1、ICS 35.020 L 09 GA 中华人民共和国公共安全行业标准GA/T 403. 1-2002 信息技术入侵检测产品技术要求第1部分:网络型产品Information technology-Technical requirements for intrusion detection products-Part 1 : Network-based products 2002-12-11发布2003-05-01实施中华人民共和国公安部发布GA/T 403. 1-2002 目次前言.1 引言.11 1 范围. 2 规范性引用文件-3 术语和定义. 4 网络型入侵检测产品的组成和分级4. 1 产
2、品组成. 4.2 产品分级.25 工作环境.25. 1 系统接入.25.2 工作环境安全.25.3 管理人员.2 6 功能要求.2 6. 1 基本级网络型入侵检测产品组件功能要求.2 6.2 增强级网络型入侵检测产品扩展功能要求7 性能要求.67. 1 误报率7.2 漏报率.6 7.3 平均响应时间.6 7.4 稳定性.6 7.5 数据截取率和还原率.6 7.6 对网络影响68 安全功能要求.6 8.1 安全功能组件.6 8. 2 安全审计8.3 标识和鉴别.7 8.4 安全管理.8 8.5 安全功能保护.8 9 安全保证要求.-.8 9.1 配置管理保证.8 9.2 操作保证.8 9.3 开
3、发过程保证.8 9.4 指南文件保证.9 前言GA/T 403(信息技术入侵检测产品技术要求分为两个部分:第1部分:网络型产品;一一第2部分:主机型产品。本部分为GA/T403的第1部分。本部分由中华人民共和国公安部公共信息网络安全监察局提出。本部分由公安部信息系统安全标准化技术委员会归口。本部分由北京中科网威信息技术有限公司、公安部第二研究所负责起草。本部分主要起草人:潘玉南、杨戚、曾明、余立新、肖江、刘兵、丁宇征。GA/T 403. 1-2002 I GA/T 403. 1-2002 I 本部分是GAjT403的第1部分。本部分规定了网络型入侵检测产品的工作环境、功能要求、性能要求、安全功
4、能要求和安全保证要求。入侵检测产品的目的是发现入侵行为。官通过对计算机网络中的若干关键点或被监测主机系统收集安全相关信息并对其进行分析,从而发现网络和系统中违反安全策略的行为和被攻击的迹象。当把入侵检测产品看成是完成一定安全目标的系统时,我们又可称之为入侵检测系统(IDS)。与其他安全产品相比,入侵检测产品具有更强的智能分析功能。入侵检测产品能简化管理员的工作,保障网络的安全运行。H 1 范围信息技术入侵检测产品技术要求第1部分:网络型产品GA/T 403. 1-2002 GA/T 403的本部分规定了采用传输控制协议/网间协议(TCP/IP)的网络型入侵检测产品技术要求。本部分适用于网络型入
5、侵检测产品的研制、开发、测评和采购。2 规范性引用文件下列文件中的条款通过GA/T403的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然丽,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GB/T 527 1. 8-2001信息技术词汇第8部分:安全(idtISO/IEC 2382-8: 1998) 3 术语和定义GB/T 527 1. 8一2001中确立的及以下术语和定义适用于GA/T403的本部分。3. 1 入侵intrusion 任何企图危害资源完整性、
6、保密性或可用性的行为。3.2 报警alert 当有入侵正在发生或者正在尝试时,入侵检测系统向系统操作员、管理人员发出的紧急通知,可以消息、邮件等形式发出。3.3 入侵特征intrusion features 入侵检测系统预先定义好的能够确认入侵行为的特定信息。3.4 引擎engine 入侵检测系统中进行数据采集、分析的软硬件的集合体。4 网络型入侵检测产晶的组成和分级4. 1 产品组成4. 1. 1 事件产生单元(IDS_GEN) 获取网络数据,使入侵检测系统尽可能地捕获网络中的信息。4. 1. 2 事件分析单元(IDS_ANL)GA/T 403. 1-2002 采用相关的分析检测技术,对收集
7、到的信息进行分析,提取信息中所包含的事件特征。4. 1.3 晌应单元(IDS_RSP)根据定义的策略对事件分析单元发送的消息进行响应。有以下三种响应手段:记录、报警和阻断。4. 1.4 审计单元(IDS_FAU)在违反安全策略的事件发生时,对事件发生的时间、主体和客体等信息进行记录和审计。4. 1. 5 管理控制单元(IDS_MAN)负责人侵检测系统定制策略、审阅日志、系统状态管理,并以可视图形化形式提交授权用户进行管理。4. 2 产品分级对网络型入侵检测产品分成两个级别a)基本级具备基本的入侵检测功能,b)增强级除具备基本级的产品5 工作环境5. 1 系统接入5. 1. 1 如果被检测c)采
8、用5. 1.3 应具备严5. 2 工作环境安应防止对5. 3 管理人员5. 3. 1 指定一个或多6 功能要求6. 1 基本级网络型入侵检测6. 1. 1 组件分类基本级网络型入侵检测产品组应单元组件要求、审计单元组件要求和控制管一个端口上。求、事件分析单元组件要求、响表1基本级网络型入侵检测产晶组件功能要求组件组件功能要求IOS GEN.l 网络数据获取IOS GEN.2 数据采集的实时性IOS_AN L. 1 协议分析2 组件IDS_ANL. 2 |规则匹配分析IDS_ANL. 3 |入侵特征库升级IDS_ANL.4 |身份鉴别lOS RSP.l |报警通知lOS RSP.2 |日志IDS
9、 FAU.l IDS_FAU.2 lOS_FAU.3 IDS_FAU.4 IDS_FAU. 5 IDS FAU.6 IDS_MAN.l lOS_MAN.2 IDS_MAN.3 IDS_MAN.4 IDS MAN.5 6. 1.2.2 6. 1.3 事件分析单6. 1. 3. 2 IDS_ANL. 2 a)事件主体;b)事件客体;c)协议特征(类型和标志d)内容特征;e)事件描述。6. 1.3.3 IDS_ANL. 3 a)结果的日期;b)结果的时间;c)结果类型;d)数据源鉴定。GA/T 403. 1-2002 表1(续)组件功能要求6. 1. 3. 4 IDS_ANL. 4 事件分析单元应提
10、供特征库升级功能,允许用户及时更新特征库。6. 1. 3. 5 IDS_ANL. 5 事件分析单元应具备身份鉴别能力,除具有明确访问权限的用户外,事件分析单元应禁止其他用户对事件分析单元的访问。3 GA/T 403.1一20026. 1. 4 晌应单元组件要求(ID止RSP)6. 1.4. 1 IDS_RSP.l 当策略中被定义为报警的事件产生时,响应单元应将报警信息以消息或邮件等形式提交给管理员。报警信息至少应包括以下内容za)事件标识;b)事件主体;c)事件客体;d)事件发生时间;e)事件危险级别。6. 1.4.2 IDS_RSP.2 响应单元应将事件信息以文件或数据库记录等形式记录下来。
11、记录信息至少应包括以下内容:a)事件标识;b)事件主体;c)事件客体;d)事件发生时间;e)事件危险级别。6. 1.5 审计单元组件要求(IDS_FAU)6.1.5.1 IDS_FAU.l 审计功能应为以下审计操作产生审计记录:a)审计功能的开启和关闭;b)符合基本级审计的所有下列可审计事件:一一任何对审计跟踪进行的操作;一一所有对安全策略更改的操作;一一修改安全属性的所有尝试;一一任何对鉴别机制的使用;一一一所有对鉴别资料的请求访问;-一所有对审计数据读取不成功尝试;一一鉴别机制的所有使用;用户鉴别机制的使用;一一一对角色中用户组的修改。c)其他在安全策略中定义的需要审计的事件。审计功能生成
12、的每一条审计记录至少应记录以下信息:事件时间,事件类型,主体身份和事件结果(成功或失败)。6. 1. 5. 2 IDS_FAU.2 授权管理员应能对审计记录执行创建、储存和删除等操作。6. 1. 5.3 IDS_FAU.3 入侵检测产品应提供日志信息查询和审阅功能。应能通过以下信息进行查询:a)事件标识pb)事件主体;c)事件客体;d)事件发生时间;e)事件危险级别。6.1.5.4 IDS_FAU.4 审计记录的保存应满足以下要求:a)审计记录应能存储于永久性存储媒体中;b)当审计记录的存储空间将要耗尽时能够通知管理人员;c)审计单元应提供给管理员可定制的资料备份功能及策略。4 GA/T 40
13、3. 1-2002 6.1.5.5 IDS_FAU.5 至少应支持一种流行的数据库。6. 1. 5. 6 IDS_FAU.6 当审计记录占据的存储空间达到指定值时,审计单元应自动删除旧的审计记录,删除的比例应可由管理员进行设置。6. 1.6 管理控制单元组件要求(IDS_MAN)6. 1.6. 1 IDS_MAN. 1 应包含配置和管理入侵检测产品安全功能所需的所有功能,至少应包括:a)系统状态定制;b)增加、删除和定制入侵检测策略;c)查阅当前策略配置;d)查阅和管理审计资料。6. 1. 6. 2 IDS_MAN.2 当管理控制单元与引擎是通过网络连接时,应提供远程管理功能。6. 1.6.3
14、 IDS_MAN. 3 当管理控制单元与引擎是通过网络连接时,管理控制单元与引擎间应可建立加密通信连接。6. 1.6.4 IDS_MAN.4 管理控制单元应提供鉴别认证机制,在用户登录管理控制台之前对用户进行鉴别认证。当管理控制单元与引擎是通过网络连接时,管理控制单元与引擎间建立通信会话之前应进行鉴别认证。6. 1.6.5 IDS_MAN.5 提供给授权用户的管理功能应简单易用。6.2 增强组网络型入僵检测产品扩展功能要求6.2. 1 扩展功能组成增强级网络型入侵检测产品扩展功能由表2所列项目组成,增强级网络型入侵检测产品除了应满足基本级网络型入侵检测产品组件功能要求外,还应满足表2所列的扩展
15、功能要求。表2增强级网络型入僵检测产晶扩展功能扩展功能功能要求ID5 ANL IMP. 1 碎片数据包重组分析ID5 ANL 1岛iP.2概率统计分析ID5 ANL IMP. 3 数据挖掘分析105 ANL IMP. 4 对刻意逃避入侵检测技术的通信数据的检测ID5 ANL IMP. 5 入侵特征的自定义ID5 R5P一IMP.l通信连接阻断105 FAU IMP.l 可选审计查阅105_FAU_IMP.2 分级审计查阅105 FAU IMP.3 审计信息加密存储IDS MAN IMP. 1 策略管理工具ID5 MAN IMP. 2 安全管理角色分级ID5 MAN IMP. 3 安全鉴别策略I
16、DS MAN IMP. 4 管理接口和数据采集接口分离IDS MAN IMP. 5 完整性校验6.2.2 事件分析单元扩展功能要求(IDS_ANL_IMP) 6. 2. 2. 1 IDS_ANL一IMP.l对刻意构造的碎片数据包进行重组和分析。6.2.2.2 IDS_ANL_IMP. 2 具备概率统计的分析能力,对不规则或频繁出现的事件进行统计分析。6.2.2.3 IDS_ANL_IMP. 3 具备数据挖掘能力,对相互之间存在关联的事件进行综合分析。5 GA/T 403. 1-2002 6. 2.2. 4 IDS_ANL_IMP. 4 具备分析采用刻意逃避入侵检测技术的通信数据的能力。6.2.
17、2.5 IDS_ANL_IMP. 5 向授权用户提供自定义匹配特征的功能,并能对用户自定义的匹配特征正确识别。6.2.3 晌应单元扩展功能要求(IDS_RSP _IMP) 6.2.3. 1 IDS_RSP _IMP. 1 若某种事件的响应方式在策略中被定义为阻断,应将该事件的通信连接阻断。6.2.4 审计单元扩展功能要求(IDS_FAU_IMP)6.2.4.1 IDS_FAU_IMP.l 审计单元应能基于日期和时间、主体身份、事件类型、相关事件成功或失败等信息对审计数据进行分类。6.2.4.2 IDS_FAU一IMP.2读访问。6.2.4.3 IDS_FAU_IMP.3 6.2.5 管理控制单
18、元扩展功6.2.5.1 7 性能要求7.1 误报率网络型入侵7.2 漏报率网络型入侵检测环境和测试步骤。7.3 平均晌应时间当背景数据流达到网7.4 稳定性在产品设计适应的带宽下,人7.5 数据截取率和还原率在产品设计适应的带宽下,入侵检测产品计单元应禁止其他用户对审计数据的别尝试次数,当达,直到授权管理员试工具、测试有效带宽的80%时,入侵检测产品应保证数据的截取和还原以线速进行。7.6 对网络影晌入侵检测产品不得对原网络正常通信产生明显影响。8 安全功能要求8. 1 安全功能组件网络型入侵检测产品的安全功能组件由表3所列项目组成。6 GA/T 403. 1-2002 表3网络型入侵检测产品
19、安全功能组件安全功能组件IDS_FAU_SAR. 1 IDS FAU SAR. 2 IDS FAU STG.l IDS_FAU_STG.2 IDS FIA UAU.l IDS_FIA_AFL. 1 IDS_FIA_A TD. 1 8.2 安全审计8.2. 1 IDS_FAU 入侵检测产品8.2.2 IDS_FAU 8.2.3 IDS_FA 8.2. 3. 1 8.2. 3. 2 IDS_F A 8. 2. 3. 3 IDS_F A 数据不被破坏。8.2.4 IDS_FAU 当审计数8.3.1. 1 IDS_FIA_UA 无关的操作。8.3.1.2 IDS_FIA_UAU.l: 作之前,该用户已
20、被成功的鉴别。8.3.2 IDS_FIA_AFL.1 鉴别失8.3.2. 1 IDS_FIA_AFL. 1. 1 当用户能加以检测。应确保审计品安全相关的任何操试鉴别次数时,入侵检测产品应8. 3. 2. 2 IDS_FIA_AFL. 1. 2 当用户的失败登录次数超过允许的尝试鉴别次数时,入侵检测产品应阻止该用户的进一步登录尝试,直至授权管理员恢复对该用户的鉴别能力。8.3. 3 IDS_FIA_ATD. 1 用户属性定义应对管理角色赋予执行安全策略所必需的安全属性,安全属性包括:a)唯一用户身份;b)鉴别数据;c)授权;7 GA/T 403. 1-2002 d)其他安全属性。8.4 安全管
21、理8.4. 1 IDS_FMT_MOF. 1 安全功能管理入侵检测产品应确保只有授权管理员拥有对安全功能进行修改和配置的权力。8.4.2 IDS_FMT_SMR. 1 管理角色入侵检测产品应为管理角色进行分级,不同级别的管理角色具有不同的管理权限,以增加入侵检测产品管理的安全性。8.5 安全功能保护8. 5. 1 IDS_FPT_ITC. 1 数据传输加密当入侵检测产品各组件之间需要通过网络进行通信时,入侵检测产品应能对各组件间的通信进行加密。8. 5. 2 lDS_FPT_RVM. 1 IDS安全策略不可旁路性入侵检测产品应确保用户对系统安全功能的访问都受到安全策略的制约。9 安全保证要求9
22、.1 配置管理保证9. 1. 1 开发者应使用配置管理系统。9.1.2 开发者应提供配置管理于册。9. 1. 3 配置于册m包括一个配置目录39. 1. 4 配置目录应包含入侵检测产品的各个配置项目的描述。9. 1. 5 厂商所提供的信息应满足在内容和表达上的所有要求。9.2 操作保证9.2.1 开发者应以文件方式说明入侵检测产品的安装、配置和启动的过程。9.2.2 用户于册中应详尽描述入侵检测产品的安装、配置和启动运行所必需的基本步骤。9.2.3 厂商所提供的信息山满足内容和表述上的所有要求。9.3 开发过程保证9.3.1 入侵检测产晶和安全策略9. 3. 1. 1 开发者应提供入侵检测产品
23、的功能规范。9. 3. 1. 2 开发者应提供入侵检测产品的安全策略。9.3.1.3 功能规范应以非形式方法来描述安全策略。9.3. 1. 4 功能坝范应以非形式方法来表述所有外部安全功能接口的语法和定义。9. 3. 1. 5 厂商所提供的信息应满足内容和表述上的所有要求。9.3. 1. 6 产品的功能规迫与安全策略应保证-致。9.3. 1. 7 产品安全功能的表述应包含安全目标中的每项功能要求。9.3.2 高层设计描述9.3.2.1 开发者应提供人侵检测产品安全功能的高层设计。9.3.2.2 高层设计应以非形式方法表述。9.3.2.3 高层设计应描述功能的每一个系统提供的安全功能。9.3.2
24、.4 高层设计应标明功能子系统的接口。9. 3. 2. 5 r,)j层设计应说明安今功能所需的所有底层硬件、固件和软件,以及所实现的保护机制所提供的功能。9.3.2.6 厂商所提供的信息应满足内容和l表述t的所有要求。9.3.2.7 功能的表述m包含安全H标中的每J页功能要求。GA/T 403.1一20029.3.3 非形式的一致性要求9.3.3.1 开发者应证明所提供的对功能的扼要表述是准确和一致的,并且完整地反应了安全日标中的功能要求。9.3.3.2 对于同一功能的两个相邻层的表述,开发者应证明在较高层抽象表述的所有部分在较底层抽象中得到了细化。9.3.3.3 对于同一功能的两个相邻层的表
25、述,其对应关系可以用非形式方法表述。9.3.3.4 厂商所提供的信息应满足内容和表述上的所有要求。9.4 指南文件保证9.4. 1 管理员指南9.4. 1. 1 开发者应提供满足系统管理者需要的管理员指南。9.4.1.2 管理员指南应描述如何以安全的方式管理入侵检测产品9.4. 1.3 对于应该控制在安全处理环境中的功能和特权,管理员指南应有警告。9.4. 1. 4 管理员指南应对如何有效地使用安全功能提供指导。9.4. 1. 5 管理员指南应说明两种类型功能之间的差别:一种是允许管理员配置安全参数,而另一种是只允许管理员获得信息。9.4.1.6 管理员指南应描述管理员控制下的所有参数。9.4
26、. 1. 7 管理员指南应描述各类需要执行安全功能的安全相关事件,包括在安全功能控制下改变实体的安全特性。9.4. 1. 8 管理员指南应包括安全功能如何相互作用的指导。9.4. 1. 9 管理员指南应包括怎样安全配置入侵检测产品的指令。9. 4. 1. 10 管理员指南应描述在入侵检测产品的安全安装过程中口J能使用的所有配置选项。9.4. 1. 11 管理员指南应充分描述与安全管理相关的详细过程。9.4.2 用户指南9.4.2.1 开发者应提供用户指南。9.4.2.2 用户指南应描述用户可使用的安全功能和接口。9.4.2.3 用户指南应包含使用入侵检测提供的安全功能和指导。9.4.2.4 对
27、于应该控制在安全的处理环境巾的功能和特权,用户指南应有警告。9.4.2.5 用户指南应描述那些用户可见的安全功能之间的相互作用。9.4.2.6 用户指南应与提交评估的所有其他文件一致。9.4.2.7 所提供的信息应能满足在内容和描述上的所有要求。9.4.3 测试保证9.4.3.1 独立测试9.4.3. 1. 1 应由评估者或具有专业知识的团体支持的独立实验室进行入侵检测产品的测试。9.4.3. 1.2 应对入侵检测产品进行相符性独立测试,证明安全功能是按照规定运行的。9.4.3. 1.3 应对入侵检测产品进行抽样独立测试,通过随机抽样对抽样产品进行测试,证明安全功能是按照规定运行的。9.4.3
28、. 1. 4 应对入侵检测产品进行完全独立性测试,通过重复所有开发者的测试,证明安全功能是按照规定运行的。9.4.3.2 测试覆盖面非形式分析9.4.3.2. 1 开发者应提供一个对测试覆盖范围的分析。9.4.3.2.2 测试覆盖面分析应证明测试文件中确定的测试项目能覆盖入侵检测所有的安全功能。9.4.3.2.3 所提供的信息应能满足在内容和表述上的所有要求。9.4.3.3 功能测试9 GA/T 403. 1-2002 9.4.3.3. 1 开发者应测试入侵检测产品的功能,并记录结果。9.4.3.3.2 开发者应提供测试文件9.4.3.3. 3 测试文件应有测试计划、测试过程描述和测试结果组成
29、。9.4.3.3. 4 测试文件应确定将要测试的产品功能,并描述将要达到的测试目标。9. 4.3.3.5 测试过程的描述应确定将要进行的测试,并描述测试每一安全功能的实际情况。9.4.3.3.6 测试文件的测试结果应给出每一项测试的预期结果。9.4.3.3.7 开发者得到的测试结果应能证明每一项安全功能和设计目标相符。9.4.3. 3.8 提供的信息应满足在内容和表遥丰且所有要求。9.4.3.4 测试一功能规范9.4.3.4.1 开发者应提供对J9.4.3. 4.2 规范。9.4.3.4. 3 9.4.4 脆弱性分9. 4. 4. 1. 1 9.4.4. 1. 2 国家标准。9.4.4.1.3
30、 其产生的影日9.4. 4. 1. 4 9.4. 4. 1. 5 9.4.4. 1. 6 9.4. 4. 1. 7 9.4.4.2开94421 d 供文件。9.4.4.2.2开49.4.4.2.3 对每9.4.4.2.4 所提供9.4.4. 2.5 应在开发10 一致的。NOON-F.的。叮同司。中华人民共和国公共安全行业标准信息技术入僵检测产品技术要求第1部分:网络型产晶GA/T 403. 1-2002 * 中国标准出版社出版北京复兴门外兰里河北街16号邮政编码:100045电话:68523946中国标准出版社秦皇岛印刷厂印刷新华书店北京发行所发行各地新华书店经售68517548 当告开本880X12301/l6 印张1字数25千字2003年4月第一版2003年4月第一次印刷印数l一1000 JG 晤定价12.00网址书号:155066.2-15003 峰636-734 版权专有侵权必究举报电话:(010)68533533科目GA/T 403. 1-2002