GA/T 403.1-2014 信息安全技术 入侵检测产品安全技术要求 第1部分：网络型产品

ICS35.240

A90

中华人民共和国公共安全行业标准

/—

GAT403.12014

代替/—

GAT403.12002

信息安全技术

入侵检测产品安全技术要求

ㅤㅤㅤㅤ

:

第部分网络型产品

1

Informationsecurittechnolo—Securittechnicalreuirementsforintrusion

ygyyq

—:

detectionroductsPart1Network-basedroducts

pp

2014-03-24发布2014-03-24实施

中华人民共和国公安部发布

/—

GAT403.12014

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………2

5网络型入侵检测产品描述………………2

6安全环境…………………3

6.1假设…………………3

威胁…………………

6.23

6.3组织安全策略………………………4

7安全目的…………………4

7.1产品安全目的………………………4

7.2环境安全目的………………………5

安全功能要求……………

8ㅤㅤㅤㅤ5

8.1数据探测功能要求…………………5

8.2入侵分析功能要求…………………5

8.3入侵响应功能要求…………………6

8.4管理控制功能要求…………………6

8.5检测结果处理要求…………………7

8.6产品灵活性要求……………………8

8.7身份鉴别……………8

8.8管理员管理…………………………9

8.9安全审计……………9

8.10事件数据安全……………………10

8.11通信安全…………………………10

8.12产品自身安全……………………10

9安全保证要求……………10

9.1配置管理……………10

9.2交付与运行…………………………11

9.3开发…………………12

9.4指导性文档…………………………13

9.5生命周期支持………………………14

9.6测试…………………14

9.7脆弱性评定…………………………15

10技术要求基本原理……………………16

Ⅰ

/—

GAT403.12014

10.1安全功能要求基本原理…………16

10.2安全保证要求基本原理…………18

11等级划分要求…………………………18

11.1概述………………18

11.2安全功能要求等级划分…………18

11.3安全保证要求等级划分…………20

ㅤㅤㅤㅤ

Ⅱ

/—

GAT403.12014

引言

/、

GAT403的本部分详细描述了与网络型入侵检测产品安全环境相关的假设威胁和组织安全策

,,

略定义了网络型入侵检测产品及其支撑环境的安全目的通过基本原理论证安全功能要求能够追溯并

,、。

覆盖产品安全目的安全目的能够追溯并覆盖安全环境相关的假设威胁和组织安全策略

/—,

本部分基本级参照了GBT18336.32008中规定的EAL2级安全保证要求增强级在EAL4级

,。

安全保证要求的基础上将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击

,

本部分仅给出了网络型入侵检测产品应满足的安全技术要求但对网络型入侵检测产品的具体技

、。

术实现方式方法等不做要求

ㅤㅤㅤㅤ

Ⅳ

/—

GAT403.12014

信息安全技术

入侵检测产品安全技术要求

:

第部分网络型产品

1

1范围

/、。

GAT403的本部分规定了网络型入侵检测产品的安全功能要求安全保证要求及等级划分要求

、。

本部分适用于网络型入侵检测产品的设计开发及检测

2规范性引用文件

。,

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,()。

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

—计算机信息系统安全保护等级划分准则

GB178591999

/—()

所有部分信息技术安全技术信息技术安全性评估准则

GBT183362008

/—信息安全技术术语

GBT250692010

ㅤㅤㅤㅤ

3术语和定义

—、/—()/—

GB178591999GBT183362008所有部分和GBT250692010界定的以及下列术语和定

义适用于本文件。

3.1

入侵intrusion

、。

任何企图危害资源完整性保密性或可用性的行为

2

3.

探测器sensor

,

用于收集可能指示出入侵行为或者滥用信息系统资源的实时事件并对收集到的信息进行初步分

。,。

析的网络型入侵检测产品组件安装在网络的关键节点处监听流经网络的数据

3.3

控制台manaementconsole

g

、、、、、,

用于探测器管理策略配置数据管理告警管理事件响应升级事件库以及其他管理工作并对入

。。

侵行为进行深层次分析的入侵检测系统组件一个控制台可以管理多个探测器

3.4

攻击特征attacksinature

g

入侵检测系统预先定义好的能够发现一次攻击正在发生的特定信息。

3.5

告警alert

,。

当攻击或入侵发生时入侵检测系统向授权管理员发出的紧急通知

1

/—

GAT403.12014

3.6

响应resonse

p

,。

当攻击或入侵发生时针对信息系统及存储的数据采取的保护并恢复正常运行环境的行为

3.7

强力攻击bruteforce

,

一种利用合法字符的各种组合序列通过应用程序反复尝试各种可能的组合来试图破解加密信息

(、)。,

如密码密钥的方法强力攻击通过穷举法而非智能策略来达到目的是一种有效而耗时的攻击

手法。

4缩略语

下列缩略语适用于本文件。

:()

ARP地址解析协议AddressResolutionProtocol

:()

DNS域名系统DomainNameSstem

y

:()

FTP文件传输协议FileTransferProtocol

:()

HTML超文本标记语言HertextMarkuLanuae

yppgg

:()

HTTP超文本传送协议HertextTransferProtocol

yp

:()

ICMP网际控制报文协议InternetControlMessaeProtocol

g

:()

IDS入侵检测系统IntrusionDetectionSstem

y

:()

IMAP因特网消息访问协议InternetMessaeAccessProtocal

g

:()

IP网际协议InternetProtocol

ㅤㅤㅤㅤ

:()

NFS网络文件系统NetworkFileSstem

y

:()

NNTP网络新闻传送协议NetworkNewsTransferProtocol

:()

POP邮局协议PostOfficeProtocol

:()

RIP路由选择信息协议RoutinInformationProtocol

g

:()

RPC远程过程调用RemoteProcedureCall

:()

SMTP简单邮件传送协议SimleMailTransferProtocol

p

:()

SNMP简单网络管理协议SimleNetworkManaementProtocol

pg

:()

TCP传输控制协议TransortControlProtocol

p

:()

TELNET远程登陆Telnet

:()

TFTP普通文件传送协议TrivialFileTransferProtocol

:()

UDP用户数据报协议UserDataramProtocol

g

5网络型入侵检测产品描述

,,

网络型入侵检测产品以网络上的数据包作为数据源监听所保护网络内的所有数据包并进行分析

从而发现异常行为并报警。

。,

网络型入侵检测产品采用旁路模式接入目标网络在旁路模式下网络型入侵检测产品旁路连接

,。

在目标网络中网络型入侵检测产品通过采集交换机镜像口网络通讯数据工作图为网络型入侵检

1

测产品旁路模式的一个典型运行环境。

2

/—

GAT403.12014

图1网络型入侵检测产品典型运行环境

6安全环境

6.1假设

网络型入侵检测产品安全环境相关的假设如表所示。

1

ㅤㅤㅤㅤ

表1假设

假设名称假设描述

,。

产品的处理资源应限定在受控的访问设备内以防止未授权的物理访问所有

物理访问

,

实施产品安全策略相关的硬件和软件应受到保护以免受非授权的物理更改

,,

人员能力授权管理员是无恶意的训练有素的并遵循管理员指南

,

连接性产品应部署在受监测网络的出口处能够获取到受监测网络中的所有通讯数据

,

当产品的应用环境发生变化时应立即反映在产品的安全策略中并保持其安全

安全维护

功能有效

6.2威胁

网络型入侵检测产品安全环境相关的威胁如表所示。

2

表2威胁

威胁名称威胁描述

、、、

网络中有可能存在未被发现的端口扫描强力攻击木马后门攻击拒绝服务攻

入侵攻击

、、、

击缓冲区溢出攻击碎片攻击网络蠕虫攻击等攻击行为

IP

;

产品可能未成功记录相关安全事件恶意用户可能通过耗尽审计数据存储空间

事件记录失败

,,

的方法导致事件记录的丢失或失败从而掩盖攻击行为

非授权访问恶意用户可能试图访问和使用产品提供的安全功能

3

/—

GAT403.12014

()

表续

2

威胁名称威胁描述

信息泄漏恶意用户可能浏览远程授权管理员和产品之间发送的安全相关信息

,

暴力认证恶意用户可能通过反复猜测鉴别数据的方法从而获取管理员权限

,

恶意用户可能利用产品自身的安全机制进行攻击导致产品权限丢失或功能

漏洞攻击

故障

6.3组织安全策略

网络型入侵检测产品安全环境相关的组织安全策略如表所示。

3

表3组织安全策略

组织安全策略名称组织安全策略描述

,、

审计为追踪所有与安全相关活动的责任与安全相关的事件应记录保存和审查

,

安全管理产品应为授权管理员提供管理手段使其以安全的方式进行管理

7安全目的

ㅤㅤㅤㅤ

7.1产品安全目的

。。

表定义了产品的安全目的这些安全目的旨在对应已标识的威胁或组织安全策略

4

表4产品安全目的

产品安全目的名称产品安全目的描述对应的威胁或组织安全策略

、

产品应通过数据收集协议分析对目标网络中的网络数据

入侵检测入侵攻击

,

进行分析检测出入侵攻击

,

产品应记录和统计攻击行为记录应具有精确的日期和时

事件记录事件记录失败

;

间且产品应提供基本的防止事件记录丢失或失败的措施

,

在允许用户访问产品功能之前产品应对用户身份进行唯

身份认证非授权访问

一的标识和鉴别

产品应向授权管理员提供以安全方式进行管理的有效

安全管理安全管理

手段

,

如果产品允许通过相连网络对其进行远程管理那么它应

信息保密信息泄漏

保证远程管理信息的保密性

鉴别失败处理产品应具备安全机制防止恶意用户反复猜测鉴别数据