GA∕T 1728-2020 信息安全技术 基于IPv6的高性能网络入侵监测系统产品安全技术要求(公共安全).pdf
《GA∕T 1728-2020 信息安全技术 基于IPv6的高性能网络入侵监测系统产品安全技术要求(公共安全).pdf》由会员分享,可在线阅读,更多相关《GA∕T 1728-2020 信息安全技术 基于IPv6的高性能网络入侵监测系统产品安全技术要求(公共安全).pdf(22页珍藏版)》请在咨信网上搜索。
1、ICS 35.240 A 90 GA 中 华 人 民 共 和 国 公 共 安 全 行 业 标 准 GA/T XXXXXXXX 信息安全技术 基于 IPv6 的高性能网络入侵检测系统产品安全技术要求 Information security technology Security technical requirements for IPv6-based high-performance network intrusion detection system products (报批稿) XXXX - XX - XX 发布 XXXX - XX - XX 实施 中华人民共和国公安部 发 布 GA/T
2、 XXXXXXXX I 目 次 前言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 2 5 基于 IPv6 的高性能网络入侵检测系统产品描述 . 3 6 总体说明 . 3 6.1 安全技术要求分类 . 3 6.2 安全等级 . 3 7 安全功能要求 . 4 7.1 数据探测功能要求 . 4 7.2 入侵分析功能要求 . 4 7.3 入侵响应功能要求 . 4 7.4 管理控制功能要求 . 5 7.5 检测结果处理要求 . 6 7.6 产品灵活性要求 . 6 7.7 身份鉴别 . 7 7.8 管理员管理 . 7 7.9 安全审计 . 8 7.10
3、 事件数据安全 . 8 7.11 通信安全 . 8 7.12 产品自身安全 . 9 8 环境适应性要求 . 9 8.1 支持纯 IPv6 网络环境 . 9 8.2 IPv6 网络环境下自身管理 . 9 8.3 支持 IPv6 过渡网络环境(可选) . 9 9 性能要求 . 9 9.1 误报率 . 9 9.2 漏报率 . 10 9.3 监控流量 . 10 9.4 监控并发连接数 . 10 9.5 监控新建 TCP 连接速率 . 10 9.6 还原能力 . 10 10 安全保障要求 . 10 10.1 开发 . 10 10.2 指导性文档 . 11 10.3 生命周期支持 . 11 GA/T XX
4、XXXXXX II 10.4 测试 . 12 10.5 脆弱性评定 . 13 11 不同安全等级的要求 . 13 11.1 安全功能要求 . 13 11.2 安全保障要求 . 15 GA/T XXXXXXXX III 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心,公安部第三研究所,网神信息技术(北京)股份有限公司。 本标准主要起草人:宋好好、顾建新、武腾、邹春明、陆臻、沈亮、顾健、李博、杨柳。GA/T XXXXXXXX 1 信息安全
5、技术 基于IPv6的高性能网络入侵检测系统产品安全技术要求 1 范围 本标准规定了基于IPv6的高性能网络入侵检测系统产品的安全功能要求、环境适应性要求、性能要求、安全保障要求及安全等级划分。 本标准适用于基于IPv6的高性能网络入侵检测系统产品的设计、开发与测试。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件 GB/T 25069-2010 信息安全技术 术语
6、3 术语和定义 GB/T 18336.3-2015和GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 事件 event 一种系统、服务或网络状态的发生或者改变的记录信息,可作为分析安全事件的基础。 3.2 安全事件 incident 通过对事件的分析处理,从而识别出一种系统、服务或网络状态的发生,表明一次可能的违反安全规则或某些防护措施失效,或者一种可能与安全相关但以前不为人知的一种情况,极有可能危害业务运行和威胁信息安全。 3.3 入侵 intrusion 任何危害或可能危害资源完整性、保密性或可用性的行为。 3.4 入侵检测 intrusion detectio
7、n 通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 GA/T XXXXXXXX 2 3.5 探测器 sensor 用于收集可能指示出入侵行为或者滥用信息系统资源的实时事件,并对收集到的信息进行初步分析的入侵检测系统组件。 3.6 告警 alert 当攻击或入侵发生时,高性能入侵检测系统向授权管理员发出的紧急通知。 3.7 响应 response 当攻击或入侵发生时,针对信息系统及存储的数据采取的保护并恢复正常运行环境的行为。 3.8 误报 false positive 高性能入侵检测系统在未发生攻击时告警,或者发出
8、错误的告警信息。 3.9 漏报 false negative 当攻击发生时高性能入侵检测系统未告警。 4 缩略语 下列缩略语适用于本文件。 ARP:地址解析协议(Address Resolution Protocol) DNS:域名系统(Domain Name System) FTP:文件传输协议(File Transfer Protocol) HTML:超文本标记语言(Hypertext Markup Language) ICMP:网际控制报文协议(Internet Control Message Protocol) IDS:入侵检测系统(Intrusion Detection System
9、) IMAP:因特网消息访问协议(Internet Message Access Protocol) IP:网际协议(Internet Protocol) IPv6:互联网协议第6版(Internet Protocol Version 6) NFS:网络文件系统(Network File System) POP3:邮局协议的第三个版本(Post Office Protocol 3) RIP:路由选择信息协议(Routing Information Protocol) RPC:远程过程调用(Remote Procedure Call) SMTP:简单邮件传送协议(Simple Mail Tran
10、sfer Protocol) SNMP:简单网络管理协议(Simple Network Management Protocol) TCP:传输控制协议(Transport Control Protocol) TELNET:远程登录(Telecommunication Network) TFTP:普通文件传送协议(Trivial File Transfer Protocol) GA/T XXXXXXXX 3 UDP:用户数据报协议(User Datagram Protocol) 5 基于 IPv6 的高性能网络入侵检测系统产品描述 基于IPv6的高性能网络入侵检测系统产品以网络上的数据包作为数据
11、源,监听所保护网络内的所有数据包并进行分析,从而发现异常行为并报警。 基于IPv6的高性能网络入侵检测系统产品采用旁路模式接入目标网络。在旁路模式下,高性能入侵检测系统旁路连接在目标网络中, 通过采集交换机镜像口网络通讯数据工作。 下图1为基于IPv6的高性能网络入侵检测系统产品旁路模式的一个典型运行环境。 攻击源主机扫描主机交换机Print ServerLink/RxLPT1LPT2COMPower/TX入侵检测系统控制台被攻击主机1被攻击主机n基于IPv6的高性能网络入侵检测系统产品(1台或n台)攻击工具集协议分析工具 图1 基于IPv6的高性能网络入侵检测系统产品典型运行环境 6 总体说
12、明 6.1 安全技术要求分类 本标准将基于IPv6的高性能网络入侵检测系统产品安全技术要求分为安全功能要求、网络环境适应性要求、性能要求、安全保障要求四个大类。其中,安全功能要求是对基于IPv6的高性能网络入侵检测系统产品应具备的安全功能提出具体要求,包括数据探测功能要求、入侵分析功能要求、入侵响应功能要求等;网络环境适应性要求是对基于IPv6的高性能网络入侵检测系统产品应具备的网络环境适应性提出具体要求, 包括支持纯IPv6网络环境和IPv6网络环境下自身管理等; 性能要求是对基于IPv6的高性能网络入侵检测系统产品应具备的性能提出具体要求,包括误报率和漏报率等;安全保障要求是针对基于IPv
13、6的高性能网络入侵检测系统产品的开发和使用文档的内容提出具体要求,例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。 6.2 安全等级 基于 IPv6 的高性能网络入侵检测系统产品的安全等级按照其安全功能要求和安全保障要求的强度划分为基本级和增强级,其中安全保障要求参考了 GB/T 18336.32015。 GA/T XXXXXXXX 4 7 安全功能要求 7.1 数据探测功能要求 7.1.1 数据收集 产品应具有实时获取受保护网段内的数据包的能力用于检测分析。 7.1.2 协议分析 产品至少但不限于应监视基于以下协议的事件:IP、 ICMP、ARP、RIP、 TCP、 UDP、 RPC
14、、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS、SMTP、POP3、NETBIOS、NFS、NNTP 等。 7.1.3 行为监测 产品至少但不限于应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等。 7.1.4 流量监测 产品应监视整个网络或者某一特定协议、地址、端口的报文流量和字节流量。 7.2 入侵分析功能要求 7.2.1 数据分析 产品应对收集的数据包进行分析,发现攻击事件。 7.2.2 分析方式 产品应以模式匹配、协议分析、人工智能等一种或多种方式进行入侵分析。 7.2.3 防躲避能力 产品应能发现
15、躲避或欺骗检测的行为,如IP碎片重组,TCP流重组,协议端口重定位,URL字符串变形,shell代码变形等。 7.2.4 事件合并 产品应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。 7.2.5 事件关联 产品应具有把不同的事件关联起来,发现低危害事件中隐含的高危害攻击的能力。 7.3 入侵响应功能要求 7.3.1 安全告警 当产品检测到入侵时,应自动采取相应动作以发出安全警告。 7.3.2 告警方式 产品应能通过屏幕实时提示、E-mail、声音、短消息等方式告警。 GA/T XXXXXXXX 5 7.3.3 排除响应 产品应允许管理员定义对被检测网段中指定的目标主机或
16、特定的事件不予告警,降低误报。 7.3.4 定制响应 产品应允许管理员对被检测网段中指定的目标主机或特定的事件定制不同的响应方式,以对特定的事件突出告警。 7.3.5 防火墙联动 产品应具有与防火墙进行联动的能力,可按照设定的联动策略自动调整防火墙配置。 7.3.6 全局预警 产品应具有全局预警功能,通过控制台可在设定全局预警的策略后,将局部出现的重大安全事件通知其上级控制台或者下级控制台。 7.3.7 入侵管理 产品应具有全局安全事件的管理能力,可与安全管理中心或网络管理中心进行联动。 7.3.8 事件定位 产品应支持事件定位,可以定位到攻击源的地理位置(国家、城市)。 7.4 管理控制功能
17、要求 7.4.1 图形界面 产品应提供图形化的管理界面用于管理、配置产品。管理配置界面应包含配置和管理产品所需的所有功能。 7.4.2 事件数据库 产品的事件数据库应包括事件定义和分析、详细的漏洞修补方案、可采取的对策等。 7.4.3 事件分级 产品应按照事件的严重程度将事件分级。 7.4.4 策略配置 产品应提供产品策略配置方法和手段。 7.4.5 产品升级 产品应具有更新、升级产品和事件库的能力。 7.4.6 统一升级 产品应提供由控制台对各探测器的事件库进行统一升级的功能。 7.4.7 分布式部署 产品应具有本地或异地分布式部署、远程管理的能力。 GA/T XXXXXXXX 6 7.4.
18、8 集中管理 产品应设置集中管理中心,对分布式、多级部署的入侵检测系统进行统一集中管理,形成多级管理结构。 7.4.9 同台管理 对同一个厂家生成的产品,如果同时具有网络型入侵检测系统和主机型入侵检测系统,二者宜被同一个控制台统一进行管理。 7.4.10 端口分离 产品的探测器应配备不同的端口分别用于产品管理和网络数据监听。 7.4.11 硬件失效处理 对于硬件产品,系统失效时应及时向授权管理员报警。 7.4.12 多级管理 产品应具有多级管理的能力。 7.5 检测结果处理要求 7.5.1 事件记录 产品应记录并保存检测到的入侵事件。 入侵事件信息应至少包含以下内容:事件发生时间、源地址、目的
19、地址、危害等级、事件详细描述以及解决方案建议等。 7.5.2 事件可视化 管理员应能通过管理界面实时清晰地查看入侵事件。 7.5.3 报告生成 产品应能生成详尽的检测结果报告。 7.5.4 报告查阅 产品应具有浏览检测结果报告的功能。 7.5.5 报告输出 检测结果报告应可输出成方便管理员阅读的文件格式,如 Word 文件、HTML 文件、文本文件等。 7.6 产品灵活性要求 7.6.1 报告定制 产品应支持授权管理员按照自己的要求修改和定制报告内容。 7.6.2 窗口定义 产品应支持管理员自定义窗口显示的内容和显示方式。 GA/T XXXXXXXX 7 7.6.3 事件定义 产品应允许授权管
20、理员自定义事件,或者对默认提供的事件作修改,并应提供定义方法。 7.6.4 协议定义 产品除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端口进行重新定位。 7.6.5 通用接口 产品应提供对外的通用接口,以便与其他安全设备(如网络管理软件、防火墙等)共享信息或规范化联动。 7.7 身份鉴别 7.7.1 管理员鉴别 产品应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别。 7.7.2 鉴别失败的处理 当管理员鉴别尝试失败连续达到指定次数后,产品应锁定该帐号或登录 IP。最多失败次数仅由授权管理员设定。 7.7.3 鉴别数据保护 产品应保护鉴别数据不被未授权查阅和修改
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GAT 1728-2020 信息安全技术 基于IPv6的高性能网络入侵监测系统产品安全技术要求公共安全 GA 1728 2020 信息 安全技术 基于 IPv6 性能 网络 入侵 监测 系统 产品
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/92088.html