1、道雪ICS 35.020 L 80 国家标准国不日11: ./、民华人中GB/T 28451-2012 信息安全技术网络型入侵防御产品技术要求和测试评价方法Information security technology-Technical requirements and testing and evaluation approaches for network-based intrusion prevention system products 扁扁-,同._.1-LU IL-IU-U I头肮E2012-06-29发布发布中华人民共和国国家质量监督检验检渡总局中国国家标准化管理委员会-乱伊g
2、hy忡伪;u 剧脚-wdF敏-qd街面GB/T 28451-2012 目次前言.1 1 范围2 规范性引用文件-3 术语和定义4 缩略语.25 入侵防御产品技术要求组成.25. 1 组成说明.2 5.2 功能和安全要求等级划分.3 6 入侵防御产品的组成.46.1 人侵事件分析单元.46.2 人侵响应单元46.3 入侵事件审计单元46.4 管理控制单元.4 7 入侵防御产品技术要求57.1 第一级.5 7.2 第二级.8 7.3 第三级147.4 性能要求208 入侵防御产品测评方法. . . . . . 21 8.1 测试环境218.2 测试工具218.3 第一级.21 8.4 第二级.29
3、 8.5 第三级428.6 性能测试.四GB/T 28451-2012 目U=i 本标准按照GB/T1. 1一2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、北京启明星辰信息安全技术有限公司、北京神州绿盟科技有限公司、福建省海峡信息技术有限公司、沈阳东软系统集成工程有限公司、北京安氏领信科技发展有限公司、网御神州科技(北京)有限公司。本标准主要起草人z沈亮、顾建新、俞优、顾健、袁智辉、韩鹏、张章学、于江、杜永峰
4、、段继平。I 1 范围信息安全技术网络型入侵防御产品技术要求和测试评价方法GB/T 28451-2012 本标准规定了网络型入侵防御产品的功能要求、产品自身安全要求和产品保证要求,并提出了入侵防御产品的分级要求。本标准适用于网络型入侵防御产品的设计、开发、测试和评价。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 17859一1999计算机信息系统安全保护等级划分准则GBjT 25069-2010信息安全技术术语3 术语和定义GBjT 25069-2010和GB1
5、7859-1999界定的以及下列术语和定义适用于本文件。3. 1 网络型入侵防御产品network-based intrusion prevention system products 以网桥或网关形式部署在网络通路上,通过分析网络流量发现具有入侵特征的网络行为,在其传人被保护网络前进行拦截的产品。3.2 TCP流重组TCP reassembly 攻击者将发送的攻击数据分别在一个会话连接中的多个数据包发出,用来躲避入侵防御系统的检测行为。3.3 SHELL代码变形SHELL deformation 针对缓冲区溢出攻击,攻击者用其他方式替代原有程序指令并以一种伪随机的方式结合到一起,用来躲避入侵
6、防御系统的检测行为。3.4 管理员administrator 对使用入侵防御产品的授权操作员、安全员、审计员等的统称。3.5 告警alert 当人侵防御产品发现有入侵行为时,向用户发出的紧急通知。3.6 误截false blocking 入侵防御产品在未发生攻击时对会话进行拦截的情况。对于在出现攻击时未发出或者发出错误的G/T 28451-2012 告曹信息并进行拦截的情况,因不影响到实际入侵拦截效果,故本标准的此项定义不包含这种情况。3. 7 漏截miss blocking 当出现产品支持的攻击行为时,入侵防御产品未实现拦截攻击的情况。4 缩略语ARP:地址解析协议CAddressResol
7、ution Protocol) DNS:域名系统CDomainName System) FTP:文件传输协议CFileTransfer Protocol) HTTP:超文本传输协议CHyperText Transfer Protocol) ICMP:网间控制报文协议CInternetControl Message Protocol) IP:网际协议CInternetProtcol) MSN:微软网络服务CMicrosoftService Network) NFS:网络文件系统CNetworkFile System) POP3:邮局协议3(Post Office Protocol 3) P2P七
8、点X才,点CPointto Point) RPC:远程过程调用(RemoteProcedure Call) 5MB:服务器信息块(ServerMessage Block) SMTP:简单邮件传输协议CSimpleMailTransfer Protocol) SNMP:简单网络管理协议CSimpleNetwork Management ProtocoD TCP:传输控制协议(TransmissionControl ProtocoD TFTP:简单文件传输协议(TrivialFile Transfcr Protocol) UDP:用户数据报协议(UserDatagram ProtocoD URL:
9、统一资源定位器(UniversalReso盯ceLocator) 5 入僵防御产品技术要求组成5.1 组成说明5. 1. 1 第一级本级规定了入侵防御产品的最低安全要求。产品具备基本的协议分析、入侵发现和拦截能力,并对入侵事件生成记录,通过简单的用户标识和鉴别来限制对产品的功能配置和数据访问的控制,使用户具备自主安全保护的能力,阻止非法用户危害人侵防御产品,保护入侵防御产品的正常运行。5.1.2 第二级本级要求划分安全管理角色,以细化对入侵防御产品的管理。加入审计功能,使得授权管理员的行为是可追踪的。产品在实现入侵发现、拦截的同时,更要求具备及时告警的功能,对于事件记录还要求能生成、输出报表,
10、以及要求具备硬件失效处理机制。5. 1. 3 第三级本级要求入侵防御产品提供对外的通用接口,报表结果具备模板定制等功能,还要求具备多鉴别机制、升级安全、自我隐藏、负载均衡等功能,对产品的自身安全提出更高的要求,对产品的正常运行提供更强的保护。GB/T 28451-2012 5. 1. 4 性能本项对入侵防御产品的性能要求进行了规定,覆盖所有等级。5.2 功能和安全要求等级划分入侵防御产品的安全等级划分如表1、表2所示。对人侵防御产品的等级评定是依据表1和表2,结合产品保证要求的综合评定得出的,符合第一级的入侵防御产品应满足表1、表2中所标明的一级产品应满足的所有项目,以及对第一级产品的相关保证
11、要求;符合第二级的入侵防御产品应满足表1、表2中所标明的二级产品应满足的所有项目,以及对第二级产品的相关保证要求;符合第三级的入侵防御产品应满足表1、表2中所标明的三级产品应满足的所有项目,以及对第三级产品的相关保证要求。表1入侵防御产品功能要求等级划分表产品功能和性能要求功能组件一级二级三级数据收集峰导晤协议分析 祷当&入侵事件分析要求入侵发现4峰晤唾入侵逃避发现当岳当&流量监测3晤晤当庭拦截能力 4峰司k安全告警4陪善入侵响应功能要求告警方式当&当&事件合并峰晤事件生成峰争6当告事件记录峰司酝晤报表生成当&当&入侵事件审计功能报表查阅司告当&报表输出当酝当&报表模板的定制晤管理界面当酝*
12、* 入侵事件库司酝智岳* 事件分级导晤祷事件定义唔峰协议定义 祷管理控制功能要求流量控制 * 通用接口* 硬件失效处理* * * * 策略配置 祷峰产品升级 告奋祷争争铸管理接口独立 * * 注祷表示具有该要求。3 G/T 28451-2012 表2入侵防御产品自身安全要求等级划分表安全功能要求功能组件一级二级三级用户鉴别告* 晤鉴别失败的处理* 祷告e峙标识和鉴别鉴别数据保护当&铸晤超时锁定峰 多鉴别机制* 标识唯一性当岳* * 用户管理用户属性定义* * 晤角色分级晤唔安全数据管理句&拎* 数据存储告警 9等安全功能保护升级安全祷自我隐藏* 审计数据生成 安全审计审计查阅9导* 受限的审计
13、查阅* 每注祷表示具有该要求。6 入侵防御产品的组成6. 1 入侵事件分析单元采用相关的分析检测技术,对流入目标网络内的所有数据进行提取并分析。6.2 入僵晌应单元根据定义的策略对入侵行为进行拦截响应。6.3 入僵事件审计单元在违反安全策略的人侵事件发生时,对事件发生的时间、主体和客体等信息进行记录和统计。6.4 管理控制单元负责人侵防御产品定制策略、审阅日志、产品状态管理,并以可视化形式提交授权用户进行管理。4 GB/T 28451-2012 7 入侵防御产晶技术要求7. 1 第一级7. 1. 1 产晶功能要求7. 1.1. 1 入侵事件分析功能要求7.1.1. 1. 1 数据收集入侵防御产
14、品应具有实时收集流入目标网络内所有数据包的能力。7. 1. 1.1.2 协议分析入侵防御产品应对收集的数据包进行协议分析。7.1. 1.1. 3 入僵发现入侵防御产品应能发现协议中的入侵行为。7. 1.1. 1.4 流量监测入侵防御产品应对目标环境中的异常流量进行监测。7.1. 1. 2 入僵晌应功能要求入侵防御产品应对发现的入侵行为进行预先拦截,防止人侵行为进人目标网络。7.1. 1. 3 入侵事件审计功能要求7. 1. 1. 3. 1 事件生成入侵防御产品应能对拦截行为及时生成审计记录。7. 1.1. 3.2 事件记录入侵防御产品应记录并保存拦截到的入侵事件。入侵事件信息应至少包含事件名称
15、、事件发生日期和时间、源IP地址、源端口、目的IP地址、目的端口、危害等级等内容。7. 1.1. 4 管理控制功能要求7. 1.1. 4.1 管理界面入侵防御产品应提供用户界面用于管理、配置入侵防御产品。管理配置界面应包含配置和管理产品所需的所有功能。7. 1. 1.4.2 入侵事件库入侵防御产品应提供入侵事件库。事件库应包括事件名称、详细描述定义等。7. 1.1. 4.3 事件分组入侵防御产品应按照事件的严重程度对事件进行分级,以使授权管理员能从大量的信息中捕捉到危险的事件。5 GB/T 28451-2012 7. 1. 1. 4. 4 硬件失效处理入侵防御产品应提供硬件失效处理机制。7.
16、1. 1. 4. 5 策略配置人侵防御产品应提供对入侵防御策略、响应措施进行配置的功能。7. 1. 1. 4. 6 产品升级入侵防御产品应具备更新、升级产品事件库的能力。7. 1.1. 4.7 管理接口独立入侵防御产品应具备独立的管理接口。7. 1. 2 产晶自身安全要求7. 1.2. 1 标识和鉴别7. 1. 2. 1. 1 用户鉴别入侵防御产品应在用户执行任何与安全功能相关的操作之前对用户进行鉴别。7. 1. 2. 1. 2 鉴别失败的处理入侵防御产品应在用户鉴别尝试失败连续达到指定次数后,阻止用户进一步进行尝试。7. 1. 2. 1. 3 鉴别数据保护入侵防御产品应保护鉴别数据不被未授权
17、查阅和修改。7. 1. 2.2 用户管理7. 1. 2.2.1 标识唯一性入侵防御产品应保证所设置的用户标识全局唯一。7.1.2.2.2 用户属性定义入侵防御产品应为每一个用户保存安全属性表,属性应包括用户标识、鉴别数据、授权信息或用户组信息、其他安全属性等。7. 1. 2.3 安全功能保护入侵防御产品应仅限于指定的授权用户访问事件数据,禁止其他用户对事件数据的操作。7. 1. 3 产晶保证要求7. 1. 3.1 配置管理开发者应为入侵防御产品的不同版本提供唯一的标识。入侵防御产品的每个版本应当使用它们的唯一标识作为标签。7. 1.3.2 交付与运行开发者应提供文档说明入侵防御产品的安装、生成
18、和启动。6 7.1.3.3 安全功能开发7. 1. 3. 3. 1 功能设计开发者应提供文档说明入侵防御产品的安全功能设计。GB/T 28451-2012 功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节。7. 1. 3.3.2 表示对应性开发者应在入侵防御产品安全功能表示的所有相邻对之间提供对应性分析。7. 1.3.4 指导性文挡7.1.3.4.1 管理员指南开发者应给授权管理员提供包括以下内容的管理员指南za) 入侵防御产品可以使用的管理功能和接口;b) 怎样安全地管理入侵防御产品;c) 在安全处理环境
19、中应进行控制的功能和权限;d) 所有对与入侵防御产品的安全操作有关的用户行为的假设;e) 所有受管理员控制的安全参数,如果可能,应指明安全值;f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变Fg) 所有与授权管理员有关的IT环境的安全要求。管理员指南应与为评价而提供的其他所有文件保持一致。7. 1. 3. 4. 2 用户指南开发者应提供包括以下内容的用户指南za) 入侵防御产品的非管理用户可使用的安全功能和接口zb) 入侵防御产品提供给用户的安全功能和接口的用法;c) 用户可获取但应受安全处理环境控制的所有功能和权限;d) 人侵防御产品安全操作中用户所应
20、承担的职责;e) 与用户有关的IT环境的所有安全要求。用户指南应与为评价而提供的其他所有文件保持一致。7. 1. 3.5 开发安全要求开发者应提供包括以下内容的开发安全文件:a) 开发安全文件应描述在入侵防御产品的开发环境中,为保护入侵防御产品设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施;b) 开发安全文件还应提供在入侵防御产品的开发和维护过程中执行安全措施的证据。7. 1. 3. 6 测试7. 1. 3. 6. 1 范围开发者应提供测试覆盖的分析结果。7 GB/T 28451-2012 测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中
21、所描述的安全功能是对应的。7.1.3.6.2 功能测试开发者应测试安全功能,并提供以下测试文档:a) 测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果。b) 测试计划应标识要测试的安全功能,并描述测试的目标。测试规程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依颇性。c) 期望的测试结果应表明测试成功后的预期输出。d) 实际测试结果应表明每个被测试的安全功能能按照规定进行运作。7.2 第二级7.2. 1 产晶功能要求7.2. 1. 1 入侵事件分析功能要求7. 2. 1. 1. 1 数据收集入侵防御产品应具有实时收集流入目标网络内所有数据包的
22、能力。7.2.1.1.2 协议分析入侵防御产品应对收集的数据包进行协议分析。7.2. 1. 1. 3 入侵发现入侵防御产品应能发现协议中的人侵行为。7.2. 1. 1.4 入侵逃避发现入侵防御产品应能发现躲避或欺骗检测的行为,如IP碎片重组、TCP流重组、协议端口重定位、URL字符串变形、SHELL代码变形等。7.2. 1. 1. 5 流量监测入侵防御产品应对目标环境中的异常流量进行监测。7.2. 1. 2 入侵晌应功能要求7.2. 1. 2. 1 拦截能力入侵防御产品应对发现的入侵行为进行预先拦截,防止入侵行为进入目标网络。7.2.1.2.2 安全告警人侵防御产品应在发现并拦截入侵行为时,采
23、取相应动作发出安全警告。7.2. 1. 2.3 告警方式入侵防御产品的告警方式宜采取屏幕实时提示、E-mail告苦、声音告警等一种或多种方式。7.2. 1. 2.4 事件合并入侵防御产品应具有对高频度发生的相同安全事件进行合并告誓,避免出现告警风暴的能力。8 7.2. 1. 3 入侵事件审计功能要求7.2.1.3.1 事件生成入侵防御产品应能对拦截行为及时生成审计记录。7.2. 1. 3.2 事件记录GB/T 28451-2012 入侵防御产品应记录并保存拦截到的人侵事件。入侵事件信息应至少包含事件名称、事件发生日期和时间、源IP地址、源端口、目的IP地址、目的端口、危害等级等内容。7.2.
24、1. 3.3 报表生成入侵防御产品应能生成详尽的结果报表。7.2. 1. 3. 4 报表查阅人侵防御产品应具有浏览结果报表的功能。7.2. 1. 3.5 报表输出入侵防御产品应支持管理员按照自己的要求修改和定制报表内容,并输出成方便阅读的文件格式,至少支持以下报表文件格式中的一种或多种:DOC、PDF,HTML、XLS等。7.2. 1. 4 管理控制功能要求7.2. 1.4. 1 管理界面入侵防御产品应提供用户界面用于管理、配置入侵防御产品。管理配置界面应包含配置和管理产品所需的所有功能。7.2.1.4.2 入侵事件库入侵防御产品应提供入侵事件库。事件库应包括事件名称、详细描述定义等。7.2.
25、 1. 4. 3 事件分级入侵防御产品应按照事件的严重程度对事件进行分级,以使授权管理员能从大量的信息中捕捉到危险的事件。7.2. 1. 4. 4 事件定义人侵防御产品应允许授权管理员自定义策略事件。7.2. 1. 4.5 协议定义入侵防御产品除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对协议的端口进行重新定位。7.2. 1. 4. 6 流量控制入侵防御产品具备对异常流量进行控制的功能。7.2. 1. 4. 7 硬件失效处理入侵防御产品应提供硬件失效处理机制。9 GB/T 28451-2012 7.2. 1. 4. 8 策略配置入侵防御产品应提供对入侵防御策略、响应措施进行配置
26、的功能。7.2. 1. 4. 9 产晶升级入侵防御产品应具备更新、升级产品版本和事件库的能力。7.2. 1. 4.10 管理接口独立入侵防御产品应具备独立的管理接口。7.2.2 产品自身安全要求7.2.2. 1 标识和鉴别7.2.2. 1. 1 用户鉴别入侵防御产品应在用户执行任何与安全功能相关的操作之前对用户进行鉴别。7.2.2. 1. 2 鉴别失败的处理入侵防御产品应在用户鉴别尝试失败连续达到指定次数后,阻止用户进一步进行尝试,并将有关信息生成审计事件。最多失败次数仅由授权管理员设定。7.2.2. 1. 3 鉴别数据保护入侵防御产品应保护鉴别数据不被未授权查阅和修改。7.2.2.1.4 超
27、时锁定入侵防御产品应具有管理员登录超时重新鉴别功能。在设定的时间段内没有任何操作的情况下,中止或者锁定会话,前要再次进行身份鉴别才能够重新管理产品。最大超时时间仅由授权管理员设定。7.2.2.2 用户管理7.2. 2. 2. 1 标识唯一性入侵防御产品应保证所设置的用户标识全局唯一。7.2.2.2.2 用户属性定义入侵防御产品应为每一个用户保存安全属性表,属性应包括用户标识、鉴别数据、授权信息或用户组信息、其他安全属性等。7.2.2.2.3 角色分级入侵防御产品应为管理角色进行分级,不同级别的管理角色具有不同的管理权限,以增加入侵防御产品管理的安全性。7.2.2.3 安全功能保护7.2.2.3
28、. 1 安全数据管理入侵防御产品应仅限于指定的授权用户访问事件数据,禁止其他用户对事件数据的操作。10 GB/T 28451-2012 7.2.2.3.2 数据存储告警入侵防御产品应在发生事件数据存储空间将耗尽等情况时,自动产生告瞥,并采取措施避免事件数据丢失。7.2.2.4 安全审计7.2.2.4.1 审计数据生成入侵防御产品应至少为下述可审计事件产生审计记录:a) 试图登录入侵防御产品管理端口和管理身份鉴别请求;b) 所有对安全策略更改的操作;c) 修改安全属性的所有尝试。应在每个审计记录中至少记录事件的日期和时间、事件类型、主体身份、事件的结果(成功或失败)等信息。7.2.2.4.2 审
29、计查阅入侵防御产品应为授权管理员提供从审计记录中读取全部审计信息的功能,并可对审计记录进行排序。7.2.2.4.3 受限的审计查阅除了具有明确的读访问权限的授权管理员之外,入侵防御产品应禁止非授权用户对审计记录的读访问。7.2.3 产晶保证要求7.2.3. 1 配置管理7.2.3. 1. 1 配置管理能力开发者应使用配置管理系统并提供配置管理文档,以及为入侵防御产品的不同版本提供唯一的标识。配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项。配置管理文档应包括配置清单和配置管理计划。在配置清单中,应对每一配置项给出相应的描述;在配置管理计划中,应描述配置管理系统是如何
30、使用的。实施的配置管理应与配置管理计划相一致。配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效的维护的证据。7.2.3. 1. 2 配置管理范围开发者应提供配置管理文档。配置管理文档应说明配置管理系统至少能跟踪:入侵防御产品实现表示、设计文档、测试文档、用户文档、管理员文档和配置管理文档,并描述配置管理系统是如何跟踪配置项的。7.2.3.2 交付与运行7.2.3.2. 1 交付开发者应使用一定的交付程序交付入侵防御产品,并将交付过程文档化。11 GB/T 28451-2012 交付文档应描述在给用户方交付人侵防御产品的各版本时,为维护安全所必需的所有程序。7.2.3.
31、2.2 安装生成开发者应提供文档说明人侵防御产品的安装、生成和启动。7.2.3.3 安全功能开发7.2.3.3.1 功能设计开发者应提供文档说明入侵防御产品的安全功能设计。功能设计应以非形式方法来描述安全功能与其外部接口,并描述使用外部安全功能接口的目的与方法,在需要的时候,还要提供例外情况和出错信息的细节。7.2.3.3.2 高层设计开发者应提供文档说明入侵防御产品安全功能的高层设计。高层设计应以非形式方法表述并且是内在一致的。为说明安全功能的结构,高层设计应将安全功能分解为各个安全功能子系统进行描述,并阐明如何将有助于加强入侵防御产品安全功能的子系统和其他子系统分开。对于每一个安全功能子系
32、统,高层设计应描述其提供的安全功能,标识其所有接口以及哪些接口是外部可见的,描述其所有接口的使用目的与方法,并提供安全功能子系统的作用、例外情况和出错信息的细节。高层设计还应标识入侵防御产品安全要求的所有基础性的硬件、固件和软件,并且支持由这些硬件、固件或软件所实现的保护机制。7.2.3.3.3 表示对应性开发者应在入侵防御产品安全功能表示的所有相邻对之间提供对应性分析。7.2.3.4 指导性文档7.2.3.4.1 管理员指南开发者应给授权管理员提供包括以下内容的管理员指南:a) 入侵防御产品管理员可以使用的管理功能和接口;b) 怎样安全地管理入侵防御产品;c) 在安全处理环境中应进行控制的功
33、能和权限:d) 所有对与入侵防御产品的安全操作有关的用户行为的假设;e) 所有受管理员控制的安全参数,如果可能,应指明安全值;f) 每一种与管理功能有关的安全相关事件,包括对安全功能所控制的实体的安全特性进行的改变;g) 所有与授权管理员有关的IT环境的安全要求。管理员指南应与为评价而提供的其他所有文件保持一致。7.2.3.4.2 用户指南开发者应提供包括以下内容的用户指南:a) 入侵防御产品的非管理用户可使用的安全功能和接口pb) 入侵防御产品提供给用户的安全功能和接口的用法5c) 用户可获取但应受安全处理环境控制的所有功能和权限;d) 入侵防御产品安全操作中用户所应承担的职责;12 GB/
34、T 28451-2012 e) 与用户有关的IT环境的所有安全要求。用户指南应与为评价而提供的其他所有文件保持一致。7.2.3.5 开发安全要求开发者应提供包括以下内容的开发安全文件:a) 开发安全文件应描述在入侵防御产品的开发环境中,为保护入侵防御产品设计和实现的机密性和完整性,而在物理上、程序上、人员上以及其他方面所采取的必要的安全措施;b) 开发安全文件还应提供在入侵防御产品的开发和维护过程中执行安全措施的证据。7.2.3.6 测试7.2.3.6. 1 范围开发者应提供测试覆盖的分析结果。测试覆盖的分析结果应表明测试文档中所标识的测试与安全功能设计中所描述的安全功能是对应的,且该对应是完
35、整的。7.2.3.6.2 测试深度开发者应提供测试深度的分析。在深度分析中,应说明测试文档中所标识的对安全功能的测试,足以表明该安全功能和高层设计是一致的。7.2.3.6.3 功能测试开发者应测试安全功能,并提供以下测试文档za) 测试文档应包括测试计划、测试规程、预期的测试结果和实际测试结果;b) 测试计划应标识要测试的安全功能,并描述测试的目标。测试规程应标识要执行的测试,并描述每个安全功能的测试概况,这些概况包括对其他测试结果的顺序依赖性;c) 期望的测试结果应表明测试成功后的预期输出;d) 实际测试结果应表明每个被测试的安全功能能按照规定进行运作。7.2.3.6.4 独立性测试开发者应
36、提供证据证明,开发者提供的入侵防御产品经过独立的第三方测试并通过。7.2.3.7 脆弱性评定7.2.3.7.1 指南检查开发者应提供文挡。在文档中,应确定对入侵防御产品的所有可能的操作方式(包括失败和操作失误后的操作)、它们的后果以及对于保持安全操作的意义。文档中还应列出所有目标环境的假设以及所有外部安全措施(包括外部程序的、物理的或人员的控制)的要求。文档应是完整的、清晰的、一致的、合理的。.2.3. .2 脆弱性分析开发者应从用户可能破坏安全策略的明显途径出发,对入侵防御产品的各种功能进行分析并形成文挡。对被确定的脆弱性,开发者应明确记录采取的措施。对每一条脆弱性,应能够显示在使用入侵防御
37、产品的环境中该脆弱性不能被利用。13 GB/T 28451-2012 7.3 第三级7.3. 1 产品功能要求7. 3. 1. 1 入侵事件分析功能要求7. 3. 1. 1. 1 数据收集入侵防御产品应具有实时收集流入目标网络内所有数据包的能力。7. 3. 1. 1. 2 协议分析入侵防御产品应对收集的数据包进行协议分析。7.3.1.1.3 入侵发现入侵防御产品应能发现协议中的入侵行为。7.3. 1. 1.4 入侵逃避发现入侵防御产品应能发现躲避或欺骗检测的行为,如IP碎片重组、TCP流重组、协议端口重定位、URL字符串变形、SHELL代码变形等。7.3. 1.1. 5 流量监测入侵防御产品应
38、对目标环境中的异常流量进行监测。7.3. 1. 2 入侵晌应功能要求7.3. 1. 2. 1 拦截能力入侵防御产品应对发现的入侵行为进行预先拦截,防止入侵行为进入目标网络。7.3. 1. 2. 2 安全告警入侵防御产品应在发现并拦截入侵行为时,采取相应动作发出安全警告。7.3. 1.2.3 告警方式入侵防御产品的告警方式宜采取屏幕实时提示、E-mail告警、声音告警等一种或多种方式。7.3.1.2.4 事件合并入侵防御产品应具有对高频度发生的相同安全事件进行合并告警,避免出现告警风暴的能力。7.3. 1.3 入侵事件审计功能要求7.3.1.3.1 事件生成入侵防御产品应能对拦截行为及时生成审计
39、记录。7.3.1.3.2 事件记录入侵防御产品应记录并保存拦截到的入侵事件。入侵事件信息应至少包含事件名称、事件发生日期和时间、源IP地址、源端口、目的IP地址、目的端口、危害等级等内容。GB/T 28451-2012 7.3.1.3.3 报表生成入侵防御产品应能生成详尽的结果报表。7.3. 1. 3. 4 报表查阅入侵防御产品应具有浏览结果报表的功能。7.3.1.3.5 报表输出入侵防御产品应支持管理员按照自己的要求修改和定制报表内容,并输出成方便阅读的文件格式,至少支持以下报表文件格式中的一种或多种:DOC、PDF、HTML、XLS等。7.3. 1. 3.6 报表模板的定制入侵防御产品应提
40、供结果报表模板的定制功能。7.3. 1. 4 管理控制功能要求7.3. 1. 4. 1 管理界面入侵防御产品应提供用户界面用于管理、配置入侵防御产品。管理配置界面应包含配置和管理产品所需的所有功能。7.3.1.4.2 入侵事件库入侵防御产品应提供入侵事件库。事件库应包括事件名称、详细描述定义等。7.3. 1. 4. 3 事件分级入侵防御产品应按照事件的严重程度对事件进行分级,以使授权管理员能从大量的信息中捕捉到危险的事件。7.3.1.4.4 事件定义入侵防御产品应允许授权管理员自定义策略事件。7.3.1.4.5 协议定义入侵防御产品除支持默认的网络协议集外,还应允许授权管理员定义新的协议,或对
41、协议的端口进行重新定位。7.3. 1. 4.6 流量控制入侵防御产品具备对异常流量进行控制的功能。7.3. 1. 4. 7 通用接口入侵防御产品应提供对外的通用接口,以便与其他安全设备共享信息或规范化管理。7.3. 1. 4. 8 硬件失效处理入侵防御产品应在提供硬件失效处理机制的同时,还应具备双机热备的能力。15 GB/T 28451-2012 7.3. 1. 4. 9 负载均衡入侵防御产品应具备负载均衡功能,能够根据安全策略将网络流量均衡到多台服务器上。7.3. 1. 4.10 策略配置人侵防御产品应提供对入侵防御策略、响应措施进行配置的功能。7. 3. 1. 4. 11 产晶升级入侵防御
42、产品应具备更新、升级产品版本和事件库的能力。7.3. 1. 4.12 管理接口姐立入侵防御产品应具备独立的管理接口。7.3.2 产晶自身安全要求7.3.2. 1 标识和鉴别7.3.2. 1. 1 用户鉴别入侵防御产品应在用户执行任何与安全功能相关的操作之前对用户进行鉴别。7.3.2. 1. 2 鉴别失败的处理入侵防御产品应在用户鉴别尝试失败连续达到指定次数后,阻止用户进一步进行尝试,并将有关信息生成审计事件。最多失败次数仅由授权管理员设定。7.3.2. 1. 3 鉴别数据保护入侵防御产品应保护鉴别数据不被未授权查阅和修改。7.3.2. l. 4 超时锁定入侵防御产品应具有管理员登录超时重新鉴别
43、功能。在设定的时间段内没有任何操作的情况下,中止或者锁定会话,需要再次进行身份鉴别才能够重新管理产品。最大超时时间仅由授权管理员设定。7.3.2.1.5 多鉴别机制入侵防御产品应提供多种鉴别方式,或者允许授权管理员执行自定义的鉴别措施,以实现多重身份鉴别措施。多鉴别机制应同时使用。7.3.2.2 用户管理7.3.2.2.1 标识唯-性入侵防御产品应保证所设置的用户标识全局唯一。7.3.2.2.2 用户属性定义入侵防御产品应为每一个用户保存安全属性表,属性应包括用户标识、鉴别数据、授权信息或用户组信息、其他安全属性等。16 GB/T 28451-2012 7.3.2.2.3 角色分级入侵防御产品
44、应为管理角色进行分级,不同级别的管理角色具有不同的管理权限,以增加入侵防御产品管理的安全性。7.3.2.3 安全功能保护7.3.2.3.1 安全数据管理入侵防御产品应仅限于指定的授权用户访问事件数据,禁止其他用户对事件数据的操作。7.3.2.3.2 数据存储告警入侵防御产品应在发生事件数据存储器空间将耗尽等情况时,自动产生告誓,并采取措施避免事件数据丢失。产生告曹的剩余存储空间大小应由管理员自主设定。7.3.2.3.3 升级安全人侵防御产品应确保事件库和版本升级时的安全,保证升级包是由开发商提供的。7.3.2.3.4 自我隐藏入侵防御产品应至少提供网桥方式的接入方式,采取隐藏IP地址等措施使自
45、身在网络上不可见,以降低被攻击的可能性。7.3.2.4 安全审计7.3.2.4.1 审计数据生成入侵防御产品应至少为下述可审计事件产生审计记录:a) 试图登录入侵防御产品管理端口和管理身份鉴别请求;b) 所有对安全策略更改的操作;c) 修改安全属性的所有尝试。应在每个审计记录中至少记录事件的日期和时间、事件类型、主体身份、事件的结果(成功或失败)等信息。7.3.2.4.2 审计查阅入侵防御产品应为授权管理员提供从审计记录中读取全部审计信息的功能,并可对审计记录进行排序。7.3.2.4.3 受限的审计查阅除了具有明确的读访问权限的授权管理员之外,入侵防御产品应禁止非授权用户对审计记录的读访问。7
46、.3.3 产晶保证要求7.3.3. 1 配置管理7.3.3. 1. 1 配置管理能力开发者应使用配置管理系统并提供配置管理文挡,以及为入侵防御产品的不同版本提供唯一的GB/T 28451-2012 标识。配置管理系统应对所有的配置项作出唯一的标识,并保证只有经过授权才能修改配置项,还应支持入侵防御产品基本配置项的生成。配置管理文档应包括配置清单、配置管理计划以及接受计划。配置清单用来描述组成人侵防御产品的配置项。在配置管理计划中,应描述配置管理系统是如何使用的。实施的配置管理应与配置管理计划相一致。在接受计划中,应描述对修改过或新建的配置项进行接受的程序。配置管理文档还应描述对配置项给出唯一标识的方法,并提供所有的配置项得到有效的维护的证据。7.3.3.1.2 配置管理范围开发者应提供配置管理文档。配置管理文档应