GA/T 696-2007
基本信息
标准号: GA/T 696-2007
中文名称:信息安全技术单机防入侵产品安全功能要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:106549
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 696-2007.Information security technology-Security functional requirements for products of protecting stand-alone computer from intrusion.
1范围
GA/T 696规定了信息安全技术单机防入侵产品的安全功能要求和保证要求。
GA/T 696适用于信息安全技术单机防人侵产品的生产及检测。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.3-2001信息技术安全技术 信息技术安全性评估准则 第3部分:安全保证要求(idt ISO/IEC 15408-3:1999)
3术语和定义
下列术语和定义适用于本标准。
3.1单机防入侵产晶product of protecting and preventing intrusion on stand-alone computer
一个运行于单机上的软件。它可以截取单机上进行的入站和出站TCP/IP网络连接尝试,并使用预先定义的规则允许和禁止其连接。
4单机防入侵产品的安全功能要求
4.1 IP 数据包过滤
依据TCP/IP协议中的网络数据包的数据格式约定,每-条匹配规则应由下列要素组成:
a)数据包方向(连接发起方/接收方)。
b) 远程IP地址(任何IP地址/指定IP地址/指定IP地址范围)。
c)协议 的匹配.具体协议至少应包括:
1)ICMP数据包过滤
根据ICMP网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时则按对应规则中的数据包处理方式进行处理;
1范围
GA/T 696规定了信息安全技术单机防入侵产品的安全功能要求和保证要求。
GA/T 696适用于信息安全技术单机防人侵产品的生产及检测。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.3-2001信息技术安全技术 信息技术安全性评估准则 第3部分:安全保证要求(idt ISO/IEC 15408-3:1999)
3术语和定义
下列术语和定义适用于本标准。
3.1单机防入侵产晶product of protecting and preventing intrusion on stand-alone computer
一个运行于单机上的软件。它可以截取单机上进行的入站和出站TCP/IP网络连接尝试,并使用预先定义的规则允许和禁止其连接。
4单机防入侵产品的安全功能要求
4.1 IP 数据包过滤
依据TCP/IP协议中的网络数据包的数据格式约定,每-条匹配规则应由下列要素组成:
a)数据包方向(连接发起方/接收方)。
b) 远程IP地址(任何IP地址/指定IP地址/指定IP地址范围)。
c)协议 的匹配.具体协议至少应包括:
1)ICMP数据包过滤
根据ICMP网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时则按对应规则中的数据包处理方式进行处理;
标准图片预览
标准内容
ECS35.240
中华人民共和国公共安全行业标准GA/T696—2007
信息安全技术
单机防入侵产品安全功能要求
Inforrtalion serurily lerhnulug-Serurily functiunal reyuirements foepreducis of proleeling slanrl-alene roepuler from intrusion2007-05-14 发布
中华人民共和国公安部
2007-07-01实施
沐标准出公安部公共信息网浴安监密局提出本标准出公安部信息系安全标准化技术委员会归:本标准态本单位公安部计师机信总系统安全产品尚量益督查验十心本你准上安起草人:讲操,长宽顾谈亮起妹,张成,顾健,iikNka
tA/T 68—2007
·1范围
信息安全技术
单机防入侵产品安全功能要求
本标准规定丁侣息安全技术单机质人妥产品的安全功要求和保证要求。本标准流川于份息安余技术单机员人受产品的生产及登测。2现范性引用文作
G4/T69620C
下列义件中的条款通过本标准前引用而成为本标准的条款。凡是适月期的引乐又件,其随后所有的候改单(本包活勘误药力弃)或静订放均不适压示本标理·然间,效励根据个标准法成协设的各方研究品台川生而这收文件的敏版木。凡是不烂日期为引利文件,其量新版本用于本标准,亿BT1838,一2301信息技术安全技本信启装术安全+评估准康资3部分,安会保证要[SJEC150B-199
3术落和定义
下列未语利定义适用于木标准,3. 1
单机防入产量praduet of protecting and preventing inlrasion on stand-uluae euupoler.个逐行于单初上的软件,也心以截取单机上进行的入站对出站TCP/IP网络连接尝试,并使用我先定义的越肥分许痴禁出其连接。1单机防入侵产品的安全功能要求4.1IP数据包过魂
依TCP/1快议中的划路数据包的数据格式约是,再一条匹配规则应山下列要系距成:a!效错包行向(连接发起方/变收方)b)远程IP地址(生低P地止:指定TP地指室地划范用)。协波的匹配,是体立说至少应包疫:TCVT数据包斗法
根游1CM网路救据包的类和化码?段行设定:当匹配到相司举型和代码字段时则安对应列中的数执包处理方式进行处理:2)TTDP数据包过滤
根据I户网络效退包中的下地学口[包总一端和(或)尝获压(或)远程端1包括羊一装和(或)端口范进行热购心!:3)TC1效忧包过您
丧据【网落数包中的本端1包括单一端口和(或端口范国和或运端口[包折单一端和或端山范国,以及TF数境包序标立进行规以匹配过滤4.2过滤动作
单机的人民产应其有对数期包进行下述过越动作的求力,的拦截:
GA/T $95-2007
)通行:
驱然西配下一:
4.3安全规,的修订
a币户能选择使币或弃用单机防人径产品提供的安全规则:1)用一能根据1.1中的格式划定添加、删除、修改户定义安全规则、4.4对特定网络攻主数据包的栏戴a:单机人产元应兵各对十此特定收十的标档及所御能力:)吧台技律或击的能方,户机防人促产品位上备过立叫要新的恢十游征库的方。4, F 应用程序网筛访问控制
单机人慢产品的空全出能包能控每个应用序使用心终权险,虚剂计测路访问控制也活以下二种我:
!允许访间:允产该程产使用络:11德止议间:禁止核序便用网络:网降访询同:当应用平序访问网络,单机防人食严品应共将的送向操作间户供详纳的报生及润间,根提询问结果对应用程序访间网路的行为进行扫电处理:4.6网缝快速切断/快妄
以快建内方出划新:恢友房有网络通讯,4.严包过证,网络攻击的日志记录应是供一个网路过识只志,便示用户完网略系既近起:志环应举少包活如下数拍须:远机4期时低、爆受/发送/拦载情况、力1P池非,本机端口、对方端口、条注。
日志数握项为内部故据结构定义可容妇下:效据项
1.值评口期间
落受:发送/护战方识
3.对方I 地正
4,车批翼门
5.对办米口
by系统筑成丧供日志的清空以能:日志信总应为人所能承解
)位息年储在永久件存微介质中4.8网结攻击的报
3享带bZxz.net
1字节(种情流分压)、1、2表示)18
5字节
IC字节(受致击种类或内部讯理)提据元配系统消定规贝,发现异带网络效据也,车机防人产品应以一定方式告台用户.以及提示用户采取那此拆施。
4. 9 产品自身安全
若产品涉及分级访问控制的均能,、其管理整制还需其备基本吧身份鉴别望:单机防入侵产品的保证要求
保证求按B1156.3--2第二级快行,6单机防入保产品的安全等级划分依帮信冠安会装术单训险人过产品的开发、产即状受实际应H片所对产机所人设产品的安全以iKAoNhi KAca
能安求划分虑而个等织。
单机人发产品的安企守级划分如表1所示。表 1信息安全范术单机防入侵产品安全等继划分表全环能效
.1P款期色过法
全规测的爆订
利特定险络改击数冉包的拦起
底手拜区活诺旧按市
4,同快连动断恢可
向过继,网终及小的口惠记录
同结成音的活者
产品自时淀全
五车求:单防快产品的量限安全控别要求上增强要求,为测一步是升产量查全功轻的降加受累。GA/F 596--20°7
培强决求”
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T696—2007
信息安全技术
单机防入侵产品安全功能要求
Inforrtalion serurily lerhnulug-Serurily functiunal reyuirements foepreducis of proleeling slanrl-alene roepuler from intrusion2007-05-14 发布
中华人民共和国公安部
2007-07-01实施
沐标准出公安部公共信息网浴安监密局提出本标准出公安部信息系安全标准化技术委员会归:本标准态本单位公安部计师机信总系统安全产品尚量益督查验十心本你准上安起草人:讲操,长宽顾谈亮起妹,张成,顾健,iikNka
tA/T 68—2007
·1范围
信息安全技术
单机防入侵产品安全功能要求
本标准规定丁侣息安全技术单机质人妥产品的安全功要求和保证要求。本标准流川于份息安余技术单机员人受产品的生产及登测。2现范性引用文作
G4/T69620C
下列义件中的条款通过本标准前引用而成为本标准的条款。凡是适月期的引乐又件,其随后所有的候改单(本包活勘误药力弃)或静订放均不适压示本标理·然间,效励根据个标准法成协设的各方研究品台川生而这收文件的敏版木。凡是不烂日期为引利文件,其量新版本用于本标准,亿BT1838,一2301信息技术安全技本信启装术安全+评估准康资3部分,安会保证要[SJEC150B-199
3术落和定义
下列未语利定义适用于木标准,3. 1
单机防入产量praduet of protecting and preventing inlrasion on stand-uluae euupoler.个逐行于单初上的软件,也心以截取单机上进行的入站对出站TCP/IP网络连接尝试,并使用我先定义的越肥分许痴禁出其连接。1单机防入侵产品的安全功能要求4.1IP数据包过魂
依TCP/1快议中的划路数据包的数据格式约是,再一条匹配规则应山下列要系距成:a!效错包行向(连接发起方/变收方)b)远程IP地址(生低P地止:指定TP地指室地划范用)。协波的匹配,是体立说至少应包疫:TCVT数据包斗法
根游1CM网路救据包的类和化码?段行设定:当匹配到相司举型和代码字段时则安对应列中的数执包处理方式进行处理:2)TTDP数据包过滤
根据I户网络效退包中的下地学口[包总一端和(或)尝获压(或)远程端1包括羊一装和(或)端口范进行热购心!:3)TC1效忧包过您
丧据【网落数包中的本端1包括单一端口和(或端口范国和或运端口[包折单一端和或端山范国,以及TF数境包序标立进行规以匹配过滤4.2过滤动作
单机的人民产应其有对数期包进行下述过越动作的求力,的拦截:
GA/T $95-2007
)通行:
驱然西配下一:
4.3安全规,的修订
a币户能选择使币或弃用单机防人径产品提供的安全规则:1)用一能根据1.1中的格式划定添加、删除、修改户定义安全规则、4.4对特定网络攻主数据包的栏戴a:单机人产元应兵各对十此特定收十的标档及所御能力:)吧台技律或击的能方,户机防人促产品位上备过立叫要新的恢十游征库的方。4, F 应用程序网筛访问控制
单机人慢产品的空全出能包能控每个应用序使用心终权险,虚剂计测路访问控制也活以下二种我:
!允许访间:允产该程产使用络:11德止议间:禁止核序便用网络:网降访询同:当应用平序访问网络,单机防人食严品应共将的送向操作间户供详纳的报生及润间,根提询问结果对应用程序访间网路的行为进行扫电处理:4.6网缝快速切断/快妄
以快建内方出划新:恢友房有网络通讯,4.严包过证,网络攻击的日志记录应是供一个网路过识只志,便示用户完网略系既近起:志环应举少包活如下数拍须:远机4期时低、爆受/发送/拦载情况、力1P池非,本机端口、对方端口、条注。
日志数握项为内部故据结构定义可容妇下:效据项
1.值评口期间
落受:发送/护战方识
3.对方I 地正
4,车批翼门
5.对办米口
by系统筑成丧供日志的清空以能:日志信总应为人所能承解
)位息年储在永久件存微介质中4.8网结攻击的报
3享带bZxz.net
1字节(种情流分压)、1、2表示)18
5字节
IC字节(受致击种类或内部讯理)提据元配系统消定规贝,发现异带网络效据也,车机防人产品应以一定方式告台用户.以及提示用户采取那此拆施。
4. 9 产品自身安全
若产品涉及分级访问控制的均能,、其管理整制还需其备基本吧身份鉴别望:单机防入侵产品的保证要求
保证求按B1156.3--2第二级快行,6单机防入保产品的安全等级划分依帮信冠安会装术单训险人过产品的开发、产即状受实际应H片所对产机所人设产品的安全以iKAoNhi KAca
能安求划分虑而个等织。
单机人发产品的安企守级划分如表1所示。表 1信息安全范术单机防入侵产品安全等继划分表全环能效
.1P款期色过法
全规测的爆订
利特定险络改击数冉包的拦起
底手拜区活诺旧按市
4,同快连动断恢可
向过继,网终及小的口惠记录
同结成音的活者
产品自时淀全
五车求:单防快产品的量限安全控别要求上增强要求,为测一步是升产量查全功轻的降加受累。GA/F 596--20°7
培强决求”
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。