信息技術(shù)網(wǎng)絡(luò)型入侵防御產(chǎn)品安全測評規(guī)范

1、精編資料入侵防御系統(tǒng)預(yù)先定義好的能夠確認(rèn)入侵行為的特定信息.網(wǎng)絡(luò)型入侵防御產(chǎn)品的組成事件分析單元 (IPS_ANL)采用相關(guān)的分析檢測技術(shù),對經(jīng)過的信息進行分析,提取信息中所.信息技術(shù),信息,技術(shù)信 息 技 術(shù)網(wǎng)絡(luò)型入侵防御產(chǎn)品安全測評規(guī)范目 次1 范圍12 規(guī)范性引用文件13 術(shù)語和定義14 網(wǎng)絡(luò)型入侵防御產(chǎn)品的組成1 事件分析單元1 響應(yīng)單元1 審計單元1 管理控制單元15 工作環(huán)境1 系統(tǒng)接入1 工作環(huán)境安全2 管理人員26 功能要求2 組件分類2 事件分析單元組件要求2 響應(yīng)單元組件要求3 審計單元組件要求3 管理控制單元組件要求37 安全功能要求4 安全功能組件4 安全審計4 標(biāo)識和

2、鑒別4 安全管理5 安全功能保護58 安全保證要求5 配置管理保證5 操作保證5 開發(fā)過程保證5 指南文件保證6前 言 網(wǎng)絡(luò)型入侵防御產(chǎn)品是一種主動的、積極的入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進出口處，當(dāng)它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。 網(wǎng)絡(luò)型入侵防御產(chǎn)品在網(wǎng)絡(luò)邊界檢查到攻擊包的同時將其直接拋棄，則攻擊包將無法到達(dá)目標(biāo)，從而可以從根本上避免黑客的攻擊。這樣，在新漏洞出現(xiàn)后，只需要撰寫一個過濾規(guī)則，就可以防止此類攻擊的威脅了。 網(wǎng)絡(luò)型入侵防御產(chǎn)品和防火墻比較起來，網(wǎng)絡(luò)型入侵防御產(chǎn)品的功能比較單一，它只能串聯(lián)在網(wǎng)絡(luò)上（類似于通常所說的網(wǎng)橋式防火墻），對防火墻所不能

3、過濾的攻擊進行過濾。這樣一個兩級的過濾模式，可以最大地保證系統(tǒng)的安全。一般來說，企業(yè)用戶關(guān)注的是自己的網(wǎng)絡(luò)能否避免被攻擊，對于能檢測到多少攻擊并不是很熱衷。 當(dāng)把入侵防御產(chǎn)品看成是一定安全目標(biāo)的系統(tǒng)時，我們可稱之為入侵防御系統(tǒng)（IPS）。 IPS的檢測功能類似于IDS，但IPS檢測到攻擊后會采取行動阻止攻擊，可以說IPS是基于IDS的、是建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。本規(guī)范規(guī)定了網(wǎng)絡(luò)型入侵防御產(chǎn)品技術(shù)要求。本規(guī)范起草單位：公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心。1 范圍本測試規(guī)范規(guī)定了采用傳輸控制協(xié)議/網(wǎng)間協(xié)議（TCP/IP）的網(wǎng)絡(luò)型入侵防御產(chǎn)品技術(shù)要求。本部分適用于網(wǎng)絡(luò)型

4、入侵防御產(chǎn)品的研制、開發(fā)、測評和采購。2 規(guī)范性引用文件下列文件中的條款通過本部分的引用而成為本部分的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本部分。然而，鼓勵根據(jù)本部分達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本部分。GB/T 5271.8 信息技術(shù) 詞匯 第8部分：安全3 術(shù)語和定義3.1 本規(guī)范采用了中的下列術(shù)語和定義： 安全策略 security policy審計跟蹤 audit trail鑒別 authentication脆弱性 vulnerability威脅 threat攻擊 attack主體

5、 subject客體 object3.2 下列術(shù)語和定義適用于本部分。3.2.1 入侵 intrusion 任何企圖危害資源完整性、保密性或可用性的行為。3.2.2 報警 alert當(dāng)有入侵正在發(fā)生或者正在嘗試時，入侵防御系統(tǒng)向系統(tǒng)操作員、管理人員發(fā)出的緊急通知，可以消息、郵件等形式發(fā)出。3.2.3 入侵特征 intrusion features入侵防御系統(tǒng)預(yù)先定義好的能夠確認(rèn)入侵行為的特定信息。4 網(wǎng)絡(luò)型入侵防御產(chǎn)品的組成4.1 事件分析單元 (IPS_ANL)采用相關(guān)的分析檢測技術(shù)，對經(jīng)過的信息進行分析，提取信息中所包含的事件特征。4.2 響應(yīng)單元 (IPS_RSP)根據(jù)定義的策略對事件分

6、析單元發(fā)送的消息進行響應(yīng)。有以下三種響應(yīng)手段：記錄、報警和阻斷。4.3 審計單元 (IPS_FAU)在違反安全策略的事件發(fā)生時，對事件發(fā)生的時間、主體和客體等信息進行記錄和審計。4.4 管理控制單元 (IPS_MAN)負(fù)責(zé)入侵防御系統(tǒng)定制策略、審閱日志、系統(tǒng)狀態(tài)管理，并以可視圖形化形式提交授權(quán)用戶進行管理。5 工作環(huán)境5.1 系統(tǒng)接入5.1.1 入侵防御產(chǎn)品應(yīng)提供網(wǎng)橋式部署方式接入網(wǎng)絡(luò)的能力。5.1.2 應(yīng)具備嚴(yán)格的訪問控制機制，非授權(quán)人員不應(yīng)管理檢測系統(tǒng)。5.2 工作環(huán)境安全5.2.1 應(yīng)防止對入侵防御產(chǎn)品非授權(quán)的物理訪問。5.2.2 入侵防御產(chǎn)品的安裝應(yīng)由授權(quán)管理人員實施。5.2.3 入侵

7、防御產(chǎn)品的安裝應(yīng)實行嚴(yán)格的控制管理。5.3 管理人員5.3.1 指定一個或多個能勝任工作的人員來管理入侵防御產(chǎn)品及其所含信息的安全。5.3.2 入侵防御產(chǎn)品只能被授權(quán)用戶訪問。6 功能要求6.1 組件分類網(wǎng)絡(luò)型入侵防御產(chǎn)品組件功能要求分為事件分析單元組件要求、響應(yīng)單元組件要求、審計單元組件要求和控制管理單元組件要求共4類（見表1）。表1 網(wǎng)絡(luò)型入侵防御產(chǎn)品組件功能要求組件組件功能要求協(xié)議分析規(guī)則匹配分析入侵特征庫升級身份鑒別報警通知日志攻擊阻斷生成審計事件審計紀(jì)錄的創(chuàng)建、儲存和刪除審計記錄查詢審計記錄的保存數(shù)據(jù)庫支持審計記錄存儲管理功能遠(yuǎn)程管理管理信息加密鑒別和認(rèn)證易用性6.2 事件分析單元組

8、件要求（IPS_ANL）6.2.1 IPS_ANL.1 對通信協(xié)議進行分析、譯碼并提取特征信息。6.2.2 IPS_ANL.2 從網(wǎng)絡(luò)通信數(shù)據(jù)包中提取字符串信息進行分析。至少應(yīng)分析以下內(nèi)容：a） 事件主體；b） 事件客體；c） 協(xié)議特征（類型和標(biāo)志位）；d） 內(nèi)容特征；e） 事件描述。6.2.3 IPS_ANL.3 事件分析單元應(yīng)提供特征庫升級功能，允許用戶及時更新特征庫。6.2.4 IPS_ANL.4 事件分析單元應(yīng)具備身份鑒別能力，除具有明確訪問權(quán)限的用戶外，事件分析單元應(yīng)禁止其他用戶對事件分析單元的訪問。6.3 響應(yīng)單元組件要求（IPS_RSP）6.3.1 IPS_RSP.1 當(dāng)策略中被

9、定義為報警的事件產(chǎn)生時，響應(yīng)單元應(yīng)將報警信息以消息或郵件等形式提交給管理員。報警信息至少應(yīng)包括以下內(nèi)容：a) 事件標(biāo)識；b) 事件主體；c) 事件客體；d) 事件發(fā)生時間。6.3.2 IPS_RSP.2 響應(yīng)單元應(yīng)將事件信息以文件或數(shù)據(jù)庫記錄等形式記錄下來。記錄信息至少應(yīng)包括以下內(nèi)容：a) 事件標(biāo)識；b) 事件主體；c) 事件客體；d) 事件發(fā)生時間。6.3.3 IPS_RSP.3 響應(yīng)單元應(yīng)將策略中定義為阻斷的事件準(zhǔn)確阻斷。6.4 審計單元組件要求（IPS_FAU）6.4.1 IPS_FAU.1 審計功能應(yīng)為以下審計操作產(chǎn)生審計記錄：a) 審計功能的開啟和關(guān)閉；b) 符合基本級審計的所有下列

10、可審計事件： 修改安全屬性的所有嘗試； 任何對鑒別機制的使用； 所有對鑒別資料的請求訪問； 所有對審計數(shù)據(jù)讀取不成功嘗試； 鑒別機制的所有使用； 用戶鑒別機制的使用； 對角色中用戶組的修改。c) 其它在安全策略中定義的需要審計的事件。審計功能生成的每一條審計記錄至少應(yīng)記錄以下信息：事件時間，事件類型，主體身份和事件結(jié)果（成功或失?。?.4.2 IPS_FAU.2 授權(quán)管理員應(yīng)能對審計記錄執(zhí)行創(chuàng)建、儲存和刪除等操作。6.4.3 IPS_FAU.3 入侵防御產(chǎn)品應(yīng)提供日志信息查詢和審閱功能。應(yīng)能通過以下信息進行查詢：a） 事件標(biāo)識；b） 事件主體；c） 事件客體；d） 事件發(fā)生時間。6.4.4

11、IPS_FAU.4 審計記錄的保存應(yīng)滿足以下要求：a) 審計記錄應(yīng)能存儲于永久性存儲媒體中；b) 當(dāng)審計記錄的存儲空間將要耗盡時能夠通知管理人員；c) 審計單元應(yīng)提供給管理員可定制的資料備份功能及策略。6.4.5 IPS_FAU.5 至少應(yīng)支持一種數(shù)據(jù)庫。6.4.6 IPS_FAU.6 當(dāng)審計記錄占據(jù)的存儲空間達(dá)到指定值時，審計單元應(yīng)自動刪除舊的審計記錄，刪除的比例應(yīng)可由管理員進行設(shè)置。6.5 管理控制單元組件要求 （IPS_MAN）6.5.1 IPS_MAN.1應(yīng)包含配置和管理入侵防御產(chǎn)品安全功能所需的所有功能，至少應(yīng)包括：a） 系統(tǒng)狀態(tài)定制；b） 增加、刪除和定制入侵防御策略；c） 查閱當(dāng)

12、前策略配置；d） 查閱和管理審計資料。6.5.2 IPS_MAN.2 當(dāng)管理控制單元與引擎是通過網(wǎng)絡(luò)連接時，應(yīng)提供遠(yuǎn)程管理功能。6.5.3 IPS_MAN.3 當(dāng)管理控制單元與引擎是通過網(wǎng)絡(luò)連接時，管理控制單元與引擎間應(yīng)可建立加密通信連接。6.5.4 IPS_MAN.4 管理控制單元應(yīng)提供鑒別認(rèn)證機制，在用戶登錄管理控制臺之前對用戶進行鑒別認(rèn)證。當(dāng)管理控制單元與引擎是通過網(wǎng)絡(luò)連接時，管理控制單元與引擎間建立通信會話之前應(yīng)進行鑒別認(rèn)證。6.5.5 IPS_MAN.5 提供給授權(quán)用戶的管理功能應(yīng)簡單易用。7 安全功能要求7.1 安全功能組件 網(wǎng)絡(luò)型入侵防御產(chǎn)品的安全功能組件由表3所列項目組成。表2

13、 網(wǎng)絡(luò)型入侵防御產(chǎn)品安全功能組件安全功能組件安全功能要求 審計查閱 有限審計查閱 審計數(shù)據(jù)可用性保證 審計數(shù)據(jù)丟失防范 鑒別時效IPS_FIA_AFL.1 鑒別失敗處理 用戶屬性定義 安全功能管理 管理角色 數(shù)據(jù)傳輸加密 安全策略不可旁路性7.2 安全審計 7.2.1 IPS_FAU_SAR.1 審計查閱入侵防御產(chǎn)品應(yīng)提供授權(quán)用戶訪問審計數(shù)據(jù)的能力。7.2.2 IPS_FAU_SAR.2 有限審計查閱入侵防御產(chǎn)品應(yīng)明確用戶對審計數(shù)據(jù)的訪問權(quán)限，為不同權(quán)限的用戶提供相應(yīng)的訪問權(quán)限。7.2.3 IPS_FAU_STG.1 審計數(shù)據(jù)可用性保證7.2.3.1 IPS_FAU_STG.1.1 入侵防御產(chǎn)

14、品應(yīng)保護存儲的審計數(shù)據(jù)，避免未授權(quán)的刪除。7.2.3.2 IPS_FAU_STG.1.2 入侵防御產(chǎn)品應(yīng)能檢測到對審計數(shù)據(jù)的修改。7.2.3.3 IPS_FAU_STG.1.3 在審計存儲資源耗盡、失敗或受到攻擊時，入侵防御產(chǎn)品應(yīng)確保審計數(shù)據(jù)不被破壞。7.2.4 IPS_FAU_STG.2 審計數(shù)據(jù)丟失防范當(dāng)審計數(shù)據(jù)存儲空間接近或到達(dá)規(guī)定值時，入侵防御產(chǎn)品應(yīng)向授權(quán)管理員發(fā)送報警信息。7.3 標(biāo)識和鑒別7.3.1 IPS_FIA_UAU.1 鑒別時效7.3.1.1 IPS_FIA_UAU.1.1 入侵防御產(chǎn)品在用戶被鑒別前應(yīng)允許用戶執(zhí)行與入侵防御產(chǎn)品安全無關(guān)的操作。7.3.1.2 IPS_FIA

15、_UAU.1.2 入侵防御產(chǎn)品應(yīng)確保用戶在執(zhí)行與入侵防御產(chǎn)品安全相關(guān)的任何操作之前，該用戶已被成功的鑒別。7.3.2 IPS_FIA_AFL.1 鑒別失敗處理7.3.2.1 IPS_FIA_AFL.1.1 當(dāng)用戶的失敗登錄次數(shù)超過允許的嘗試鑒別次數(shù)時，入侵防御產(chǎn)品應(yīng)能加以檢測。7.3.2.2 IPS_FIA_AFL.1.2 當(dāng)用戶的失敗登錄次數(shù)超過允許的嘗試鑒別次數(shù)時，入侵防御產(chǎn)品應(yīng)阻止該用戶的進一步登錄嘗試，直至授權(quán)管理員恢復(fù)對該用戶的鑒別能力。7.3.3 IPS_FIA_ATD.1 用戶屬性定義應(yīng)對管理角色賦予執(zhí)行安全策略所必需的安全屬性，安全屬性包括：a) 唯一用戶身份；b) 鑒別數(shù)據(jù)；

16、c) 授權(quán)；d) 其它安全屬性。7.4 安全管理7.4.1 IPS_FMT_MOF.1 安全功能管理入侵防御產(chǎn)品應(yīng)確保只有授權(quán)管理員擁有對安全功能進行修改和配置的權(quán)力。7.4.2 IPS_FMT_SMR.1 管理角色入侵防御產(chǎn)品應(yīng)為管理角色進行分級，不同級別的管理角色具有不同的管理權(quán)限，以增加入侵防御產(chǎn)品管理的安全性。7.5 安全功能保護7.5.1 IPS_FPT_ITC.1 數(shù)據(jù)傳輸加密當(dāng)入侵防御產(chǎn)品各組件之間需要通過網(wǎng)絡(luò)進行通信時，入侵防御產(chǎn)品應(yīng)能對各組件間的通信進行加密。7.5.2 IPS_FPT_RVM.1 IPS安全策略不可旁路性入侵防御產(chǎn)品應(yīng)確保用戶對系統(tǒng)安全功能的訪問都受到安全策

17、略的制約。8 安全保證要求8.1 配置管理保證8.1.1 開發(fā)者應(yīng)使用配置管理系統(tǒng)。8.1.2 開發(fā)者應(yīng)提供配置管理手冊。8.1.3 配置手冊應(yīng)包括一個配置目錄。8.1.4 配置目錄應(yīng)包含入侵防御產(chǎn)品的各個配置項目的描述。8.1.5 廠商所提供的信息應(yīng)滿足在內(nèi)容和表達(dá)上的所有要求。8.2 操作保證8.2.1 開發(fā)者應(yīng)以文件方式說明入侵防御產(chǎn)品的安裝、配置和啟動的過程。8.2.2 用戶手冊中應(yīng)詳盡描述入侵防御產(chǎn)品的安裝、配置和啟動運行所必需的基本步驟。8.2.3 廠商所提供的信息應(yīng)滿足內(nèi)容和表述上的所有要求。8.3 開發(fā)過程保證8.3.1 入侵防御產(chǎn)品和安全策略8.3.1.1 開發(fā)者應(yīng)提供入侵防

18、御產(chǎn)品的功能規(guī)范。8.3.1.2 開發(fā)者應(yīng)提供入侵防御產(chǎn)品的安全策略。8.3.1.3 功能規(guī)范應(yīng)以非形式方法來描述安全策略。8.3.1.4 功能規(guī)范應(yīng)以非形式方法來表述所有外部安全功能接口的語法和定義。8.3.1.5 廠商所提供的信息應(yīng)滿足內(nèi)容和表述上的所有要求。8.3.1.6 產(chǎn)品的功能規(guī)范與安全策略應(yīng)保證一致。8.3.1.7 產(chǎn)品安全功能的表述應(yīng)包含安全目標(biāo)中的每一項功能要求。8.3.2 高層設(shè)計描述8.3.2.1 開發(fā)者應(yīng)提供入侵防御產(chǎn)品安全功能的高層設(shè)計。8.3.2.2 高層設(shè)計應(yīng)以非形式方法表述。8.3.2.3 高層設(shè)計應(yīng)描述功能的每一個系統(tǒng)提供的安全功能。8.3.2.4 高層設(shè)計應(yīng)

19、標(biāo)明功能子系統(tǒng)的接口。8.3.2.5 高層設(shè)計應(yīng)說明安全功能所需的所有底層硬件、固件和軟件，以及所實現(xiàn)的保護機制所提供的功能。8.3.2.6 廠商所提供的信息應(yīng)滿足內(nèi)容和表述上的所有要求。8.3.2.7 功能的表述應(yīng)包含安全目標(biāo)中的每一項功能要求。8.3.3 非形式的一致性要求8.3.3.1 開發(fā)者應(yīng)證明所提供的對功能的扼要表述是準(zhǔn)確和一致的，并且完整地反應(yīng)了安全目標(biāo)中的功能要求。8.3.3.2 對于同一功能的兩個相鄰層的表述，開發(fā)者應(yīng)證明在較高層抽象表述的所有部分在較底層抽象中得到了細(xì)化。8.3.3.3 對于同一功能的兩個相鄰層的表述，其對應(yīng)關(guān)系可以用非形式方法表述。8.3.3.4 廠商所提

20、供的信息應(yīng)滿足內(nèi)容和表述上的所有要求。8.4 指南文件保證 8.4.1 管理員指南8.4.1.1 開發(fā)者應(yīng)提供滿足系統(tǒng)管理者需要的管理員指南。8.4.1.2 管理員指南應(yīng)描述如何以安全的方式管理入侵防御產(chǎn)品。8.4.1.3 對于應(yīng)該控制在安全處理環(huán)境中的功能和特權(quán)，管理員指南應(yīng)有警告。8.4.1.4 管理員指南應(yīng)對如何有效地使用安全功能提供指導(dǎo)。8.4.1.5 管理員指南應(yīng)說明兩種類型功能之間的差別：一種是允許管理員配置安全參數(shù)，而另一種是只允許管理員獲得信息。8.4.1.6 管理員指南應(yīng)描述管理員控制下的所有參數(shù)。8.4.1.7 管理員指南應(yīng)描述各類需要執(zhí)行安全功能的安全相關(guān)事件，包括在安全

21、功能控制下改變實體的安全特性。8.4.1.8 管理員指南應(yīng)包括安全功能如何相互作用的指導(dǎo)。8.4.1.9 管理員指南應(yīng)包括怎樣安全配置入侵防御產(chǎn)品的指令。8.4.1.10 管理員指南應(yīng)描述在入侵防御產(chǎn)品的安全安裝過程中可能使用的所有配置選項。8.4.1.11 管理員指南應(yīng)充分描述與安全管理相關(guān)的詳細(xì)過程。8.4.2 用戶指南8.4.2.1 開發(fā)者應(yīng)提供用戶指南。8.4.2.2 用戶指南應(yīng)描述用戶可使用的安全功能和接口。8.4.2.3 用戶指南應(yīng)包含使用入侵防御提供的安全功能和指導(dǎo)。8.4.2.4 對于應(yīng)該控制在安全的處理環(huán)境中的功能和特權(quán)，用戶指南應(yīng)有警告。8.4.2.5 用戶指南應(yīng)描述那些用

22、戶可見的安全功能之間的相互作用。8.4.2.6 用戶指南應(yīng)與提交評估的所有其它文件一致。8.4.2.7 所提供的信息應(yīng)能滿足在內(nèi)容和描述上的所有要求。8.4.3 測試保證8.4.3.1 獨立測試8.4.3.1.1 應(yīng)由評估者或具有專業(yè)知識的團體支持的獨立實驗室進行入侵防御產(chǎn)品的測試。8.4.3.1.2 應(yīng)對入侵防御產(chǎn)品進行相符性獨立測試，證明安全功能是按照規(guī)定運行的。8.4.3.1.3 應(yīng)對入侵防御產(chǎn)品進行抽樣獨立測試，通過隨機抽樣對抽樣產(chǎn)品進行測試，證明安全功能是按照規(guī)定運行的。8.4.3.1.4 應(yīng)對入侵防御產(chǎn)品進行完全獨立性測試，通過重復(fù)所有開發(fā)者的測試，證明安全功能是按照規(guī)定運行的。8.4.3.2 測試覆蓋面非形式分析8.4.3.2.1 開發(fā)者應(yīng)提供一個對測試覆蓋范圍的分析。8.4.3.2.2 測試覆蓋面分析應(yīng)證明測試文件中確定的測試項目能覆蓋入侵防御所有的安全功能。8.4.3.2.3 所提供的信息應(yīng)能滿足在內(nèi)容和表述上的所有要求。8.4.3.3 功能測試8.4.3.3.1 開發(fā)者應(yīng)測試入侵防御產(chǎn)品的功能，并記錄結(jié)果。8.4.3.3.2 開發(fā)者應(yīng)提供測試文件。8.4.3.3.3 測試文件應(yīng)有測試計劃、測試過程描述和測試結(jié)果組成。8.4.3.3.4 測試文件應(yīng)確定將要測試的產(chǎn)品功能，并描述將要達(dá)到的測試目標(biāo)。8.4.3.3.5 測試過程的描述應(yīng)確定將要進行的測試，并描述測試