GA/T 1144-2014 信息安全技术 非授权外联监测产品安全技术要求

ICS35.240

A90

中华人民共和国公共安全行业标准

/—

GAT11442014

信息安全技术

非授权外联监测产品安全技术要求

ㅤㅤㅤㅤ

Informationsecurittechnolo—Securittechnicalreuirementsfor

ygyyq

unauthorizedexternalconnectionmonitorinroducts

gp

2014-03-14发布2014-03-14实施

中华人民共和国公安部发布

/—

GAT11442014

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4非授权外联监测产品描述………………1

5安全环境…………………2

5.1假设…………………2

5.2威胁…………………3

5.3组织安全策略………………………3

6安全目的…………………4

6.1产品安全目的………………………4

6.2环境安全目的………………………4

7安全功能要求……………5

ㅤㅤㅤㅤ

7.1受控主机管理………………………5

7.2非授权外联监测……………………5

7.3响应处理……………5

7.4组件安全……………6

7.5安全管理……………6

7.6审计功能……………7

8安全保证要求……………8

8.1配置管理……………8

8.2交付与运行…………………………9

8.3开发…………………9

8.4指导性文档…………………………10

8.5生命周期支持………………………11

8.6测试…………………11

8.7脆弱性评定…………………………12

9技术要求基本原理………………………13

9.1安全功能要求基本原理……………13

9.2安全保证要求基本原理……………14

10等级划分要求…………………………14

10.1概述………………14

10.2安全功能要求等级划分…………14

10.3安全保证要求等级划分…………15

Ⅰ

/—

GAT11442014

引言

、,

本标准详细描述了与非授权外联监测产品安全环境相关的假设威胁和组织安全策略定义了非授

,,

权外联监测产品及其支撑环境的安全目的论证了安全功能要求能够追溯并覆盖产品安全目的安全目

、。

的能够追溯并覆盖安全环境相关的假设威胁和组织安全策略

/—,

本标准基本级参照了GBT18336.32008中规定的EAL2级安全保证要求增强级在EAL4级

,。

安全保证要求的基础上将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击

,

本标准仅给出了非授权外联监测产品应满足的安全技术要求但对非授权外联监测产品的具体技

、。

术实现方式方法等不做要求

ㅤㅤㅤㅤ

Ⅳ

/—

GAT11442014

信息安全技术

非授权外联监测产品安全技术要求

1范围

、。

本标准规定了非授权外联监测产品的安全功能要求安全保证要求和等级划分要求

、。

本标准适用于非授权外联监测产品的设计开发及检测

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

—计算机信息系统安全保护等级划分准则

GB178591999

/—()

所有部分信息技术安全技术信息技术安全性评估准则

GBT183362008

/—信息安全技术术语

GBT250692010

3术语和定义

ㅤㅤㅤㅤ

—、/—()/—

GB178591999GBT183362008所有部分和GBT250692010界定的以及下列术语和定

义适用于本文件。

3.1

非授权外联unauthorizedexternalconnection

,

受保护的网络内部主机在安全策略允许之外与非授权网络的互联行为连接方式包括但不限于双

、、、。

网卡modemADSL无线网卡等

3.2

代理aent

g

,,。

软件程序能够接受服务器管控实现对主机的非授权外联行为的监控

3.3

受控主机controlledhost

,。

安装了代理能够接受服务器管控的主机

4非授权外联监测产品描述

/,。

非授权外联监测产品通常以CS方式部署包括服务器和代理两部分可通过服务器对受控主机

,,,

下发策略监测或阻断受控主机在安全策略允许之外联接非授权网络的行为并且能够对其及时定位

代理能够将监测结果以及告警信息发送到服务器。

:,,

非授权外联监测产品工作的网络环境主要有两类一类为孤立网络该网络与其他网络物理隔离

;,

通常认为该网络内主机若通过一定的途径联接到其他网络即为非授权外联第二类为受控网络该网络

,/,

与其他网络逻辑上可访问但对其他网络的访问行为是受控和或可审计的若该网络内的主机通过安

1

/—

GAT11442014

,。

全策略允许之外的途径访问其他网络通常认为是非授权外联

。,

非授权外联监测产品通过代理执行安全功能其保护的对象是内网的边界此外非授权外联监测

产品本身及其内部的重要数据也是受保护的资产。

图和图是非授权外联监测产品的两种典型运行环境。

12

()

图1非授权外联监测产品典型运行环境一

ㅤㅤㅤㅤ

()

图2非授权外联监测产品典型运行环境二

5安全环境

5.1假设

非授权外联监测产品安全环境相关的假设如表所示。

1

2

/—

GAT11442014

表1假设

假设名称假设描述

,

物理访问产品服务器的处理资源应限定在受控的访问设备内以防止未授权的物理访问

,,

管理员能力授权管理员是无恶意的训练有素的并遵循管理员指南

,

人员能力受控主机的用户为普通人员仅具有基本的计算机技术能力

,

安全维护当产品的应用环境发生变化时应立即反映在产品的安全策略中并保持其安全功能有效

5.2威胁

非授权外联监测产品安全环境相关的威胁如表所示。

2

表2威胁

威胁名称威胁描述

,,

非授权外联行为可能导致攻击者通过外联的途径入侵受保护的网络或使得保护内部网络

非授权外联

的安全策略被旁路

;,

产品可能未成功记录相关安全事件恶意用户可能通过耗尽审计数据存储空间的方法导致

事件记录失败

。

事件记录的丢失或失败从而掩盖攻击行为

ㅤㅤㅤㅤ

非授权访问恶意用户可能企图访问和使用产品提供的安全功能

,、、、、

用户可能通过断开受控主机与服务器的连接或者尝试停止卸载修改删除代理及更改取

逃避监测

,,

消代理的开机自启动等方式再联接外部网络从而逃避监测

信息泄漏恶意用户可能浏览远程授权管理员和产品之间发送的安全相关信息

,

暴力认证恶意用户可能通过反复猜测鉴别数据的方法从而获取管理员权限

,

漏洞攻击恶意用户可能利用产品自身的安全机制进行攻击导致产品权限丢失或功能故障

5.3组织安全策略

非授权外联监测产品安全环境相关的组织安全策略如表所示。

3

表3组织安全策略

组织安全策略名称组织安全策略描述

,、

审计为追踪所有与安全相关活动的责任与安全相关的事件应记录保存和审查

,

安全管理产品应为授权管理员提供管理手段使其以安全的方式进行管理

,

定位当受控主机发生非授权外联行为时能够及时准确的定位到该受控主机的物理位置及责任人

3

/—

GAT11442014

6安全目的

6.1产品安全目的

。。

表定义了产品的安全目的这些安全目的旨在对应已标识的威胁或组织安全策略

4

表4产品安全目的

对应的威胁或组织

产品安全目的名称产品安全目的描述

安全策略

,

当受控主机发生外联行为时产品能够及时发现并进行告警或阻断

非授权外联监控非授权外联

响应

审计防丢失且产品应提供基本的防止事件记录丢失或失败的措施事件记录失败

,

在允许用户访问产品功能之前产品应对用户身份进行唯一的标识和

身份认证非授权访问

鉴别

安全管理产品应向授权管理员提供以安全方式进行管理的有效手段安全管理

,

如果产品允许通过相连网络对其进行远程管理那么它应保证远程管

信息保密信息泄漏

理信息的保密性

鉴别失败处理产品应具备安全机制防止恶意用户反复猜测鉴别数据暴力认证

ㅤㅤㅤㅤ

,

当受控主机发生非授权外联行为时能够及时准确的定位到该受控主

定位定位

机的物理位置及责任人

、、、

产品需提供相应的措施防止用户停止卸载修改删除代理及更改或

代理自身安全保护