信息安全技术
单机防入侵产品安全功能要求
范围
本标准规定了信息安全技术单机防人侵产品的安全功能要求和保证要求。
本标准适用于信息安全技术单机防人侵产品的生产及检测。
2 规范性引用 文件
下列文件中的条款通过本标准的引用而成为本标准的条款
凡是注 日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB
/T18336.3一2o0
1 信息技术
安全技术 信息技术安全性评估准则 第3部分:安全保证要
求 (idtISO/IEC154OS一3:1999)
术语和定义
下列术语和定义适用于本标准。
单机防入侵产品 pro
ductofprotectingandpreventingintrusiononstand一alone
c
o
mputer
一个运行于单机上的软件。它可以截取单机上进行的人站和出站 TCP/
IP网络连接尝试,并使用
预先定义的规则允许和禁止其连接。
4 单机防入侵产品的安全功能要求
4.I IP数据包过滤
依据TcP
/
I
P
协议中的网络数据包的数据格式约定,每一条匹配规则应由下列要素组成:
a
)
数据包方向(连接发起方/接收方)。
b
) 远程
I
P
地址(任何
I
P
地址/指定
I
P
地址/指定
I
P
地址范围)。
c) 协议的匹配,具体协议至少应包括:
1) ICMP数据包过滤
根据
I
C
MP网络数据包中的类型和代码字段进行设定,当匹配到相同类型和代码字段时
则按对应规则中的数据包处理方式进行处理;
2) UDP数据包过滤
根据 UDP网络数据包中的本地端口[包括单一端口和(或)端口范围]和(或)远程端口[包
括单一端口和(或)端口范围〕进行规则匹配;
3
)
TCP数据包过滤
根据TCP网络数据包中的本地端口仁包括单一端口和<或)端口范围]和(或)远程端 口[包
括单一端口和(或)端口范围口,以及 TCP数据包的标志位进行规则匹配过滤。
4.2 过滤动作
单机防人侵产品应具有对数据包进行下述过滤动作的能力:
a) 拦截 ;
1GA/T696一 2007
b) 通 行 ;
c) 继
续匹配下一规则。
4.3 安全规则的修订
a) 用
户能选择使用或弃用单机防人侵产品提供的安全规则;
b) 用
户能根据 4.1中的格式规定添加、删除、修改自定义安全规则。
4.4 对特定网络攻击数据包的拦截
a) 单机防人侵产品应具备对于一些特定攻击的抵挡及防御能力;
b) 配
合抵御攻击的能力,单机防人侵产品应具备建立可更新的攻击特征库的能力。
4,5 应用程序网络访问控制
单机
防人侵产品的安全功能应包括能控制每个应用程序使用网络权限,对应用程序网络访问控制
包括以下三种方式:
a) 允
许访问:允许该程序使用网络;
b) 禁止访问:禁止该程序使用网络;
c) 网络访问时询问:当应用程序访问网络时,单机防人侵产品应对其将进行的访问操作向用户提
供详细的报告及询问,根据询问结果对应用程序访问网络的行为进行相应处理。
4.6 网络快速切断/恢复
以快
捷的方式切断/恢复所有网络通讯。
4,7 包 过 滤 、网 络 攻 击 的 日志 记 录
a) 应
提供一个网络通讯日志,便于用户查阅网络系统近况。
日志项目应至少包括如下数据项 通讯日期时间、接受/发送/拦截情况、对方 IP 地址、本机端
口、对方端口、备注
日志数据项的内部数据结构定义可参考如下:
数据项
类型 长度
1.通讯日期时间
字符 8字节
2.接受/发送/拦截情况 字符 1字节(三种情况分别用 。、1、2表示)
3.对方 IP 地址
字符 12字节
4.本机端口
字符 5字节
5.对方端口
字符 5字节
6,备注
字符 10。字节(受攻击种类或内部通讯程序)
b) 系
统应提供日志的清空功能
c) 日志信息应为人所能理解。
d) 日志信息应存储在永久性存储介质中
4.8 网络攻击的报普
根
据匹配系统指定规则发现异常网络数据包,单机防人侵产品应以一定方式警告用户,以及提示用
户采取哪些措施
49 产品自身安全
若 产 品涉 及 分 级 访 问控 制 的 功 能 ,则 其 管 理 控 制 还 需 具 备 基 本 的身 份 鉴 别 功 能 。
5 单 机 防 入 侵 产 品 的 保 证 要 求
保 证 要 求 按 GB/T 18336,3一 2001 第 二 级 执 行
GA/T 696一2007 信息安全技术 单机防入侵产 品安全功能要求
