GA/T 1557-2019 信息安全技术 基于IPv6的高性能网络审计系统产品安全技术要求

ICS35.240

A90GA

中华人民共和国公共安全行业标准

GA/TXXXX—XXXX

信息安全技术基于IPv6的高性能网络审

计系统产品安全技术要求

InformationsecuritytechnologySecuritytechnicalrequirementsforIPv6-based

high-performancenetworkauditsystemproducts

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国公安部发布

目次

前言II

1范围1

2规范性引用文件1

3术语和定义1

4IPv6网络审计产品描述2

5总体说明3

5.1安全技术要求分类3

5.2安全等级划分3

6安全功能要求3

6.1信息采集3

6.2数据还原3

6.3审计记录统计4

6.4审计记录分析处理5

6.5管理控制要求6

6.6标识与鉴别6

6.7审计日志7

6.8安全管理7

6.9数据存储8

7环境适应性要求9

7.1接入方式9

7.2IPv6协议一致性9

7.3IPv6应用环境适应性9

7.4IPv6管理环境适应性9

8性能要求9

8.1处理能力9

8.2网络影响9

9安全保障要求9

9.1开发9

9.2指导性文档10

9.3生命周期支持11

9.4测试11

9.5脆弱性评定12

10等级划分要求12

10.1概述错误!未定义书签。

10.2安全功能要求等级划分12

10.3安全保障要求等级划分错误!未定义书签。

I

GA/TXXXX—XXXX

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由公安部网络安全保卫局提出。

本标准由公安部信息系统安全标准化技术委员会归口。

本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部网络安全保卫局。

本标准主要起草人：唐迪、王志佳、马海燕、范春玲、俞优、邹春明、顾健。

II

GA/TXXXX—XXXX

信息安全技术基于IPV6的高性能网络审计系统产品安全技术要求

1范围

本标准规定了基于IPv6的高性能网络审计系统产品的安全功能要求、环境适应性要求、性能要求、

安全保障要求和等级划分要求。

本标准适用于基于IPv6的高性能网络审计系统产品的设计、开发及测试。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18336.3-2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件

GB/T20945-2013信息安全技术信息系统安全审计产品技术要求和测试评价方法

GB/T25069-2010信息安全技术术语

GA/T695-2014信息安全技术网络通信审计产品技术要求

3术语和定义

GB/T18336.3-2015、GB/T20945-2013、GB/T25069-2010和GA/T695-2014界定的以及下列术语和

定义适用于本文件。

3.1

基于IPv6的高性能网络审计系统产品IPv6-basedhighperformancenetworkauditsystem

product

对网络通信进行记录和分析，并针对特定事件采用相应的动作，同时支持IPv4协议、IPv6协议及过

度技术，并具有高性能的产品。

3.2

IPv6过渡技术IPv6transitiontechnology

用于IPv4向IPv6演进的过渡期内，保证业务共存和互操作的技术。

3.3

IPv4/IPv6隧道技术IPv4/IPv6tunnelingtechnology

基于IPv4隧道来传送IPv6数据报文的隧道技术。

3.4

双协议栈技术dualprotocolstacktechnology

在一台设备上同时启用IPv4协议栈和IPv6协议栈。

1

GA/TXXXX—XXXX

3.5

IPv4/IPv6网络地址转换IPv4/IPv6networkaddresstranslation

通过对数据包的转换实现了在网络过渡期IPv4节点和IPv6节点之间的互相访问。

4IPv6网络审计产品描述

IPv6网络审计产品通过采集和分析网络通讯数据，对审计目标网络内用户网络行为（如网页浏览、

FTP和TELNET通讯、收发邮件、IM上下线等）、网络流量、网络攻击等行为进行记录和分析。IPv6网络

审计产品能够帮助使用者记录被审计网络内的用户行为及网络状态，能够追溯违反安全策略要求的用

户。IPv6网络审计产品能够适用于IPv4及IPv6两种网络环境。此外，基IPv6网络审计产品还能保护产品

自身及其内部重要数据的安全。

网络通讯审计产品按照部署模式划分，可分为串联部署和并联部署两种。在串联部署模式下，IPv6

网络审计产品在访问客户端与网络服务端之间。在旁路部署模式下，IPv6网络审计产品并联在访问客户

端交换机上，通过镜像口获取网络通讯数据。

图1为IPv6网络审计产品串联部署的典型运行环境。

图1IPv6网络审计产品串接部署运行环境

图2为IPv6网络审计产品并联部署的典型运行环境。

图2IPv6网络审计产品并联部署运行环境

2

GA/TXXXX—XXXX

5总体说明

5.1安全技术要求分类

本标准将IPv6网络审计产品安全技术要求分为安全功能和安全保障要求两大类。其中，安全功能要

求是对IPv6网络审计产品应具备的安全功能提出具体要求，包括接入方式、信息采集、数据还原、审计

记录统计、审计记录分析、管理控制要求等；安全保障要求针对IPv6网络审计产品的生命周期过程提出

具体的要求，例如开发、指导性文档、生命周期支持和测试等。

5.2安全等级划分

IPv6网络审计产品的安全等级按照其安全功能要求和安全保障要求的强度划分为基本级和增强级，

其中安全保障要求参考了GB/T18336.3—2015。

6安全功能要求

6.1信息采集

IPv6网络审计产品应能够根据审计目标设置网络数据采集策略，应在以下项目至少包含一种：

a)采集目标的IP地址类型；

b)采集目标的IP地址或IP地址段策略；

c)采集网络协议应用策略；

d)采集传输协议策略；

e)采集应用协议策略；

f)采集时间段策略；

g)其他。

6.2数据还原

6.2.1网络基本信息还原

IPv6网络审计产品应能够还原目标网络内网络信息，其中应包括：

a)源端口、源IP地址、源MAC地址；

b)目标IP地址、目的端口；

c)网络层协议类型；

d)传输层协议类型；

e)应用层协议类型；

f)支持IPv6地址采集；

g)支持基于IPv6过渡技术处理的IP地址采集，其中包括隧道技术、双协议栈技术、网络地址转换

技术。

6.2.2会话内容的还原

IPv6网络审计产品应能还原会话，信息内容的基本项应包括：会话起始时间、源地址、目标地址。

6.2.3服务信息还原基本要求

IPv6网络审计产品应能够还原网络信息及事件，至少包括以下五种：

3

GA/TXXXX—XXXX

a)FTP协议，除基本项以外还应包括：使用的账号、输入命令；

b)TELNET协议，除基本项以外还应包括：使用的账号、输入命令；

c)HTTP协议，除基本项以外还应包括：目标URL；

d)E-mail协议，除基本项以外还应包括：发件人地址、收件人地址。

e)RLOGIN协议，除基本项外应包括：使用用户、输入命令；

f)DNS协议，除基本项外应包括：报文协议内容；

g)IM信息，除基本项以外还应包括：IM软件名称及账号信息；

h)数据库远程管理与操作，除基本项外应包括：使用的账号、输入操作命令；

i)股票软件通信信息，除基本项以外还应包括：股票软件名称；

j)网络下载通信信息，除基本项以外还应包括：下载软件或协议名称和下载文件名称；

k)网络游戏通信信息，除基本项以外还应包括：网络游戏名称；

l)论坛、博客及微博通信信息，论坛、博客或微博的名称和账号；

m)搜索引擎通信信息，搜索引擎名称和搜索关键字；

n)其他网络通信信息。

6.2.4服务信息还原扩展要求

IPv6网络审计产品应能够还原网络信息及事件，至少包括以下两种：

a)FTP通信信息，除满足基本要求以外还应包括：传输的文件名及文件内容；

b)TELNET通信信息，除满足基本要求以外还应包括：反馈信息；

c)HTTP通信信息，除满足基本要求以外还应包括：恢复网页所需的文件及传输文件内容；

d)E-mail通信信息，除满足基本项以外还应包括：主题。

6.2.5网络攻击识别

IPv6网络审计产品应能够识别网络攻击事件，至少包括以下一种：

a)DoS攻击；

b)口令暴力猜测攻击；

c)端口扫描攻击；

d)其他网络攻击。

还原内容应包括：日期、事件、源IP地址、目的IP地址、源端口、目的端口、攻击类型。

6.2.6基于应用类型还原

IPv6网络审计产品应能够根据应用类型特征还原非标准端口事件或动态端口网络通信事件。

6.3审计记录统计

6.3.1事件统计

IPv6网络审计产品应能够对网络事件进行统计，应至少包括以下一种：

a)网络通信事件总数；

b)一种或多种特定类型网络通信事件数量统计；

c)其他事件统计。

6.3.2流量统计

IPv6网络审计产品应能够对网络流量进行统计，应至少包括以下一种：

4