级划分要求。本部分适用于主机型入侵检测产品的设计、开发及检测。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB17859—1999计算机信息系统安全保护等级划分准则GB/T18336—2008（所有部分）信息技术安全技术信息技术安全性评估准则GB/T25069-2010信息安全技术术语3术语和定义
GB17859—1999.GB/T18336—2008（所有部分）和GB/T25069--2010界定的术语和定义适用于本文件。
4主机型入侵检测产品描述
主机型入侵检测产品以系统日志、应用程序日志等作为数据源，或者通过其他手段（如监督系统调用》从所在的目标主机收集信息进行分析，从而发现异常行为的人侵检测系统。主机型入侵检测产品通常为单机版，安装在受监测的主机上5安全环境
5.1假设
主机型入侵检测产品安全环境相关的假设如表1所示。表1假设
假设名称
物理访同
人员能力
假设描述
产品的处理资源应限定在受控的访间设备内，以防止来授权的物理访间，所有实施产品安全策略相关的硬件和软件应受到保护，以免受非授权的物理更改投权管理员是无恶意的，训练有素的，并遵循管理员指南1
GA/T403.2—2014
假设名称
连接性
安全维护
5.2威胁
表1（续）
假设描速
产品应能够获取到受监测主机上的所有通讯数据当产品的应用环境发生变化时，应立即反映在产品的安全策略中并保持其安全功能有效主机型人侵检测产品安全环境相关的威胁如表2所示表2威胁
威勘名称
人侵攻击
事件记录失败
非授权访间
信息世漏
暴力认证
漏洞攻击
组织安全策略
威胁描述
主机有可能道受到未被发的端口扫描、强力攻击、木马后门攻击，拒绝服务攻击，缓冲区出攻击，IP碎片攻击，网络蝠虫攻击等攻击行为的攻击产品可能未成功记录相关安全事件：恶意用户可能通过耗尽审计数据存储空间的方法，导致事件记录的丢失或失败，从而掩益攻击行为恶意用户可能试图访间和使用产品提供的安全功能恶意用户可能浏览远程授权管理员和产品之间发送的安全相关信息恶意用户可能通过反复精测签别数据的方法，从而获取管理员权限恶意用户可能利用产品自身的安全机制进行改击，导致产品权限丢失或功能故障主机型人侵检测产品安全环境相关的组织安全策略如表3所示。表3组织安全策略
组织安全策略名称
安全管理
6安全目的
产品安全目的
组织安全策略描球
为追所有与安全相关活动的责任，与安全相关的事件应记录、保存和审查产品应为授权管理员提供管理手段，使其以安全的方式进行管理表4定义了产品的安全目的。这些安全目的旨在对应已标识的威胁或组织安全策略。2
iiKacaOiaiKAca
产品安全目的名称
人度检测
事件记录
身份认证
安全管理
信息保密
鉴别失败处理
操作系统加固
6.2环境安全目的
表4产品安全目的
产品安全目的描述
产品应通过数据收集、协议分析对目标主机所接收的数据进行分析，检测出人侵攻击
产品应记录和统计攻击行为，记录应具有精确的日期和时间：且产品应提供基本的防止事件记录丢失或失败的措施在充许用户访问间产品功能之前，产品应对用户身份进行唯一的标识和鉴别
产品应向授权管理员提供以安全方式进行管理的有效手段如果产品充许通过相连网络对其进行远程管理，那么它应保证远程督理信息的保密性
产品应具备安全机制防止恶意用户反复销测鉴别数据为更好地防范产品自身的麗润，产品应确保底层支撑系统的可靠性和稳定性
产品应记录自身安全相关的事件，以便追踪安全相关行为的责任，并应提供方法审查所记录的数据GA/T403.2-2014
对应的威胁或组织
安全策路
人侵攻击
事件记录失败
非授权访向
安全管理
信息世漏
翠力认证
漏洞攻击
表5定义了非技术或程序方法进行处理的安全目的。5.1确定的假设被包含在环境安全目的中表5环境安全目的
环境安全目的名称
物理访间
人员能力
连接性
安全维护
安全功能要求
环境安全目的描述
产品的处理资源应限定在受控的访间设备内，以防止未授权的物理访问。所有实施产品安全策略相关的硬件和软件应受到保护，以免受非授权的物理更改
管理员是无恶意的，训练有素的，并慈循管理员指南产品应能够将客户端采集数据成功发送至服务器当产品的应用环境发生变化时，应立即反应在产品的安全策略中并保持其安全功能有效
7.1数据探测功能要求
7.1.1数据收集
产品应具有实时获取一种或多种操作系统下目标主机的各种状态信息的能力。对应的假设或威胁
物理访间
人员能力
连接性
安全维护
GA/T403.2—2014
7.1.2行为监测
产品至少应监视以下行为：端口扫播、强力攻击、缓冲区溢出攻击、可疑连接等。7.2入慢分析功能要求
7.2.1数据分析
产品应将收集到的信息进行分析，发现违反安全策略的行为，或者可能存在的人侵行为、7.2.2事件合并bzxZ.net
产品应具有对高颜度发生的相同安全事件进行合并告警，避免出现告警风暴的能力，7.2.3事件关联
产品应具有把不同的事件关联起来，发现低危害事件中隐含的高危害攻击的能力。7.3入侵响应功能要求
7.3.1安全告警
当产品检测到人侵时，应自动采取相应动作以发出安全警告2告警方式
产品应能通过屏幕实时提示、E-mail、声音等方式告警。7.3.3排除响应
产品应允许用户定义对被检测网段中指定的目标主机或特定的事件不予告警，降低误报，7.3.4定制响应
产品应允许用户对被检测网段中指定的目标主机或特定的事件定制不同的响应方式，以对特定的事件突出告警。
防火墙联动
产品应具有与防火墙进行联动的能力，可按照设定的联动策略自动调整防火墙配置。7.3.6入侵管理
产品应具有全局安全事件的管理能力，可与安全管理中心或网络管理中心进行联动。7.3.7其他设备联动
产品应具有与其他网络设备和网络安全部件（如漏润扫措，交换机）按照设定的策略进行联动的能力。
7.4管理控制功能要求
7.4.1图形界面
产品应提供图形化的用户界面用于管理、配置产品，管理配置界面应包含配置和管理产品所需的所有功能
iiKacaQiaiKAca
7.4.2事件数据库
GA/T 403.2--2014
产品的事件数据库应包括事件定义和分析，详细的漏润修补方案、可采取的对策等7.4.3事件分级
产品应按照事件的严重程度将事件分级。7.4.4策略配置
应提供产品策略配置方法和手段。7.4.5产品升级
产品应具有更新、升级产品和事件库的能力7.4.6
集中管理
产品应设置集中管理中心，对分布式，多级部署的人侵检测产品进行统一集中管理，形成多级管理结构。
7.4.7同台管理
对同一个厂家生成的产品，如果同时具有主机型人侵检测产品和网络型人侵检测产品，二者可被同一个控制台统一进行管理。
7.5检测结果处理要求
7.5.1事件记录
产品应记录并保存检测到的人侵事件。入侵事件信息应至少包含以下内容：事件发生时间、源地址、目的地址、危害等级，事件详细描述以及解决方案建议等
7.5.2事件可视化
用户应能通过管理界面实时清晰地查看人侵事件。7.5.3报告生成
产品应能生成详尽的检测结果报告。7.5.4报告查阅
产品应具有浏览检测结果报告的功能7.5.5报告输出
检测结果报告应可输出成方便用户阅读的文件格式，如Word文件、HTML文件、文本文件等，7.6产品灵活性要求
7.6.1报告定制
产品应支持授权管理员按照自已的要求修改和定制报告内容。5
GA/T403.2-2014
7.6.2窗口定义
产品应支持用户自定义窗口显示的内容和显示方式7.6.3事件定义
产品应允许授权管理员自定义事件，或者对款认提供的事件做修改，并应提供方便、快捷的定义方法。
7.6.4通用接口
产品应提供对外的通用接口，以便与其他安全设备（如网络管理软件、防火墙等）共享信息或规范化联动。
7.7身份鉴别
7.7.1管理员鉴别
产品应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别。7.7.2鉴别失败的处理
当普理员鉴别尝试失败连续达到指定次数后，产品应锁定该账号或登录IP。最多失败次数仅由授权管理员设定。
7.7.3鉴别数据保护
产品应保护鉴别数据不被未授权查阅和修改。7.7.4超时设置
产品应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的情况下，终止会话，需要再次进行身份鉴别才能够重新管理产品，最大超时时间仅由授权管理员设定。5多鉴别机制
产品应提供多种鉴别方式，或者允许授权管理员执行自定义的鉴别措施，以实现多重身份鉴别措施。多鉴别机制应同时使用。
7.7.6会话锁定
产品应允许管理员锁定自已的交互会话，锁定后需要再次选行身份鉴别才能够重新管理产品。7.8管理员管理
7.8.1标识唯一性
产品应保证所设置的管理员标识全局唯一。7.8.2用户属性定义
产品应为每一个管理员保存安全属性表，属性应包括：管理员标识、鉴别数据、授权信息或管理组信息、其他安全属性等。
iiKacaQiaiKAca
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。