GAT696-2007信息安全技术单机防入侵产品安全功能要求.pdf 5页

'ICS35.2耳0A90中华人民共和国公共安全行业标准GA/T696一2007信息安全技术单机防入侵产品安全功能要求Informationsecuritytechnology一SecurityfunctionalrequirementsfOrProductsofProtectingstand一alonecomPuterfromintrusion2007一05一14发布2007一07一01实施中华人民共和国公安部发布 GA/T696一2007月U吕本标准由公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心本标准主要起草人:陆臻、张奕、顾玮、沈亮、赵婷、张岚、顾健。标准分享网www.bzfxw.com免费下载 GA/T696一2007信息安全技术单机防入侵产品安全功能要求范围本标准规定了信息安全技术单机防人侵产品的安全功能要求和保证要求。本标准适用于信息安全技术单机防人侵产品的生产及检测。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T18336.3一2o01信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求(idtISO/IEC154OS一3:1999)术语和定义下列术语和定义适用于本标准。单机防入侵产品productofprotectingandpreventingintrusiononstand一alonecomputer一个运行于单机上的软件。它可以截取单机上进行的人站和出站TCP/IP网络连接尝试，并使用预先定义的规则允许和禁止其连接。4单机防入侵产品的安全功能要求4.IIP数据包过滤依据TcP/IP协议中的网络数据包的数据格式约定，每一条匹配规则应由下列要素组成:a)数据包方向(连接发起方/接收方)。b)远程IP地址(任何IP地址/指定IP地址/指定IP地址范围)。c)协议的匹配，具体协议至少应包括:1)ICMP数据包过滤根据ICMP网络数据包中的类型和代码字段进行设定，当匹配到相同类型和代码字段时则按对应规则中的数据包处理方式进行处理;2)UDP数据包过滤根据UDP网络数据包中的本地端口[包括单一端口和(或)端口范围]和(或)远程端口[包括单一端口和(或)端口范围〕进行规则匹配;3)TCP数据包过滤根据TCP网络数据包中的本地端口仁包括单一端口和<或)端口范围]和(或)远程端口[包括单一端口和(或)端口范围口，以及TCP数据包的标志位进行规则匹配过滤。4.2过滤动作单机防人侵产品应具有对数据包进行下述过滤动作的能力:a)拦截;1 GA/T696一2007b)通行;c)继续匹配下一规则。4.3安全规则的修订a)用户能选择使用或弃用单机防人侵产品提供的安全规则;b)用户能根据4.1中的格式规定添加、删除、修改自定义安全规则。4.4对特定网络攻击数据包的拦截a)单机防人侵产品应具备对于一些特定攻击的抵挡及防御能力;b)配合抵御攻击的能力，单机防人侵产品应具备建立可更新的攻击特征库的能力。4，5应用程序网络访问控制单机防人侵产品的安全功能应包括能控制每个应用程序使用网络权限，对应用程序网络访问控制包括以下三种方式:a)允许访问:允许该程序使用网络;b)禁止访问:禁止该程序使用网络;c)网络访问时询问:当应用程序访问网络时，单机防人侵产品应对其将进行的访问操作向用户提供详细的报告及询问，根据询问结果对应用程序访问网络的行为进行相应处理。4.6网络快速切断/恢复以快捷的方式切断/恢复所有网络通讯。4，7包过滤、网络攻击的日志记录a)应提供一个网络通讯日志，便于用户查阅网络系统近况。日志项目应至少包括如下数据项通讯日期时间、接受/发送/拦截情况、对方IP地址、本机端口、对方端口、备注日志数据项的内部数据结构定义可参考如下:数据项类型长度1.通讯日期时间字符8字节2.接受/发送/拦截情况字符1字节(三种情况分别用。、1、2表示)3.对方IP地址字符12字节4.本机端口字符5字节5.对方端口字符5字节6，备注字符10。字节(受攻击种类或内部通讯程序)b)系统应提供日志的清空功能c)日志信息应为人所能理解。d)日志信息应存储在永久性存储介质中4.8网络攻击的报普根据匹配系统指定规则发现异常网络数据包，单机防人侵产品应以一定方式警告用户，以及提示用户采取哪些措施49产品自身安全若产品涉及分级访问控制的功能，则其管理控制还需具备基本的身份鉴别功能。5单机防入侵产品的保证要求保证要求按GB/T18336，3一2001第二级执行。6单机防入侵产品的安全等级划分依据信息安全技术单机防人侵产品的开发、生产现状及实际应用情况，对单机防人侵产品的安全功标准分享网www.bzfxw.com免费下载 GA/T696一2007能要求划分成两个等级。单机防人侵产品的安全等级划分如表1所示。表，信息安全技术单机防入侵产品安全等级划分表安全功能类基本要求”增强要求“4.IIP数据包过滤了丫4.2过滤动作了丫4.3安全规则的修订丫a)了丫4.4对特定网络攻击数据包的栏截b)丫4.5应用程序网络访问控制召了4.6网络快速切断/恢复了4.7包过滤、网络攻击的日志记录丫了4，8网络攻击的报警丫了4.9产品自身安全丫丫5保证要求了丫基本要求:为单机防人侵产品的最低安全级别要求。b增强要求:为进一步提升产品安全功能的附加要求'