收藏
下载资源 加入VIP免费专享

GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品.pdf

上传人:小小飞 文档编号:3655783 上传时间:2019-09-19 格式:PDF 页数:14 大小:519.39KB
返回 下载 相关 举报
GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品.pdf_第1页
第1页 / 共14页
GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品.pdf_第2页
第2页 / 共14页
GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品.pdf_第3页
第3页 / 共14页
GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品.pdf_第4页
第4页 / 共14页
GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品.pdf_第5页
第5页 / 共14页
亲,该文档总共14页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品.pdf》由会员分享,可在线阅读,更多相关《GA公共安全标准-GAT 403.2-2002 信息技术 入侵检测产品技术要求 第2部分 主机型产品.pdf(14页珍藏版)》请在三一文库上搜索。

1、I C S 3 5 . 0 2 0 I . 09 r . 1 中华人 民共和 国公 共安全 行业标准 GA / T 4 0 3 . 2 -2 0 0 2 信息技术入侵检测产品技术要求 第 2 部分: 主机型产品 I n f o r ma t i o n t e c h n o l o g y - T e c h n i c a l r e q u i r e me n t s f o r i n t r u s i o n d e t e c t i o n p r o d u c t s -P a r t 2 : Ho s t - b a s e d p r o d u c t s 2 0

2、0 2 一 1 2 一 1 1 发布 2 0 0 3 一 0 5一 0 1实施 中华人民共和国公安部发 布 GA/ T 4 0 3 . 2 -2 0 0 2 目次 月 舀 , , I 引言 , 一Q 1范围 , , 1 2 规范性引用文件 , . . . . . . . . . . . . . 1 3 术语和定义 , , , . . . . . . . . , . . . . . . l 4 主 机型人侵检测产品的组成和分级 , . . . . . . . . . . . . , 二1 4 . 1 产品组成 , , , . 1 4 . 2 产 品分级 , 1 5 工作环境 . . . . .

3、. . , . . . . . . . . . . , . . . . . . . . . . . . . . . . 2 5 . 1 系统接 入 , 2 5 . 2 工作环境安全 , , . 2 5 . 3 管理 人员 , , , . , . . . . . . . . . . . . . . . . . . , , . . . . . . . . . . . . . . . . . . . . . . . . 2 6 功能要求 , . . . . . 2 6 . 1 基本级主机型人侵检测产品组件功能要求 2 6 . 2 增强级主机型人侵检测产品扩展功能要求 4 7 性能要求 6 7 . 1

4、 误报率 , , , 6 7 . 2 漏报率 , , 6 7 . 3 平均响应时间 , . ,6 7 . 4稳定性 , , . . . , 6 7 . 5 C P U资源占用量 , , , . . . . . . . 6 7 . 6 存储空间资源占 用量 , , , . , . 6 7 . 7 内存占用量 , , , , , . 6 7 . 8 用户登录和资源访问 , . . . . . . . . . . . . . , , , 二6 7 . 9 网络通信 , 6 8 安全功能要求 , 6 8 . 1 安全功能组件 , 6 8 . 2 安全审计 , . 7 8 . 3 标识和鉴别 , , ,

5、 7 8 . 4 安全管理 , , . . . . , . . . . . . . . . . . . . . . . . . . . . 7 8 . 5 安全功能保护 , . . . . . . . . . . . S 9 安全保证要求 , , . 8 9 . 1 配置管理保证 , . . . 8 9 . 2 操作保证 , . . . . . . . 8 9 . 3 开发过程保证 , . . 8 9 . 4 指南文件保证 , , , 9 GA/ T 4 0 3 . 2 -2 0 0 2 m li舌 GA / T 4 0 3 信息技术人侵检测产品技术要求 分为两个部分: 第 1 部分: 网络型

6、产品; 第 2 部分: 主机型产品。 本部分为 G A/ T 4 0 3 的第 2 部分。 本部分由中华人民共和国公安部公共信息网络安全监察局提出。 本部分由公安部信息系统安全标准化技术委员会归口。 本部分由北京中科网威信息技术有限公司、 公安部第二研究所负责起草。 本部分主要起草人: 潘玉殉、 杨威、 曾明、 余立新、 肖江、 刘兵、 丁宇征 G A/ T 4 0 3 . 2 -2 0 0 2 引言 本部分是GA / T 4 0 3的第2部分。本部分规定了主机型人侵检测产品的技术要求。 人侵检测产品的目的是发现人侵行为。它通过对计算机网络中的若干关键点或被监测主机系统收 集安全相关信息并对其

7、进行分析, 从而发现网络和系统中违反安全策略的行为和被攻击的迹象。当把 人侵检测产品看成是完成一定安全 目标的系统时, 我们又可称之为人侵检测系统( I D S ) 。与其他安全 产品相比, 人侵检测产品具有更强的智能分析功能。人侵检测产品能简化管理员的工作, 保障网络的安 全运行 。 GA/ T 4 0 3 . 2 -2 0 0 2 信息技术入侵检测产品技术要求 第 2部分: 主机型产品 范 围 G A / T 4 0 3的本部分规定了采用传输控制协议/ 网间协议( TC P / I P ) 的主机型人侵检测产品的工作 环境、 功能要求、 性能要求、 安全功能要求和安全保证要求。 本部分适用

8、于主机型人侵 检测 产品的研制 、 开发、 测评和采购 。 2规范性 引用 文件 下列文件中的条款通过 G A/ T 4 0 3的本部分的引用而成为本部分的条款。凡是注 日期的引用文 件, 其随后所有的修改单( 不包括勘误的内容) 或修订版均不适用于本部分, 然而, 鼓励根据本部分达成 协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件, 其最新版本适用于本 部 分。 G B / T 5 2 7 1 . 8 -2 0 0 1 信息技术词汇第 8 部分: 安全( i d t I S O/ I E C 2 3 8 2 - 8 ; 1 9 9 8 ) GB / T 4 0 3 . 1

9、 - 2 0 0 2信息技术人侵 检测产品技术要求第 1部分 : 网络型产品 术语和定义 GB / T 5 2 7 1 . 8 -2 0 0 1和G A/ T 4 0 3 . 1 -2 0 0 2 确立的术语和定义适用于 G A / T 4 0 3的本部分。 4主机型入侵检测产 品的组成和分级 4 . 1 产品组成 4 . 1 . 1 事件产生单元( I D S - G E N ) 获取主机数据信息, 使人侵检测产品能捕获策略定制的主机状态信息。该单元通过在主机系统上 的代理实现基本功能。 4 . 1 . 2 事件分析单元( I D S _ A N L ) 采用分析检测技术, 通过收集主机的运

10、行状态与已指定的基本状态进行比较, 从而检测可能存在的 攻击 。 4 . 1 . 3响应单元 ( I DS RS P ) 响应单元对检测到的事件作出反应, 通常有报警、 记录和主动保护三种反应手段。通过在主机系统 上的代理实现其基本功能。 4 . 1 . 4审计单元( I DS _ F AU) 审计单元在违反安全策略的事件发生时, 对事件发生的时间、 主体和客体信息等进行审计和记录。 4 . 1 . 5 管理控制单元( I D S we MA N) 管理控制单元负责策略定制、 日志审阅和系统状态管理, 并以可视化形式提交给授权用户进行 管理 。 4 . 2 产品分级 对主机型人侵检测产 品分成

11、两个级别 , 即基本级和增强级 。 GA / T4 0 32 一2 0 0 2 基本级 具备基本的人侵检测功能, 对所保护对象具有可靠的保护功能。 增强级 除具备基本级的产品各项要求外, 在功能要求和性能要求 仁, 有扩展的或更高的要求。 5 工作环 境 51 系统接入 511 主机型人侵检测产品的代理端应被正确安装在受保护主机上, 代理端和管理端处于连通状态。 512 应具备严格的访问控制机制, 非授权人员不能管理人侵检测产品。 5 . 2 工作环境安全 521 应防止对人侵检测产品非授权的物理访问。 522 人侵检测产品的安装应由授权管理人员实施。 523 人侵检测产品的安装应实行严格的控

12、制管理 53 管理人员 531 指定一个或多个能胜任工作的人员来管理人侵检测产品及其所含信息的安全 532人侵检测 产品只能被授权用 户访 问。 6功能 要求 61 基本级主机型入侵检测产品组件功能要求 611 基本级主机型入侵检测产品功能组件 主机型人侵检测产品功能组件要求分为事件产生单元组件要求、 事件分析单元组件要求、 响应单元 组件要求、 审计单元组件要求和管理控制单元组件要求共5类。各类功能组件如表 1 所示 表 1 基本级主机型入侵检测产 品功能组件 功能组件 H一 组件要求 1 1 ) 5 ( 子 EN . 1 数据采集 1 1 ) 5 ( 二 E习2 数据采集的实时性 1 1

13、) S AN l l 统计分析 异常分析I DS_ ANI . 2 I DS ANI. 3 主机系统日志分析 1 1 ) S AN I. 砚 文件完整性分析 I DS AN L . 5 分析记录 I DS RS I 1 报臀 I DS RS I 2 报警记录 I DS FA UI 审计记录 审计纪录的创建、 储存和删除 I DS FA U. 2 I DS FA U. 3 审计记录查询 I DS-FAU. 4审计记录保存 一 I DSFAUt s 数据库支持 管理功能 远 程管理 身份鉴别和认证 易用性 1 1 ) S M A N. 1 1 1 ) S M A N. 2 I DS M A N.

14、3 I DS M A N 4 GA/ T 4 0 3 . 2 - 2 0 0 2 6 . 1 . 2 事件产生单元组件要求( I D S es G E N ) 6 . 1 . 2 . 1 I D S G E N . 1 获取策略定制的目标主机的各种状态信息。 事件产生单元应至少从目标主机收集以下信息: a ) 目标系统的启动和关闭; b ) 主机的资源使用情况; c ) 系统的日志, 审计的变化情况; d ) 标识和鉴别事件; c ) 服务请求; f ) 网络通信流量; 9 ) 安全配置的改变; h ) 策略定制的事件。 6 . 1 . 2 . 2 I D S es G E N . 2 数据采

15、集应具有实时性。 6 . 1 . 3 事件分析单元组件要求( I D S _ A N L ) 6 . 1 . 3 . 1 I D S 一 N L . 1 人侵检测产品应能进行统 计分析. 将事件关联起来分析, 发现违反安全策略的 行为 。 6 . 1 . 3 . 2 I D S _ A N L . 2人侵检测产品应能进行异常分析, 将获取的当前 上机状态信息与已建立的基准 状态信息比较, 发现可能存在的人侵行为。基准状态信息应至少包含主机正常工作状态的以下信息: a ) 用户活动; b ) 系统资源使用; c ) 文件及对象的安全事件; d ) 网络应用服务: e ) 通信连接; f ) 系统

16、口志。 6 . 1 . 3 . 3 I D S _ A N L . 3 人侵检测产品应分析主机系统日志记录, 发现违反安全策略的事件。 6 . 1 . 3 . 4 I D S _ A N L . 4人侵检测产品应进行文件完整性分析, 能检测到任何企图破坏文件完整性的 行为 。 6 . 1 . 3 . 5 I D S _ A N L . 5 在每个分析结论中应至少记录以下信息: 结果的日期和时间, 结果类型, 数据源 鉴定 。 6 . 1 . 4响应 单元组件要求( I DS _ RS P) 6 . 1 . 4 . 1 I D S _ R S P . 1 当策略中被定义为报警的攻击事件发生时,

17、系统应以消息或邮件等形式向管理 人员发送报警信息。报警信息至少应包含以下内容: a ) 事件标识; b ) 事件主体; c ) 事件客体; d ) 事件发生时间; e ) 事件类型; f ) 事件危险级别。 6 . 1 . 4 . 2 I D S R S P . 2当策略中定义为记录的事件发生时, 响应单元应将事件信息以文件或数据库记 录等形式记录下来。记录信息至少应包含 I D S _ R S P . 1中所含内容 6 . 1 . 5 审计单元组件要求( I D S _ F A U ) 6 . 1 . 5 . 1 I D S 一A U . I 审计功能应为以F可审计事件产生审计记录: a )

18、 审计功能的开启和关闭。 b ) 符合基本 级审计的所有下列可 审计事件: GA / T 4 0 3 . 2 -2 0 0 2 - 一 任何对审计进行的操作; 所有对安全策略更改的操作; 修改安全属性的所有尝试; 任何对鉴别机制的使用; 所有对鉴别资料的请求访问; 所有对审计数据读取不成功尝试; 鉴别机制的使用; - 一 用户鉴别机制的使用; 一一对角色中用户组的修改。 c ) 在系统安全策略中定义的其他需要审计的事件。 审计功能生成的每一条审计记录至少应记录以下信息: 事件时间. 事件类型, 主体身份和事件结果 ( 成功或失败) 。 6 . 1 . 5 . 2 I D S _ F A U .

19、 2管理员应可创建、 储存、 删除和清空审计记录。 6 . 1 . 5 . 3 I D S _ F A U . 3 提供授权管理人员对 日志信息的查询、 审阅功能。提供的信息应至少包括以下 内容 : a ) 事件标识; b ) 事件主体; c ) 事件客体; d ) 事件发生时间。 6 . 1 . 5 . 4 I D S _ F A U . 4 审 计记录的保存应满足以下要求: a ) 将审计记录存储到永久性的存储媒体中; b ) 自动统计审计记录的存储空间, 发现存储空间快耗尽时提前通知管理人员; c ) 审计单元向管理员提供可定制的资料备份功能及策略。 6 . 1 . 5 . 5 I D

20、S _ F A U . 5 入侵检测产品至少应支持一种流行的数据库。 6 . 1 . 6管理控制单元组 件要求( I DS es MAN) 6 . 1 . 6 . 1 I D S MA N . 1 入侵检测产品应包含配置和管理人侵检测产品安全功能所需的所有功能, 至少 包括 a ) 系统状态定制; b ) 增加, 删除和定制入侵检测策略; c ) 查阅当前策略配置; d ) 查阅和管理审计资料 6 . 1 . 6 . 2 I D S _ MA N . 2 人侵检测产品应提供远程管理功能。 6 . 1 . 6 . 3 I D S _ MA N . 3 管理控制单元应提供鉴别认证机制, 在用户登录

21、管理控制台之前对用户进行鉴 别认证。当管理控制单元与引擎是通过网络连接时, 管理控制单元与引擎间建立通信会话之前应进行 鉴别认证 6 . 1 . 6 . 4 I D S _ M A N . 4 人侵检测产品提 供给授权用户的管理功能应简单易 用。 6 . 2增 强级 主机型入侵检测产 品扩展功 能要求 6 . 2, 增强级主机型入侵检测产品扩展组件 增强级主机型人侵检测产品扩展组件由表 2 所列项 目组成, 增强级主机型人侵检测产品除了应满 足基本级主机型入侵检测产品组件要求外, 还应满足表2所列的扩展组件要求 GA/ T 4 0 3 . 2 -2 0 0 2 表 2 增 强级主机型入侵检测产

22、 品功 能组件 扩展功能组件扩展功能组件要求 I DS ANI . _ I MP. I分析单元身份鉴别 I DS ANI . I MP. 2概率统计 分析 I DS AN L I M P. 3 数据挖掘 I D S_ RS P_ I MP. I主动保护能力 I D S RS P I M P. 2 与其他网络安全产品的互动 I DS FAU_ I MP. 1可选审计查 阅 I DS FAU_ 1 MP . 2选择性审计 I DS FAU I MP. 3分级审计查阅 I DS PAU I MP . 4 审计信息加密存储 I I ) 凡MAN_ I MP. I策略管理上具 I DS MAN-I MP

23、, 2组件间通信加密 I DS MAN-I MP. 3管理角色分级 I DS MAN_ I MP. 4鉴别尝试限制 6 . 2 . 2 事件分析单元扩展功能要求( I D S _ A N LI MP ) 6 . 2 . 2 . 1 I D S _ A N L _ I MP . 1 分析单元应具备身份鉴别能力, 除具有明确访问权限的 用户外, 分析单元 应禁止其他用户对分析单元的访问。 6 . 2 . 2 . 2 I D S _ A N L _ I MP . 2人侵检测产品应具备概率统计的分析能力, 对不规则或频繁出现的事件进 行统计分析 6 . 2 . 2 . 3 I D S _ A N L

24、_ I MP . 3 人侵检测产品应具备数据挖掘能力, 能对存在关联的事件进行分析, 发现 可能存在的人侵。 6 . 2 . 3 响应单元扩展功能要求( I D S R S P IMP ) 6 . 2 . 3 . 1 I D S _ R S P es I MP . 1 人侵检测产品应具备主动保护能力, 当违反安全策略的事件发生时, 响应单 元能够提供主动保护功能, 防范进一步的人侵行为, 可采取的保护动作如下: a ) 锁定用户的登录; b ) 阻断用户的通信; c ) 调用授权用户预先定义的操作 6 . 2 . 3 . 2 I D S _ R S P _ I MP . 2 人侵检测产品应能与

25、其他网络安全产品配合工作, 对发现的人侵行为采取 联合行动, 保证系统的安全。 6 . 2 . 4 审计单元扩展功能要求 ( I D S _ F A U IMP ) 6 . 2 . 4 . 1 I D S _ F A U _ I MP . 1 审计单元应具有通过 日期和时间、 主体身份、 事件类型、 相关事件成功或失 败等信息对审计数据进行分类的能力。 6 . 2 . 4 . 2 I D S _ F A U _ I MP . 2 审计单元应根据以下属性的审计事件集合中包含或排斥可审计事件: a ) 事件类 型; b ) 审计列表中任意可选项 6 . 2 . 4 . 3 I D S _ F A

26、U _ I MP . 3除具有明确访问权限的用户外, 审计单元应禁止其他用户对审计数据的 访问 。 6 . 2 . 4 . 4 I D S _ F A U _ I MP . 4审计信息应能加密存储 6 . 2 . 5管理粹制单n: 扩展劝能IF T( I D S MAN I MP ) GA / T 4 0 3 . 2 -2 0 0 2 6 . 2 . 5 . 1 I D S 一 MA N - I MP . 1 人侵检测产品应为用户提供定制安全策略和验证安全策略的工具。 6 . 2 . 5 . 2 I D S _ M A N _ I MP . 2 当管理控制单元与 其他单 元是通过网络连接时,

27、管理控制单元与其他组件 间的通信应建立安全加密连接。 6 . 2 . 5 . 3 I D S _ MA N _ I MP . 3 人侵检测产品应按照管理权限的不同将管理员分级。 6 . 2 . 5 . 4 I D S _ MA N IMP . 4 管理单元应设定一个用户授权管理员用户可修改的鉴别尝试次数, 当达到 或超过规定的不成功鉴别尝试次数时, 管理控制单元应阻止用户的进一步鉴别尝试, 直到授权管理员恢 复该用户 的被鉴别 能力。 7性能要求 7 . 1 误报率 主机型人侵检测产品的技术文档应标明该产品的误报率, 并指明相应的测试方法、 测试工具、 测试 环境和测试步骤。 7 . 2 漏报

28、率 主机型人侵检测产品的技术文档应标明该产品的漏报率, 并指明相应的测试方法、 测试工具、 测试 环境 和测 试步骤 7 . 3 平均响应时间 人侵检测产品应保证对事件及时进行响应。 7 . 4 稳定性 基于主机的人侵检测产品在主机任何工作状态下都应该工作稳定, 工作时不应对其他系统的工作 产生影响, 且易于安装和干净卸载。不应造成被检测主机停机或死机现象。 7 . 5 C P U资源占用量 在主机负载高峰情况下, 人侵检测产品不应明显影响主机正常处理工作速度 76 存储空间资源占用量 人侵检测产品占用存储空间不应影响主机正常存储能力。 7 . 7内存 占用量 人侵检测产品占用内存空间不应影响主机正常工作能力。 7 . 8 用户登录和资源访问 人侵检测产品不应影响所在目 标主机上的合法用户登录及文件资源访问。 79网络通信 人侵检测产品不应影响所在目标主机的合法网络通信。 安全功 能要 求 安全功能组件 主机型人侵检测产品 的安全功能组件 山表 3所列项 目组成 。 表 3主机型入侵检测产 品安全功能组件 安全功能组件安全功能要求 I DS FAU_ SAR I审计杳 阅 I D S F A U _ S A R . 2 有 限 审 计 丧 阅 一 一 一

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1