1、ICS 35.020 L 09 GA 中华人民共和国公共安全行业标准GA/T 403.2一2002信息技术入侵检测产品技术要求第2部分:主机型产品Information technology-Technical requirements for intrusion detection products-Part 2: Host-based products 2002-12-11发布2003-05-01实施中华人民共和国公安部发布GA/T 403. 2-2002 目次前言u l 范围-2 规范性引用文件-3 术语和定义4 主权L型入侵检测产品的组成和分级-4. 1 产品组成4. 2 产品分级15
2、 工作环境25. 1 系统接入25. 2 工作环境安全.11.25. 3 管理人员26 功能要求26. I 基本级主机型入侵检测产品组件功能要求26. 2 增强级主机型入侵检测产品扩展功能坚求47 性能要求67. 1 误报率67.2 漏报率67.3 平均响应时间67.4 稳定性67.5 CPU资源占用量67. G 存储空间资源占用最67.7 内存占用量67.8 用户登录和资源词问67.9 网络通信68 安全功能耍求68. 1 安全功能组件68. 2 安全审计78. 3 标识和鉴别78. 4 安全管理78. 5 安全功能保护89 安全保证要求89. 1 配置管理保证89. 2 操作保证89.3
3、开发过程保证89. 4 指南文件保证9GA 第l部分:I闷咐f络各型产I品l日目1古1;第2部分:主机型产品。本部分为GAjT403的第2部分。目Ij1=1 本部分由中华人民共和国公安部公共信息网络安全监察局提出。本部分113公安部信息系统安全标准化技术委员会归Ll。*部分Ell北点巾科网属li.信息技术有限公j、公安部第二研究所负贞起草。本部分主萤起草人:潘玉肉、杨戚、曾明、余立新、肖江、刘兵、丁字征。GA/T 403. 2-2002 GA/T 403. 2-2002 sl 本部分是GA/T403的第2部分。本部分规定了主机型入侵检测产品的技术要求。入侵检测产品的目的是发现入侵行为。它通过对
4、计算机网络中的若干关键点或被监测主机系统收集安全相关信息并对其进行分析,从而发现网络和系统中违反安全策略的行为和被攻击的迹象。当把入侵检测产品看成是完成一走安全目标的系统时,我们又可称之为入侵检测系统(IDS)。与其他安全产品相比,入侵检测产品具有更强的智能分析功能。入侵检测产品能简化管理员的工作,保障网络的安全运行。H 1 范围信息技术入侵检测产品技术要求第2部分:主机型产品GA/T 403. 2-2002 GA/T 403的本部分规定了采用传输控制协议/网间协议(TCP/IP)的主机型入侵检测产品的工作环境、功能要求、性能要求、安全功能要求和安全保证要求。本部分.i用于主机型入侵检测产品的
5、研制、开发、测评和采购。2 规范性引用文件下列文件中的条款通过GA/T403的本部分的引用而成为本部分的条款s凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。GH/T 5271. 8-2001信息,技术词汇第8部分:安全(idtISO/IEC 2382-8: 1998) GB/T 403. 1-2002 信息技术人侵检测产品技术要求第1部分:网络型产品3 术语和定义GB/T 527 1. 8-2001和GA/T403. 1-2002确立的术语
6、和定义适用于GA/T403的本部分。4 主机型入侵检测产晶的组成和分级4. 1 产晶组成4. 1. 1 事件产生单元(IDS_GEN)获取主机数据信息,使入侵检测产品能捕获策略定制的主机状态信息。该单元通过在主机系统上的代理实现基本功能。4. 1.2 事件分析单元(IDS_ANL)采用分析检测技术,通过收集主机的运行状态与巳指定的基本状态进行比较,从而检测可能存在的攻击。4. 1. 3 晌应单元ODS_RSP)响应单元对检测到的事件作出反应,通常有报警、记录和主动保护三种反应手段。通过在主机系统上的代理实现其基本功能。4. 1.4 审计单元(IDS_FAu)审计单元在违反安全策略的事件发生时,
7、对事件发生的时间、主体和客体信息等进行审计和记录。4. 1.5 管理控制单元ODS_MAN)管理控制单元负责策略定制、日志审阅和系统状态管理,并以可视化形式提交给授权用户进行管理。4. 2 产晶分级对主机型入侵检测产品分成两个级别,即基本级和增强级。GA/T 403 . 2-2002 a) 基本级具备基本的入侵检测功能,对所保护对象具有可靠的保护功能。b) 增强级除具备基本级的产品各项要求外,在功能要求和性能要求上,有扩展的或更高的要求。5 工作环境5. 1 系统接入5. 1. 1 主机型入侵检测产品的代理端应被正确安装在受保护主机上,代理端和管理端处于连通状态。5.1 . 2 应具备严格的访
8、问控制机制,t一一一川一-5. 2 工作环境安全5.2. 1 应防止对入侵检测产5. 2. 2 入侵检测产品的5. 2. 3 入侵检测产品5. 3 管理人员5. 3. 1 指定一个或5. 3. 2 入侵检测6 功能要求6. 1 基本级主6. 1. 1 基本级主机型入侵组件要求、审计IDS AN L. 3 lDS ANL. 1 IDS ANL. 5 IDS RSP.l IDS RSP.2 lDS FAU.l lDS FAU. 2 lDS FAU. 3 lDS_FAU.4 IDS_FAU. 5 lDS MAN. 1 IDS MA ;J.2 IDS MAN. 3 IDS M八N.42 审计纪录的创建
9、储存和删除审计记录查询审计记录保存数据库支持管理功能远程管理身份鉴别和认证易用性求、响应单元6. 1. 2 事件产生单元组件要求ODS_GEN)6. 1.2. 1 IDS_GEN. 1获取策略定制的目标主机的各种状态信息。事件产生单元应至少从目标主机收集以下信息:a) 目标系统的启动和关闭;b) 主机的资源使用情况;c) 系统的日志,审计的变化情况;d) 标识和鉴别事件;e) 服务请求;f) 网络通信流量;g) 安全配置的改变;h ) 策略定制的事件。6. 1. 2. 2 IDS_GEN. 2数6. 1. 3 事件分析单元6. 1. 3. 1 IDS ANL. 1 行为。6.1.3. 2 状态
10、信息比较,发a) 用户活费;b) d) e) 6. 1. 3. 3 IDS 6. 1. 3. 4 行为。6.1 . 3.5 鉴定。6. 1. 4. 1 IDS_RSP. 1 人员发送报警信息。报主-a) 事件标识;b) 事件主体;c) 事件客体;d) 事件发生时间;e) 事件类型;f) 事件危险级别。GA/ T 403. 2-2002 6. 1. 4. 2 IDS_RSP.2当策略中定义为记录的事件发生时,响应单元应将事件信息以文件或数据库记录等形式记录下来。记录信息至少应包含IDS_RSP.l中所含内容。6. 1. 5 审计单元组件要求CIDS_FAU)6.1 . 5. 1 IDS_FAU.
11、1审计功能应为以下可审计事件产生审计记录:a) 审计功能的开启和关闭。b) 符合基本级审计的所有下列可审计事件:3 GA/T 403. 2一2002任何对审计进行的操作;一所有对安全策略更改的操作;修改安全属性的所有尝试;任何对鉴别机制的使用;所有对鉴别资料的请求访问;一一所有对审计数据读取不成功尝试;-一鉴别机制的使用;用户鉴别机制的使用;一一对角色中用户组的修改。c) 在系统安全策略中定义的其他需要审计的事件。审计功能生成的每一条审计记录至少应记录以下信息:事件时间,事件类型,主体身份和事件结果(成功或失败)。6. 1. 5. 2 IDS_FAU.2管理员应可创建、储存、删除和清空审计记录
12、。6. 1. 5. 3 IDS_FAU. 3提供授权管理人员对日志信息的查询、审阅功能。提供的信息应至少包括以下内容:a) 事件标识;b) 事件主体;c) 事件客体;d) 事件发生时间。6. 1. 5. 4 IDS_FAU.4审计记录的保存应满足以下要求:a) 将审计记录存储到永久性的存储媒体中;b) 自动统计审计记录的存储空间,发现存储空间快耗尽时提前通知管理人员;c) 审计单元向管理员提供可定制的资料备份功能及策略。6. 1. 5. 5 IDS_FAU.5入侵检测产品至少应支持一种流行的数据库。6. 1.6 管理控制单元组件要求(IDS_MAN)6. 1. 6. 1 IDS_MAN. 1入
13、侵检测产品应包含配置和管理入侵检测产品安全功能所需的所有功能,至少包括:a) 系统状态定制;b) 增加,删除和定制入侵检测策略;c) 查阅当前策略配置;d) 查阅和管理审计资料。6. 1.6.2 IDS_MAN.2入侵检测产品应提供远程管理功能。6. 1. 6. 3 IDS_MAN. 3管理控制单元应提供鉴别认证机制,在用户登录管理控制台之前对用户进行鉴别认证。当管理控制单元与引擎是通过网络连接时,管理控制单元与引擎间建立通信会话之前应进行鉴别认证。6. 1. 6. 4 IDS_MAN. 4入侵检测产品提供给授权用户的管理功能应简单易用。6.2 增强级主机型入僵检测产晶扩展功能要求6.2. 1
14、 增强级主机型入侵检测产品扩展组件增强级主机型入侵检测产品扩展组件由表2所列项目组成,增强级主机型入侵检测产品除了应满足基本级主机型入侵检测产品组件要求外,还应满足表2所列的扩展组件要求。4 GA/T 403.2-2002 表2增强级主机型入僵检测产品功能组件扩展功能组件扩展功能组件要求IDS ANL 1岛1P.1 分析单元身份鉴别IDS ANL一IMP.2概率统计分析IDS ANL 1ilP.3 数据挖掘IDS_RSP _IMP. 1 主动保护能力IDS_RSP _IMP. 2 与其他网络安全产品的互动IDS_FAU_IMP.l 可选审计查阅IDS F AU IMP. 2 选择性审计IDS_
15、F AU_IMP. 3 分级审计查阅IDSF八U1岛1P.4审计信息加密存储IDS_MAN_IMP. 1 策略管理工具IDS_M八N_IMP.2组件间通信加密IDS MAN IMP. 3 管理角色分级IDS_MAN_I岛1P.4鉴别尝试限制6.2.2 事件分析单元扩展功能要求(IDS_ANL_IMP) 6. 2. 2. 1 IDS_ANL_IMP. 1分析单元应具备身份鉴别能力,除具有明确访问权限的用户外,分析单元应禁止其他用户对分析单兀的访问。6. 2. 2. 2 IDS_ANL_IMP. 2入侵检测产品应具备概率统计的分析能力,对不规则或频繁出现的事件进行统计分析。6. 2. 2. 3 I
16、DS_ANL_IMP. 3入侵检测产品应具备数据挖掘能力,能对存在关联的事件进行分析,发现可能存在的入侵。6.2.3 晌应单元扩展功能要求CIDS_RSP_IMP) 6. 2. 3. 1 IDS_RSP _IMP. 1入侵检测产品应具备主动保护能力,当违反安全策略的事件发生时,响应单元能够提供主动保护功能,防范进一步的入侵行为,可采取的保护动作如下:a) 锁定用户的登录;b) 阻断用户的通信;c) 调用授权用户预先定义的操作。6. 2. 3. 2 IDS_RSP _IMP. 2入侵检测产品应能与其他网络安全产品配合工作,对发现的入侵行为采取联合行动,保证系统的安全。6. 2. 4 审计单元扩展
17、功能要求CIDS_FAU_IMP)6.2.4. 1 IDS_FAU_IMP. 1审计单元应具有通过日期和时间、主体身份、事件类型、相关事件成功或失败等信息对审计数据进行分类的能力。6.2.4.2 IDS_FAU_IMP.2审计单元应根据以下属性的审计事件集合中包含或排斥可审计事件:a) 事件类型;b) 审计列表中任意可选项。6.2.4.3 IDS_FAU_IMP.3除具有明确访问权限的用户外.审计单元应禁止其他用户对审计数据的访问。6.2.4.4 IDS_FAU_IMP.4审计信息应能加密存储。6.2.5 管理控制单元扩展功能要求CIDS_ MAN_IMP) 5 GA/T 403. 2-200
18、2 6. 2. 5. 1 IDS_MAN_IMP. 1入侵检测产品应为用户提供定制安全策略和验证安全策略的工具。6. 2. 5. 2 IDS_MAN_IMP. 2当管理控制单元与其他单元是通过网络连接时,管理控制单元与其他组件间的通信应建立安全加密连接。6. 2. 5. 3 IDS_MAN _IMP. 3入侵检测产品应按照管理权限的不同将管理员分级。6. 2. 5. 4 IDS_MAN_IMP. 4管理单元应设定一个用户授权管理员用户可修改的鉴别尝试次数,当达到或超过规定的不成功鉴别尝试次数时,管理控制单元应阻止用户的进一步鉴别尝试,直到授权管理员恢复该用户的被鉴别能力。7 性能要求7. 1
19、误报率主机型入侵检测产品的技、环境和测试步骤。7.2 漏报率入侵检测产品7. 4 稳定性基于主机的产生影响,且易7.6 存储空间主入侵检测产8 安全功能要求8. 1 安全功能组件主机型入侵检测产品的安全功能吃表3主中高安全功能组件lDS FAU SAR.l 审计查阅lDSF八USAR. 2 有限审计查阅IDS FAU STG.l 审计数据可用性保证lDS FAU STG.2 审计数据丢失防范lDS FIA UAU. 1 鉴别时效6 时的测试方法、测试工具、测试安全功能要求安全功能组件lDS FIA AFL. 1 IDS FIA A TD. 1 IDS FMT MOF. 1 IDS FMT SM
20、R. 1 IDS FPT ITC. 1 ms FPT RV此1.18. 2 安全审计8.2.2 IDS_FAU_SAR 入侵检测产品应8. 2. 3. 3 IDS 据不被破坏。当审计数8. 3. 1. 2 IDS_FI 之前,该用户已被鉴别失败处理用户属性定义安全功能管理安全角色数据传输加密8. 3.3 lDS_FIA_ATD. 1用户居性入侵检测产品应对管理角色赋予执行安a) 唯用户身份;b) 鉴别数据;c) 授权;d) 其他安全属性。8. 4 安全管理8. 4. 1 IDS_FMT_MOF. 1安全功能管理表3C续)安全功能要求入侵检测产品应确保只有授权管理员拥有对安全功能进行修改和配置的
21、权力。8.4.2 IDS_FMT_SMR. 1安全角色CA / T 403. 2一20027 GA/T 403. 2-2002 人侵检测产品的安全角色可以管理操作系统,1.该角色并不拥有更改入侵检测产品配置选项的权限,应将入侵检测产品的安全角色和操作系统的用户区分开。8.5 安全功能保护8. 5. 1 IDS_FPT_ITC. 1数据传输加密入侵检测产品应能对各组件间的通信数据进行加密。8. 5. 2 IDS_FPT_RVM. 1 IDS安全策略不可旁路性入侵检测产品应确保用户对系统安全功能的访问都受到安全策略的制约。9 安全保证要求9. 1 配置管理保证9. 1. 1 开发者应使用配置管理系
22、统。9. 1.2 开发者应提供配置管理手册。9.1.3 配置于册应包括一个配置目录。9. 1.4 配置目录应包含入侵检测产品的各个配置项目的描述。9.1.5 厂商所提供的信息应满足在内容和表达上的所有要求。9. 2 操你保证9.2. 1 开发者应以文件方式说明入侵检测产品的安装、配置和启动的过程。9.2.2 用户于册中应详尽描述入侵检测产品的安装、配置和启动运行所必需的基本步骤。9.2.3 厂商所提供的信息应满足内容和表述上的所有要求。9. 3 开发过程保证9.3. 1 入侵检测产品和安全策略9. 3. 1. 1 开发者应提供入侵检测产品的功能规范。9.3. 1.2 开发者应提供入侵检测产品的
23、安全策略。9.3.1.3 功能规范应以非形式方法来描述安全策略。9.3. 1.4 功能规范应以非形式方法来表述所有外部安全功能接口的语法和定义。9.3. 1.5 厂商所提供的信息应满足内容和表述上的所有要求。9.3. 1.6 产品的功能规范与安全策略应保证一致。9. 3. 1. 7 产品安全功能的表述应包含安全目标中的每一项功能要求。9. 3. 2 高层设计描述9.3.2. 1 开发者应提供入侵检测产品安全功能的高层设计。9. 3. 2. 2 高层设计应以非形式方法表述。9. 3. 2. 3 高层设计庇描述功能的每一个系统提供的安全功能。9. 3. 2. 4 高层设计应标明功能子系统的接口。9
24、. 3. 2. 5 高层设计应说明安全功能所需的所有底层硬件、圄件和软件,以及所实现的保护机制所提供的功能。9. 3. 2. 6 厂商所提供的信息应满足内容和去述上的所有要求。9. 3. 2. 7 功能的表述应包含安全目标中的每一项功能要求。9. 3. 3 非形式的一致性要求9.3.3. 1 开发者应证明所提供的对功能的扼要表述是准确和一致的,并且完整地反应了安全目标中的功能要求。9. 3. 3. 2 对于同一功能的两个相邻层的表述,开发者应证明在较高层抽象表述的所有部分在较底层抽象中得到了细化。9. 3. 3. 3 对于同一功能的两个相邻层的表述,其对应关系口I以用非形式方法表述。GA/T
25、403. 2-2002 9. 3. 3. 4 厂商所提供的信息应满足内容和表述上的所有要求。9. 4 指南文件保证9.4. 1 管理员指南9. 4. 1. 1 开发者应提供满足系统管理者需要的管理员指南。9.4. 1.2 管理员指南应描述如何以安全的方式管理入侵检测产品。9.4 1.3 对于应该控制在安全处理环境中的功能和特权,管理员指南应有警告。9.4. 1.4 管理员指南应对如何有效地使用安全功能提供指导。9.4. 1.5 管理员指南应说明两种类型功能之间的差别:一种是允咛管理员配置安全参数,而另一种是只允许管理员获得信息。9.4. 1.6 管理员指南应描述管理员控制下的所有参数。9.4.
26、 1.7 管理员指南应描述各类需要执行安全功能的安全相关事件,包括在安全功能控制下改变实体的安全特性。9.4. 1.8 管理员指南应包括安全功能如何相互作用的指导。9.4. 1.9 管理员指南应包括怎样安全配置入侵检测产品的指令。9.4. 1. 10 管理员指南应描述在入侵检测产品的安全安装过程中可能使用的所有配置选项。9.4. 1. 11 管理员指南应充分描述与安全管理相关的详细过程。9. 4. 2 用户指南9.4.2.1 开发者应提供用户指南。9. 4. 2. 2 用户指南应描述用户可使用的安全功能和接口。9. 4. 2. 3 用户指南应包含使用入侵检测提供的安全功能和指导。9. 4. 2
27、. 4 对于应该控制在安全的处理环境中的功能和特权,用户指南应有警告。9. 4. 2. 5 用户指南应描述那些用户可见的安全功能之间的相互作用。9.4.2.6 用户指南应与提交评估的所有其他文件一致。9. 4. 2. 7 所提供的信息应能满足在内容和描述上的所有要求。9. 4. 3 测试保证9.4.3. 1 独立测试9. 4. 3. 1. 1 应由评估者或具有专业知识的团体支持的独立实验室进行入侵检测产品的测试。9.4.3. 1.2 应对入侵检测产品进行相符性独立测试,证明安全功能是按照规定运行的。9.4.3. 1.3 应对入侵检测产品进行抽样独主测试,通过随机抽样对抽样产品进行测试,证明安全
28、功能是按照规定运行的。9.4.3.1.4 应对入侵检测产品进行完全独立性测试,通过重复所有开发者的测试,证明安全功能是按照规定运行的。9. 4. 3. 2 测试覆盖面非形式分析9.4. 3. 2. 1 开发者应提供个对测试覆盖范围的分析。9. 4. 3. 2. 2 测试覆盖面分析应证明测试文件中确定的测试项目能覆盖入侵检测所有的安全功能。9. 4. 3. 2. 3 所提供的信息应能满足在内容和表述上的所有要求。9.4.3.3 功能测试9.4.3.3. 1 开发者应测试入侵检测产品的功能,并记录结果。9. 4. 3. 3. 2 开发者应提供测试文件。9. 4. 3. 3. 3 测试文件应有测试计
29、划、测试过程描述和测试结果组成。9. 4. 3. 3. 4 测试文件应确定将要测试的产品功能,并描述将要达到的测试目标。9. 4. 3. 3. 5 测试过程的描述应确定将要进行的测试,并描述测试每一安全功能的实际情况。9. 4. 3. 3. 6 测试文件的测试结果应给出每一项测试的预期结果。9 GA/T 403. 2-2002 9. 4. 3. 3. 7 开发者得到的测试结果应能证明每一项安全功能和设计目标相符。9. 4. 3. 3. 8 提供的信息应满足在内容和表述上的所有要求。9. 4. 3. 4 测试一功能规范9.4. 3. 4. 1 开发者应提供对测试深度的分析。9. 4. 3. 4.
30、 2 深度分析应证明测试文件中确定的测试充分表明了入侵检测产品的运行符合安全功能规范。9. 4. 3. 4. 3 提供的信息应满足在内容和表述上的所有要求。9. 4. 4 脆弱性分析保证9. 4.4. 1 入侵检测安全功能强度的评估9. 4.4. 1. 1 开发者应确定入侵检测i舌A9.4. 4.1.2 开发者应对确定的伍国家标准。9. 4. 4. 1. 4 9.4. 4. 1. 5 9.4.4. 2.1 供文件。9. 4. 4. 2. 2 9. 4. 4. 2. 3 9. 4. 4. 2. 4 9. 4. 4. 2. 5应1 峰和鉴别机制应符合有关规定和NOON-N.的。寸阳司。中华人民共和国公共安全行业标准信息技术入僵检测产品技术要求第2部分:主机型产晶GAlT 403.2 - 2002 关中国标准出版社出版北京复兴门外三里河北街16号邮政编码:100045 电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷新华书店北京发行所发行各地新华书店经售* 开本B80X1230 1116 印张l字数25千字2003年3月第一版2003年3月第一次印刷印数1-8007c 定价12.00祷书号:155066.2-15004 网址版权专有侵权必究举报电话:(010)68533533GA/T 403.2-2002
