GA/T 1728-2020
基本信息
标准号: GA/T 1728-2020
中文名称:信息安全技术基于IPv6的高性能网络入侵检测系统产品安全技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:11575064
相关标签: 信息安全 技术 基于 高性能 网络 入侵 检测 系统 产品安全
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 1728-2020.Information security technology-Security technical requirements for IPv6-based high-performance network intrusion detection system products.
1范围
GA/T 1728规定了基于IPv6的高性能网络人侵检测系统产品的安全功能要求、环境适应性要求、性能要求、安全保障要求及安全等级划分。
GA/T 1728适用于基于IPv6的高性能网络人侵检测系统产品的设计、开发与测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3- -2015信息技术安全技术信息技术安全评估准则第 3部分:安全保障组件
GB/T 25069- -2010 信息安全技术 术语
3术语和定义
GB/T 18336.3- 2015 和GB/T 25069- -2010 界定的以及下列术语和定义适用于本文件.
3.1事件event
一种系统、服务或网络状态的发生或者改变的记录信息,可作为分析安全事件的基础.
3.2安全事件incident
通过对事件的分析处理,从而识别出一.种系统.服务或网络状态的发生,表明一次可能的违反安全规则或某些防护措施失效,或者-种可能与安全相关但以前不为人知的情况,极有可能危害业务运行和威胁信息安全。
3.3入侵intrusion
任何危害或可能危害资源完整性、保密性或可用性的行为。
3.4入侵检测intrusion detection
通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.
1范围
GA/T 1728规定了基于IPv6的高性能网络人侵检测系统产品的安全功能要求、环境适应性要求、性能要求、安全保障要求及安全等级划分。
GA/T 1728适用于基于IPv6的高性能网络人侵检测系统产品的设计、开发与测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3- -2015信息技术安全技术信息技术安全评估准则第 3部分:安全保障组件
GB/T 25069- -2010 信息安全技术 术语
3术语和定义
GB/T 18336.3- 2015 和GB/T 25069- -2010 界定的以及下列术语和定义适用于本文件.
3.1事件event
一种系统、服务或网络状态的发生或者改变的记录信息,可作为分析安全事件的基础.
3.2安全事件incident
通过对事件的分析处理,从而识别出一.种系统.服务或网络状态的发生,表明一次可能的违反安全规则或某些防护措施失效,或者-种可能与安全相关但以前不为人知的情况,极有可能危害业务运行和威胁信息安全。
3.3入侵intrusion
任何危害或可能危害资源完整性、保密性或可用性的行为。
3.4入侵检测intrusion detection
通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.
标准图片预览
标准内容
ICS35.040
中华人民共和国公共安全行业标准GA/T1728—2020
信息安全技术基于IPv6的高性能网络入侵检测系统产品安全技术要求Information security technology-Security technical requirements for IPv6-basedhigh-performance network intrusion detection system products2020-05-13发布
中华人民共和国公安部
2020-08-01实施
规范性引用文件
术语和定义
缩略语
基于IPv6的高性能网络入侵检测系统产品描述6总体说明
6.1安全技术要求分类
安全等级
安全功能要求
数据探测功能要求
入侵分析功能要求
入侵响应功能要求
管理控制功能要求
检测结果处理要求
产品灵活性要求
身份鉴别
管理员管理
安全审计
事件数据安全
通信安全
产品自身安全
网络环境适应性要求
支持纯IPv6网络环境
IPv6网络环境下自身管理
支持IPv6过渡网络环境(可选)性能要求
误报率
漏报率
监控流量
监控并发连接数:
监控新建TCP连接速率
还原能力
安全保障要求
指导性文档
-rrKaeerKAca-
GA/T1728—2020
GA/T1728—2020
生命周期支持
脆弱性评定
11不同安全等级的要求
11.1安全功能要求
安全保障要求
-rKaeerkAca-
本标准按照GB/T1.1一2009给出的规则起草本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1728—2020
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所、网神信息技术(北京)股份有限公司。
本标准主要起草人:宋好好、顾建新、武腾、邹春明、陆臻、沈亮、顾健、李博、杨柳。m
-riKaeerkca-
1范围
信息安全技术基于IPv6的高性能网络入侵检测系统产品安全技术要求GA/T1728—2020
本标准规定了基于IPv6的高性能网络人侵检测系统产品的安全功能要求、环境适应性要求、性能要求、安全保障要求及安全等级划分。本标准适用于基于IPv6的高性能网络入侵检测系统产品的设计、开发与测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T25069一2010:信息安全技术术语3术语和定义
GB/T18336.3—2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。3.1
事件event
一种系统、服务或网络状态的发生或者改变的记录信息,可作为分析安全事件的基础。3.2
安全事件incident
通过对事件的分析处理,从而识别出一种系统、服务或网络状态的发生,表明一次可能的违反安全规则或某些防护措施失效,或者一种可能与安全相关但以前不为人知的情况,极有可能危害业务运行和威胁信息安全。
入侵intrusion
任何危害或可能危害资源完整性、保密性或可用性的行为。3.4
入侵检测intrusiondetection
通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。3.5免费标准bzxz.net
探测器sensor
用于收集可能指示出入侵行为或者滥用信息系统资源的实时事件,并对收集到的信息进行初步分析的人侵检测系统组件。
rKaeerkAca-
GA/T1728—2020
告警alert
当攻击或人侵发生时,高性能人侵检测系统向授权管理员发出的紧急通知。3.7
response
当攻击或人侵发生时,针对信息系统及存储的数据采取的保护并恢复正常运行环境的行为。3.8
误报falsepositive
高性能人侵检测系统在未发生攻击时告警,或者发出错误的告警信息。3.9
false negative
当攻击发生时高性能人侵检测系统未告警。4缩略语
下列缩略语适用于本文件。
ARP:地址解析协议(AddressResolutionProtocol)DNS:域名系统(DomainNameSystem)FTP:文件传输协议(FileTransferProtocol)HTML:超文本标记语言(HypertextMarkupLanguage)ICMP:网际控制报文协议(InternetControlMessageProtocol)IDS:人侵检测系统(IntrusionDetectionSystem)IMAP:因特网消息访间协议(InternetMessageAccessProtocol)IP:网际协议(InternetProtocol)IPv6:互联网协议第6版(InternetProtocolVersion6)NFS:网络文件系统(NetworkFileSystem)POP3:邮局协议的第三个版本(PostOfficeProtocol3)RIP:路由选择信息协议(RoutingInformationProtocol)RPC:远程过程调用(RemoteProcedureCall)SMTP:简单邮件传送协议(SimpleMailTransferProtocol)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)TCP:传输控制协议(TransportControlProtocol)TELNET:远程登录(TelecommunicationNetwork)TFTP:普通文件传送协议(TrivialFileTransferProtocol)UDP:用户数据报协议(UserDatagramProtocol)5基于IPv6的高性能网络入侵检测系统产品描述基于IPv6的高性能网络人侵检测系统产品以网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,从而发现异常行为并报警。基于IPv6的高性能网络人侵检测系统产品采用旁路模式接人目标网络。在旁路模式下,高性能人侵检测系统旁路连接在目标网络中,通过采集交换机镜像口网络通信数据工作。图1为基于IPv6的高性能网络人侵检测系统产品旁路模式的一个典型运行环境。2
-rrKaeerKAca-
扫描主机
6总体说明
攻击工具集
被攻击主机1
攻击源主机
交换机
被攻击主机
入受检测系统控制台
协议分
析工具
GA/T1728—2020
基于IPv6的高性能
网终入侵检测系统
1台或n台)
图1基于IPv6的高性能网络入侵检测系统产品典型运行环境6.1安全技术要求分类
本标准将基于IPv6的高性能网络入侵检测系统产品安全技术要求分为安全功能要求、网络环境适应性要求、性能要求、安全保障要求4个大类。其中,安全功能要求是对基于IPv6的高性能网络入侵检测系统产品应具备的安全功能提出的具体要求,包括数据探测功能要求、人侵分析功能要求、人侵响应功能要求等,网络环境适应性要求是对基于IPv6的高性能网络入侵检测系统产品应具备的网络环境适应性提出的具体要求,包括支持纯IPv6网络环境和IPv6网络环境下自身管理等;性能要求是对基于IPv6的高性能网络人侵检测系统产品应具备的性能提出的具体要求,包括误报率和漏报率等;安全保障要求是针对基于IPv6的高性能网络入侵检测系统产品的开发和使用文档的内容提出的具体要求,例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。6.2安全等级
基于IPv6的高性能网络人侵检测系统产品的安全等级按照其安全功能要求和安全保障要求的强度划分为基本级和增强级,其中安全保障要求参考了GB/T18336.3一2015。7安全功能要求
7.1数据探测功能要求
7.1.1数据收集
产品应具有实时获取受保护网段内用于检测分析数据包的能力。7.1.2协议分析
产品至少但不限于应监视基于以下协议的事件:IP、ICMP、ARP、RIP、TCP、UDP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS.SMTP、POP3、NETBIOS、NFS、NNTP等。3
-rKaeerkca-
GA/T1728—2020
7.1.3行为监测
产品至少但不限于应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等。7.1.4流量监测
产品应监视整个网络或者某一特定协议、地址、端口的报文流量和学节流量。7.2
2入侵分析功能要求
7.2.1数据分析
产品应对收集的数据包进行分析,发现攻击事件。2分析方式
产品应以模式匹配、协议分析、人工智能等一种或多种方式进行人侵分析。7.2.3防躲避能力
产品应能发现躲避或欺骗检测的行为,如IP碎片重组、TCP流重组、协议端口重定位、URL字符串变形、shell代码变形等。
7.2.4事件合并
产品应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。7.2.5事件关联
产品应具有把不同的事件关联起来,发现低危害事件中隐含的高危害攻击的能力。7.3入侵响应功能要求
7.3.1安全告警
当产品检测到入侵时,应自动采取相应动作以发出安全警告。告警方式
产品应能通过屏幕实时提示、E-mail、声音、短消息等方式告警。7.3.3
8排除响应
产品应允许管理员定义对被检测网段中指定的目标主机或特定的事件不予告警,降低误报,7.3.4定制响应
产品应允许管理员对被检测网段中指定的目标主机或特定的事件定制不同的响应方式,以对特定的事件突出告警。
7.3.5防火墙联动
产品应具有与防火墙进行联动的能力,可按照设定的联动策略自动调整防火墙配置。4
-rKaeerkAca-
7.3.6全局预警
GA/T1728—2020
产品应具有全局预警功能,通过控制台可在设定全局预警的策略后,将局部出现的重大安全事件通知其上级控制台或者下级控制台。7.3.7入侵管理
产品应具有全局安全事件的管理能力,可与安全管理中心或网络管理中心进行联动。7.3.8事件定位
产品应支持事件定位,可以定位到攻击源的地理位置(国家、城市)。7.4管理控制功能要求
7.4.1图形界面
产品应提供图形化的管理界面用于管理、配置产品。管理配置界面应包含配置和管理产品所需的所有功能。
7.4.2事件数据库
产品的事件数据库应包括事件定义和分析、详细的漏洞修补方案、可采取的对策等。7.4.3事件分级
产品应按照事件的严重程度将事件分级。7.4.4策略配置
产品应提供产品策略配置方法和手段。7.4.5产品升级
产品应具有更新、升级产品和事件库的能力。7.4.6统一升级
产品应提供由控制台对各探测器的事件库进行统一升级的功能。7.4.7分布式部署
产品应具有本地或异地分布式部署、远程管理的能力。7.4.8集中管理
产品应设置集中管理中心,对分布式、多级部署的人侵检测系统进行统一集中管理,形成多级管理结构。
7.4.9同台管理
对同一个厂家生成的产品,如果同时具有网络型入侵检测系统和主机型入侵检测系统,二者宜被同一个控制台统一进行管理。
-rKaeerkca-
GA/T1728—2020
7.4.10端口分离
产品的探测器应配备不同的端口分别用于产品管理和网络数据监听。7.4.11硬件失效处理
对于硬件产品,系统失效时应及时向授权管理员报警。7.4.12多级管理
产品应具有多级管理的能力。
5检测结果处理要求
7.5.1事件记录
产品应记录并保存检测到的入侵事件。入侵事件信息应至少包含以下内容:事件发生时间、源地址、目的地址、危害等级、事件详细措述以及解决方案建议等。
7.5.2事件可视化
管理员应能通过管理界面实时清晰地查看人侵事件。7.5.3报告生成
产品应能生成详尽的检测结果报告。7.5.4报告查阅
产品应具有浏览检测结果报告的功能。5报告输出
检测结果报告应可输出成方便管理员阅读的文件格式,如Word文件、HTML文件、文本文件等。6产品灵活性要求
7.6.1报告定制
产品应支持授权管理员按照自已的要求修改和定制报告内容。7.6.2
2窗口定义
产品应支持管理员自定义窗口显示的内容和显示方式,7.6.3事件定义
产品应允许授权管理员自定义事件,或者对默认提供的事件作修改,并提供定义方法。7.6.4协议定义
产品除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端口进行重新定位。
-rrKaeerkAca-
7.6.5通用接口
GA/T1728—2020
产品应提供对外的通用接口,以便与其他安全设备(如网络管理软件、防火墙等)共享信息或规范化联动。
7.7身份鉴别
7.7.1管理员鉴别
产品应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别。7.7.2鉴别失败的处理
当管理员鉴别尝试失败连续达到指定次数后,产品应锁定该账号或登录IP。最多失败次数仅由授权管理员设定。
7.7.3鉴别数据保护
产品应保护鉴别数据不被未授权查阅和修改。7.7.4超时设置
产品应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新管理产品。最大超时时间仅由授权管理员设定。7.7.5多鉴别机制
产品应提供多种鉴别方式,或者允许授权管理员执行自定义的鉴别措施,以实现多重身份鉴别措施。多鉴别机制应同时使用。
7.7.6会话锁定
产品应允许管理员锁定自己的交互会话,锁定后需要再次进行身份鉴别才能够重新管理产品。8管理员管理
7.8.1标识唯一性
产品应保证所设置的管理员标识全局唯一。7.8.2用户属性定义
产品应为每一个管理员保存安全属性表,属性应包括:管理员标识、鉴别数据、授权信息或管理组信息、其他安全属性等。
7.8.3安全行为管理
产品应仅允许授权管理员对产品的功能具有禁止、修改的能力。7.8.4管理员角色
产品应设置多个角色,不同的角色具有不同的管理权限,以增加产品管理的安全性。7.8.5安全属性管理
产品应仅允许授权角色可以对指定的安全属性进行查询、修改、删除、改变其默认值等操作。-rrKaeerkAca-
GA/T1728—2020
7.9安全审计
7.9.1审计数据生成
产品应能为下述可审计事件产生审计记录:审计级别以内的所有可审计事件(如鉴别失败等重大事件)等。应在每个审计记录中至少记录如下信息:事件的日期和时间、事件类型、主体身份、事件的结果(成功或失败)等。
7.9.2审计数据可用性
审计数据的记录方式应便于管理员理解。7.9.3审计查阅
产品应为授权管理员提供从审计记录中读取全部审计信息的功能。7.9.4受限的审计查阅
除了具有明确读访问间权限的授权管理员之外,产品应禁止所有非授权管理员对审计记录的读访间。7.10事件数据安全
7.10.1安全数据管理
产品应仅限于指定的授权角色访问事件数据,禁止其他管理员对事件数据的操作。7.10.2数据存储安全
产品应在发生事件数据存储器空间将耗尽等情况时,采取措施避免最新事件数据丢失。7.10.3数据存储告警
产品应在发生事件数据存储器空间将耗尽等情况时,自动产生告警,并采取措施避免事件数据丢失。产生告警的剩余存储空间大小应由授权管理员自主设定。7.11通信安全
7.11.1通信保密性
若产品采用远程方式管理,应保证远程管理数据保密传输;若产品由多个组件组成,应保证控制命令、传输数据等信息在组件间保密传输。7.11.2通信稳定性
产品应采取点到点协议等保证通信稳定性的方法,保证各部件和控制台之间传递的信息不因网络故障而丢失或延迟。
7.11.3升级安全
产品应确保事件库和版本升级时的数据安全,应确保升级包是由开发商提供的。7.12产品自身安全
7.12.1自我隐藏
产品应采取隐藏探测器IP地址等措施使自身在网络上不可见,以降低被攻击的可能性。80
-riKacerKAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T1728—2020
信息安全技术基于IPv6的高性能网络入侵检测系统产品安全技术要求Information security technology-Security technical requirements for IPv6-basedhigh-performance network intrusion detection system products2020-05-13发布
中华人民共和国公安部
2020-08-01实施
规范性引用文件
术语和定义
缩略语
基于IPv6的高性能网络入侵检测系统产品描述6总体说明
6.1安全技术要求分类
安全等级
安全功能要求
数据探测功能要求
入侵分析功能要求
入侵响应功能要求
管理控制功能要求
检测结果处理要求
产品灵活性要求
身份鉴别
管理员管理
安全审计
事件数据安全
通信安全
产品自身安全
网络环境适应性要求
支持纯IPv6网络环境
IPv6网络环境下自身管理
支持IPv6过渡网络环境(可选)性能要求
误报率
漏报率
监控流量
监控并发连接数:
监控新建TCP连接速率
还原能力
安全保障要求
指导性文档
-rrKaeerKAca-
GA/T1728—2020
GA/T1728—2020
生命周期支持
脆弱性评定
11不同安全等级的要求
11.1安全功能要求
安全保障要求
-rKaeerkAca-
本标准按照GB/T1.1一2009给出的规则起草本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1728—2020
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所、网神信息技术(北京)股份有限公司。
本标准主要起草人:宋好好、顾建新、武腾、邹春明、陆臻、沈亮、顾健、李博、杨柳。m
-riKaeerkca-
1范围
信息安全技术基于IPv6的高性能网络入侵检测系统产品安全技术要求GA/T1728—2020
本标准规定了基于IPv6的高性能网络人侵检测系统产品的安全功能要求、环境适应性要求、性能要求、安全保障要求及安全等级划分。本标准适用于基于IPv6的高性能网络入侵检测系统产品的设计、开发与测试。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T25069一2010:信息安全技术术语3术语和定义
GB/T18336.3—2015和GB/T25069—2010界定的以及下列术语和定义适用于本文件。3.1
事件event
一种系统、服务或网络状态的发生或者改变的记录信息,可作为分析安全事件的基础。3.2
安全事件incident
通过对事件的分析处理,从而识别出一种系统、服务或网络状态的发生,表明一次可能的违反安全规则或某些防护措施失效,或者一种可能与安全相关但以前不为人知的情况,极有可能危害业务运行和威胁信息安全。
入侵intrusion
任何危害或可能危害资源完整性、保密性或可用性的行为。3.4
入侵检测intrusiondetection
通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。3.5免费标准bzxz.net
探测器sensor
用于收集可能指示出入侵行为或者滥用信息系统资源的实时事件,并对收集到的信息进行初步分析的人侵检测系统组件。
rKaeerkAca-
GA/T1728—2020
告警alert
当攻击或人侵发生时,高性能人侵检测系统向授权管理员发出的紧急通知。3.7
response
当攻击或人侵发生时,针对信息系统及存储的数据采取的保护并恢复正常运行环境的行为。3.8
误报falsepositive
高性能人侵检测系统在未发生攻击时告警,或者发出错误的告警信息。3.9
false negative
当攻击发生时高性能人侵检测系统未告警。4缩略语
下列缩略语适用于本文件。
ARP:地址解析协议(AddressResolutionProtocol)DNS:域名系统(DomainNameSystem)FTP:文件传输协议(FileTransferProtocol)HTML:超文本标记语言(HypertextMarkupLanguage)ICMP:网际控制报文协议(InternetControlMessageProtocol)IDS:人侵检测系统(IntrusionDetectionSystem)IMAP:因特网消息访间协议(InternetMessageAccessProtocol)IP:网际协议(InternetProtocol)IPv6:互联网协议第6版(InternetProtocolVersion6)NFS:网络文件系统(NetworkFileSystem)POP3:邮局协议的第三个版本(PostOfficeProtocol3)RIP:路由选择信息协议(RoutingInformationProtocol)RPC:远程过程调用(RemoteProcedureCall)SMTP:简单邮件传送协议(SimpleMailTransferProtocol)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)TCP:传输控制协议(TransportControlProtocol)TELNET:远程登录(TelecommunicationNetwork)TFTP:普通文件传送协议(TrivialFileTransferProtocol)UDP:用户数据报协议(UserDatagramProtocol)5基于IPv6的高性能网络入侵检测系统产品描述基于IPv6的高性能网络人侵检测系统产品以网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,从而发现异常行为并报警。基于IPv6的高性能网络人侵检测系统产品采用旁路模式接人目标网络。在旁路模式下,高性能人侵检测系统旁路连接在目标网络中,通过采集交换机镜像口网络通信数据工作。图1为基于IPv6的高性能网络人侵检测系统产品旁路模式的一个典型运行环境。2
-rrKaeerKAca-
扫描主机
6总体说明
攻击工具集
被攻击主机1
攻击源主机
交换机
被攻击主机
入受检测系统控制台
协议分
析工具
GA/T1728—2020
基于IPv6的高性能
网终入侵检测系统
1台或n台)
图1基于IPv6的高性能网络入侵检测系统产品典型运行环境6.1安全技术要求分类
本标准将基于IPv6的高性能网络入侵检测系统产品安全技术要求分为安全功能要求、网络环境适应性要求、性能要求、安全保障要求4个大类。其中,安全功能要求是对基于IPv6的高性能网络入侵检测系统产品应具备的安全功能提出的具体要求,包括数据探测功能要求、人侵分析功能要求、人侵响应功能要求等,网络环境适应性要求是对基于IPv6的高性能网络入侵检测系统产品应具备的网络环境适应性提出的具体要求,包括支持纯IPv6网络环境和IPv6网络环境下自身管理等;性能要求是对基于IPv6的高性能网络人侵检测系统产品应具备的性能提出的具体要求,包括误报率和漏报率等;安全保障要求是针对基于IPv6的高性能网络入侵检测系统产品的开发和使用文档的内容提出的具体要求,例如开发、指导性文档、生命周期支持、测试、脆弱性评定等。6.2安全等级
基于IPv6的高性能网络人侵检测系统产品的安全等级按照其安全功能要求和安全保障要求的强度划分为基本级和增强级,其中安全保障要求参考了GB/T18336.3一2015。7安全功能要求
7.1数据探测功能要求
7.1.1数据收集
产品应具有实时获取受保护网段内用于检测分析数据包的能力。7.1.2协议分析
产品至少但不限于应监视基于以下协议的事件:IP、ICMP、ARP、RIP、TCP、UDP、RPC、HTTP、FTP、TFTP、IMAP、SNMP、TELNET、DNS.SMTP、POP3、NETBIOS、NFS、NNTP等。3
-rKaeerkca-
GA/T1728—2020
7.1.3行为监测
产品至少但不限于应监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等。7.1.4流量监测
产品应监视整个网络或者某一特定协议、地址、端口的报文流量和学节流量。7.2
2入侵分析功能要求
7.2.1数据分析
产品应对收集的数据包进行分析,发现攻击事件。2分析方式
产品应以模式匹配、协议分析、人工智能等一种或多种方式进行人侵分析。7.2.3防躲避能力
产品应能发现躲避或欺骗检测的行为,如IP碎片重组、TCP流重组、协议端口重定位、URL字符串变形、shell代码变形等。
7.2.4事件合并
产品应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。7.2.5事件关联
产品应具有把不同的事件关联起来,发现低危害事件中隐含的高危害攻击的能力。7.3入侵响应功能要求
7.3.1安全告警
当产品检测到入侵时,应自动采取相应动作以发出安全警告。告警方式
产品应能通过屏幕实时提示、E-mail、声音、短消息等方式告警。7.3.3
8排除响应
产品应允许管理员定义对被检测网段中指定的目标主机或特定的事件不予告警,降低误报,7.3.4定制响应
产品应允许管理员对被检测网段中指定的目标主机或特定的事件定制不同的响应方式,以对特定的事件突出告警。
7.3.5防火墙联动
产品应具有与防火墙进行联动的能力,可按照设定的联动策略自动调整防火墙配置。4
-rKaeerkAca-
7.3.6全局预警
GA/T1728—2020
产品应具有全局预警功能,通过控制台可在设定全局预警的策略后,将局部出现的重大安全事件通知其上级控制台或者下级控制台。7.3.7入侵管理
产品应具有全局安全事件的管理能力,可与安全管理中心或网络管理中心进行联动。7.3.8事件定位
产品应支持事件定位,可以定位到攻击源的地理位置(国家、城市)。7.4管理控制功能要求
7.4.1图形界面
产品应提供图形化的管理界面用于管理、配置产品。管理配置界面应包含配置和管理产品所需的所有功能。
7.4.2事件数据库
产品的事件数据库应包括事件定义和分析、详细的漏洞修补方案、可采取的对策等。7.4.3事件分级
产品应按照事件的严重程度将事件分级。7.4.4策略配置
产品应提供产品策略配置方法和手段。7.4.5产品升级
产品应具有更新、升级产品和事件库的能力。7.4.6统一升级
产品应提供由控制台对各探测器的事件库进行统一升级的功能。7.4.7分布式部署
产品应具有本地或异地分布式部署、远程管理的能力。7.4.8集中管理
产品应设置集中管理中心,对分布式、多级部署的人侵检测系统进行统一集中管理,形成多级管理结构。
7.4.9同台管理
对同一个厂家生成的产品,如果同时具有网络型入侵检测系统和主机型入侵检测系统,二者宜被同一个控制台统一进行管理。
-rKaeerkca-
GA/T1728—2020
7.4.10端口分离
产品的探测器应配备不同的端口分别用于产品管理和网络数据监听。7.4.11硬件失效处理
对于硬件产品,系统失效时应及时向授权管理员报警。7.4.12多级管理
产品应具有多级管理的能力。
5检测结果处理要求
7.5.1事件记录
产品应记录并保存检测到的入侵事件。入侵事件信息应至少包含以下内容:事件发生时间、源地址、目的地址、危害等级、事件详细措述以及解决方案建议等。
7.5.2事件可视化
管理员应能通过管理界面实时清晰地查看人侵事件。7.5.3报告生成
产品应能生成详尽的检测结果报告。7.5.4报告查阅
产品应具有浏览检测结果报告的功能。5报告输出
检测结果报告应可输出成方便管理员阅读的文件格式,如Word文件、HTML文件、文本文件等。6产品灵活性要求
7.6.1报告定制
产品应支持授权管理员按照自已的要求修改和定制报告内容。7.6.2
2窗口定义
产品应支持管理员自定义窗口显示的内容和显示方式,7.6.3事件定义
产品应允许授权管理员自定义事件,或者对默认提供的事件作修改,并提供定义方法。7.6.4协议定义
产品除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端口进行重新定位。
-rrKaeerkAca-
7.6.5通用接口
GA/T1728—2020
产品应提供对外的通用接口,以便与其他安全设备(如网络管理软件、防火墙等)共享信息或规范化联动。
7.7身份鉴别
7.7.1管理员鉴别
产品应在管理员执行任何与安全功能相关的操作之前对管理员进行鉴别。7.7.2鉴别失败的处理
当管理员鉴别尝试失败连续达到指定次数后,产品应锁定该账号或登录IP。最多失败次数仅由授权管理员设定。
7.7.3鉴别数据保护
产品应保护鉴别数据不被未授权查阅和修改。7.7.4超时设置
产品应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的情况下,终止会话,需要再次进行身份鉴别才能够重新管理产品。最大超时时间仅由授权管理员设定。7.7.5多鉴别机制
产品应提供多种鉴别方式,或者允许授权管理员执行自定义的鉴别措施,以实现多重身份鉴别措施。多鉴别机制应同时使用。
7.7.6会话锁定
产品应允许管理员锁定自己的交互会话,锁定后需要再次进行身份鉴别才能够重新管理产品。8管理员管理
7.8.1标识唯一性
产品应保证所设置的管理员标识全局唯一。7.8.2用户属性定义
产品应为每一个管理员保存安全属性表,属性应包括:管理员标识、鉴别数据、授权信息或管理组信息、其他安全属性等。
7.8.3安全行为管理
产品应仅允许授权管理员对产品的功能具有禁止、修改的能力。7.8.4管理员角色
产品应设置多个角色,不同的角色具有不同的管理权限,以增加产品管理的安全性。7.8.5安全属性管理
产品应仅允许授权角色可以对指定的安全属性进行查询、修改、删除、改变其默认值等操作。-rrKaeerkAca-
GA/T1728—2020
7.9安全审计
7.9.1审计数据生成
产品应能为下述可审计事件产生审计记录:审计级别以内的所有可审计事件(如鉴别失败等重大事件)等。应在每个审计记录中至少记录如下信息:事件的日期和时间、事件类型、主体身份、事件的结果(成功或失败)等。
7.9.2审计数据可用性
审计数据的记录方式应便于管理员理解。7.9.3审计查阅
产品应为授权管理员提供从审计记录中读取全部审计信息的功能。7.9.4受限的审计查阅
除了具有明确读访问间权限的授权管理员之外,产品应禁止所有非授权管理员对审计记录的读访间。7.10事件数据安全
7.10.1安全数据管理
产品应仅限于指定的授权角色访问事件数据,禁止其他管理员对事件数据的操作。7.10.2数据存储安全
产品应在发生事件数据存储器空间将耗尽等情况时,采取措施避免最新事件数据丢失。7.10.3数据存储告警
产品应在发生事件数据存储器空间将耗尽等情况时,自动产生告警,并采取措施避免事件数据丢失。产生告警的剩余存储空间大小应由授权管理员自主设定。7.11通信安全
7.11.1通信保密性
若产品采用远程方式管理,应保证远程管理数据保密传输;若产品由多个组件组成,应保证控制命令、传输数据等信息在组件间保密传输。7.11.2通信稳定性
产品应采取点到点协议等保证通信稳定性的方法,保证各部件和控制台之间传递的信息不因网络故障而丢失或延迟。
7.11.3升级安全
产品应确保事件库和版本升级时的数据安全,应确保升级包是由开发商提供的。7.12产品自身安全
7.12.1自我隐藏
产品应采取隐藏探测器IP地址等措施使自身在网络上不可见,以降低被攻击的可能性。80
-riKacerKAca-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。