| 标准编号 | GA/T 403.2-2014 (GA/T403.2-2014) | | 中文名称 | 信息安全技术 入侵检测产品安全技术要求 第2部分:主机型产品 | | 英文名称 | Information security technology. Security technical requirements for intrusion detection products. Part 2: Host. based products | | 行业 | 公安行业标准 (推荐) | | 中标分类 | A90 | | 国际标准分类 | 35.240 | | 字数估计 | 23,293 | | 发布日期 | 2014-03-24 | | 实施日期 | 2014-03-24 | | 旧标准 (被替代) | GA/T 403.2-2002 | | 引用标准 | GB 17859-1999; GB/T 18336.1-2008; GB/T 25069-2010; GB/T 18336.2-2008; GB/T 18336.3-2008 | | 标准依据 | 关于发布公共安全行业标准的公告(2014年度) | | 发布机构 | 公安部 | | 范围 | GA/T 403的本部分规定了主机型入侵检测产品的安全功能要求、安全保证要求及等级划分要求。适用于主机型入侵检测产品的设计、开发及检测。 | GA/T 403.2-2014
Information security technology.Security technical requirements for intrusion detection products.Part 2: Host.based products
ICS 35.240
A90
中华人民共和国公共安全行业标准
代替GA/T 403.2-2002
信息安全技术
入侵检测产品安全技术要求
第2部分:主机型产品
2014-03-24发布
2014-03-24实施
中华人民共和国公安部 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 主机型入侵检测产品描述 1
5 安全环境 1
5.1 假设 1
5.2 威胁 2
5.3 组织安全策略 2
6 安全目的 2
6.1 产品安全目的 2
6.2 环境安全目的 3
7 安全功能要求 3
7.1 数据探测功能要求 3
7.2 入侵分析功能要求 4
7.3 入侵响应功能要求 4
7.4 管理控制功能要求 4
7.5 检测结果处理要求 5
7.6 产品灵活性要求 5
7.7 身份鉴别 6
7.8 管理员管理 6
7.9 安全审计 7
7.10 事件数据安全 7
7.11 通信安全 7
7.12 自我保护 8
7.13 自我监测 8
8 安全保证要求 8
8.1 配置管理 8
8.2 交付与运行 9
8.3 开发 9
8.4 指导性文档 11
8.5 生命周期支持 11
8.6 测试 11
8.7 脆弱性评定 12
9 技术要求基本原理 13
9.1 安全功能要求基本原理 13
9.2 安全保证要求基本原理 15
10 等级划分要求 15
10.1 概述 15
10.2 安全功能要求等级划分 15
10.3 安全保证要求等级划分 17
前言
GA/T 403《信息安全技术 入侵检测产品安全技术要求》分为两个部分:
---第1部分:网络型产品;
---第2部分:主机型产品。
本部分为GA/T 403的第2部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分代替GA/T 403.2-2002《信息技术 入侵检测产品安全技术要求 第2部分:主机型产
品》,与GA/T 403.2-2002相比主要技术变化如下:
---标准名称修改为《信息安全技术 入侵检测产品安全技术要求 第2部分:主机型产品》;
---增加了主机型入侵检测产品描述(见第4章);
---增加了安全环境,包括假设、威胁和组织安全策略(见第5章);
---增加了安全目的,包括产品安全目的和环境安全目的(见第6章);
---删除了主机型入侵检测产品的性能要求(见2002年版的第7章);
---删除了数据库支持(见2002年版的6.1.5.5);
---修改了安全功能要求的内容(见第7章,2002年版的第8章);
---增加了技术要求基本原理,包括安全功能要求基本原理和安全保证要求基本原理(见第9章)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本部分由公安部网络安全保卫局提出。
本部分由公安部信息系统安全标准化技术委员会归口。
本部分起草单位:公安部计算机信息系统安全产品质量监督检验中心、蓝盾信息安全技术股份有限
公司、公安部第三研究所。
本部分主要起草人:宋好好、吴其聪、李毅、顾健、胡维娜、赵云、杨辰钟。
本部分所代替标准的历次版本发布情况为:
---GA/T 403.2-2002。
引 言
GA/T 403的本部分详细描述了与主机型入侵检测产品安全环境相关的假设、威胁和组织安全策
略,定义了主机型入侵检测产品及其支撑环境的安全目的,通过基本原理论证安全功能要求能够追溯并
覆盖产品安全目的,安全目的能够追溯并覆盖安全环境相关的假设、威胁和组织安全策略。
本部分基本级参照了GB/T 18336.3-2008中规定的EAL2级安全保证要求,增强级在EAL4级
安全保证要求的基础上,将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击。
本部分仅给出了主机型入侵检测产品应满足的安全技术要求,但对主机型入侵检测产品的具体技
术实现方式、方法等不做要求。
信息安全技术
入侵检测产品安全技术要求
第2部分:主机型产品
1 范围
GA/T 403的本部分规定了主机型入侵检测产品的安全功能要求、安全保证要求及等级划分要求。
本部分适用于主机型入侵检测产品的设计、开发及检测。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 18336-2008(所有部分) 信息技术 安全技术 信息技术安全性评估准则
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB 17859-1999、GB/T 18336-2008(所有部分)和GB/T 25069-2010界定的术语和定义适用于
本文件。
4 主机型入侵检测产品描述
主机型入侵检测产品以系统日志、应用程序日志等作为数据源,或者通过其他手段(如监督系统调
用)从所在的目标主机收集信息进行分析,从而发现异常行为的入侵检测系统。主机型入侵检测产品通......
|