GA/T 1454-2018 信息安全技术 网络型流量控制产品安全技术要求

ICS35240

A90.

中华人民共和国公共安全行业标准

GA/T1454—2018

信息安全技术

网络型流量控制产品安全技术要求

Informationsecuritytechnology—Securitytechnicalrequirementsfor

network-basedflowcontrolproducts

2018-01-26发布2018-01-26实施

中华人民共和国公安部发布

GA/T1454—2018

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由公安部网络安全保卫局提出

。

本标准由公安部信息系统安全标准化技术委员会归口

。

本标准起草单位公安部计算机信息系统安全产品质量监督检验中心杭州安恒信息技术有限公

:、

司北京浩瀚深度信息技术股份有限公司北京网康科技有限公司深信服科技股份有限公司公安部网

、、、、

络安全保卫局公安部第三研究所

、。

本标准主要起草人俞优陈玉成顾健陆臻沈亮顾玮范渊孙小平陈陆颖曾志峰

:、、、、、、、、、。

Ⅰ

GA/T1454—2018

信息安全技术

网络型流量控制产品安全技术要求

1范围

本标准规定了网络型流量控制产品的安全功能要求安全保障要求及等级划分要求

、。

本标准适用于网络型流量控制产品的设计开发及测试

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息技术安全评估准则第部分安全保障组件

GB/T18336.3—20153:

信息安全技术术语

GB/T25069—2010

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T18336.3—2015GB/T25069—2010。

31

.

网络型流量控制产品network-basedflowcontrolproduct

以串接方式部署在网络通路上通过分析和控制网络流量实现带宽资源的合理划分与分配的

,,

产品

。

4网络型流量控制产品描述

网络型流量控制产品保护的资产是受安全策略保护的网络服务和资源等此外产品本身及其内部

,,

的重要数据也是受保护的资产网络型流量控制产品通常以网关或网桥方式部署在网络通路上通过

。,

安全策略实现对网络流量的审计和控制

。

图是网络型流量控制产品的一个典型运行环境

1。

图1网络型流量控制产品典型运行环境

1

GA/T1454—2018

5总体说明

51安全技术要求分类

.

本标准将网络型流量控制产品安全技术要求分为安全功能和安全保障要求两大类其中安全功

。,

能要求是对网络型流量控制产品应具备的安全功能提出具体要求包括协议分析应用识别流量监测

,、、

和流量控制等安全保障要求针对网络型流量控制产品的生命周期过程提出具体的要求例如开发指

;,、

导性文档生命周期支持和测试等

、。

52安全等级划分

.

本标准按照网络型流量控制产品安全功能的强度划分安全功能要求的级别参照

,GB/T18336.3—

划分安全保障要求的级别安全等级突出安全特性分为基本级和增强级安全功能强弱和安全

2015。,,

保障要求高低是等级划分的具体依据

。

6安全功能要求

61协议分析

.

产品至少应支持分析以下协议

:

和协议

a)TCP、UDPICMP;

b)HTTP、FTP、IMAP、TELNET、DNS、SMTP、POP3;

类和类

c)P2PIM。

62应用识别

.

产品应能识别以下常见应用如即时通讯下载流媒体网络电视网络视频网络电话股票

,、P2P、、、、、

交易和网络游戏等

。

63应用特征自定义

.

产品应支持识别自定义的应用

。

64流量监测

.

产品应能监视网络或者某一特定协议地址的报文流量和字节流量

、IP。

65统计报表

.

产品应能按用户时间和应用统计流量分布情况

、。

66流量控制

.

661速率限制

..

产品应能根据下列条件及其组合对链路的上传下载速率进行限制

,/:

用户用户组

a)/;

地址

b)IP;

时间段

c);

应用协议

d);

2

GA/T1454—2018

或网络接口

e)VLANID。

662流量限制

..

产品应能根据下列条件及其组合对流量总额进行限制

,:

用户用户组

a)/;

地址

b)IP;

时间

c);

应用协议

d);

或网络接口

e)VLANID。

663连接限制

..

产品应能根据地址对并发连接数新建连接速率和应用连接数等进行限制

IP、。

664流量优先级

..

产品应能根据用户地址和应用协议等条件设置流量优先级确保高优先级流量的通过

、IP,。

665带宽保障

..

产品应能根据用户地址和应用协议等条件设置预留带宽保证正常通信

、IP,。

666带宽平均

..

产品应能够基于群组中的用户数变化动态为每个平均分配带宽

IP,IP。

667白名单

..

产品应具备白名单功能对白名单中的对象不做流量控制

,。

67标识与鉴别

.

671用户标识

..

6711属性定义

...

产品应为每个管理员规定与之相关的安全属性如标识鉴别信息隶属组权限等

,、、、。

6712属性初始化

...

产品应提供使用默认值对创建的每个管理员的属性进行初始化的能力

。

6713唯一性标识

...

产品应为管理员提供唯一标识并能将标识与该用户的所有可审计事件相关联

,。

672身份鉴别

..

6721基本鉴别

...

产品应在执行任何与安全功能相关的操作之前鉴别用户的身份