GB-T 28451-2012 信息安全技术 网络型入侵防御产品技术要求和测试评价方法.pdf
- 文档编号:14660626
- 上传时间:2023-06-25
- 格式:PDF
- 页数:64
- 大小:780.06KB
GB-T 28451-2012 信息安全技术 网络型入侵防御产品技术要求和测试评价方法.pdf
《GB-T 28451-2012 信息安全技术 网络型入侵防御产品技术要求和测试评价方法.pdf》由会员分享,可在线阅读,更多相关《GB-T 28451-2012 信息安全技术 网络型入侵防御产品技术要求和测试评价方法.pdf(64页珍藏版)》请在冰点文库上搜索。
ICS35.020L80中华人民共和国国家标准GB/T284512012信息安全技术网络型入侵防御产品技术要求和测试评价方法InformationsecuritytechnologyTechnicalrequirementsandtestingandevaluationapproachesfornetwork-basedintrusionpreventionsystemproducts2012-06-29发布2012-10-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布目次前言1范围12规范性引用文件13术语和定义14缩略语25入侵防御产品技术要求组成25.1组成说明25.2功能和安全要求等级划分36入侵防御产品的组成46.1入侵事件分析单元46.2入侵响应单元46.3入侵事件审计单元46.4管理控制单元47入侵防御产品技术要求57.1第一级57.2第二级87.3第三级147.4性能要求208入侵防御产品测评方法218.1测试环境218.2测试工具218.3第一级218.4第二级298.5第三级428.6性能测试58GB/T284512012前言本标准按照GB/T1.12009给出的规则起草。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:
公安部计算机信息系统安全产品质量监督检验中心、北京启明星辰信息安全技术有限公司、北京神州绿盟科技有限公司、福建省海峡信息技术有限公司、沈阳东软系统集成工程有限公司、北京安氏领信科技发展有限公司、网御神州科技(北京)有限公司。
本标准主要起草人:
沈亮、顾建新、俞优、顾健、袁智辉、韩鹏、张章学、于江、杜永峰、段继平。
GB/T284512012信息安全技术网络型入侵防御产品技术要求和测试评价方法1范围本标准规定了网络型入侵防御产品的功能要求、产品自身安全要求和产品保证要求,并提出了入侵防御产品的分级要求。
本标准适用于网络型入侵防御产品的设计、开发、测试和评价。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB178591999计算机信息系统安全保护等级划分准则GB/T250692010信息安全技术术语3术语和定义GB/T250692010和GB178591999界定的以及下列术语和定义适用于本文件。
3.1网络型入侵防御产品network-basedintrusionpreventionsystemproducts以网桥或网关形式部署在网络通路上,通过分析网络流量发现具有入侵特征的网络行为,在其传入被保护网络前进行拦截的产品。
3.2TCP流重组TCPreassembly攻击者将发送的攻击数据分别在一个会话连接中的多个数据包发出,用来躲避入侵防御系统的检测行为。
3.3SHELL代码变形SHELLdeformation针对缓冲区溢出攻击,攻击者用其他方式替代原有程序指令并以一种伪随机的方式结合到一起,用来躲避入侵防御系统的检测行为。
3.4管理员administrator对使用入侵防御产品的授权操作员、安全员、审计员等的统称。
3.5告警alert当入侵防御产品发现有入侵行为时,向用户发出的紧急通知。
3.6误截falseblocking入侵防御产品在未发生攻击时对会话进行拦截的情况。
对于在出现攻击时未发出或者发出错误的1GB/T284512012告警信息并进行拦截的情况,因不影响到实际入侵拦截效果,故本标准的此项定义不包含这种情况。
3.7漏截missblocking当出现产品支持的攻击行为时,入侵防御产品未实现拦截攻击的情况。
4缩略语ARP:
地址解析协议(AddressResolutionProtocol)DNS:
域名系统(DomainNameSystem)FTP:
文件传输协议(FileTransferProtocol)HTTP:
超文本传输协议(HyperTextTransferProtocol)ICMP:
网间控制报文协议(InternetControlMessageProtocol)IP:
网际协议(InternetProtocol)MSN:
微软网络服务(MicrosoftServiceNetwork)NFS:
网络文件系统(NetworkFileSystem)POP3:
邮局协议3(PostOfficeProtocol3)P2P:
点对点(PointtoPoint)RPC:
远程过程调用(RemoteProcedureCall)SMB:
服务器信息块(ServerMessageBlock)SMTP:
简单邮件传输协议(SimpleMailTransferProtocol)SNMP:
简单网络管理协议(SimpleNetworkManagementProtocol)TCP:
传输控制协议(TransmissionControlProtocol)TFTP:
简单文件传输协议(TrivialFileTransferProtocol)UDP:
用户数据报协议(UserDatagramProtocol)URL:
统一资源定位器(UniversalResourceLocator)5入侵防御产品技术要求组成5.1组成说明5.1.1第一级本级规定了入侵防御产品的最低安全要求。
产品具备基本的协议分析、入侵发现和拦截能力,并对入侵事件生成记录,通过简单的用户标识和鉴别来限制对产品的功能配置和数据访问的控制,使用户具备自主安全保护的能力,阻止非法用户危害入侵防御产品,保护入侵防御产品的正常运行。
5.1.2第二级本级要求划分安全管理角色,以细化对入侵防御产品的管理。
加入审计功能,使得授权管理员的行为是可追踪的。
产品在实现入侵发现、拦截的同时,更要求具备及时告警的功能,对于事件记录还要求能生成、输出报表,以及要求具备硬件失效处理机制。
5.1.3第三级本级要求入侵防御产品提供对外的通用接口,报表结果具备模板定制等功能,还要求具备多鉴别机制、升级安全、自我隐藏、负载均衡等功能,对产品的自身安全提出更高的要求,对产品的正常运行提供更强的保护。
2GB/T2845120125.1.4性能本项对入侵防御产品的性能要求进行了规定,覆盖所有等级。
5.2功能和安全要求等级划分入侵防御产品的安全等级划分如表1、表2所示。
对入侵防御产品的等级评定是依据表1和表2,结合产品保证要求的综合评定得出的,符合第一级的入侵防御产品应满足表1、表2中所标明的一级产品应满足的所有项目,以及对第一级产品的相关保证要求;符合第二级的入侵防御产品应满足表1、表2中所标明的二级产品应满足的所有项目,以及对第二级产品的相关保证要求;符合第三级的入侵防御产品应满足表1、表2中所标明的三级产品应满足的所有项目,以及对第三级产品的相关保证要求。
表1入侵防御产品功能要求等级划分表产品功能和性能要求功能组件一级二级三级入侵事件分析要求数据收集*协议分析*入侵发现*入侵逃避发现*流量监测*入侵响应功能要求拦截能力*安全告警*告警方式*事件合并*入侵事件审计功能事件生成*事件记录*报表生成*报表查阅*报表输出*报表模板的定制*管理控制功能要求管理界面*入侵事件库*事件分级*事件定义*协议定义*流量控制*通用接口*硬件失效处理*策略配置*产品升级*管理接口独立*注:
“*”表示具有该要求。
3GB/T284512012表2入侵防御产品自身安全要求等级划分表安全功能要求功能组件一级二级三级标识和鉴别用户鉴别*鉴别失败的处理*鉴别数据保护*超时锁定*多鉴别机制*用户管理标识唯一性*用户属性定义*角色分级*安全功能保护安全数据管理*数据存储告警*升级安全*自我隐藏*安全审计审计数据生成*审计查阅*受限的审计查阅*注:
“*”表示具有该要求。
6入侵防御产品的组成6.1入侵事件分析单元采用相关的分析检测技术,对流入目标网络内的所有数据进行提取并分析。
6.2入侵响应单元根据定义的策略对入侵行为进行拦截响应。
6.3入侵事件审计单元在违反安全策略的入侵事件发生时,对事件发生的时间、主体和客体等信息进行记录和统计。
6.4管理控制单元负责入侵防御产品定制策略、审阅日志、产品状态管理,并以可视化形式提交授权用户进行管理。
4GB/T2845120127入侵防御产品技术要求7.1第一级7.1.1产品功能要求7.1.1.1入侵事件分析功能要求7.1.1.1.1数据收集入侵防御产品应具有实时收集流入目标网络内所有数据包的能力。
7.1.1.1.2协议分析入侵防御产品应对收集的数据包进行协议分析。
7.1.1.1.3入侵发现入侵防御产品应能发现协议中的入侵行为。
7.1.1.1.4流量监测入侵防御产品应对目标环境中的异常流量进行监测。
7.1.1.2入侵响应功能要求入侵防御产品应对发现的入侵行为进行预先拦截,防止入侵行为进入目标网络。
7.1.1.3入侵事件审计功能要求7.1.1.3.1事件生成入侵防御产品应能对拦截行为及时生成审计记录。
7.1.1.3.2事件记录入侵防御产品应记录并保存拦截到的入侵事件。
入侵事件信息应至少包含事件名称、事件发生日期和时间、源IP地址、源端口、目的IP地址、目的端口、危害等级等内容。
7.1.1.4管理控制功能要求7.1.1.4.1管理界面入侵防御产品应提供用户界面用于管理、配置入侵防御产品。
管理配置界面应包含配置和管理产品所需的所有功能。
7.1.1.4.2入侵事件库入侵防御产品应提供入侵事件库。
事件库应包括事件名称、详细描述定义等。
7.1.1.4.3事件分级入侵防御产品应按照事件的严重程度对事件进行分级,以使授权管理员能从大量的信息中捕捉到危险的事件。
5GB/T2845120127.1.1.4.4硬件失效处理入侵防御产品应提供硬件失效处理机制。
7.1.1.4.5策略配置入侵防御产品应提供对入侵防御策略、响应措施进行配置的功能。
7.1.1.4.6产品升级入侵防御产品应具备更新、升级产品事件库的能力。
7.1.1.4.7管理接口独立入侵防御产品应具备独立的管理接口。
7.1.2产品自身安全要求7.1.2.1标识和鉴别7.1.2.1.1用户鉴别入侵防御产品应在用户执行任何与安全功能相关的操作之前对用户进行鉴别。
7.1.2.1.2鉴别失败的处理入侵防御产品应在用户鉴别尝试失败连续达到指定次数后,阻止用户进一步进行尝试。
7.1.2.1.3鉴别数据保护入侵防御产品应保护鉴别数据不被未授权查阅和修改。
7.1.2.2用户管理7.1.2.2.1标识唯一性入侵防御产品应保证所设置的用户标识全局唯一。
7.1.2.2.2用户属性定义入侵防御产品应为每一个用户保存安全属性表,属性应包括用户标识、鉴别数据、授权信息或用户组信息、其他安全属性等。
7.1.2.3安全功能保护入侵防御产品应仅限于指定的授权用户访问事件数据,禁止其他用户对事件数据的操作。
7.1.3产品保证要求7.1.3.1配置管理开发者应为入侵防御产品的不同版本提供唯一的标识。
入侵防御产品的每个版本应当使用它们的唯一标识作为标签。
7.1.3.2交付与运行开发者应提供文档说明入侵防御产品的安装、生成和启动。
6GB/T2845120127.1.3.3安全功能开发7.1.3.3.1功能设计开发者应提供文档说明入侵防御产品的安全功能设计。
功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节。
7.1.3.3.2表示对应性开发者应在入侵防御产品安全功能表示的所有相邻对之间提供对应性分析。
7.1.3.4指导性文档7.1.3.4.1管理员指南开发者应给授权管理员提供包括以下内容的管理员指南:
a)入侵防御产品可以使用的管理功能和接口;b)怎样安全地管理入侵防御产品;c)在安全处理环境中应进行控制的功能和权限;d)所有对与入侵防御产品的安全操作有关的用户行为的假设;e)所有受管理员控制的安全参数,如果可能,应指明安全值;f)每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;g)所有与授权管理员有关的IT环境的安全要求。
管理员指南应与为评价而提供的其他所有文件保持一致。
7.1.3.4.2用户指南开发者应提供包括以下内容的用户指南:
a)入侵防御产品的非管理用户可使用的安全功能和接口;b)入侵防御产品提供给用户的安全功能和接口的用法;c)用户可获取但应受安全处理环境控制的所有功能和权限;d)入侵防御产品安全操作中用户所应承担的职责;e)与用户有关的IT环境的所有安全要求。
用户指南应与为评价而提供的其他所有文件保持一致。
7.1.3.5开发安全要求开发者应提供包括以下内容的开发安全文件:
a)开发安全文件应描述在入侵防御产品的开发环境中,为保护入侵防御产品设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施;b)开发安全文件还应提供在入侵防御产品的开发和维护过程中执行安全措施的证据。
7.1.3.6测试7.1.3.6.1范围开发者应提供测试覆盖的分析结果。
7GB/T284512012测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的。
7.1.3.6.2功能测试开发者应测试安全功能,并提供以下测试文档:
a)测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果。
b)测试计划应标识要测试的安全功能,并描述测试的目标。
测试规程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依赖性。
c)期望的测试结果应表明测试成功后的预期输出。
d)实际测试结果应表明每个被测试的安全功能能按照规定进行运作。
7.2第二级7.2.1产品功能要求7.2.1.1入侵事件分析功能要求7.2.1.1.1数据收集入侵防御产品应具有实时收集流入目标网络内所有数据包的能力。
7.2.1.1.2协议分析入侵防御产品应对收集的数据包进行协议分析。
7.2.1.1.3入侵发现入侵防御产品应能发现协议中的入侵行为。
7.2.1.1.4入侵逃避发现入侵防御产品应能发现躲避或欺骗检测的行为,如IP碎片重组、TCP流重组、协议端口重定位、URL字符串变形、SHELL代码变形等。
7.2.1.1.5流量监测入侵防御产品应对目标环境中的异常流量进行监测。
7.2.1.2入侵响应功能要求7.2.1.2.1拦截能力入侵防御产品应对发现的入侵行为进行预先拦截,防止入侵行为进入目标网络。
7.2.1.2.2安全告警入侵防御产品应在发现并拦截入侵行为时,采取相应动作发出安全警告。
7.2.1.2.3告警方式入侵防御产品的告警方式宜采取屏幕实时提示、E-mail告警、声音告警等一种或多种方式。
7.2.1.2.4事件合并入侵防御产品应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。
8GB/T2845120127.2.1.3入侵事件审计功能要求7.2.1.3.1事件生成入侵防御产品应能对拦截行为及时生成审计记录。
7.2.1.3.2事件记录入侵防御产品应记录并保存拦截到的入侵事件。
入侵事件信息应至少包含事件名称、事件发生日期和时间、源IP地址、源端口、目的IP地址、目的端口、危害等级等内容。
7.2.1.3.3报表生成入侵防御产品应能生成详尽的结果报表。
7.2.1.3.4报表查阅入侵防御产品应具有浏览结果报表的功能。
7.2.1.3.5报表输出入侵防御产品应支持管理员按照自己的要求修改和定制报表内容,并输出成方便阅读的文件格式,至少支持以下报表文件格式中的一种或多种:
DOC、PDF、HTML、XLS等。
7.2.1.4管理控制功能要求7.2.1.4.1管理界面入侵防御产品应提供用户界面用于管理、配置入侵防御产品。
管理配置界面应包含配置和管理产品所需的所有功能。
7.2.1.4.2入侵事件库入侵防御产品应提供入侵事件库。
事件库应包括事件名称、详细描述定义等。
7.2.1.4.3事件分级入侵防御产品应按照事件的严重程度对事件进行分级,以使授权管理员能从大量的信息中捕捉到危险的事件。
7.2.1.4.4事件定义入侵防御产品应允许授权管理员自定义策略事件。
7.2.1.4.5协议定义入侵防御产品除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端口进行重新定位。
7.2.1.4.6流量控制入侵防御产品具备对异常流量进行控制的功能。
7.2.1.4.7硬件失效处理入侵防御产品应提供硬件失效处理机制。
9GB/T2845120127.2.1.4.8策略配置入侵防御产品应提供对入侵防御策略、响应措施进行配置的功能。
7.2.1.4.9产品升级入侵防御产品应具备更新、升级产品版本和事件库的能力。
7.2.1.4.10管理接口独立入侵防御产品应具备独立的管理接口。
7.2.2产品自身安全要求7.2.2.1标识和鉴别7.2.2.1.1用户鉴别入侵防御产品应在用户执行任何与安全功能相关的操作之前对用户进行鉴别。
7.2.2.1.2鉴别失败的处理入侵防御产品应在用户鉴别尝试失败连续达到指定次数后,阻止用户进一步进行尝试,并将有关信息生成审计事件。
最多失败次数仅由授权管理员设定。
7.2.2.1.3鉴别数据保护入侵防御产品应保护鉴别数据不被未授权查阅和修改。
7.2.2.1.4超时锁定入侵防御产品应具有管理员登录超时重新鉴别功能。
在设定的时间段内没有任何操作的情况下,中止或者锁定会话,需要再次进行身份鉴别才能够重新管理产品。
最大超时时间仅由授权管理员设定。
7.2.2.2用户管理7.2.2.2.1标识唯一性入侵防御产品应保证所设置的用户标识全局唯一。
7.2.2.2.2用户属性定义入侵防御产品应为每一个用户保存安全属性表,属性应包括用户标识、鉴别数据、授权信息或用户组信息、其他安全属性等。
7.2.2.2.3角色分级入侵防御产品应为管理角色进行分级,不同级别的管理角色具有不同的管理权限,以增加入侵防御产品管理的安全性。
7.2.2.3安全功能保护7.2.2.3.1安全数据管理入侵防御产品应仅限于指定的授权用户访问事件数据,禁止其他用户对事件数据的操作。
01GB/T2845120127.2.2.3.2数据存储告警入侵防御产品应在发生事件数据存储空间将耗尽等情况时,自动产生告警,并采取措施避免事件数据丢失。
7.2.2.4安全审计7.2.2.4.1审计数据生成入侵防御产品应至少为下述可审计事件产生审计记录:
a)试图登录入侵防御产品管理端口和管理身份鉴别请求;b)所有对安全策略更改的操作;c)修改安全属性的所有尝试。
应在每个审计记录中至少记录事件的日期和时间、事件类型、主体身份、事件的结果(成功或失败)等信息。
7.2.2.4.2审计查阅入侵防御产品应为授权管理员提供从审计记录中读取全部审计信息的功能,并可对审计记录进行排序。
7.2.2.4.3受限的审计查阅除了具有明确的读访问权限的授权管理员之外,入侵防御产品应禁止非授权用户对审计记录的读访问。
7.2.3产品保证要求7.2.3.1配置管理7.2.3.1.1配置管理能力开发者应使用配置管理系统并提供配置管理文档,以及为入侵防御产品的不同版本提供唯一的标识。
配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项。
配置管理文档应包括配置清单和配置管理计划。
在配置清单中,应对每一配置项给出相应的描述;在配置管理计划中,应描述配置管理系统是如何使用的。
实施的配置管理应与配置管理计划相一致。
配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效的维护的证据。
7.2.3.1.2配置管理范围开发者应提供配置管理文档。
配置管理文档应说明配置管理系统至少能跟踪:
入侵防御产品实现表示、设计文档、测试文档、用户文档、管理员文档和配置管理文档,并描述配置管理系统是如何跟踪配置项的。
7.2.3.2交付与运行7.2.3.2.1交付开发者应使用一定的交付程序交付入侵防御产品,并将交付过程文档化。
11GB/T284512012交付文档应描述在给用户方交付入侵防御产品的各版本时,为维护安全所必需的所有程序。
7.2.3.2.2安装生成开发者应提供文档说明入侵防御产品的安装、生成和启动。
7.2.3.3安全功能开发7.2.3.3.1功能设计开发者应提供文档说明入侵防御产品的安全功能设计。
功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节。
7.2.3.3.2高层设计开发者应提供文档说明入侵防御产品安全功能的高层设计。
高层设计应以非形式方法表述并且是内在一致的。
为说明安全功能的结构,高层设计应将安全功能分解为各个安全功能子系统进行描述,并阐明如何将有助于加强入侵防御产品安全功能的子系统和其他子系统分开。
对于每一个安全功能子系统,高层设计应描述其提供的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的与方法,并提供安全功能子系统的作用、例外情况和出错信息的细节。
高层设计还应标识入侵防御产品安全要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、固件或软件所实现的保护机制。
7.2.3.3.3表示对应性开发者应在入侵防御产品安全功能表示的所有相邻对之间提供对应性分析。
7.2.3.4指导性文档7.2.3.4.1管理员指南开发者应给授权管理员提供包括以下内容的管理员指南:
a)入侵防御产品管理员可以使用的管理功能和接口;b)怎样安全地管理入侵防御产品;c)在安全处理环境中应进行控制的功能和权限;d)所有对与入侵防御产品的安全操作有关的用户行为的假设;e)所有受管理员控制的安全参数,如果可能,应指明安全值;f)每一种与管理功能有关的安全相关事件,包括
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 28451-2012 信息安全技术 网络型入侵防御产品技术要求和测试评价方法 GB 28451 2012 信息 安全技术 网络 入侵 防御 产品 技术 要求 测试 评价 方法