路径: 主页 > MISC > 第79页 > GA/T 1557-2019

[PDF] GA/T 1557-2019 - 英文版

标准号码	内文	价格美元	第2步(购买)	交付天数	标准名称	状态
GA/T 1557-2019	英文版	419	GA/T 1557-2019	[PDF]天数 >=4	信息安全技术基于IPv6的高性能网络审计系统产品安全技术要求	有效

基本信息
标准编号	GA/T 1557-2019 (GA/T1557-2019)
中文名称	信息安全技术基于IPv6的高性能网络审计系统产品安全技术要求
英文名称	Information security technology - Security technical requirements for IPv6-based high-performance network audit system products
行业	公安行业标准 (推荐)
中标分类	A90
国际标准分类	35.240
字数估计	18,133
发布日期	2019
实施日期	2019-04-16
发布机构	公安部

GA/T 1557-2019 Information security technology -- Security technical requirements for IPv6-based high-performance network audit system products ICS 35.240 A90 中华人民共和国公共安全行业标准信息安全技术基于 IPv6的高性能网络审计系统产品安全技术要求 Information security technology Security technical requirements for IPv6-based high-performance network audit system products 中华人民共和国公安部发布 GA 目次前言...II 1 范围...1 2 规范性引用文件...1 3 术语和定义...1 4 IPv6网络审计产品描述...2 5 总体说明...3 5.1 安全技术要求分类...3 5.2 安全等级划分...3 6 安全功能要求...3 6.1 信息采集...3 6.2 数据还原...3 6.3 审计记录统计...4 6.4 审计记录分析处理...5 6.5 管理控制要求...6 6.6 标识与鉴别...6 6.7 审计日志...7 6.8 安全管理...7 6.9 数据存储...8 7 环境适应性要求...9 7.1 接入方式...9 7.2 IPv6协议一致性...9 7.3 IPv6应用环境适应性...9 7.4 IPv6管理环境适应性...9 8 性能要求...9 8.1 处理能力...9 8.2 网络影响...9 9 安全保障要求...9 9.1 开发...9 9.2 指导性文档...10 9.3 生命周期支持...11 9.4 测试...11 9.5 脆弱性评定...12 10 等级划分要求...12 10.1 概述...错误未定义书签。 10.2 安全功能要求等级划分...12 10.3 安全保障要求等级划分...错误未定义书签。 II 前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部网络安全保卫局。本标准主要起草人：唐迪、王志佳、马海燕、范春玲、俞优、邹春明、顾健。信息安全技术基于 IPV6的高性能网络审计系统产品安全技术要求 1 范围本标准规定了基于 IPv6的高性能网络审计系统产品的安全功能要求、环境适应性要求、性能要求、安全保障要求和等级划分要求。本标准适用于基于 IPv6的高性能网络审计系统产品的设计、开发及测试。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 18336.3-2015 信息技术安全技术信息技术安全评估准则第3部分：安全保障组件 GB/T 20945-2013 信息安全技术信息系统安全审计产品技术要求和测试评价方法 GB/T 25069-2010 信息安全技术术语 GA/T 695-2014 信息安全技术网络通信审计产品技术要求 3 术语和定义 GB/T 18336.3-2015、GB/T 20945-2013、GB/T 25069-2010和GA/T 695-2014界定的以及下列术语和定义适用于本文件。 3.1 基于IPv6的高性能网络审计系统产品 IPv6-based high performance network audit system product 对网络通信进行记录和分析，并针对特定事件采用相应的动作，同时支持IPv4协议、IPv6协议及过度技术，并具有高性能的产品。 3.2 IPv6 过渡技术 IPv6 transition technology 用于IPv4向IPv6演进的过渡期内，保证业务共存和互操作的技术。 3.3 IPv4/IPv6 隧道技术 IPv4/IPv6 tunneling technology 基于IPv4隧道来传送IPv6数据报文的隧道技术。 3.4 双协议栈技术 dual protocol stack technology 在一台设备上同时启用IPv4协议栈和IPv6协议栈。 3.5 IPv4/IPv6 网络地址转换 IPv4/IPv6 network address translation 通过对数据包的转换实现了在网络过渡期IPv4节点和IPv6节点之间的互相访问。 4 IPv6网络审计产品描述 IPv6网络审计产品通过采集和分析网络通讯数据，对审计目标网络内用户网络行为（如网页浏览、 FTP和TELNET通讯、收发邮件、IM上下线等）、网络流量、网络攻击等行为进行记录和分析。IPv6网络审计产品能够帮助使用者记录被审计网络内的用户行为及网络状态，能够追溯违反安全策略要求的用户。IPv6网络审计产品能够适用于IPv4及IPv6两种网络环境。此外，基IPv6网络审计产品还能保护产品自身及其内部重要数据的安全。网络通讯审计产品按照部署模式划分，可分为串联部署和并联部署两种。在串联部署模式下，IPv6 网络审计产品在访问客户端与网络服务端之间。在旁路部署模式下，IPv6网络审计产品并联在访问客户端交换机上，通过镜像口获取网络通讯数据。图1为IPv6网络审计产品串联部署的典型运行环境。图1 IPv6网络审计产品串接部署运行环境图2为IPv6网络审计产品并联部署的典型运行环境。图2 IPv6网络审计产品并联部署运行环境 5 总体说明 5.1 安全技术要求分类本标准将IPv6网络审计产品安全技术要求分为安全功能和安全保障要求两大类。其中，安全功能要求是对IPv6网络审计产品应具备的安全功能提出具体要求，包括接入方式、信息采集、数据还原、审计记录统计、审计记录分析、管理控制要求等；安全保障要求针对IPv6网络审计产品的生命周期过程提出具体的要求，例如开发、指导性文档、生命周期支持和测试等。 5.2 安全等级划分 IPv6网络审计产品的安全等级按照其安全功能要求和安全保障要求的强度划分为基本级和增强级，其中安全保障要求参考了GB/T 18336.3-2015。 6 安全功能要求 6.1 信息采集 IPv6网络审计产品应能够根据审计目标设置网络数据采集策略，应在以下项目至少包含一种： a) 采集目标的 IP地址类型； b) 采集目标的IP地址或IP地址段策略； c) 采集网络协议应用策略； d) 采集传输协议策略； e) 采集应用协议策略； f) 采集时间段策略； g) 其他。 6.2 数据还原 6.2.1 网络基本信息还原 IPv6网络审计产品应能够还原目标网络内网络信息，其中应包括： a) 源端口、源IP地址、源MAC地址； b) 目标IP地址、目的端口； c) 网络层协议类型； d) 传输层协议类型； e) 应用层协议类型； f) 支持IPv6地址采集； g) 支持基于IPv6过渡技术处理的IP地址采集，其中包括隧道技术、双协议栈技术、网络地址转换技术。 6.2.2 会话内容的还原 IPv6网络审计产品应能还原会话，信息内容的基本项应包括：会话起始时间、源地址、目标地址。 6.2.3 服务信息还原基本要求 IPv6网络审计产品应能够还原网络信息及事件，至少包括以下五种： a) FTP协议，除基本项以外还应包括：使用的账号、输入命令； b) TELNET协议，除基本项以外还应包括：使用的账号、输入命令； c) HTTP协议，除基本项以外还应包括：目标URL； d) E-mail协议，除基本项以外还应包括：发件人地址、收件人地址。 e) RLOGIN协议，除基本项外应包括：使用用户、输入命令； f) DNS协议，除基本项外应包括：报文协议内容； g) IM信息，除基本项以外还应包括：IM软件名称及账号信息； h) 数据库远程管理与操作，除基本项外应包括：使用的账号、输入操作命令； i) 股票软件通信信息，除基本项以外还应包括：股票软件名称； j) 网络下载通信信息，除基本项以外还应包括：下载软件或协议名称和下载文件名称； k) 网络游戏通信信息，除基本项以外还应包括：网络游戏名称； l) 论坛、博客及微博通信信息，论坛、博客或微博的名称和账号； m) 搜索引擎通信信息，搜索引擎名称和搜索关键字； n) 其他网络通信信息。 6.2.4 服务信息还原扩展要求 IPv6网络审计产品应能够还原网络信息及事件，至少包括以下两种： a) FTP通信信息，除满足基本要求以外还应包括：传输的文件名及文件内容； b) TELNET通信信息，除满足基本要求以外还应包括：反馈信息； c) HTTP通信信息，除满足基本要求以外还应包括：恢复网页所需的文件及传输文件内容； d) E-mail通信信息，除满足基本项以外还应包括：主题。 6.2.5 网络攻击识别 IPv6网络审计产品应能够识别网络攻击事件，至少包括以下一种： a) DoS攻击； b) 口令暴力猜测攻击； c) 端口扫描攻击； d) 其他网络攻击。还原内容应包括：日期、事件、源IP地址、目的IP地址、源端口、目的端口、攻击类型。 6.2.6 基于应用类型还原 IPv6网络审计产品应能够根据应用类型特征还原非标准端口事件或动态端口网络通信事件。 6.3 审计记录统计 6.3.1 事件统计 IPv6网络审计产品应能够对网络事件进行统计，应至少包括以下一种： a) 网络通信事件总数； b) 一种或多种特定类型网络通信事件数量统计； c) 其他事件统计。 6.3.2 流量统计 IPv6网络审计产品应能够对网络流量进行统计，应至少包括以下一种： a) TCP协议流量； b) UDP协议流量； c) 网络应用流量； d) 其他网络流量。 6.4 审计记录分析处理 6.4.1 分析 6.4.1.1 关联分析 IPv6网络审计产品应能够对相互关联的事件进行关联及分析，至少支持以下一种； a) 基本信息关联，包括基于时间、事件、源IP地址、源端口地址、目的IP地址、服务类型、网络协议等采集信息； b) 统计关联，利用数据发掘算法等方法统计不同网络事件间的进行关联分析。 6.4.1.2 异常分析 IPv6网络审计产品应能提供异常分析功能，异常事件发生时能触发警告，其功能包括以下： a) 能够预定义异常事件，能够对某个时间段内发生的次数或频域达到某个阈值或某种流量达到阈值时触发报警； b) 能够基于关联分析功能的结果定义异常行为，对系统的异常行为触发报警； c) 其他异常情况。 6.4.1.3 分类分级 IPv6网络审计产品应能够提供事件分类分级功能，用户能够根据策略划分不同的类别，同时用户能够根据重要程度对审计事件进行分级，分类策略策略应包括至少以下一种： a) 根据审计目标； b) 根据时间范围； c) 根据审计事件类型； d) 根据网络流量； e) 根据通信协议； f) 根据审计分析结果，包括关联分析或异常分析中的至少一项； g) 自定义。 6.4.2 处理 6.4.2.1 响应告警 IPv6网络审计产品能设置策略定义告警事件，并在告警事件发生时触发警告，告警功能满足以下要求： a) 产品应支持策略设置触发告警； b) 应能记录告警，内容应包括：日期、时间、事件主体、事件课题、事件的级别、事件描述、告警次数、事件结果； c) 告警方式应至少支持邮件告警、SNMP trap告警、声光电告警、短信告警等方式中的一种。 6.4.2.2 处理措施 IPv6网络审计产品应能对网络事件采取处理措施，保证网络及自身安全，措施应至少包括以下一种： a) 支持设置策略，对网络事件进行阻断，策略应至少包括其中一项：事件级别、事件分析结果及自定义； b) 支持调用授权管理员预定义操作或应用程序； c) 与其他网络产品联动。 6.4.2.3 碎片包处理 IPv6网络审计产品应能够对用于逃避监测的通信方式（如碎片包通信方式）进行审计。 6.4.3 审计结果 6.4.3.1 审计记录 IPv6网络审计产品应能够把采集信息及还原信息的审计结果生成审计记录。 6.4.3.2 审计查阅 IPv6网络审计产品能够提供审计结果查阅功能，满足以下要求： a) 仅授权用户能够访问审计结果； b) 应提供审计结果查阅工具； c) 应提供基于时间范围进行查询； d) 应提供基于应用类型进行查询； e) 应提供基于记录时间、源IP地址、源端口、目的IP地址、目的端口或协议类型等条件，对审计记录进行查询和排序的工具； f) 应提供基于日期和时间、主体身份、事件类型、相关事件成功或失败等条件，对审计日志进行查询和排序的工具。 6.4.3.3 统计报表 IPv6网络审计产品能够生成统计报表，报表应包括以下功能： a) 应支持根据条件生成统计报表，生成条件应包括：关键字、模块功能、事件级别、自定义格式等生成方式； b) 应支持文字、图像化信息两种描述方式； c) 支持报表导出，至少支持HTML、PDF、WORD、EXCEL格式中的一种。 6.5 管理控制要求 6.5.1 图形界面 IPv6网络审计产品应提供对配置进行管理的图形界面。 6.5.2 开发接口 IPv6网络审计产品应至少提供一个标准的、开放的接口，能按照该接口的规范为其它信息安全产品编写相应的程序模块，以便共享信息或规范化联动。 6.6 标识与鉴别 6.6.1 用户标识 6.6.1.1 唯一标识 IPv6网络审计产品应能保证任何用户都具有全局唯一标识。 6.6.1.2 属性定义 IPv6网络审计产品应为每个角色规定与之相关的安全属性。 6.6.1.3 属性初始化 IPv6网络审计产品应提供使用默认值对创建的每个角色的属性进行初始化的能力。 6.6.2 身份鉴别 6.6.2.1 基本鉴别 IPv6网络审计产品应在执行任何与授权用户相关功能之前鉴别用户的身份。 6.6.2.2 鉴别数据保护 IPv6网络审计产品应保证鉴别数据不被未授权查阅或修改。 6.6.2.3 鉴别失败的基本处理 IPv6网络审计产品应能在鉴别尝试达到最大失败次数后，终止用户建立会话的过程。 6.6.2.4 超时锁定或注销产品应具有登录超时锁定或注销功能，在设定的时间段内没有任何操作的情况下，能锁定或终止会话，需要再次进行身份鉴别才能重新操作，最大超时时间仅由授权管理员设定。 6.7 审计日志 6.7.1 审计日志生成 IPv6网络审计产品对以下事件生成审计日志： a) 管理员的登录事件，包括成功和失败； b) 对安全策略进行更改的操作； c) 对日志记录的备份和删除； d) 对安全角色进行增加，删除和属性修改的操作； e) 管理员的其它操作； f) 应在每一条审计日志中记录事件发生的日期、时间、用户标识、事件描述和结果。若 IPv6 网络审计产品提供远程管理功能，还应记录远程登录主机的地址。 6.7.2 日志管理 IPv6网络审计产品能够提供日志管理功能，满足以下要求： a) 仅允许授权用户访问日志； b) 应提供条件查询查询功能，查询条件应包括日期、时间、事件主体等。 6.8 安全管理 6.8.1 时间一致性 IPv6网络审计产品应保持各组件之间记录时间的一致性。 6.8.2 集中管理 IPv6网络审计产品若为分布式部署应能够集中定制采集策略，并分发应用到相应的采集探针上。 6.8.3 状态监测 IPv6网络审计产品应能够检测自身运行状态，包括：CPU、内存、存储空间等。若产品由多个组件组成，应能检测各组件的运行状态。 6.8.4 保密传输 IPv6网络审计产品能够保证数据在传输过程的保密性，满足如下要求： a) 产品若采用远程管理方式，应保证远程管理数据加密传输； b) 产品若由多个组件组成，应保证组件间传输的网络审计记录和自身审计日志加密传输； c) 产品若由多个组件组成，应保证各组件之间各个组件间增加身份认证功能。 6.9 数据存储 6.9.1 存储介质 IPv6网络审计产品应将审计记录储存于掉电非逸失性存储介质中。 6.9.2 数据删除 IPv6网络审计产品应能够根据用户权限提供审计信息的删除功能，并满足以下要求： a）应能够记录删除行为的基本信息，包括时间日期、操作人、删除内容描述； b）能够设置策略自动删除超过保存时限的数据。 6.9.3 备份与恢复 IPv6网络审计产品应提供审计记录备份与恢复功能。 6.9.4 存储空间耗尽处理 IPv6网络审计产品提供数据存储空间耗尽处理功能，满足以下要求： a）应能够制定某种策略，具体处理当审计存储接近最大存储空间时的情况。（例如：至少提供阈值报警信息通知用户）； b）应能够提供硬件支持并制定某种策略，保证数据存储时间不少于 6 个月； c）应能够在空间耗尽前采取一定的措施（如：回滚、转储、删除最早记录等）防止更新的审计记录丢失。 6.9.5 数据库支持 IPv6网络审计产品应将审计记录与自身审计日志分别存储在数据库中。 6.9.6 数据完整性鉴别 IPv6网络审计产品应能够提供存储数据完整性保护功能，防止存储的审计记录被篡改。 6.9.7 安全存储 IPv6网络产品应对审计日志保密存储。 7 环境适应性要求 7.1 接入方式 IPv6网络审计产品应能支持多种部署，包括以串联或并联方式接入网络。 7.2 IPv6协议一致性 IPv6网络审计产品应根据IPv6标准设计、开发网络协议栈。 7.3 IPv6应用环境适应性 IPv6网络审计产品应至少支持纯IPv6、IPv6/IPv4双栈、IPv6/IPv4过渡等多种IPv6应用环境中一种环境。 7.4 IPv6管理环境适应性 IPv6网络审计产品应至少能在纯IPv6、IPv6/IPv4双栈、IPv6/IPv4过渡等多种IPv6环境中的一种环境下进行管理。 8 性能要求 8.1 处理能力 IPv6网络审计产品应支持万兆网络环境，支持不小于20Gbps负荷量。 8.2 网络影响 IPv6网络审计产品在运行过程中不应对网络正常通信产生明显影响。 9 安全保障要求 9.1 开发 9.1.1 安全架构开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求： a) 与产品设计文档中对安全功能实施抽象描述的级别一致； b) 描述与安全功能要求一致的产品安全功能的安全域； c) 描述产品安全功能初始化过程为何是安全的； d) 证实产品安全功能能够防止被破坏； e) 证实产品安全功能能够防止安全特性被旁路。 9.1.2 功能规范开发者应提供完备的功能规范说明，功能规范说明应满足以下要求： a) 完全描述产品的安全功能； b) 描述所有安全功能接口的目的与使用方法； c) 标识和描述每个安全功能接口相关的所有参数； d) 描述安全功能接口相关的安全功能实施行为； e) 描述由安全功能实施行为处理而引起的直接错误消息； f) 证实安全功能要求到安全功能接口的追溯； g) 描述安全功能实施过程中，与安全功能接口相关的所有行为； h) 描述可能由安全功能接口的调用而引起的所有直接错误消息。 9.1.3 实现表示开发者应提供全部安全功能的实现表示，实现表示......

英文网页English: GA/T 1557-2019

相关标准: GB/T 37230 | GA/T 1549 | GA/T 1550 | GA/T 1547 |