GB/T 28451-2012
基本信息
标准号:
GB/T 28451-2012
中文名称:信息安全技术 网络型入侵防御产品技术要求和测试评价方法
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:2564KB
相关标签:
信息安全
技术
网络
入侵
产品
测试
评价
方法
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 28451-2012 信息安全技术 网络型入侵防御产品技术要求和测试评价方法
GB/T28451-2012
标准压缩包解压密码:www.bzxz.net
标准内容
ICS35.020
中华人民共和国国家标准
GB/T28451—2012
信息安全技术
网络型入侵防御产品
技术要求和测试评价方法
Information security technology-Technical requirements and testing andevaluation approaches for network-based intrusion prevention system products2012-06-29发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2012-10-01实施
GB/T28451-2012
2规范性引用文件
3术语和定义
4缩略语
人侵防御产品技术要求组成
5.1组成说明
5.2功能和安全要求等级划分
6入侵防御产品的组成
6.1人侵事件分析单元
6.2人侵响应单元
6.3人侵事件审计单元
管理控制单元
7人侵防御产品技术要求
7.1第一级
7.2第二级
7.3第三级
性能要求
8人侵防御产品测评方法
测试环境
测试工具
8.3第一级
第二级
第三级·
性能测试
本标推按照GB/T1.1-2009给出的规则起草。GB/T28451—2012
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TCZ60)提出并归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、北京启明星辰信息安全技术有限公司、北京神州绿盟科技有限公司、福建省海峡信息技术有限公司、沈阳东软系统集成工程有限公司、北京安氏领信科技发展有限公司、网御神州科技(北京)有限公司。本标准主要起草人:沈亮、顾建新、俞优、顾健、袁智辉、韩鹏、张章学、于江、杜永峰、段继平。1范围
信息安全技术网络型入侵防御产品技术要求和测试评价方法
GB/T28451—2012
本标准规定了网络型人侵防御产品的功能要求,产品自身安全要求和产品保证要求,并提出了人侵防御产品的分级要求
本标准适用于网络型人侵防御产品的设计、开发、测试和评价。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB178591999计算机信息系统安全保护等级划分准则GB/T25069—2010信息安全技术术语3术语和定义
GB/T25069—2010和GB17859—1999界定的以及下列术语和定义适用于本文件。3.1
网络型入侵防御产品network-basedintrusionpreventionsystemproducts以网桥或网关形式部署在网络通路上,通过分析网络流量发现具有入侵特征的网络行为,在其传人被保护网络前进行拦截的产品。3.2
TCP流重组TCPreassembly
攻击者将发送的攻击数据分别在一个会话连接中的多个数据包发出,用来避入侵防御系统的检测行为。
SHELL代码变形SHELLdeformation针对缓冲区溢出攻击,攻击者用其他方式替代原有程序指令并以一种伪随机的方式结合到一起,用来躲避入侵防御系统的检测行为。3.4
管理员administrator
对使用入侵防御产品的授权操作员,安全员、审计员等的统称。3.5
告管alert
当人侵防御产品发现有人侵行为时,向用户发出的紧急通知。3.6
误截falseblocking
人侵防御产品在未发生攻击时对会话进行拦截的情况。对于在出现攻击时未发出或者发出错误的1
KacadiaiKAca
GB/T284512012
告警信息并进行拦截的情况,因不影响到实际人侵截效果,故本标准的此项定义不包含这种情况3.7
missblocking
当出现产品支持的攻击行为时,入侵防御产品未实现拦截攻击的情况。4缩略语
ARP:地址解析协议(AddressResolutionProtocol)DNS:域名系统(DomainNameSystem)FTP:文件传输协议(FileTransferProtocol)HTTP:超文本传输协议(HyperTextTransferProtocol)ICMP:网间控制报文协议(InternetControlMessageProtocol)IP:网际协议(InternetProtocol)MSN:微软网络服务(MicrosoftServiceNetwark)NFS:网络文件系统(NetworkFileSystem)POP3:邮局协议3(PostOfficeProtocol3)P2P:点对点(PointtoPoint)
RPC:远程过程调用(RemoteProcedureCall)SMB:服务器信息块(ServerMessageBlock)SMTP:简单邮件传输协议(SimpleMailTransferProtocol)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)TCP:传输控制协议(TransmissionControlProtocol)TFTP:简单文件传输协议(TrivialFileTransferProtocol)UDP.用户数据报协议(UserDatagramProtocol)URL统一资源定位器(UniversalResourceLocator)5入侵防御产品技术要求组成
5.1组成说明
5.1.1第一级Www.bzxZ.net
本级规定了入侵防御产品的最低安全要求。产品具备基本的协议分析人侵发现和拦截能力,并对人侵事件生成记录,通过简单的用户标识和鉴别来限制对产品的功能配置和数据访间的控制,使用户具备自主安全保护的能力,阻止非法用户危害人侵防御产品,保护人侵防御产品的正带运行。5.1.2第二级
本级要求划分安全管理角色,以细化对人侵防衡产品的管理。加人审计功能,使得授权管理员的行为是可追踪的。产品在实现人侵发现、拦截的同时,更要求具备及时告警的功能,对于事件记录还要求能生成、输出报表,以及要求具备硬件失效处理机制。5.1.3第三级
本级要求人侵防御产品提供对外的通用接口,报表结果具备模板定制等功能,还要求具备多鉴别机制、升级安全、自我隐藏、负载均衡等功能,对产品的自身安全提出更高的要求,对产品的正常运行提供更强的保护。
5.1.4性能
本项对入侵防御产品的性能要求进行了规定,覆盖所有等级。5.2功能和安全要求等级划分
GB/T28451-2012
入侵防御产品的安全等级划分如表1、表2所示。对人侵防御产品的等级评定是依据表1和表2,结合产品保证要求的综合评定得出的,符合第一级的人侵防御产品应满足表1,表2中所标明的一级产品应满足的所有项目,以及对第一级产品的相关保证要求,符合第二级的入侵防御产品应满足表1、表2中所标明的二级产品应满足的所有项目,以及对第二级产品的相关保证要求:符合第三级的入侵防御产品应满足表1、表2中所标明的三级产品应满足的所有项目,以及对第三级产品的相关保证要求。表1入侵防御产品功能要求等级划分表产品功能和性能要求
人侵事件分析要求
人侵响应功能要求
人侵事件审计功能
管理控制功能要求
注,““表示具有该要求。
数据收
协议分析
人侵发现
功能组件
人侵巡避发现
流量监测
拦裁能力
安全告警
告警方式
事件合并
事件生成
事件记录
报表生成
报表查阅
报表输出
报表模板的定制
管理界面
人侵事件库
事件分级
事件定义
协议定义
流量控制
通用接口
硬件失效处理
策路配置
产品升级
管理接口独立
-iKacaiaiKAca
GB/T28451-2012
安全功能要求
标识和鉴别
用户管理
安全功能保护
安全审计
注,“*”表示具有该要求,
6入侵防御产品的组成
6.1入侵事件分析单元
表2入侵防御产品自身安全要求等级划分表功能组件
用户鉴别
鉴别失败的处理
鉴别数据保护
超时锁定
多鉴别机制
标识唯一性
用户属性定义
角色分级
安全数据普理
数据存储告警
升级安全
自我隐藏
审计数据生成
审计查阅
受限的审计查阅
采用相关的分析检测技术,对流入目标网络内的所有数据进行提取并分析。6.2入侵响应单元
根据定义的策略对入侵行为进行拦截响应。6.3入侵事件审计单元
在违反安全策略的入侵事件发生时,对事件发生的时间、主体和客体等信息进行记录和统计。6.4管理控制单元
负责人侵防御产品定制策略,审阅日志、产品状态管理,并以可视化形式提交授权用户进行管理。7入侵防御产品技术要求
7.1第一级
7.1.1产品功能要求
7.1.1.1入侵事件分析功能要求
7. 1.1. 1. 1
数据收集
入侵防御产品应具有实时收集流人目标网络内所有数据包的能力。7.1.1.1.2协议分析
入侵防御产品应对收集的数据包进行协议分析。7.1.1.1.3入侵发现
人侵防御产品应能发现协议中的人侵行为。7.1.1.1.4流量监测
人侵防御产品应对目标环境中的异常流量进行监测。7.1.1.2入侵响应功能要求
GB/T28451—2012
人侵防御产品应对发现的人侵行为进行预先拦截,防止入侵行为进人目标网络。7.1.1.3入侵事件审计功能要求
7.1.1.3.1事件生成
人侵防御产品应能对拦截行为及时生成审计记录。7.1.1.3.2事件记录
人侵防御产品应记录并保存拦截到的入侵事件,人侵事件信息应至少包含事件名称、事件发生日期和时间、源IP地址、源端口、目的IP地址、目的端口、危害等级等内容7.1.1.4管理控制功能要求
7.1.1.4.1管理界面
入侵防御产品应提供用户界面用于管理、配置人侵防御产品。管理配置界面应包含配置和管理产品所需的所有功能。
7.1.1.4.2入侵事件库
入侵防御产品应提供人侵事件库。事件库应包括事件名称、详细描述定义等。7.1.1.4.3事件分级
入侵防产品应按照事件的严重程度对事件进行分级,以使授权管理员能从大量的信息中捕捉到危险的事件。
iKacaOiaiKAca-
GB/T28451-2012
7.1.1.4.4硬件失效处理
人侵防御产品应提供硬件失效处理机制。7.1.1.4.5策略配置
人侵防御产品应提供对入侵防御策略、响应措施进行配置的功能。7.1.1.4.6产品升级
入侵防御产品应具备更新、升级产品事件库的能力。7.1.1.4.7管理接口独立
入侵防御产品应具备独立的管理接口。7.1.2产品自身安全要求
7.1.2.1标识和鉴别
7.1.2.1. 1用户鉴别
入侵防御产品应在用户执行任何与安全功能相关的操作之前对用户进行签别。7.1.2.1.2鉴别失败的处理
入侵防御产品应在用户鉴别尝试失败连续达到指定次数后,阻止用户进一步进行尝试。7.1.2.1.3鉴别数据保护
人侵防御产品应保护鉴别数据不被未授权查阅和修改。7.1.2.2用户管理
7.1.2.2.1标识唯一性
人侵防御产品应保证所设置的用户标识全局唯一。7.1.2.2.2用户属性定义
入侵防御产品应为每一个用户保存安全属性表,属性应包括用户标识、鉴别数据、授权信息或用户组信息、其他安全属性等。
7.1.2.3安全功能保护
人侵防御产品应仅限于指定的授权用户访问事件数据,禁止其他用户对事件数据的操作。7.1.3产品保证要求
7.1.3.1配置管理
开发者应为人侵防御产品的不同版本提供唯一的标识。人侵防御产品的每个版本应当使用它们的唯一标识作为标签。7.1.3.2交付与运行
开发者应提供文档说明人侵防御产品的安装、生成和启动。6
7.1.3.3安全功能开发
7.1.3.3.1功能设计
开发者应提供文档说明人侵防御产品的安全功能设计。GB/T28451-2012
功能设计应以非形式方法来措述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节。7.1.3.3.2表示对应性
开发者应在入侵防御产品安全功能表示的所有相邻对之间提供对应性分析。7.1.3.4指导性文档
7.1.3.4.1管理员指南
开发者应给授权管理员提供包括以下内容的管理员指南:a)人侵防御产品可以使用的管理功能和接口;b)
怎样安全地管理人侵防御产品
在安全处理环境中应进行控制的功能和权限;e
所有对与人侵防御产品的安全操作有关的用户行为的假设;d
所有受管理员控制的安全参数,如果可能,应指明安全值:e
每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的f)
改变;
g)所有与授权管理员有关的IT环境的安全要求。管理员指南应与为评价而提供的其他所有文件保持一致。7.1.3.4.2用户指南
开发者应提供包括以下内容的用户指南:a)人侵防御产品的非管理用户可使用的安全功能和接口;b)人侵防御产品提供给用户的安全功能和接口的用法;用户可获取但应受安全处理环境控制的所有功能和权限;d入侵防御产品安全操作中用户所应承担的职责:e)与用户有关的IT环境的所有安全要求。用户指南应与为评价而提供的其他所有文件保持一致。7.1.3.5开发安全要求
开发者应提供包括以下内容的开发安全文件:a)开发安全文件应描述在人侵防御产品的开发环境中,为保护人侵防御产品设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施;b)开发安全文件还应提供在人侵防御产品的开发和维护过程中执行安全措施的证据。7.1.3.6测试
7.1.3.6.1范围
开发者应提供测试覆盖的分析结果7
iiKacaOiaiKAca
GB/T28451—2012
测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的。
7.1.3.6.2功能测试
开发者应测试安全功能,并提供以下测试文档a)测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果。测试计划应标识要测试的安全功能,并描述测试的目标。测试规程应标识要执行的测试,并描b)
述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依赖性。e)期望的测试结果应表明测试成功后的预期输出。d)实际测试结果应表明每个被测试的安全功能能按照规定进行运作。7.2第二级
7.2.1产品功能要求
7.2.1.1入侵事件分析功能要求
7.2.1.1. 1数据收集
人侵防御产品应具有实时收集流入目标网络内所有数据包的能力。7.2.1.1.2协议分析
人侵防御产品应对收集的数据包进行协议分析。7.2.1.1.3入侵发现
入侵防御产品应能发现协议中的人侵行为。7.2.1.1.4入侵逃避发现
入侵防御产品应能发现躲避或欺骗检测的行为,如IP碎片重组、TCP流重组、协议端口重定位、URL字符串变形、SHELL代码变形等。7.2.1.1.5流量监测
人侵防御产品应对目标环境中的异常流量进行监测。7.2.1.2入侵响应功能要求
7.2.1.2.1拦截能力
人侵防御产品应对发现的入侵行为进行预先拦截,防止人侵行为进入目标网络。7.2.1.2.2安全告警
入侵防御产品应在发现并拦截人侵行为时,采取相应动作发出安全警告。7.2.1.2.3告警方式
人侵防御产品的告警方式宜采取屏幕实时提示,E-mail告警、声音告警等一种或多种方式。7.2.1.2.4事件合并
入侵防御产品应具有对高频度发生的相同安全事件进行合并告,避免出现告替风暴的能力。8
7.2.1.3入侵事件审计功能要求
7.2.1,3.1事件生成
入侵防御产品应能对拦截行为及时生成审计记录。7.2.1.3.2事件记录
GB/T28451—2012
入侵防御产品应记录并保存拦裁到的入侵事件。人侵事件信息应至少包含事件名称、事件发生日期和时间、源IP地址、源端口、目的IP地址、目的端口、危害等级等内容。7.2.1.3.3报表生成
人侵防御产品应能生成详尽的结果报表。7.2.1.3.4报表查阅
人侵防御产品应具有浏览结果报表的功能。7.2.1.3.5报表输出
人侵防御产品应支持管理员按照自己的要求修改和定制报表内容,并输出成方便阅读的文件格式,至少支持以下报表文件格式中的一种或多种:DOC、PDF、HTML、XLS等。7.2.1.4管理控制功能要求
7.2.1.4.1管理界面
人侵防御产品应提供用户界面用于管理、配置人侵防御产品。管理配置界面应包含配置和管理产品所需的所有功能。
7.2.1.4.2入侵事件库
人侵防御产品应提供人侵事件库。事件库应包括事件名称、详细描述定义等7.2、1.4.3事件分级
人侵防御产品应按照事件的严重程度对事件进行分级,以使授权管理员能从大量的信息中捕提到危险的事件。
7.2.1.4.4事件定义
人侵防御产品应允许授权管理员自定义策略事件。7.2.1.4.5协议定义
人侵防御产品除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端口进行重新定位。
7.2.1.4.6流量控制
人侵防御产品具备对异常流量进行控制的功能。7.2.1.4.7硬件失效处理
入侵防御产品应提供硬件失效处理机制。9
rKacadiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。