GA/T 1137-2014
基本信息
标准号:
GA/T 1137-2014
中文名称:信息安全技术 抗拒绝服务攻击产品安全技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1266KB
相关标签:
信息安全
技术
产品安全
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 1137-2014 信息安全技术 抗拒绝服务攻击产品安全技术要求
GA/T1137-2014
标准压缩包解压密码:www.bzxz.net
标准内容
ICS35.240
中华人民共和国公共安全行业标准GA/T1137—2014
信息安全技术
抗拒绝服务攻击产品安全技术要求Information security technology-Security technical requirementsforAnti-DoSattackproducts
2014-03-10发布
中华人民共和国公安部
2014-03-10实施
规范性引用文件
术语和定义
抗拒绝服务攻击产品措述
安全环境
组织安全策略
安全目的
产品安全目的
环境安全目的
安全功能要求
拒绝服务攻击行为识别
防御方式
正常流量处理
攻击特征库维护
攻击行为审计
双机热备
设备失效处理
标识与鉴别
安全管理
审计日志
安全保证要求
配置管理
交付与运行
指导性文档
生命周期支持
脆弱性评定
技术要求基本原理
安全功能要求基本原理
安全保证要求基本原理
GA/T1137—2014
GA/T1137—2014
等级划分要求
划分概述
安全功能要求等级划分
安全保证要求等级划分
本标准按照GB/T1.1-2009给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1137—2014
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、安徽中新软件有限公司、北京神州绿盟信息安全科技股份有限公司、公安部第三研究所。本标准主要起草人李毅、张笑笑、赵婷、顾健、俞优、张艳、徐航、储茂阳、周忠,iiKacaOiaiKAca
GA/T1137—2014
本标准详细措述了与抗拒绝服务攻击产品安全环境相关的假设、威胁和组织安全策略,定义了抗拒绝服务攻击产品及其支撑环境的安全目的,通过基本原理论证安全功能要求能够追溯并覆盖产品安全目的,安全目的能够追溯并覆盖安全环境相关的假设、威胁和组织安全策略:本标准基本级参照了GB/T18336.3—20Q8中规定的EAL2级安全保证要求,增强级在EAL4级安全保证要求的基础上,将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击。本标准仅给出了抗拒绝服务攻击产品应满足的安全技术要求,但对抗拒绝服务攻击产品的具体技术实现方式、方法等不做要求。1范围
信息安全技术
抗拒绝服务攻击产品安全技术要求GA/T 11372014
本标准规定了抗拒绝服务攻击产品的安全功能要求、安全保证要求及等级划分要求本标准适用于抗拒绝服务攻击产品的设计开发及检测。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T5271.82001信息技术词汇第8部分:安全GB17859一1999计算机信息系统安全保护等级划分准则GB/T18336—2008(所有部分)信息技术安全技术信息技术安全性评估准则3术语和定义
GB/T5271.8—2001、GB17859—1999和GB/T183362008(所有部分)界定的以及下列术语和定义适用于本文件。
拒绝服务攻击denial of serviceattack一种网络攻击,通过构造特定的网络服务请求,目的在于占用过多的带宽或服务器资源,从面使其他服务请求无法得到正常的响应。3.2
Anti-DoS attackproduct
抗拒绝服务攻击产品
对拒绝服务攻击进行识别和拦截,从而减轻其危害程度的产品。3.3
死亡之ping攻击pingofdeathattack通过发送恶意构造的ICMP超大报文导致目标服务器崩的一种攻击。3.4
泪滴攻击teardropattack
通过发送恶意构造的重登偏移的数据报文导致目标服务器崩溃的一种攻击。3.5
UDP洪水攻击UDPfloodattack
通过发送大量的UDP数据报文占用带宽或服务器资源的--种攻击。3.6
syn洪水攻击synflood attack
通过发送大量的TCP握手报文的第一个数据包,导致目标服务器的资源耗尽,无法响应正常的请求的一种攻击。
HiiKacaQiaiKAca
GA/T1137—2014
旁路功能bypassfunction
设备在异常情况下(断电、死机等),将两个网络物理直连,实现报文全通。4抗拒绝服务攻击产品描述
抗拒绝服务攻击产品通过分析网络中的通信,根据预先定义的过滤规则和防护策略,对拒绝服务类攻击行为进行过滤,以此帮助受保护的网络应用服务抵御来自应用层的攻击。抗拒绝服务攻击产品位于提供网络应用服务的系统和相应的服务对象之间并执行安全功能。其目的是为了保障网络应用服务,此外抗拒绝服务攻击产品本身及其内部的重要数据也是受保护的资产。图1是抗拒绝服务攻击产品的一个典型运行环境。网络应用服务器1
抗拒绝服务攻击产品
不可信网络
网络应用服务器
图1抗拒绝服务攻击产品典型运行环境5安全环境
5.1假设
抗拒绝服务攻击产品安全环境相关假设如表1所示。表1假设
假设名称
物理访间
连接性
安全维护
假设捕述
产品的处理资源应限定在受控的访间设备内,以防止未授权的物理访间。所有实施产品安全策略相关的硬件和软件应受到保护,以免受非授权的物理更改授权管理员是无思意的,训练有素的,并遵循管理员指南网络应用服务、服务对象以及产品在物理上应是连通的当产品的应用环境发生变化时,应立即反映在产品的安全策略中并保持其安全功能有效5.2
抗拒绝服务攻击产品安全环境相关威勘如表2所示。表2威胁
威助名称
拒绝服务攻击
正常流量误判
事件记录失败
非毅权访间
信息泄福
翠力认证
设备异常
组织安全策略
威胁描述
GA/T 1137—2014
恶意用户可能通过构造特殊的数据报文或发送大量数据报文的方式,导致受保护网络应用无法提供正常服务
产品将正常的网络数据报文误判为有威胁的数据并进行过捷,阻碍正常的网络通信产品可能未成功记录相关安全事件,惠意用户可能通过耗尽审计数据存储空间的方法,导致事件记录的丢失或失败,从而掩盖改击行为恶意用户可能试图访间和使用产品提供的安全功能恶意用户可能测览远程授权营理员和产品之间发送的安全相关信息恶意用户可能通过反复猜测签别数据的方法,从面获取管理员权限产品可能遭受断电,故障等异常情况,导致受保护的网络应用服务无法正常提供服务抗拒绝服务攻击产品安全环境相关的绍织安全策略如表3所示。表3
组织安全策略
纽织安全策略名称
安全管理
安全目的
产品安全目的
组织安全策略指述
为追踪所有与安全相关活动的责任,与安全相关的事件应记录、保存和审查产品应为授权管理员提供管理手段,使其以安全的方式进行管理表4定义了产品的安全目的,这些安全目的旨在对应已标识的威勘或组织安全策略,表4产品安全目的
产品安全目的名称
攻击识剧和阻断
事件记录
身份认证
产品安全的描述
产品应仲裁网络应用服务和其服务对象之间交互的信息流,及时发现攻击行为,并根据策略对拒绝服务攻击进行阻断产品应记录和统计拒绝服务攻击行为,记录应具有精确的日期和时间:且产品应提供基本的防止事件记录丢失或失败的搭施
在充许用户访间产品功能之前,产品应对用户身份进行唯的标设和鉴别
iiKacaQiaiKAca
对应的威勘或组织安全策略
拒绝服务攻击
正常流量误判
事件记录失败
非投权访间
GA/T1137—2014
产品安全目的名称
信息保密
鉴别夫败处理
失效处理
6.2环境安全目的
表4(续)
产品安全目的措述
产品应向投权管理员提供以安全方式进行管理的有效手段如果产品允许通过相连网络对其进行远程管理,那么它应保证远程管理信息的保密性
产品应具备安全机制防止恶意用户反复精测鉴别数据产品应具备硬件失效处理指施,保障其保护的网络应用服务能够正带提供服务
产品应记录自身安全相关的事件,以便追踪安全相关行为的责任,并应提供方法审查所记录的数据对应的威胁或组织安全策略
安全管理
信息过露
黎力认证
表5定义了非技术或程序方法进行处理的安全目的。5.1确定的假设被包含在环境安全目的中。表5环境安全目的
环境安全目的名称
物理访间
连接性
安全维护
7安全功能要求
环境安全目的描述
产品的处理资源应限定在受控的访问设备内:以防止未授权对应的假设或威助
物理访间
的物理访间。所有实施产品安全策略相关的硬件和软件应受到保护,以免受非授权的物理更改管理员是无恶意的,训练有素的,并遵循管理员指南网络应用服务与其服务对象之间的网络通信应经过产品当产品的应用环境发生变化时·应立即反应在产品的安全策略中并保持其安全功能有效
7.1拒绝服务攻击行为识别
7.1.1基于数据特征的攻击行为识别人员
连接性
安全维护
产品应支持根据攻击数据特征库,识别符合特征的网络数据报文,从而确定攻击行为,如pingafdeath.teardrop等攻击。Www.bzxZ.net
7.1.2基于统计的攻击行为识别
产品应支持对网络数据报文进行归类计数,根据预置的阅值识别异常流量,从而确定攻击行为,如UDPlood、syn flood等攻击。阔值等关键参数可设置,7.1.3基于自学习的攻击行为识别产品应支持对正常运行环境中网络数据特征进行学习以建立安全基线,将超出安全基线范围的4
量确定为攻击行为。
7.2防御方式
7.2.1攻击源阻断
GA/T 1137-2014
产品应支持对确定实施攻击行为的攻击源的访问行为进行限制或对攻击行为所匹配的数据报文进行限制。
7.2.2替代响应
产品应支持替代受保护的服务对服务请求数据报文进行初步响应,如采用Syn代理技术抵御SynFlood攻击等。
7.2.3强制重复请求
产品应能在网络协议的支持下,通过丢弃初次请求数据报文或发送特定要求重复请求的数据报文等技术,强制要求请求发送方进行重复请求后才予以放行8正常流量处理
产品在抵御攻击流量的同时-应能保证正常流量的通过不受明显影响。7.4攻击特征库维护
7.4.1攻击特征库升级
产品应支持通过人工导人或自动方式对产品攻击特征库进行升级7.4.2特征库内容定制
产品应支持人工添加、修改和删除攻击特征库中的攻击特征数据。5攻击行为审计
7.5.1攻击行为日志
产品应支持记录攻击行为,至少包括攻击行为的源地址,目标地址,类型和时间。7.5.2审计日志存储
产品应提供措施防止审计日志丢失:a)“审计日志应存储于掉电非易失性存储介质中:当存储空间将要耗尽时,应采取适当方式进行报警,并具有一定的措施(如:回滚、按比例剧除b)
最早记录等防止新近的审计数据丢失。7.5.3攻击行为报警
产品应支持通过邮件或其他方式对攻击行为进行报警。报警内容至少包括攻击行为的源地址,目标地址、类型和时间。
7.5.4攻击行为统计报表
产品应支持对攻击行为进行统计并生成报表5
iiKacaQiaiKAca-
GA/T-1137—2014
7.6双机热备
产品应支持双机热备功能
7.7设备失效处理
在设备突发故障无法保证其抗拒绝服务攻击功能的情况下应支持bypass处理方式,保证业务的连续性。
7.8标识与鉴别
7.8.1唯一性标识
产品应为用户提供唯一的身份标识,同时将用户的身份标识与该用户的所有可审计事件相关联。7.8.2身份鉴别
产品应在执行任何与安全功能相关的操作之前对用户身份进行鉴别。7.8.3鉴别数据保护
产品应保证鉴别数据不被末授权查阅和修改。7.8.4鉴别失败处理
当对用户鉴别失败的次数达到设定值后,产品应能按以下方式进行处理:a)终止会话:
b)锁定账号或IP,锁定一定的时间后自动解锁或者直至授权管理员解锁;)产生系统报警消息,通知投权管理员。7.9安全管理
安全功能管理
产品应为授权管理员提供以下管理功能:a)查询、修改各项安全属性;
b)启动、关闭全部或部分监控功能;制定、修改各项安全策略,如阈值参数的设定等。c)
7.9.2区分安全管理角色
产品应对管理员角色进行区分:a)具有至少两种不同权限的管理员角色,如操作员,审计员等:b)应根据不同的功能模块,定义各种不同权限角色,并对管理员分配角色。7.9.3远程保密传输
若产品组件间通过网络进行通讯,应采取保密措施保障组件间数据传输的安全。7.9.4可信管理主机
若控制台提供远程管理功能,应能对可远程管理的主机地址进行限制。6
7.10审计日志
7.10.1审计日志生成
产品应对以下事件进行审计:
a)管理员鉴别事件,包括成功、失败;管理员的重要操作,如增加、剧除管理员,存档、删除、清空日志等:62
c其他一般操作,如目志查阅、对受控主机的监控操作等:d)安全功能要求中所定义的可审计事件每一条审计日志应至少包括事件发生的日期、时间、用户标识、事件描述和结果。7.10.2审计日志存储
产品应提供措施防止审计日志丢失:a)审计日志应存储于掉电非易失性存储介质中:GA/T-1137—2014
b)当存储空间将要耗尽时,应采取适当方式进行报警,并具有一定的措施(如:回滚、按比例删除最早记录等)防止新近的审计数据丢失。7.10.3
审计日志管理
产品应提供以下日志管理功能:a)只充许授权管理员访问审计日志b)按日期、时间、用户标识等条件对审计日志进行组合查询:c)对审计日志进行存档、删除和清空。8安全保证要求
8.1配置管理
8.1.1部分配置管理自动化
配置管理系统应提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示进行已授权的改变。
配置管理计划应描述在配置管理系统中所使用的自动工具,并描述在配置管理系统中如何使用自动工具。
8.1.2配置管理能力
8.1.2.1版本号
开发者应为产品的不同版本提供唯一的标识。8.1.2.2配置项
开发者应使用配置管理系统并提供配置管理文档。配置管理文档应包括一个配置清单,配置清单应唯一标识组成产品的所有配置项并对配置项进行描述,还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效维护的证据。8.1.2.3授权控制
开发者提供的配置管理文档应包括一个配置管理计划,配置管理计划应措述如何使用配置管理系7
iKacahaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。